worldwide

worldwide

U kompaniji Merck & Co., Inc., Rahway, NJ, SAD, koja izvan SAD i Kanade ima trgovačko ime MSD i uključuje, ali nije ograničeno na obuhvaćene entitete: Merck Sharp & Dohme LLC i Intervet, Inc.; naša misija spašavanja i poboljšanja života proteže se na poštivanje privatnosti i zaštitu ličnih podataka.

Datum pregleda: 1. septembar 2023.
Datum stupanja na snagu: 1. septembar 2023.

Nastojimo voditi naše poslovanje u skladu s našim vrijednostima zaštite privatnosti jer vjerujemo da predstavljaju našu nepokolebljivu predanost etičkoj i odgovornoj praksi. Shvaćamo da inovacije i nove tehnologije dovode do kontinuiranih promjena u rizicima, očekivanjima i zakonodavstvu, stoga slijedimo standarde odgovornosti vezane za zaštitu privatnosti i nastojimo se brzo prilagoditi na to kako ih primijeniti kao odgovor na te promjene.

Ova Politika definira naše globalne standarde za upravljanje i zaštitu osobnih podataka od strane naše kompaniji i u njeno ime, bez obzira na to iz koje potiču ili u koju se osobni podaci mogu prenijeti. Opisuje naše temeljne obveze podržavajući sukladnost s našom certifikacijom u skladu s AGPS Pravilima o prekograničnoj privatnosti podataka, našaObvezujuća pravila poslovanja („OPP“), koja su odobrena u Europskoj uniji, kao i našu vlastitu certifikaciju prema EU-SAD programu Okvir za zaštitu privatnosti podataka (DPF), proširenju DPF za UK i Švicarsko-SAD programu Okvira za zaštitu privatnosti podataka.

Naša kompanija je u skladu sa EU-SAD programom okvira za zaštitu privatnosti podataka (EU-SAD DPF), proširenjem UK na EU-SAD DPF te švicarsko-američkim programom Okvira za zaštitu privatnosti podataka (švicarsko-američki DPF) kako je odredilo Ministarstvo trgovine SAD. Potvrdili smo Ministarstvu trgovine SAD da se pridržavamo principa EU-SAD programa Okvira za zaštitu privatnosti podataka (EU-SAD DPF principi) po pitanju obrade ličnih podataka primljenih od Evropske unije oslanjajući se na EU-SAD DPF i iz Ujedinjenog Kraljevstva (i Gibraltara) oslanjajući se na proširenje UK na EU-SAD DPF. Potvrdili smo Ministarstvu trgovine SAD da se pridržavamo principa švicarsko-američkog programa Okvira za zaštitu privatnosti podataka (švicarsko-američki DPF principi) po pitanju obrade ličnih podataka primljenih iz Švicarske oslanjajući se na švicarsko-američki DPF. Ako postoji bilo kakav sukob između uslova u ovoj politici i EU-SAD DPF principa i/ili švicarsko-SAD DPF principa, principi će prevladati. Da biste saznali više o programu Okvir o zaštiti privatnosti podataka (DPF) i vidjeli našu certifikaciju, posjetite https://www.dataprivacyframework.gov/.

Ova politika primjenjuje se na naše operacije u svakoj zemlji, na sve aktivnosti koje uključuju podatke o osobama, a koje provodimo u svim našim podružnicama i odjeljenjima (uključujući sve nasljednike našeg poslovanja), uključujući, ali se ne ograničavajući na istraživanje, proizvodnju, trgovinu, aktivnosti korporativne podrške i prijenose podataka potrebne za provođenje tih aktivnosti kao što su na primjer:

  • Istraživanje i proizvodnja: procjena potreba i mogućnosti za medicinske i zdravstvene inovacije; započinjanje, procjena i financiranje istraživačkih studija; procjena i angažiranje istraživača, članova znanstvenih i etičkih povjerenstava i poslovnih partnera koji će potpomoći naše istraživačke studije, i razvoj naših proizvoda; novačenje u istraživačkim studijama; procjena sigurnosti, djelotvornosti i kvalitete naših ispitivanih proizvoda i proizvoda koji su stavljeni u promet; ispunjavanje obveza u vezi sigurnosti i kvalitete proizvoda, uključujući upravljanje i izvješćivanje o štetnim događajima i žalbama na kvalitetu proizvoda; podnošenje zahtjeva za odobrenje i registraciju naših proizvoda kod nadležnih tijela; i ispunjenje povezanih zakonskih, regulatornih i etičkih zahtjeva;
  • Trgovina: procjena tržišta za naše proizvode; oglašavanje, marketing, prodaja, distribucija i isporuka proizvoda; komunikacija i odnos sa klijentima zdravstvenim djelatnicima, platiteljima zdravstvene zaštite, pacijentima i ostalim krajnjim korisnicima kao i njegovateljima, onih koji koriste naše proizvode; sponzorstvo i provođenje događanja; procjena i angažiranje poslovnih partnera u potpori našim komercijalnim aktivnostima; ispunjenje povezanih zakonskih, regulatornih i etičkih zahtjeva;
  • Korporativna podrška: novačenje, najam, upravljanje, razvoj, komunikacija sa zaposlenima i njihovo nagrađivanje; upravljanje pogodnosti za zaposlenike i njihove uzdržavane osobe; provođenje kontrole rezultata zaposlenika i talenata; organiziranje obuke i ostalih edukativnih i razvojnih programa; provođenje disciplinskih i žalbenih postupaka; upravljanje etičkim pitanjima i pitanjima u vezi privatnosti, provođenje istraga; upravljanje i osiguranje fizičke i virtualne imovine i infrastrukture; nabava i plaćanje proizvoda i usluga; ispunjavanje obveza u vezi zaštite okoliša, zaštite zdravlja i sigurnosti te ostalih korporativnih obveza; odnosi s medijima, i ispunjenje povezanih zakonskih, regulatornih i etičkih zahtjeva.

Ova se politika također primjenjuje na sve ljude čije osobne podatke obrađujemo, uključujući na primjer naše zdravstvene djelatnike i druge klijente, moguće, sadašnje i buduće zaposlenike i njihove uzdržavane osobe, pacijente, pružatelje skrbi, istraživače i sudionike ispitivanja, članove znanstvenih i etičkih povjerenstava, poslovne partnere, investitore i dioničare, vladine službenike i ostale dionike.

