拜耳先灵医药股份有限公司内部关于资料保护和个人资料隐私权的企业方针 - 拜耳先灵医药
国家链接

拜耳链接

版权 ©
拜耳先灵医药AG

拜耳先灵医药股份有限公司内部关于资料保护和个人资料隐私权的企业方针



1. 概述

对于拜耳先灵医药股份有限公司这样的创新型跨国公司而言,获得信息并加以适当的使用对了解公司在所有业务领域的目标都是非常重要的。先进的信息提供和沟通手段,如互联网、内部网及电子邮件在获得和交换信息方面具有重要作用。它们让拜耳先灵医药股份有限公司能比以往更快和更有效地计划和执行企业决策,以便适应制药产品市场日益增加的需求。

然而,信息共享过程中科技改进所伴随的进步本身也带来风险,这一点已在拜耳先灵医药股份有限公司这样具有道德良知的企业中引起了关注。个人权益可能因个人资料处理过程中信息技术的不当或错误使用以及对个人资料的任何其它不当或错误使用而受到侵犯。任何个人资料受到拜耳先灵医药股份有限公司处理的个体,包括其雇员、签约伙伴、临床试验中的志愿者和患者、卫生保健专业人士及消费者,无论该个人资料是通过什么方法或手段收集的,拜耳先灵医药都有义务保护其个人权益。关于这一点,拜耳先灵医药股份有限公司已发布以下与资料保护及个人资料隐私权相关的企业方针,该方针在整个拜耳先灵医药股份有限公司均适用,并对整个集团都具有约束力。该企业方针从一个方面贯彻了拜耳先灵医药股份有限公司的商业行为守则和道德规范。

2. 本企业方针的目的

本企业方针的目的是确立个人资料在拜耳先灵医药股份有限公司内部处理及转移过程中资料保护及资料安全的标准,以期确保资料提供者的个人权益得到充分保护。个人资料在拜耳先灵医药股份有限公司内部的自由调动必须遵守本企业方针。

3. 本企业方针的范畴

本企业方针对所有资料隐私问题均有约束力。本方针适用于拜耳先灵医药股份有限公司内部处理的所有个人资料,包括其雇员、签约伙伴、临床试验中的志愿者和患者、卫生保健专业人士及消费者,其个人资料的处理都适用该方针。隶属于拜耳先灵医药股份有限公司的所有单位,都应遵守本企业方针的资料保护及资料安全标准。

个人资料收集和处理地点所属国家的现有国内及国际法律,不受本企业方针影响,因此也必须遵循。如果国内法或国际法的规定不如本企业方针的规定严格,应执行本企业方针的规定。

在某些国家,资料保护主管当局会要求资料管理人在进行任何自动化处理全部或部分个人资料前先行通知。拜耳先灵医药股份有限公司的每个单位都有责任遵守单位所在国家现有的所有通知义务。只有在符合国家相应适用法律的情况下,才允许将个人资料移交给政府主管当局和管理机构。

4. 定义

匿名处理 是将原始个人资料转变成无法确定或无法查明身份,或必须耗费大量时间、费用及人力才能查明个人身份。
同意授权 是资料提供者在获得足够资讯后,自愿提供的特定指示,藉此同意特定单位处理其个人资料。有关同意授权的详细要求,以相应的各国法律为依据。
承包资料处理人 是代表资料管理人进行个人资料处理的个体或法人单位。
资料管理人 是拜耳先灵医药股份有限公司独立法人单位,负责决定个人资料处理目的和方式。
资料提供者 是所有提供个人资料以供拜耳先灵医药股份有限公司进行处理的成员,包括其雇员、签约伙伴、临床试验中的志愿者和患者、卫生保健专业人士及消费者。
个人资料 是任何已识别或不可识别个人身份资料。如果一个个体能被直接或间接识别(例如通过该个体的指定参考编号),那么他/她就是可识别的。
个人资料处理 是不论是否借助自动化手段,对个人资料所进行的操作(或一系列操作),例如收集、记录、储存、调整、变更、选择、检索、使用、通过传输发布,以及封锁、删除或清除个人资料。本文中提到的资料“处理”时,即包括上述定义。
代号处理 用一个符号来代替资料提供者的姓名及其它可识别特征,目的是防止未经授权方确定资料提供者的身份,或使身份确定具有相当的难度。
机密资料 是指涉及种族或人种、政治主张、宗教或哲学信仰、工会会员、健康状况或性生活,因而归为特殊类别的个人资料。
第三国 是指欧洲经济区(“EEA”)之外的所有国家。
第三方 是指属于资料管理人的个人或法人单位。
个人资料转移 是指个人资料被转发、分发或以所有其它形式转移给第三方。该定义也适用于此处所使用的本文中提到“转移”即包括上述定义。

