Защита информации и персональных данных в Концерне «Байер»

Для поддержания международных бизнес-процессов концерна «Байер» должен осуществляться общекорпоративный обмен информацией и данными. Компания ведет международную деятельность и поэтому обязана соблюдать законодательные требования различных стран и регионов. В то же время должна быть обеспечена надлежащая защита интересов коммерческих партнеров и сотрудников Концерна.

Трансграничная передача персональных данных разрешена исключительно в случае применения надлежащих мер защиты или получения от отделов, которые обрабатывают такие данные, достаточных гарантий того, что будет соблюдена неприкосновенность частной жизни лиц, которым принадлежит переданная информация. Цель настоящей Директивы концерна о защите информации и персональных данных, которая применяется совместно с директивой «Информационная безопасность» (Инструкция Концерна № 1435) — обеспечить выполнение данного требования всеми компаниями Концерна. Настоящая Директива концерна согласована с регулятивными органами Германии.

Редакция 1.0 настоящей Директивы, вступившая в силу 1 января 2007 года, была принята в связи с нормативно-правовыми требованиями и внесением изменений в систему защиты данных концерна «Байер».

Редакция 1.1 Директивы Концерна № 1915 («Защита информации и персональных данных в Концерне «Байер»») вступила в силу 1 января 2008 года.

Концерн «Байер» является инновационной международной компанией, и именно поэтому для достижения целей Концерна во всех сферах коммерческой деятельности критически важно получение и разумное использование информации. Современные каналы обмена информацией, такие как Интернет, внутрикорпоративные сети и электронная почта, играют ведущую роль при получении и обмене информацией. Они позволяют Концерну «Байер» подготавливать и внедрять корпоративные решения быстрее и эффективнее, чем в прошлом.

Однако инновации в современных информационных технологиях также несут с собою риск, который компании, придающие большое значение соблюдению этических принципов, такие как «Байер», должны учитывать в своей работе. Например, в случае неправильного или ненадлежащего использования средств информационной технологии могут быть нарушены личные права. Концерн «Байер» стремится обеспечить защиту личных прав всех физических лиц, чьи данные используются в работе, в том числе прав своих сотрудников, клиентов, поставщиков, контрагентов, заинтересованных лиц, субъектов клинических исследований и пациентов, участвующих в них, вне зависимости от того, каким образом были получены персональные данные. Именно по этой причине Концерн "Байер«¹ издал настоящую Директиву о защите информации и персональных данных, обязательную для исполнения во всем Концерне. Настоящая Директива охватывает один из аспектов Программы по соблюдению законодательной и корпоративной ответственности в Концерне «Байер» (Инструкция Концерна № 1748).

¹ Концерн «Байер» означает Bayer AG, а также все компании, более 50% долевого участия или акций которых прямо или косвенно принадлежат Bayer AG, или компании, в отношении которых Bayer AG имеет сопоставимое право контроля.

Цель настоящей Директивы — установить стандарты безопасности в отношении обработки, хранения, передачи персональных данных в рамках Концерна «Байер» с целью обеспечения достаточных мер защиты личных прав субъектов данных. Свободный обмен персональными данными в рамках Концерна «Байер» может осуществляться исключительно на условиях соблюдения положений настоящей Директивы.

Настоящая Директива регулирует все вопросы, связанные с защитой данных. Ее положения применяются в отношении обработки персональных данных физических лиц, чьи данные используются концерном «Байер», включая сотрудников, клиентов, поставщиков и других контрагентов, субъектов клинических исследований и пациентов, принимающих в них участие, вне зависимости от происхождения данных. Положения настоящей Директивы, касающиеся защиты и безопасности данных, имеют обязательную силу для всех юридических лиц, входящих в Концерн.

Существующие международные и национальные правовые обязательства имеют преимущественную силу в отношении настоящей Директивы Концерна в странах, где происходит сбор или обработка персональных данных. Все получатели данных обязаны проверять, применяются ли указанные положения в сфере их ответственности и обеспечивать их соблюдение. Однако в случаях, когда настоящая Директива налагает более строгие ограничения, чем национальное или международное право, преимущественную силу имеет Директива.