Svi zaposleni i viši rukovodioci Kompanije imaju suštinske dužnosti u pogledu zaštite privatnosti koje moraju da ispunjavaju.

Priznajemo da nesmotrene greške i pogrešne procjene povezane sa zaštitom osobnih podataka mogu stvoriti rizike za privatnost za fizičke osobe i operativne i financijske rizike kao i rizike po reputaciju i sukladnost tvrtke. Pružit ćemo odgovarajuću obuku po ovoj Politici za sve zaposlenike i ostalo osoblje koje ima stalni ili redoviti pristup osobnim podacima, koji su uključeni u prikupljanje podataka ili u razvoj alata koji se koriste za obradu osobnih podataka. Svaki zaposlenik tvrtke i ostale osobe koje obrađuju osobne podatke za našu tvrtku odgovorni su za razumijevanje i podržavanje svojih obveza po ovoj Politici i važećih zakona.

Naše vrijednosti i standardi vezani za privatnost

Podržavamo naše vrijednosti privatnosti u svemu što radimo što uključuje osobe, uključujući kako primjenjujemo standarde privatnosti. Naše četiri glavne vrijednosti privatnosti su:

Poštovanje

Poverenje

Sprečavanje štete

Pridržavanje

Priznajemo da je zabrinutost u vezi privatnosti često povezana sa suštinom onoga što jesmo, kako gledamo na svijet i kako se definiramo, stoga nastojimo poštovati poglede i interese pojedinaca i zajednica i biti u fer i transparentni u načinu na koji koristimo i dijelimo njihove podatke.

Znamo da je povjerenje od vitalnog značaja za uspjeh, stoga nastojimo izgraditi i čuvati povjerenje s našim klijentima, zaposlenicima, pacijentima i ostalim sudionicima u vezi toga kako poštujemo privatnost i štitimo osobne podatke.

Razumijemo da zlouporaba osobnih podataka može stvoriti materijalnu i nematerijalnu štetu za pojedince, stoga nastojimo spriječiti fizičku i financijsku štetu kao i štetu za reputaciju i ostale vrste šteta koje mogu nastati u vezi osobnih podataka.

Naučili smo da zakoni i propisi ne mogu uvijek držati korak s brzim promjenama tehnologija, razmjenama podataka i pratećih promjena u rizicima u vezi privatnosti i očekivanja, stoga se nastojimo uskladiti sa smislom i tekstom zakona i propisa o privatnosti i zaštiti podataka na način koji potiče dosljednost i operativnu djelotvornost za naše globalne poslovne operacije.

  1. 1. Ugrađujemo naše standarde privatnosti u sve naše aktivnosti, procese, tehnologije i odnose s trećim stranama koje koriste osobne podatke. Ugrađujemo kontrolu zaštite privatnosti u naše procese i tehnologije koji su sukladni s našim vrijednostima koje proizlaze iz vrijednost u vezi privatnosti, standarda i postojećih propisa. Naših 8 načela navedenih u nastavku rezimiraju naše standarde privatnosti i središnje zahtjeve za obradu, aktivnosti i tehnologije koje podržavaju na višoj razini.

    Načelo privatnosti

    Naša glavna opredjeljenja

    1. Potreba – prije prikupljanja, uporabe i razmjena osobnih podataka, definiramo i dokumentiramo specifične, zakonite poslovne ciljeve za koji su isti potrebni.

    • Određujemo i dokumentiramo koliko su dugo osobni podaci potrebni za definirane poslovne svrhe i važeće zakonske zahtjeve.
    • Ne prikupljamo, koristimo niti razmjenjujemo više osobnih podataka nego je potrebno niti ih zadržavamo u identificirajućem obliku dulje nego je to potrebno za definirane poslovne svrhe i važeće zakonske zahtjeve.
    • Anonimiziramo podatke kada su iz poslovnih razloga potrebni o aktivnostima ili procesima i kada su zadržani za dulje vrijeme.
    • Osiguravamo da su te poslovne potrebe ugrađene u potporne tehnologije i da su priopćene trećim stranama radi podržavanja aktivnosti ili procesa.

    2. Pravičnost – ne obrađujemo osobne podatke na način da su nepravedni prema osobama na koje se odnose.

    • Određujemo predstavlja li predloženo prikupljanje, uporaba ili obrada osobnih podataka vjerojatan i/ili ozbiljan rizik za materijalnu i nematerijalnu imovinu pojedinca u skladu s našim vrijednostima o privatnosti za Sprječavanje štete.
    • Ako priroda podataka, vrsta osoba ili aktivnosti predstavlja vjerojatan i/ili ozbiljan rizik za materijalnu ili nematerijalnu imovinu pojedinaca, osiguravamo da je rizik od nastanka štete manje važan od odgovarajuće koristi tim pojedincima ili našoj misiji spašavanja ili poboljšavanja života i smanjen pomoću mjera, kontrola i mehanizama koje smo uspostavili.
    • Tamo gdje rizik izgleda veći od dobiti pojedinaca, primjenjujemo najrelevantnije sigurnosne i zaštitne mjere, informiramo osobe o ovoj činjenici i tražimo savjete nadležnog regulatornog tijela ako je moguće.
    • sključivo obrađujemo osjetljive podatke uz izričiti pristanak pojedinca ako je izričito naloženo ili predviđeno važećim propisima.
    • Tamo gdje rizik izgleda veći od dobiti pojedinaca, dokumentiramo analizu rizika i dizajniramo potrebne mehanizme radi kako bismo sveli rizike na najmanju moguću mjeru.

