Rukovanje i načela

Zaštita podataka Grupe i privatnost osobnih podataka unutar Bayer Grupe

Kako bi globalno poslovanje bilo moguće, nužno je da se diljem Bayer Grupe razmjenjuju potrebne informacije i podaci. Radi međunarodnog poslovanja kompanije, nužno je poštivati niz pravnih obveza u različitim zemljama i regijama. Istovremeno, nužno je pružiti adekvatnu zaštitu našim poslovnim partnerima i zaposlenicima.

Prijenos osobnih podatka preko nacionalnih granica dopustiv je jedino u slučaju da su ti podaci propisno zaštićeni, odnosno ukoliko odjeljenja kompanije koja ih obrađuje mogu garantirati zaštitu privatnosti pojedinaca o čijim podacima se radi. Primjenjivanje ove Korporativne direktive o zaštiti podataka i privatnosti osobnih podataka zajedno s Direktivom o informatičkoj sigurnosti, ima za cilj osigurati da sve podružnice Grupe ispune taj uvjet. Ova Korporativna direktiva u skladu je s Njemačkim regulatornim vlastima.

1. Uvod

Za globalnu inovacijsku kompaniju kao što je Bayer, pribavljanje i svrhovita upotreba informacija od iznimne su važnosti za postizanje korporativnih ciljeva u svim područjima poslovanja. Suvremeni kanali komunikacije kao što su internet, intranet i e-mail, igraju ključnu ulogu u pristupu i razmjeni informacija. Oni omogućavaju Bayeru da brže i učinkovitije pripremi i provede korporativne odluke, nego što je to bio slučaj u prošlosti.

Međutim, poboljšanja koja dolaze kao rezultat razvoja informatičke tehnologije također donose veće rizike, koje etičko poduzeće kao što je Bayer mora uzeti u obzir. Primjerice, može doći do kršenja osobnih prava ukoliko se informatička tehnologija koristi na neprimjeren ili nepravilan način. U tom smislu Bayer nastoji zaštititi osobna prava svakog pojedinca čije podatke obrađuje - uključujući zaposlenike, klijente, dobavljače i ostale ugovorne partnere, zainteresirane stranke te subjekte i pacijente u kliničkim ispitivanjima - bez obzira na način ili metode kojima se do takvih osobnih podataka došlo. Stoga je Bayer izdao sljedeću Korporativnu direktivu koja se primjenjuje na cijelu Bayer Grupu1 tj. bez iznimke je obvezujuća, a odnosi se na zaštitu podataka i privatnost osobnih podataka. Ova Korporativna direktiva primjenjuje jedan aspekt Bayerovog Programa za pravnu usklađenost i korporativnu odgovornost.

2. Cilj

Cilj je ove Korporativne direktive definirati standarde sigurnosti za obradu, pohranu i prijenos osobnih podataka unutar Bayer Grupe, kako bi se osigurala adekvatna zaštita osobnih prava subjekata o čijim se podacima radi. Poštivanje Korporativne direktive preduvjet je za slobodnu razmjenu osobnih podataka unutar Bayer Grupe.

3. Opseg

Ova Korporativna direktiva regulira sva pitanja koja se tiču privatnosti podataka. Odnosi se na sve  pojedince čije osobne podatke obrađuje Bayer Grupa, uključujući zaposlenike, klijente, dobavljače i druge ugovorne partnere, subjekte i pacijente u kliničkim istraživanjima te druge zainteresirane stranke, bez obzira na izvor podataka. Zaštita podataka i standardi sigurnosti podataka ove Korporativne direktive obvezujući su za sva tijela Bayer Grupe.

Postojeće pravne obveze, nacionalne i međunarodne, imaju prednost nad ovom Korporativnom direktivom u zemljama u kojima se odvija prikupljanje ili obrada osobnih podataka. Stoga, svaki primatelj podataka mora provjeriti primjenjuju li se te regulative na njegovo/njezino područje odgovornosti te osigurati njihovo poštivanje. Međutim, ondje gdje su zahtjevi za privatnosti podataka prema nacionalnom ili međunarodnom pravom manje strogi nego prema ovoj Direktivi, prednost ima Direktiva. U određenim zemljama, vlasti nadležne za zaštitu podataka zahtijevaju da ih kontrolor podataka obavijesti prije bilo kakve cjelovite ili djelomične automatske obrade osobnih podataka. Svako tijelo Bayer Grupe odgovorno je za poštivanje svih takvih obveza obavještavanja u njihovim zemljama. Prijenos osobnih podataka tijelima i agencijama vlasti dopušten je jedino u skladu s primjenjivim nacionalnim zakonima.

