Групов регламент за защита на данните и Поверителност на личните данни в Групата Байер

В подкрепа на нашите глобални бизнес процеси, от съществена важност е необходимата информация и данни да бъдат предоставяни в Групата Байер. Вътрешните операции на компанията изискват тя да спазва различни законови изисквания в различните държави и региони. Наред с това, надлежната защита трябва да се съгласува с нашите търговски партньори и служители.

Прехвърлянето на лични данни през националните граници е разрешено единствено ако тези данни са правилно защитени или ако отделите на дружеството, които обработят данните, могат да дадат достатъчна гаранция, че поверителността на лицата, чиито данни са предавани, е защитена. Kогато се прилага във връзка с Директивата за ИТ сигурност, настоящата Корпоративна директива за защита на данните и поверителност на личните данни е предназначена да осигури, че всички дружества от Групата спазват това изискване. Настоящата Корпоративната директива е съгласувана с немските регулаторни органи.

1. Въведение

За иновативна глобална компания като Байер, придобиването и ползотворното използване на информация е от огромно значение за постигане на корпоративните цели във всички сфери на дейността. Съвременните комуникационни канали, като например Интернет, интранет и електронната поща, играят важна роля за достъп и обмен на информация. Те позволяват на Байер да подготви и въведе корпоративните решения по-бързо и по-ефективно, отколкото преди.

Независимо от това, подобренията в резултат от развитието на информационните технологии водят и до по-големи рискове, които трябва да бъдат взети предвид от етични предприятия като Байер. Например, личните права биха могли да бъдат нарушени от неправомерно или неправилно използване на информационни технологии. В тази връзка Байер се стреми да защитава личните права на лицата, чиито лични данни обработва - включително служителите, клиентите, доставчиците и другите договорни партньори, заинтересовани лица, субекти и пациенти в клинични изпитвания - независимо от средствата или методите за събиране на такива лични данни. В този контекст Байер издава следната Корпоративна директива, която е приложима и обвързва Групата1 Байер и се отнася до защитата и поверителността на личните данни. Корпоративната директива въвежда един от аспектите на Програмата за законосъобразност и Корпоративна отговорност на Байер.

2. Цел

Настоящата Корпоративна директива има за цел да дефинира стандартите за сигурност при обработката, съхраняването и предаването на лични данни в рамките на Групата Байер, за да се осигури надлежна защита на личните права на засегнатите субекти на данните. Спазването на Корпоративната директива е изискване за свободния обмен на лични данни в Групата Байер.

3. Обхват

Настоящата Корпоративна директива ръководи всички въпроси, свързани с поверителността на данните. Тя се прилага към обработването на личните данни на физическо лице, чиито лични данни са обработвани в рамките на Групата Байер, включително служители, клиенти, доставчици, други договорни партньори, субекти и пациенти в клинични изпитвания, заинтересовани лица и други страни, независимо от произхода на данните. Защитата на данните и стандартите за сигурност на данните по настоящата Корпоративна директива обвързват всички дружества от Групата Байер.

Съществуващите законови задължения - както национални, така и международни - имат приоритет пред Корпоративната директива в държавите, където се осъществява събирането или обработката на лични данни. Поради това всеки получател на данни трябва да провери дали разпоредбите се прилагат спрямо неговата сфера на отговорност и да осигури спазването им. Независимо от това, когато изискванията за поверителност по националния или международен закон не са толкова строги, колкото тези по Директивата, настоящата Директива ще има приоритет. В някои държави органите за защита  на личните данни изискват уведомяване от администратора на лични данни преди извършване на изцяло или частично автоматизирано обработване на лични данни. Всяко дружество от Групата Байер носи отговорност за спазване на всички задължения за уведомяване в съответните държави. Предаването на лични данни на държавни органи и агенции е разрешено единствено съгласно съответните приложими национални закони.