    3. Transparentnost – ne obrađujemo podatke na način ili u svrhe koje nisu transparentni.

    • Sve osobe čiji se osobni podaci obrađuju pod uvjetima predviđenim ovom Politikom imaju pravo kopirati ovu politiku. Kopije ove Politike bit će dostupni na Internetu na adresi https://www.msdprivacy.com/index.html. Odjel za zaštitu privatnosti će omogućiti elektroničke i/ili papirnate kopije ove Politike po zahtjevu na adresu navedenu u nastavku.
    • Kad se osobni podaci prikupljaju izravno od pojedinaca, obavještavamo ih prije prikupljanja podataka i putem jasne, uočljive i lako dostupne obavijesti o privatnosti ili na drugi sličan način (1) od subjekta/subjekata tvrtke koji je/su odgovoran/ni za obradu podataka, (2) putem kontakt podataka našeg Službenika za zaštitu privatnosti i/ili regionalnog/lokalnog službenika za zaštitu podataka, (3) o tome koji će podatak biti prikupljen, (4) svrsi za koju će se koristiti, (5) pravni temelj za obradu od strane tvrtke, (6) s kim će se razmijeniti, uključujući bilo koje zahtjeve za otkrivanje osobnih podataka na zakonite zahtjeve državnih tijela, (7) da li i kako ćemo prebaciti osobne podatke u druge države, uključujući relevantne države gdje je izvodivo (8) koliko dugo će se zadržati ili kriterije po kojima to utvrđujemo, (9) kako će se postaviti pitanja, ili kako mogu izraziti zabrinutost ili izvršiti svoja prava vezana za njihove osobne podatke i (10) kako mogu povući svaku privolu koju su dali, (11) njihovo pravo da ulože pritužbu nadzornom tijelu, (12) svaku obvezu da dostave osobne podatke i posljedice ako tako ne postupe, (13) svako automatizirano donošenje odluka, uključujući izradu profila, ćemo mi izvršiti i (14) poveznicu na ovu Politiku, kad je to moguće i potrebno. Naša sveobuhvatna obavještenja o privatnosti za mnoge naše zainteresirane strane dostupna su na Internetu na adresi http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html
    • Kad je osobni podatak prikupljen kroz promatranje, osjete ili drugim neizravnim putem, možda neće biti moguće omogućiti obavijest o privatnosti izravno pojedincu u vrijeme prikupljanja podatka. U takvim slučajevima, osiguravamo transparentnost pojedincima drugim putem kao što su objavljeni ili ispisani na uređajima ili materijali povezani s uređajima kojima će se prikupiti podaci.
    • Kad se osobni podaci prikupljaju putem web stranice, mobilnih aplikacija, ili drugih online aplikacija ili alata, primjenjujemo tehnološki specifične standarde definirane u našoj Internetskoj politici privatnosti i našem Posvećenosti politici kolačića kako bi se osigurali da su se ispoštovala pravila u vezi transparentnosti u vezi s ovom Politikom.
    • Kad se prikupljaju osobni podaci iz drugih izvora, a ne specifično po uputama naše tvrtke, prije prikupljanja podataka provjeravamo pismenim putem da je dobavljač podataka obavijestio pojedince o načinima i svrsi za koju naša tvrtka namjerava koristiti te podatke. Ako se provjera ne može izvršiti pismenim putem od dobavljača podataka ili prije upotrebe osobnih podataka, tada koristimo isključivo anonimizirane podatke ili prije upotrebe osobnih podataka obavještavamo pogođene pojedince putem obavijesti o privatnosti ili na sličan način o (1) subjektu/subjektima tvrtke koji je/su odgovoran/ni za obradu podataka, (2) putem kontakt podataka našeg Službenika za zaštitu privatnosti i/ili regionalnog/lokalnog službenika za zaštitu podataka, (3) o tome koji će podatak biti prikupljen, (4) svrsi za koju će se upotrijebiti, (5) pravni temelj za obradu od strane tvrtke, (6) s kim će se razmijeniti, (7) da li i kako ćemo prebaciti osobne podatke u druge države, uključujući relevantne države gdje je izvodivo (8) koliko dugo će se zadržati u našoj tvrtki ili kriterije po kojima to utvrđujemo, (9) kako će se postaviti pitanja, ili kako mogu izraziti zabrinutost ili izvršiti svoja prava vezana za njihove osobne podatke, (10) kako mogu povući svaku privolu koju su dali, (11) njihovo pravo da ulože pritužbu nadzornom tijelu, (12) svaku obvezu da dostave osobne podatke i posljedice ako tako ne postupe, (13) svako automatizirano donošenje odluka, uključujući izradu profila, ćemo mi izvršiti i (14) poveznicu na ovu Politiku, kad je to moguće i potrebno.
    • Osiguravamo da su potrebna transparentnost, mehanizmi, uključujući kad je moguće i mehanizmi koji podržavaju zahtjeve za pojedinačnim pravima ugrađeni u potporne tehnologije i da treće strane koje podržavaju aktivnosti ili proces ne obrađuju podatke o osobama na način koji je proturječan s načinom o kojima je pojedinac putem obavijesti o privatnosti ili drugim provjerljivim sredstvima bio informiran o tome što ćemo mi i drugi koji rade za nas, raditi s tim podacima.
    • Kada tražimo pristanak, dobivamo i dokumentiramo dokaze o pristanku u našim potpornim tehnologijama.

    4. Svrha ograničavanja – koristimo osobne podatke u skladu s potrebama i načelima transparentnosti.

    • Ako su za prethodno prikupljene osobne podatke identificirani novi legitimni poslovni ciljevi, dobijemo privolu od pojedinca za novu uporabu osobnih podataka ili pazimo da su oni ili kompatibilni, kao i materijalno slični ciljevima opisanima u obavijesti o privatnosti ili drugim mehanizmima transparentnosti koji su prethodno učinjeni dostupnim pojedincu. Kompatibilnost utvrđujemo temeljem (1) svake poveznice između postojećih ciljeva i novih predloženih ciljeva, (2) razumnih očekivanja pojedinca, (3) prirode osobnih podataka, (4) posljedica daljnje obrade za pojedinca i (5) mjera zaštite koje uspostavljamo.
    • Ne primjenjujemo ovo načelo za anonimizirane podatke ili tamo gdje ih koristimo samo iz povijesnih ili znanstvenih razloga i (1) kad je Neovisno etičko povjerenstvo ili drugo nadležno tijelo odredilo da je rizik od takve uporabe za privatnost ili druga prava pojedinaca prihvatljiv te (2) smo uspostavili odgovarajuće mjere zaštite kako bi osigurali minimiziranje podataka, (3) osobni podaci su pseudonimizirani i (4) da se svi drugi važeći zakoni poštuju.
    • Pazimo da su ograničenja predviđena u svrhu limitiranja svrhe dizajnirana u potporne tehnologije, uključujući i kapacitete za izvješćivanje i protok razmjene podataka.

