Polityka prywatności Velocity

Wstęp

Zasady ochrony danych

Prawa osoby, której dane dotyczą

Transfery danych

Koordynator ds. ochrony danych i inspektor ochrony danych

Informacja o polityce prywatności dla partnerów biznesowych lub osób kontaktowych u naszych partnerów biznesowych

Informacja o polityce prywatności dla pracowników

Informacja o polityce prywatności do rekrutacji pacjentów

Informacja o ochronie prywatności dla użytkowników strony velocityclinicaltrials.eu

Tytuł dokumentu	Polityka prywatności Velocity
Dokument #	POL GEN-007
Wersja #	00
Data wejścia w życie	15 kwietnia 2024 r.

1. Wstęp

Velocity Clinical Research Inc. („my” lub „nasze”, „Velocity”) gromadzi, przechowuje i przetwarza dane osobowe osób, takich jak pracownicy, dostawcy, pacjenci, a także inne strony trzecie („osoby, których dane dotyczą”) w różnych celach.

Niniejsza polityka opisuje, jak chronimy dane osobowe. Pomaga ona nam w rozumieniu zasad rządzących wykorzystywaniem danych osobowych. Opisuje także to, jak gromadzimy, obchodzimy się z i przechowujemy dane osobowe tak, aby spełniać nasze własne standardy ochrony oraz aby postępować zgodnie z Ogólnym rozporządzeniem o ochronie danych UE 2016/679 („RODO”) wraz z innymi związanymi z nim przepisami i delegowanymi krajowymi przepisami prawa (łącznie „prawo o ochronie danych”).

Firma Velocity stosuje się do ram ochrony danych UE-USA (EU-U.S. Data Privacy Framework; DPF) oraz rozszerzenia do DPF UE-USA Wielkiej Brytanii, jak zostały określone przez Departament Handlu USA. Firma Velocity zaświadczyła Departamentowi Handlu USA, że stosuje się do zasad określonych w DPF UE-USA w związku z przetwarzaniem danych osobowych pochodzących z Unii Europejskiej i Wielkiej Brytanii, opierając się na DPF UE-USA i rozszerzeniu do DPF UE-USA Wielkie Brytanii. W przypadku wystąpienia jakiejkolwiek sprzeczności pomiędzy niniejszą polityką prywatności, a zasadami DPF UE-USA, obowiązywać będą zasady. Aby dowiedzieć się więcej o programie DPF oraz aby zobaczyć naszą certyfikację, odwiedź https://www.dataprivacyframework.gov/

a. Zakres

Niniejsza polityka ma zastosowanie do wszystkich pracowników mających styczność z danymi osobowymi w celach biznesowych, zarówno w obrębie, jak i poza Velocity.

b. Cel

Naszym celem jest ochrona osób, których dane dotyczą poprzez pozyskiwanie, gromadzenie, obchodzenie się z i przetwarzanie ich danych osobowych zgodnie z obowiązującym prawem o ochronie danych.

c. Konsekwencje naruszenia niniejszej polityki

Stosowanie się do niniejszej polityki oraz nasze obowiązki wynikające z prawa o ochronie danych traktujemy bardzo poważnie. Niedopełnienie tychże obowiązków może wystawić naszych pracowników, innych i firmę Velocity, jako całość, na ryzyko naruszenia przepisów. Naruszenie niniejszej polityki w jakimkolwiek stopniu może skutkować działaniami dyscyplinarnymi, nawet do i łącznie ze zwolnieniem z pracy.

d. Powiązane polityki i procedury

Niniejsza polityka uzupełnia nasze inne powiązane polityki i procedury (które mogą być wdrażane lub zmieniane od czasu do czasu). Można je znaleźć na MasterControl, repozytorium dokumentów systemu zarządzania jakością (Quality Management System; QMS) Velocity.

e. Czym jest ochrona danych i czemu jest ona ważna

Wszyscy ludzie posiadają prawa w związku ze sposobem, w jaki przetwarzane są ich dane osobowe. Pojęcie „ochrona danych” w niniejszej polityce odnosi się do przetwarzania danych osobowych w sposób udzielający i chroniący odpowiednie prawa do prywatności osób, których dane dotyczą oraz w sposób zapewniający im prawną ochronę w związku z danymi osobowymi (zgodnie z obowiązującym prawem o ochronie danych).

f. Czym są dane osobowe

Dane osobowe oznaczają wszelkie dane (lub ich połączenie), na podstawie których można bezpośrednio lub pośrednio zidentyfikować daną osobę. Dane osobowe mogą być faktyczne lub mogą stanowić opinię o osobie, jej działaniach i zachowaniu.

W ramach danych osobowych istnieje podkategoria: Szczególne kategorie danych osobowych To informacje związane z rasą lub pochodzeniem etnicznym osoby, jej poglądami politycznymi, przekonaniami religijnymi, duchowymi lub światopoglądowymi, przynależnością osoby do związków zawodowych, dane dotyczące zdrowia fizycznego lub psychicznego, związane z życiem seksualnym, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane genetyczne oraz dane dotyczące seksualności lub orientacji seksualnej osoby fizycznej (zgodnie z prawem o ochronie danych, tj. art. 9 RODO). Z przetwarzaniem szczególnych kategorii danych osobowych wiążą się jeszcze surowsze warunki.

2. Zasady ochrony danych

W ramach prawa o ochronie danych istnieje kilka zasad, których należy przestrzegać, przetwarzając dane osobowe. W następującym punkcie znajduje się opis tego, w jaki sposób dążymy do osiągnięcia zgodności z tymi zasadami:

Odpowiedzialność: Jesteśmy odpowiedzialni za i musimy być w stanie zademonstrować spełnienie głównych zasad i wytycznych prawa o ochronie danych.
Zgodność z prawem, uczciwość i przejrzystość: Dane osobowe mogą być przetwarzane jedynie zgodnie z prawem, uczciwie i w sposób przejrzysty. Oznacza to, że musimy informować osoby, których dane dotyczą o tym, jak i dlaczego przetwarzamy ich dane (przejrzystość), że przetwarzanie musi być zgodne z jego opisem podanym osobom, których dane dotyczą (uczciwość), i że przetwarzanie wynika z jednej z podstaw prawnych określonych w prawie o ochronie danych (zgodność z prawem).
Zasada ograniczenia celu: Musimy dokładnie określić (przed ich uzyskaniem), do czego będą wykorzystywane gromadzone przez nas dane osobowe i ograniczyć przetwarzanie danych osobowych do zakresu, w którym jest to konieczne do spełnienia określonego celu.
Zasada ograniczenia ilości zbieranych danych: Gromadzone przez nas dane osobowe będą prawidłowe, stosowne i ograniczone tylko do celów koniecznych, do jakich są przetwarzane.
Poprawność: Korzystamy z odpowiednich procesów, aby zapewniać poprawność i aktualność danych.
Ograniczenie okresu przechowywania danych: Dane osobowe będą przechowywane w sposób umożliwiający nam identyfikację osoby, której dane dotyczą, jedynie tak długo, jak to konieczne w celach, w jakich przetwarzane są dane osobowe.
Bezpieczeństwo/integralność i poufność: Wykorzystujemy odpowiednie środki techniczne i organizacyjne, aby chronić integralność i poufność danych osobowych, w tym ochrona przed nieautoryzowanym i niezgodnym z prawem przetwarzaniem, oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem danych.

a. Monitorowanie

odpowiedzialności

Z naruszeniami i niestosowaniem się do naszych obowiązków prawnych wynikających z prawa o ochronie danych wiążą się poważne konsekwencje. Przetwarzanie wszelkich danych osobowych zgodnie z naszymi obowiązkami prawnymi i zasadami ochrony danych leży w naszej odpowiedzialności.

Jeśli nie spełnimy wymogów dotyczących odpowiedzialności, wynikających z prawa o ochronie danych, ryzykujemy nie tylko naruszenie przepisów, ale także poważny szwank naszej dobrej reputacji.

Oceniamy zgodność z niniejszą polityką pod dwoma względami:

zgodność związana z ogólną ochroną danych;
skuteczność środków ochrony danych związana z naszymi procesami operacyjnymi.

Regularnie przeprowadzamy przeglądy i stosujemy się do zasad modelu „planuj, wykonaj, sprawdź i działaj” (Plan-Do-Act-Check; PDAC) w celu kontroli i ciągłego ulepszania naszych procesów. Działania te mają na celu stwierdzenie, czy osiągany jest odpowiedni poziom zgodności.

Zgłaszanie naruszeń ochrony danych osobowych

Jesteśmy odpowiedzialni za zgłaszanie naruszeń ochrony danych osobowych odpowiedniemu organowi nadzorczemu w ciągu 72 godzin, jeśli taki jest wymóg prawa (czas ten liczy się od momentu, w którym dowiedzieliśmy się o incydencie).

Jeśli podejrzewa się, że miało miejsce naruszenie ochrony danych osobowych, za które my (jako administrator) odpowiadamy, incydent ten musi zostać zbadany wewnętrznie przez inspektora ochrony danych (DPO) i zespół reagowania na incydenty. Jeśli z incydentem wiąże się ryzyko dla osób, których dane dotyczą, incydent ten musi być zgłoszony odpowiedniemu organowi nadzorczemu w ciągu 72 godzin od otrzymania wiadomości o nim.

Szkolenie

Wszyscy pracownicy muszą przejść odpowiednie do swojego stanowiska szkolenie w zakresie ochrony danych.

Dział HR odpowiada za odpowiednie przeszkolenie nowych pracowników w ramach procesu wdrażania, a wszyscy pracownicy uczestniczą w szkoleniach z ochrony danych raz w roku, lub wtedy, gdy ma miejsce znacząca zmiana prawa lub naszej polityki lub procedur, co ma miejsce częściej. Velocity Quality odpowiada za prowadzenie ewidencji szkoleń i przechowywanie najbardziej aktualnych materiałów szkoleniowych i dokumentów.

Odpowiedzialność

Każdy pracownik mający styczność z danymi osobowymi odpowiada za obchodzenie się z i przetwarzanie danych osobowych zgodnie z niniejszą polityką i obowiązującym prawem o ochronie danych.

W obrębie firmy Velocity są stanowiska o określonych obszarach odpowiedzialności:

Kierownictwo firmy jest ostatecznie odpowiedzialne za zapewnienie wypełnienia przez nas naszych obowiązków prawnych.
Urzędnik ds. prywatności Velocity w ogólny sposób odpowiada za zapewnienie przestrzegania prawa o ochronie danych.
The Zespół ds. prywatności w ogólny sposób odpowiada za konsekwentne stosowanie zasad niniejszej polityki oraz za:
- przegląd na bieżąco wszelkich procedur związanych z ochroną danych i politykami;
- organizację szkoleń i udzielanie porad w związku z ochroną danych wszystkim pracownikom i osobom, które obejmuje niniejsza polityka;
- udzielanie odpowiedzi osobom, których dane dotyczą, które chcą wiedzieć jakie ich dane osobowe są przez nas przechowywane;
- weryfikacja i zatwierdzanie przetwarzania danych osobowych przez strony trzecie, które są w posiadaniu tych danych oraz umów lub porozumień;
- prowadzenie dokumentacji zawierającej operacje przetwarzania danych, w tym okresowe oceny i zatwierdzenia.
Kierownik działu technologi informatycznych odpowiada za:
- spełnianie akceptowalnych standardów bezpieczeństwa przez wszystkie systemy, usługi i sprzęt służące do przechowywania danych;
- przeprowadzanie regularnych kontroli i skanów w celu sprawdzenia, czy sprzęt komputerowy i oprogramowanie odpowiedzialne za bezpieczeństwo działa w sposób prawidłowy;
- ocenę wszelkich firm zewnętrznych, z usług których firma Velocity rozważa skorzystać w celu zatrzymywania lub przetwarzania danych osobowych.

Przegląd operacji przetwarzania danych

W prawie o ochronie danych określono szeroki zakres wymogów w związku z dokumentacją i dowodem zachowywania zgodności z obowiązkami związanymi z ochroną danych. Kluczowym elementem w tym względzie jest przegląd operacji przetwarzania danych, jak zostało to określone w prawie o ochronie danych. Wykazujemy stosowanie się do prawa o ochronie danych za pomocą dokumentacji w aplikacji Foxondo .

„Ochrona prywatności w fazie projektowania”

Dokładamy starań, aby opracowywać wewnętrzne procesy, tak aby zasady ochrony danych były zawarte w każdym kroku operacji przetwarzania. „Ochrona prywatności w fazie projektowania” oznacza konieczność wdrożenia odpowiednich środków technicznych i organizacyjnych zarówno przed, jak i w trakcie, każdej wykonywanej przez nas operacji przetwarzania, aby w operacje te włączyć zabezpieczenia. To ważny krok zapewniający ochronę osobom, których dane dotyczą i spełnienie wymogów przepisów prawa o ochronie danych.