Винаги когато бизнес отдел има основания да счита,че приложимите законови разпоредби му пречат да изпълни своите задължения съгласно императивните вътрешни правила на дружеството и значително увреждат гаранциите, предоставени съгласно тях, той следва да уведоми централата на Байер АГ незабавно, освен ако това не е забранено от правораздавателен орган съгласно националния закон.
Байер АГ следва да вземе отговорно решение по въпроса след консултация със Отговорника по корпоративна законосъобразност и да уведоми надлежно съответния национален орган за защита на данните.

4. Общи принципи за обработване на личните данни

4.1 Допустимост на обработката на данните

Обработката на лични данни е допустима единствено ако субектът на данните се е съгласил с това, или ако това е допустимо съгласно приложимото право на мястото на обработката. Допустимостта на обработката на личните данни е предпоставка за предаване на лични данни, съгласно Раздел 5.

Съгласието следва да бъде декларирано в писмена форма или по други законово допустими средства, при което субектът на данните трябва да бъде уведомен предварително относно целта на тази обработка на лични данни и възможното предаване на лични данни на трети страни. Върху предоставянето на съгласието следва да бъде поставен акцент,  когато бъде включвано в други декларации, така че да бъде ясно за субекта на данните.

4.2 Предвидена цел

Лични данни могат да бъдат събирани единствено за посочените, изрични и легитимни цели и не могат да бъдат обработвани допълнително за цели, различни от предвидените.. Целта на данните, получени от друго дружество Байер, трябва да бъде съобразена от получателя при допълнителна обработка и съхраняване на такива данни. Промени в целта са допустими единствено със съгласието на субекта на данните или ако това е разрешено по националното право в съответната държава, от която са получени личните данни.

4.3 Икономия на данните

Обработката на лични данни трябва да бъде необходима за предвидената цел. Наличните възможности за анонимизация или въвеждане на псевдоними за личните данни трябва да се използват на ранен етап, доколкото това е възможно и рентабилно за предвидената защитна цел. Горното се отнася в частност за личните данни на субекти и пациенти в клинични изпитвания.

4.4 Качество на данните

Личните данни трябва да бъдат фактически верни и, доколкото е необходимо, актуални. Трябва да се предприемат подходящи и разумни мерки за коригиране или изтриване на неправилните или непълни данни.

4.5 Сигурност на данните

Администраторът на данните следва да въведе подходящи технически и организационни мерки, за да осигури необходимата сигурност на данните. Тези мерки се отнасят в частност до компютрите (сървъри и работни места), мрежите и комуникационните връзки и приложения; те са инкорпорирани в системата за управление на ИТ сигурността на Групата Байер. Съществените мерки, които са въведени в Групата Байер за избягване на неоторизирана обработка на лични данни, включват, наред с останалото, контроли например на:

В допълнение, подходящи мерки трябва да бъдат предприети за защита на тези данни от изтриване по погрешка, неоторизирано изтриване или изгубване. Пълна информация е представена в Директивата за ИТ сигурност.

4.6 Поверителност на обработката на данните

Единствено оторизиран персонал, който се е ангажирал да спазва изискванията за поверителност на данните, има право да участва в обработката на лични данни. На служителите е забранено да използват такива данни за лични цели или да ги предоставят на неоторизирани дружества. Неоторизирани в този контекст означава и използването на лични данни от служители, които не се нуждаят от достъп до такива данни, за да изпълняват служебните си отговорности. Задължението за поверителност продължава да действа и след прекратяване на трудовите правоотношения.

