拜耳先靈西藥部公司內部資料保護及個人資料隱私相關指導方針

1. 前言

對於像拜耳先靈西藥部這類致力於發展創新產品的全球性公司而言，取得資訊並加以適當運用，對瞭解公司在所有事業領域的目標上極具重要性。現代化意指資訊提供及交流的工具，如網際網路、企業內部網路以及電子郵件，在資訊的取得及交換過程中，扮演不可或缺的角色。相較於過去，這些工具使得拜耳先靈西藥部能以更快速有效的方式來計畫並執行公司的決策，以因應藥業市場與日俱增的需求。

然而，在資料分享的過程中，伴隨科技變遷而來的進步本身也具有相當的風險，有道德的企業如拜耳先靈西藥部等，必須將此風險列入考量。不當或不正確地使用資訊科技處理個人資料，以及以任何其他不當方式使用個人資料，都可能侵犯人權。不論以何種工具及方式收集個人資料，拜耳先靈西藥部都有義務保護資料提供者的人權，包括公司員工、合約夥伴、臨床試驗中的自願受試者與患者、醫療專業人員、客戶。基於以上的前提下，拜耳先靈西藥部公佈以下「企業指導方針」（Corporate Directive），全拜耳先靈西藥部都適用且受這份指導方針約束，指導方針內容則和資料保護及個人隱私資料有關。這份企業指導方針實現拜耳先靈西藥部「商業行為準則及道德規範」中的一部分。

2. 企業指導方針的目的

這份指導方針的目的為，說明在拜耳先靈西藥部內部處理或傳送個人資料時，必須遵守的資料保護及資料安全標準，以確保能充分保護資料提供者的人權。在拜耳先靈西藥部內部自由傳送個人資料時，必須遵守企業指導方針。

3. 企業指導方針的範圍

企業指導方針規範所有資料隱私的相關問題，本指導方針適用於拜耳先靈西藥部內部處理的所有個人資料，包括任何人的個人資料，如員工、合約夥伴、臨床試驗中的自願受試者與患者、醫療專業人員、以及客戶等。隸屬於拜耳先靈西藥部的所有機構，都應遵守這份企業指導方針的資料保護及資料安全標準。

個人資料收集及處理地點所屬的現有國家及國際法律，不受本企業指導方針影響，因此也必須遵循。國家或國際法律規範不如本企業指導方針的規定嚴格時，應遵守本企業指導方針的規定。

在某些國家，資料保護主管機關會要求資料管理者在自動化處理全部或部分個人資料前，先行通知。拜耳先靈西藥部旗下各機構，都有責任遵行所在國家的任何通知義務，只有在遵循個別國家適用法律的情況下，才允許將個人資料傳送給政府主管機關單位。

4. 定義

匿名處理（Anonymisation）是將原始個人資料轉變成無法確定或查明身份，或必須耗費大量時間、費用及人力才能查明的個人身份。
同意授權 （Consent）是指資料提供者在獲得足夠資訊後，依自由意願提供的特定指示，顯示資料提供者同意授權特定單位處理其個人資料。有關同意授權的特定規定，以各國法律為依據。
約聘資料處理者（Contract Data Processor）是代替資料管理者處理個人資料的個人或法律實體。
資料管理者（Data Controller） 是在法律上獨立之拜耳先靈西藥部實體，負責決定處理個人資料的目的及工具。
資料提供者（Data Subjects） 是所有提供個人資料以供拜耳先靈西藥部處理的成員，包括員工、合約夥伴、臨床試驗中的自願受試者與患者、醫療專業人員以及客戶。
個人資料（Personal Data）是指任何可確定或不可確定之個人身份資料。如果能透過直接或間接方式辨識個人身份（例如透過該個體的指定參考編號），即為可辨識之個體。
個人資料處理（Processing of Personal Data）是不論是否借助自動工具，對個人資料進行執行的工作（或一系列工作），例如收集、紀錄、儲存、改編、修改、選擇、檢索、使用、藉由傳送公開以及封鎖、刪除或清除個人資料。在本文內提到資料「處理」時，即包括上述定義。
代號處理（Pseudonymisation） 是以符號取代資料提供者的姓名及其他可辨識特徵，目的在於防止未授權單位確定資料提供者的身份，或使身份確定具有相當程度的難度。
機密資料（Sensitive Data）包含種族或族裔、政治主張、宗教或哲學信仰、工會會員、健康或性生活等資訊，因而歸為特殊類別的個人資料。
第三國家（Third Country）是歐洲經濟區（European Economic Area，簡稱EEA）以外的所有國家。
第三單位是指所有不屬於資料管理者的個人或法律實體。
個人資料傳送（Transfer of Personal Data） 是將個人以轉寄、散佈或其他任何形式傳送轉交給第三方。在本文內提到「傳送」時，即包括上述定義。