Zawsze staramy się wdrażać odpowiednie środki techniczne i organizacyjne, zarówno podczas określania środków niezbędnych do przetwarzania, jak i podczas samego powtarzania, aby stosować się do zasady ograniczenia ilości zbieranych danych.

W celu umożliwienia identyfikacji i uwzględnienia wszelkich wymogów związanych z ochroną danych podczas projektowania nowych systemów lub procesów i/lub podczas oceny lub rozbudowy istniejących systemów lub procesów, przed rozpoczęciem pracy nad projektem konieczne jest przeprowadzenie wstępnej oceny skutków w zakresie ochrony danych (ocena wstępna, wersja skrócona oceny skutków w zakresie ochrony danych). W zależności od wyniku, pełna ocena skutków w zakresie ochrony danych może być prawnie wymagana.

b. Zgodność z prawem, uczciwość i przejrzystość

Odpowiadamy za zrozumienie kontekstu, w jakim przebiega przetwarzanie danych osobowych, jako część naszych codziennych działań. Chcemy czuwać nad tym, aby przebiegało to w sposób sprawiedliwy i zgodny z prawem i abyśmy byli to w stanie jasno wyjaśnić osobom, których dane dotyczą. Zawsze będzie przetwarzać dane osobowe w sposób zgodny z prawem, uczciwy i przejrzysty, szanując prawa osób, których dane dotyczą.

Nasi zewnętrzni dostawcy usług/kontrahenci przetwarzający dane osobowe w naszym imieniu są także zobowiązani do ochrony danych. W tym kontekście, jesteśmy prawnie zobowiązani do:

korzystania z usług jedynie tych zewnętrznych dostawców usług/kontrahentów, którzy są w stanie wykazać, że stosują się do prawa o ochronie danych, tj. RODO;
zawierania spełniających wymogi prawa o ochronie danych, tj. RODO, pisemnych uzgodnień umownych z zewnętrznymi dostawcami usług/kontrahentami; oraz
wykazywania organom ochrony danych osobowych, że zastosowaliśmy się do powyższych wymogów prawnych.

Gromadzenie danych osobowych i powiadamianie o nich

Możemy gromadzić dane osobowe tylko wtedy, gdy jest to konieczne do spełnienia prawnie zasadnych celów lub wyraźnie dozwolone. Będziemy gromadzić dane osób, których one dotyczą tylko w przypadku, gdy jedno z następujących stwierdzeń będzie mieć zastosowanie:

jesteśmy do tego zobowiązani na podstawie wymogów prawa, np. prawa UE lub obowiązującego prawa lokalnego;
przetwarzanie jest konieczne, aby mogły zostać spełnione cele biznesowe oraz, by nasza organizacja mogła podjąć lub wykonać zobowiązania umowne z osobami, których dane dotyczą;
przetwarzanie leży w naszych (rozsądnych) prawnie uzasadnionych interesach, a osoby, których dane dotyczą nie posiadają ważniejszych od nas, sprzecznych interesów;
osoby te wyraziły swoją zgodę na przetwarzanie. Zgoda musi zostać wyrażona dobrowolnie i uzyskana zgodnie z obowiązującym prawem o ochronie danych, jak określono w art. 7 RODO.
Przetwarzanie danych leży w żywotnym interesie osoby, której dane dotyczą lub innej.

Gromadząc dane osobowe, udzielamy osobom, których te dane dotyczą informacji dotyczących przetwarzania ich danych osobowych bezpłatnie i w sposób zwięzły, przejrzysty, zrozumiały i w łatwo dostępnym formacie, używając jasnego i prostego języka. Obejmuje to informacje o zewnętrznych dostawcach usług, którym ujawniane są dane osobowe tych osób i cel ujawnienia.

W przypadku, gdy dane osobowe będą przesyłane z terytorium objętym przepisami RODO do USA wewnątrz grupy Velocity, zawarta będzie także informacja o tym,

że firma Velocity podlega uprawnieniom dochodzeniowym i wykonawczy Federalnej Komisji Handlu (FTC) Stanów Zjednoczonych;
Firma Velocity jest zobowiązana do przeprowadzania arbitrażu w sprawie roszczeń i przestrzegania warunków określonych w załączniku I zasad DPF, pod warunkiem, że osoba powołała się na wiążący arbitraż, dostarczając Twojej organizacji zawiadomienie i postępując zgodnie z procedurami i spełniając warunki określone w załączniku I zasad;
Firma Velocity jest zobowiązana ujawnić dane osobowe w odpowiedzi na prawnie uzasadnione żądania ze strony organów władzy publicznej, w tym w celu spełnienia wymogów bezpieczeństwa międzynarodowego lub organów ścigania;
Velocity ponosi prawną odpowiedzialność za wtórne przekazywanie danych stronom trzecim;

c. Zasada ograniczenia celu: Przetwarzanie w ograniczonych celach

Dane osobowe uzyskane w jednym celu zazwyczaj nie mogą być wykorzystywane do innych celów. Dążymy do tego, aby przetwarzać dane osobowe tylko do celów wyraźnie dozwolonych przez prawo o ochronie danych. Informujemy osoby, których dane dotyczą o tych celach.

d. Zasada ograniczenia ilości zbieranych danych: Przetwarzanie danych, które jest wystarczające, odpowiednie i nie nadmierne w stosunku do celów

W każdym przypadku do przetwarzania danych wykorzystanych powinno być tylko tyle danych osobowych, ile jest to konieczne do osiągnięcia danego celu. Zawsze będziemy dążyć do tego, aby gromadzić dane osobowe w zakresie koniecznym do osiągnięcia danego celu, o którym osoba, której dane dotyczą została poinformowana i nie gromadzić niepotrzebnych danych osobowych.

e. Poprawność: Zapewnienie poprawności danych osobowych

Dążymy do tego, aby nasze systemy i procesy służące do wykrywania niepoprawnych informacji były rozbudowane i by szybko aktualizować lub usuwać wszelkie niepoprawne dane osobowe. Dokładamy wszelkich starań, aby przechowywane przez nas dane osobowe były poprawne i aktualne. Osoby, których dane dotyczą mają prawo zażądać poprawienia swoich błędnych danych osobowych.

f. Ograniczenie okresu przechowywania danych: Prowadzone w odpowiednim czasie przetwarzanie i przechowywanie danych

Dążymy do tego, aby nie przechowywać danych osobowych osób, których one dotyczą dłużej, niż jest to konieczne, zgodnie z obowiązującym prawem. Podejmujemy wszelkie wymagane kroki w celu zniszczenia lub usunięcia wszelkich niepotrzebnych danych osobowych z naszych systemów (elektronicznych i papierowych).

Wszyscy pracownicy muszą zapoznać się z procedurą usuwania/polityką przechowywania danych.

g. Bezpieczeństwo/integralność i poufność: Bezpieczeństwo danych osobowych

Zawsze powinniśmy dokładać wszelkich starań, aby poziom ochrony wszystkich przechowywanych przez nas danych osobowych był odpowiedni w stosunku do potencjalnego ryzyka. Stosujemy odpowiednie środki ochrony przed niezgodnym z prawem i nieautoryzowanym przetwarzaniem danych osobowych oraz przed ich przypadkową utratą lub uszkodzeniem zgodnie z naszą polityką prywatności. Procedury bezpieczeństwa obejmują (między innymi):

kontrole wejść – odwiedzający nie mogą wejść na teren ośrodków bez nadzoru pracowników i nie wolno im wkraczać do stref, w których przechowywane są dane osobowe, chyba że w towarzystwie pracownika;
bezpieczne, zamykane na zamek biurka i szafki – jeśli są w nich przechowywane informacje poufne jakiegokolwiek rodzaju, są one trzymane zamknięte; (Dane osobowe są zawsze traktowane jako poufne).
kontrole dostępu – dane przechowywane na komputerach są chronione silnymi hasłami i technologiami identyfikacji;
kontrole miejsc przechowywania danych – dane nie są nigdy zapamiętywane bezpośrednio na urządzeniach przenośnych, takich jak laptopy, tablety, czy smartfony (ale na scentralizowanych serwerach);
metody utylizacji – dokumenty papierowe przeznaczone do utylizacji są przechowywane w zamkniętych pudełkach, a następnie niszczone przez licencjonowane i powiązane z nami firmy złamujące się niszczeniem dokumentów; cyfrowe urządzenia do przechowywania danych są wymazywane za pomocą pełnego nadpisania danych lub fizycznie niszczone, gdy nie są już potrzebne;
sprzęt – użytkownicy danych pilnują tego, aby monitory komputerów nie pokazywały przechodzącym informacji poufnych i by wylogowywać się lub wyłączać komputer, gdy opuszczają stanowisko pracy.

3. Prawa osoby, której dane dotyczą

Musimy reagować na każde żądanie osób, których dane dotyczą, pragnących wykonać swoje prawa bez zbędnej zwłoki i w terminie jednego miesiąca od dnia otrzymania żądania. Przedłużenie tego terminu jest możliwe tylko w wyjątkowych okolicznościach.

Osobom, których dane dotyczą przysługują następujące prawa:

prawo do bycia poinformowanym;
prawo do sprostowania (korekty danych);
prawo do usunięcia;
prawo do ograniczenia przetwarzania;
prawo do przenoszenia danych;
prawo do sprzeciwu;
prawo do tego, by nie podlegać czysto zautomatyzowanej decyzji o negatywnych skutkach;

osoby, których dane dotyczą mają także prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych odnośnie tego, w jaki sposób przetwarzamy ich dane osobowe.

Zgodnie z DPF UE-USA i rozszerzeniem do DPF UE-USA Wielkiej Brytanii, firma Velocity zobowiązuje się do współpracy i odpowiednio stosuje się do wskazówek panelu ustanowionego przez organy ochrony danych osobowych (DPAs) UE i Information Commissioner’s Office (ICO) Wielkiej Brytanii w związku z nierozstrzygniętymi skargami dotyczącymi przetwarzania przez nas otrzymanych w oparciu o DPF UE-USA i rozszerzeniu do DPF UE-USA Wielkiej Brytanii danych osobowych.

4. Przesył danych

Czasem przesyłamy dane osobowe innym podmiotom. Podmioty te mogą być spółkami zależnymi, wchodzącymi w skład naszej grupy, ale także innymi firmami przetwarzającymi dane w naszym imieniu lub dostarczającymi nam systemy i usługi informatyczne, z których korzystają nasi użytkownicy do przetwarzania danych.

Firma Velocity zawsze zadba o to, aby taki przesył danych był zgodny z prawem. Jeśli to konieczne, w przypadku przesyłu danych z UE, firma Velocity zawiera z zewnętrznymi dostawcami usług standardowe klauzule umowne.

Jeśli zatrudniamy firmę w celu przetwarzania danych w naszym imieniu, współpracujemy tylko z firmami, które spełniają nasze wymagania dotyczące stosowania właściwych, spełniających nasze standardy i wymogi prawa o ochronie danych środków technicznych i organizacyjnych. Zanim rozpocznie się przetwarzanie danych, podpisane zostaną umowy dotyczące przetwarzania danych, wiążące firmę przetwarzającą stosownymi warunkami.

5. Urzędnik ds. prywatności Velocity i inspektor ochrony danych

Urzędnik ds. prywatności Velocity pomaga nam operować w zgodzie z prawem o ochronie danych i jest osobą kontaktową w przypadków codziennych problemów i pytań o ochronę danych naszych pracowników i inspektora ochrony danych. Urzędnik ds. prywatności Velocity odpowiada ogólnie za wdrażanie struktur różnych projektów związanych z prawem o ochronie danych i codzienne wdrażanie niniejszej polityki. Jej dane kontaktowe to:

Urzędnik ds. prywatności Velocity: Brandi Lang - blang@velocityclinical.com.

Koordynator ds. ochrony danych jest główną osobą kontaktową dla naszego inspektora ochrony danych, którego dane kontaktowe znajdują się poniżej:

Inspektor ochrony danych: Alef Völkner i jej zespół - tel. +49 22 66 - 90 15 920, DSB@fox-on.com.

Zgodnie z DPF UE-USA i rozszerzeniem do DPF UE-USA Wielkiej Brytanii, firma Velocity zobowiązuje się rozwiązać skargi związane z zasadami DPF UE-USA dotyczącymi gromadzenia i wykorzystywania przez nas Twoich danych osobowych. Mieszkańcy UE i WB, którzy mają pytania lub chcą zgłosić skargi w związku z przetwarzaniem przez nas danych osobowych otrzymanych w oparciu o DPF UE-USA i rozszerzenie do DPF UE-USA Wielkiej Brytanii, powinni najpierw skontaktować się z firmą Velocity, korzystając z powyższych danych kontaktowych.

Inspektor ochrony danych zajmuje się, właściwie i terminowo, wszelkimi kwestiami związanymi z ochroną danych osobowych. Inspektor ochrony danych raportuje bezpośrednio najwyższemu szczeblowi kierownictwa.