В некоторых странах оператор данных обязан предварительно уведомлять уполномоченные органы по защите прав субъектов данных в случае полной или частичной обработки данных с использованием средств автоматизации. За соблюдение таких требований в соответствующих странах отвечают юридические лица концерна. Передача персональных данных государственным органам и властям разрешена только в порядке, предусмотренном применимым национальным законодательством.

В случае если структурное подразделение концерна считает, что согласно применимым установленным законом требованиям оно не может выполнить требования, предусмотренные обязательными для исполнения внутренними инструкциями компании, или что такие требования оказывают значительное негативное влияние на гарантии по таким инструкциям, то данное подразделение незамедлительно уведомляет штаб- квартиру концерна (если это не запрещено правоохранительными органами согласно национальному законодательству).

Концерн «Байер» принимает обоснованное решение по данному вопросу после консультации с Должностным лицом, отвечающим за защиту данных, и уведомляет соответствующий орган по защите прав субъектов данных.

4.1 Ограничения обработки данных
Обработка персональных данных разрешена только если субъект данных дал на это свое согласие или если такая обработка разрешена применимым законодательством по месту обработки информации. Любая передача данных для обработки согласно Главе 5 допускается исключительно с учетом данного ограничения.

Согласие должно быть получено в письменной форме или в иной форме, предусмотренной законодательством, а субъект данных должен быть заранее уведомлен о цели обработки данных и возможности их передачи третьим лицам. В случае если разрешение на обработку данных включено в иной документ, текст разрешения должен быть выделен так, чтобы привлечь к нему внимание субъекта данных.

4.2 Цель сбора данных
Персональные данные могут быть собраны исключительно с четко определенными, прозрачными и законными целями и не подлежат последующей обработке в любых иных целях. В случае получения данных от другой компании концерна целевое назначение данных должно учитываться их получателем при дальнейшей обработке и хранении. Целевое назначение данных может быть изменено только в случае получения согласия субъекта данных или допустимости такого изменения согласно местному законодательству соответствующей страны, из которой получены персональные данные.

4.3 Минимизация объема данных
Данные могут обрабатываться только в случае существования необходимости, обусловленной их целевым назначением. В случае возможности обезличивания данных или использования псевдонимов и обоснованного уровня затрат на использование данных средств защиты, соответствующие меры должны быть приняты на самых ранних стадиях. Настоящее правило применяется, в частности, в отношении персональных данных исследуемых и пациентов при проведении клинических исследований.

4.4 Достоверность данных
Персональные данные должны быть достоверными и, при такой необходимости, актуальными. Для исправления и уничтожения недостоверных или неполных данных должны приниматься соответствующие обоснованные меры.

4.5 Защита данных
Заказчик обработки данных должен внедрить соответствующие технические и организационные меры для обеспечения надлежащего уровня защиты данных. Данное требование в наибольшей мере относится к компьютерному оборудованию (серверам и рабочим станциям), сетям и каналам коммуникаций, а также приложениям; меры должны быть внедрены в качестве элемента системы управления информационной безопасностью концерна «Байер». Обязательные меры, внедряемые в рамках концерна для предотвращения неавторизованной обработки персональных данных, помимо прочего включают в себя средства контроля:

• физического доступа к системам обработки данных;
• логического доступа к системам обработки данных;
• логического доступа к приложениям обработки данных;
• ввода данных в системы обработки данных;
• передачи данных с помощью средств передачи.

Помимо этого должны быть приняты соответствующие меры для защиты данных от случайного или неавторизованного удаления или потери. Полностью данные меры описаны в Директиве «Информационная безопасность» (Инструкция концерна № 1435).

4.6 Соблюдение конфиденциальности при обработке данных
В процессе обработки персональных данных могут участвовать только уполномоченные сотрудники, принявшие на себя обязательство соблюдать требования в отношении конфиденциальности данных. Запрещено использовать такие данные в личных целях или разглашать их неуполномоченным лицам. В контексте настоящей Инструкции «неуполномоченные лица» также включают в себя сотрудников, которым не требуется доступ к таким данным для выполнения служебных обязанностей. Обязательства по соблюдению конфиденциальности продолжают действовать после прекращения трудового договора.

