การให้ความคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร (BCR)

เพื่อควบคุมวิธีการจัดการหรือประมวลผลข้อมูลส่วนบุคคลอย่างสม่ำเสมอระหว่างกลุ่มบริษัทของกลุ่มธุรกิจ ได้แก่ เฟรเซนีอุส คาบี (Fresenius Kabi AG และบริษัทในเครือ) และ Fresenius Corporate ได้นำกฎการให้ความคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร (BCR) มาใช้บังคับโดย กฎเกณฑ์ของ BCR นี้ได้รับการอนุมัติจากหน่วยงานคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป

BCR เป็นกฎภายในสำหรับการประมวลผลข้อมูลภายในองค์กรข้ามชาติ และเมื่อรวมกับนโยบายและขั้นตอนด้านความปลอดภัยที่เกี่ยวข้องแล้ว มีเป้าหมายเพื่อสร้างมาตรฐานการคุ้มครองข้อมูลในระดับเดียวกันทั่วโลกและเพียงพอสำหรับบริษัทที่เข้าร่วม

ความมุ่งมั่นในการสร้างมาตรฐานร่วมกันสำหรับการประมวลผลข้อมูลส่วนบุคคลและแนวทางที่มีประสิทธิภาพในการปฏิบัติตามการคุ้มครองข้อมูลเป็นการตอกย้ำความมุ่งมั่นของเราในการปกป้องความเป็นส่วนตัวของคุณทั้งในระดับโลกและระดับท้องถิ่น

ถ้าคุณสนใจการให้ความคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร (BCR) ของบริษัทเรา โปรดพิจารณาเอกสารหรือบทสรุปด้านล่างนี้:

Fresenius Kabi Binding Corporate Rules Document

Filename
20220715_Binding_Corporate_Rules_Fresenius-Kabi.pdf
Size
415 KB
Format
pdf
Fresenius Kabi Binding Corporate Rules Document

สรุปกฎเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร (BCR)

เอกสารนี้เป็นการสรุปเนื้อหาและไม่ได้นำมาใช้แทนที่เอกสาร BCR เอกสาร BCR ฉบับเต็มเท่านั้นที่เป็นเอกสารที่มีผลบังคับตามกฎหมาย ในทุกกรณี

ระดับการป้องกันข้อมูลที่เพียงพอและเป็นมาตรฐานเดียวกัน

Fresenius จำเป็นต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศต่าง ๆ ทั่วโลก กฎเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร (BCR) ช่วยกำหนดระดับการคุ้มครองข้อมูลที่เพียงพอและเป็นมาตรฐานเดียวกันทำให้สามารถแลกเปลี่ยนข้อมูลส่วนบุคคลภายในองค์กรของ Fresenius ได้

ใช้ได้ทั่วโลก

BCR ใช้กับองค์กรของ Fresenius ต่อไปนี้:

  • Fresenius Kabi AG รวมถึงบริษัทสาขา/บริษัทในเครือทั้งหมด 
  • Fresenius Digital Technology (FDT)
  • Fresenius SE & Co. KGaA

ใช้ได้กับกิจกรรมเฉพาะ

BCR ใช้กับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลต่อไปนี้:

  • กิจกรรมทั้งหมดขององค์กรภายในยุโรป
  • กิจกรรมขององค์กรภายนอกยุโรปซึ่งมีธุรกิจเชื่อมโยงกับองค์กรของ Fresenius ในยุโรป:
    • เมื่อหน่วยงานนั้น ๆ เก็บรวบรวมข้อมูลส่วนบุคคลในนามองค์กรของ Fresenius ในยุโรป หรือ 
    • เมื่อหน่วยงานนั้น ๆ ทำงานร่วมกับองค์กรของ Fresenius ในยุโรป หรือ
    • เมื่อหน่วยงานนั้น ๆ ได้รับข้อมูลส่วนบุคคลจากองค์กรในยุโรป หรือ
    • เมื่อหน่วยงานนั้น ๆ ทำการเก็บรวบรวมข้อมูลส่วนบุคคลจากบุคคลที่เป็นเจ้าของข้อมูลในยุโรปเพื่อประกอบการเสนอสินค้าและบริการ หรือเกี่ยวข้องกับการตรวจสอบพฤติกรรม


