Skladnost poslovanja družbe

Uredba družbe o varstvu podatkov in zaupnosti osebnih podatkov

Naše poslovne dejavnosti na svetovni ravni lahko bistveno podpremo z zagotavljanjem potrebnih informacij in podatkov v celotni skupini Bayer. Mednarodno poslovanje družbe zahteva, da izpolnjuje različne pravne zahteve v različnih državah in regijah, obenem pa mora ustrezno zaščititi svoje poslovne partnerje in zaposlene.

Prenos osebnih podatkov prek državnih meja je dovoljen samo, če so takšni podatki ustrezno zavarovani ali če oddelki družbe, odgovorni za obdelavo podatkov, ustrezno jamčijo za zaščito zasebnosti posameznikov, katerih podatki se prenašajo. Ta družbena direktiva o varstvu podatkov in zaupnosti osebnih podatkov skupaj z direktivo o informacijski varnosti zagotavlja, da vse družbe v skupini izpolnjujejo gornjo zahtevo. Ta družbena direktiva je bila dogovorjena z nemškimi regulativnimi organi.

1. Uvod

Za inovativno svetovno podjetje, kot je Bayer, sta pridobivanje in smiselna uporaba informacij izredno pomembna za doseganje ciljev podjetja na vseh področjih njegovega poslovanja. Sodobni komunikacijski kanali, kot so internet, intranet in elektronska pošta, igrajo bistveno vlogo pri dostopanju in izmenjavi informacij. Tako lahko družba Bayer sprejme in izvaja svoje odločitve hitreje in učinkoviteje kot v preteklosti.

Vendar pa izboljšave, ki so posledica razvoja informacijske tehnologije, prinašajo s seboj tudi večja tveganja, ki jih etična podjetja, kot je Bayer, morajo upoštevati. Na primer z neprimerno ali nepravilno uporabo informacijske tehnologije lahko kršimo osebne pravice. V zvezi s tem si Bayer prizadeva za zaščito osebnih pravic vsakega posameznika, čigar osebne podatke obdeluje – vključno s svojimi uslužbenci, strankami, dobavitelji in drugimi pogodbenimi partnerji, zainteresiranimi osebami, subjekti in pacienti v kliničnih preskušanjih – ne glede na sredstva ali metode zbiranja takšnih osebnih podatkov. Zato je Bayer izdal to družbeno direktivo, ki velja za in zavezuje celotno skupino Bayer1 in se nanaša na varstvo podatkov in zaupnost osebnih podatkov. S to družbeno direktivo Bayer izvaja enega od vidikov svojega Programa za pravno skladnost in korporativno odgovornost.

2. Namen

Ta družbena direktiva določa varnostne standarde za obdelovanje, shranjevanje in prenos osebnih podatkov znotraj skupine Bayer, s čimer zagotavlja ustrezno zaščito osebnih pravic subjektov, na katere se podatki nanašajo. Družbeno direktivo je treba upoštevati pri prosti izmenjavi osebnih podatkov znotraj skupine Bayer.

3. Področje uporabe

Ta družbena direktiva ureja vse zadeve glede zasebnosti podatkov in velja za obdelavo osebnih podatkov vsakega posameznika, čigar osebne podatke obdeluje skupina Bayer, vključno z uslužbenci, strankami, dobavitelji, drugimi pogodbenimi partnerji, subjekti in pacienti v kliničnih preskušanjih, zainteresiranimi osebami in drugimi osebami, ne glede na izvor podatkov. Standardi varnosti in zaščite podatkov te družbene direktive so zavezujoči za vse subjekte skupine Bayer.