4.7 Особые категории персональных данных
Сбор и обработка уязвимых данных в большинстве случаев запрещены и разрешаются только при соблюдении следующих условий:

• субъект данных дал прямое согласие на их использование;
• субъект данных сделал их общедоступными;
• данные действия необходимы для защиты интересов субъекта данных или третьего лица, а субъект данных по юридическим или физическим причинам не в состоянии дать свое согласие;
• данные действия необходимы для предъявления иска, защиты в суде или принудительного исполнения судебного решения, и при этом нет оснований полагать, что обоснованный интерес субъекта данных в отказе от сбора или обработки персональных данных будет иметь преимущественную силу;
• данные необходимы для проведения научных исследований, причем преимущественную силу при проведении таких исследований имеет научный интерес, а не интерес субъекта данных в том, чтобы не предоставлять данные для сбора и обработки, а также если исследования невозможно провести без использования таких данных, не прилагая при этом нерациональных усилий.

Помимо того, фармакологические исследования и разработки регулируются множеством национальных и международных положений о защите уязвимых персональных данных при их обработке².

В зависимости от категории уязвимых данных и рисков, связанных с их целевым назначением, должны быть приняты соответствующие меры безопасности и защиты данных согласно пункту 4.5. (например, установка устройств защиты, использование средств шифрования и ограничение физического доступа).

² Правовые положения, применимые к фармакологическим исследованиям и разработкам, включают в себя, например, действующий в Германии Закон «О медицинских препаратах» (Arzneimittelgesetz), действующую в Европе Директиву ЕС 2001/20/EC «Надлежащий порядок проведения клинических исследований», действующий на территории США Закон «О передаче сведений по медицинскому страхованию и ответственности за такую передачу», а также международные инструкции Международной конференции по гармонизации, в особенности «Надлежащий порядок проведения клинических исследований» E6 (1996).

4.8 Договорная обработка данных
В случае если юридическое лицо, входящее в концерн «Байер», или иное юридическое лицо выступает в качестве заказчика или исполнителя по договору обработки персональных данных, применяются следующие положения:

• в качестве исполнителя по договору обработки данных выбирается лицо, которое обеспечит использование технических и организационных мер защиты, необходимых для обработки персональных данных, а также предоставит достаточные гарантии защиты и осуществления соответствующих личных прав. Настоящее правило применяется юридическими лицами, входящими в состав концерна, на которые распространяется действие настоящей Директивы. В остальных случаях такие гарантии должны быть получены путем принятия на себя исполнителем по договору обработки данных обязательств соблюдать общие принципы настоящей Директивы концерна или путем включения в договор стандартных для ЕС положений;
• условия обработки персональных данных исполнителем по договору обработки данных указываются в данном договоре в письменной форме; договор также должен содержать права и обязанности заказчика и исполнителя по такому договору;
• исполнитель по договору обработки данных несет договорные обязательства по обработке персональных данных исключительно в объеме, предусмотренном договором и указаниями заказчика. Обработка персональных данных в иных целях запрещена.

Заказчик сохраняет контроль над персональными данными и является контактным лицом для субъектов данных.

4.9 Автоматизированная обработка персональных данных
некоторых странах действуют юридические положения, ограничивающие принятие решений на основании автоматизированной обработки персональных данных. Настоящее ограничение применяется в отношении решений, принятых на основании автоматизированной обработки данных, порождающей юридические последствия в отношении субъекта данных или негативным образом затрагивающей его права или интересы. В исключительных случаях, когда автоматизированные решения принимаются юридическими лицами, входящими в состав концерна, субъекты информации уведомляются о принятии автоматизированных решений, затрагивающих их права или интересы, но при этом должны иметь возможность предоставить свои возражения или запросы по решению. В таком случае решение пересматривается.

Передача персональных данных на территории Европейской Экономической Зоны³(ЕЭЗ) в большинстве случаев разрешена только если согласно пункту 4.1 разрешена обработка информации.

В случаях передачи персональных данных в пределах страны, в которой были собраны данные, обязательны к соблюдению установленные законодательством требования данной страны.

