Rukovanje i načela

Zaštita podataka Grupe i privatnost ličnih podataka u okviru Bayer Grupe

Za uspešno globalno poslovanje, nepohodna je razmena informacija i podataka na nivou Bayer Grupe u celosti. Kompanija posluje na međunarodnoj sceni i suočava se sa obavezom ispunjavanja i poštovanja pravnih obaveze različitih zemalja i regiona. Sa druge strane, postoji potreba da se u datim procesima, našim poslovnim partnerima i zaposlenima obezbedi adekvatna zaštita.

Prenos ličnih podatka preko nacionalnih granica dopustiv je jedino u slučaju kada su ti podaci propisno zaštićeni, odnosno ukoliko odeljenja kompanije koja ih obrađuju mogu da garantuju zaštitu privatnosti pojedinaca na koje se podaci odnose. Primena „Korporativne direktive o zaštiti podataka i privatnosti ličnih podataka“, zajedno sa „Direktivom o IT sigurnosti“, garantuje da će sve podružnice Grupe ispunjavati pomenute uslove. Ova „Korporativna direktiva“ usklađena je sa nemačkim regulatornim principima.

1. Uvod

Za globalnu kompaniju inovacije kao što je Bayer, pribavljanje i svrsishodna upotreba informacija od izuzetne su važnosti za postizanje korporativnih ciljeva u svim područjima poslovanja. Savremeni kanali komunikacije kao što su internet, intranet i imejl, igraju ključnu ulogu u razmeni i pristupu informacijama. Savremeni kanali omogućavaju kompaniji Bayer da brže i efikasnije priprema i sprovodi korporativne odluke.

Sa druge strane, nova poboljšanja koja dolaze kao rezultat razvoja informatičke tehnologije, takođe, donose i nove rizike, koje Bayer kao kompanija posvećena etičkom poslovanju, mora da uzima u obzir. U određenim slučajevima kada se informatička tehnologija koristi na neprimeren ili nepravilan način, postoji mogućnost kršenja ličnih prava građana. U tom smislu, Bayer nastoji da zaštiti lična prava svakog pojedinca čije podatke obrađuje. Pod pomenutim podrazumevamo podatke zaposlenih, klijenata, dobavljača i ostalih ugovornih partnera i zainteresovanih stranaka, kao i podatke subjekata i pacijenata u kliničkim ispitivanjima. Prava gorenavedenih zaštićena su bez obzira na metode kojima su lični podaci povereni. Zato je Bayer izdao sledeću „Korporativnu direktivu“ koja svoju primenu nalazi unutar cele Bayer Grupe, i bez izuzetka je obavezujuća, a odnosi se na zaštitu informacija i privatnosti ličnih podataka.

Ova „Korporativna direktiva“ predstavlja jedan aspekt “Bayer programa za pravnu usklađenost i korporativnu odgovornost“.

2. Cilj

Cilj ove „Korporativne direktive“ je da se definišu standardi sigurnosti za obradu, unos i prenos ličnih podataka unutar Bayer Grupe, kako bi se time osigurala adekvatna zaštita ličnih prava subjekata o čijim podacima se radi. Poštovanje „Korporativne direktive“ preduslov je za slobodnu razmenu ličnih podataka unutar Bayer Grupe.

3. Opseg

Ova “Korporativna direktiva” reguliše sva pitanja koja se tiču privatnosti podataka. Odnosi se na sve pojedince čije lične podatke obrađuje Bayer Grupa, uključujući zaposlene, klijente, dobavljače i druge ugovorne partnere, subjekte i pacijente u kliničkim istraživanjima, kao i ostale zainteresovane stranke, bez obzira na izvor podataka. Zaštita podataka i standardi sigurnosti podataka ove „Korporativne direktive“ obavezujući su za sve divizije Bayer Grupe.

Postojeće pravne obaveze, nacionalne i međunarodne, imaju prednost nad ovom „Korporativnom direktivom“ u zemljama u kojima se odvija prikupljanje ili obrada ličnih podataka. Zato svaki primalac podataka mora da proveri da li se primenjuju te regulative na njegovo/njeno područje odgovornosti, i osigura njihovo poštovanje.

