Глобална политика за трансгранична поверителност

Последно обновяване: 01 септември 2023 г

В сила от: 01 септември 2023 г

Стремим се да ръководим бизнеса си в съответствие с нашите ценности за поверителност, защото вярваме, че те отразяват нашия постоянен ангажимент към етични и отговорни практики. Признаваме, че иновациите и новите технологии водят до непрекъснатo променяне на рисковете, очакванията и законите, затова следваме стандартите за поверителност и се стремим да се адаптираме бързо към начина, по който ги прилагаме, в отговор на тези промени.

Тази политика определя нашите глобални стандарти за управление и защита на личната информация от компанията или от нейно име, независимо от държавата, от която произтича или и в която се прехвърля. Тя описва основните ни ангажименти, подпомагащи съответствието със сертифицирането ни по Правилата за трансгранична поверителност в АТИС, нашите задължителни фирмени правила („BCR“), които са одобрени в Европейския съюз и нашето самосертифициране съгласно Щита за личните данни в отношенията между ЕС и САЩ и между Швейцария и САЩ. Тя се прилага за нашите дейности във всяка държава, за всяка дейност, включваща информация за хора, с които работим във всяко дъщерно дружество и подразделение (включително правоприемници на нашия бизнес) и включва, но без да се ограничава до нашите проучвателни, производствени, търговски дейности, дейности за корпоративна подкрепа, както и за прехвърляне на данни, необходими за изпълнение на тези дейности, включително, но без да се ограничава до:

• Проучване и производство: оценка на нуждите и възможностите за медицински и здравни иновации; стартиране, управление и финансиране на изследователски проучвания; оценка и привличане на изследователи, научни работници и членове на етични комисии и бизнес партньори в подкрепа на нашите изследователски проучвания и разработване на нашите продукти; подбор на участници за изследователски проучвания; оценка на безопасността, ефикасността и качеството на нашите изпитвани и продавани продукти; поемане на отговорност за безопасността и качеството на продуктите, включително обработване и докладване на нежелани събития и оплаквания относно качеството на продукти; подаване на документи за одобрение и регистриране на наши продукти от здравните власти; и съответствие със свързаните законови, регулаторни или етични изисквания;
• Търговия: оценка на пазарите относно нашите продукти; реклама, маркетинг, продажби, дистрибуция и доставка на наши продукти; комуникация и ангажиране на здравни професионалисти, платци на здравни услуги, пациенти и други крайни потребители на наши продукти, както и болногледачи на тези, които използват наши продукти; спонсориране и провеждане на събития; оценка и ангажиране на бизнес партньори в подкрепа на наши търговски дейности; и спазване на свързаните с това законови, регулаторни или етични изисквания;
• Корпоративна подкрепа: подбор, на персонал, наемане, управление, развитие, комуникация и възнаграждения на служителите; определяне на бонуси за служители и хора на тяхна издръжка; проследяване резултатите на служители и таланти; осигуряване на обучение и други образователни програми и програми за развитие; провеждане на дисциплинарни производства и производства, свързани с оплаквания от служители; управление на оплаквания, свързани с етични въпроси и поверителност и провеждане на разследвания; управление и гарантиране сигурността на нашите физически и виртуални активи и инфраструктура; доставка и плащане на стоки и услуги; изпълнение на нашите ангажименти към околната среда, здравето, безопасността и други социални отговорности; ангажиране с медиите; и съответствие със свързаните законови, регулаторни или етични изисквания.

Тази политика се прилага също за всички хора, за които обработваме информация, включително, но без да се ограничава до нашите здравни професионалисти и други клиенти, бъдещи, настоящи и бивши служители и хора на тяхна издръжка, пациенти, болногледачи, изследователи и участници в изследователски проучвания, членове на научни и етични комисии, бизнес партньори, инвеститори и акционери, държавни служители и други заинтересовани страни.

Всички служители и ръководители на компанията трябва да поемат голямата отговорност, която имат по отношение на поверителността.

Ние признаваме, че непреднамерени грешки или неправилна преценка, свързани със защита на информация за хората, могат да създадат рискове относно поверителността на данните на физическите лица и рискове за репутацията, дейността, финансите и съответствието на нашата компания. Ние ще осигурим подходящо обучение по тази политика на всички служители и друг персонал, които имат постоянен или редовен достъп до лична информация, които участват в събирането на данни или в разработването на инструменти, използвани за обработка на лична информация. Всеки служител на нашата компания и останалите, които обработват лична информация за нашата компания, носят отговорност по отношение на разбирането и спазването на техните задължения във връзка с тази политика и приложимото законодателство.