6. Aktualizacje

Numer wersji	Data aktualizacji	Podsumowanie aktualizacji
00	NA	Oryginał

7. Słowniczek pojęć

Pojęcie	Znaczenie
Pracownik (pracownicy)	Wszystkie osoby zatrudnione lub zaangażowane w pracę na jakimkolwiek stanowisku dla Velocity. Na potrzeby niniejszej polityki, słowo „pracownicy” obejmuje następujące kategorie: Członkowie zarządu, pracownicy (na czas nieokreślony, na czas określony, pracujący w niepełnym wymiarze godzin i tymczasowi), pracownicy kontraktowi, aplikanci i emeryci.
Administrator	Administrator jest osobą lub organizacją, która określa cele tego oraz to, w jaki sposób przetwarzane są dane osobowe i odpowiada za ustanawianie praktyk i wdrażanie polityk zgodnych z obowiązującym prawem o ochronie danych.
Ochrona danych	Definicja ta odnosi się do stosunku, jaki istnieje między przetwarzaniem danych osobowych, a związanymi z tym oczekiwaniami dotyczącymi ochrony prywatności i obejmującą je prawną ochroną.
Osoba, której dane dotyczą	Osoba, z którą dane osobowe są związane, np. pracownik, klient, osoba kontaktowa partnera biznesowego, itd.
Organ zajmujący się ochroną danych	Komisja ds. ochrony danych jest organem nadzorczym/regulatorem odpowiedzialnym za egzekwowanie prawa o ochronie danych i stanie na straży praw osób, których dane dotyczą w związku z ochroną danych i prywatności odnośnie przetwarzania ich danych osobowych.
Dane osobowe	Dane osobowe to wszelkie informacje (lub połączenie informacji), na podstawie których można bezpośrednio lub pośrednio zidentyfikować daną osobę. Uznaje się je także za informacje zawierające stwierdzenia o osobie (np. imię i nazwisko, informacje dotyczące otrzymywanego wynagrodzenia, stan cywilny, daty urlopu chorobowego)
Naruszenie ochrony danych osobowych	To naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieautoryzowanego ujawnienia lub uzyskania dostępu do danych osobowych. Obejmuje to także naruszenia wynikające zarówno z przypadkowego, jak i umyślnego działania.
Przetwarzanie	Przetwarzanie to każde działanie z udziałem danych osobowych. Obejmuje to uzyskiwanie, zapisywanie lub przechowywanie danych osobowych, lub wykonywanie wszelkich operacji lub zestawu operacji na danych osobowych, w tym organizowanie, korygowanie, odzyskiwanie, wykorzystywanie, ujawnianie, usuwanie lub niszczenie danych. Przetwarzanie oznacza także udostępnianie lub przesył danych osobowych stronom trzecim oraz uzyskiwanie dostępu do danych osobowych, w posiadaniu których jest administrator lub osoba przetwarzająca dane.
Osoba przetwarzająca dane	Osobą przetwarzającą dane jest każda organizacja lub osoba z zewnątrz, która przetwarza dane osobowe w imieniu i/lub na polecenie administratora.
Szczególne kategorie danych osobowych	Jak określono w prawie o ochronie danych, tj. art. 9 RODO: dane osobowe związane z rasą lub pochodzeniem etnicznym osoby, jej poglądami politycznymi, przekonaniami religijnymi lub światopoglądowymi, jej przynależnością do związków zawodowych, dane dotyczące zdrowia fizycznego lub psychicznego lub życia seksualnego/orientacji seksualnej osoby, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej i/lub dane genetyczne.

Powrót do góry

Tytuł dokumentu	Informacja o ochronie prywatności - HR -- Pracownik
Dokument #	FORM GEN-001
Wersja #	00
Data wejścia w życie	15 kwietnia 2024 r.

Informacja o polityce prywatności dla pracowników

Niniejszy dokument informuje Cię o przetwarzaniu Twoich danych osobowych przez Twojego pracodawcę, Velocity Clinical Research. Velocity Clinical Research jest administratorem Twoich danych osobowych.

Cele przetwarzania danych, dane osobowe i podstawa prawna

Przetwarzamy Twoje dane osobowe wyłącznie w celach związanych z zatrudnieniem (okres wdrażania pracownika, w całym okresie zatrudnienia i podczas rozwiązywania umowy) w związku z Twoją rolą i pełnioną przez Ciebie w naszej firmie funkcją i w ramach naszych prawnie uzasadnionych interesów biznesowych. Obejmują one:

Cel	Kategorie danych osobowych	Podstawa prawna
Zarządzanie zasobami ludzkimi (np. utrzymywanie akt osobowych pracownika), wdrażanie pracownika, komunikacja zewnętrzna	Podstawowe dane pracownika (np. imię i nazwisko, płeć, narodowość, prywatny adres i dane kontaktowe, numer i identyfikatory pracownika, stanowisko, informacje dotyczące narzędzi pracy, dane dotyczące umowy, numer ubezpieczenia społecznego, pozwolenia na pracę, dane ubezpieczeniowe)	Wykonanie (tymczasowej lub na czas nieokreślony) umowy o pracę (np. w Niemczech: ust. 26 (1) federalnej ustawy o ochronie danych osobowych lub art. 6 (1) (b) RODO)
Zarządzanie jakością i monitorowanie działań pracowników	Podstawowe dane pracownika, informacje dotyczące określonych działań (np. udział w procesach wewnętrznych, działania podjęte w ramach badań klinicznych, planowanie zmian)	Wykonanie umowy o pracę (np. w Niemczech: ust. 26 (1) federalnej ustawy o ochronie danych osobowych lub art. 6 (1) (b) RODO); prawnie uzasadnione interesy związane z utrzymywaniem wysokiej jakości standardów w firmie (w UE: art. 6 (1) (f) RODO)
Płatności i księgowość (w tym księgowość płacowa, wypłata wynagrodzeń, księgowość finansowa, zaliczki na podatek dochodowy, planowanie kosztów związanych z zatrudnieniem pracowników i budżetowanie)	Podstawowe dane pracownika, dane dotyczące płatności (np. wynagrodzenia i wypłaty, pożyczki i zaliczki, premie, numer ubezpieczenia społecznego, dane bankowe, dane dotyczące kosztów podróży)	Wykonanie umowy o pracę (np. w Niemczech: ust. 26 (1) federalnej ustawy o ochronie danych osobowych lub art. 6 (1) (b) RODO)
Zarządzanie ubezpieczeniami emerytalnymi	Imię i nazwisko, dane zawarte w umowie (np. dotyczące rozwiązania umowy, stanowiska), dane dotyczące ubezpieczeń emerytalnych i zabezpieczeń społecznych (np. wynagrodzenie, wynagrodzenie specjalne, nieobecności w pracy).	Wypełnienie obowiązków prawnych (w UE: art. 6 (1) (c) RODO).
Zarządzanie czasem pracowników (w tym organizacja nieobecności w pracy, planowanie i prowadzenie ewidencji godzin pracy i dni urlopu)	Podstawowe dane pracownika i dane dotyczące zarządzania jego czasem (np. godziny pracy, urlop i inne nieobecności, urlop rodzicielski, urlop chorobowy, urlop opiekuńczy)	Wykonanie umowy o pracę (np. w Niemczech: ust. 26 (1) federalnej ustawy o ochronie danych osobowych)
Przegląd wyników, wewnętrzne zarządzanie talentami	Podstawowe dane pracownika i dane dotyczące wyników (np. dane dotyczące szkoleń, przeglądy wyników, wskaźniki, role, imię i nazwisko przełożonego)	Wykonanie umowy o pracę (np. w Niemczech: ust. 26 (1) federalnej ustawy o ochronie danych osobowych); wewnętrzne pozyskiwanie talentów opiera się na prawnie uzasadnionych interesach utrzymywania wysokiej jakości standardów siły roboczej
Szkolenia i rozwój	Podstawowe dane pracownika i dane dotyczące szkoleń (np. szkolenia, historia szkoleń, wyniki oceny umiejętności)	Wykonanie umowy o pracę (np. w Niemczech: ust. 26 (1) federalnej ustawy o ochronie danych osobowych)
Rejestrowanie niezdolności do pracy	Podstawowe dane pracownika i dane dotyczące niezdolności do pracy (np. wypadki przy pracy, badania, dane osoby kontaktowej)	Wypełnienie obowiązków związanych z pracą (np. w Niemczech: ust. 26 (3) federalnej ustawy o ochronie danych osobowych)
Bezpieczeństwo informatyczne i doskonalenie systemów informatycznych	Imię i nazwisko, dane techniczne (np. identyfikator pracownika, identyfikator i konfiguracja laptopa, alerty bezpieczeństwa w laptopie, dane logowania)	Prawnie uzasadnione interesy w zakresie zabezpieczenia infrastruktury informatycznej (np. w UE: art. 6 (1) (f) RODO)
Zarządzanie roszczeniami o charakterze prawnym i sporami	Imię i nazwisko, informacje związane z roszczeniami (informacje dotyczące działań dyscyplinarnych, naruszeń, ostrzeżeń)	Prawnie uzasadnione interesy (w UE: art. 6 (1) (f) RODO lub, w przypadku szczególnych kategorii danych osobowych: art. 9 (2) (f) RODO

W ograniczonych przypadkach będziemy polegać na Twojej zgodzie, np. w przypadku publikacji Twojego zdjęcia lub prowadzenia zapisu rocznic i urodzin (w UE: art. 6 (1) (a) RODO).

Odbiorcy

Przesyłamy dane stronom trzecim tylko wtedy, gdy jest to konieczne lub jeśli istnieje ku temu podstawa prawna. Kategorie stron trzecich, które mogą otrzymywać lub mieć dostęp do Twoich danych obejmują:

Kontrahentów zatrudnianych przez nas w celu świadczenia określonych usług wsparcia, np. dostawców usług informatycznych, konsultantów oraz księgowych z firm zewnętrznych lub pomoc prawną. Wszelkie powyższe podmioty są ściśle związane umowami o poufności, które zabraniają im wykorzystywania Twoich danych do celów innych, niż przydzielona im praca i ujawniania ich.
Other Velocity Clinical Research business entities. This data remains within the Velocity group, but may involve international data transfer to the USA, where the Velocity headquarter is located. Many of our corporate shared services, such as HR, finance, and IT service provision are located in the USA, and EU employee data will therefore be accessible to individuals residing in the USA who are part of those functions. Data will only be transferred or disclosed to the extent necessary for this purpose and in compliance with the relevant data protection regulations. Velocity complies with the EU-U.S. Data Privacy Framework (EU-U.S. DPF) and the UK Extension to the EU-U.S. DPF, as set forth by the U.S. Department of Commerce. Velocity has certified to the U.S. Department of Commerce that it adheres to the EU-U.S. Data Privacy Framework Principles (EU-U.S. DPF Principles) with regard to the processing of personal data received from the European Union and the United Kingdom in reliance on the EU-U.S. DPF and the UK Extension to the EU-U.S. DPF. If there is any conflict between the terms in this privacy notice and the EU-U.S. DPF Principles, the Principles shall govern. To learn more about the Data Privacy Framework (DPF) Program, and to view our certification, please visit https://www.dataprivacyframework.gov/
Klienci, w zakresie, w jakim potrzebować będą danych o pracownikach ośrodków, w których przeprowadzane są ich badania. Umowy z klientami obejmują także umowy o poufności, które zabraniają im wykorzystywania Twoich danych do celów innych, niż przydzielona im praca i ujawniania ich.

Źródło i kategorie danych

Przetwarzamy dane, którymi się z nami dzielisz. Możemy także otrzymywać Twoje dane od stron trzecich:

za pośrednictwem biura podatkowego: dane dotyczące podatku dochodowego (takie jak stan cywilny, dodatki na dzieci);
za pośrednictwem Twojego ubezpieczyciela zdrowotnego (elektroniczne zaświadczenie o niezdolności do pracy, jeśli dotyczy, informacje o zasiłkach chorobowych na dzieci lub ochronie macierzyństwa);
Sądy/wierzyciele (w przypadku zajęcia wynagrodzenia lub dochodzenia)

Okresy przechowywania danych

Gromadzone na Twój temat dane będą usuwane niezwłocznie, gdy dane te przestaną być potrzebne do wypełniania stosunku pracy, lub gdy stosunek ten zostanie rozwiązany i jeśli nie istnieją sprzeczne ustawowe okresy przechowywania. Okresy przechowywania danych wynikają z prawa podatkowego, prawa pracy i przepisów prawa socjalnego i zazwyczaj wynoszą do 10 lat.

Podawanie danych

Jesteś zobowiązany do podania nam danych osobowych, które są niezbędne do wykonania zawartej z Tobą umowy i tych, które jesteśmy prawnie zobowiązani uzyskać. Jeśli nie udzielisz nam wymaganych informacji, możemy nie być w stanie nawiązać, ani utrzymywać z Tobą, stosunku pracy.