U slučaju da neko od korporativnih tijela ima razloga smatrati da ga primjenjiva pravila statuta sprečavaju u ispunjenju obaveza u skladu s internim pravilima kompanije te da značajno štete garancijama koje se pod njima jamče, odmah će obavijestiti sjedište Bayer AG-a, osim u slučaju da mu to prema nacionalnom zakonu brane redarstvene službe.

Bayer AG će tada, nakon savjetovanja s Korporativnim direktorom za sigurnost, donijeti odgovornu odluku o dotičnom slučaju te će u skladu s odlukom obavijestiti nadležno nacionalno tijelo za zaštitu podataka.

4. Opća pravila za obradu osobnih podataka

4.1 Dopustivost obrade podataka
Obrada osobnih podataka dopuštena je jedino ukoliko je subjekt na to pristao ili ukoliko je dopustivo prema primjenjivom zakonu u mjestu obrade. Dopustivost obrade podataka preduvjet je za prijenos osobnih podataka u skladu s Paragrafom 5.

Pristanak se daje u pisanom ili bilo kojem drugom zakonski dopustivom obliku, ali subjekt mora biti unaprijed informiran o svrsi obrade osobnih podataka i o mogućem prijenosu podataka trećim osobama. Izjava o suglasnosti mora biti istaknuta kada se prilaže zajedno s drugim izjavama kako bi subjektu bila razumljiva.

4.2. Namjera
Osobni se podaci smiju prikupljati samo u određene, jasne i legitimne svrhe te se ne smiju slati na daljnju obradu koja nije u skladu s tom namjerom. Primatelj podataka koje prenosi neka od Bayerovih tvrtki treba pri daljnjoj obradi i pohrani podataka uzeti u obzir njihovu svrhu. Promjena svrhe dopustiva je jedino uz pristanak subjekta ili ukoliko je dopustivo prema nacionalnim zakonima u zemlji iz koje se podaci prenose.

4.3 Ekonomija podataka
Obrada osobnih podataka mora biti nužna za određenu namjeru. Ukoliko je moguće i ukoliko je trošak primjeren ciljanoj svrsi zaštite podataka u početnim fazama valja koristiti podatke koji su anonimni i pod pseudonimima. To se posebno odnosi na osobne podatke subjekata i pacijenata u kliničkim ispitivanjima.

4.4 Kvaliteta podataka
Osobni podaci moraju biti činjenično ispravni i prema potrebi ažurirani. Potrebno je poduzeti prikladne i razumne mjere kako bi se ispravili ili izbrisali neispravni ili nepotpuni podaci.

4.5 Sigurnost podataka
Kontrolor podataka poduzet će odgovarajuće tehničke i organizacijske mjere kako bi se osigurala potrebna zaštita podataka. Ove se mjere posebno odnose na računala (servere i radna računala), mreže i komunikacijske veze te aplikacije; oni su uključeni u IT sustav sigurnosti Bayer Grupe. Neophodne mjere koje su poduzete u Bayer Grupi kako bi se izbjegla neovlaštena obrada osobnih podataka uključuju, među ostalim, kontrolu primjerice sljedećeg:

  • fizičkog pristupa sustavima za obradu podataka;
  • logičkog pristupa sustavima za obradu podataka;
  • logičkog pristupa aplikacijama za obradu podataka;
  • unošenja podataka u sustave za obradu podataka;
  • prijenosa podataka odašiljanjem podataka.


Uz to, odgovarajuće mjere moraju se poduzeti kako bi se takvi podaci zaštitili od nenamjernog i neovlaštenog brisanja te gubitka. Detalji su regulirani u Direktivi o informatičkoj sigurnosti.