Нашите ценности и стандарти за поверителност

Ние спазваме нашите ценности за поверителност във всичко, което правим и което включва хора, както и начина, по който прилагаме нашите стандарти за поверителност. Нашите четири ценности за поверителност са:

Уважение	Доверие	Предотвратяване на щети	Съответствие
Признаваме, че проблемите с поверителността често са свързани с нашата същност, начина, по който гледаме на света и как се самоопределяме, затова ние се стремим да уважаваме възможностите и интересите на хората и общностите, както и да бъдем честни и прозрачни при използване и споделяне на информацията за тях.	Знаем, че доверието е от съществено значение за нашия успех, затова се стремим да изграждаме и запазваме доверието на нашите клиенти, служители, пациенти и други заинтересовани страни относно начина, по който уважаваме поверителността и защитаваме информацията за хората.	Разбираме, че злоупотребата с информация за хората може да създаде както материални, така и нематериални щети за тях, затова се стремим да предотвратим физически, финансови, свързани с репутацията и други видове щети.	Научихме, че законите и подзаконовите актове не винаги са в крак с бързите промени в технологиите, потоците от данни и свързаните с тях промени при рисковете и очакванията относно поверителността, затова се стремим да спазваме духа и буквата на законите и подзаконовите актове относно поверителността и защитата на данните по начин, който осигурява последователност и оперативна ефективност за нашите глобални бизнес дейности.

1. Вграждаме стандартите си за поверителност във всички наши дейности, процеси, технологии и взаимоотношения с трети страни, които използват лична информация. Разработваме контроли за поверителност в процесите и технологиите си, които съответстват на ценностите и стандартите ни за поверителност и приложимото законодателство. Нашите 8 принципа за поверителност, изложени по-долу, обобщават стандартите и основните ни изисквания за поверителност за процесите, дейностите и съпътстващите ги технологии на високо ниво.