5. 資料處理

5.1 資料處理許可
個人資料處理只有在取得資料提供者同意，或遵循適用法律取得法定許可的情況下進行。個人資料處理許可是傳送個人資料的必要條件（請參考第6節）。6.

同意授權應以書面或以其他法律允許的方式發表聲明，並且事先告知資料提供者有關此類個人資料處理的目的，以及將個人資料傳送給第三方的可能性。若當同意授權聲明附屬於其他聲明的一部分時，應特別強調，以便讓資料提供者明瞭。

5.2 使用目的
個人資料的收集必須依據特定、明確且正當的目的，而且不能違反既定目的情形時，才做進一步處理。唯有取得資料提供者同意，或在傳送個人資料的國家法律許可時，才能更改既定目的。

5.3 資料經濟性
處理個人資料為了達成既定目的，應在合理的能力及成本範圍內，儘早將個人資料匿名處理或以代號處理，以便達到資料保護目的。這項規定特別適用於臨床試驗中自願受試者及患者提供的個人資料。

5.4 資料品質
個人資料必須正確無誤，如有必要應隨時更新。不正確或不完整的資料，應以適當合理的方式訂正或刪除。

5.5 資料安全
資料管理者應採用適當技術及組織措施，確保所有必要資料的安全性。這些措施特別指電腦（伺服器及工作站）、網路或交流連結以及各種應用軟體，並且內含於拜耳先靈西藥部的資訊科技安全管理系統中。除了其他措施之外，拜耳先靈西藥部為預防未授權處理個人資料的必要措施，採取了以下的控制項目：

• 資料處理系統的實體存取
• 資料處理系統的邏輯存取
• 資料處理應用的邏輯存取
• 輸入資料處理系統的資料
• 藉由資料傳輸工具傳送資料

此外，也應採取適當措施防止這類資料的意外刪除、不當刪除或損失。
 
5.6 資料處理機密性
只有經授權且遵循資料機密相關規定的人員，可以參與個人資料處理，但禁止將這些資料用於私人用途、傳送給未經授權的第三方或透過其他任何不當方式讓未經授權者取得。在本文件中，「未經授權」亦指員工在非完成職務必需的情況下取得個別的個人資料，加以使用。中止雇用關係後，仍須遵守保密義務。

5.7 特殊類別的個人資料
除了以下情況外，一般禁止收集及處理機密資料：

• 資料提供者明白地表達其同意授權的意願
• 資料提供者顯然已公開這些資料
• 為保護資料提供者或第三方的重要利益之必須，或資料提供者基於生理或法律原因無法表達其同意
• 為行使、執行或捍衛法律訴求時所必須，在無法判定資料提供者的正當性之下，則不收集或處理個人資料；
• 為必須履行科學研究時，執行研究計畫的科學重要性超越資料提供者利益，以及若非如此便無法達成研究目的，或必須付出極大努力才能執行研究目的情況下。