4.6 Povjerljivost obrade podataka
Samo ovlašteno osoblje koje je upoznato s uvjetima tajnosti podataka smije biti uključeno u obradu istih. Njima je zabranjeno koristiti te podatke u osobne svrhe ili ih učiniti dostupnima bilo kojoj neovlaštenoj stranci. Neovlaštenima se u ovome kontekstu smatraju i zaposlenici kojima pristup tim podacima nije nužan za ispunjenje radnih obaveza. Obveza povjerljivosti vrijedi i nakon prestanka radnog odnosa.

4.7 Posebne kategorije osobnih podataka
Prikupljanje i obrada osjetljivih podataka općenito je zabranjena te se dopušta isključivo ukoliko:

  • je subjekt dao izričito dopuštenje;
  • je subjekt te podatke učinio/la javnima;
  • je ono nužno za zaštitu ključnih interesa subjekta ili trećih osoba, a subjekt iz fizičkih ili zakonskih razloga nije u mogućnosti dati suglasnost; ili u slučaju primjene Regulative br. 1915 o zaštiti podataka i privatnosti osobnih podataka unutar Bayer Grupe koja je na snazi od 1. siječnja 2008, str. 8 od 14;
  • je ono nužno za izvršenje, provedbu ili obranu pravnih radnji te se ne može očekivati da će prednost imati opravdani interesi subjekta za neprikupljanjem i neobrađivanjem podataka;
  • je ono nužno za provedbu znanstvenog istraživanja - u tom slučaju znanstveni interes za provedbu istraživanja ima prednost nad interesom subjekta za neprikupljanjem i neobrađivanjem osobnih podataka te ukoliko se svrha istraživanja ne može ispuniti na drugi način ili je to moguće samo uz neprimjereno velik napor.

Nadalje, farmaceutska istraživanja i razvoj podložna su nizu nacionalnih i međunarodnih pravnih propisa koji posebno štite osobna prava subjekata po pitanju obrade osjetljivih podataka2. Ovisno o kategoriji osjetljivih podataka te rizicima povezanima sa svrhom njihove upotrebe, poduzet će se odgovarajuće mjere sigurnosti i zaštite u skladu s Paragrafom 4.5 (npr. tehnički sigurnosni uređaji, šifriranje i ograničavanje fizičkog pristupa podacima).

4.8 Ugovorna obrada podataka
Ukoliko tijelo Bayer Grupe ili neka druga tijela djeluju kao glavni ili ugovorni obrađivači podataka, u dijelu ugovora koji se odnosi na proces obrade osobnih podataka, primjenjuje se sljedeće pravilo:

Glavni obrađivač ostaje kontrolor osobnih podataka te subjektov kontakt partner.

4.9 Automatizirane odluke koje imaju posljedice po subjekte
Određene zemlje svojim propisima postavljaju ograničenja na automatizirane odluke koje imaju posljedice po subjekte. To se odnosi na odluke koje su proizašle iz činjenice da automatizirana obrada osobnih podataka može imati pravne posljedice po subjekt ili imati nepovoljan učinak na njega/nju. U tim iznimnim slučajevima u kojima su te automatizirane odluke donesene od strane tijela Bayer Grupe, subjekti će biti obaviješteni o tome da je došlo do automatizirane odluke koja ima po njih posljedice te će im biti pružena mogućnost komentiranja ili preispitivanja odluke. U tom se slučaju odluka mora ponovno pregledati.

  • Odabrat će se ugovorni obrađivač podataka koji će jamčiti da su poduzete tehničke i organizacijske sigurnosne mjere nužne za obradu osobnih podataka, kao i zaštitu osobnih prava i provođenje pripadajućih prava. Posljednje se odnosi na tijela Bayer Grupe na koje se primjenjuje ova Korporativna direktiva. Ukoliko to nije slučaj, takvo jamstvo će se možda morati osigurati obvezivanjem ugovornog obrađivača podataka na poštivanje općih principa ove Korporativne direktive ili primjenom standardnih ugovornih klauzula Europske Unije (EU).
  • Obrada osobnih podataka od strane ugovornog obrađivača mora biti regulirana pismenim ugovorom u kojem su određena prava i obveze glavnog i ugovornog obrađivača podataka.
  • Ugovorni obrađivač podataka je ugovorom obvezan obraditi samo one osobne podatke pokrivene ugovorom te uputama glavnog obrađivača. Osobni se podaci ne smiju obrađivati ni u koje druge svrhe.

