Rukovanje i načela

Zaštita podataka Grupe i privatnost ličnih podataka u okviru Bayer Grupe

Kako bi globalno poslovanje bilo moguće, nužno je da se širom Bayer Grupe razmenjuju potrebne informacije i podaci. Zbog međunarodnog poslovanja kompanije, nužno je poštovati niz pravnih obaveza u različitim zemljama i regionima. Istovremeno, nužno je pružiti adekvatnu zaštitu našim poslovnim partnerima i zaposlenima.

Prenos ličnih podatka preko nacionalnih granica dopustiv je jedino u slučaju da su ti podaci propisno zaštićeni, odnosno ukoliko odeljenja kompanije koja ih obrađuje mogu da garantuju zaštitu privatnosti pojedinaca o čijim podacima se radi. Primenjivanje ove Korporativne direktive o zaštiti podataka i privatnosti ličnih podataka zajedno sa Direktivom o IT sigurnosti, ima za cilj da osigura da sve podružnice Grupe ispune taj uslov. Ova Korporativna direktiva u skladu je sa nemačkim regulatornim vlastima.

1. Uvod

Za globalnu inovativnu kompaniju kao što je Bayer, pribavljanje i svrsishodna upotreba informacija od izuzetne su važnosti za postizanje korporativnih ciljeva u svim područjima poslovanja. Savremeni kanali komunikacije kao što su internet, intranet i imejl, igraju ključnu ulogu u pristupu i razmeni informacija. Oni omogućavaju Bayeru da brže i efikasnije pripremi i sprovede korporativne odluke, nego što je to bio slučaj u prošlosti.

Međutim, poboljšanja koja dolaze kao rezultat razvoja informatičke tehnologije takođe donose veće rizike, koje etička kompanija kao što je Bayer mora da uzme u obzir. Na primer, može doći do kršenja ličnih prava ukoliko se informatička tehnologija koristi na neprimeren ili nepravilan način. U tom smislu Bayer nastoji da zaštiti lična prava svakog pojedinca čije podatke obrađuje - uključujući zaposlene, klijente, dobavljače i ostale ugovorne partnere, zainteresovane stranke i subjekte i pacijente u kliničkim ispitivanjima - bez obzira na način ili metode kojima se do takvih ličnih podataka došlo. Zato je Bayer izdao sledeću Korporativnu direktivu koja se primenjuje na celu Bayer Grupu1 tj. bez izuzetka je obavezujuća, a odnosi se na zaštitu podataka i privatnost ličnih podataka. Ova Korporativna direktiva primenjuje jedan aspekt Bayerovog Programa za pravnu usklađenost i korporativnu odgovornost.

2. Cilj

Cilj ove Korporativne direktive je da se definišu standardi sigurnosti za obradu, unos i prenos ličnih podataka unutar Bayer Grupe, kako bi se osigurala adekvatna zaštita ličnih prava subjekata o čijim se podacima radi. Poštovanje Korporativne direktive preduslov je za slobodnu razmenu ličnih podataka unutar Bayer Grupe.

3. Opseg

Ova Korporativna direktiva reguliše sva pitanja koja se tiču privatnosti podataka. Odnosi se na sve pojedince čije lične podatke obrađuje Bayer Grupa, uključujući zaposlene, klijente, dobavljače i druge ugovorne partnere, subjekte i pacijente u kliničkim istraživanjima kao i druge zainteresovane stranke, bez obzira na izvor podataka. Zaštita podataka i standardi sigurnosti podataka ove Korporativne direktive obavezujući su za sve divizije Bayer Grupe.

Postojeće pravne obaveze, nacionalne i međunarodne, imaju prednost nad ovom Korporativnom direktivom u zemljama u kojima se odvija prikupljanje ili obrada ličnih podataka. Zato, svaki primaoc podataka mora da proveri primenjuju li se te regulative na njegovo/njeno područje odgovornosti i da osigura njihovo poštovanje. Međutim, onde gde su zahtevi za privatnost podataka prema nacionalnom ili međunarodnom pravom manje strogi nego prema ovoj Direktivi, prednost ima Direktiva. U određenim zemljama, vlasti nadležne za zaštitu podataka zahtevaju da ih kontrolor podataka obavesti pre bilo kakve celovite ili delimične automatske obrade ličnih podataka. Svaka divizija Bayer Grupe odgovorna je za poštovanje svih takvih obaveza obaveštavanja u njihovim zemljama. Prenos ličnih podataka telima i agencijama vlasti dopušten je jedino u skladu sa primenjivim nacionalnim zakonima.