Tamo gde su, pak, zahtevi za privatnost podataka, shodno nacionalnom ili međunarodnom pravu, manje strogi nego prema ovoj direktivi, prednost će imati “Korporativna direktiva”. U određenim zemljama, nadležni državni organi za zaštitu podataka zahtevaju da ih kontrolor podataka obavesti pre bilo kakve celovite ili delimične automatske obrade ličnih podataka. Svaka divizija Bayer Grupe odgovorna je za poštovanje takvih obaveza obaveštavanja u zemljama njihove pravne važnosti. Prenos ličnih podataka telima i agencijama vlasti dopušten je jedino u skladu sa primenljivim nacionalnim zakonima.

U skladu sa internim pravilima kompanije, u slučaju da neko od korporativnih tela ima razloga da smatra da ga primenljiva pravila statuta sprečavaju u ispunjenju obaveza, i da značajno štete garancijama koje se pod njima jemče, odmah će obavestiti centralu Bayer AG, osim u slučaju kada mu to, prema nacionalnom zakonu, organi reda ne dozvoljavaju.

Bayer AG će u tom slučaju, nakon savetovanja sa Korporativnim direktorom za sigurnost, doneti odgovornu odluku o dotičnom slučaju i u skladu sa odlukom će obavestiti nadležno nacionalno telo za zaštitu podataka.

4. Opšta pravila za obradu ličnih podataka

4.1 Dopustivost obrade podataka
Obrada ličnih podataka dopuštena je jedino ukoliko je subjekat na to pristao ili ukoliko je dopustivo prema primenljivom zakonu važećem na mestu obrade. Dopustivost obrade podataka preduslov je za prenos ličnih podataka u skladu sa Paragrafom 5.

Pristanak se daje u pisanom ili bilo kojem drugom zakonski dopustivom obliku, gde subjekat mora biti unapred informisan o svrsi obrade ličnih podataka i mogućem prenosu podataka trećim osobama. Izjava o saglasnosti mora biti istaknuta kada se prilaže zajedno sa drugim izjavama kako bi subjektu bila razumljiva.

4.2. Namera
Lični podaci se smeju prikupljati samo u određene, jasne i legitimne svrhe i ne smeju se slati na dalju obradu koja nije u skladu s tom namerom. Primalac podataka, koje prenosi neka od Bayerovih kompanija, treba da, pri daljoj obradi i unosu podataka, uzme u obzir njihovu svrhu. Promena svrhe dopustiva je jedino uz pristanak subjekta ili ukoliko je dopustiva prema nacionalnim zakonima u zemlji iz koje se podaci prenose.

4.3 Ekonomija podataka
Obrada ličnih podataka mora biti nužna za određenu nameru. Ukoliko je moguće, i kada je trošak primeren ciljanoj svrsi zaštite podataka, u početnim fazama valja koristiti podatke koji su anonimni i pod pseudonimima. To se posebno odnosi na lične podatke subjekata i pacijenata u kliničkim ispitivanjima.

4.4 Kvalitet podataka
Lični podaci moraju biti činjenično ispravni i prema potrebi ažurirani. Potrebno je preduzeti prikladne i razumne mere kako bi se ispravili ili izbrisali neispravni ili nepotpuni podaci.

4.5 Sigurnost podataka
Kontrolor podataka preduzeće odgovarajuće tehničke i organizacijske mere kako bi se osigurala potrebna zaštita podataka. Ove se mere posebno odnose na računare (servere i službene računare), mreže i komunikacijske veze kao i aplikacije; oni su uključeni u IT sistem sigurnosti Bayer Grupe. Neophodne mere koje su preduzete u Bayer Grupi, kako bi se izbegla neovlašćena obrada ličnih podataka, uključuju, između ostalog, kontrolu na primeru sledećeg:

  • fizičkog pristupa sistemima za obradu podataka;
  • logičkog pristupa sistemima za obradu podataka;
  • logičkog pristupa aplikacijama za obradu podataka;
  • unošenja podataka u sisteme za obradu podataka;
  • prenosa podataka odašiljanjem podataka.


Uz to, odgovarajuće mere moraju se preduzeti kako bi se takvi podaci zaštitili od nenamernog i neovlašćenog brisanja i gubitka. Detalji su regulisani u „Direktivi o informatičkoj sigurnosti“.