Obstoječe pravne obveznosti – tako nacionalne kot mednarodne – prevladajo nad določbami te družbene direktive v državah, kjer se osebni podatki zbirajo ali obdelujejo. Vsak prejemnik podatkov mora zato preveriti, ali te uredbe veljajo za njegovo področje odgovornosti in zagotoviti skladnost. Vendar pa ima ta direktiva prednost pred nacionalnimi ali mednarodnimi pravnimi zahtevami za varstvo podatkov v primeru, da so te manj stroge od zahtev, navedenih v tej direktivi. V določenih državah organi za varstvo podatkov zahtevajo, da jih upravljavec obdelave podatkov predhodno obvesti o kakršni koli deloma ali v celoti avtomatizirani obdelavi osebnih podatkov. Vsak subjekt skupine Bayer je odgovoren za izpolnjevanje vseh obveznosti glede obveščanja v svoji državi. Posredovanje osebnih podatkov vladnim organom in agencijam je dopustno samo v skladu z ustreznimi veljavnimi državnimi zakoni.

Če poslovna enota družbe utemeljeno meni, da zaradi veljavnih zakonskih predpisov ne more izpolnjevati svojih obveznosti po obveznih internih pravilih družbe in da ti bistveno škodujejo jamstvom, ki jih zagotavlja na njihovi podlagi, mora o tem takoj obvestiti sedež Bayer AG, razen če ji to prepoveduje organ pregona v skladu z notranjo zakonodajo.

Bayer AG bo nato sprejel odgovorno odločitev o zadevi po posvetu z uradnikom za varstvo zasebnosti podjetja in ustrezno obvestil zadevni državni organ za varstvo podatkov.

4. Splošna načela obdelave osebnih podatkov

4.1 Dopustnost obdelave podatkov


Obdelava osebnih podatkov je dovoljena samo, če se subjekt, na katerega se podatki nanašajo, z njo strinja ali če jo dovoljuje veljavna zakonodaja na kraju njihove obdelave. Dopustnost obdelave osebnih podatkov je predpogoj za prenos osebnih podatkov v skladu s 5. poglavjem.

Soglasje mora biti podano pisno ali z drugimi zakonsko dopustnimi sredstvi, pri čemer je treba subjekt, na katerega se podatki nanašajo, vnaprej obvestiti o takšni obdelavi osebnih podatkov in možnih prenosih osebnih podatkov tretjim osebam. Subjekt, na katerega se podatki nanašajo, je treba jasno opozoriti na izjavo o soglasju, če ta predstavlja sestavni del drugih izjav.

4.2 Nameravana uporaba

Osebne podatke se lahko zbira za opredeljene, nedvoumne in zakonite namene in se jih ne sme nadalje obdelovati v nasprotju z njihovo nameravano uporabo. Prejemnik je dolžan upoštevati namen podatkov, ki jih posreduje drugo Bayerjevo podjetje, pri nadaljnji obdelavi in shranjevanju teh podatkov. Spremembe namena so dopustne samo s soglasjem subjekta, na katerega se podatki nanašajo, ali če jih dovoljuje notranje pravo države, iz katere se osebni podatki prenašajo.

4.3 Jedrnatost podatkov

Obdelava osebnih podatkov mora biti nujna za nameravano uporabo. Če je le mogoče, je treba možnosti, ki so na voljo za anonimizacijo ali psevdonimizacijo osebnih podatkov, uporabiti na začetni stopnji njihove obdelave in so stroški primerni glede na nameravan namen zaščite, kar še posebej velja za osebne podatke subjektov in pacientov v kliničnih preskušanjih.

4.4 Kakovost podatkov

Osebni podatki morajo biti točni in, kadar je to potrebno, najnovejši. Za popravljanje ali brisanje nepravilnih ali nepopolnih podatkov je treba sprejeti ustrezne in smiselne ukrepe.

4.5 Varnost podatkov

Upravljavec obdelave podatkov izvaja primerne tehnične in organizacijske ukrepe za zagotavljanje potrebne varnosti podatkov. Ti ukrepi se nanašajo zlasti na računalnike (strežnike in delovne postaje), omrežja in komunikacijske povezave ter programe; ti so vključeni v sistem upravljanja informacijske varnosti skupine Bayer. Temeljni ukrepi, ki se izvajajo znotraj skupine Bayer in se z njimi želimo izogniti nedovoljeni obdelavi osebnih podatkov, obsegajo med drugim nadzor npr.:

Poleg tega je treba sprejeti ustrezne ukrepe za zaščito teh podatkov pred naključnim izbrisom, nedovoljenim izbrisom ali izgubo. Podrobne podatke ureja direktiva o informacijski varnosti.