 

5. Prijenos osobnih podataka

Prijenos osobnih podataka unutar Europskog ekonomskog područja3 (EEA) općenito je dopušten ukoliko je obrada podataka također dopuštena sukladno Paragrafu 4.1.

Za prijenos osobnih podataka unutar zemlje u kojoj su prikupljeni, nužno je osigurati poštivanje postojećih pravnih propisa dotične zemlje.

5.1 Prijenos osobnih podataka iz EEA u treće zemlje
Temeljem Paragrafa 4.1 ove Korporativne direktive, prijenos osobnih podataka iz zemlje unutar EEA u treću zemlju dopušten je samo ako:

  • je subjekt dao svoju izričitu suglasnost;
  • je prijenos osobnih podataka nužan za provedbu ugovora između subjekta i kontrolora podataka ili kako bi se poduzele mjere prije potpisivanja ugovora inicirane od strane subjekta;
  • je prijenos osobnih podataka nužan za dovršenje ili izvršenje ugovora koji je potpisan ili će biti potpisan između treće strane i kontrolora podataka, a u interesu je subjekta;  
  • je prijenos osobnih podataka obvezan ili propisan zakonom u svrhu zaštite bitnog javnog interesa ili u svrhu izvršenja, provedbe ili obrane pravnih radnji;
  • je prijenos osobnih podataka nužan za zaštitu vitalnih interesa subjekta;
  • se radi o prijenosu osobnih podataka u treću zemlju za koju je Europska komisija ocijenila da ima odgovarajuće standarde zaštite podataka4;
  • primatelj pruži dovoljno jamstvo koje je u skladu s ovom Korporativnom direktivom, vezano uz zaštitu osobnih prava i uživanje pripadajućih prava. To se odnosi na tijela Bayer Grupe na koja se primjenjuje ova Korporativna direktiva.


Ukoliko primatelj nije tijelo Bayer Grupe, nužno je osigurati da se ova Korporativna direktiva primjenjuje na primatelja. Tijelo Bayer Grupe koje vrši prijenos osobnih podataka poduzeti će odgovarajuće mjere u slučaju kršenja Direktive od strane primatelja.

5.2. Prijenos osobnih podataka unutar treće zemlje ili prema daljnjoj trećoj zemlji
Daljnji prijenos osobnih podataka koji su preneseni iz zemlje unutar EEA primatelju unutar treće zemlje ili prema nekoj daljnjoj trećoj zemlji dopušten je, sukladno Paragrafu 4.1, samo ukoliko dotična treća zemlja posjeduje prihvatljive standarde zaštite podataka ili ukoliko se radi o jednoj od situacija opisanih u Paragrafu 5.1 ove Korporativne direktive. U svakom slučaju, tijelo Bayer Grupe unutar EEA koje je prenijelo osobne podatke bit će obaviješteno prije daljnjeg prijenosa osobnih podataka unutar treće zemlje ili prema nekoj daljnjoj trećoj zemlji.

5.3 Ustupanje poslovne adrese, funkcije i kontakt podataka
U svrhu komunikacije unutar tvrtke, dopušteno je unutar Bayer Grupe ustupati poslovnu adresu, funkciju i kontakt podatke, uključujući podatke o troškovnim centrima - primjerice putem intraneta ili servera za komunikaciju klijenata i servera - u granicama u kojima je to nužno za ispunjenje te svrhe. Ograničena upotreba podataka svih korisnika mora se imati na umu.

6. Prava subjekta

6.1 Pravo na informiranje
Svaki subjekt ima pravo zatražiti informacije o vrsti njegovih/njezinih osobnih informacija koje obrađuje tijelo Bayer Grupe. Ova će se informacija pružiti neovisno o tome gdje se osobni podaci obrađuju. Subjekt može takav zahtjev poslati lokalnom odjelu za ljudske resurse ili dotičnom tijelu Bayer Grupe (vidi također Paragraf 7.3). Nadležni odjeli moraju pružiti odgovarajuću potporu.