BCR ใช้กับทั้งกระบวนการบันทึกข้อมูลในกระดาษ และในฐานข้อมูลไอที 

BCR ใช้กับกระบวนการทั้งหมดที่อนุญาตให้ทำการค้นหาข้อมูลส่วนบุคคลได้อย่างมีแบบแผน

BCR กำหนดระดับมาตรฐานขั้นต่ำ

หากกฎหมายคุ้มครองข้อมูลส่วนบุคคลในท้องถิ่นใด กำหนดกฎเกณฑ์ไว้เข้มงวดกว่า หรือมีกฎเกณฑ์เพิ่มเติม เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล จะต้องดำเนินการตามกฎเกณฑ์เหล่านั้นอีกด้วย 

หากกฎหมายท้องถิ่นนั้นขัดแย้งกับ BCR ให้แจ้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) DPO จะประเมินผลกระทบและแก้ไขข้อขัดแย้ง 

หากองค์กรได้รับคำสั่งจากหน่วยงานที่มีอำนาจให้เปิดเผยข้อมูลส่วนบุคคล ซึ่งคำสั่งนั้นไม่เป็นไปตามข้อกำหนด BCR ให้แจ้งให้ DPO ทราบ โดย DPO จะแจ้งให้หน่วยงานที่กำกับดูแลในประเทศเยอรมนีทราบ

BCR มีผลผูกพันกับองค์กรและพนักงานของเรา

BCR จะต้องได้รับการปฏิบัติตาม และมีผลผูกพันกับ:

  • องค์กรทั้งหมด: ซึ่งเซ็นสัญญา
  • พนักงานทุกคน: มีหน้าที่ปฏิบัติตามนโยบายของบริษัทตามสัญญาจ้าง


องค์กรและบุคคลพึงได้รับสิทธิภายใต้หน้าที่เหล่านี้ 

การบังคับใช้ BCR และการลงโทษทางวินัยใด ๆ จากการฝ่าฝืนนั้นให้ใช้หลักเดียวกับการฝ่าฝืนนโยบายอื่น ๆ ของบริษัท 

Fresenius Group ได้จัดตั้งหน่วยงานคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร โดยมอบหมายบทบาทและความรับผิดชอบดังต่อไปนี้:

  • เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) จะทำการเฝ้าติดตาม ได้แก่ การตรวจสอบและดูแลว่ามีการปฏิบัติตาม BCRs กฎหมายในท้องถิ่นและ บรรดานโยบายและวิธีดำเนินการคุ้มครองข้อมูลส่วนบุคคล      DPO สามารถทำการตรวจสอบ ทบทวน และสืบสวนได้     นอกจากนี้ DPO ยังมีหน้าที่เป็นผู้ติดต่อกับหน่วยงานคุ้มครองข้อมูลส่วนบุคคลในยุโรป รายละเอียดการติดต่อคือ:  
  • เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล:
               Else-Kröner-Str. 1 61352 บาด ฮอมบวร์ก vdH
               เยอรมนี
               หรือทางไปรษณีย์:
               สำหรับ Fresenius SE และ FDT:     dataprotectionofficer@fresenius.com
               สำหรับองค์กรของ Fresenius Kabi:     dataprotectionofficer@fresenius-kabi.com                                             
  • ที่ปรึกษาการคุ้มครองข้อมูลส่วนบุคคลในท้องถิ่น (LDPA) มีหน้าที่ช่วยเหลือและให้คำแนะนำกับพนักงานในท้องถื่น และเจ้าของการประมวลข้อมูล เมื่อมีคำถามหรือข้อกังวลใด ๆ ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล     ในกรณีจำเป็น LDPA จะให้การช่วยเหลือแก่ DPA และ DPO เช่น เมื่อได้รับคำร้องให้ช่วยทำหน้าที่ในการเฝ้าติดตามและติดต่อกับหน่วยงานซึ่งมีหน้าที่กำกับดูแล เช่น การช่วยเหลือด้านภาษา
  • ที่ปรึกษาการคุ้มครองข้อมูลส่วนบุคคล (DPA) ทำหน้าที่สนับสนุนและให้คำปรึกษากับ LDPA และรับผิดชอบระบบการจัดการการคุ้มครองข้อมูลส่วนบุคคล และในกรณีจำเป็น DPA จะสนับสนุน DPO เมื่อได้รับคำร้องให้ช่วยทำหน้าที่ในการเฝ้าติดตามและติดต่อกับหน่วยงานซึ่งมีหน้าที่กำกับดูแล เช่นการช่วยเหลือด้านภาษา