4.6 Zaupnost obdelave podatkov

Osebne podatke lahko obdeluje samo pooblaščeno osebje, ki se je zavezalo k spoštovanju zahtev glede tajnosti podatkov. Teh podatkov ne sme uporabljati za svoje zasebne namene ali dovoliti, da do njih dostopa kateri koli nepooblaščen subjekt. Nepooblaščen v tem smislu pomeni tudi zaposlene, ki bi uporabili osebne podatke, čeprav jih ne potrebujejo za izpolnjevanje svojih poklicnih dolžnosti. Obveznost zaupnosti se ohrani kljub prenehanju zaposlitve.

4.7 Posebne kategorije osebnih podatkov

Zbiranje in obdelava občutljivih podatkov sta v splošnem prepovedana oziroma dovoljena samo, če:

  • subjekt, na katerega se podatki nanašajo, izrecno soglaša; ali
  • je subjekt, na katerega se podatki nanašajo, takšne podatke očitno javno objavil; ali
  • je to nujno za zaščito življenjsko pomembnega interesa posameznika, na katerega se nanašajo osebni podatki, ali tretje osebe, pri čemer posameznik, na katerega se nanašajo osebni podatki, zaradi fizičnih ali pravnih razlogov ne more dati svojega soglasja; ali v skladu z uredbo družbe o varstvu podatkov in zaupnosti posebnih podatkov št. 1915 znotraj skupine Bayer, z dne, 1. januar 2008, stran 8 od 14;
  • je to nujno za izvajanje, uveljavljanje ali obrambo pravnih zahtevkov in ne gre pričakovati, da bodo prevladali upravičeni interesi posameznika, da se njegovi osebni podatki ne zbirajo ali obdelujejo; ali
  • je to nujno za izvajanje znanstvenih raziskav, znanstveni interesi za izvajanje raziskovalnih projektov prevladajo nad interesi posameznika, da se njegovi osebni podatki ne zbirajo ali obdelujejo, in če namena raziskave ni mogoče doseči na drug način ali samo z nesorazmerno veliko truda.


Poleg tega za farmacevtske raziskave in razvoj veljajo pogoji številnih narodnih in mednarodnih pravnih predpisov, ki posebej varujejo osebne pravice posameznikov, na katere se nanašajo osebni podatki, glede obdelave občutljivih podatkov2. Glede na kategorijo občutljivih podatkov in tveganja, povezana z nameravano uporabo, morajo biti sprejeti ustrezni varnostni in zaščitni ukrepi v skladu s poglavjem 4.5 (npr. naprave za tehnično varovanje, šifriranje in omejitev fizičnega dostopa).

  • fizični dostop do sistemov obdelave podatkov;
  • logični dostop do sistemov obdelave podatkov;
  • logični dostop do programov za obdelavo podatkov;
  • vnos podatkov v sisteme obdelave podatkov; in
  • prenos podatkov s pomočjo sredstev za prenos podatkov.
  • je posameznik, na katerega se nanašajo osebni podatki, takšne podatke očitno javno objavil; ali
  • je to nujno za zaščito življenjsko pomembnega interesa posameznika, na katerega se nanašajo osebni podatki, ali tretje osebe, pri čemer posameznik, na katerega se nanašajo osebni podatki, zaradi fizičnih ali pravnih razlogov ne more dati svojega soglasja; ali
  • je to nujno za izvajanje, uveljavljanje ali obrambo pravnih zahtevkov in ne gre pričakovati, da bodo prevladali upravičeni interesi posameznika, da se njegovi osebni podatki ne zbirajo ali obdelujejo; ali
  • je to nujno za izvajanje znanstvenih raziskav, znanstveni interesi za izvajanje raziskovalnih projektov prevladajo nad interesi posameznika, da se njegovi osebni podatki ne zbirajo ali obdelujejo, in če namena raziskave ni mogoče doseči na drug način ali samo z nesorazmerno veliko truda.