    5. Kvaliteta podataka – čuvamo osobne podatke precizno, u potpunosti i aktualne u skladu s njihovom namjeravanom uporabom.

    • Pazimo da su mehanizmi periodične provjere podataka dizajnirani u potporne tehnologije radi vrednovanja točnosti podataka u usporedbi s izvorima i sustavima protoka podataka.
    • Pazimo da su osjetljive informacije vrednovane kao točne i aktualne prije njihove uporabe, procjene, analize, izvješćivanja ili druge vrste obrade koja predstavlja rizik za pravično postupanje prema osobama u slučajevima kad su upotrijebljeni netočni ili zastarjeli podaci.
    • Tako gdje su osobni podaci izmijenjeni od strane naše tvrtke ili trećih strana koje rade za nas, pazimo da se o tim promjenama blagovremeno obavijeste relevantni pojedinci kad god je to razumno moguće.

    6. Sigurnost – provodimo mjere zaštite radi zaštite osobnih ili osjetljivih podataka od gubitka, zlouporabe ili nedozvoljenog pristupa, otkrivanja, izmjene ili uništenja.

    • Implementirali smo sveobuhvatni program informacijske sigurnosti i primjenjujemo kontrole sigurnosti koje se temelje na osjetljivosti podataka i razini rizika aktivnosti, uzevši u obzir najbolju praksu aktualne tehnologije i trošak implementacije. Naše politike funkcionalne sigurnosti uključuju na primjer standarde o poslovnom kontinuitetu i oporavku u slučaju katastrofa, enkripciju, upravljanje identitetom i pristupom, klasifikaciju podataka, upravljanje sigurnošću podataka u slučaju incidenata, fizičku sigurnost i upravljanje rizicima.

    7. Prijenos podataka – odgovorni smo za i održavamo zaštitu privatnosti za osobne podatke kad se prenose prema ili od strane drugih organizacija ili preko granica zemalja.

    (1) Prenosimo osobne podatke unutar naše tvrtke ako su ispunjeni sljedeći zahtjevi:

    • (1) deljenje je neophodno da bi se ispunila svrha u koju su Lične informacije prvobitno prikupljene ili drugi legitimni interes kompanije i (2) svrha u koju će se one podeliti i činjenica da će se podeliti su u skladu s obaveštenjem o privatnosti ili drugim mehanizmom transparentnosti koji su prethodno pruženi pojedincu u vreme kada su Lične informacije prvobitno prikupljene i pojedinac je dao saglasnost kada je to potrebno. (3) kada jedno od zavisnih društava naše kompanije deluje isključivo u ime drugog zavisnog društva naše kompanije u obradi Ličnih informacija, (4) kada to Zakon zahteva, ta povezana društva naše kompanije će potpisati interni sporazum o obradi podataka u skladu s 8. principom ove Politike. (5) kada IT infrastruktura zahteva takav prenos, pod uslovom da su sve odgovarajuće bezbednosne i organizacione mere primenjene kako bi takav prenos bio usklađen sa propisima.

    (2) Lične informacije prenosimo trećim licima ili im dozvoljavamo da ih obrađuju samo ako su ispunjeni sledeći uslovi i mi smo odgovorni za obezbeđivanje da treća lica koja angažujemo ispunjavaju ove uslove:

    • Ako je uloga treće strane obrada podataka za ili u ime naše kompanije prije dostave osobnih podataka trećoj strani ili angažiranja treće strane: (1) provodimo dubinsko snimanje privatnosti radi procjene praksi i rizika povezanih s trećim stranama, (2) ugovorom osiguravamo da treće strane obrađuju podatke samo u skladu s našim uputama i u skladu s Politikom, uključujući bez ograničenja svih 8 Načela privatnosti i ostale standarde definirane ovom Politikom i važećim propisima, da će nas brzo obavijestiti u slučaju incidenata o privatnosti, uključujući bilo koju nemogućnost pridržavanja standarda navedenih u ovoj Politici i važećih propisa ili sigurnosnih incidenata te da će surađivati kako bi se brzo sanirao bilo koji značajni incident te kako bi se adresirala pojedinačna prava navedena u poglavlju 2. u nastavku, da neće angažirati drugu tvrtku za obradu osobnih podataka bez našeg pismenog odobrenja i bez sačinjavanja sporazuma koji nameće jednake obveze po pitanju zaštite podataka, da će izbrisati ili nam vratiti sve osobne podatke nakon što završe s pružanjem usluga nama ili na naš zahtjev i da će dopustiti našoj tvrtki reviziju i nadzor njihovih praksi za vrijeme trajanja obrade podataka radi ispunjenja ovih zahtjeva. Nastavno, ako treća strana obrađuje osobne podatke koji potiču iz zemlje ili teritorija čiji propisi ograničavaju prijenos podataka, mi ćemo osigurati da prijenos podataka ispunjava zahtjeve u vezi prekograničnog prijenosa opisanog u tački (3) u nastavku.
    • Ako je uloga treće strana dostava osobnih podataka našoj kompaniji, prije ishođenja osobnih podataka od treće strane osiguravamo da se poštuju pravila o transparentnosti u vezi prikupljanja osobnih podataka iz drugih izvora koji se prikupljaju pod našim nadzorom u ugovorom obvezujemo treću stranu da ne krši ni jedan propis ili pravo treće strane prilikom prikupljanja osobnih podataka.
    • Ako je uloga treće strane primanje informacija dostavljenih od strane naše kompanije radi obrade koja nije pod našim nadzorom, prije dostavljanje podataka trećoj strani osiguravamo da su podaci anonimizirani te pribavljamo pismenim putem od treće strane suglasnost da će koristiti osobne podatke isključivo u poslovne svrhe definirane u sporazumu i u skladu s važećim propisima te da neće pokušati personalizirati takve podatke.
    • Ako je prijenos prema trećoj strani nužan radi zaštite legitimnih interesa pojedinca ili interesa kompanije, (1) u svrhe prevencije prevare ili radi provođenja ili zaštite prava i imovine tvrtke, (2) radi zaštite osobne sigurnosti naših djelatnika ili trećih strana na našoj imovini i (3) radi zaštite naših sredstava tako što poduzimamo korektivne mjere sigurnosti ako razumno sumnjamo da se odvija nezakonita aktivnost ili loše ponašanje.
    • Ako je namjera naše kompanije stjecanje druge kompanije ili njenog većinskog udjela, (1) prije sklapanja sporazuma ili o stjecanju provodimo dubinsko snimanje privatnosti radi procjene prakse i rizika u vezi privatnosti povezanih s takvim stjecanjem, i (2) sklapamo sporazum o prijenosu podataka koji specificiraju uvjete po kojima se smiju otkriti osobni podaci, obveze naše kompanije i treće strane.
    • Ako je namjera treće strane stjecanje naše kompanije ili dijela našeg poslovanja, prije razmjene bilo koje vrste osobnih podataka u vezi otuđenja bilo kojeg dijela našeg poslovanja, mi (1) sklapamo sporazume o prijenosu podataka koji specificiraju uvjete po kojima se osobni podaci smiju otkriti stjecatelju, uključujući odgovarajuća ograničenja vezana za dozvoljenu uporabu osobnih podataka te sukladnost sa standardom navedenim u ovoj Politici i primjenjivim zakonima, (2) provjeravamo sve elemente podataka o osobama prije njihove razmjene u svrhu procjene uvjeta razmjene, (3) pribavljamo suglasnost za dijeljenje osobnih ili osjetljivih podataka u skladu s načelima transparentnosti i ograničenja svrhe ove Politike i (4) od trećih strana zahtijevamo da nas bezodložno obavještavaju u slučaju bilo kakvog incidenta vezanog za privatnost, uključujući nemogućnost poštivanja standarda navedenih u ovoj Politici i primjenjivih zakona te da surađuju u svrhu trenutnog saniranja bilo kojeg značajnog incidenta ili da prekinu s obradom odgovarajućih osobnih podataka.