4.6 Poverljivost obrade podataka
Samo ovlašćeno osoblje, koje je upoznato sa uslovima tajnosti podataka, sme da bude  uključeno u obradu istih. Osoblju je zabranjeno da koriste pomenute podatke u lične svrhe ili da ih učine dostupnim bilo kojoj neovlašćenoj stranci. Neovlašćenima se u ovom kontekstu smatraju i zaposleni kojima pristup tim podacima nije nužan za ispunjenje radnih obaveza. Obaveza poverljivosti važi i nakon prestanka radnog odnosa.

4.7 Posebne kategorije ličnih podataka
Prikupljanje i obrada osetljivih podataka uopšte je zabranjena i dopušta se isključivo ukoliko:

  • je subjekat dao izričito dopuštenje;
  • je subjekat te podatke učinio/la javnima;
  • je ono nužno za zaštitu ključnih interesa subjekta ili trećih osoba, a subjekt iz fizičkih ili zakonskih razloga nije u mogućnosti da obezbedi saglasnost; ili u slučaju primene „Regulative br. 1915 o zaštiti podataka i privatnosti ličnih podataka“ unutar Bayer Grupe, koja je na snazi od 1. januara 2008. godine, str. 8-14;
  • je ono nužno za izvršenje, sprovođenje ili odbranu pravnih radnji, te se ne može očekivati da će prednost imati opravdani interesi subjekta za neprikupljanjem i neobrađivanjem podataka;
  • je ono nužno za sprovođenje naučnog istraživanja - u tom slučaju naučni interes za sprovođenje istraživanja ima prednost nad interesom subjekta za neprikupljanjem i neobrađivanjem ličnih podataka i ukoliko se svrha istraživanja ne može ispuniti na drugi način ili je to moguće samo uz neprimereno veliki napor.


Nadalje, farmaceutska istraživanja i razvoj podložna su nizu nacionalnih i međunarodnih pravnih propisa koji posebno štite lična prava subjekata po pitanju obrade osetljivih podataka2. U zavisnosti od kategorije osetljivih podataka i rizicima povezanim sa svrhom njihove upotrebe, preduzeće se odgovarajuće mere sigurnosti i zaštite u skladu s Paragrafom 4.5 (npr. tehnički sigurnosni uređaji, šifriranje i ograničavanje fizičkog pristupa podacima).

4.8 Ugovorna obrada podataka
Ukoliko telo Bayer Grupe ili neka druga tela deluju kao glavni ili ugovorni obrađivači podataka, u delu ugovora koji se odnosi na proces obrade ličnih podataka, primenjuje se sledeće pravilo:

Glavni obrađivač ostaje kontrolor ličnih podataka i subjektov kontakt partner.

4.9 Automatizovane odluke koje imaju posledice po subjekte
Određene zemlje svojim propisima postavljaju ograničenja na automatizovane odluke koje imaju posledice po subjekte. To se odnosi na odluke koje su proizašle iz činjenice da automatizovana obrada ličnih podataka može imati pravne posledice po subjekta ili imati nepovoljan učinak na njega/ nju. U tim izuzetnim slučajevima u kojima su te automatizovane odluke donešene od strane tela Bayer Grupe, subjekti će biti obavešteni o tome da je došlo do automatizovane odluke koja po njih ima posledice i da  će im biti pružena mogućnost komentarisanja ili preispitivanja odluke. U tom slučaju odluka se mora ponovno pregledati.

  • Odabraće se ugovorni obrađivač podataka koji će jamčiti da su preduzete tehničke i organizacijske sigurnosne mere nužne za obradu ličnih podataka, kao i zaštitu ličnih prava i sprovođenje pripadajućih prava. Poslednje se odnosi na tela Bayer Grupe na koje se primenjuje ova “Korporativna direktiva”. Ukoliko to nije slučaj, takvo jemstvo će se možda morati osigurati obavezivanjem ugovornog obrađivača podataka na poštovanje opštih principa ove „Korporativne direktive“ ili primenom standardnih ugovornih klauzula Evropske Unije (EU).
  • Obrada ličnih podataka od strane ugovornog obrađivača mora biti regulisana pisanim ugovorom u kojem su određena prava i obveze glavnog i ugovornog obrađivača podataka.
  • Ugovorni obrađivač podataka je ugovorom obavezan da obrađuje samo one lične podatke pokrivene ugovorom i uputima glavnog obrađivača. Lični podaci se ne smeju obrađivati ni u koje druge svrhe. 