6.2 Zahtjev za ispravkama
Ukoliko su pohranjeni osobni podaci netočni ili nepotpuni, od subjekta će se možda zatražiti ispravak. Subjekti su odgovorni za davanje samo ispravnih osobnih podataka dotičnom tijelu Bayer Grupe. Uz to, svi subjekti moraju informirati dotično tijelo Bayer Grupe o svim relevantnim promjenama (npr. promjene adrese ili imena).

6.3 Odbijanje zahtjeva za informacijama ili ispravkama
Ukoliko je zahtjev za informacijama ili ispravkama odbijen, subjekt će biti obaviješten o razlozima odbijanja.

6.4 Brisanje podataka
Ukoliko subjekt dokaže da razlozi iz kojih se obrađuju osobni podaci više nisu dopustivi, potrebni ili razumni pod dotičnim okolnostima, odgovarajući osobni podaci bit će obrisani, ukoliko to ne brane važeći pravni propisi.

6.5 Pravo prigovora
Svaki subjekt ima pravo prigovora ukoliko se njegovi/njezini podaci koriste u marketinške svrhe ili u svrhu istraživanja tržišta ili mišljenja. Ukoliko to zahtijeva važeći nacionalni zakon, subjekt će biti informiran o pravu prigovora i o kontroloru podataka. U tom slučaju, osobni podaci u tu svrhu moraju biti blokirani. Također valja primijetiti da neke zemlje zahtijevaju davanje suglasnosti prije obrade osobnih podataka u marketinške svrhe. Nadalje, subjekt ima opće pravo prigovoriti na obradu njegovih/njezinih podataka. Prigovor se mora uzeti u obzir ukoliko istraga pokaže da je potreba za zaštitom subjektovih interesa zbog posebnosti njegove/njezine situacije veća od interesa koji nadležni odjel ima u obradi njegovih/njezinih podataka. Takav se prigovor, međutim, neće uzeti u obzir ukoliko je obrada subjektovih podataka obavezna prema važećem zakonu.

6.6 Pitanja i prigovori/pravni lijek
U vezi mogućih pitanja, prigovora i pravnog lijeka, molimo pogledajte Paragraf 7.3.

7. Proceduralna pravila

7.1 Provođenje unutar Bayer Grupe
Tvrtke unutar Grupe koje djeluju kao kontrolori podataka, moraju osigurati poštivanje principa utjelovljenih u ovoj Korporativnoj direktivi. Sukladno s tim, zaposlenici na upravljačkim pozicijama u tijelima Bayer Grupe moraju osigurati provođenje ove Korporativne direktive, što se posebno odnosi na informiranje zaposlenika. Ukoliko je potrebna dodatna obuka, valja se obratiti Korporativnom direktoru za privatnost ili njegovom/njezinom lokalnom predstavniku. Pri informiranju zaposlenika također valja naglasiti da kršenje osnovnih principa ove Korporativne direktive može za sobom vući posljedice temeljem Kaznenog zakona, Zakona o odgovornosti pravnih osoba te Zakona o radu.

7.2 Korporativni Direktor za privatnost
Upravni odbor Bayer AG-a imenovati će Korporativnog direktora za privatnost koji će nadzirati poštivanje ove Korporativne direktive. Ukoliko to bude potrebno, Korporativnom direktoru za privatnost pomagat će lokalni predstavnici (Regionalni direktori za privatnost), koji su odgovorni za osiguravanje zaštite podataka u pravnim tijelima i koji će u slučaju žalbi obavijestiti Korporativnog direktora za privatnost.

Lokalni predstavnici slijediti će upute Korporativnog direktora za privatnost. Ondje gdje Regionalni direktor za privatnost također vrši funkciju Direktora za privatnost pravnog tijela, on/ona će blisko surađivati s Korporativnim direktorom za privatnost, ali za nju/njega upute potonjeg neće biti obvezujuće. Svojim dužnostima, definiranim u ovoj Korporativnoj direktivi, Korporativni direktor za privatnost i njegovi/njeni lokalni predstavnici nisu obvezani uputama Uprave.

Zaposlenici na upravljačkim pozicijama u Bayer Grupi obavezni su podržati Korporativnog direktora za privatnost i njegove/njene lokalne predstavnike u provođenju svojih dužnosti.