    (3) Osobne podatke prenosimo preko granice uključujući u Sjedinjenje Američke Države ili se podaci prenose u naše ime u skladu s ovom Politikom. Primijenit ćemo ovu Politiku radi prijenosa osobnih podataka iz bilo koje druge zemlje ili teritorija u skladu s propisima koji ograničavaju prijenos osobnih podataka, pored sukladnosti sa svim zahtjevima koje nameću takvi zakoni (uključujući uporabu svih mehanizama koji su nužni za prijenose preko granice).

    8. Dopuštenost – isključivo obrađujemo osobne podatke ako su ispunjene pretpostavke predviđene propisima.

    • Dok su prethodnih 7 načela privatnosti kao i zahtjevi u vezi individualnih prava opisani u nastavku predviđeni da ispune zahtjeve privatnosti i propisa o zaštiti podataka koji se primjenjuju na naše poslovanje u cijelom svijetu, u nekim zemljama potrebno je ispuniti dodatne zahtjeve, kao što su na primjer:
      • 1) Gdje je tako propisano, pribavit ćemo posebne obrasce za određene obrade osobnih podataka kao što je na primjer suglasnost za obradu od strane radničkih vijeća ili sindikata;
      • 2) Gdje je tako propisano, prijavit ćemo obradu osobnih podataka ili tražiti odobrenje od tijela nadležnog za zaštitu privatnosti i privatnosti podataka;
      • 3) Gdje je tako propisano, pribavit ćemo šira prava (primjerice pristupa i ispravke) od onih predviđenih ovom Politikom;
      • 4) Gdje je tako propisano, dodatno ćemo ograničiti razdoblja zadržavanja osobnih podataka; i
      • 5) Gdje je tako propisano, sklopit ćemo sporazume koji će sadržavati specifične ugovorne klauzule, uključujući sporazume za prekogranični prijenos podataka trećim stranama.
      • 6) Gdje je tako propisano, objavit ćemo osobne podatke ako to od nas, u skladu s propisima, zatraže javna nadležna tijela, uključujući i udovoljavanje zahtjevima u pogledu nacionalne sigurnosti ili provedbe propisa.
    • U slučaju sukoba nadležnosti između ove Politike i važećih zakonodavstava, primijenit će se oni standardi koji pružaju jaču zaštitu pojedincima.
  2. Zahtjeve za pristupom, promjenom, ispravkom ili brisanjem osobnih podataka, prigovorom na obradu osobnih podataka ili za ostvarivanje drugih prava vezano za njihove osobne podatke rješavat ćemo žurno.
    1. Pristup, ispravak i brisanje i druga prava – Po zakonima većine zemalja u kojima poslujemo, pojedinci imaju pravo pristupa svojim osobnim podacima i pravo izmjene, ispravaka ili brisanja osobnih podataka koji su netočni, nepotpuni ili zastarjeli. Uvažit ćemo u obzir sve zahtjeve za pristup, ispravak i brisanje osobnih podataka od svih pojedinaca u skladu s Odjeljkom 3a navedenim nastavku. Ako je zahtjev za pristup, ispravak ili brisanje u skladu s propisima koji pružaju veću zaštitu pojedincima, pazit ćemo da se takva pravila ispune.

      U nekim državama, pojedinci mogu imati pravo na druga prava vezano za njihove osobne podatke, kao što je pravo na ograničenje obrade, davanje prigovora na obradu (vidi Odjeljak 2b u nastavku) i da se njihova prava prenesu na drugog pružatelja usluga. Poštovat ćemo ostvarivanje prava na podatke sukladno važećim zakonima. Neka prava kao što je brisanje mogu biti ograničena u skladu s drugim regulativnim zahtjevima ili nužnošću usklađenosti s lokalnim izvješćivanjem o usklađenosti, a u tom ćemo vas slučaju obavijestiti o tim ograničenjima prema potrebi.