4.7 Специални категории лични данни

Събирането и обработката на чувствителни данни по принцип са забранени и се разрешават единствено ако:

  • субектът на данните изрично е декларирал своето съгласие или
  • субектът на данните вече е направил данните публично достояние или
  • са необходими за защита на жизнени интереси на субекта на данните или трето лице, и субектът на данните не е в състояние поради физически или законови причини да декларира своето съгласие; или Групов регламент за защита на данните и поверителност на личните данни No. 1915 в рамките на Групата Байер, в сила от 1 януари 2008, страница 8 от 14
  • са необходими за упражняване, принудително изпълнение или защита на правни претенции и не може да се очаква законните интереси на субекта на данните, за това личните му данни да не бъдат събирани или обработвани, да имат приоритет или
  • са необходими за осъществяване на научно изследване, научният интерес в осъществяване на проекта за проучване има приоритет спрямо интересите на субекта неговите лични данни да не бъдат събирани или обработвани, и ако целта на проучването не може да бъде осъществена по друг начин или единствено при полагане на несъразмерни  усилия.


Наред с това, фармацевтичното проучване и развитие се подчиняват на множество национални и международни законови разпоредби, които специално защитават личните права на субектите на данните по отношение на обработването на чувствителни данни2. В зависимост от категорията чувствителни данни и рисковете, свързани с предвиденото използване, следва да бъдат предприети надлежни мерки за сигурност и безопасност съгласно раздел 4.5.  (например устройства за сигурност, криптиране и ограничаване на физическия достъп).

  • Физически достъп до системите за обработване на данни;
  • Контролиран достъп до системите, обработващи данни;
  • Контролиран достъп до приложенията, обработващи данни;
  • Въвеждане на данни в системите за обработване на данни и
  • Предаване на данни посредством трансмисия на данни.
  • Субектът на данните очевидно е направил данните публично достояние или
  • Са необходими за защита на жизнени интереси на субекта на данните или трето лице, и субектът на данните не е в състояние поради физически или законови причини да декларира своето съгласие; или
  • Са необходими за упражняване, принудително изпълнение или защита на правни претенции и не може да се очаква законните интереси на субекта на данните, неговите личните данни да не бъдат събирани или обработвани, да имат приоритет или
  • Са необходими за осъществяване на научно изследване, научният интерес в осъществяване на проекта за проучване има приоритет спрямо интересите на субекта личните данни да не бъдат събирани или обработвани, и ако целта на проучването не може да бъде осъществена по друг начин или единствено при полагане на несъразмерни усилия.

4.8 Външна обработка на лични данни

Ако дружество от Групата Байер или други дружества действат като възложител или външно лице, обработващо лични данни в рамките на обхвата на договор, свързан с обработката на лични данни, се прилага следното:

  • За външно лице, обработващо лични данни, следва да бъде избрано лице, което гарантира техническите и организационни защитни мерки, изискуеми при обработката на лични данни, и което предоставя достатъчни гаранции по отношение на защитата на личните права и упражняването на свързаните с тях права. Последното важи за дружества от Групата Байер, за които се прилага настоящата Корпоративна директива. В противен случай, такива гаранции може да се наложи да бъдат осигурени посредством задължаване на външното лице, обработващо лични данни, да спазва общите принципи на настоящата Корпоративна директива или чрез прилагане на стандартни договорни клаузи, предвидени от Европейския съюз (ЕС).
  • Обработването на лични данни от външно лице трябва да бъде регулирано в писмено споразумение, в което са посочени правата и задълженията на възложителя и съответното външно лице, обработващо лични данни.
  • Външното лице, обработващо лични данни, е договорно задължено да обработва лични данни единствено в рамките на договора и указанията, дадени от възложителя.


Лични данни не могат да бъдат обработвани за други цели.

Възложителят остава администратор на личните данни и договорен партньор за субектите на данните.

4.9 Автоматизирани решения, отразяващи се върху субектите на лични данни

Някои държави предвиждат ограничения в законовите си разпоредби за автоматизирани решения, които влияят върху субектите на данните. Това се прилага за решения, които са резултат от автоматизирано обработване на лични данни, имащи законови последици за субекта на данните или негативно отражение върху него. В тези изключителни случаи, в които автоматизираните решения се прилагат от дружества от Групата Байер, субектите на данните ще бъдат уведомени относно съответното автоматизирано решение, отразяващо се върху субектите, и ще имат възможност да коментират или оспорват решението. В такъв случай решението може да бъде преразгледано.