5.个人资料处理的基本原则

5.1 资料处理许可
只有在资料提供者同意或根据适用法律获得合法许可的情况下才能进行个人资料处理。个人资料处理许可是进行个人资料转移的先决条件(请参考第六节规定)。

同意授权必须以书面或其它合法许可形式声明,必须事先通知资料提供者有关此等个人资料处理的目的,以及将个人资料转移给第三方的可能性。当同意授权的声明包含在其它声明中时,必须突出强调,以使资料提供者能够明了。

5.2 用途
个人资料只可为指定、明确且合法的目的收集,而且在不违反既定目的时,才能进行进一步处理。只有在获得资料提供者同意,或在传送个人资料的国家法律允许的情况下,才允许改变其用途。

5.3 资料经济性
个人资料处理必须达到既定的目的。应在合理的能力及成本范围内,尽早将个人资料匿名处理或以代号处理,以便达到资料保护目的。这项规定特别适用于临床试验中自愿受试者和患者提供的个人资料。

5.4 资料质量
个人资料必须真实正确,而且有必要随时更新。不正确或不完整的资料,应以适当合理的方式纠正或删除。

5.5 资料安全
资料管理人应采取适当的技术和组织措施以确保所有必需资料的安全。这些措施特指包含在拜耳先灵医药股份有限公司信息技术安全管理系统之内的计算机(服务器和工作站)、网络或通信连接以及应用软件。在拜耳先灵医药股份有限公司内部采取这些必要措施是为了避免未经授权的个人资料处理,特别是对以下几方面进行控制:

  • 直接使用资料处理系统存取;
  • 通过计算机使用资料处理系统存取;
  • 通过计算机使用处理应用软件;
  • 将资料输入资料处理系统;
  •  通过资料传输工具进行资料转移。


此外,还应采取适当措施保护此类资料不被意外删除、不当删除或损失。
 
5.6 资料处理的机密性
只有必须遵守资料保密相关规定的被授权人员才允许参与个人资料处理。禁止这些人员将此类资料用于私人目的、转移给未经授权的第三方、或使资料能通过任何不正当途径被未经授权人员获得。 “未经授权”在此处是指,譬如雇员在无需使用相应个人资料来完成其工作职责时也使用了个人资料。该保密义务在雇用关系结束之后仍然有效。

5.7 个人资料的特殊范畴
机密资料的收集和处理通常是被禁止的,只在以下情况下允许进行:

  • 资料提供者明确声明他/她同意授权的意愿;或
  • 资料提供者显然已公开此资料;或
  • 为保护资料提供者或第三方的重大利益所必需,且资料提供者因身体或法律原因不能声明他/她的同意;或
  • 为实行、执行或捍卫法律诉求所必需,在无法判断资料提供者的正当性之下,则不进行收集或个人资料处理;或
  • 为进行科学研究所必需,进行研究项目的科学利益超过资料提供者的利益,以及若非如此则无法达到研究目的,或必须付出极大的努力才能执行研究目的的情况下。


此外,药物研究开发收到许多国家法律和国际法律规范管制,这些规范专门用于保护机密资料处理时的资料提供者的个人权益。

由于保密资料的类型及与其用途相关的风险,应按照5.5节采取适当的安全保卫措施(例如:技术安全设备、加密、限制直接使用)。

5.8 承包资料处理
如果拜耳先灵医药股份有限公司的一个单位或其它单位在一项与个人资料处理相关的合同范围内充任委托人或承包资料处理人,必须遵守以下规定:

  • 选择承包资料处理人时,应确保其遵守个人资料处理所必需的技术和组织安全措施,并且提供有关保护人权和实行相关权益方面的充分保证。后者是对适用本企业方针的拜耳先灵医药股份有限公司单位而言;否则就必须根据本企业方针的基本原则强制要求承包资料处理人履行安全保卫义务。
  • 承包资料处理人将要进行的个人资料处理,必须通过书面协议进行控制管理,协议中须注明委托人和承包资料处理人的权利和义务。
  • 承包资料处理人有义务只在合同范围内,按照委托人发布的说明书进行个人资料处理。不得为任何其它目的进行个人资料处理。


委托人仍为个人资料的资料管理人及资料提供者的联系伙伴。

5.9 影响个人的自动化判定
某些国家在其法律条文中对影响资料提供者的自动化判定作了相关限制。此类影响资料提供者的自动化判定,是依据自动化个人资料处理结果时产生的判定,会对资料提供者具有法律效力或对其产生负面影响。除了少数特例之外(如:网上递交的职位申请的预筛选),拜耳先灵医药股份有限公司不进行任何影响资料提供者的自动化判定。在拜耳先灵医药股份有限公司单位实施自动化判定的例外情况下,资料提供者将被告知进行了此类影响资料提供者的自动化判定,并应允许他们对相应判定提出意见。若资料提供者提出反应,则必须重新评估决定。

6. 个人资料的转移

如果个人资料的处理已根据5.1节规定获得许可,通常允许该资料在EEA内进行转移。

6.1 从EEA到第三国的个人资料转移
考虑到本企业方针的第5节,从EEA成员国到第三国的个人资料转移仅允许在以下情况进行:

  • 资料提供者已明确给出他/她的同意授权之意愿;或
  • 个人资料转移是执行资料提供者与资料管理人之间合同所必需的,或签订资料提供者提出之相关的相关合同而必须采取的步骤;或
  • 个人资料转移是完成或履行合同(资料管理人为了资料提供者的利益而与第三方签订或将要签订的合同)所必需的步骤;或
  • 个人资料转移是为保护重要公众利益或实行、执行或捍卫法律诉求,可依据法律要求指定传送;或
  • 个人资料转移是保护资料提供者重大利益所必需的;或
  • 向被欧洲委员会认定有适当资料保护标准的第三国进行的个人资料转移;或
  • 接受方按照本企业方针中关于个人权益保护和相关权益实行的宗旨提供充分保障。这是对适用本企业方针的拜耳先灵医药股份有限公司单位而言。

如果接收者是非拜耳先灵医药股份有限公司单位,必须确保接收者遵照本企业方针执行;如果接收者违反此方针,转移个人资料的拜耳先灵医药股份有限公司单位应采取适当措施。

6.2 在第三国内或对其它第三国的个人资料转移
已从EEA转移给接收者的个人资料只允许在以下情况在第三国内部或向其它第三国进行转移:在遵守5.1节规定的前提下,该第三国具有适当的资料保护标准或在本企业方针第6.1节适用的情况下。在任何情况下,在第三国内或向其它第三国进行进一步个人资料转移之前,都应事先告知转移此个人资料的EEA拜耳先灵医药股份有限公司单位。

7. 资料提供者的权益

7.1 知情权
每个资料提供者都可要求获得拜耳先灵医药股份有限公司处理个人资料类别的信息。按照资料提供者所在国家的法律规定,传达他们的个人资料相关信息。不管执行个人资料处理的地点在哪里,都适用此规定。资料提供者可向相关拜耳先灵医药股份有限公司的当地法律部门,或向公司保密权主管的的当地代表提交任何此类申请(参见8.3节)。

7.2 更正要求
如果存储的个人资料不正确或不完整,资料提供者可要求更正。资料提供者有责任向相应的拜耳先灵医药股份有限公司单位提供正确的个人资料。此外,如有变更,资料提供者应通知相应的拜耳先灵医药股份有限公司单位(如:地址或姓名变更)。

7.3 对知情或更正要求的拒绝
如果知情或更正要求被拒绝,资料提供者将被告知此等拒绝的原因。此外,应起草一份关于此等申请及其拒绝的书面报告。在被拒绝的情况下,资料提供者也可向公司主管反应。