   Принцип за поверителност	Нашите основни ангажименти
   1. Потребност – преди събиране, използване или споделяне на лична информация ние определяме и документираме конкретните законови бизнес цели, за които е необходима.	Определяме и документираме необходимата продължителност за съхранение на личната информация за тези определени бизнес цели и изискванията на приложимото законодателство. Не събираме, не използваме или споделяме повече лична информация, отколкото е необходимо, или я съхраняваме във форма, която разкрива самоличността на лицето, за период по-дълъг от необходимия за тези определени бизнес цели и изискванията на приложимото законодателство. Анонимизираме данните, когато бизнес изискванията налагат информацията относно дейността или процеса да бъде съхранена за по-продължителен период от време. Гарантираме, че тези задължителни изисквания са включени във всички съпътстващи технологии и че са съобщени на трети страни, подпомагащи дейността или процеса.
   2. Честност – не обработваме лична информация по начини, които са нечестни за хората, за които се отнасят тези данни.	Определяме дали предвиденото събиране, използване или друго обработване на лични данни представлява вероятен и/или сериозен риск за материална или нематериална щета за физическите лица в съответствие с нашата ценност за поверителност за предотвратяване на щети. Ако естеството на данните, типът хора или дейности представляват вероятен и/или сериозен риск от материална или нематериална щета за хора, ние гарантираме, че рискът от щета е оценен спрямо съответната полза за тези хора или спрямо нашата мисия да пазим и подобряваме живота, както и е смекчен от мерките, гаранциите и механизмите, които сме въвели. Там, където рискът изглежда, че превишава ползите за хората, прилагаме най-подходящите мерки за сигурност и защита, информираме лицата за този факт и търсим съвет от компетентен регулаторен орган, когато е възможно. Обработваме чувствителна информация само след изричното съгласие на лицата, ако се изисква изрично или ако се разрешава изрично от приложимото законодателство. Там, където рискът изглежда, че превишава ползите за хората, документираме анализа на риска и създаваме необходимите механизми за свеждане на рисковете до минимум, доколкото е възможно.
   3. Прозрачност – не обработваме лична информация по начини или за цели, при които липсва прозрачност.	Всички лица, чиято лична информация се обработва съгласно настоящата политика, имат право да получат копие от нея. Ще осигурим на разположение копия на настоящата политика онлайн на адрес https://www.msdprivacy.com/index.html. Отделът за глобална поверителност на MSD ще предоставя електронни и/или хартиени копия на настоящата политика при поискване на адресите, посочени по-долу. Когато се събира лична информация директно от хората, ние ги информираме, преди събирането на информация, посредством ясно, поставено на видно място и леснодостъпно съобщение за поверителност или чрез подобни средства за (1) фирменото звено или звена, отговорни за обработването, (2) данните за контакт на главното длъжностно лице по защита на данните и/или на регионалното/местното длъжностно лице по защита на данните, (3) каква информация ще бъде събирана, (4) целите, за които ще се използва, (5) правните основания за обработване от страна на MSD, (6) с кого ще бъде споделяна, включително всякакви изисквания за разкриване на лични данни в отговор на законосъобразни запитвания от държавни органи, (7) дали и как ще прехвърляме лични данни в други държави, включително съответните държави, където е възможно, (8) колко време ще бъде съхранявана или критериите, по които ще правим тази преценка, (9) как могат да задават въпроси, изразяват съмнения или да упражняват правата си, свързани с тяхната лична информация, (10) по какъв начин могат да оттеглят всяко дадено съгласие, (11) тяхното право да подадат оплакване пред надзорен орган, (12) всяко задължение за предоставяне на лична информация и последствията, ако не го направят, (13) всяко автоматично вземане на решения, включително профилиране, което ще извършваме, и (14) връзка към настоящата политика, когато е възможно и необходимо. Изчерпателните ни съобщения за поверителност за много от нашите заинтересовани страни са на разположение онлайн на адрес http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html Когато се получава лична информация посредством наблюдение, сензори или други косвени средства, може да не е възможно да се предостави уведомление за поверителност директно на лицето, докато се събира информацията. В такива случаи осигуряваме прозрачност на лицето посредством други средства, като например публикуван или отпечатан материал върху устройството или материали, свързани с устройството, което ще събира информацията. Когато се събира лична информация чрез уеб сайт, мобилно приложение или друго онлайн приложение или ресурс, прилагаме специфичните за технологията стандарти, описани в Политиката ни за интернет поверителност и Ангажимента ни за поверителност при използване на „бисквитки“, за сме сигурни, че изискванията за прозрачност в съответствие с настоящата политика, са спазени. Когато се събира лична информация от други източници и не са специално предназначени за нашата компания, преди да получим информацията, проверяваме писмено дали доставчикът на информация е информирал хората за начините и целите, за които нашата компания възнамерява да я използва. Ако от доставчика на информация не може да се получи писмена проверка, ние използваме само анонимна информация или, преди да използваме лична информация, информираме участващите лица чрез лично уведомление или сходни средства на (1) звеното или звената от нашата компания, отговорни за обработването на информацията, (2) данните за контакт на нашето главно длъжностно лице по защита на личните данни и/или на регионалното/местното длъжностно лице по защита на личните данни, (3) каква информация планира да използва нашата компания, (4) целите, за които нашата компания планира да я използва, (5) правното основание за