เมื่อมีการประมวลผลข้อมูลส่วนบุคคล เราจะปฏิบัติตามหลักการหลายประการเพื่อปกป้องสิทธิและเสรีภาพขั้นพื้นฐานของบุคคลที่เป็นเจ้าของข้อมูลตาม BCR โดยแต่ละองค์กรจะต้องปฏิบัติตามหลักการต่อไปนี้เมื่อทำการประมวลผลข้อมูลส่วนบุคคล: 

หลักการที่ 1: ความถูกต้องตามกฎหมาย

ต้องมีการจัดทำเอกสารเกี่ยวกับหลักทางกฎหมายในการประมวลข้อมูล เมื่อมีการเก็บรวบรวม ใช้ และประมวลผลข้อมูลส่วนบุคคล โดยหลักทางกฎหมายในการประมวลข้อมูลนั้นจะถูกจำกัดตามรายการที่ระบุไว้ ยกตัวอย่างเช่น: 

  • การประมวลผลข้อมูลส่วนบุคคลนั้นจำเป็นสำหรับการปฏิบัติตามสัญญากับบุคคล เช่น สัญญาจ้างแรงงานและสัญญาซื้อขาย
  • บุคคลที่เป็นเจ้าของข้อมูลได้ให้ความยินยอมแล้ว
  • ผลประโยชน์โดยชอบด้วยกฎหมายของ Fresenius นั้นมีความสำคัญยิ่งกว่าผลเสียที่เกิดขึ้นต่อปัจเจกบุคคล
  • ความจำเป็นที่จะต้องปฏิบัติหน้าที่ตามที่กฎหมายอื่น ๆ กำหนด เช่น กฎหมายภาษี ข้อกำหนดการเฝ้าระวัง หรือข้อกำหนดในด้านคุณภาพ (เช่น ที่เกี่ยวข้องกับการผลิต, การจัดทำเอกสาร หรือการผลิตสินค้า)


ประเภทของข้อมูลพิเศษ เช่น ข้อมูลด้านสุขภาพ จะต้องอาศัยหลักทางกฎหมายเพิ่มเติม

หากกฎหมายท้องถิ่นกำหนดให้มีข้อกำหนดเพิ่มเติมหรือแตกต่างออกไป จะต้องปฏิบัติตามข้อกำหนดเหล่านี้ด้วย (เช่น อาจเกี่ยวข้องกับข้อมูลพนักงาน)

หลักการ 2: ความโปร่งใสและความเป็นธรรม

จัดการข้อมูลส่วนบุคคลอย่างเป็นธรรมและโปร่งใส     แจ้งให้บุคคลที่เป็นเจ้าของข้อมูลทราบก่อน หรือในขณะที่เก็บรวบรวมและใช้ข้อมูลส่วนบุคคล เกี่ยวกับ: 

  • ใครเป็นผู้รับผิดชอบและสามารถติดต่อเราได้อย่างไร
  • ข้อมูลใดบ้างที่ถูกเก็บรวบรวม
  • มีการเก็บรวบรวมข้อมูลอย่างไร
  • เหตุใดจึงจำเป็นต้องใช้ข้อมูลเหล่านั้น (วัตถุประสงค์)
  • ข้อมูลจะถูกแบ่งปันให้กับองค์กรใดบ้าง
  • ข้อมูลนั้นจะแบ่งปันไปยังต่างประเทศหรือไม่
  • ข้อมูลจะถูกเก็บไว้นานแค่ไหน
  • หลักทางกฎหมายซึ่งอนุญาตให้ทำการเก็บรวบรวมและใช้ข้อมูล และคำอธิบาย (หลักการที่ 1)
  • มีการทำโปรไฟล์ของเจ้าของข้อมูลส่วนบุคคลหรือไม่
  • เราทำการตัดสินใจใด ๆ ด้วยระบบอัตโนมัติบ้าง
  • จำเป็นต้องให้ข้อมูลหรือไม่ และหากปฏิเสธจะมีผลอย่างไร
  • รายละเอียดการติดต่อของ DPO และหน่วยงานที่กำกับดูแล
  • สิทธิที่เจ้าของข้อมูลมี