 

5. Prenos ličnih podataka

5. Prenos ličnih podataka
Prenos ličnih podataka unutar Evropskog ekonomskog područja3 (EEA), u načelu je dopušten ukoliko je obrada podataka takođe dopuštena, u skladu sa  Paragrafom 4.1.

Za prenos ličnih podataka unutar zemlje u kojoj su prikupljeni, nužno je osigurati poštovanje postojećih pravnih propisa dotične zemlje.

5.1 Prenos ličnih podataka iz EEA u treće zemlje
Temeljem Paragrafa 4.1 ove „Korporativne direktive“, prenos ličnih podataka iz zemlje unutar EEA u treću zemlju dopušten je samo ako:

  • je subjekat dao svoju izričitu saglasnost;
  • je prenos ličnih podataka nužan za sprovođenje ugovora između subjekta i kontrolora podataka, ili kako bi se preduzele mere pre potpisivanja ugovora inicirane od strane subjekta;
  • je prenos ličnih podataka nužan za dovršenje ili izvršenje ugovora koji je potpisan ili će biti potpisan između treće strane i kontrolora podataka, a u interesu je subjekta;  
  • je prenos ličnih podataka obavezan ili propisan zakonom u svrhu zaštite bitnog javnog interesa ili u svrhu izvršenja, sprovođenja ili odbrane pravnih radnji;
  • je prenos ličnih podataka nužan za zaštitu vitalnih interesa subjekta;
  • se radi o prenosu ličnih podataka u treću zemlju za koju je Evropska komisija ocenila da ima odgovarajuće standarde zaštite podataka4;
  • primalac pruži dovoljno jemstvo koje je u skladu sa ovom „Korporativnom direktivom“, u vezi sa zaštitom ličnih i uživanjem pripadajućih prava. To se odnosi na tela Bayer Grupe na koja se primjenjuje ova “Korporativna direktiva”.  

 

 

Ukoliko primalac nije telo Bayer Grupe, nužno je osigurati da se ova “Korporativna direktiva” primenjuje na primaoca. Telo Bayer Grupe koje vrši prenos ličnih podataka preduzeće odgovarajuće mere u slučaju kršenja „Direktive“ od strane primaoca.

5.2. Prenos ličnih podataka unutar treće zemlje ili prema daljoj trećoj zemlji
Dalji prenos ličnih podataka koji su preneseni iz zemlje unutar EEA primaocu unutar treće zemlje ili prema nekoj daljoj trećoj zemlji dopušten je, u skladu sa Paragrafom 4.1, samo ukoliko dotična treća zemlja poseduje prihvatljive standarde zaštite podataka, ili ukoliko se radi o jednoj od situacija opisanih u Paragrafu 5.1 ove „Korporativne direktive“. U svakom slučaju, telo Bayer Grupe unutar EEA koje je prenelo lične podatke biće obavešteno pre daljeg prenosa ličnih podataka unutar treće zemlje ili prema nekoj daljoj trećoj zemlji.

5.3 Ustupanje poslovne adrese, funkcije i kontakt podataka
U svrhu komunikacije unutar kompanije, dopušteno je unutar Bayer Grupe ustupati poslovnu adresu, funkciju i kontakt podatke, uključujući podatke o troškovnim centrima - na primer, putem intraneta ili servera za komunikaciju klijenata i servera, u granicama u kojima je to nužno za ispunjenje te svrhe. Ograničena upotreba podataka svih korisnika mora se imati na umu.

 

6. Prava subjekta

6.1 Pravo na informisanje
Svaki subjekat ima pravo da zatraži informacije o vrsti njegovih/njenih ličnih informacija koje obrađuje telo Bayer Grupe. Ove informacije biće pružene nezavisno o tome gde se lični podaci obrađuju. Subjekat može takav zahtev da pošalje lokalnom odseku za ljudske resurse ili dotičnom telu Bayer Grupe (vidi takođe Paragraf 7.3). Nadležni sektori moraju da pruže odgovarajuću podršku.