Korporativnog direktora za privatnost može se kontaktirati putem e-mail adrese: e-mail. Molimo kontaktirajte Korporativnog direktora za privatnost koji Vam može dati popis lokalnih predstavnika.

7.3 Pitanja i prigovori/pravni lijek
Subjekti mogu u bilo kojem trenutku kontaktirati Korporativnog direktora za privatnost ili njegove/njene lokalne predstavnike s bilo kakvim pitanjem ili prigovorom vezanim uz obradu osobnih podataka. Takvi će se upiti i prigovori tretirati povjerljivo.

Ukoliko se upit ili prigovor subjekta odnosi na navodno kršenje ove Korporativne direktive od strane tijela Bayer Grupe koje se nalazi u zemlji koja nije ista kao i zemlji prebivališta subjekta, subjekt može kontaktirati tijelo Bayer Grupe koje je obavilo prijenos podataka. Ukoliko kršenje Direktive bude potvrđeno, odgovorna tijela Bayer Grupe surađivati će s odgovarajućim strankama (npr. agencijama za zaštitu podataka, drugim tijelima), u skladu s ovom Korporativnom direktivom, te uputiti na pravni lijek.

Ukoliko slučaj koji je pokrenuo subjekt ne bude ispravljen, subjekt može podnijeti žalbu Korporativnom direktoru za privatnost. Korporativni direktor za privatnost će obavijestiti subjekta o svojoj odluci i odgovarajućim pravnim lijekovima. Procedure opisane u ovoj Korporativnoj direktivi primjenjuju se zajedno s drugim pravnim lijekovima i procedurama dostupnima subjektu, uključujući pravo subjekta da podnese upite i prigovore nadležnoj agenciji za zaštitu podataka.

7.4 Obveze prema agencijama za zaštitu podataka
Stranka koja prima osobne podatke prenešene iz područja EEA u treću zemlju i Korporativni direktor za sigurnost, moraju, ukoliko se to od njih zahtijeva, surađivati s agencijom za zaštitu podataka zemlje u kojoj se nalazi stranka koja prenosi podatke i poštivati njena rješenja, ukoliko su ona donesena slijedeći primjenjiv pravni postupak vezan za stranke koje prenose, odnosno primaju podatke. Stranka iz područja EEA koja prenosi podatke također ima pravo provjeriti obradu osobnih podataka od strane stranke koja te podatke prima.

7.5 Izmjene Korporativne direktive i nastavak primjene
Bayer zadržava pravo izmijeniti ovu Korporativnu direktivu sukladno potrebama, primjerice kako bi ona bila u skladu sa statutom, propisima, zahtjevima agencija za zaštitu podataka ili internim Bayerovim procedurama. Ukoliko to zahtijeva zakon, Bayer će izmijenjenu verziju predati na kontrolni pregled.

Ukoliko ova Korporativna direktiva prestane biti valjana, neovisno o razlozima prestanka valjanosti, sve tijela Bayer Grupe obvezana su Korporativnom direktivom, vezano uz osobne podatke prenešene prije nastupanja nevaljanosti, osim ukoliko je Korporativnu direktivu zamijenio novi propis.

7.6 Informiranje
Trenutna verzija Korporativne direktive bit će dostupna svim subjektima na prikladan način, npr. putem intraneta ili interneta.

7.7 Odnos prema drugim propisima kompanije
Ukoliko drugi propisi kompanije proturiječe ovoj Korporativnoj direktivi, Korporativna direktiva ima pravo prednosti.