7.4 删除
如果资料提供者证明个人资料接受处理的目的在特定情况下,且不再有许可、必要性或合理性后,则应删除个人资料,但不可违反法律规定。

7.5 拒绝权
每个资料提供者都有权利拒绝将其个人资料用于宣传目的、营销目的或意见调查用途。国家法律如有要求,资料提供者应被告知有关拒绝权(决定退出)和有关资料管理人的信息。在这种情况下,必须封锁个人资料。此外,有些国家要求基于上述目的(加入)处理个人资料前,应先取得同意。

8. 资料处理程序

8.1 在拜耳先灵医药股份有限公司内部执行
作为资料管理人,拜耳先灵医药股份有限公司应确保遵守本企业方针中提出的原则。

在这方面,拜耳先灵医药股份有限公司的管理人员应确保本企业方针的贯彻执行,特别是向员工提供信息。在需要额外培训时,应联系公司主管或其地方代表。提供的信息还应强调,若违反本企业方针的一般原则,在某些情况下可能要承担法律后果(刑事处罚、法律责任和解雇)。

8.2 企业机密资料管理者
企业机密资料管理者将与企业稽核审计部门合作,负责监督相关单位是否确实遵守本企业方针。如有必要,企业机密资料管理者之下将设地方代表,负责代表其确保资料保护工作在拜耳先灵医药股份有限公司单位内的贯彻执行,并在接到投诉时告知机密资料管理者。这些地方代表应遵守企业机密资料管理者的裁决。

在本企业方针所规定的职责范围内,企业机密资料管理者及其地方代表不受地方管理层的领导。

拜耳先灵医药股份有限公司内部的各管理层有义务支持企业机密资料管理者及其地方代表履行其职责。

企业机密资料管理者的联系方式如下:
cor.privacy@schering.de. 请与我们的企业机密资料管理者联系以获得地方代表名单。


8.3 问题与投诉/纠正
资料提供者可在任何时候与企业机密资料管理者或其地方代表联系,提出任何有关个人资料处理的问题和投诉。此类问题和投诉将被保密处理。

如果资料提供者的问题或投诉与资料提供者居住国之外其它国家所在的拜耳先灵医药股份有限公司某单位涉嫌违反本企业方针有关,资料提供者可与转移该资料的拜耳先灵医药股份有限公司单位联系。一旦证实确有违反方针的事情,涉案的拜耳先灵医药股份有限公司单位将按照本企业方针与相应方面(如:资料保护机构、其它单位)合作,并纠正此违反行为。

如果资料提供者的要求未被充分响应,资料提供者可向企业机密资料管理者递交投诉。企业机密资料管理者将告知资料提供者其决定和相应的纠正措施。

本企业方针中所阐述的程序将在任何适用于该资料提供者的其它法律纠正和程序的基础上进行,包括资料提供者向资料保护责任机构提交问题和投诉的权利。

8.4 对资料保护机构的责任
当个人资料从EEA转移到第三国时,接收方和企业机密资料管理者有责任根据要求与转移方所在国家的资料保护机构合作,并遵守其裁决,如果他们已按照下列关于转移方和接收方的法律适当程序执行了的话。EEA的转移方也有权利审查接收方的个人资料处理。

8.5 企业方针的实施
在本企业方针实施之后,它优先于拜耳先灵医药股份有限公司所有关于个人资料处理的既有规定。

8.6 企业方针的修订与延续应用
拜耳先灵医药股份有限公司保留对本企业方针进行必要修订的权利,例如为了遵守法令、法规,资料保护机构的要求,或拜耳先灵医药股份有限公司内部程序的变更。如果法律要求,拜耳先灵医药股份有限公司会将修订后的企业方针交付审核。

当企业方针失效时,无论此等失效的原因或理由如何,除非本企业方针已被新的规定所代替,所有拜耳先灵医药股份有限公司单位对在此失效之日前发生的个人资料转移仍遵守本企业方针。

8.7 公开性
本企业方针(以及任何修订版)应以适当的方式,如通过互联网,让所有资料提供者得知。

章节:
字体大小
- 1 2 3 + 字体大小

点击调整

网页工具







http://www.bayerscheringpharma.com.cn/scripts/pages/cn/company/code_of_ethics/corporate_directive_on_data_protection_and_privacy_of_personal_data_within_the_bayer_schering_pharma_ag_group/index.php

版权 © 拜耳先灵医药AG