5. Предаване на лични данни

Предаването на лични данни в рамките на Европейската икономическа зона3 (ЕИЗ) по принцип е разрешено, ако обработката на данните е позволена и съгласно Раздел 4.1.

В случай на предаване на лични данни в рамките на държавата, в която данните са събрани, трябва да се осигури съответствие с наличните законови изисквания в съответната държава

5.1 Прехвърляне на лични данни от ЕИЗ към трети държави

Въз основа на Раздел 4.1 от настоящата Корпоративна директива, прехвърлянето на лични данни от държава в рамките на ЕИЗ към трета държава е позволено единствено в случай че:

  • Субектът на данните е предоставил своето съгласие; или
  • Прехвърлянето на лични данни е нужно за изпълнението на договора между субекта на данните и администратора на данни или с цел да се предприемат стъпки преди встъпване в договорни отношения, инициирани от субекта на данните; или
  • Прехвърлянето на лични данни е нужно с цел да се завърши или изпълни договор, който е сключен или предстои да бъде сключен с трето лице от страна на администратора на данни в интерес на субекта на данни; или
  • Прехвърлянето на лични данни се изисква или е предвидено по закон с цел защита на важен обществен интерес или за упражняване, прилагане или защита на съдебни искове; или
  • Прехвърлянето на лични данни е нужно за защита на важни интереси на субекта на данни; или прехвърлянето на лични данни е към трета страна, която Европейската Комисия е преценила, че разполага с адекватни стандарти за защита на данните4; или
  • Получаващата страна осигури адекватна гаранция по смисъла на Корпоративната директива по отношение на защитата на лични права и упражняване на права, свързани с това. Такъв е случаят за лицата в рамките на Групата Байер, към които се отнася настоящата Корпоративна директива.


Ако получателят не е лице в рамките на Групата Байер, трябва да се осигури, че Корпоративната директива се отнася за съответния реципиент. Лицето от Групата Байер, прехвърлящо лични данни, следва да предприеме нужните мерки в случай на нарушения от страна на получателя.

5.2 Прехвърляне на лични данни в рамките на трета държава или към друга трета държава

Последващо прехвърляне на лични данни, които са прехвърлени от ЕИЗ към получател в трета държава или към друга трета държава, се разрешава единствено в съответствие с разпоредбите на Раздел 4.1, ако съответната трета страна разполага с адекватни стандарти за защита на данните, или ако е приложимо едно от условията, представени в Раздел 5.1 от настоящата Корпоративна директива. Независимо от случая, лицето от Групата Байер в рамките на ЕИЗ, което е прехвърлило личните данни, следва да бъде информирано преди последващо прехвърляне на лични данни в рамките на третата държава или съответно към друга трета държава.

5.3 Предоставяне на оперативен адрес, функция и комуникационни данни

За целите на вътрешната корпоративна комуникация е позволено предоставянето на оперативен адрес, функция и комуникационни данни, в това число и информация относно разходните центрове – примерно в рамките на вътрешната мрежа или в централни директории на Lotus Notes – в рамките на Групата Байер, доколкото това е нужно за съответната цел. Трябва да се има предвид ограничената цел на данните за всички потребители.

6. Права на субекта на данни

6.1 Право на информация

Всеки субект на данни има правото да изисква информация относно вида лични данни, обработвани от Групата Байер, които засягат лично него/нея. Тази информация ще бъде предоставена независимо от мястото, където личните данни се обработват. Субектът на данни може да отправи всякаква подобна заявка за информация към местния отдел Човешки ресурси в рамките на съответната организация от Групата Байер (вижте също и Раздел 7.3). Специализираният отдел трябва да предостави нужното съдействие.