此外，製藥研究及開發受到許多國家及國際法律規範管制，這些規範專門用於維護處理機密資料時資料提供者的人權。

根據機密資料的類別及使用目的上的相關風險，應採取第5.5節所述的適當防護及安全措施（如技術防護裝置、加密、限制實體存取）。

5.8 約聘資料處理
在個人資料處理的合約範圍內，拜耳先靈西藥部或其他實體成為委託者或約聘資料處理者時，應採取以下步驟：

• 選擇約聘資料處理者時，應確保其能遵守個人資料處理要求的技術及組織安全措施，並且提供有關保護人權及行使相關權利的充分保證。後者情形為拜耳先靈西藥部適用本企業指導方針時；否則必須藉由強制地要求約聘資料處理者遵守本企業指導方針的基本原則，以確保採取適當措施。
• 約聘資料處理者執行的個人資料處理，必須受書面同意書規範，同意書中詳細載明委託人及約聘資料處理者的權利及義務。
• 約聘資料處理者有合約義務，依據合約及委託者指示處理個人資料。嚴禁為任何其他目的，處理個人資料。

委託者仍為個人資料的資料管理者，以及資料提供者的聯絡夥伴。

5.9 影響個人的自動化決定
某些國家具有個別的法律規範，限制影響資料提供者的自動化決定。因這類影響資料提供者的自動化決定，是依據自動化個人資料處理結果時產生的決定，會對資料提供者具有法律效力或會對其產生負面影響。除了少數的特殊例外情況（例如預先選擇網路應徵者），拜耳先靈西藥部不會作出任何影響資料提供者的自動化決定。在上述少數例外情形下，亦即拜耳先靈西藥部作出自動化決定時，我們會通知資料提供者有關會影響該自動化決定之因素，且允許他們對此決定表達意見，若資料提供者提出反應，則必須重新評估決定。

6. 傳送個人資料

若根據第5.1節的規定允許處理資料，則通常也允許於EEA內傳送個人資料。

6.1 將個人資料從EEA傳送至第三國
基於本企業指導方針第5節之考量，只有在符合以下情況時，允許將個人資料從EEA傳送至第三國：

• 資料提供者明白表達其同意授權之意願
• 傳送個人資料為必須履行資料提供者及資料管理者之間的合約，或為了簽訂資料提供者提出之相關合約而必須完成的步驟
• 傳送個人資料是完成或履行合約（由資料管理者為資料提供者利益而與第三方簽訂之合約）的必要步驟
• 基於保護重要公共利益，或為了行使、執行或捍衛法律訴求，可依據法律要求指定傳送個人資料
• 傳送個人資料為保護資料提供者之重要利益的必要步驟
• 當個人資料傳送給歐盟執行委員會核准之適當保護標準資料的第三國
• 本企業指導方針中，接受者保證會充分遵守關於人權保護及行使相關權利之規範，此為適用本企業指導方針的拜耳先靈西藥部情況；

7. 資料提供者的權利

7.1 資訊權利
每位資料提供者都可以要求取得拜耳先靈西藥部處理個人資料類別的資訊，我們將依據資料提供者所在國家的法律規定，傳達他們的個人資料相關訊息；不管執行個人資料處理的地點為何，都適用此規定。資料提供者可以向相關拜耳先靈西藥部的當地法律部門，或向公司隱私權主管的當地代表提出申請（請參考第8.3節）。

7.2 訂正要求
如果儲存的個人資料不正確或不完整，資料提供者可要求更正。資料提供者有責任提供正確的個人資料給拜耳先靈西藥部，此外，資料提供者應通知拜耳先靈西藥部有關的任何更新（如地址或姓名變更）。

7.3 拒絕資料索取或訂正要求
資料索取或訂正要求遭拒絕時，會通知資料提供者拒絕的原因，此外也將製作有關此申請及拒絕的書面報告。如果請求遭拒，資料提供者也可以向公司主管反應。