³ В Европейскую Экономическую Зону входят страны-члены Европейского Союза, а также Исландия, Лихтенштейн и Норвегия.

5.1 Передача персональных данных из ЕЭЗ в третьи страны
Согласно пункту 4.1 настоящей Директивы передача персональных данных из Европейской Экономической Зоны в третьи страны разрешена только в следующих случаях:

• получено прямое согласие субъекта данных;
• передача персональных данных необходима для исполнения договора между субъектом данных и заказчиком обработки данных или для совершения предварительных действий до подписания договора, инициированного субъектом данных;
• передача персональных данных необходима для исполнения обязательств по действующему или планируемому договору между третьим лицом и заказчиком обработки данных в интересах субъекта данных;
• передача персональных данных предусмотрена законодательством в целях защиты важных общественных интересов, для использования истцом или ответчиком в суде, а также принудительного исполнения судебных решений;
• передача персональных данных необходима для защиты существенных интересов их субъекта;
• передача персональных данных осуществляется в третью страну, стандарты защиты данных которой Европейская Комиссия признала достаточными⁴;
• получатель данных предоставил необходимые гарантии (в контексте настоящей Директивы) в отношении защиты персональных данных и осуществления связанных с этим прав. Данное правило применяется в отношении юридически лиц, входящих в состав концерна «Байер», на которые распространяется действие настоящей Директивы.

6.1 Право осведомления
Каждый субъект данных имеет право требовать предоставления информации о том, какие из его персональных данных используются юридическим лицом, входящим в концерн. Такая информация должна быть предоставлена независимо от того, где происходит обработка персональных данных. Субъект данных может обратиться с подобным запросом в местный отдел персонала соответствующего юридического лица концерна (см. также пункт 7.3). Ответственные отделы обязаны оказывать необходимое содействие.

6.2 Право требовать исправления данных
В случае хранения неполных или недостоверных персональных данных субъект данных может потребовать их исправления. Ответственность за предоставление достоверных персональных данных соответствующему юридическому лицу, входящему в концерн, лежит на субъекте данных. Помимо того субъект данных обязан информировать соответствующее юридическое лицо концерна обо всех изменениях данных (например, об изменении адреса или имени).

6.3 Отказ в праве уведомления или исправления данных
В случае если в представлении сведений или внесении в них изменений по запросу субъекта данных отказано, субъект уведомляется о причинах отказа.

6.4 Уничтожение данных
Если субъект данных предоставляет подтверждение того, что в сложившейся ситуации цель обработки данных исчерпана, не обоснована или более не правомерна, соответствующие персональные данные уничтожаются (за исключением случаев, когда законодательством предусмотрено обратное).

6.5 Право на обжалование
Любой субъект данных имеет право обжаловать использование своих персональных данных в рекламных, маркетинговых целях или для выявления общественного мнения. В случаях, предусмотренных местным законодательством, субъект данных уведомляется о праве обжалования (отказа от предоставления данных) и о заказчике обработки данных. В таком случае персональные данные в указанных целях блокируются. Помимо этого необходимо учитывать то, что в определенных странах действует требование о получении предварительного согласия на обработку персональных данных в вышеуказанных целях (отказа от предоставления данных).

Помимо того субъект данных имеет общее право обжаловать обработку своих данных. Такое требование принимается во внимание, если проведенное расследование показывает, что необходимость в защите интересов субъекта по причине личных обстоятельств перевешивает интересы ответственного отдела в обработке данных субъекта. Требование не учитывается, если обязательная обработка данных предусмотрена законодательством.

6.6 Запросы, претензии и корректирующие меры
В случае получения любых вопросов, жалоб или необходимости принять корректирующие меры, применяются положения пункта 7.3.

7.1 Внедрение Директивы в рамках концерна «Байер»
Компании концерна, выступающие в качестве заказчиков обработки данных, обязаны обеспечивать соблюдение принципов настоящей Директивы концерна.

С этой целью руководящие сотрудники юридических лиц концерна обязаны обеспечить внедрение настоящей Директивы, подразумевающее также предоставление соответствующей информации сотрудникам. При необходимости проведения дополнительного обучения следует связаться с Корпоративным должностным лицом, отвечающим за защиту данных, или его локальным представителем. Информация должна содержать прямое уведомление о том, что нарушение общих принципов настоящей Директивы может привести к правовым последствиям согласно уголовному, трудовому или обязательственному праву.