U slučaju da neko od korporativnih tela ima razloga da smatra da ga primenjiva pravila statuta sprečavaju u ispunjenju obaveza u skladu sa internim pravilima kompanije i da značajno štete garancijama koje se pod njima jamče, odmah će obavestiti centralu Bayer AG-a, osim u slučaju da mu to prema nacionalnom zakonu brane organi reda.

Bayer AG će tada, nakon savetovanja sa Korporativnim direktorom za sigurnost, doneti odgovornu odluku o dotičnom slučaju i u skladu sa odlukom će obavestiti nadležno nacionalno telo za zaštitu podataka.

4. Opšta pravila za obradu ličnih podataka

4.1 Dopustivost obrade podataka
Obrada ličnih podataka dopuštena je jedino ukoliko je subjekat na to pristao ili ukoliko je dopustivo prema primeljivom zakonu u mestu obrade. Dopustivost obrade podataka preduslov je za prenos ličnih podataka u skladu s Paragrafom 5.

Pristanak se daje u pisanom ili bilo kojem drugom zakonski dopustivom obliku, ali subjekat mora biti unapred informisan o svrsi obrade ličnih podataka i o mogućem prenosu podataka trećim osobama. Izjava o saglasnosti mora biti istaknuta kada se prilaže zajedno s drugim izjavama kako bi subjektu bila razumljiva.

4.2. Namera
Lični podaci se smeju prikupljati samo u određene, jasne i legitimne svrhe i ne smeju se slati na dalju obradu koja nije u skladu s tom namerom. Primaoc podataka koje prenosi neka od Bayerovih kompanija treba pri daljoj obradi i unosu podataka uzeti u obzir njihovu svrhu. Promena svrhe dopustiva je jedino uz pristanak subjekta ili ukoliko je dopustivo prema nacionalnim zakonima u zemlji iz koje se podaci prenose.

4.3 Ekonomija podataka
Obrada ličnih podataka mora biti nužna za određenu nameru. Ukoliko je moguće i ukoliko je trošak primeren ciljanoj svrsi zaštite podataka u početnim fazama valja koristiti podatke koji su anonimni i pod pseudonimima. To se posebno odnosi na lične podatke subjekata i pacijenata u kliničkim ispitivanjima.

4.4 Kvalitet podataka
Lični podaci moraju biti činjenično ispravni i prema potrebi ažurirani. Potrebno je preduzeti prikladne i razumne mere kako bi se ispravili ili izbrisali neispravni ili nepotpuni podaci.

4.5 Sigurnost podataka
Kontrolor podataka preduzeće odgovarajuće tehničke i organizacijske mere kako bi se osigurala potrebna zaštita podataka. Ove se mere posebno odnose na računare (servere i službene računare), mreže i komunikacijske veze kao i aplikacije; oni su uključeni u IT sistem sigurnosti Bayer Grupe. Neophodne mere koje su poduzete u Bayer Grupi kako bi se izbegla neovlašćena obrada ličnih podataka uključuju, između ostalog, kontrolu na primer sledećeg:

  • fizičkog pristupa sistemima za obradu podataka;
  • logičkog pristupa sistemima za obradu podataka;
  • logičkog pristupa aplikacijama za obradu podataka;
  • unošenja podataka u sisteme za obradu podataka;
  • prenosa podataka odašiljanjem podataka.


Uz to, odgovarajuće mere moraju se preduzeti kako bi se takvi podaci zaštitili od nenamernog i neovlašćenog brisanja i  gubitka. Detalji su regulisani u Direktivi o informatičkoj sigurnosti.