ข้อมูลทั้งหมดนี้ต้องแสดงในรูปแบบที่ครอบคลุมและเข้าใจได้ง่าย โดยใช้ภาษาที่ชัดเจนและเรียบง่าย 

หลักการที่ 3: ข้อจำกัดวัตถุประสงค์

การใช้ข้อมูลส่วนบุคคลต้องใช้ตรงตามวัตถุประสงค์ที่ได้เก็บรวบรวมไว้ โดยระบุวัตถุประสงค์นั้นไว้โดยเฉพาะ ชัดเจนและชอบด้วยกฎหมาย ไม่อนุญาตให้ใช้เพื่อวัตถุประสงค์อื่น ๆ เพิ่มเติมในภายหลัง เว้นแต่การใช้งานเพิ่มเติมนี้จะสอดคล้องกับวัตถุประสงค์ดั้งเดิม และ/หรือมีมาตรการเพิ่มเติม

วัตถุประสงค์สำหรับการประมวลผลข้อมูลเพิ่มเติม ซึ่งโดยทั่วไปถือว่าสอดคล้องกับวัตถุประสงค์เดิมคือ: 

  • การเก็บถาวร
  • ตรวจสอบภายใน 
  • การสืบสวนสอบสวน

(L)DPA สามารถให้คำแนะนำเป็นแนวทางว่าการใช้ข้อมูลโดยมีวัตถุประสงค์ใหม่นั้นสอดคล้องกับวัตถุประสงค์เดิมหรือไม่และจำเป็นต้องมีมาตรการเพิ่มเติมหรือไม่ ในกรณีที่การเปลี่ยนวัตถุประสงค์นั้นได้รับอนุญาต บุคคลที่เป็นเจ้าของข้อมูลจะต้องได้รับแจ้งเกี่ยวกับการเปลี่ยนแปลงดังกล่าว

หลักการที่ 4: การใช้ข้อมูลเฉพาะเท่าที่จำเป็น 

รวบรวมและใช้ข้อมูลส่วนบุคคลเฉพาะเท่าที่จำเป็นสำหรับวัตถุประสงค์ที่กำหนดไว้ ตามที่แจ้งให้บุคคลที่เป็นเจ้าของข้อมูลทราบเท่านั้น และตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลนั้น เกี่ยวข้องกับวัตถุประสงค์ดังกล่าว และไม่ได้ใช้เกินขอบเขตของวัตถุประสงค์นั้น ๆ

หลักการที่ 5: ความแม่นยำ

ทำการเก็บรักษาข้อมูลส่วนบุคคลให้ถูกต้องและเป็นปัจจุบัน สร้างขั้นตอนดำเนินการเพื่อให้มั่นใจว่า ข้อมูลที่ไม่ถูกต้องได้ถูกลบออกไป และแก้ไข หรืออัปเดตข้อมูลให้ถูกต้องโดยไม่ชักช้า

หลักการที่ 6: ข้อจำกัดในการจัดเก็บ

อย่าเก็บข้อมูลส่วนบุคคลไว้นานกว่าที่จำเป็นเพื่อใช้ตามวัตถุประสงค์ที่เก็บรวบรวม เว้นแต่กฎหมายจะกำหนดให้เก็บข้อมูลต่อไป ในกรณีเช่นนั้นให้จำกัดการเข้าถึงข้อมูล และให้ทำลายหรือลบวิธีการระบุตัวตนของข้อมูลส่วนบุคคลเมื่อไม่มีเหตุผลทางกฎหมายหรือวัตถุประสงค์ให้จัดเก็บข้อมูลดังกล่าวไว้อีกต่อไป