Twoje prawa jako osoby, której dane dotyczą

Jako osoba, której dane dotyczą przysługują Ci następujące prawa, pod warunkiem, że spełnione zostały wymogi prawne:

Prawo do bycia poinformowanym, art. 15 RODO
Prawo do sprostowania danych, art. 16 RODO
Prawo do usunięcia danych, art. 17 RODO
Prawo do ograniczenia przetwarzania, art. 18 RODO
Prawo do przenoszenia danych, art. 20 RODO
Prawo do sprzeciwu, art. 21 RODO
Prawo do tego, by nie podlegać zautomatyzowanej decyzji, art. 22 RODO

Jeśli przetwarzanie opiera się na Twojej zgodzie, masz prawo wycofać swoją zgodę na przetwarzanie danych w każdej chwili ze skutkiem na przyszłość. O ile przetwarzanie danych opiera się na prawnie uzasadnionych interesach, masz prawo się temu sprzeciwić. Możesz to zrobić, jeśli istnieją prawnie uzasadnione powody wynikające z Twojej danej sytuacji. Masz także prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych w związku z przetwarzaniem danych.

Zgodnie z DPF UE-USA i rozszerzeniem do DPF UE-USA Wielkiej Brytanii, firma Velocity zobowiązuje się rozwiązać skargi związane z zasadami DPF UE-USA dotyczącymi gromadzenia i wykorzystywania przez nas Twoich danych osobowych. Mieszkańcy UE i WB, którzy mają pytania lub chcą zgłosić skargi w związku z przetwarzaniem przez nas otrzymanych w oparciu o DPF UE-USA i rozszerzenie do DPF UE-USA Wielkiej Brytanii danych osobowych, powinni najpierw skontaktować się z firmą Velocity, pisząc na adres e-mail:privacy@velocityclinical.com.

Firma Velocity respektuje uprawnienia Federalnej Komisji Handlu (FTC) Stanów Zjednoczonych w zakresie prowadzenia dochodzeń i egzekwowania przepisów w związku z danymi osobowymi otrzymanymi lub przesłanymi zgodnie z DPF.

W niektórych przypadkach możesz wystąpić o wiążący arbitraż dla skarg dotyczących stosowania się do DPF po wcześniejszym wyczerpaniu innych procedur rozstrzygania sporów.

W niektórych sytuacjach konieczne może być ujawnienie przez nas danych osobowych w odpowiedzi na prawnie uzasadnione żądania organów władzy publicznej, w tym w celu spełnienia wymogów bezpieczeństwa narodowego lub organów ścigania.

Firma Velocity będzie ponosić odpowiedzialność na mocy zasad, jeśli jej przedstawiciel przetworzy informacje osobowe w sposób niezgodny z zasadami, chyba że organizacja udowodni, że nie ponosi odpowiedzialności za stanowiące naruszenie zdarzenie.

Jeśli masz jakiekolwiek pytania odnośnie swoich praw i tego, jak z nich korzystać, prosimy skontaktować się z działem HR lub urzędnikiem ds. prywatności firmy Velocity na adres e-mail: privacy@velocityclinical.com.

Podmiot odpowiedzialny i inspektor ochrony danych
Za przetwarzanie danych odpowiada w imieniu wszystkich jednostek znajdujących się na terenach UE i UK Velocity Clinical Research Germany GmbH.
Velocity Clinical Research Germany GmbH
Rosa-Luxemburg-Str. 20
04103 Lipsk
Niemcy

Dodatkowo, z inspektorem ochrony danych Velocity Clinical można się skontaktować pod adresem:
fox-on Datenschutz GmbH,
Pollerhofstraße 33a, 51789 Lindlar, Niemcy.
Adres e-mail: dsb+vel@fox-on.com

1. Aktualizacje

Niniejsza informacja o polityce prywatności jest okresowo aktualizowana. Najbardziej aktualną wersję znajdziesz zawsze na naszym intranecie.

Numer wersji	Data aktualizacji	Podsumowanie aktualizacji
00	15 KWIETNIA 2024 R.	Oryginał

Powrót do góry

Tytuł dokumentu	Informacja o ochronie prywatności - Non HR - Informacje o ochronie danych dla partnerów biznesowych lub osób kontaktowych u naszych partnerów biznesowych
Dokument #	FORM GEN-002
Wersja #	00
Data wejścia w życie	15 kwietnia 2024 r.

Informacja o polityce prywatności dla partnerów biznesowych lub osób kontaktowych u naszych partnerów biznesowych

Cel przetwarzania danych

Przetwarzamy Twoje dane osobowe do następujących celów:

nawiązywanie kontaktu zawodowego i komunikacji;
utrzymywanie stosunków biznesowych i wdrażanie umów zawartych pomiędzy nami, a Twoim pracodawcą lub klientem.

Podstawa prawna

Przetwarzamy Twoje dane do celów wynikających z prawnie uzasadnionych interesów, jak stwierdzono powyżej (art. 6 ust. 1 litera f RODO). Są to wykonanie umowy i utrzymanie relacji biznesowych z Tobą lub Twoim pracodawcą/klientem. Jeśli będziemy przetwarzać dane osobowe w zakresie wykraczającym poza powyższe, będziemy to robić w oparciu o Twoją zgodę (art. 6 ust. 1 litera a RODO).

Kategorie i źródła danych osobowych

Przetwarzamy następujące informacje o Tobie: Imię i nazwisko, płeć, tytuł, firmowe dane kontaktowe, pozycja zawodowa, pracodawca, dane finansowe, informacje dotyczące wcześniejszej komunikacji. Jeśli dobrowolnie podałeś(-aś) nam także inne dane, możemy je także przechowywać. Jeśli sam nie przekazałeś(-aś) nam danych, otrzymaliśmy je od Twojego pracodawcy lub innego partnera biznesowego.

Odbiorcy

Kontrahentów zatrudnianych przez nas w celu świadczenia określonych usług wsparcia, np. dostawców usług informatycznych, konsultantów oraz księgowych z firm zewnętrznych lub pomoc prawną. Wszelkie powyższe podmioty są ściśle związane umowami o poufności, które zabraniają im wykorzystywania Twoich danych do celów innych, niż przydzielona im praca i ujawniania ich.
Jednostki biznesowe Velocity Clinical Research Dane te pozostają w obrębie grupy Velocity, ale mogą być przesyłane do Stanów Zjednoczonych, gdzie znajduje się główna siedziba Velocity. Wiele z naszych wspólnych usług korporacyjnych, takich jak zarządzanie zasobami ludzkimi, sektor finansowy i świadczenie usług IT znajduje się w Stanach Zjednoczonych, a więc dane pochodzące z UE są tym samym dostępne dla osób mieszkających w Stanach Zjednoczonych, które sprawują te funkcje. Dane będą przesyłane i ujawniane jedynie w stopniu koniecznym do spełnienia tego celu i zgodnie ze stosownymi przepisami prawa dotyczącymi ochrony danych. Firma Velocity stosuje się do ram ochrony danych UE-USA (EU-U.S. Data Privacy Framework; DPF) oraz rozszerzenia do DPF UE-USA Wielkiej Brytanii, jak zostały określone przez Departament Handlu USA. Firma Velocity zaświadczyła Departamentowi Handlu USA, że stosuje się do zasad określonych w DPF UE-USA w związku z przetwarzaniem danych osobowych pochodzących z Unii Europejskiej i Wielkiej Brytanii, opierając się na DPF UE-USA i rozszerzeniu do DPF UE-USA Wielkie Brytanii. W przypadku wystąpienia jakiejkolwiek sprzeczności pomiędzy niniejszą informacją o polityce prywatności, a zasadami DPF UE-USA, obowiązywać będą zasady. Aby dowiedzieć się więcej o programie DPF oraz aby zobaczyć naszą certyfikację, odwiedź https://www.dataprivacyframework.gov/
Klienci, w zakresie, w jakim potrzebować będą danych o pracownikach ośrodków, w których przeprowadzane są ich badania. Umowy z klientami obejmują także umowy o poufności, które zabraniają im wykorzystywania Twoich danych do celów innych, niż przydzielona im praca i ujawniania ich.

Źródło i kategorie danych

Przetwarzamy dane, którymi się z nami dzielisz. Możemy także otrzymywać Twoje dane od stron trzecich:

twojego pracodawcy, gdy mamy ze sobą relacje biznesowe.

Okresy przechowywania danych

Twoje prawa jako osoby, której dane dotyczą

Jako osoba, której dane dotyczą przysługują Ci następujące prawa, pod warunkiem, że spełnione zostały wymogi prawne:

Prawo do bycia poinformowanym, art. 15 RODO
Prawo do sprostowania danych, art. 16 RODO
Prawo do usunięcia danych, art. 17 RODO
Prawo do ograniczenia przetwarzania, art. 18 RODO
Prawo do przenoszenia danych, art. 20 RODO
Prawo do sprzeciwu, art. 21 RODO
Prawo do tego, by nie podlegać zautomatyzowanej decyzji, art. 22 RODO

Zgodnie z DPF UE-USA i rozszerzeniem do DPF UE-USA Wielkiej Brytanii, firma Velocity zobowiązuje się rozwiązać skargi związane z zasadami DPF UE-USA dotyczącymi gromadzenia i wykorzystywania przez nas Twoich danych osobowych. Mieszkańcy UE i WB, którzy mają pytania lub chcą zgłosić skargi w związku z przetwarzaniem przez nas otrzymanych w oparciu o DPF UE-USA i rozszerzenie do DPF UE-USA Wielkiej Brytanii danych osobowych, powinni najpierw skontaktować się z firmą Velocity, pisząc na adres e-mail:privacy@velocityclinical.com.

W niektórych przypadkach możesz wystąpić o wiążący arbitraż dla skarg dotyczących stosowania się do DPF po wcześniejszym wyczerpaniu innych procedur rozstrzygania sporów.

Dodatkowo, z inspektorem ochrony danych Velocity Clinical można się skontaktować pod adresem:
fox-on Datenschutz GmbH,
Pollerhofstraße 33a, 51789 Lindlar, Niemcy.
Adres e-mail: dsb+vel@fox-on.com

1. Aktualizacje

Niniejsza informacja o polityce prywatności jest okresowo aktualizowana. Najbardziej aktualną wersję znajdziesz zawsze na naszym intranecie.

Numer wersji	Data aktualizacji	Podsumowanie aktualizacji
00	15 KWIETNIA 2024 R.	Oryginał

Powrót do góry

Tytuł dokumentu	Informacja o ochronie prywatności - Baza danych rekrutacyjnych pacjentów niebędących pracownikami działu HR
Dokument #	FORM GEN-003
Wersja #	00
Data wejścia w życie	15 kwietnia 2024 r.

Informacja o polityce prywatności do rekrutacji pacjentów

Cel przetwarzania danych

Przetwarzamy Twoje dane osobowe do następujących celów:

budowania i utrzymywania bazy danej potencjalnych uczestników przyszłych badań;
informowania potencjalnych uczestników o badaniach, które mogą być dla nich odpowiednie.
informowanie potencjalnych uczestników o badaniach, które mogą być dla nich istotne

Podstawa prawna

Przetwarzamy Twoje dane osobowe za Twoją zgodą (art. 6 ust. 1 litera a RODO) i w celu wypełnienia prawnych i oficjalnych wymogów (art. 6 ust. 1 litera c RODO).

Kategorie danych osobowych

Przetwarzamy Twoje następujące dane: imię i nazwisko, adres, płeć, dane kontaktowe, data urodzenia, stan cywilny, dane zdrowotne.

Odbiorcy

Kontrahentów zatrudnianych przez nas w celu świadczenia określonych usług wsparcia, np. dostawców usług informatycznych, konsultantów oraz księgowych z firm zewnętrznych lub pomoc prawną. Wszelkie powyższe podmioty są ściśle związane umowami o poufności, które zabraniają im wykorzystywania Twoich danych do celów innych, niż przydzielona im praca i ujawniania ich.
Jednostki biznesowe Velocity Clinical Research Dane te pozostają w obrębie grupy Velocity, ale mogą być przesyłane do Stanów Zjednoczonych, gdzie znajduje się główna siedziba Velocity. Wiele z naszych wspólnych usług korporacyjnych, takich jak zarządzanie zasobami ludzkimi, sektor finansowy i świadczenie usług IT znajduje się w Stanach Zjednoczonych, a więc dane pochodzące z UE są tym samym dostępne dla osób mieszkających w Stanach Zjednoczonych, które sprawują te funkcje. Dane będą przesyłane i ujawniane jedynie w stopniu koniecznym do spełnienia tego celu i zgodnie ze stosownymi przepisami prawa dotyczącymi ochrony danych. Firma Velocity stosuje się do ram ochrony danych UE-USA (EU-U.S. Data Privacy Framework; DPF) oraz rozszerzenia do DPF UE-USA Wielkiej Brytanii, jak zostały określone przez Departament Handlu USA. Firma Velocity zaświadczyła Departamentowi Handlu USA, że stosuje się do zasad określonych w DPF UE-USA w związku z przetwarzaniem danych osobowych pochodzących z Unii Europejskiej i Wielkiej Brytanii, opierając się na DPF UE-USA i rozszerzeniu do DPF UE-USA Wielkie Brytanii. W przypadku wystąpienia jakiejkolwiek sprzeczności pomiędzy niniejszą informacją o polityce prywatności, a zasadami DPF UE-USA, obowiązywać będą zasady. Aby dowiedzieć się więcej o programie DPF oraz aby zobaczyć naszą certyfikację, odwiedź https://www.dataprivacyframework.gov/
Klienci, w zakresie, w jakim potrzebować będą danych o pracownikach ośrodków, w których przeprowadzane są ich badania. Umowy z klientami obejmują także umowy o poufności, które zabraniają im wykorzystywania Twoich danych do celów innych, niż przydzielona im praca i ujawniania ich.