6.2 Искане за корекция

Ако съхраняваните лични данни са некоректни или непълни, субектът на данни може да изиска те да бъдат коригирани. Субектите на данни са отговорни за предоставянето на изцяло коректни лични данни към съответната организация в Групата Байер. В допълнение към това, субектът на данните следва да информира съответната организация от Групата Байер относно всякакви релевантни промени (пр. промени в адреса или името).

6.3 Отказ на искане за информация или корекция

Ако искането за информация или корекция бъде отказано, субектът на данни ще бъде информиран относно причината за съответния отказ.

6.4 Заличаване

Ако субектът на данни покаже, че целите, за които се обработват лични данни, вече не са допустими, нужни или адекватни при дадените обстоятелства, съответните лични данни ще бъдат заличени в съответствие със законовите разпоредби.

6.5 Право на възражение

Всеки субект на данни има право да възрази, ако неговите/нейните лични данни се ползват за рекламни цели или за цели, свързани с проучване на пазара или общественото мнение. Ако това се изисква по националното законодателство, субектът на данни следва да бъде информиран относно правото да възрази (да откаже да предостави лични данни), както и  да му бъдат предоставени данни, които идентифицират администратора на лични данни. В този случай личните данни трябва да бъдат блокирани и да не бъдат използвани за съответните цели. Също така, трябва да се отбележи, че в някои държави се изисква съгласие преди обработването на лични данни за горепосочените целите (предоставено съгласие за предоставяне на лични данни). Заедно с това, субектът на данните има генерално право да възрази на обработването на неговите / нейните данни. Това възражение трябва да бъде взето предвид, ако разследване покаже, че нуждата от защита на интересите на субекта в контекста на неговото / нейното лично положение е по-сериозна от интереса, който съответният отдел би имал от обработването на неговите/нейните данни. Подобно възражение обаче не би следвало да се вземе предвид, ако обработката на данните на съответния субект е задължително в съответствие с приложимото законодателство.

6.6 Въпроси и жалби / средства за правна защита

Във връзка с евентуални въпроси, жалби и средства за правна защита, моля обърнете се към Раздел 7.3.

7. Процедурни правила

7.1 Прилагане в Групата Байер

В качеството си на администратори на лични данни, Дружествата в Групата трябва да осигурят спазване на принципите, залегнали в настоящата Корпоративна директива. В този смисъл, служителите на организациите в Групата Байер с ръководни функции следва да осигурят, че настоящата Корпоративна директива се прилага, което включва в частност и предоставяне на информация към служителите. В случай че е нужно допълнително обучение, потърсете контакт с Служителя по защита на данните или неговия/нейния местен представител. В информацията също така следва да се подчертае, че нарушението на общите принципи на настоящата Корпоративна директива може да доведе до последствия, свързани с нарушаване на трудовото законодателство, ангажиране на наказателна или договорна отговорност.

7.2 Служител по защита на данните

Управителният съвет на Байер АГ следва да назначи Служител по защита на данните, който да контролира  спазването на Корпоративната директива. Ако се налага, Служителя по защита на данните, отговарящ за личните данни, може да бъде подпомаган от местни представители (регионални служители по защита на данните), които да са отговорни за осигуряване на защита на данните в рамките на отделните юридически лица, и които също така следва да информират Служителя по защита на данните, в случай на оплаквания.

Съответните местни представители трябва да следват инструкциите на Служителя по защита на данните. В случаите, в които Регионален служител по защита на данните, поема и функцията на Служител, отговарящ за личните данни в рамките на юридическото лице, той/тя следва да работи в тясно сътрудничество с Служителя по защита на данните, но инструкциите на последния, нямат задължителен характер. В рамките на техните задължения, дефинирани в настоящата Корпоративна директива, за Служител япо защита на данните и неговите/нейните местни представители, инструкциите от страна на управляващите дружеството нямат задължителен характер.

Служителите на Групата Байер с ръководни функции са задължени да подкрепят Служителя по защита на данните, както и неговите / нейните местни представители при упражняване на задълженията им.