    2. Izbor – u skladu s našim vrijednostima privatnosti „Poštovanja“ i „Povjerenja“, uvažit ćemo sve pojedinačne zahtjeve u vezi prigovora na obradu osobnih podataka, kao što su na primjer izlazak iz programa aktivnosti u kojima su osobe prethodno pristale sudjelovati, obradu njihovih osobnih podataka u svrhu izvornih marketinških komunikacija, ciljane komunikacije u vezi njihovih osobnih podataka i svaku procjenu odluka o tim osobama koja ima potencijal da utječe na te osobe izvršenu pomoću automatske obrade i algoritama.
      1. Osim kad je to zabranjeno zakonom, možemo odbiti zahtjev ako bi pojedinačni zahtjev onemogućio našu tvrtku da: (1) ispuni svoje zakonske ili etičke obveze, uključujući objavu osobnih podataka kada to od nas, u skladu s propisima, zatraže nadležna javna tijela, uključujući i udovoljavanje zahtjevima u pogledu nacionalne sigurnosti ili provedbe propisa, (2) istražuje, postavlja ili se brani od tužbenih zahtjeva, i (3) ispunjava ugovore, upravlja odnosima ili se uključi u ostale dopuštene poslovne aktivnosti koje su sukladne s načelima transparentnosti i ograničenja svrhe ove Politike i koje su poduzete na osnovu podataka o predmetnim osobama. Stranku ćemo obavijestiti i dokumentirati joj svaku odluku o odbijanju zahtjeva u skladu s ovom Politikom u roku od petnaest radnih dana od dana donošenja odluke.
  3. Žurno ćemo odgovoriti i potaknuti sva pitanja povezan s privatnošću, upitima, pritužbama, zabrinutošću i svakim potencijalnim incidentom o privatnosti ili sigurnosti.
    1. Svaki pojedinac čije podatke obrađujemo u okviru ove Politike, može postaviti pitanje, podnijeti prigovor ili izraziti zabrinutost našoj tvrtki u bilo koje vrijeme, uključujući zahtjev za popisom svih podružnica na koje se odnosi ova Politika. Očekujemo od naših zaposlenika i ostalih osoba koje rade u ime naše tvrtke da žurno dostave obavijest ako imaju razloga vjerovati da ih bilo koji propis sprječava u postupanju u skladu s ovom Politikom. Bilo koje pitanje, prigovor ili zabrinutost u vezi bilo koje osobe, ili bilo koja obavijest dostavljena od strane naših zaposlenika ili druge osobe koja djeluje u ime naše tvrtke mora se uputiti na Globalni odjel za zaštitu privatnosti:
      1. e-poštom za pojedince s prebivalištem u Europskom gospodarskom prostoru (EEA) na adresu: euprivacydpo@msd.com
      2. inače e-poštom na adresu: msd_privacy_office@msd.com
      3. poštom na adresu: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, SAD 19454.
    2. Zaposlenici i izvođači moraju žurno obavijestiti Globalni odjel za zaštitu privatnosti kompanije MSD ili Nadzornika za privatnost za njihovo polje rada o svim pitanjima, pritužbama ili zabrinutošću u vezi prakse o privatnosti naše tvrtke.
    3. Globalni odjel za zaštitu privatnosti kompanije MSD će pregledati, ispitati ili će surađivati s etičkim, pravnim odjelima ili odjelima za sukladnost radi ispitivanja svih pitanja, pritužbi ili izražene zabrinutosti u vezi korporativne prakse privatnosti, bez obzira jesu li primljeni od strane zaposlenih ili drugih osoba ili putem trećih strana uključujući na primjer od strane regulatornih tijela, agenata za odgovornost ili drugih vladinih tijela. Odgovorit ćemo svi osobama ili subjektima koji su postavili pitanja, podnijeli pritužbu ili izrazili zabrinutost našoj tvrtki u roku od trideset (30) kalendarskih dana osim ako je propisano ili treća strana zahtijeva odgovor u kraćem roku ili ako okolnosti kao što je usporedna istraga nadležnih tijela, ne nalažu dulji period u kojem slučaju će odgovor osobi ili tijelu stići pismenim putem čim je to moguće s obzirom na prirodu okolnosti koje uzrokuju zakašnjenje.
    4. Globalni odjel za zaštitu privatnosti tvrtke MSD u suradnji s pravnim odjelom surađivat će radi davanja odgovora na ispitivanje, inspekciju, ili istragu nadležnog regulatornog tijela.
    5. Za pritužbe koje se ne mogu riješiti između naše tvrtke i podnositelja, naša tvrtka pristaje sudjelovati u postupcima rješavanja sporova u istrazi i rješavanju pritužbi u skladu s ovom Politikom. Međutim, s vremena na vrijeme, pojedinci koji žive na području EGP-a ili oni čiji su osobni podaci u nadležnosti propisa o zaštiti podataka izvan EGP-a, mogu se također pouzdati na standard 3.f. naveden u nastavku:onu o zaštiti podataka EEA i prenose se van EEA, mogu takođe da se pouzdaju u standard 3.f. u daljem tekstu:
      1. Za sporove u vezi s prenosom osobnih podataka vezanih uz aktivnosti ljudskih potencijala u kontekstu zapošljavanja iz EEP i Ujedinjenog Kraljevstva u SAD, naša kompanija se obavezuje da će surađivati s odgovarajućim ovlaštenim povjereničkim tijelom za zaštitu podataka u EU.
      2. Za sporove u vezi s prijenosom osobnih podataka vezanih uz aktivnosti ljudskih potencijala u kontekstu zapošljavanja iz Švicarske u SAD-u, naša tvrtka pristaje na suradnju sa švicarskim FDPIC-om.
      3. Za sporove u vezi prijenosa osobnih podataka koji uključuju sukladnost naše tvrtke s Azijsko pacifičkom ekonomskom suradnjom („APGS“) pravila o prekograničnoj privatnosti podataka („GPPPP“) među ekonomijama APEC-a, naša je tvrtka pristala na rješavanje sporova putem našeg agenta za odgovornost, BBB National Programs.ms. Za više informacija o opsegu našeg sudjelovanja ili za slanje upita o privatnosti putem agenta BBB National Programs, kliknite službeni pečat koji se nalazi u donjem dijelu ove stranice.
