1.
W przypadku zgłoszenia działania niepożądanego przez użytkownika końcowego do osoby odpowiedzialnej lub dystrybutora, osoba odpowiedzialna lub dystrybutor przetwarza dane osobowe, o których mowa w art. 9 zgłoszenie ciężkiego działania niepożądanego do ośrodka administrującego ust. 2 pkt 2–4, i jest ich administratorem.
2.
Dane osobowe są przetwarzane przez osobę odpowiedzialną lub dystrybutora w celu zrealizowania obowiązków wynikających z art. 10 ust. 1, art. 11 ust. 2 lit. b, art. 21 oraz art. 23 ust. 1 rozporządzenia nr 1223/2009.
3.
Dane osobowe są przechowywane przez osobę odpowiedzialną lub dystrybutora w warunkach uniemożliwiających dostęp do nich osób nieupoważnionych.
4.
Dane osobowe są przechowywane przez osobę odpowiedzialną lub dystrybutora nie dłużej niż rok od zakończenia przez nich weryfikacji zgłoszenia działania niepożądanego.
5.
Osoba odpowiedzialna lub dystrybutor stwarzają warunki organizacyjne i techniczne zapewniające ochronę przetwarzanych danych przed nieuprawnionym dostępem, nielegalnym ujawnieniem lub pozyskaniem, a także ich modyfikacją, uszkodzeniem, zniszczeniem lub utratą.
6.
Osoba odpowiedzialna lub dystrybutor oraz osoby upoważnione w tych podmiotach do przetwarzania danych zachowują w tajemnicy informacje związane z tymi danymi.