4.6 Poverljivost obrade podataka
Samo ovlašćeno osoblje koje je upoznato sa uslovima tajnosti podataka sme biti uključeno u obradu istih. Njima je zabranjeno da koriste te podatke u lične svrhe ili ih učiniti dostupnim bilo kojoj neovlašćenoj stranci. Neovlašćenima se u ovom kontekstu smatraju i zaposleni kojima pristup tim podacima nije nužan za ispunjenje radnih obaveza. Obaveza poverljivosti vredi i nakon prestanka radnog odnosa.

4.7 Posebne kategorije ličnih podataka
Prikupljanje i obrada osetljivih podataka uopšte je zabranjena i dopušta se isključivo ukoliko:

  • je subjekat dao izričito dopuštenje;
  • je subjekat te podatke učinio/la javnima;
  • je ono nužno za zaštitu ključnih interesa subjekta ili trećih osoba, a subjekt iz fizičkih ili zakonskih razloga nije u mogućnosti dati saglasnost; ili u slučaju primene Regulative br. 1915 o zaštiti podataka i privatnosti ličnih podataka unutar Bayer Grupe koja je na snazi od 1. januara 2008, str. 8 od 14;
  • je ono nužno za izvršenje, sprovođenje ili odbranu pravnih radnji te se ne može očekivati da će prednost imati opravdani interesi subjekta za neprikupljanjem i neobrađivanjem podataka;
  • je ono nužno za sprovođenje naučno istraživanja - u tom slučaju nučni interes za sprovođenje istraživanja ima prednost nad interesom subjekta za neprikupljanjem i neobrađivanjem ličnih podataka i ukoliko se svrha istraživanja ne može ispuniti na drugi način ili je to moguće samo uz neprimereno veliki napor.


Nadalje, farmaceutska istraživanja i razvoj podložna su nizu nacionalnih i međunarodnih pravnih propisa koji posebno štite lična prava subjekata po pitanju obrade osetljivih podataka2. U zavisnosti od  kategorije osetljivih podataka i  rizicima povezanim sa svrhom njihove upotrebe, preduzeće se odgovarajuće mere sigurnosti i zaštite u skladu s Paragrafom 4.5 (npr. tehnički sigurnosni uređaji, šifriranje i ograničavanje fizičkog pristupa podacima).

4.8 Ugovorna obrada podataka
Ukoliko telo Bayer Grupe ili neka druga tela deluju kao glavni ili ugovorni obrađivači podataka, u delu ugovora koji se odnosi na proces obrade ličnih podataka, primenjuje se sledeće pravilo:

Glavni obrađivač ostaje kontrolor ličnih podataka i subjektov kontakt partner.

4.9 Automatizovane odluke koje imaju posledice po subjekte
Određene zemlje svojim propisima postavljaju ograničenja na automatizovane odluke koje imaju posledice po subjekte. To se odnosi na odluke koje su proizašle iz činjenice da automatizovana obrada ličnih podataka može imati pravne posledice po subjekat ili imati nepovoljan učinak na njega/nju. U tim izuzetnim slučajevima u kojima su te automatizovane odluke donešene od strane tela Bayer Grupe, subjekti će biti obavešteni o tome da je došlo do automatizovane odluke koja ima po njih posledice i da  će im biti pružena mogućnost komentarisanja ili preispitivanja odluke. U tom slučaju odluka se mora ponovno pregledati.

  • Odabraće se ugovorni obrađivač podataka koji će jamčiti da su preduzete tehničke i organizacijske sigurnosne mere nužne za obradu ličnih podataka, kao i zaštitu ličnih prava i sprovođenje pripadajućih prava. Poslednje se odnosi na tela Bayer Grupe na koje se primenjuje ova Korporativna direktiva. Ukoliko to nije slučaj, takvo jamstvo će se možda morati osigurati obavezivanjem ugovornog obrađivača podataka na poštovanje opštih principa ove Korporativne direktive ili primenom standardnih ugovornih klauzula Evropske Unije (EU).
  • Obrada ličnih podataka od strane ugovornog obrađivača mora biti regulirana pismenim ugovorom u kojem su određena prava i obveze glavnog i ugovornog obrađivača podataka.
  • Ugovorni obrađivač podataka je ugovorom obavezan obraditi samo one lične podatke pokrivene ugovorom i uputima glavnog obrađivača. Lični podaci se ne smejuu obrađivati ni u koje druge svrhe.