      4. Za sporove u vezi prijenosa osobnih podataka koji se odnose na aktivnosti koje nisu povezane s ljudskim potencijalima putem EU-SAD programu Okvir za zaštitu privatnosti podataka (DPF), proširenju DPF za UK i Švicarsko-SAD programa Okvira o zaštiti privatnosti podataka, naša kompanija je pristala na rješavanje sporova (besplatno) putem nezavisnog mehanizma za rješavanje sporova, Data Privacy Framework Services, kojim upravljaju nacionalni programi BBB. Ako ne dobijete pravovremenu potvrdu svoje žalbe ili ako vaša žalba nije na zadovoljavajući način riješena, posjetite https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers za više informacija i za podnošenje žalbe.
      5. Za svaki spor koji nastane pod EU-SAD programu Okvir za zaštitu privatnosti podataka (DPF), proširenju DPF za UK i Švicarsko-SAD programom Okvira za zaštitu privatnosti podataka koji nije riješen putem koraka opisanih u ovom odjeljku, pod određenim uslovima pojedinci se mogu pozvati na obavezujuću arbitražu za neke preostale zahtjeve koji nisu riješeni drugim mehanizmima za rješavanje sporova. Pogledajte https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2.
    6. Sve osobe koje prebivaju na teritoriju EGP-a, ili osobe čiji su osobni podaci podložni zaštiti podataka po propisima zemalja EGP-a i preneseni izvan EGP-a, čiji su podaci obrađeni u skladu s ovom Politikom (kao što je definirano u gornjem Odjeljku 2) u bilo koje vrijeme, imaju pravo na temelju ove Politike izvršiti zahtjeve iz ove Politike kao korisnici treće strane, uključujući i pravo na podnošenje tužbe, ostalih pravnih sredstava i lijekova kako bi ostvarili zaštitu zbog kršenje svojih prava zaštićenih ovom Politikom i prava na naknadu štete kao posljedicu takvog kršenja. Osobe koje prebivaju na teritoriju EGP-a ili osobe čiji su osobni podaci podložni zaštiti podataka po propisima zemalja EGP-a i preneseni izvan EGP-a (u svrhu pojašnjenja, uključujući i SAD), mogu podnijeti zahtjev ili pritužbu koja proizlazi iz ove Politike protiv podružnice društva odgovorne za izvoz osobnih podataka izvan EGP-a: sljedećim tijelima:
      1. sudovima ili tijelima za zaštitu podataka u zemlji EGP-a iz koje je osobni podatak prenesen, ili
      2. udovima ili tijelima zemlje u kojoj se nalazi naš europski Službenik za štitu podataka, ili
      3. nadležnom tijelu za zaštitu podataka (u njihovoj uobičajenoj državi boravišta, mjestu rada ili mjestu navodnog kršenja), ili
      4. našem vodećem tijelu za zaštitu podataka koja su uputila naš BCR: francuski CNIL.
    7. Naša kompanije će odgovoriti na sve upite osoba ili subjekata koji su postavili upite, podnijeli pritužbe ili izrazili zabrinutost našoj kompanije u roku od trideset (30) kalendarskih dana osim ako je propisano ili treća strana zahtijeva odgovor u kraćem roku ili ako okolnosti kao ne nalažu dulji period o čemu će podnositelji biti obaviješteni pismenim putem.
  4. Odgovorni smo za održavanje naših standarda i vrijednosti privatnosti.
    1. Podružnica naše kompanije odgovorna za radnju koja je na temelju potvrđenog incidenta o privatnosti ili sigurnosti, financijski je odgovorna za iznos naknade štete ili kazne kao posljedica incidenta o privatnosti ili sigurnosti.
      1. U suradnji sa, i pod rukovodstvom Globalnog odjela za zaštitu privatnosti, europski Službenik za zaštitu podataka je odgovoran za poduzimanje potrebnih radnji kako bi se razmotrila sva navodna kršenja ove Politike od strane podružnica naše kompanije izvan EGP-a koja utječu na pojedince koji prebivaju unutar EGP-a ili na pojedince čiji su osobni podaci podložni zaštiti po propisima zemalja EGP-a i preneseni izvan tog prostora. Kad je tako određeno, Merck, Sharp & Dohme (Europe) Inc., SAD – podružnica u Belgiji („MSD Europe“) je odgovoran za plaćanje kazni ili naknade štete za kršenja ove Politike koje utječu na pojedince koji prebivaju na teritoriju EGP-a ili čiji su osobni podaci podložni zaštiti po propisima zemalja EGP-a i preneseni izvan tog prostora. Uz potporu Globalnog odjela za zaštitu privatnosti kompanije MSD i podružnice naše kompanije izvan EGP-a odgovorne za navodno kršenje, MSD Europe je odgovoran za dokazivanje da naša kompanije nije odgovorna za navodno kršenje. Kad je neka druga naša podružnica odgovorna za radnje koje su dovele do kazne ili naknade štete, toj se podružnici može naložiti da odmah naknadi MSD Europe-i svaki iznos koji je platio MSD Europe. Ako podružnica naše tvrtke izvan EGP-a prekrši ovu Politiku, sudovi ili tijela za zaštitu privatnosti u EGP-u imaju nadležnost i zahvaćeni pojedinac ima pravo i mogućnost pravnog lijeka protiv podružnice društva odgovorne za izvoz osobnih podataka izvan EGP-a kao što je navedeno u gornjem Odjeljku 3.f.
      2. U suradnji sa, i pod rukovodstvom Globalnog odjela za zaštitu privatnosti, Merck Sharp & Dohme LLC je odgovoran za poduzimanje potrebni radnji u svrhu razmatranja svih navodnih kršenja ove Politike koje pogađaju pojedince koji žive izvan EGP-a, i kad je tako određeno, za plaćanje kazni ili naknade štete za kršenja ove Politike koje pogađaju pojedince koji prebivaju izvan EGP-a ili čiji osobni podaci nisu podložni zaštiti po propisima zemalja EGP-a. Kad je neka druga podružnica naše tvrtke odgovorna za radnje koje su dovele do kazne ili naknade štete, toj se podružnici može naložiti da odmah naknadi Merck Sharp & Dohme LLC svaki iznos koji je platio Merck Sharp & Dohme LLC.