6.2 Zahtev za ispravkama
Ukoliko su pohranjeni lični podaci netačni ili nepotpuni, od subjekta se može zatražiti ispravka. Subjekti su odgovorni za davanje samo ispravnih ličnih podataka dotičnom telu Bayer Grupe. Uz to, svi subjekti moraju da informišu dotično telo Bayer Grupe o svim relevantnim promenama (npr. promene adrese ili imena).

6.3 Odbijanje zahteva za informacijama ili ispravkama
Ukoliko je zahtev za informacijama ili ispravkama odbijen, subjekat će biti obavešten o razlozima odbijanja.

6.4 Brisanje podataka
Ukoliko subjekat dokaže da razlozi iz kojih se obrađuju lični podaci više nisu dopustivi, potrebni ili razumni pod dotičnim okolnostima, odgovarajući lični podaci biće obrisani, ukoliko to ne brane važeći pravni propisi.

6.5 Pravo prigovora
Svaki subjekat ima pravo prigovora ukoliko se njegovi/ njeni podaci koriste u marketinške svrhe, ili u svrhu istraživanja tržišta ili mišljenja. Ukoliko to zahteva važeći nacionalni zakon, subjekat će biti informisan o pravu prigovora i o kontroloru podataka. U tom slučaju, lični podaci u tu svrhu moraju biti blokirani. Takođe valja primetiti da neke zemlje zahevaju davanje saglasnosti pre obrade ličnih podataka u marketinške svrhe. Nadalje, subjekat ima opšte pravo da prigovori na obradu njegovih/njenih podataka. Prigovor se mora uzeti u obzir ukoliko istraga pokaže da je potreba za zaštitom subjektovih interesa zbog posebnosti njegove/njene situacije veća od interesa koji nadležni sektor ima u obradi njegovih/njenih podataka. Takav se prigovor, međutim, neće uzeti u obzir ukoliko je obrada subjektovih podataka obavezna prema važećem zakonu.

6.6 Pitanja i prigovori/pravni lek
U sa vezi sa mogućim pitanjima, prigovorima i pravnim lekom, molimo Vas pogledajte Paragraf 7.3.

7. Proceduralna pravila

7.1 Sprovođenje direktive unutar Bayer Grupe
Kompanije unutar Grupe, koje deluju kao kontrolori podataka, imaju zadatak da  osiguraju poštovanje principa opisanih u pomenutoj Korporativnoj direktivi. U skladu sa tim, zaposleni na upravljačkim pozicijama u telima Bayer Grupe moraju da osiguraju sprovođenje „Korporativne direktive“, i da o njenim odredbama blagovremeno informišu zaposlene. Ukoliko je potrebna dodatna obuka, očekivano je da se nadležni obrate  Korporativnom direktoru za privatnost ili njegovom/njenom lokalnom predstavniku. Pri informisanju zaposlenih trebalo bi, takođe, naglasiti sledeće: Kršenje osnovnih principa „Korporativne direktive“ može imati posledice u skladu sa nadležnim članovima Kaznenog zakona, Zakona o odgovornosti pravnih osoba i Zakona o radu.

7.2 Korporativni Direktor za privatnost
Upravni odbor Bayer AG imenovaće Korporativnog direktora za privatnost koji će nadgledati poštovanje navedene Korporativne direktive. Ukoliko bude potrebno, Korporativnom direktoru za privatnost pomagaće lokalni predstavnici (Regionalni direktori za privatnost), koji su nadležni za osiguravanje zaštite podataka u pravnim telima i koji će u slučaju žalbi o tome obavestiti Korporativnog direktora za privatnost.

Lokalni predstavnici slediće instrukcije Korporativnog direktora za privatnost. Tamo gde Regionalni direktor za privatnost takođe vrši funkciju Direktora za privatnost pravnog tela, on/ona će blisko sarađivati sa Korporativnim direktorom za privatnost, ali za nju/njega uputstva poslednjeg neće biti obavezujuća. Svojim dužnostima, definisanim u ovoj Korporativnoj direktivi, Korporativni direktor za privatnost i njegovi/njeni lokalni predstavnici nisu obavezani instrukcijama Uprave.

Zaposleni na upravljačkim pozicijama u Bayer Grupi obavezni su da podrže Korporativnog direktora za privatnost i njegove/njene lokalne predstavnike u sprovođenju svojih dužnosti.