หลักการที่ 7: ความปลอดภัย ความถูกต้องสมบูรณ์ และการรักษาความลับ

ใช้มาตรการทางเทคนิคและทางองค์กรที่เหมาะสมในการคุ้มครองข้อมูลส่วนบุคคลจากการถูกทำลาย การสูญหาย การแก้ไขเปลี่ยนแปลง การเปิดเผย หรือการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต (เช่น ด้วยแนวคิดเรื่องบทบาทและสิทธิที่เหมาะสม การสำรองข้อมูลและการกู้คืน หรือโดยการเข้ารหัสข้อมูล)  เมื่อทำการติดตั้งและบำรุงรักษาระบบไอที ให้ประเมินความเสี่ยงต่อบุคคลที่เป็นเจ้าของข้อมูลด้วย จัดทำบันทึกเอกสารและทำการรายงานการละเมิดความปลอดภัยใด ๆ ที่อาจส่งผลให้เกิดความเสี่ยงต่อบุคคลที่เป็นเจ้าของข้อมูลซึ่งได้รับผลกระทบดังกล่าว โดยส่งให้องค์กรคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ ให้แจ้งการละเมิดความปลอดภัยดังกล่าวไปยังหน่วยงานกำกับดูแล บุคคลที่เป็นเจ้าของข้อมูล หรือองค์กรอื่น ๆ ตามสถานการณ์ที่เกิดขึ้น

หลักการที่ 8: ความรับผิดชอบ

ต้องสามารถแสดงให้เห็นถึงการปฏิบัติตาม BCR การดำเนินงานดังกล่าวทำได้โดยการสร้าง และดูแลรักษาเอกสารอย่างเหมาะสม เช่น: 

  • บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล 
  • มาตรการทางเทคนิคและทางองค์กรซึ่งกระทำเพื่อให้สอดคล้องกับหลักการคุ้มครองข้อมูลส่วนบุคคล และระบุถึงความเสี่ยง
  • ความเสี่ยงในการคุ้มครองข้อมูลส่วนบุคคลและการประเมินการควบคุม

การว่าจ้างผู้ประมวลผลข้อมูลส่วนบุคคล

ว่าจ้างเฉพาะผู้ประมวลผลข้อมูลส่วนบุคคลที่มีการรับประกันเพียงพอเพื่อแสดงได้ว่ามีการใช้มาตรการทางเทคนิคและทางองค์กรที่เหมาะสม ในลักษณะที่ทำให้การประมวลผลข้อมูลส่วนบุคคลนั้นสอดคล้องกับข้อกำหนดของ BCR และกฎหมายในท้องถิ่นนั้น ๆ    ทั้งนี้ จะต้องแน่ใจว่ามีการทำสัญญาคุ้มครองข้อมูลส่วนบุคคลระหว่างองค์กรที่เกี่ยวข้องกับผู้ประมวลผลข้อมูลรายนั้น

การโอนข้อมูลส่วนบุคคล (ส่งต่อ) 

ใช้มาตรการเพื่อคุ้มครองการถ่ายโอนข้อมูลส่วนบุคคลไปยังองค์กรอื่นที่อยู่นอกยุโรปให้พอเพียงตาม BCR ซึ่งการใช้มาตรการเหล่านี้ สามารถกระทำได้โดยการยอมรับหลักข้อสัญญามาตรฐาน ตามที่คณะกรรมาธิการยุโรปใช้กับองค์กรอื่น

การประเมินความเสี่ยงของการคุ้มครองข้อมูลส่วนบุคคล

ทุก ๆ กิจกรรมประมวลผลข้อมูลส่วนบุคคลนั้น จะต้องมีการประเมินความเสี่ยงเกี่ยวกับ การคุ้มครองข้อมูลส่วนบุคคล การประเมินนี้เป็นกระบวนการที่มีระเบียบเพื่อประเมินผลกระทบ ของกิจกรรมที่มีต่อสิทธิและเสรีภาพของบุคคลที่เป็นเจ้าของข้อมูลที่เกี่ยวข้องช่องว่างในการควบคุมและ ความเสี่ยงที่อาจเกิดขึ้นนั้นจะต้องรายงานและบันทึกไว้เป็นเอกสาร โดยให้ใช้มาตรการทางเทคนิคและ ทางองค์กรเพื่อบรรเทาช่องว่างหรือความเสี่ยงนั้นจะต้องนำมาปรับใช้ก่อนเริ่มกิจกรรมการประมวลผลข้อมูลส่วนบุคคล