7.2 Корпоративное должностное лицо, ответственное за защиту данных
Корпоративное лицо, ответственное за защиту персональных данных, назначается Правлением концерна «Байер» для контроля за соблюдением положений настоящей Директивы. При необходимости назначаются местные представители такого лица (Региональные должностные лица по защите персональных данных), отвечающие за соблюдение мер защиты данных в юридических лицах и уведомление Корпоративного должностного лица, ответственного за защиту данных, обо всех претензиях.

Такие локальные представители выполняют указания Корпоративного должностного лица. В случае если региональные должностные лица, ответственные за защиту данных, также выполняют обязанности лиц, ответственных за защиту данных в юридическом лице, то они работают в тесном сотрудничестве с Корпоративным должностным лицом по защите данных, однако не обязаны выполнять его распоряжения. Корпоративное лицо по защите данных и его локальные представители не обязаны выполнять распоряжения руководства при исполнении своих обязанностей согласно настоящей Директиве.

Руководящие сотрудники концерна обязаны оказывать поддержку Корпоративному лицу по защите данных и его локальным представителям в осуществлении должностных обязанностей.

Контактные данные Корпоративного лица по защите данных: cor.privacy@bayer-ag.de. Список локальных представителей приведен по адресу: http://by-appa1.bayer-ag.com/ks-kr/public/home.html.

7.3 Запросы, претензии и корректирующие меры
Субъект данных имеет право в любое время связаться с Корпоративным должностным лицом, ответственным за защиту данных, или его локальным представителем при возникновении вопросов или претензий в отношении обработки персональных данных. Такие запросы и претензии рассматриваются с соблюдением конфиденциальности.

Если запрос или претензия субъекта данных связаны с вменяемым юридическому лицу, входящему в концерн «Байер» и расположенному в стране, отличной от страны постоянного проживания субъекта данных, нарушению положений настоящей Директивы, то субъект данных имеет право обратиться к тому юридическому лицу Концерна, которое осуществило передачу данных. При подтверждении нарушения юридические лица концерна связываются с соответствующими лицами (например, уполномоченными органами по защите интересов субъектов данных и другими юридическими лицами) в порядке, предусмотренном настоящей Директивой, для того, чтобы предпринять соответствующие меры по исправлению нарушений.

В случае если требования субъекта данных не удовлетворены, последний имеет право подать претензию Корпоративному должностному лицу по защите данных. Такое лицо уведомляет субъект данных о своем решении и корректирующих мерах.

Процедуры, предусмотренные настоящей Директивой, действуют в дополнение к любым другим средствам правовой защиты и процедурам, доступным субъекту данных, в том числе к праву субъекта подавать в уполномоченный орган по защите прав субъектов персональных данных претензии и запросы.

7.4 Обязательства перед уполномоченными органами по защите прав субъектов данных
Лицо, получившее персональные данные, переданные из страны, входящей в Европейскую Экономическую Зону, в третью страну, а также Корпоративное должностное лицо, ответственное за защиту данных, обязаны по запросу оказывать содействие уполномоченным органам по защите прав субъектов данных страны, в которой находится передающее данные лицо, а также учитывать факты нарушений при условии, что те были обнаружены таким органом с соблюдением установленных законом процедур в отношении передающей и получающей стороны. Передающая сторона, расположенная в ЕЭЗ, также имеет право на надзор за обработкой персональных данных их получателем.

7.5 Внесение изменений в Директиву концерна и непрерывность применения
Концерн сохраняет за собой право по необходимости вносить изменения в настоящую Директиву, например, в случае изменения законодательных требований, нормативно- правовых актов, требований уполномоченных органов по защите прав субъектов персональных данных или внутренних процедур концерна. В случаях, предусмотренных законодательством, концерн «Байер» предоставляет новую редакцию Директивы на рассмотрение надзорным органам.

