Videosurveillance and Access Control

Grifols is a global healthcare group founded in Barcelona in 1909 committed to improving the health and well-being of people around the world. Its three main business units – Biopharma, Diagnostic and Bio Supplies – develop, produce and market innovative solutions and services in more than 100 countries.

Grifols respects the privacy rights of all data subjects who entrust Grifols with their personal data and is committed to complying with the data protection regulations applicable in each country.

This privacy notice has been prepared in accordance with the European Union General Data Protection Regulation (the "GDPR") and applicable privacy and data protection laws; see Section 8 for specific provisions. It outlines Grifols' data collection practices and the data subjects’ rights in the context of Grifols collection, use and sharing of their personal data.

1. Identification of the data controller(s)/owner(s) of the personal data

The data controller/owner is the Grifols' group company responsible of guaranteeing the access and security of the premises, assets and individuals.

The identity and contact details of the Grifols' group companies are available here. The Grifols' group company/ies acting as controller/s will be referred to as "Grifols". 

2. Identification of the data protection officer

The data protection officer acts as an interlocutor between Grifols and you in order to ensure Grifols’ compliance with the data protection legislation and best protect your rights under such legislation. You may contact the data protection officer at dpo@grifols.com, unless the data controllers are Grifols Deutschland GmbH or Haema AG, in which case you may contact the data protection officer of each of these companies at dsb@grifols.com and dsb@haema.de, respectively.

3. Purposes and legal basis for processing
Finalidad

- Garantizar la seguridad de las instalaciones, bienes y personas, incluyendo empleados, y, en su caso, investigar los posibles incidentes que tengan lugar en dichas instalaciones. A tal efecto, Grifols puede tratar sus datos mediante un sistema de control de acceso a las instalaciones que pueden incluir sistemas de videovigilancia y/o tarjetas de identificación de acceso.

- Comunicación de los datos personales a las compañías del grupo Grifols (tal y como se indica en la Sección 4) o a otros terceros interesados con el fin de investigar un acto ilícito y, en su caso, formular, ejercer o defenderse de las acciones o reclamaciones que se estimen oportunas.
Base legal

Interés legítimo de Grifols y/o de terceros (artículo 6.1(f) del RGPD):

Grifols u otros terceros tienen interés en garantizar la seguridad de las personas y bienes en las instalaciones y en investigar, acreditar y defenderse de actos que atenten contra los bienes, las instalaciones o la dignidad de las personas. Por ello, Grifols considera que el interés legítimo en el que fundamenta el tratamiento de los datos personales prevalece sobre los derechos y libertades fundamentales de los interesados, ya que el tratamiento:

  • Está dentro de las expectativas razonables que tienen los interesados en base a su relación con Grifols,
  • Es parte de la gestión ordinaria de un grupo de empresas multinacional, que supone el compartir información con las compañías del grupo Grifols (tal y como se indica en la Sección 4)

En cualquier caso, los interesados pueden solicitar más información en relación con el interés legítimo o ejercer su derecho de oposición, enviando dicha solicitud a privacy@grifols.com

- Comunicación de los datos personales a jueces, tribunales, administraciones públicas, Fuerzas y Cuerpos de Seguridad u otras autoridades competentes (tal y como se indica en la Sección 4) en los supuestos de comisión de actos ilícitos.
Base legal

Obligación legal (artículo 6.1(c) del RGPD)

Grifols necesita tratar los datos personales solicitados para cumplir con las obligaciones legales detalladas en la Sección 8..

Finalidad Base legal

- Garantizar la seguridad de las instalaciones, bienes y personas, incluyendo empleados, y, en su caso, investigar los posibles incidentes que tengan lugar en dichas instalaciones. A tal efecto, Grifols puede tratar sus datos mediante un sistema de control de acceso a las instalaciones que pueden incluir sistemas de videovigilancia y/o tarjetas de identificación de acceso.

- Comunicación de los datos personales a las compañías del grupo Grifols (tal y como se indica en la Sección 4) o a otros terceros interesados con el fin de investigar un acto ilícito y, en su caso, formular, ejercer o defenderse de las acciones o reclamaciones que se estimen oportunas.

Interés legítimo de Grifols y/o de terceros (artículo 6.1(f) del RGPD):

Grifols u otros terceros tienen interés en garantizar la seguridad de las personas y bienes en las instalaciones y en investigar, acreditar y defenderse de actos que atenten contra los bienes, las instalaciones o la dignidad de las personas. Por ello, Grifols considera que el interés legítimo en el que fundamenta el tratamiento de los datos personales prevalece sobre los derechos y libertades fundamentales de los interesados, ya que el tratamiento:

  • Está dentro de las expectativas razonables que tienen los interesados en base a su relación con Grifols,
  • Es parte de la gestión ordinaria de un grupo de empresas multinacional, que supone el compartir información con las compañías del grupo Grifols (tal y como se indica en la Sección 4)

En cualquier caso, los interesados pueden solicitar más información en relación con el interés legítimo o ejercer su derecho de oposición, enviando dicha solicitud a privacy@grifols.com

- Comunicación de los datos personales a jueces, tribunales, administraciones públicas, Fuerzas y Cuerpos de Seguridad u otras autoridades competentes (tal y como se indica en la Sección 4) en los supuestos de comisión de actos ilícitos.

Obligación legal (artículo 6.1(c) del RGPD)

Grifols necesita tratar los datos personales solicitados para cumplir con las obligaciones legales detalladas en la Sección 8..