 

5. Prenos ličnih podataka

5. Prenos ličnih podataka
Prenos ličnih podataka unutar Evropskog ekonomskog područja3 (EEA) u načelu je dopušten ukoliko je obrada podataka takođe dopuštena u skladu sa  Paragrafom 4.1.

Za prenos ličnih podataka unutar zemlje u kojoj su prikupljeni, nužno je osigurati poštovanje postojećih pravnih propisa dotične zemlje.

5.1 Prenos ličnih podataka iz EEA u treće zemlje
Temeljem Paragrafa 4.1 ove Korporativne direktive, prenos ličnih podataka iz zemlje unutar EEA u treću zemlju dopušten je samo ako:

  • je subjekat dao svoju izričitu saglasnost;
  • je prenos ličnih podataka nužan za sprovođenje ugovora između subjekta i kontrolora podataka ili kako bi se preduzele mere pre potpisivanja ugovora inicirane od strane subjekta;
  • je prenos ličnih podataka nužan za dovršenje ili izvršenje ugovora koji je potpisan ili će biti potpisan između treće strane i kontrolora podataka, a u interesu je subjekta;  
  • je prenos ličnih podataka obavezan ili propisan zakonom u svrhu zaštite bitnog javnog interesa ili u svrhu izvršenja, sprovođenja ili odbrane pravnih radnji;
  • je prenos ličnih podataka nužan za zaštitu vitalnih interesa subjekta;
  • se radi o prenosu ličnih podataka u treću zemlju za koju je Evropska komisija ocenila da ima odgovarajuće standarde zaštite podataka4;
  • primaoc pruži dovoljno jamstvo koje je u skladu sa ovom Korporativnom direktivom, vezano uz zaštitu ličnih prava i uživanje pripadajućih prava. To se odnosi na tela Bayer Grupe na koja se primjenjuje ova Korporativna direktiva.

 

 

Ukoliko primaoc nije telo Bayer Grupe, nužno je osigurati da se ova Korporativna direktiva primenjuje na primaoca. Telo Bayer Grupe koje vrši prenos ličnih podataka preduzeće odgovarajuće mere u slučaju kršenja Direktive od strane primaoca.

5.2. Prenos ličnih podataka unutar treće zemlje ili prema daljoj trećoj zemlji
Dalji prenos ličnih  podataka koji su preneseni iz zemlje unutar EEA primaocu unutar treće zemlje ili prema nekoj daljoj trećoj zemlji dopušten je, u skladu sa Paragrafom 4.1, samo ukoliko dotična treća zemlja poseduje prihvatljive standarde zaštite podataka ili ukoliko se radi o jednoj od situacija opisanih u Paragrafu 5.1 ove Korporativne direktive. U svakom slučaju, telo Bayer Grupe unutar EEA koje je prenelo lične podatke biće obavešteno pre daljeg prenosa ličnih podataka unutar treće zemlje ili prema nekoj daljnjoj trećoj zemlji.

5.3 Ustupanje poslovne adrese, funkcije i kontakt podataka
U svrhu komunikacije unutar kompanije, dopušteno je unutar Bayer Grupe ustupati poslovnu adresu, funkciju i kontakt podatke, uključujući podatke o troškovnim centrima – na primer putem intraneta ili servera za komunikaciju klijenata i servera - u granicama u kojima je to nužno za ispunjenje te svrhe. Ograničena upotreba podataka svih korisnika mora se imati na umu.

 

6. Prava subjekta

6.1 Pravo na informisanje
Svaki subjekat ima pravo da zatraži informacije o vrsti njegovih/njenih ličnih informacija koje obrađuje telo Bayer Grupe. Ova informacija će pružiti nezavisno o tome gde se lični podaci obrađuju. Subjekat može takav zahtev da  pošalje lokalnom odseku za ljudske resurse ili dotičnom telu Bayer Grupe (vidi takođe Paragraf 7.3). Nadležni sektori moraju  da pruže odgovarajuću podršku.