обработването от наша страна, (6) с кого нашата компания ще я споделя, (7) дали и как ще прехвърляме личната информация към други държави, включително съответните държави, където това е възможно, (8) колко дълго нашата компания планира да я задържи или критериите, според които правим тази преценка, (9) как могат да задават въпроси, изразяват съмнения или да упражняват своите права за свързаната с тях лична информация, (10) как могат да оттеглят всяко дадено съгласие, (11) тяхното право да подават оплакване до надзорен орган, (12) всяко задължение за предоставяне на лична информация и последствията, ако не го направят, (13) всяко автоматизирано вземане на решения, включително профилиране, което ще извършим, и (14) линк към настоящата политика, където е възможно и необходимо. Гарантираме, че необходимите механизми за прозрачност, включващи, където е възможно, механизми, които подпомагат искания, свързани с индивидуалните права, са проектирани в съпътстващите технологиите и че трети страни, подпомагащи дейността или процесите, не обработват информация за лицата по начини, които не отговарят на това, което им е съобщено чрез съобщението за поверителност или други средства, които могат да бъдат проверени, които ние и други трети страни, работещи за нас, ще направят с информацията. Когато е необходимо да поискаме съгласие, получаваме и документираме доказателството за съгласието в съпътстващите ни технологии.
   4. Ограничаване на целта – използваме лична информация само в съответствие с принципите за потребност и прозрачност.	Ако бъдат определени нови законови бизнес цели за личната информация, която е събрана по-рано, ние или трябва да получим съгласието на физическото лице за новия начин на употреба, или трябва да гарантираме, че новата бизнес цел е в съответствие, включително сходна като предмет с целите, описани в съобщение за поверителност или друг механизъм за прозрачност, който по-рано е предоставен на лицето. Ще определим спазването на това изискване въз основа на (1) всяка връзка между първоначалните цели и предложената нова цел, (2) разумните очаквания на физическото лице, (3) естеството на личната информация, (4) последствията от допълнителната обработка за лицето и (5) предпазните мерки, които сме въвели. Не прилагаме този принцип за анонимизирана информация или, когато използваме лична информация само за исторически и научни цели, свързани с проучване, и когато (1) Комитетът по етика или друг компетентен орган е определил, че рискът от такава употреба на права, свързани с поверителността, и други права на лицето, е приемлив, и (2) сме въвели подходящи предпазни мерки, за да гарантираме минимизиране на данните, (3) личните данни са псевдонимизирани и (4) всички други приложими закони са спазени. Гарантираме, че ограниченията върху целта са включени в съпътстващите технологии, включително възможността за докладване и споделяне на данни по веригата.
   5. Качество на данните – поддържаме личната информация точна, пълна и актуална в съответствие с нейното предназначение.	Гарантираме, че в съпътстващите технологии са включени механизми за периодичен преглед на данните за проверка на точността на данните спрямо източника и системите надолу по веригата. Гарантираме, че чувствителната информация е проверена като точна и актуална преди да бъде използвана, оценена, анализирана, докладвана или обработена по друг начин, който представлява риск от некоректност спрямо хората, ако се използват неточни или неактуални данни. Когато бъдат направени промени в личната информация от нашата компания или от трети страни, работещи за компанията, ние гарантираме, че тези промени са навременно съобщени на съответните физически лица, когато това е възможно.
   6. Сигурност – въвеждаме предпазни мерки за защита на личната и чувствителната информация от загуба, злоупотреба и неупълномощен достъп, разкриване, изменение или унищожение.	Въвели сме програма за информационна сигурност и прилагаме контроли на сигурността, които са базирани на чувствителността на информацията и нивото на риск на дейността, отчитайки най-добрите практики при настоящите технологии и разходите за внедряване. Функционалните ни политики за сигурност включват, но не се ограничават до, стандарти за бизнес последователност и възстановяване след бедствия, криптиране, управление на самоличността и достъпа, класифициране на информация, управление на информацията при инциденти, свързани със сигурността, контрол на достъпа до мрежи, физическа охрана и управление на риска.
   7. Трансфер на данни – носим отговорност и запазваме защитите, свързани с поверителността на личната информация, когато се прехвърлят към или от други организации или през държавни граници.	(1) Прехвърляме лична информация в рамките на компанията, ако са изпълнени следните изисквания: (1) споделянето е необходимо, за да се изпълни целта, за която първоначално е събрана личната информация, или друг законен интерес на компанията, и (2) целта, за която трябва да бъде споделена, както и обстоятелството, при което ще бъде споделена, са в съответствие със съобщението за поверителност или друг механизъм за прозрачност, който е бил предоставен на физическото лице към момента на първоначалното събиране на личната информация и лицето е дало своето съгласие, когато е необходимо. ((3) когато наше дъщерно дружество действа само от името на друго наше дъщерно дружество при обработването на лична информация, (4) когато това се изисква от закона, за да се изпълни вътрешно споразумение за обработване на данни в съответствие с принцип 8 на настоящата политика. (5) когато ИТ инфраструктурата изисква такова прехвърляне, при условие че всички уместни мерки за сигурност и организация са налице, за да бъдат спазени изискванията за такова прехвърляне. (2) Прехвърляме лична информация към трети страни или разрешаваме тя да бъде обработвана от тях само ако са спазени следните изисквания и ние носим отговорност третите страни, които ангажираме, да спазват тези изисквания: Ако ролята на третата страна е да обработва лична информация за или от името на