Ако имате въпроси, моля свържете се Служител по защита на данните, на следния имейл адрес: E-mail

Моля, свържете се с нашия Служител по защита на данните, за да получите списък с местните представители.

7.3 Въпроси / оплаквания / средства за правна защита

Субектите на данни могат към всеки един момент да се свържат с Служителя по защита на данните, или с неговия / нейния местен представител и да отправят своите въпроси или оплаквания във връзка с обработката на лични данни. Тези въпроси и оплаквания ще бъдат третирани конфиденциално.

Ако въпрос или оплакване, отправено от субект на данни, е свързан с предполагаемо нарушение на настоящата Корпоративна директива от организация в Групата Байер, намираща се в държава, различна от държавата, в която живее субектът на данни, субектът на данни може да се свърже с организацията в Групата Байер, която е прехвърлила данните. В случай че предполагаемото нарушение бъде потвърдено, засегнатите организации в Групата Байер ще си съдействат със съответните страни (пр. агенции за защита на данните, други организации) в съответствие с настоящата Корпоративна Директива, за да коригират съответното предполагаемо нарушение.

Ако проблемът, за който е сигнализирал субект на данни не бъде поправен, субектът на данни може да подаде оплакване към Служителя по защита на данните. Служителя по защита на данните, ще информира субекта на данни относно своето решение и предприети действия. Процедурата, описана в настоящата Корпоративна Директива, се прилага в допълнение към всякакви други средства за правна защита и процедури, от които може да се възползва субектът на данни, в това число и правото на субекта на данни да отправя въпроси и оплаквания към отговорната агенция за защита на личните данни.

7.4 Задължение спрямо Агенциите за защита на личните данни

Страната, получаваща лични данни, прехвърлени от ЕИЗ към трета държава, както и Служителят по защита на данните, са длъжни, при молба за това, да си сътрудничат с агенцията за защита на личните данни в държавата, в която се намира страната, прехвърляща данните, както и да уважат констатациите на съответната агенция, в случай че същите са направени в следствие на съответния законов процес по отношение на прехвърлящата и получаващата страна. Прехвърлящата страна в ЕИЗ също така има правото да прегледа начина, по който личните данни се обработват от получаващата страна.

7.5 Корекции на Корпоративната директива и продължително прилагане

Байер си запазва правото да коригира настоящата Корпоративна директива при нужда – например с оглед осигуряване на законосъобразност с промени в правилници, наредби, изисквания на агенции за защита на лични данни или вътрешни процедури на Байер. Когато това се изисква по закон, Байер ще изпрати коригираната версия за регулаторен преглед.

В случай че настоящата Корпоративна директива стане недействиетелна, независимо от причините, довели до тази недействителност, всички организации в Групата Байер са обвързани с настоящата Корпоративна Директива по отношение на всякакви лични данни, прехвърлени преди датата на съответната недействителност, освен ако Корпоративната директива не бъде заменена с нова регулация.

7.6 Разгласяване

Настоящата версия на тази Корпоративна директива следва да бъде предоставена на всички субекти на данни по подходящ начин – примерно посредствим интранет или интернет.

7.7 Отношение към други регулации в компанията

В случай че други регулации в компанията са в противоречие с настоящата Корпоративна директива, Корпоративната директива има предимство.

8. Дефиниции


Анонимизация
представлява промяната на лични данни, така че съответните вече да не могат да бъдат асоциирани с даден човек или определена личност, която може да бъде идентифицирана.

Съгласие представлява всяка свободно предоставена, информирано  съгласие от субекта на данни, че той/тя приема обработването на своите лични данни. Съгласието може да подлежи на специфични изисквания в  зависимостот съответните национални закони.

Външно лице, обработващо лични данни, представлява физическото лице или юридическото лице, което обработва лични данни от името на администратор на лични данни

Администратор на лични данни е самостоятелна организация в Групата Байер, която взема решения относно целите и начините за обработка на лични данни.