6.2 Zahtev za ispravkama
Ukoliko su pohranjeni lični  podaci koji su  netačni ili nepotpuni, od subjekta će se možda zatražiti ispravak. Subjekti su odgovorni za davanje samo ispravnih ličnih podataka dotičnom telu Bayer Grupe. Uz to, svi subjekti moraju da informišu dotično telo Bayer Grupe o svim relevantnim promenama (npr. promene adrese ili imena).

6.3 Odbijanje zahteva za informacijama ili ispravkama
Ukoliko je zahtev za informacijama ili ispravkama odbijen, subjekat će biti obavešten o razlozima odbijanja.

6.4 Brisanje podataka
Ukoliko subjekat dokaže da razlozi iz kojih se obrađuju lični podaci više nisu dopustivi, potrebni ili razumni pod dotičnim okolnostima, odgovarajući lični podaci biće obrisani, ukoliko to ne brane važeći pravni propisi.

6.5 Pravo prigovora
Svaki subjekat ima pravo prigovora ukoliko se njegovi/njeni podaci koriste u marketinške svrhe ili u svrhu istraživanja tržišta ili mišljenja. Ukoliko to zahteva važeći nacionalni zakon, subjekat će biti informisan o pravu prigovora i o kontroloru podataka. U tom slučaju, lični podaci u tu svrhu moraju biti blokirani. Takođe valja primetiti da neke zemlje zahevaju davanje saglasnosti pre obrade ličnih podataka u marketinške svrhe. Nadalje, subjekat ima opšte pravo da prigovori na obradu njegovih/njenih podataka. Prigovor se mora uzeti u obzir ukoliko istraga pokaže da je potreba za zaštitom subjektovih interesa zbog posebnosti njegove/njene situacije veća od interesa koji nadležni sektor ima u obradi njegovih/njenih podataka. Takav se prigovor, međutim, neće uzeti u obzir ukoliko je obrada subjektovih podataka obavezna prema važećem zakonu.

6.6 Pitanja i prigovori/pravni lek
U sa vezi sa mogućim pitanjima, prigovorima i pravnim lekom, molimo Vas pogledajte Paragraf 7.3.

7. Proceduralna pravila

7.1 Sprovođenje unutar Bayer Grupe
Kompanije unutar Grupe koje deluju kao kontrolori podataka, moraju osigurati poštovanje principa opisanih u ovoj Korporativnoj direktivi. U skladu sa tim, zaposleni na upravljačkim pozicijama u telima Bayer Grupe moraju da osigurajui sprovođenje ove Korporativne direktive, što se posebno odnosi na informisanje zaposlenih. Ukoliko je potrebna dodatna obuka, valja se obratiti Korporativnom direktoru za privatnost ili njegovom/njenom lokalnom predstavniku. Pri informisanju zaposlenih takođe trebalo bi naglasiti da kršenje osnovnih principa ove Korporativne direktive može za sobom vući posledice Kaznenog zakona, Zakona o odgovornosti pravnih osoba te Zakona o radu.

7.2 Korporativni Direktor za privatnost
Upravni odbor Bayer AG-a imenovati će Korporativnog direktora za privatnost koji će nadgledati poštovanje ove Korporativne direktive. Ukoliko to bude potrebno, Korporativnom direktoru za privatnost pomagaće lokalni predstavnici (Regionalni direktori za privatnost), koji su odgovorni za osiguravanje zaštite podataka u pravnim telima i koji će u slučaju žalbi obavestiti Korporativnog direktora za privatnost.

Lokalni predstavnici slediće upute Korporativnog direktora za privatnost. Onde gde Regionalni direktor za privatnost takođe vrši funkciju Direktora za privatnost pravnog tela, on/ona će blisko sarađivati s Korporativnim direktorom za privatnost, ali za nju/njega upute potonjeg neće biti obavezujuće. Svojim dužnostima, definisanim u ovoj Korporativnoj direktivi, Korporativni direktor za privatnost i njegovi/njeni lokalni predstavnici nisu obavezani uputima Uprave.

Zaposleni na upravljačkim pozicijama u Bayer Grupi obavezni su da podrže Korporativnog direktora za privatnost i njegove/njene lokalne predstavnike u sprovođenju svojih dužnosti.