Nadzor

Radi osiguranja regulatornim tijelima i dionicima da je naša kompanije odgovorna u svom opredjeljenju etičke i odgovorne prakse u vezi privatnosti, kompanije vodi nadzorno tijelo sa širokim ovlastima predvođeno Voditeljem Odjela za zaštitu privatnosti i njegovim Globalnim odjelom za zaštitu privatnosti (GOZP), imenovanim Službenicima za zaštitu privatnosti (SZP), SZP u državi gdje zakon ili lokalna tijela, zahtijevaju i Nadzornicima za privatnost, koji su postavljeni od strane starijeg menadžmenta i služi kao veza između Globalnog odjela za zaštitu privatnosti i organizacijskih jedinica u kojima rade.

Naša će se kompanije osloniti na Agente odgovorne za privatnost kojima je po propisima obvezna periodično, provjeriti sukladnost sa zahtjevima ove Politike o propisa, uključujući i zemlje APGS-a i GPPPP.

Pored provjera osiguranja koje vodi Globalni odjel za zaštitu privatnosti tvrtke MSD, interni i eksterni revizioni i osiguravajući timovi vršit će provjeru sukladnosti kako bi provjerili da li tvrtka MSD se pridržava ove Politike, uključujući sve politike, postupke, standarde i smjernice koje podliježu ovoj Politici. Korektivni i preventivni akcioni planovi se razvijaju i implementiraju da bi se riješili nedostaci koje uoči revizioni i osiguravajući timovi. Rezultati programa revizije se saopćavaju voditelju Odjela za zaštitu privatnosti i Odboru za privatnost i zaštitu podataka, koji su odgovorni za izvješćivanje o istima kako je i opisano u ovoj Politici.

Tijela za privatnost i zaštitu podataka koji su odobrili ovu Politiku ili koji su nadležni za praksu naše kompanije po ovoj Politici imaju pravo provjere sukladnosti s tim s Politikom. Poštovat ćemo savjete nadležnih tijela u vezi tumačenja i primjene ove Politike.

Pojmovi koje trebate znati

  • Anonimizacija. Izmjena, skraćivanje, uništenje ili druga vrsta uređivanja ili izmjene osobnih podataka kako bi bilo neopozivo nemoguće identificirati, locirati ili kontaktirati pojedinca, samostalno ili u kombinaciji sa drugim podacima.
  • Pravo. Svi važeći zakoni, pravila, propisi i mišljenja koji imaju snagu zakona u zemlju u kojoj kompanije operira ili u kojima je osobni podatak obrađen od strane ili u ime naše kompanije. Ovo uključuje sve okvire privatnosti pod kojima je naša kompanija odobrena ili certificirana, uključujući EU obavezujuća korporativna pravila („BCR”), azijsko-pacifičku ekonomsku saradnju („APEC”) Pravila o prekograničnoj privatnosti („CBPR”), EU-SAD programu Okvir za zaštitu privatnosti podataka (DPF), proširenju DPF za UK i Švicarsko-SAD program Okvra za zaštitu privatnosti podataka – pod istražnim i izvršnim ovlaštenjima američke Federalne trgovinske komisije.
  • Naša kompanije. Merck & Co., Inc., Rahway, NJ, SAD, pravni sljednici, podružnice i odjeli bilo gdje u svijetu, osim zajedničkih pothvata u kojima sudjeluje naša tvrtka.
  • Osobni podaci. Svi podaci koji se odnose na pojedince koji su identificirani ili se mogu identificirati, uključujući podatke koji identificiraju pojedinca ili koji se mogu uporabiti za identifikaciju, lociranje, praćenje ili kontaktiranje pojedinaca. Osobni podaci uključuju izravno identificirajuće podatke kao što su ime i prezime, identifikacijski broj ili jedinstveni naziv posla, kao i neizravno identificirajuće podatke kao što su datum rođenja, jedinstveni broj mobitela ili prenosiv identifikator uređaja, telefonski broj kao i podatke kodirane šifrom i mrežne identifikatore kao što su IP adrese ili bilo koje osobne aktivnosti, ponašanje ili preferencije koje se mogu prikupljati za pružanje usluga ili proizvoda.
  • Incident o privatnosti. Kršenje ove Politike ili propisa o zaštiti privatnosti ili osobnih podataka, uključujući sigurnosni incident. Definiranje je li se dogodio incident o privatnosti i radi li se o materijalnom kršenju provest će Globalni odjel za zaštitu privatnosti tvrtke MSD, Upravljanje rizikom po informacijske tehnologije (URIT) i Ured Generalnog savjetnika.
  • Obrada. Izvršenje bilo koje operacije ili skupa operacija na podacima u vezi osoba, bez obzira radi li se o automatskoj obradi, uključujući na primjer prikupljanje, snimanje, organizaciju, pohranu, pristup, prilagođavanje, izmjenu, povlačenje, konzultiranje, uporabu, procjenu, analizu, izvješćivanje, dijeljenje, otkrivanje, širenje, prijenos, stavljanje na raspolaganje, usklađivanje, kombiniranje, blokiranje, izbacivanje, brisanje ili uništenje.
  • Kršenje osobnih podataka. Kršenje sigurnosti što dovodi do slučajnog ili nezakonitog uništavanja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima, ili po razumnom uvjerenju kompanije postojanje istog. Pristup osobnim podacima od strane ili u ime naše tvrtke bez namjere kršenja ove Politike ne predstavlja kršenje osobnih podataka, po uvjetom da je osobni podatak upotrijebljen ili otkriven samo u svrhu odobren ovom Politikom.
  • Osjetljivi podaci. Svaka vrsta podataka o osobama koja sadrži potencijalni rizik ili štetu za pojedince, uključujući podatke koje propisi definiraju kao osjetljive, uključujući na primjer podatke u vezi zdravlja, genetike, biometrije, rase, narodnosti, religije, političkih ili filozofskih stavova ili uvjerenja, povijesti kažnjavanja, točne geografske lokacije, bankarskih ili drugih financijskih podataka, identifikacijskih brojeva koje dodjeljuju nadležna tijela, maloljetnika, spolnog ponašanja, seksualnog opredjeljenja, sindikalne pripadnosti, osiguranja, socijalne pomoći i drugih koristi ostvarenih na temelju radnog prava ili socijalnog statusa.
  • Treća strana. Svaki pravni subjekt, organizacija ili osoba koja nije u vlasništvu naše kompanije ili u kojoj naša tvrtka nema kontrolu ili koja nije zaposlenik naše tvrtke. Osim kad je to predviđeno ovom politikom, nijedna naša podružnica niti odjel ne moraju ispunjavati zahtjeve treće strane na temelju ove politike jer su sve podružnice i odjeli obvezni obrađivati osobne podatke u skladu s ovom Politikom, uključujući u okolnostima gdje jedna od naših podružnica podržava jednu ili više podružnica naše kompanije u obradi podataka.

Promjene Politike

Ova se Politika može mijenjati kako bi se uskladila sa zahtjevima postojećih propisa. Obavijest će biti objavljena na web stranici o privatnosti naše kompanije (https://www.msdprivacy.com/) na 60 dana svaki put kada se ova Politika promijeni na materijalni način.