4.8 Pogodbena obdelava podatkov


V primeru, da subjekt skupine Bayer ali drugi subjekti delujejo kot vodilni ali pogodbeni obdelovalci podatkov v okviru pogodbe, ki se nanaša na obdelavo osebnih podatkov, velja naslednje:

Vodilni obdelovalec podatkov nadzoruje osebne podatke in je kontaktna oseba za posameznike, na katere se nanašajo osebni podatki.

4.9 Samodejne odločitve, ki vplivajo na subjekte, na katere se nanašajo osebni podatki

Določene države s svojimi pravnimi predpisi zagotavljajo omejitve, ki se nanašajo na samodejne odločitve, ki vplivajo na posameznike, na katere se nanašajo osebni podatki. To velja za odločitve, ki so posledica samodejne obdelave podatkov in imajo pravne posledice za takšnega posameznika ali učinkujejo nanj negativno. V teh izjemnih primerih, kjer takšne samodejne odločitve izdajo subjekti skupine Bayer, bodo posamezniki, na katere se nanašajo osebni podatki, obveščeni o pojavu takšne samodejne odločitve, ki vpliva nanje, in bodo lahko na to odločitev podali svoje komentarje ali vprašanja. V takšnem primeru je treba odločitev ponovno pregledati.

  • Izbran bo tisti pogodbeni obdelovalec podatkov, ki bo zagotavljal tehnične in organizacijske varnostne ukrepe, potrebne za obdelavo osebnih podatkov, ter v zadostni meri zagotavljal varovanje osebnih pravic ter uveljavljanje s tem povezanih pravic. Slednje velja za subjekte skupine Bayer, pri katerih velja ta družbena direktiva. Drugače je takšna jamstva treba zagotoviti tako, da se pogodbeni obdelovalec podatkov obveže k spoštovanju splošnih načel te družbene direktive ali da se uporabijo standardne pogodbene klavzule, ki jih zagotavlja Evropska unija (EU).
  • Obdelava osebnih podatkov s strani pogodbenega obdelovalca podatkov mora biti urejena v pisnem sporazumu, ki navaja pravice in dolžnosti upravnika varnosti ter pogodbenega obdelovalca podatkov.
  • Pogodbeni obdelovalec podatkov je pogodbeno zavezan k obdelavi osebnih podatkov samo v okviru pogodbe ter navodil, ki jih izda vodilni obdelovalec podatkov. Osebnih podatkov ne sme obdelovati v noben drug namen.


5. Prenos osebnih podatkov


Prenos osebnih podatkov znotraj Evropskega gospodarskega prostora3 (EGP) je v splošnem dovoljen, če je obdelava podatkov dovoljena tudi v poglavju 4.1.

Za prenos osebnih podatkov znotraj države, v kateri so bili podatki zbrani, je treba zagotoviti skladnost z obstoječimi pravnimi zahtevami zadevne države.

5.1 Prenos osebnih podatkov iz EGP v tretje države

Na osnovi poglavja 4.1 te družbene direktive je prenos osebnih podatkov iz države EGP v tretjo državo dovoljen samo:

Če prejemnik podatkov ni subjekt skupine Bayer, je treba zagotoviti, da ta družbena direktiva ustrezno velja za prejemnika. Subjekt skupine Bayer, ki prenaša osebne podatke, bo sprejel ustrezne ukrepe v primeru prejemnikovih kršitev.