В случае если настоящая Директива по любым причинам становится недействительной, все входящие в концерн юридические лица обязаны и далее соблюдать ее положения в отношении передачи персональных данных, осуществленной до даты прекращения действия Директивы, за исключением случаев утверждения новой инструкции, заменяющей настоящую Директиву.

7.6 Размещение в общественном доступе
Настоящая редакция Директивы концерна должна быть размещена в надлежащем порядке в доступе для всех субъектов данных, например, посредством ее размещения в сети Интернет или внутрикорпоративной сети.

7.7 Действие других применимых инструкций концерна
При расхождении текста настоящей Директивы и других инструкций компании, первая имеет преимущественную силу.

Обезличивание персональных данных — изменение персональных данных, в результате которого невозможно определить принадлежность персональных данных конкретному субъекту;
Согласие — добровольно предоставленное заявление осведомленного субъекта данных, содержащее разрешение на обработку персональных данных субъекта. В отношении такого согласия могут действовать определенные требования применимого национального законодательства;
Исполнитель по договору обработки данных — юридическое или физическое лицо, осуществляющее обработку персональных данных от имени заказчика обработки данных;
Заказчик обработки данных — юридическое лицо концерна «Байер», определяющее цели и содержание обработки персональных данных;
Защита (конфиденциальность) персональных данных — сумма действий по защите персональных прав субъекта данных при обработке данных;
Субъект данных — любое физическое лицо, чьи данные обрабатываются в концерне «Байер», включая бывших, будущих и действующих сотрудников, клиентов, поставщиков и иных контрагентов, заинтересованных лиц, субъектов клинических исследований и пациентов, участвующих в них;
Лицо, ответственное за защиту персональных данных в юридическом лице — официально назначенное лицо, отвечающее за внутрикорпоративную защиту данных в рамках юридического лица, входящего в состав концерна. Данное лицо отчитывается непосредственно перед руководством юридического лица согласно местному законодательству, однако распоряжения руководства не имеют для него обязательной силы;
Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу. Определяемым считается лицо, которое можно прямо или косвенно идентифицировать, например, путем присвоения ему идентификационного номера;
Обработка персональных данных — автоматизированное(ые) или неавтоматизированное(ые) действие(я) с персональными данными, включая сбор, запись, хранение, адаптацию, изменение, выбор, восстановление, использование, передачу, блокирование, уничтожение или удаление персональных данных. Слово «обработанный», употребляемое в данном контексте, толкуется соответственно;
Использование псевдонима — замена имени и других идентификационных данных субъекта на условные обозначения с целью предотвратить или существенно затруднить установления личности субъекта данных неавторизованными лицами;
Должностное лицо, ответственное за защиту персональных данных в регионе — лицо, отвечающее за информирование и контроль за соблюдением корпоративных требований о защите данных на региональном и операционном уровне;
Безопасная третья страна — страна, стандарты⁵ которой в отношении защиты данных признаны комиссией Европейского Союза отвечающими всем требованиям;
⁵ На 1 августа 2006 года к ним относятся: Аргентина, Канада, Швейцария, а также .юрисдикция органов США, сертифицированных согласно Соглашению о безопасной гавани. Актуальную информацию можно получить по адресу: http://europa.eu.int/ comm/internal_market/privacy/adequancy_en.htm (external)
Уязвимые данные — особые категории персональных данных, связанные с национальной или расовой принадлежностью, политическими, религиозными или философскими убеждениями, членством в профсоюзах, состоянием здоровья и интимной жизнью.
Третья страна — любая страна, не входящая в Европейскую Экономическую Зону (ЕЭЗ⁶).
⁶ В Европейскую Экономическую Зону входят страны-члены Европейского Союза, а также Исландия, Лихтенштейн и Норвегия.
Третья сторона — любое физическое или юридическое лицо, не относящееся к заказчику обработки данных, т.е. не только все сторонние компании, но и все прочие компании концерна. К третьим лицам не относятся субъекты данных и исполнители по договорам обработки данных, расположенные на территории ЕЭЗ.
Передача персональных данных — пересылка, распространение и иные формы сообщения персональных данных третьим лицам. Слова «переданный» и «передаваемый», употребляемые в данном контексте, толкуются соответственно.

Кликните ниже, чтобы узнать дополнительую информацию по теме.