4. Recipients of personal data

Grifols may share the personal data with:

  • The parent company of the Grifols group, Grifols, S.A.
  • Providers of products and services hired by Grifols to achieve the mentioned purposes. These providers are reception and security services of the premises or maintenance services for video surveillance cameras or access control systems, among others.
  • Judges, courts, public administrations, law enforcement agencies or other competent authorities.
  • Other third parties interested in investigating an illegal act and, if applicable, establishing, exercising or defending the actions or claims they deem appropriate.

Grifols will endeavour that the personal data is only transferred to countries that offer an adequate level of data protection. If the personal data is processed from countries that do not offer said level of protection, Grifols and/or the providers (as the case may be) will adopt, if necessary, the appropriate safeguards (e.g. the standard contractual clauses included in the Commission Implementing Decision (EU) 2021/914 of 4 June 2021, if GDPR is applicable) to carry out such international data transfers in accordance with the applicable data protection legislation. Information on the appropriate safeguards for international data transfers can be obtained from Grifols at privacy@grifols.com

Grifols does not share personal data with any other third party unless required by the applicable law or authorised by the data subject.

5. Retention period

Grifols will retain the personal data for the time strictly necessary for the fulfilment of the purposes for which it has been collected or, if applicable, until the end of the statutes of limitation of any liabilities that may arise, and during the term required to comply with any applicable legal obligation.

6. Sources and categories of personal data

Grifols only processes personal data that is relevant to the purposes mentioned in Section 3.

Regardless of the legal basis for processing the data, Grifols processes the following categories of personal data:

  • Identification data (e.g. name and last name, ID/passport number and image)
  • Private contact details (e.g. postal address, e-mail address and phone number)
  • Professional data (e.g. employee ID, professional contact details, job position and place of work)

7. Data protection rights

The following data protection rights are applicable under the GDPR. Grifols undertakes to respect other data protection rights that may be applicable in accordance with the data protection legislation of each country.

Derechos

Acceso
Contenido

Puede solicitar confirmación de si sus datos personales están siendo tratados y, en tal caso, acceder a sus datos incluidos en los ficheros de Grifols.

Rectificación
Contenido

Puede solicitar la rectificación de sus datos personales cuando sean inexactos.

Supresión
Contenido

Puede solicitar la eliminación de sus datos personales.

Oposición
Contenido

Puede solicitar que sus datos personales no sean objeto de tratamiento en determinadas circunstancias.

Portabilidad
Contenido

Puede solicitar recibir, en un fichero electrónico, los datos personales que haya facilitado a Grifols, así como el derecho a transmitirlos a otros terceros.

Limitación del tratamiento
Contenido

Puede solicitar la limitación del tratamiento de sus datos personales cuando:

  • se compruebe la impugnación de la exactitud de sus datos personales.
  • el tratamiento de sus datos personales es ilícito y usted se opone a su supresión.
  • Grifols ya no necesite sus datos personales para las finalidades del tratamiento, pero usted los necesite para la formulación, el ejercicio o defensa de reclamaciones.
  • se haya opuesto al tratamiento de sus datos personales para el cumplimiento de una misión en interés público o cuando sea necesario para finalidades de un interés legítimo, mientras se verifica si los motivos legítimos de Grifols prevalecen sobre los suyos.
Derechos Contenido

Acceso

Puede solicitar confirmación de si sus datos personales están siendo tratados y, en tal caso, acceder a sus datos incluidos en los ficheros de Grifols.

Rectificación

Puede solicitar la rectificación de sus datos personales cuando sean inexactos.

Supresión

Puede solicitar la eliminación de sus datos personales.

Oposición

Puede solicitar que sus datos personales no sean objeto de tratamiento en determinadas circunstancias.

Portabilidad

Puede solicitar recibir, en un fichero electrónico, los datos personales que haya facilitado a Grifols, así como el derecho a transmitirlos a otros terceros.

Limitación del tratamiento

Puede solicitar la limitación del tratamiento de sus datos personales cuando:

  • se compruebe la impugnación de la exactitud de sus datos personales.
  • el tratamiento de sus datos personales es ilícito y usted se opone a su supresión.
  • Grifols ya no necesite sus datos personales para las finalidades del tratamiento, pero usted los necesite para la formulación, el ejercicio o defensa de reclamaciones.
  • se haya opuesto al tratamiento de sus datos personales para el cumplimiento de una misión en interés público o cuando sea necesario para finalidades de un interés legítimo, mientras se verifica si los motivos legítimos de Grifols prevalecen sobre los suyos.

Puede ejercer, cuando resulte de aplicación, sus derechos de protección de datos enviando a Grifols una comunicación por escrito a la dirección privacy@grifols.com, indicando en el asunto de la comunicación "Videovigilancia y Control de Accesos a las Instalaciones". A estos efectos, Grifols podrá solicitarle información o documentación adicional si fuera necesario y conveniente para identificarle. 

Asimismo, usted puede ejercer su derecho de reclamación ante una autoridad de protección de datos, incluyendo aquellas que se encuentren en su lugar de residencia, trabajo o en el lugar en que ha tenido lugar la presunta infracción.

8. Specific Provisions

Spain

Legal basis: the legal obligation referred to in Section 3 is regulated in the Organic Law 3/2018 of December 5 on the Protection of Personal Data and Guarantee of Digital Rights.

Date of last update: September 2023