  • posameznik, na katerega nanašajo osebni podatki nanašajo, izrecno soglaša; ali
  • je prenos osebnih podatkov nujen za izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem obdelave podatkov, ali da ukreneta vse potrebno pred sprejetjem pogodbe, ki jo predlaga posameznik, na katerega se nanašajo osebni podatki; ali
  • je prenos osebnih podatkov nujen za dokončanje ali izpolnjevanje pogodbe, ki jo je ali jo bo sklenil upravljavec obdelave podatkov s tretjo osebo v interesu posameznika, na katerega se nanašajo osebni podatki; ali
  • je prenos osebnih podatkov bodisi zahtevan ali predpisan z zakonom za zaščito pomembnih javnih interesov ali za izvajanje, uveljavljanje ali obrambo pravnih zahtevkov; ali
  • je prenos osebnih podatkov je potreben za zaščito življenjsko pomembnega interesa posameznika, na katerega se nanašajo osebni podatki; ali prenos osebnih podatkov v tretjo državo, za katero Evropska komisija meni, da ima ustrezne standarde za varstvo podatkov4; ali
  • stranka prejemnica v zadostni meri zagotavlja varovanje osebnih pravic ter uveljavljanje s tem povezanih pravic v smislu te družbene direktive. To velja za subjekte skupine Bayer, v katerih velja ta družbena direktiva.

5.2 Prenos osebnih podatkov znotraj tretje države ali v drugo tretjo državo

Nadaljnji prenos osebnih podatkov, prenesenih iz EGP prejemniku v tretji državi ali v drugo tretjo državo, je dovoljen samo ob upoštevanju poglavja 4.1, če ima takšna tretja država ustrezne standarde za zaščito podatkov ali če velja ena od okoliščin, opisanih v poglavju 5.1 te družbene direktive. V vsakem primeru je treba subjekt skupine Bayer v EGP, ki je prenesel osebne podatke, obvestiti pred nadaljnjim prenosom osebnih podatkov znotraj tretje države ali v drugo tretjo državo.

5.3 Zagotavljanje operativnega naslova, podatkov o funkciji in komunikaciji  

Za namene komunikacije znotraj podjetja je dovoljeno zagotavljanje operativnega naslova, podatkov o funkciji in komunikaciji, vključno z informacijami o stroškovnih centrih – na primer preko intraneta ali osrednjih imenikov Lotus Notes – znotraj skupine Bayer v obsegu, ki je potreben v ta namen. Upoštevati je treba omejen namen podatkov vseh uporabnikov.

6. Pravice posameznikov, na katere se nanašajo osebni podatki

6.1 Pravica do informacij


Vsak posameznik, na katerega se nanašajo osebni podatki, ima pravico zahtevati informacije o tipu osebnih podatkov, ki se nanašajo nanj in jih obdeluje subjekt skupine Bayer. Te informacije morajo biti zagotovljene ne glede na kraj, kjer se obdelujejo osebni podatki. Posameznik, na katerega se nanašajo osebni podatki, se lahko s takšno zahtevo za informacije obrne na krajevni kadrovski oddelek zadevnega subjekta skupine Bayer (glej tudi poglavje 7.3). Specializirane službe morajo zagotavljati potrebno podporo.

6.2 Zahtevek za popravek

Če so shranjeni osebni podatki nepravilni ali nepopolni, lahko posameznik, na katerega se ti nanašajo, zahteva popravek. Posamezniki, na katere se nanašajo osebni podatki, so odgovorni za zagotavljanje pravilnih osebnih podatkov zadevnemu subjektu skupine Bayer. Poleg tega morajo ti posamezniki obvestiti zadevni subjekt skupine Bayer o vseh pomembnih spremembah (npr. spremembe naslova ali imena).

6.3 Zavrnitev zahteve za informacije ali popravke

Če je zahteva za informacije ali popravke zavrnjena, bo posameznik, na katerega se nanašajo osebni podatki, obveščen o razlogu za njeno zavrnitev.

6.4 Izbris

Če posameznik, na katerega se nanašajo osebni podatki, dokaže, da namen obdelave njegovih osebnih podatkov glede na okoliščine ni več dopusten, potreben ali upravičen, bodo zadevni osebni podatki izbrisani, razen če pravni predpisi določajo nasprotno.