Korporativnog direktora možete kontaktirati putem imejl adrese: e-mail.
Molimo kontaktirajte Korporativnog direktora za privatnost koji Vam može dati popis lokalnih predstavnika.

7.3 Pitanja i prigovori/pravni lek
Subjekti uvek mogu da kontaktiraju Korporativnog direktora za privatnost ili njegove/njene lokalne predstavnike, u vezi sa bilo kojim pitanjem ili prigovorom koji se odnosi na obradu ličnih podataka. Takvi zahtevi i prigovori će se tretirati poverljivo.

Ukoliko se zahtev ili prigovor subjekta odnosi na navodno kršenje ove „Korporativne direktive“ od strane tela Bayer Grupe, koja se nalaze u zemlji drugoj od zemlje prebivališta subjekta, subjekt može da kontaktira telo Bayer Grupe koje je obavilo prenos podataka. Ukoliko kršenje „Direktive“ bude potvrđeno, odgovorna tela Bayer Grupe sarađivaće sa odgovarajućim strankama (npr. agencijama za zaštitu podataka, drugim telima), u skladu sa ovom Korporativnom direktivom, i uputiće ih na pravni lek.

Ukoliko slučaj koji je pokrenuo subjekt ne bude ispravljen, subjekt može podneti žalbu Korporativnom direktoru za privatnost. Korporativni direktor za privatnost će obavestiti subjekta o svojoj odluci i odgovarajućim pravnim lekovima. Procedure opisane u ovoj Korporativnoj direktivi primjenjuju se zajedno s drugim pravnim lekovima i procedurama dostupnim subjektu, uključujući pravo subjekta da podnese upite i prigovore nadležnoj agenciji za zaštitu podataka.

7.4 Obaveze prema agencijama za zaštitu podataka
Stranka koja prima lične podatke prenesene iz područja EEA u treću zemlju i nadležni Korporativni direktor za sigurnost moraju sarađivati sa agencijom za zaštitu podataka zemlje u kojoj se nalazi strana koja podatke prenosi. Moraju da poštuje i pravna rešenja, ukoliko su ona donesena u skladu sa primenjivim pravnim postupcima vezanim za stranke koje prenose, odnosno primaju podatke. Stranka iz područja EEA koja prenosi podatke takođe ima pravo da proveri obradu ličnih podataka strane koji podatke prima..

7.5 Izmene Korporativne direktive i nastavak primene
Bayer zadržava pravo da izmeni ovu „Korporativnu direktivu“ u skladu sa potrebama, na primer kako bi ona bila u skladu sa statutom, propisima, zahtevima agencija za zaštitu podataka ili internim Bayerovim procedurama. Ukoliko zakon to zahteva, Bayer će izmenjenu verziju predati na kontrolni pregled.

Ukoliko ova “Korporativna direktiva” prestane biti valjana, nezavisno od razloga prestanka valjanosti, sva tela Bayer Grupe obavezana su „Korporativnom direktivom“, vezanom uz lične podatke prenesene pre nastupanja nevaljanosti, osim ukoliko je „Korporativnu direktivu“ zamenio novi propis.

7.6 Informisanje
Trenutna verzija „Korporativne direktive“ biće dostupna svim subjektima na prikladan način, npr. putem intraneta ili interneta.

7.7 Odnos prema drugim propisima kompanije
Ukoliko drugi propisi kompanije protivreče ovoj „Korporativnoj direktivi“, “Korporativna direktiva” ima pravo prednosti.