การประเมินผลกระทบของการคุ้มครองข้อมูลส่วนบุคคล

หากผลการประเมินความเสี่ยงเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลนั้นพบว่ามีความเสี่ยงสูง ให้ทำการประเมินผลกระทบของการคุ้มครองข้อมูลส่วนบุคคล (DPIA) โดยต้องขอคำแนะนำในการประเมินจาก DPO

ในกรณีที่ DPIA พบความเสี่ยงสูงในกิจกรรมการประมวลผลข้อมูลส่วนบุคคลนั้น ๆ ให้ดำเนินการตามมาตรการที่เพียงพอสำหรับการลดความเสี่ยงดังกล่าว ก่อนเริ่มกิจกรรมการประมวลผลข้อมูลส่วนบุคคล หาก DPIA ยังคงพบว่ามีความเสี่ยงสูงภายหลังการดำเนินการตามมาตรการดังกล่าวแล้ว ให้ปรึกษาหน่วยงานกำกับดูแลที่เกี่ยวข้องก่อนที่จะประมวลผลข้อมูล

บุคคลที่เป็นเจ้าของข้อมูลต้องสามารถใช้สิทธิของตน (สิทธิของเจ้าของข้อมูล):

  • สิทธิในการเข้าถึงข้อมูลส่วนบุคคล: บุคคลที่เป็นเจ้าของข้อมูลสามารถขอเข้าถึง/ขอรับข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของตนซึ่งถูกประมวลผล  โดย Fresenius (เช่น วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล ประเภทของข้อมูลส่วนบุคคลที่เกี่ยวข้อง ผู้รับข้อมูลส่วนบุคคล ระยะเวลาการจัดเก็บ การมีอยู่ของการตัดสินใจอัตโนมัติใด ๆ )
  • สิทธิในการแก้ไขข้อมูลส่วนบุคคล: บุคคลที่เป็นเจ้าของข้อมูลสามารถขอแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้องหรือไม่สมบูรณ์
  • สิทธิในการลบข้อมูลส่วนบุคคล: บุคคลที่เป็นเจ้าของข้อมูลสามารถขอให้ลบข้อมูลส่วนบุคคลของตนได้ เว้นแต่จะต้องเก็บรักษาไว้ เช่น เนื่องจากข้อกำหนดให้ทำการเก็บรักษาตามกฎหมาย 
  • สิทธิในการจำกัดการประมวลผลข้อมูลส่วนบุคคล: บุคคลที่เป็นเจ้าของข้อมูลสามารถขอทำการจำกัดการประมวลผลข้อมูลส่วนบุคคลของตนได้หากทำการโต้แย้งความถูกต้องของข้อมูลส่วนบุคคล หรือการประมวลผลข้อมูลส่วนบุคคลนั้นไม่ชอบด้วยกฎหมาย (ข้อมูลส่วนบุคคลนั้นไม่จำเป็นต่อการใช้เพื่อปฏิบัติตามวัตถุประสงค์ที่กำหนดอีกต่อไป)
  • สิทธิในการรับข้อมูลส่วนบุคคลในรูปแบบที่พกพา: บุคคลที่เป็นเจ้าของข้อมูลสามารถขอรับข้อมูลส่วนบุคคลในรูปแบบที่ใช้กันทั่วไป และสามารถอ่านได้โดยเครื่องคอมพิวเตอร์ หากตรงตามเงื่อนไขต่อไปนี้: 
    • ข้อมูลส่วนบุคคลนั้นเป็นข้อมูลที่ได้รับมาจากเจ้าของข้อมูลส่วนบุคคลเอง 
    • การประมวลผลข้อมูลส่วนบุคคลเป็นไปตามความยินยอมของเจ้าของข้อมูลหรือเป็นไปตามสัญญาที่ทำกับเจ้าของข้อมูล
    • การประมวลผลข้อมูลส่วนบุคคลนั้นดำเนินการโดยวิธีการอัตโนมัติ
  • สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล: บุคคลที่เป็นเจ้าของข้อมูลสามารถคัดค้านการประมวลผลข้อมูลส่วนบุคคลของตน ด้วยเหตุผลส่วนตัวได้ ตามหลักความชอบด้วยกฎหมายหรือหลักประโยชน์สาธารณะ คำขอดังกล่าวจะต้องได้รับการประเมิน นอกจากนี้บุคคลที่เป็นเจ้าของข้อมูลดังกล่าวสามารถคัดค้านการประมวลข้อมูลส่วนบุคคลสำหรับการตลาดแบบตรงและทำโปรไฟล์ได้ ซึ่งในกรณีนี้การประมวลผลข้อมูลส่วนบุคคลจะต้องหยุดลง 
  • สิทธิที่จะไม่อยู่ภายใต้การตัดสินใจโดยอัตโนมัติ: บุคคลที่เป็นเจ้าของข้อมูลมีสิทธิที่จะไม่อยู่ภายใต้การตัดสินใจโดยอัตโนมัติ (รวมถึงการจัดทำโปรไฟล์) ซึ่งอาจมีผลทางกฎหมาย หรือผลกระทบที่มีนัยสำคัญที่คล้ายคลึงกันต่อบุคคลที่เป็นเจ้าของข้อมูล เว้นแต่:
    • กรณีจำเป็นสำหรับการทำสัญญาหรือปฏิบัติตามสัญญาระหว่างบุคคลที่เป็นเจ้าของข้อมูลและองค์กรที่เกี่ยวข้อง
    • เป็นไปตามความยินยอมโดยชัดแจ้งของบุคคลที่เป็นเจ้าของข้อมูล