6.5 Pravica od ugovora

Vsak posameznik, na katerega se nanašajo osebni podatki, ima pravico do ugovora, če so bili njegovi osebni podatki uporabljeni v oglaševalske namene ali v namene raziskovanja trga ali javnega mnenja. Če to zahteva notranja zakonodaja, je treba takšnega posameznika obvestiti o pravici do ugovora (zavrnitev sodelovanja) in o upravljavcu obdelave podatkov. V tem primeru je treba osebne podatki v ta namen blokirati. Opozoriti je treba, da določene države zahtevajo soglasje pred obdelavo osebnih podatkov v zgoraj navedene namene (privolitev v sodelovanje). Poleg tega ima posameznik, na katerega se nanašajo osebni podatki, splošno pravico, da ugovarja obdelavi svojih podatkov. Ta ugovor je treba upoštevati, če preiskava pokaže, da potreba po zaščiti interesov posameznika v njegovi posebni osebni situaciji prevlada nad interesom, ki bi ga odgovorni subjekt imel za obdelavo njegovih podatkov. Vendar pa se takšnega ugovora ne sme upoštevati, če je obdelava podatkov posameznika obvezna po veljavni zakonodaji.

6.6 Vprašanja in pritožbe/ukrepi

Za morebitna vprašanja, pritožbe ali ukrepe glejte poglavje 7.3.

7. Postopkovna pravila

7.1 Izvajanje znotraj skupine Bayer


Družbe skupine Bayer kot upravljavci osebnih podatkov zagotavljajo skladnost z načeli te družbene direktive. V tem oziru morajo vodilni zaposleni v enotah skupine Bayer zagotoviti izvajanje te družbene direktive, še posebej pri zagotavljanju informacij zaposlenim. Če je potrebno dodatno usposabljanje, se je treba obrniti na uradnika za varstvo zasebnosti podjetja ali njegovega lokalnega predstavnika. V informacijah je treba poudariti, da lahko ima kršenje splošnih načel te družbene direktive posledice po kazenskem ali delovnem pravu ali pravu o odgovornosti.

7.2 Uradnik za varstvo zasebnosti podjetja

Pravni odbor družbe Bayer AG bo imenoval uradnika za varstvo zasebnosti podjetja, ki bo nadzoroval skladnost s to družbeno direktivo. Če bo to potrebno, bodo uradnika za varstvo zasebnosti podjetja podprli lokalni predstavniki (regionalni uradniki za varstvo zasebnosti), odgovorni za zagotavljanje varstva podatkov pravnih oseb, in bodo tudi obvestili uradnika za varstvo zasebnosti podjetja o pritožbah.

Ti lokalni predstavniki morajo upoštevati navodila uradnika za varstvo zasebnosti podjetja. Kjer regionalni uradnik za varstvo zasebnosti prevzame tudi vlogo uradnika za varstvo zasebnosti pravnega subjekta, mora tesno sodelovati z uradnikom za varstvo zasebnosti podjetja, vendar ni zavezan k upoštevanju njegovih navodil. Pri svojih dolžnostih, opredeljenih v tej družbeni direktivi, uradnik za varstvo zasebnosti podjetja in njegovi lokalni predstavniki niso vezani na navodila uprave.

Vodilni zaposleni skupine Bayer so zavezani k podpiranju uradnika za varstvo zasebnosti podjetja in njegovih lokalnih predstavnikov pri opravljanju svojih dolžnosti.

Z uradnikom za varstvo zasebnosti podjetja lahko stopite v stik na spletnem naslovu: cor.privacy@bayer.com. Za seznam lokalnih predstavnikov povprašajte pri našem uradniku za varstvo zasebnosti podjetja.

7.3 Vprašanja in pritožbe/ukrepi

Posamezniki, na katere se nanašajo osebni podatki, lahko kadar koli stopijo v stik z uradnikom za varstvo zasebnosti podjetja ali njegovim lokalnim predstavnikom in podajo kakršna koli vprašanja ali pritožbe glede obdelave osebnih podatkov. Takšna vprašanja in pritožbe bodo obravnavane zaupno.