8. Definicije

Anonimizacija je promena ličnih podataka tako da se oni više ne mogu povezati sa određenom ili prepoznatljivom osobom.
Saglasnost je informisana izjava subjekta data slobodnom voljom u kojoj stoji da on/ona prihvata obradu svojih ličnih podataka. Saglasnost može da sadrži posebne odredbe koje proizlaze iz nacionalnih zakona.
Ugovorni obrađivač podataka je pojedinac ili pravna osoba koja obrađuje lične informacije u ime kontrolora podataka.
Kontrolor podataka je pravno nezavisno telo Bayer Grupe koje odlučuje o svrsi i načinima obrade ličnih podataka.
Zaštita/privatnost podataka je skup svih radnji preduzetih u svrhu zaštite ličnih  prava subjekata, pri postupanju sa njihovim osobnim podacima.
Subjekti su svi pojedinci čije lične podatke obrađuje Bayer Grupa, uključujući trenutne, buduće i bivše zaposlene, klijente, dobavljače i druge ugovorne partnere, zainteresovane strane i subjekte i pacijente u kliničkim ispitivanjima.
Direktor za privatnost pravnog tela je osoba službeno zadužena za nadzor zaštite internih podataka u nekom od pravnih tela Bayer Grupe. On/ona dostavlja izveštaje Upravi tog pravnog tela u skladu sa lokalnim zakonom, bez da je ograničena uputstvima Uprave.
Lični podaci su sve informacije koje se tiču određenog ili prepoznatljivog pojedinca. Pojedinac je prepoznatljiv ako se njega/nju može direktno ili indirektno identifikovati, npr. dodelom referentnog broja.
Obrada ličnih podataka je svaka automatizovana ili neautomatizovana radnja ili niz radnji obavljenih u vezi sa ličnim podacima kao što su prikupljanje, zapisivanje, pohranjivanje, prilagođavanje, promena, odabir, dohvat, upotreba, prenos, blokiranje, uklanjanje ili brisanje podataka. Ova se definicija takođe primjenjuje na reč "obrađeno" kada je ona upotrebljena u ovome kontekstu.
Pseudonimizacija je zamena imena i drugih prepoznatljivih karakteristika subjekta, sa nekom drugom oznakom u svrhu sprečavanja identifikacije subjekta od strane neovlašćenih osoba ili kako bi se takva identifikacija značajno otežala.
Regionalni direktor za privatnost je osoba zadužena za nadzor i informisanje o korporativnim zahtevima vezanim za privatnost podataka na regionalnom i operativnom nivou.
Sigurna treća zemlja je zemlja za koju je EK procijenila da poseduje adekvatan standard zaštite podataka-4.
Osetljivi podaci su posebna kategorija ličnih podataka koji se tiču rasnog ili etničkog porekla, političkih stavova, verskih ili filozofskih uverenja, članstva u sindikatu, zdravlja i seksualne orijentacije.
Treća zemlja je svaka zemlja izvan Evropskog ekonomskog područja (EEA5).
Treća strana je svaki pojedinac ili pravno telo koje ne može biti dodeljeno kontroloru podataka, npr. svaki spoljni poslovni partner, ali i sve druge kompanije unutar Grupe. Treće strane ne mogu biti subjekti niti ugovorni obrađivači podataka unutar Europskog ekonomskog područja (EEA).
Prenos ličnih podataka je prosleđivanje ličnih podataka, njihova distribucija i svi drugi oblici njihovog prenosa trećim stranama. Ova se definicija analogno primenjuje i na reči "prenešeno" i "prenositelj" kada su one upotrebljene u ovome kontekstu.


1    Pod Bayer Grupom podrazumevaju se Bayer AG i sve kompanije u kojima Bayer AG, direktno, odnosno indirektno, poseduje više of 50% udela ili ima proporcionalna prava kontrole.

2    Pravni propisi koji se odnose na farmaceutska istraživanja i razvoj uključuju, na primer, nemački Zakon o lekovima (Arzneimittelgesetz), Direktivu 2001/20/EZ o dobroj kliničkoj praksi pri sprovođenju kliničkih ispitivanja lekova za ljudsku upotrebu, američki Zakon o prenosivosti zdravstvenog osiguranja i odgovornosti na međunarodnom nivou, Smernice ICH (International Conference on Harmonisation of Technical Requirements for Registration of Pharmaceuticals for Human Use), posebno E6; Dobra klinička praksa (1996).

3    Evropsko ekonomsko područje sastoji se od zemalja članica Evropske unije kao i Islanda, Lihtenštajna i Norveške.

4    Sa danom 1. avgustom 2006. to su bile Argentina, Kanada i Švajcarska kao i agencije u SAD-u ovlašćene prema Safe Harbor Treatyju (ugovor između SAD-a  i EU koji reguliše prenos ličnih podataka).

5    Evropsko ekonomsko područje sastoji se od zemalja članica Evropske unije kao i Islanda, Lihtenštajna i Norveška.