8. Definicije

Anonimizacija je promjena osobnih podataka tako da se oni više ne mogu povezati s određenom ili prepoznatljivom osobom.
Suglasnost je informirana izjava subjekta dana slobodnom voljom u kojoj stoji da on/ona prihvaća obradu svojih osobnih podataka. Suglasnost može sadržavati posebne odredbe koje proizlaze iz nacionalnih zakona.
Ugovorni obrađivač podataka je pojedinac ili pravna osoba koja obrađuje osobne informacije u ime kontrolora podataka.
Kontrolor podataka je pravno nezavisno tijelo Bayer Grupe koje odlučuje o svrsi i načinima obrade osobnih podataka.
Zaštita/privatnost podataka je skup svih radnji poduzetih u svrhu zaštite osobnih prava subjekata, pri postupanju s njihovim osobnim podacima.
Subjekti su svi pojedinci čije osobne podatke obrađuje Bayer Grupa, uključujući trenutne, buduće i bivše zaposlenike, klijente, dobavljače i druge ugovorne partnere, zainteresirane strane te subjekte i pacijente u kliničkim ispitivanjima.
Direktor za privatnost pravnog tijela je osoba službeno zadužena za nadzor zaštite internih podataka u nekom od pravnih tijela Bayer Grupe. On/ona dostavlja izvješća Upravi tog pravnog tijela sukladno lokalnom zakonu, bez da je ograničena uputama Uprave.
Osobni podaci su sve informacije koje se tiču određenog ili prepoznatljivog pojedinca. Pojedinac je prepoznatljiv ako se njega/nju može izravno ili neizravno identificirati, npr. dodjelom referentnog broja.
Obrada osobnih podataka je svaka automatizirana ili neautomatizirana radnja ili niz radnji obavljenih vezano uz osobne podatke kao što je prikupljanje, zapisivanje, pohranjivanje, prilagodba, promjena, odabir, dohvat, upotreba, prijenos, blokiranje, uklanjanje ili brisanje podataka. Ova se definicija također primjenjuje na riječ "obrađeno" kada je ona upotrijebljena u ovome kontekstu.
Pseudonimizacija je zamjena imena i drugih prepoznatljivih karakteristika subjekta, s nekom drugom oznakom u svrhu sprečavanja identifikacije subjekta od strane neovlaštenih osoba ili kako bi se takva identifikacija značajno otežala.
Regionalni direktor za privatnost je osoba zadužena za nadzor i informiranje o korporativnim zahtjevima vezanima za privatnost podataka na regionalnoj i operativnoj razini.
Sigurna treća zemlja je zemlja za koju je EK procijenila da posjeduje akekvatan standard zaštite podataka4.
Osjetljivi podaci su posebna kategorija osobnih podataka koji se tiču rasnog ili etničkog podrijetla, političkih stavova, vjerskih ili filozofskih uvjerenja, članstva u sindikatu, zdravlja i spolne orijentacije.
Treća zemlja je svaka zemlja izvan Europskog ekonomskog područja (EEA5).
Treća strana je svaki pojedinac ili pravno tijelo koje ne može biti dodijeljeno kontroloru podataka, npr. svaki vanjski poslovni partner, ali i sve druge tvrtke unutar Grupe. Treće strane ne mogu biti subjekti niti ugovorni obrađivači podataka unutar Europskog ekonomskog područja (EEA).
Prijenos osobnih podataka je proslijeđivanje osobnih podataka, njihova distribucija i svi drugi oblici njihova prijenosa trećim stranama. Ova se definicija analogno primjenjuje i na riječi "prenešeno" i "prenositelj" kada su one upotrebljene u ovome kontekstu.

1    Pod Bayer Grupom smatra se Bayer AG i sve tvrtke u kojima Bayer AG, direktno ili indirektno, posjeduje više of 50% udjela ili ima proporcionalna prava kontrole.

2    Pravni propisi koji se odnose na farmaceutska istraživanja i razvoj uključuju, primjerice, njemački Zakon o lijekovima (Arzneimittelgesetz), Direktivu 2001/20/EZ o  dobroj kliničkoj praksi pri provođenju kliničkih ispitivanja lijekova za ljudsku uporabu, američki Zakon o prenosivosti zdravstvenog osiguranja i odgovornosti te na međunarodnoj razini Smjernice ICH (International Conference on Harmonisation of Technical Requirements for Registration of Pharmaceuticals for Human Use), posebice E6 Dobra klinička praksa (1996).

3    Europsko ekonomsko područje sastoji se od zemalja članica Europske unije te Islanda, Lihtenštajna i Norveška.

4    S danom 1. kolovozom 2006. to su bile Argentina, Kanada i Švicarska te agencije u SAD-u ovlaštene prema Safe Harbor Treatyju (ugovor između SAD-a  i EU koji regulira prijenos osobnih podataka).

   Europsko ekonomsko područje sastoji se od zemalja članica Europske unije te Islanda, Lihtenštajna i Norveška.