Korporativnog direktora možete kontaktirati putem imejl adrese: e-mail.
Molimo kontaktirajte Korporativnog direktora za privatnost koji Vam može dati popis lokalnih predstavnika.

7.3 Pitanja i prigovori/pravni lek
Subjekti mogu u bilo kom trenutku da kontaktiraju Korporativnog direktora za privatnost ili njegove/njene lokalne predstavnike sa bilo kakvim pitanjem ili prigovorom u vezi sa obradom ličnih podataka. Takvi će se upiti i prigovori tretirati poverljivo.

Ukoliko se upit ili prigovor subjekta odnosi na navodno kršenje ove Korporativne direktive od strane tela Bayer Grupe koje se nalazi u zemlji koja nije ista kao i zemlji prebivališta subjekta, subjekt može kontaktirati telo Bayer Grupe koje je obavilo prenos podataka. Ukoliko kršenje Direktive bude potvrđeno, odgovorna tela Bayer Grupe sarađivaće sa odgovarajućim strankama (npr. agencijama za zaštitu podataka, drugim telima), u skladu s ovom Korporativnom direktivom, i uputiti na pravni lek.

Ukoliko slučaj koji je pokrenuo subjekt ne bude ispravljen, subjekt može podneti žalbu Korporativnom direktoru za privatnost. Korporativni direktor za privatnost će obavestiti subjekta o svojoj odluci i odgovarajućim pravnim lekovima. Procedure opisane u ovoj Korporativnoj direktivi primjenjuju se zajedno s drugim pravnim lekovima i procedurama dostupnim subjektu, uključujući pravo subjekta da podnese upite i prigovore nadležnoj agenciji za zaštitu podataka.

7.4 Obaveze prema agencijama za zaštitu podataka
Stranka koja prima lične podatke prenešene iz područja EEA u treću zemlju i Korporativni direktor za sigurnost, moraju, ukoliko se to od njih zahteva, sarađivati sa agencijom za zaštitu podataka zemlje u kojoj se nalazi stranka koja prenosi podatke i poštuje njena rešenja, ukoliko su ona donesena sledeći primenjiv pravni postupak vezan za stranke koje prenose, odnosno primaju podatke. Stranka iz područja EEA koja prenosi podatke također ima pravo da proveri obradu ličnih podataka od strane stranke koja te podatke prima.

7.5 Izmene Korporativne direktive i nastavak primene
Bayer zadržava pravo da izmeni ovu Korporativnu direktivu u skladu sa potrebama, na primer kako bi ona bila u skladu sa statutom, propisima, zahtevima agencija za zaštitu podataka ili internim Bayerovim procedurama. Ukoliko to zahteva zakon, Bayer će izmenjenu verziju predati na kontrolni pregled.

Ukoliko ova Korporativna direktiva prestane biti valjana, nezavisno o razlozima prestanka valjanosti, sva tela Bayer Grupe obavezana su Korporativnom direktivom, vezano uz lične podatke prenešene pre nastupanja nevaljanosti, osim ukoliko je Korporativnu direktivu zamenio novi propis.


7.6 Informisanje
Trenutna verzija Korporativne direktive biće dostupna svim subjektima na prikladan način, npr. putem intraneta ili interneta.

7.7 Odnos prema drugim propisima kompanije
Ukoliko drugi propisi kompanije protivreče ovoj Korporativnoj direktivi, Korporativna direktiva ima pravo prednosti.