Okresy przechowywania danych

Dane osobowe są przechowywane tak długo, jak jest to konieczne do celów wymienionych powyżej. Jeśli Twoje dane kontaktowe są przetwarzane w związku z fakturami, będziemy je przechowywać zgodnie z ustawowymi okresami przechowywania danych. Będziemy przechowywać Twoje dane jedynie tak długo, dopóki nie wycofasz swojej zgody. Gdy tylko wycofasz zgodę, usuniemy te dane z naszej bazy danej pacjentów.

Twoje prawa jako osoby, której dane dotyczą

Jako osoba, której dane dotyczą przysługują Ci następujące prawa, pod warunkiem, że spełnione zostały wymogi prawne:

Prawo do bycia poinformowanym, art. 15 RODO
Prawo do sprostowania danych, art. 16 RODO
Prawo do usunięcia danych, art. 17 RODO
Prawo do ograniczenia przetwarzania, art. 18 RODO
Prawo do przenoszenia danych, art. 20 RODO
Prawo do sprzeciwu, art. 21 RODO
Prawo do tego, by nie podlegać zautomatyzowanej decyzji, art. 22 RODO

Zgodnie z DPF UE-USA i rozszerzeniem do DPF UE-USA Wielkiej Brytanii, firma Velocity zobowiązuje się rozwiązać skargi związane z zasadami DPF UE-USA dotyczącymi gromadzenia i wykorzystywania przez nas Twoich danych osobowych. Mieszkańcy UE i WB, którzy mają pytania lub chcą zgłosić skargi w związku z przetwarzaniem przez nas otrzymanych w oparciu o DPF UE-USA i rozszerzenie do DPF UE-USA Wielkiej Brytanii danych osobowych, powinni najpierw skontaktować się z firmą Velocity, pisząc na adres e-mail:privacy@velocityclinical.com.

W niektórych przypadkach możesz wystąpić o wiążący arbitraż dla skarg dotyczących stosowania się do DPF po wcześniejszym wyczerpaniu innych procedur rozstrzygania sporów.

Dodatkowo, z inspektorem ochrony danych Velocity Clinical można się skontaktować pod adresem:
fox-on Datenschutz GmbH,
Pollerhofstraße 33a, 51789 Lindlar, Niemcy.
Adres e-mail: dsb+vel@fox-on.com

1. Aktualizacje

Niniejsza informacja o polityce prywatności jest okresowo aktualizowana. Najbardziej aktualną wersję znajdziesz zawsze na naszym intranecie.

Numer wersji	Data aktualizacji	Podsumowanie aktualizacji
00	15 KWIETNIA 2024 R.	Oryginał

Powrót do góry

Tytuł dokumentu	Informacja o ochronie prywatności na stronie internetowej UE/Wielka Brytania
Dokument #	FORM GEN-011
Wersja #	00
Data wejścia w życie	30 sierpnia 2024 r.

Polityka prywatności Velocity European Website

Informacja o ochronie prywatności
dla użytkowników strony velocityclinicaltrials.eu

Cel przetwarzania danych
Velocity Clinical Research to globalna sieć dedykowanych ośrodków badań klinicznych, które rekrutują pacjentów do badań klinicznych fazy 1-4 w imieniu firm biofarmaceutycznych i organizacji badawczych działających na zlecenie. W ramach rekrutacji pacjentów zachęcamy potencjalnych uczestników do odwiedzenia naszej strony internetowej w celu oceny ich kwalifikowalności na podstawie wymagań badania.

Nasza strona internetowa ma na celu powiadamianie o nadchodzących badaniach klinicznych, które odpowiadają Twoim zainteresowaniom i potrzebom.

Podstawa prawna
Przetwarzamy dane osobowe użytkownika za jego zgodą (art. 6 ust. 1 lit. a, art. 9 ust. 2 lit. a RODO), aby świadczyć usługi tej aplikacji (art. 6 ust. 1 lit. b RODO) oraz w oparciu o nasze uzasadnione interesy (art. 6 ust. 1 lit. f RODO) w celu analizowania zachowań w ruchu internetowym i marketingu.

Kategorie danych osobowych
Przetwarzamy dane osobowe podane przez użytkownika w formularzu zgłoszeniowym, a także przekazane nam za pośrednictwem zaakceptowanych przez użytkownika plików cookie. W celu świadczenia naszych usług obejmuje to dane dotyczące zdrowia oraz dane dotyczące rasy i pochodzenia etnicznego, które są uważane za dane wrażliwe zgodnie z art. 9 ust. 1 lit. a) RODO. 9 Abs. 1 RODO.

Odbiorca
Możemy udostępniać dane użytkownika innym odbiorcom w ramach Velocity Clinical Research Group. Ponadto korzystamy z usług dostawców, którzy zapewniają lub utrzymują naszą infrastrukturę IT (usługi IT/oprogramowanie, centra obsługi telefonicznej, dostawcy usług w chmurze) i wspierają nas w świadczeniu usług w ramach tej witryny internetowej. Tacy usługodawcy i/lub ich podwykonawcy/spółki macierzyste mogą znajdować się w krajach trzecich poza UE/EOG. W takich przypadkach wszystkie transfery opierają się na standardowych klauzulach umownych UE.

Velocity przestrzega Ram Prywatności Danych UE-USA (EU-U.S. DPF) i Rozszerzenia UK do EU-U.S. DPF, zgodnie z ustaleniami Departamentu Handlu USA. Velocity zaświadczyła Departamentowi Handlu USA, że przestrzega zasad ramowych ochrony prywatności danych UE-USA (zasady DPF UE-USA) w odniesieniu do przetwarzania danych osobowych otrzymanych z Unii Europejskiej i Wielkiej Brytanii w oparciu o DPF UE-USA i brytyjskie rozszerzenie DPF UE-USA. W przypadku sprzeczności między warunkami niniejszej informacji o ochronie prywatności a Zasadami DPF UE-USA, obowiązują Zasady. Aby dowiedzieć się więcej o programie Data Privacy Framework (DPF) i zapoznać się z naszą certyfikacją, odwiedź stronę https://www.dataprivacyframework.gov/.

WordPress
Wykorzystujemy WordPress do tworzenia stron internetowych, z siedzibą pod adresem 60 29th Street #343, San Francisco, CA 94110. Dane te nie są udostępniane stronom trzecim. Obowiązuje umowa o przetwarzaniu danych (DPA), zapewniająca zgodność z wymogami prawnymi. Więcej informacji można znaleźć na stronie: https://cookiedatabase.org/service/wordpress/

Complianz
Korzystamy z usług firmy Complianz, zlokalizowanej pod adresem Kalmarweg 14-5, 9723 JG Groningen, Holandia, w celu zarządzania zgodą na pliki cookie w naszych witrynach internetowych. Complianz uzyskuje dostęp wyłącznie do wybranych przez użytkownika ustawień dotyczących plików cookie i adresu IP. Wdrożono umowę o przetwarzaniu danych (DPA), która zapewnia zgodność z wymogami prawnymi.

Więcej informacji można znaleźć na stronie: https://complianz.io/

Czcionki Google
Korzystamy z usług Google Fonts do wyświetlania czcionek internetowych, zlokalizowanych pod adresem 1600 Amphitheatre Parkway w Mountain View, Kalifornia, Stany Zjednoczone, w celu wyświetlania czcionek na naszych stronach internetowych. W celu zapewnienia, że dane użytkownika są przetwarzane zgodnie ze wszystkimi wymogami prawnymi, została zawarta umowa o przetwarzaniu danych.

Więcej informacji można znaleźć na stronie: https://policies.google.com/privacy

YouTube

Korzystamy z serwisu YouTube do wyświetlania filmów, zlokalizowanego pod adresem 901 Cherry Ave, San Bruno, CA 94066, Stany Zjednoczone, w celu wyświetlania filmów na naszych stronach internetowych. W celu zapewnienia, że dane użytkownika są przetwarzane zgodnie ze wszystkimi wymogami prawnymi, została zawarta umowa o przetwarzaniu danych.

Więcej informacji można znaleźć na stronie: https://www.youtube.com/howyoutubeworks/our-commitments/protecting-user-data/

Okres przechowywania
Dane osobowe są przechowywane tak długo, jak jest to konieczne do wyżej wymienionych celów.

Prawa użytkownika jako osoby, której dane dotyczą
Jako osoba, której dane dotyczą, masz prawo do następujących praw, pod warunkiem spełnienia wymogów prawnych:

Prawo do bycia poinformowanym, art. 15 RODO
Prawo do sprostowania danych, art. 16 RODO
Prawo do usunięcia danych, art. 17 RODO
Prawo do ograniczenia przetwarzania, art. 18 RODO
Prawo do przenoszenia danych, art. 20 RODO
Prawo do sprzeciwu, art. 21 RODO

Ponieważ przetwarzanie odbywa się na podstawie zgody użytkownika, ma on prawo do cofnięcia zgody na przetwarzanie swoich danych w dowolnym momencie ze skutkiem na przyszłość. Należy pamiętać, że w takim przypadku nie będziemy już w stanie świadczyć użytkownikowi naszych usług.

W zakresie, w jakim przetwarzanie danych opiera się na ocenie uzasadnionych interesów, użytkownik ma prawo sprzeciwić się takiemu przetwarzaniu danych. Muszą istnieć ku temu uzasadnione powody wynikające z sytuacji użytkownika.

Użytkownik ma również prawo do złożenia skargi do organu nadzorczego ds. ochrony danych w związku z przetwarzaniem jego danych.

Zgodnie z DPF UE-USA i brytyjskim rozszerzeniem DPF UE-USA, Velocity zobowiązuje się do rozstrzygania skarg związanych z Zasadami DPF dotyczących gromadzenia i wykorzystywania przez nas danych osobowych użytkowników. Osoby fizyczne z UE i Wielkiej Brytanii, które mają pytania lub skargi dotyczące naszego postępowania z danymi osobowymi otrzymanymi w oparciu o DPF UE-USA i brytyjskie rozszerzenie DPF UE-USA, powinny najpierw skontaktować się z Velocity pod adresem: privacy@velocityclinical.com.

W niektórych przypadkach możesz wystąpić o wiążący arbitraż dla skarg dotyczących stosowania się do DPF po wcześniejszym wyczerpaniu innych procedur rozstrzygania sporów.

Velocity ponosi odpowiedzialność zgodnie z zasadami, jeżeli jej agent przetwarza takie dane osobowe w sposób niezgodny z zasadami, chyba że organizacja udowodni, że nie ponosi odpowiedzialności za zdarzenie powodujące szkodę.

Dostarczanie danych
Użytkownik musi podać nam dane osobowe niezbędne do wysyłania wiadomości z ankietami i oceny kwalifikowalności do udziału w badaniach. Możemy nie być w stanie zaoferować usług aplikacji bez posiadania tych obowiązkowych informacji.

Zautomatyzowane podejmowanie decyzji i profilowanie
Dane przekazane nam za pośrednictwem tego formularza są analizowane automatycznie i tworzą/aktualizują profil. Nie jest to jednak związane z podejmowaniem jakichkolwiek decyzji, które mają skutek prawny lub w podobny sposób znacząco wpływają na użytkownika, ponieważ ostateczne ustalenie kwalifikowalności pozostaje w wyłącznej gestii wyszkolonych specjalistów medycznych posiadających licencję w odpowiedniej jurysdykcji.