การเข้าถึง BCR

บุคคลที่เป็นเจ้าของข้อมูลจะต้องสามารถเข้าถึง BCR ได้ตามความเหมาะสม BCR จะถูกเผยแพร่บนอินเทอร์เน็ตและอินทราเน็ต 
บุคคลที่เป็นเจ้าของข้อมูลยังสามารถเข้าถึง BCR ได้โดยติดต่อ DPO ที่เกี่ยวข้อง หรือสมาชิกใด ๆ ขององค์กรคุ้มครองข้อมูลส่วนบุคคล 

การจัดการเรื่องร้องเรียน BCR

บุคคลที่เป็นเจ้าของข้อมูลมีสิทธิที่จะ:

  • เรียกร้องในกรณีที่มีการละเมิด BCR กฎหมายคุ้มครองข้อมูลส่วนบุคคลในท้องถิ่น คำสั่งของหน่วยงานกำกับดูแล นโยบายและแนวทางปฏิบัติภายใน หรือการละเมิดข้อตกลงโดยสมัครใจที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
  • รับทราบสิทธิส่วนบุคคลที่เป็นเจ้าของข้อมูล
  • บังคับใช้สิทธิอื่นใดตาม BCR

การร้องเรียนดังกล่าวสามารถส่งได้ทางโทรศัพท์ ทางอีเมลหรือจดหมาย ทางวาจาโดยติดต่อ DPO ที่เกี่ยวข้อง หรือติดต่อ (L) DPA ที่เกี่ยวข้อง หรือสายด่วนฝ่ายกำกับการปฏิบัติงาน เป็นต้น 

ในกรณีที่การร้องเรียนได้รับการพิจารณาว่าสมเหตุสมผล องค์กรนั้นจะดำเนินการอย่างเหมาะสมโดยจัดการตามข้อร้องเรียน และแจ้งให้บุคคลที่เป็นเจ้าของข้อมูลนั้นทราบตามลำดับ ภายในหนึ่งเดือน