8. Definicije

Anonimizacija je promena ličnih podataka tako da se oni više ne mogu povezati sa određenom ili prepoznatljivom osobom.
Saglasnost je informisana izjava subjekta data slobodnom voljom u kojoj stoji da on/ona prihvata obradu svojih ličnih podataka. Saglasnost može da sadrži posebne odredbe koje proizlaze iz nacionalnih zakona.
Ugovorni obrađivač podataka je pojedinac ili pravna osoba koja obrađuje lične informacije u ime kontrolora podataka.
Kontrolor podataka je pravno nezavisno telo Bayer Grupe koje odlučuje o svrsi i načinima obrade ličnih podataka.
Zaštita/privatnost podataka je skup svih radnji preduzetih u svrhu zaštite ličnih  prava subjekata, pri postupanju sa njihovim osobnim podacima.
Subjekti su svi pojedinci čije lične podatke obrađuje Bayer Grupa, uključujući trenutne, buduće i bivše zaposlene, klijente, dobavljače i druge ugovorne partnere, zainteresovane strane i subjekte i pacijente u kliničkim ispitivanjima.
Direktor za privatnost pravnog tela je osoba službeno zadužena za nadzor zaštite internih podataka u nekom od pravnih tela Bayer Grupe. On/ona dostavlja izveštaje Upravi tog pravnog tela u skladu sa lokalnim zakonom, bez da je ograničena uputstvima Uprave.
Lični podaci su sve informacije koje se tiču određenog ili prepoznatljivog pojedinca. Pojedinac je prepoznatljiv ako se njega/nju može direktno ili indirektno identifikovati, npr. dodelom referentnog broja.
Obrada ličnih podataka je svaka automatizovana ili neautomatizovana radnja ili niz radnji obavljenih u vezi sa ličnim podacima kao što su prikupljanje, zapisivanje, pohranjivanje, prilagođavanje, promena, odabir, dohvat, upotreba, prenos, blokiranje, uklanjanje ili brisanje podataka. Ova se definicija takođe primjenjuje na reč "obrađeno" kada je ona upotrebljena u ovome kontekstu.
Pseudonimizacija je zamena imena i drugih prepoznatljivih karakteristika subjekta, sa nekom drugom oznakom u svrhu sprečavanja identifikacije subjekta od strane neovlašćenih osoba ili kako bi se takva identifikacija značajno otežala.
Regionalni direktor za privatnost je osoba zadužena za nadzor i informisanje o korporativnim zahtevima vezanim za privatnost podataka na regionalnom i operativnom nivou.
Sigurna treća zemlja je zemlja za koju je EK procijenila da poseduje adekvatan standard zaštite podataka4.
Osetljivi podaci su posebna kategorija ličnih podataka koji se tiču rasnog ili etničkog porekla, političkih stavova, verskih ili filozofskih uverenja, članstva u sindikatu, zdravlja i seksualne orijentacije.
Treća zemlja je svaka zemlja izvan Evropskog ekonomskog područja (EEA5).
Treća strana je svaki pojedinac ili pravno telo koje ne može biti dodeljeno kontroloru podataka, npr. svaki spoljni poslovni partner, ali i sve druge kompanije unutar Grupe. Treće strane ne mogu biti subjekti niti ugovorni obrađivači podataka unutar Europskog ekonomskog područja (EEA).
Prenos ličnih podataka je prosleđivanje ličnih podataka, njihova distribucija i svi drugi oblici njihova prenosa trećim stranama. Ova se definicija analogno primenjuje i na reči "prenešeno" i "prenositelj" kada su one upotrebljene u ovome kontekstu.


1    Pod Bayer Grupom smatra se Bayer AG i sve kompanije u kojima Bayer AG, direktno ili indirektno, poseduje više of 50% udela ili ima proporcionalna prava kontrole.

2    Pravni propisi koji se odnose na farmaceutska istraživanja i razvoj uključuju, na primer, nemački Zakon o lekovima (Arzneimittelgesetz), Direktivu 2001/20/EZ o  dobroj kliničkoj praksi pri sprovođenju kliničkih ispitivanja lekova za ljudsku upotrebu, američki Zakon o prenosivosti zdravstvenog osiguranja i odgovornosti i na međunarodnom nivou Smernice ICH (International Conference on Harmonisation of Technical Requirements for Registration of Pharmaceuticals for Human Use), posebno E6 Dobra klinička praksa (1996).

3    Evropsko ekonomsko područje sastoji se od zemalja članica Evropske unije kao i Islanda, Lihtenštajna i Norveška.

4    Sa danom 1. avgustom 2006. to su bile Argentina, Kanada i Švajcarska kao i agencije u SAD-u ovlašćene prema Safe Harbor Treatyju (ugovor između SAD-a  i EU koji reguliše prenos ličnih podataka).

5    Evropsko ekonomsko područje sastoji se od zemalja članica Evropske unije kao i Islanda, Lihtenštajna i Norveška.