Podmiot odpowiedzialny
Za przetwarzanie danych odpowiedzialna jest firma Velocity Clinical Research Inc., 300 E. Main St., Suite 300, Durham, NC 27701, Stany Zjednoczone.
E-mail: privacy@velocityclinical.com
Telefon: 0800 032 1732

Powrót do góry

Velocity Privacy Policy (English)

Introduction

Data protection principles

Rights of the data subject

Data transfers

Data protection coordinator and Data Protection Officer

Privacy Notice for business partners or contact persons at our business partners

Privacy Notice for Employees

Privacy Notice for Patient Recruitment

Privacy Notice for users of the velocityclinicaltrials.eu website

Document Title	Velocity Privacy Policy
Document #	POL GEN-007
Revision #	00
Effective Date	15 Apr 2024

1. Introduction

Velocity Clinical Research Inc. ("we" or "our", “Velocity”) collects, stores, and processes Personal Data about individuals such as employees, suppliers, patients, and other third parties (“Data Subjects”) for a variety of purposes.

This policy outlines how we seek to protect such Personal Data. It helps ensure that we understand the principles governing the use of Personal Data. It also describes how we collect, handle and store Personal Data to meet our own data protection standards, and to comply with the EU General Data Protection Regulation 2016/679 (the "GDPR") and other related regulations and delegated national legislation (together "Data Protection Law").

Velocity complies with the EU-U.S. Data Privacy Framework (EU-U.S. DPF) and the UK Extension to the EU-U.S. DPF, as set forth by the U.S. Department of Commerce. Velocity has certified to the U.S. Department of Commerce that it adheres to the EU-U.S. Data Privacy Framework Principles (EU-U.S. DPF Principles) with regard to the processing of personal data received from the European Union and the United Kingdom in reliance on the EU-U.S. DPF and the UK Extension to the EU-U.S. DPF. If there is any conflict between the terms in this privacy policy and the EU-U.S. DPF Principles, the Principles shall govern. To learn more about the Data Privacy Framework (DPF) Program, and to view our certification, please visit https://www.dataprivacyframework.gov/

a. Scope

This policy applies to all Employees who handle the Personal Data of individuals for business purposes both inside and outside of Velocity.

b. Objective

Our objective is to protect the data subjects by obtaining, collecting, handling, and processing their Personal Data in accordance with applicable data protection law.

c. Consequences of breaching this policy

We take compliance with this policy and our obligations under Data Protection Law very seriously. A failure to do so may put our employees, others and Velocity as a whole at risk of non-compliance. Any breach of this policy may result in disciplinary action being taken, up to and including dismissal.

d. Related policies and procedures

This policy supplements our other related policies and procedures (which may be implemented or amended from time to time). They can be found stored within MasterControl, Velocity’s Quality Management System (QMS) document repository.

e. What is data protection and why is it important

All individuals have rights pertaining to the way in which their Personal Data are processed. The term "Data Protection" in this policy refers to the processing of Personal Data in such a manner as to provide and protect the corresponding rights to privacy which Data Subjects have and their legal protection surrounding Personal Data (according to applicable data protection law).

f. What are Personal Data

Personal Data means any data (or a combination of data) from which a living individual can be identified directly or indirectly. Personal Data can be factual, or it can be an opinion about an individual, their actions, and behavior.

Within Personal Data there is a sub-category: Special Categories of Personal Data. These are information related to a person's race or ethnicity, political opinions, religious, spiritual or philosophical beliefs, trade union membership, physical or mental health, sexual life, biometric data for the purpose of uniquely identifying a natural person, genetic data and data concerning a natural person's sex life or sexual orientation (according to data protection law, e.g. Art. 9 GDPR). There are even stricter conditions for processing Special Categories of Personal Data.

2. Data protection principles

There are several principles under data protection law which must be satisfied while processing Personal Data. In the following section you will find a description of how we aim to achieve compliance with these principles:

Accountability: We are responsible for ensuring and must be able to demonstrate that the key principles and rules of Data Protection Law are met.
Lawfulness, Fairness and Transparency: Personal Data may only be processed lawfully, fairly and in a transparent manner. This means we must inform Data Subjects on how and why we process their data (transparency) that the processing must match the description given to the Data Subjects (fairness) and that the processing uses one of the legal bases set forth in data protection law (lawfulness).
Purpose Limitation: We must specify exactly what the Personal Data we collect will be used for (prior to collecting them) and limit the processing of that Personal Data to only what is necessary to meet the specified purpose.
Data Minimization: The Personal Data we collect shall be adequate, relevant and limited only to what is necessary for the purposes for which they are processed.
Accuracy: We have processes in place to ensure that Personal Data is accurate and kept up to date.
Storage Limitation: Personal Data shall be kept in such a way which enables us to identify the Data Subject for no longer than is necessary for the purposes for which the Personal Data are processed.
Security/Integrity and Confidentiality: We use appropriate technical and organizational measures to protect the integrity and confidentiality of Personal Data, including protection against unauthorized or unlawful processing, and against accidental loss, destruction or damage.

a. Accountability

Monitoring

There are significant implications for Personal Data Breaches or non-compliance with our legal responsibilities under data protection law. It is our responsibility to process all Personal Data in accordance with our legal obligations and the principles of Data Protection.

If we do not meet the accountability requirements of data protection law, there is not only a risk of non-compliance, but also a significant risk to our reputation.

We assess compliance with this policy in two regards:

Compliance in relation to the protection of Personal Data in general
The effectiveness of Data Protection measures related to our operational practices

We do reviews on a regular basis and follow the rules of the PDAC Cycle (Plan-Do-Act-Check) for the control and continuous improvement of our processes. This is to establish that an adequate level of compliance is being achieved.

Personal data breach reporting

It is our responsibility to report a personal data breach to the appropriate supervisory authority within 72 hours, if required by law (this is counted from the time we became aware of the incident).

When it is suspected that a Personal Data Breach has taken place for which we are responsible (as Controllers) it must be investigated internally by the Data Protection Officer (DPO) and the incident response team. If the incident results in a risk for Data Subjects, it must be reported to the applicable supervisory authority within 72 hours of becoming aware of the incident.

Training

All Employees must complete Data Protection training relevant to their position.

The Human Resources team is responsible for ensuring that new employees are trained as part of onboarding, and all employees are retrained annually on Data Protection or whenever there is a substantial change in the law or our policy and procedure, whichever is more frequent. Velocity Quality is responsible for maintaining training records and storing the most up-to-date training materials and documents.

Responsibility

Each Employee who handles Personal Data has a responsibility to handle and process the Personal Data in line with this policy and applicable data protection law.

There are positions in Velocity with specific areas of responsibility:

Company Leadership is ultimately responsible for ensuring that we meet our legal obligations.
The Velocity Privacy Officer has overall responsibility for ensuring compliance with Data Protection Law.
The Privacy Team has overall responsibility for the day-to-day implementation of this policy and for:
- Reviewing all Data Protection procedures and policies on a regular basis
- Arranging Data Protection training and advice for all staff members and those included in this policy
- Responding to Data Subjects who wish to know which Personal Data are being held on them by us
- Checking and approving with third parties that handle our Personal Data and contracts or agreements regarding Processing
- Maintaining a Record of Processing Activities incl. regular reviews and approvals
The Head of Information Technology is responsible for:
- Ensuring that all systems, services and equipment used for storing data meet acceptable security standards
- Performing regular checks and scans to ensure security hardware and software is functioning properly
- Evaluating any third-party services Velocity is considering using to retain or process Personal Data

Overview over processing activities

Data protection law stipulates broad requirements regarding the documentation and proof of compliance with Data Protection obligations. A key element in this regard is the overview over processing activities as set forth in data protection law. We demonstrate data protection compliance through documentation in the Foxondo application[1].

“Privacy by design”

We seek to structure internal processes to have Data Protection principles embedded into every stage of processing activities. “Privacy by design” means that, both before and during any processing activity we carry out, we must implement appropriate technical and organizational measures to integrate safeguards into the processing. This is important to protect Data Subjects and meet the requirements of data protection law.

We always aim to implement appropriate technical and organizational measures both at the time of determination of the means for processing and at the time of the processing itself to ensure the principle of Data Minimization is met.

To ensure that all Data Protection requirements are identified and addressed when designing new systems or processes and/or when reviewing or expanding existing systems or processes, a pre–Data Protection Impact Assessment (DPIA) check must be completed before starting a project (a preliminary, shorter Data Protection Impact Assessment). Depending on the outcome, a full DPIA might be legally required.

b. Lawfulness, fairness and transparency

We are responsible for understanding the context in which the Personal Data processing occurs as part of our day-to-day operations. We want to ensure that this is done fairly and in line with the law, and that we can clearly describe this to Data Subjects. We will always process Personal Data lawfully, fairly, and transparently in accordance with the Data Subject's rights.

Our third-party suppliers/contractors that process Personal Data on our behalf also have obligations of data protection. As such, we are legally required to:

only engage the services of third-party suppliers/contractors who can demonstrate compliance with data privacy law, e.g. GDPR;
put in place prescribed contractual arrangements with third party suppliers/contractors which meet the requirements of data privacy law, e.g. GDPR; and
demonstrate to the data protection authorities that we have complied with these legal obligations.

Personal data collection and notification

We may only collect Personal Data where it is necessary for lawful purposes or explicitly allowed. We will only collect Personal Data from Data Subjects if one of the following statements applies:

We are required to do so by an obligation imposed on us by law, e.g. EU or applicable local law.
The processing is necessary to do so for business purposes and for our organization to enter into or perform its contractual obligations with Data Subjects.
The processing is in our (reasonable) legitimate interests and the data subjects do not have more important conflicting interests.
The individuals consented. This consent needs to be freely given and to be gathered according to applicable data protection law, e.g. Art. 7 GDPR.
The data processing is in the vital interest of the data subject or another person.

When we collect personal data, we provide Data Subjects with information regarding the processing of their personal data free of charge in a concise, transparent, intelligible and easily accessible form, using clear and plain language. This includes information on third parties to which their personal data is disclosed to and the purpose for which this happens.

As far as Personal Data will be transferred from GDPR territory to the USA within the Velocity Group, this will include information that

Velocity is subject to the investigatory and enforcement powers of the US Federal Trade Commission (FTC);
Velocity is obliged to arbitrate claims and follow the terms as set forth in Annex I of the DPF Principles, provided that an individual has invoked binding arbitration by delivering notice to your organization and following the procedures and subject to conditions set forth in Annex I of Principles;
Velocity is required to disclose personal information in response to lawful by public authorities, including to meet international security or law enforcement requirements;
Velocity is liable in cases of onward transfers to third parties;

c. Purpose limitation: Processing for limited purposes

Personal Data collected for one purpose may not usually be used for a different purpose. We aim to only process Personal Data for purposes specifically permitted under data protection law. We inform the Data Subjects of those purposes.

d. Data minimization: Adequate, relevant, and non-excessive processing

Every processing should only use as much Personal Data as is required to successfully accomplish a particular purpose. We will always seek to collect Personal Data to the extent that it is required for the specific purpose notified to the Data Subject, and do not collect Personal Data which we do not need.

e. Accuracy: Ensuring that personal data is accurate

We aim to ensure that our systems and processes for identifying inaccurate information are robust and to act quickly to update or erase any inaccurate Personal Data. We endeavor to ensure that the Personal Data we hold is accurate and kept up to date. The Data Subjects may ask that we correct inaccurate Personal Data relating to them.

f. Storage limitation: Timely processing and data retention

We aim to not keep the Personal Data of Data Subjects for any longer than is necessary in accordance with applicable law. We take all required steps to destroy or erase all Personal Data from our systems (electronic/paper-based) which is no longer required.

All employees must ensure that they are familiar with the deletion concept/retention policy.

g. Security/integrity and confidentiality: Security of personal data

We should always make sure that all Personal Data held by us are subject to a level of security that is appropriate for the potential risk. We take appropriate security measures against unlawful and unauthorized processing of Personal Data, and against the accidental loss of, or damage to, Personal Data in line with our Information Security policy. Security procedures include (but are not limited to):

Entry controls – Visitors cannot access facilities without assistance from employees and are not permitted in locations where personal data are stored unless escorted.
Secure lockable desks and cupboards – desks and cupboards are kept locked if they hold confidential information of any kind. (Personal information is always considered confidential.)
Access controls – Data stored on a computer is protected by strong passwords and identification technologies.
Retention location controls – Data is never saved directly to mobile devices such as laptops, tablets, or smartphones (but to centralized servers).
Methods of disposal – paper documents are disposed of in locked boxes and shredded by a licensed and bonded shredding service. Digital storage devices are wiped using a full data overwrite or physically destroyed when they are no longer required.
Equipment – data users ensure that individual monitors do not show confidential information to passers-by and that they log off from or lock their PC when it is left unattended.

3. Rights of the data subject

We must deal with any requests from Data Subjects exercising their rights without undue delay, and within one month of receipt. It may only take longer if exceptional circumstances are in place.

Data subjects have the following rights:

Right to information
Right to rectification (data correction)
Right to deletion
Right to restriction of processing
Right to data portability
Right to object
Right not to be subject to a purely automated decision with negative effects

Data Subjects also have the right to lodge a complaint with the Data Protection supervisory authority about how we process their Personal Data.