Защита/ поверителност на данните представлява съвкупността от всички действия, предприети с цел защита на личните права на субектите на данни, когато се обработват личните им данни.

Субекти на данните са всички лица, чиито лични данни се обработват в Групата Байер, в това число настоящи, бъдещи и бивши служители, клиенти, доставчици и други договорни партньори, заинтересовани лица, субекти и пациенти в клинични изпитвания.

Служител по защита на данните в рамките на юридическото лице, е лицето, официално назначено за контролиране на вътрешната защита на лични данни в рамките на юридическо лице, принадлежащо към Групата Байер. Той / тя докладва на управляващите съответното юридическо лице в съответствие с местното законодателство, но инструкциите от страна на управляващите нямат задължаващ характер за него / нея.

Лични данни представлява всякаква информация, свързана с определено или определимо лице. Дадено лице е определимо, ако той/тя може да бъде идентифициран/а директно или индиректно, пр. чрез определяне на референтен номер.

Обработка на лични данни представлява всяка автоматизирана или неавтоматизирана операция или набор от действия, извършвани по отношение на личните данни – като например събиране, записване, съхраняване, адаптиране, промяна, избиране, възстановяване, ползване, прехвърляне, блокиране, изтриване или премахване. Тази дефиниция също така се прилага към думата „обработван“, когато тя се използва в този контекст.

Псевдонимизация представлява замяната на името и другите характеристики на субект на данни, подлежащи на идентификация, с етикет с цел предотвратяване на идентификацията на субекта на данни от неоторизирани страни или с цел сериозно възпрепятстване на подобна идентификация.

Регионален служител по защита на данните, е лицето, отговорно за комуникиране и контролиране на правните и корпоративните изисквания относно защитата на личните данни на регионално и оперативно ниво.

Безопасна трета държава е държава, за която Европейската Комисия е преценила, че разполага с адекватен стандарт за защита на личните данни.4

Чувствителни данни представляват специални категории лични данни, свързани с расовата или етническа принадлежност, политически възгледи, религиозни или философски възгледи, членство в професионални съюзи, здравословно състояние и сексуална ориентация.
Трета държава е всяка държава, намираща се извън Европейската Икономическа Зона (ЕИЗ5).

Трета страна е всяко физическо или юридическо лице, което не може да бъде причислено към администратора на лични данни, пр. всеки външен бизнес партньор, но също така и всяка друга компания в рамките на Групата. Субектите на данни сами по себе си или договорните администратори на лични данни в рамките на Европейската Икономическа Зона (ЕИЗ) не представляват трети лица.

Прехвърляне на лични данни е изращането на лични данни, разпространението им във всички други форми или прехвърлянето им към трети страни. Тази дефиниция също така се прилага аналогично и към думите „прехвърлян“ и „прехвърля“, когато се използват в настоящия контекст.

 

1 Групата Байер означава Байер АГ и всички компании, в коите Байер АГ държи директно или индиректно повече от 50% от акциите, или в които разполага с подобни контролни права.

2
Законовите разпоредби, приложими по отношение на фармацевтично изследване и развитие, включват – например в Германия – Закона за лекарствата (Arzneimittelgesetz), в Европа – Директивата на ЕС 2001/20/EC за добри клинични практики при изпълнението на клинични изпитвания, в САЩ Закона за преносимостта и отговорността по отношение на здравната осигуровка, а международно – Насоките на ICH, особено E6 Добри клинични практики (1996).

3 ЕИЗ се състои от страните-членки на Европейския Съюз плюс Исландия, Лихтенщайн и Норвегия.

4 Към 1 август 2006г. сертифицирани по Договора Safe Harbour са Аржентина, Канада и Швейцария, както и агенциите в САЩ.

5 ЕИЗ се състои от страните-членки на Европейския Съюз плюс Исландия, Лихтенщайн и Норвегия.