ความรับผิดและการบังคับใช้

บุคคลที่เป็นเจ้าของข้อมูลที่ได้รับผลกระทบจาก หรือได้รับความเสียหายอันเป็นผลจาก การประมวลผลข้อมูลส่วนบุคคลของตน มีสิทธิบังคับใช้ BCR ส่วนนี้ และในกรณีที่สามารถบังคับตามสิทธิดังกล่าวได้ จะได้รับการชดเชยค่าเสียหายกับศาลที่มีเขตอำนาจ
ในกรณีที่มีการพิสูจน์แล้วว่ามีการละเมิดสิทธิโดยองค์กรที่จัดตั้งอยู่นอกยุโรป Fresenius SE & Co. KGaA ตกลงว่าจะรับผิดชอบและรับผิดต่อความเสียหายใด ๆ ที่เกิดขึ้นกับบรรดาบุคคลที่เป็นเจ้าของข้อมูล     

องค์กรที่ก่อให้เกิดความเสียหายจะต้องให้ความช่วยเหลือตามสมควรแก่ Fresenius SE & Co. KGaA เพื่อตอบสนองกับข้อร้องเรียนหรือคำขอภายในระยะเวลาที่เหมาะสม

ความร่วมมือกับหน่วยงานกำกับดูแล

องค์กรแต่ละรายจะต้องให้ความร่วมมือกับหน่วยงานกำกับดูแล โดยปฏิบัติตามคำแนะนำเกี่ยวกับการตีความ BCR เหล่านี้ และยอมรับการตรวจสอบโดยหน่วยงานกำกับดูแลที่เกี่ยวข้อง

การฝึกอบรม

องค์กรแต่ละรายจะต้องลงทะเบียนและมีหน้าที่จัดการให้พนักงานของตนเข้าร่วมการฝึกอบรมเกี่ยวกับ BCR และการคุ้มครองข้อมูลส่วนบุคคล และต้องจัดให้มีการฝึกอบรมซ้ำอย่างสม่ำเสมอ การฝึกอบรมทั่วไปต้องจัดอย่างน้อยปีละสองครั้งกับพนักงานที่เกี่ยวข้องทั้งหมด นอกจากนี้ ต้องจัดให้มีการฝึกอบรมเฉพาะบทบาท (เช่น สำหรับฝ่ายทรัพยากรบุคคลหรือฝ่ายจัดซื้อ) โดยพิจารณาถึงหน้าที่ของบทบาทหรือบุคคลที่เกี่ยวข้อง

ตรวจสอบ

คู่สัญญาทุกฝ่ายจะต้องให้คำมั่นว่าจะรับการตรวจสอบเป็นประจำ (ทั้งตรวจสอบตามแผนในกำหนดการ  หรือการตรวจสอบแบบเฉพาะกิจ) เพื่อประเมินผล และทดสอบการปฏิบัติตาม BCR และสร้างกลไกที่เพียงพอและเหมาะสมกับการแก้ไขปัญหาในกรณีที่องค์กรใดองค์กรหนึ่งไม่ปฏิบัติตามข้อกำหนด BCR  องค์กรคุ้มครองข้อมูลส่วนบุคคลจะติดตามผลการตรวจสอบที่ดำเนินแล้วเพื่อประเมินว่าการแก้ไขปัญหาตามที่เสนอมานั้นได้ถูกนำมาใช้งานแล้ว อย่างเหมาะสมหรือไม่ และบันทึกผลลัพธ์ใด ๆ ในรายงานการตรวจสอบ แต่ละองค์กรจะต้องจัดทำรายงานการตรวจสอบไว้ ให้หน่วยงานกำกับดูแลสามารถตรวจสอบได้เมื่อได้รับการร้องขอ 

การอัพเดท BCR

องค์กรจะต้องทำการตรวจทานกฎหมายการคุ้มครองข้อมูลส่วนบุคคลในท้องถิ่น และแจ้งเมื่อจำเป็นต้องเปลี่ยนแปลง BCR  Fresenius สามารถแก้ไข BCR ได้ตามความจำเป็น โดยการเปลี่ยนแปลงสาระสำคัญใด ๆ ใน BCR จะต้องรายงานไปยังองค์กรและหน่วยงานกำกับดูแลโดยทันที การแก้ไขเพิ่มเติมใด ๆ ที่ไม่เป็นสาระสำคัญใน BCR จะต้องรายงานไปยังองค์กรที่เกี่ยวข้องโดยเร็วที่สุดเท่าที่จะทำได้