In compliance with the EU-U.S. DPF and the UK Extension to the EU-U.S. DPF, Velocity commits to cooperate and comply respectively with the advice of the panel established by the EU data protection authorities (DPAs) and the UK Information Commissioner’s Office (ICO) with regard to unresolved complaints concerning our handling of personal data received in reliance on the EU-U.S. DPF and the UK Extension to the EU-U.S. DPF.

4. Data transfers

We sometimes transfer Personal Data to other entities. These entities can be subsidiary companies within our group but also other companies who process data on behalf of our company or provide the IT systems and services our users employ to process data.

Velocity will always ensure that these transfers are based on a legal basis. Where necessary for data transfers from the EU, Velocity will have in place Standard Contractual Clauses.

If we engage companies to process data on our behalf, we will cooperate only with processors who fulfil our requirements of providing appropriate technical and organizational measures which meet our standards and the requirements of data protection law. Before personal data is processed, data processing agreements will be in signed to bind the processor accordingly.

5. Velocity Privacy Officer and Data Protection Officer

The Velocity Privacy Officer helps facilitate our compliance with data protection law and acts as a point of contact for day-to-day issues and questions on data protection for both employees and the Data Protection Officer. The Velocity Privacy Officer has overall responsibility for managing the roll out of the various data protection law project work streams and the day-to-day implementation of this policy. These are her contact details:

Velocity Privacy Officer: Brandi Lang - privacy@velocityclinical.com.

The Data Protection Coordinator is the main contact point for our Data Protection Officer, whose contact details are the following:

Data Protection Officer: Alef Völkner and her team - tel. +49 22 66 - 90 15 920, DSB@fox-on.com.

In compliance with the EU-U.S. DPF and the UK Extension to the EU-U.S. DPF, Velocity commits to resolve DPF Principles-related complaints about our collection and use of your personal information. EU and UK individuals with inquiries or complaints regarding our handling of personal data received in reliance on the EU-U.S. DPF and the UK Extension to the EU-U.S. DPF, should first contact Velocity at the above mentioned contact details.

The data protection officer is involved, properly and in a timely manner, in all issues which relate to the protection of personal data. The data protection officer reports directly to the highest management level.

6. Revision History

Version Number	Revision Date	Revision Summary
00	NA	Original

7. Glossary of Terms

Term	Meaning
Employee(s)	All those employed or engaged in any capacity by Velocity. For the purposes of this policy, the word Employees extends to include the following categories: Board Members, Employees (full time, fixed term, part time and temporary), Contract workers, applicants and pensioners.
Controller	A Controller is a person or organization that determines the purposes for which, and the manner in which, any Personal Data are processed, establishing practices and implementing policies in line with applicable data protection law.
Data Protection	This term refers to the relationship between the processing of Personal Data, the associated expectations of privacy and the legal protection surrounding them.
Data Subject	The individual to whom Personal Data relates such as an employee, client, contact person with a business partner, etc.
Data Protection Authority	The Data Protection Commission is the supervisory authority/regulator responsible for enforcing Data Protection Law and upholding the data protection and privacy rights of Data Subjects in relation to the Processing of their Personal Data.
Personal Data	Personal Data means any information (or a combination of information) from which a living person can be directly or indirectly identified as well as information containing statements about a person (e.g., Name, salary information, marital status, sick leave dates)
Personal Data Breach	This is a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data. This includes breaches that are the result of both accidental and deliberate causes.
Processing	Processing is any activity which involves the use of Personal Data. It includes i.e. obtaining, recording or holding Personal Data, or carrying out any operation or set of operations on Personal Data including organizing, amending, retrieving, using, disclosing, erasing or destroying data. Processing also includes sharing or transferring Personal Data to third parties and accessing of Personal Data held by a Controller or Processor.
Processor	A Processor is any organization or external person that processes Personal Data on behalf of and/or on instruction of a Controller.
Special Categories of Personal Data	As defined in data protection law, e.g. Art. 9 GDPR: Personal Data that are related to an individual's racial or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership, physical or mental health or sexual life/orientation, biometric data for the purpose of uniquely identifying a natural person and/or genetic data.

Document Title	Privacy Notice - HR -- Employee
Document #	FORM GEN-001
Revision #	00
Effective Date	15 Apr 2024

Privacy Notice for Employees

This document informs you about the processing of your personal data by your employer, Velocity Clinical Research. Velocity Clinical Research is the Data Controller of your personal data.

Purposes of the data processing, personal data and legal basis

We process your personal data solely for employment (onboarding, throughout employment, and during termination) related to your role and function in our company and for our legitimate business interests. These include:

Purpose	Personal data categories	Legal basis
Personnel management (e.g. maintenance of employee files), onboarding, external communication	Basic employee data (e.g. name, gender, nationality, private address and contact information, employee number and IDs, position, information on work equipment, contract data, social security number, work permits, insurance data)	Performance of (temporary or permanent) employment contract (e.g. in Germany: Sec. 26 (1) of the Federal Data Protection Act or Art. 6 (1) (b) GDPR)
Quality management and tracking of personnel actions	Basic employee data, information on specific actions (e.g. participation in internal processes, actions taken in clinical studies, shift planning)	Performance of employment contract (e.g. in Germany: Sec. 26 (1) of the Federal Data Protection Act or or Art. 6 (1) (b) GDPR); legitimate interests of keeping high quality standards in the company (in the EU: Art. 6 (1) (f) GDPR)
Payments and accounting (including payroll accounting, payment of wages and salaries, financial accounting, tax withholdings, personnel cost planning and budgeting)	Basic employee data, payment data (e.g. salary and payments, loans and advances, bonuses, national insurance number, banking data, travel expense data)	Performance of employment contract (e.g. in Germany: Sec. 26 (1) of the Federal Data Protection Act or Art. 6 (1) (b) GDPR)
Pensions management	Name, contract data (e.g. on termination of employment, position), pension and social security data (e.g. salary, special payments, absences).	Fulfilment of legal duties (in the EU: Art. 6 (1) (c) GDPR).
Employee time management (including organization of absences, planning and recording of working hours and vacation time, parental leaves)	Basic employee data and time management data (e.g. working hours, holiday and other absences, parental leave, sick leave, family medical leave)	Performance of employment contract (e.g. in Germany: Sec. 26 (1) of the Federal Data Protection Act)
Performance reviews, internal talent management	Basic employee data and performance data (e.g. training data, performance reviews, metrics, roles, supervisor name)	Performance of employment contract (e.g. in Germany: Sec. 26 (1) of the Federal Data Protection Act); internal talent acquisition is based on legitimate interests to keeping high quality standards in the workforce
Training and development	Basic employee data and training data (e.g. training events, training history, skills assessment results)	Performance of employment contract (e.g. in Germany: Sec. 26 (1) of the Federal Data Protection Act)
Recording work incapacity	Basic employee data and incapacity data (e.g. on work accidents, examinations, emergency contact information)	Fulfilment of employment-related duties (e.g. in Germany: Sec. 26 (3) of the Federal Data Protection Act)
IT security and improvement	Name, technical data (e.g. employee ID, laptop ID and configuration, laptop security alerts, login data)	Legitimate interests in keeping the IT infrastructure secure (e.g. in the EU: Art. 6 (1) (f) GDPR)
Legal claims and disputes management	Name, claims-related information (e.g. information on disciplinary actions, breaches, warnings)	Legitimate interests (in the EU: Art. 6 (1) (f) GDPR, or in case of special categories of personal data: Art. 9 (2) (f) GDPR

In limited cases, we will rely on your consent, e.g. for publication of your photo or keeping lists on anniversaries and birthdays (in the EU: Art. 6 (1) (a) GDPR).

Recipients

We only transfer data to third parties if this is necessary or if there is a legal basis. Categories of third parties that may receive or be able to access your data include:

Contractors we hire for specific support services, such as IT service providers, consultants, and external accounting or legal support. All such entities are strictly bound by confidentiality agreements not to use your data for any purpose other than the work we assign to them, and to keep your data private.
Other Velocity Clinical Research business entities. This data remains within the Velocity group, but may involve international data transfer to the USA, where the Velocity headquarter is located. Many of our corporate shared services, such as HR, finance, and IT service provision are located in the USA, and EU employee data will therefore be accessible to individuals residing in the USA who are part of those functions. Data will only be transferred or disclosed to the extent necessary for this purpose and in compliance with the relevant data protection regulations. Velocity complies with the EU-U.S. Data Privacy Framework (EU-U.S. DPF) and the UK Extension to the EU-U.S. DPF, as set forth by the U.S. Department of Commerce. Velocity has certified to the U.S. Department of Commerce that it adheres to the EU-U.S. Data Privacy Framework Principles (EU-U.S. DPF Principles) with regard to the processing of personal data received from the European Union and the United Kingdom in reliance on the EU-U.S. DPF and the UK Extension to the EU-U.S. DPF. If there is any conflict between the terms in this privacy notice and the EU-U.S. DPF Principles, the Principles shall govern. To learn more about the Data Privacy Framework (DPF) Program, and to view our certification, please visit https://www.dataprivacyframework.gov/
Clients, to the extent that they may need data about staff at sites where their trials are operating. Contracts with clients also include confidentiality agreements requiring them not to use your data for any purpose other than the work we assign to them, and to keep your data private.

Source and categories of data

We process the data you provide us. We may also receive data about you from third parties:

Via the tax office: wage tax-relevant data (such as: marital status, child allowances)
Via your health insurance company (electronic certificate of incapacity for work, if applicable, information on children's sick pay or maternity protection)
Courts/creditors (in the case of garnishments or legal inquiries)

Retention periods

The data we collect about you will be deleted as soon as it is no longer required for the performance of the employment relationship, or the employment relationship has been terminated and there are no statutory retention periods to the contrary. Retention periods result from tax law, labour law and social security law regulations and generally extend up to 10 years.

Provision of data

You must provide us with the personal data that is necessary for us to be able to perform the contract with you and which we are legally obliged to collect. Without providing this mandatory information, we may not be able to enter into or maintain an employment relationship with you.

Your rights as a data subject

As a data subject you are entitled to the following rights, provided that the legal requirements are fulfilled:

Right to be informed, Art. 15 GDPR

Right to rectification, Art. 16 GDPR
Right to erasure, Art. 17 GDPR
Right to restriction of processing, Art. 18 GDPR
Right to data portability, Art. 20 GDPR
Right to object, Art. 21 GDPR
Right not to be subject to an automated decision, Art. 22 GDPR

If the processing is based on your consent, you have the right to revoke this consent to process the data at any time with effect for the future. Insofar as the data processing is based on legitimate interests, you have the right to object to this processing of the data. For this, there must be legitimate reasons arising from your particular situation. You also have the right to lodge a complaint with the data protection supervisory authority regarding the data processing.

Velocity is subject to the investigatory and enforcement powers of the U.S. Federal Trade Commission (FTC) regarding personal data received or transferred pursuant to DPF.

Under certain circumstances, you may invoke binding arbitration for complaints regarding DPF compliance when other dispute resolution procedures have been exhausted.

In certain situations, we may be required to disclose personal data in response to lawful requests by public authorities, including to meet national security or law enforcement requirements.

Velocity shall remain liable under the Principles if its agent processes such personal information in a manner inconsistent with the Principles, unless the organization proves that it is not responsible for the event giving rise to the damage.

If you have any questions about your rights and how to exercise them, please contact Human Resources or Velocity Clinical’s Privacy Officer at privacy@velocityclinical.com.

Responsible entity and the data protection officer
Velocity Clinical Research Germany GmbH on behalf of all EU/UK entities is responsible for this data processing.
Velocity Clinical Research Germany GmbH
Rosa-Luxemburg-Str. 20
04103 Leipzig
Germany

Additionally, the Velocity Clinical Data Protection Officer can be contacted at:
fox-on Datenschutz GmbH,
Pollerhofstraße 33a, 51789 Lindlar, Germany.
Email address: dsb+vel@fox-on.com

1. Revision History

This data protection notice is updated from time to time. You will always find the latest version on our intranet.

Version Number	Revision Date	Revision Summary
00	15 APR 2024	Original

Document Title	Privacy Notice - Non HR - Data protection information for business partners or contact persons at our business partners
Document #	FORM GEN-002
Revision #	00
Effective Date	15 Apr 2024

Privacy Notice for business partners or contact persons at our business partners

Purpose of the data processing

We process your personal data for the following purposes:

Establishment of professional contact and communication
Maintaining business relations and implementing contracts between us and your employer or client

Legal basis

We process your data for our legitimate interests as stated above (Art. 6 Para. 1 Letter f GDPR). These are the performance of the contract and the maintenance of the business relationship with you or your employer/client. Insofar as we process personal data beyond this, this is based on your consent (Art. 6 Para. 1 Letter a GDPR).

Categories and sources of personal data

We process the following information about you: Name, gender, title, professional contact data, professional position, employer, financial data, information on previous communication. If you have voluntarily provided us with additional data, we may also have stored this data. If you have not provided us with your data yourself, we have received it from your employer or another business partner.