7.4 資料刪除
如果資料提供者證明該個人資料處理的目的是在特定情況下，且不再有許可、必要性或合理性後，則應刪除個人資料，但不可違反法律規範。

7.5 拒絕的權利
每位資料提供者都有權利拒絕將其個人資料用於宣傳目的，或作為市場、意見調查用途。國家法律如有要求，則應告知資料提供者有關拒絕（退出）的權利及資料管理者相關資訊。在此情況下，必須封鎖個人資料。此外，有些國家要求基於上述之目的（加入）處理個人資料前，應先取得同意。

8. 資料處理程序

8.1 於拜耳先靈部內執行
身為資料管理者，拜耳先靈西藥部應確實遵守本企業指導方針中提出的原則。

就這點而言，拜耳先靈西藥部的管理人員應確保本企業指導方針之執行，尤其包括將資料提供給員工。如需額外訓練，應聯繫公司主管或當地代表。相關資訊應強調，若違反本企業指導方針的一般原則，在某些情況下可能招致法律後果（刑事處罰、法律責任及解雇）。

8.2 企業機密資訊管理者
企業機密資訊管理者將與公司審計部門合作，負責監督相關單位是否確實遵守本企業指導方針。如有需要，企業機密資訊管理者將獲得當地代表支援，當地代表的責任為代表企業機密資訊管理者的角色，以監管拜耳先靈西藥部資料保護的工作，並且在面對抗議提出時，向企業機密資訊管理者反應。這些地方代表應根據企業機密資訊管理者的裁決行事。

就其執行本指導方針之職責而言，企業機密資訊管理者及其當地代表不受當地管理部門管理。

拜耳先靈西藥部中的相關管理部門，有義務支援企業機密資訊管理者及其當地代表執行任務。

企業機密資訊管理者的聯絡方式為：
cor.privacy@schering.de.請和我們的企業機密資訊管理者聯絡，以獲得當地代表名單。


8.3疑問與抱怨／補救方式
資料提供者有任何關於個人資料處理的問題或抱怨時，可以隨時聯絡企業機密資訊管理者或其當地代表，這些問題及抱怨將以機密方式處理。

資料提供者的問題或抱怨，若是關於拜耳先靈西藥部可能違反本企業指導方針，且公司所在國家不同於資料提供者居住地時，資料提供者可連絡傳送此資料的拜耳先靈西藥部。若經證實確有違反指導方針情事，受影響的拜耳先靈西藥部將依據本企業指導方針，和相關單位合作（如資料保護機構、其他單位），糾正此違反行為。

若資料提供者的要求並未獲得充分解答，資料提供者可以向企業機密資訊管理者投訴，企業機密資訊管理者會通知資料提供者其決定及相關解決方案。

除了本企業指導方針中說明的步驟之外，資料提供者也可採取其他任何可行的法律途徑及程序，包括資料提供者有權利向負責的資料保護機構提出疑問及投訴。

8.4 資料保護機構的義務
接受傳自EEA之個人資料的第三國單位及企業機密資訊管理者，有義務在法律要求下，和傳送單位所在國家的資料保護機構合作，並遵守其決定，但其決定必須遵守傳送與接收單位雙方的法律程序。EEA的傳送單位也有權利審查接受單位的個人資料處理。

8.5 本企業指導方針之實施
本企業指導方針頒佈後，即超越所有拜耳先靈西藥部中任何有關個人資料處理之既有規定。

8.6 企業指導方針修訂及延續應用
拜耳先靈西藥部保留依需要修改企業指導方針的權利，例如遵循法令、更動規範、資料保護機構要求、或拜耳先靈西藥部的內部程序。在法律要求下，拜耳先靈西藥部會將修訂過的企業指導方針交付審核。

如果企業指導方針失去效力，無論失去效力的理由或原因為何，除非企業指導方針被新的規範取代，否則所有拜耳先靈西藥部在本企業指導方針失效前，仍受到有關個人資料傳送部份的規範約束。

8.7 宣傳
本企業指導方針（以及任何修訂版）應以適當方式提供給所有資料提供者，例如透過網際網路的方式。