Če se v vprašanju ali pritožbi, ki jo je podal posameznik, na katerega se nanašajo osebni podatki, domneva, da subjekt skupine Bayer, ki se nahaja v državi, v kateri ta posameznik ne prebiva posameznik, krši to družbeno direktivo, lahko ta posameznik stopi v stik s subjektom skupine Bayer, ki je prenesel podatke. Če je domnevna kršitev potrjena, bodo prizadeti subjekti skupine Bayer sodelovali z zadevnimi strankami (npr. organi za varstvo podatkov, drugimi subjekti) v skladu s to družbeno direktivo in odpravili očitano kršitev.

Če zadeva, ki jo je podal posameznik, na katerega se nanašajo osebni podatki, ni rešena, se lahko pritoži uradniku za varstvo zasebnosti podjetja. Uradnik za varstvo zasebnosti podjetja bo obvestil takšnega posameznika o svoji odločitvi in ustreznih sredstvih. V tej direktivi opisani postopki veljajo tudi za vsa ostala pravna sredstva in postopke, ki so na voljo takšnemu posamezniku, vključno z njegovo pravico, da predloži vprašanja in pritožbe odgovornemu organu za varstvo podatkov.

7.4 Obveznost do organov za varstvo podatkov

Stranka, ki prejme osebne podatke, ki so bili preneseni iz EGP v tretjo državo, in uradnik za varstvo zasebnosti podjetja sta obvezana, da na zahtevo sodelujeta z organom za varstvo podatkov države, v kateri se nahaja stranka, ki je prenesla podatke, in spoštujeta njegove ugotovitve pod pogojem, da so nastale z zakonitim postopkom pri stranki, ki je opravila prenos, in stranki prejemnici. Stranka v EGP, ki izvede prenos, ima tudi pravico, da pregleda obdelavo osebnih podatkov, ki jo je izvedla stranka prejemnica.

7.5 Spremembe družbene direktive in njena nadaljnja uporaba  

Bayer si pridržuje pravico do potrebnih sprememb te družbene direktive, na primer za uskladitev s spremembami statutov, uredb, zahtev organov za varstvo podatkov ali postopkov znotraj podjetja Bayer. Kjer to zahteva zakonodaja, bo Bayer predložil vsako spremenjeno različico v pregled upravnemu organu.

Če ta družbena direktiva postane neveljavna ne glede na razloge ali vzroke, ki so povzročili njeno neveljavnost, še zmeraj zavezuje vse subjekte skupine Bayer z ozirom na osebne podatke, prenesene pred datumom njene neveljavnosti, razen če je družbeno direktivo nadomestila nova uredba.

7.6 Objava  

Trenutna različica te družbene direktive bo na voljo vsem posameznikom, na katere se nanašajo osebni podatki, na primeren način, npr. preko intraneta ali interneta.

7.7 Razmerje do drugih družbenih predpisov  

Če so drugi predpisi podjetja v nasprotju so to družbeno direktivo, ima ta družbena direktiva prednost.