Recipients

We only transfer data to third parties if this is necessary or if there is a legal basis. Categories of third parties that may receive or be able to access your data include:

Contractors we hire for specific support services, such as IT service providers, consultants, and external accounting or legal support. All such entities are strictly bound by confidentiality agreements not to use your data for any purpose other than the work we assign to them, and to keep your data private.
Other Velocity Clinical Research business entities. This data remains within the Velocity group, but may involve international data transfer to the USA, where the Velocity headquarter is located. Many of our corporate shared services, such as HR, finance, and IT service provision are located in the USA, and EU data will therefore be accessible to individuals residing in the USA who are part of those functions. Data will only be transferred or disclosed to the extent necessary for this purpose and in compliance with the relevant data protection regulations. Velocity complies with the EU-U.S. Data Privacy Framework (EU-U.S. DPF) and the UK Extension to the EU-U.S. DPF, as set forth by the U.S. Department of Commerce. Velocity has certified to the U.S. Department of Commerce that it adheres to the EU-U.S. Data Privacy Framework Principles (EU-U.S. DPF Principles) with regard to the processing of personal data received from the European Union and the United Kingdom in reliance on the EU-U.S. DPF and the UK Extension to the EU-U.S. DPF. If there is any conflict between the terms in this privacy notice and the EU-U.S. DPF Principles, the Principles shall govern. To learn more about the Data Privacy Framework (DPF) Program, and to view our certification, please visit https://www.dataprivacyframework.gov/
Clients, to the extent that they may need data about staff at sites where their trials are operating. Contracts with clients also include confidentiality agreements requiring them not to use your data for any purpose other than the work we assign to them, and to keep your data private.

Source and categories of data

We process the data you provide us. We may also receive data about you from third parties:

Your employer when we are in business contact.

Retention periods

Your rights as a data subject

As a data subject you are entitled to the following rights, provided that the legal requirements are fulfilled:

Right to be informed, Art. 15 GDPR
Right to rectification, Art. 16 GDPR
Right to erasure, Art. 17 GDPR
Right to restriction of processing, Art. 18 GDPR
Right to data portability, Art. 20 GDPR
Right to object, Art. 21 GDPR
Right not to be subject to an automated decision, Art. 22 GDPR

Velocity is subject to the investigatory and enforcement powers of the U.S. Federal Trade Commission (FTC) regarding personal data received or transferred pursuant to DPF.

Under certain circumstances, you may invoke binding arbitration for complaints regarding DPF compliance when other dispute resolution procedures have been exhausted.

In certain situations, we may be required to disclose personal data in response to lawful requests by public authorities, including to meet national security or law enforcement requirements.

Additionally, the Velocity Clinical Data Protection Officer can be contacted at:
fox-on Datenschutz GmbH,
Pollerhofstraße 33a, 51789 Lindlar, Germany.
Email address: dsb+vel@fox-on.com

1. Revision History

This data protection notice is updated from time to time. You will always find the latest version on our intranet.

Version Number	Revision Date	Revision Summary
00	15 APR 2024	Original

Document Title	Privacy Notice - Non HR -- Patients Recruitment Database
Document #	FORM GEN-003
Revision #	00
Effective Date	15 Apr 2024

Privacy Notice for Patient Recruitment

Purpose of the data processing

We process your personal data for the following purposes:

building up and maintaining a database of potential participants for future studies
information of potential participants about studies that might be relevant for them

Legal basis

We process your personal data with your consent (Art. 6 para. 1 letter a GDPR) and to comply with legal and official requirements (Art. 6 para. 1 letter c GDPR).

Categories of personal data

We process the following data about you: Name, address, gender, contact data, date of birth, marital status, health data.

Recipients

We only transfer data to third parties if this is necessary or if there is a legal basis. Categories of third parties that may receive or be able to access your data include:

Contractors we hire for specific support services, such as IT service providers, consultants, and external accounting or legal support. All such entities are strictly bound by confidentiality agreements not to use your data for any purpose other than the work we assign to them, and to keep your data private.
Other Velocity Clinical Research business entities. This data remains within the Velocity group, but may involve international data transfer to the USA, where the Velocity headquarter is located. Many of our corporate shared services, such as HR, finance, and IT service provision are located in the USA, and EU data will therefore be accessible to individuals residing in the USA who are part of those functions. Data will only be transferred or disclosed to the extent necessary for this purpose and in compliance with the relevant data protection regulations. Velocity complies with the EU-U.S. Data Privacy Framework (EU-U.S. DPF) and the UK Extension to the EU-U.S. DPF, as set forth by the U.S. Department of Commerce. Velocity has certified to the U.S. Department of Commerce that it adheres to the EU-U.S. Data Privacy Framework Principles (EU-U.S. DPF Principles) with regard to the processing of personal data received from the European Union and the United Kingdom in reliance on the EU-U.S. DPF and the UK Extension to the EU-U.S. DPF. If there is any conflict between the terms in this privacy notice and the EU-U.S. DPF Principles, the Principles shall govern. To learn more about the Data Privacy Framework (DPF) Program, and to view our certification, please visit https://www.dataprivacyframework.gov/
Clients, to the extent that they may need data about staff at sites where their trials are operating. Contracts with clients also include confidentiality agreements requiring them not to use your data for any purpose other than the work we assign to them, and to keep your data private.

Retention periods

The personal data are stored for as long as they are necessary for the above-mentioned purposes. If your contact details are processed in connection with invoices, we will store them in accordance with the statutory retention periods. We will only store your data for as long as you do not revoke your consent. As soon as you withdraw your consent, we will delete this data from our patient database.

Your rights as a data subject

As a data subject you are entitled to the following rights, provided that the legal requirements are fulfilled:

Right to be informed, Art. 15 GDPR
Right to rectification, Art. 16 GDPR
Right to erasure, Art. 17 GDPR
Right to restriction of processing, Art. 18 GDPR
Right to data portability, Art. 20 GDPR
Right to object, Art. 21 GDPR
Right not to be subject to an automated decision, Art. 22 GDPR

Velocity is subject to the investigatory and enforcement powers of the U.S. Federal Trade Commission (FTC) regarding personal data received or transferred pursuant to DPF.

Under certain circumstances, you may invoke binding arbitration for complaints regarding DPF compliance when other dispute resolution procedures have been exhausted.

In certain situations, we may be required to disclose personal data in response to lawful requests by public authorities, including to meet national security or law enforcement requirements.

Responsible entity and the data protection officer
Velocity Clinical Research Germany GmbH on behalf of all EU/UK entities responsible for this data processing.
Velocity Clinical Research Germany GmbH
Rosa-Luxemburg-Str. 20
04103 Leipzig
Germany

Additionally, the Velocity Clinical Data Protection Officer can be contacted at:
fox-on Datenschutz GmbH,
Pollerhofstraße 33a, 51789 Lindlar, Germany.
Email address: dsb+vel@fox-on.com

1. Revision History

This data protection notice is updated from time to time. You will always find the latest version on our intranet.

Version Number	Revision Date	Revision Summary
00	15 APR 2024	Original

Document Title	EU/UK Website Privacy Notice
Document #	FORM GEN-011
Revision #	00
Effective Date	30 Aug 2024

Privacy Notice Velocity European Website

Privacy Notice
for users of the velocityclinicaltrials.eu website

Purpose of the data processing
Velocity Clinical Research is a global network of dedicated clinical research sites that recruit patients for phase 1-4 clinical trials on behalf of biopharmaceutical companies and contract research organisations. As part of the recruitment of patients, we encourage potential participants to visit our website to assess their eligibility based on study requirements.

Our website aims to alert you of upcoming clinical trials that fit your interests and needs.

Legal basis
We process your personal data with your consent (Artt. 6 para. 1 letter a, 9 para. 2 letter a GDPR), to provide you the services of this app (Art. 6 para. 1 letter b GDPR) and based on our legitimate interests (Art. 6 para. 1 letter f GDPR) to analyse web traffic behaviour and marketing.

Categories of personal data
We process the personal data you provide in the submission form, as well as provided to us via cookies that have been accepted by you. To provide our services this includes health data and data regarding race and ethnicity which is considered sensitive data under Art. 9 Abs. 1 GDPR.

Recipient
We may share your data with other recipients within the Velocity Clinical Research Group. Furthermore, we use service providers who provide or maintain our IT infrastructure (IT service/software, call centers, Cloud-service providers) and support us in delivering the services of this website. These service providers and/or their sub-contractors/parent companies can be located in Third Countries outside the EU/EEA. In these cases, all transfers are based on EU standard contractual clauses.

Velocity complies with the EU-U.S. Data Privacy Framework (EU-U.S. DPF) and the UK Extension to the EU-U.S. DPF, as set forth by the U.S. Department of Commerce. Velocity has certified to the U.S. Department of Commerce that it adheres to the EU-U.S. Data Privacy Framework Principles (EU-U.S. DPF Principles) with regard to the processing of personal data received from the European Union and the United Kingdom in reliance on the EU-U.S. DPF and the UK Extension to the EU-U.S. DPF. If there is any conflict between the terms in this privacy notice and the EU-U.S. DPF Principles, the Principles shall govern. To learn more about the Data Privacy Framework (DPF) Programme, and to view our certification, please visit https://www.dataprivacyframework.gov/

WordPress
We utilize WordPress for website development, located at 60 29th Street #343, San Francisco, CA 94110. This data is not shared with third parties. A Data Processing Agreement (DPA) is in place, ensuring compliance with legal requirements. For more details, visit: https://cookiedatabase.org/service/wordpress/

Complianz
We utilize Complianz for cookie consent management, located at Kalmarweg 14-5, 9723 JG Groningen, Netherlands, for cookie consent management on our web properties. Complianz accesses only your cookie compliance selections and IP address. A Data Processing Agreement (DPA) is in place, ensuring compliance with legal requirements.

For more information, visit: https://complianz.io/

Google Fonts
We utilise Google Fonts for display of webfonts, located at 1600 Amphitheatre Parkway in Mountain View, California, United States, to display fonts on our web properties. There is a Data Processing Agreement in place to make sure your data is processed according to all legal requirements.

For more information, visit: https://policies.google.com/privacy

YouTube

We utilise YouTube for display of videos, located at 901 Cherry Ave, San Bruno, CA 94066, United States, to display videos on our web properties. There is a Data Processing Agreement in place to make sure your data is processed according to all legal requirements.

For more information, visit: https://www.youtube.com/howyoutubeworks/our-commitments/protecting-user-data/

Storage period
Personal data is stored for as long as necessary for the above-mentioned purposes.

Your rights as a data subject
As a data subject you are entitled to the following rights, provided that the legal requirements are fulfilled:

Right to be informed, Art. 15 GDPR
Right to rectification, Art. 16 GDPR
Right to erasure, Art. 17 GDPR
Right to restriction of processing, Art. 18 GDPR
Right to data portability, Art. 20 GDPR
Right to object, Art. 21 GDPR

As the processing is based on your consent, you have the right to revoke consent to processing of your data at any time with future effect. Please be aware that in this case we are no longer able to provide you, our services.

Insofar as the data processing is based on an assessment of the legitimate interests, you have the right to object to this processing of the data. There must be justified reasons for this, which result from your situation.

You also have the right to lodge a complaint with the data protection supervisory authority about the processing of your data.

In compliance with the EU-U.S. DPF and the UK Extension to the EU-U.S. DPF, Velocity commits to resolve DPF Principles-related complaints about our collection and use of your personal information. EU and UK individuals with enquiries or complaints regarding our handling of personal data received in reliance on the EU-U.S. DPF and the UK Extension to the EU-U.S. DPF, should first contact Velocity at: privacy@velocityclinical.com.

Velocity is subject to the investigatory and enforcement powers of the U.S. Federal Trade Commission (FTC) regarding personal data received or transferred pursuant to DPF.

Under certain circumstances, you may invoke binding arbitration for complaints regarding DPF compliance when other dispute resolution procedures have been exhausted.

In certain situations, we may be required to disclose personal data in response to lawful requests by public authorities, including to meet national security or law enforcement requirements.

Velocity shall remain liable under the principles if its agent processes such personal information in a manner inconsistent with the principles, unless the organization proves that it is not responsible for the event giving rise to the damage.

Provision of data
You must provide us with the personal information necessary for us to send survey communications and to evaluate the eligibility for the studies. We may not be able to offer you the application’s services without having this mandatory information.

Automated decision making and profiling
The data you provide us via this form is analysed automatically and creates/updates a profile. However, this is not associated with any decision-making that has legal effect or significantly affects you in a similar way, as any final determination of eligibility is left to the sole professional discretion of trained medical professionals licenced in the applicable jurisdiction.

Responsible party
Velocity Clinical Research Inc., 300 E. Main St., Suite 300, Durham, NC 27701, United States is responsible for this data processing.
Email: privacy@velocityclinical.com
Phone: 0800 032 1732