8. Opredelitve pojmov

Anonimizacija
pomeni spremembo osebnih podatkov, tako da jih ni mogoče več dodeliti določenemu ali ugotovljivemu posamezniku.
Soglasje pomeni vsako prostovoljno dano, informirano izjavo subjekta, s katero se strinja, da se njegovi osebni podatki obdelujejo. Za izdajo soglasja lahko veljajo določene zahteve, ki izhajajo iz zadevnega nacionalnega prava.
Pogodbeni obdelovalec podatkov pomeni posameznika ali pravno osebo, ki obdeluje osebne podatke po pooblastilu upravljavca obdelave podatkov.
Upravljavec obdelovalec podatkov pomeni pravno neodvisen subjekt skupine Bayer, ki odloča o namenu in sredstvih obdelave osebnih podatkov.
Varstvo/zasebnost podatkov pomeni skupek vseh ukrepov, sprejetih za varovanje osebnih pravic posameznikov, na katere se nanašajo osebni podatki, pri ravnanju s temi podatki.
Posamezniki, na katere se nanašajo osebni podatki, pomeni posamezne osebe, katerih osebne podatke obdeluje skupina Bayer, vključno s trenutnimi, bodočimi in nekdanjimi zaposlenimi, strankami, dobavitelji in drugimi pogodbenimi partnerji, zainteresiranimi osebami, subjekti in pacienti v kliničnih preskušanjih.
Uradnik za varstvo zasebnosti pravnega subjekta pomeni osebo, ki je uradno imenovana za spremljanje notranjega varstva podatkov pri pravnem subjektu skupine Bayer. Ta uradnik poroča upravi tega pravnega subjekta po lokalnih zakonih, pri čemer ni vezan na navodila uprave.
Osebni podatki pomenijo vse informacije, ki se nanašajo na določenega ali določljivega posameznika. Posameznik je določljiv, če ga lahko neposredno ali posredno identificiramo, npr. z dodelitvijo referenčne številke.
Obdelava osebnih podatkov pomeni kakršen koli samodejni ali nesamodejni postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki, kot so zbiranje, zapisovanje, shranjevanje, prilagajanje, spreminjanje, izbiranje, iskanje in priklic, uporaba, prenos, blokiranje, brisanje ali izbris. Ta opredelitev se nanaša tudi na besedo »obdelani«, ko se uporablja v tem smislu.
Psevodnimizacija pomeni nadomeščanje imena in drugih določljivih značilnosti posameznika, na katerega se nanašajo osebni podatki, z oznako, da nepooblaščene osebe ne morejo identificirati posameznika, na katerega se nanašajo osebni podatki, oziroma da je takšna identifikacija zelo ovirana.
Regionalni uradnik za varstvo zasebnosti pomeni osebo, odgovorno za sporočanje in spremljanje pravnih zahtev in zahtev za zasebnost poslovnih podatkov na regionalni in operativni ravni.
Varna tretja država pomeni državo, za katero Evropska komisija EU šteje, da ima ustrezen standard za zaščito zasebnosti podatkov.4

Občutljivi podatki pomeni posebne kategorije osebnih podatkov, ki se nanašajo na rasno ali narodnostno poreklo, politično, versko ali filozofsko prepričanje, članstvo v sindikatu, zdravstveno stanje ali spolno usmerjenost.
Tretja država pomeni vsako državo zunaj Evropskega gospodarskega prostora (EGP5).

Tretja oseba pomeni vsakega posameznika ali pravni subjekt, ki ga ne moremo dodeliti upravljavcu obdelave podatkov, npr. zunanji poslovni partnerji pa tudi katera koli družba v skupini. Tretje osebe niso niti posamezniki, na katere se nanašajo podatki, niti pogodbeni obdelovalci podatkov znotraj Evropskega gospodarskega prostora (EGP).
Prenos osebnih podatkov pomeni posredovanje osebnih podatkov, njihovo razširjanje ali vse druge oblike prenosa tretjim osebam. Ta opredelitev se nanaša po analogiji tudi na izraza »preneseni« in »ki se prenašajo«, ko se uporabljata v tem smislu.

  1. Skupina Bayer pomeni Bayer AG in vse podjetja, kjer ima Bayer AG – posredno ali neposredno – več kot 50-odstotni delež ali primerljive nadzorne pravice.
  2. Pravni predpisi, ki veljajo za farmacevtske raziskave in razvoj, obsegajo na primer v Nemčiji Zakon o zdravilih (Arzneimittelgesetz), v Evropi Direktivo 2001/20/ES v zvezi z izvajanjem dobre klinične prakse pri kliničnem preskušanju zdravil za ljudi, v ZDA Zakon o prenosljivosti in odgovornosti zdravstvenega zavarovanja ter mednarodno Navodila o upravljanju klinične varnosti (ICH), zlasti oddelek E6 – Dobra klinična praksa (1996).
  3. EGP je sestavljen iz držav članic Evropske unije. Vključuje tudi Islandijo, Liechtenstein in Norveško.
  4. Na dan, 1. avgusta 2006, so to bile Argentina, Kanada in Švica ter agencije v ZDA, ki so potrjene po dogovoru EU in ZDA o varnem ravnanju z osebnimi podatki iz EU.
  5. EGP je sestavljen iz držav članic Evropske unije. Vključuje tudi Islandijo, Liechtenstein in Norveško.