нашата компания, преди предоставяне на лична информация на третата страна или включването на трета страна, ние:(1) правим надлежна проверка относно поверителността, за да оценим практиките и рисковете, свързани с поверителността при тези трети страни, (2) получаваме договорени гаранции от тези трети страни, че те ще обработват личната информация само съгласно инструкциите от нашата компания и в съответствие с настоящата политика, включително, но без да се ограничават до всичките 8 принципа за поверителност и другите стандарти, описани в настоящата политика и приложимото законодателство; че ще уведомят нашата компания незабавно за всеки инцидент, свързан с поверителността, включително всяка невъзможност да се спазват стандартите, описани в настоящата политика и приложимото законодателство, или инцидент със сигурността и ще сътрудничат за своевременното разрешаване на всеки доказан инцидент и за разрешаване на индивидуалните права, описани в Раздел 2 по-долу; че няма да ангажират друго дружество да обработва личната информация без нашето писмено разрешение и без да сключва споразумение, налагащо еквивалентни задължения за защита на личните данни; че ще изтрият или ще ни върнат цялата лична информация, след като са приключили да ни предоставят услуги или по наше искане; и ще позволят на нашата компания да одитира и следи дали техните практики по време на обработването съответстват на тези изисквания. Допълнително, ако третата страна обработва лична информация, която произтича от държава или територия, чието законодателство ограничава прехвърлянето на лични данни, ние гарантираме, че прехвърлянето към третата страна отговаря на изискванията за трансгранично прехвърляне на данни, описани в (3) по-долу. Ако ролята на третата страна е да предостави лична информация на нашата компания, преди получаването на лична информация от третата страна, ние гарантираме че са спазени изискванията за прозрачност при събиране на лична информация от други източници, а не специално предназначена за нашата компания и получаваме договорни декларации от третата страна, че не се нарушават законодателството или правата на друга трета страна при предоставянето на лична информация на компанията. Ако ролята на третата страна е да получи лична информация от нашата компания за обработване, което не е конкретно по указания от нашата компания, преди предоставяне на информация на третата страна, гарантираме, че информацията е анонимизирана и получаваме писмени уверения от третата страна, че ще я използва само за бизнес цели, определени в споразумението и в съответствие с приложимите закони и че няма да направят опит за повторно идентифициране на информацията. Ако прехвърлянето към трета страна е необходимо, за да се защитят законните интереси на лицето или тези на компанията, , може да предадем информацията: (1) за целите на предотвратяване на измами или за прилагане или защита на правата и имуществото на дружеството, (2) за защита на личната безопасност на нашите служители или на трети лица върху нашата собственост, или (3) за защита на нашите активи, като предприемем корективни мерки за сигурност, ако разумно предполагаме, че е извършена незаконна дейност или сериозно нарушение. Ако нашата компания цели да придобие третата страна или контролния пакет от нея, (1) преди да сключим споразумение за придобиване на третата страна или на контролния пакет от нея, ние извършваме надлежна проверка на поверителността, за да оценим практиките и рисковете относно поверителността, свързани с придобиването на тази трета страна или на контролния пакет от нея и (2) сключваме споразумение за прехвърляне на данни, което определя условията, при които може да бъде разкривана лична информация и съответните задължения на нашата компания и третата страна. Ако ролята на третата страна е да придобие целия или част от бизнеса на нашата компания преди споделяне на каквато и да е лична информация във връзка с разкриването на каквато и да е част от бизнеса на нашата компания, ние (1) сключваме споразумение за прехвърляне на данни, което определя общите условия, съгласно които лична информация може да се разкрива на купувача, включително необходимите ограничения относно допустимото използване на личната информация и съответствие със стандартите, описани в настоящата политика и приложимото законодателство, (2) преглеждаме всички елементи на данните за хората преди споделяне, за да оценим изискванията за споделяне, (3) получаваме съгласие за споделяне на лична или чувствителна информация в съответствие с принципите за прозрачност и ограничаване на целта в настоящата политика, и (4) изискваме от третата страна да уведоми нашата компания своевременно за всеки приложим инцидент, свързан с поверителността, включително невъзможност да се спазят стандартите, описани в настоящата политика и приложимото законодателство, и да сътрудничи за своевременно разрешаване на всеки доказан инцидент или прекъсване, свързано с обработването на съответната лична информация. (3) Прехвърляме лична информация трансгранично, включително в Съединените американски щати, от или от името на нашата компания в съответствие с настоящата политика. Ще прилагаме тази политика за прехвърляне на лична информация от всяка друга държава или територия със законодателство, което ограничава прехвърлянето на лична информация, както и спазването на всички изисквания, наложени от тези закони (включително използването на механизми, изисквани за трансграничните прехвърляния).
   8. Разрешено от закона – обработваме лична информация само ако изискванията на приложимото законодателство са спазени.	Тъй като другите 7 принципа за поверителност, както и изискванията относно личните права, описани по-долу, са предназначени да осигурят спазването на изискванията на повечето законодателства относно защитата на данни и поверителността, които се прилагат към нашия бизнес по света, в някои държави трябва да спазваме допълнителни изисквания, включително, но без да се ограничават до следните: 1) Където се изисква, ще получаваме конкретни формуляри за съгласие за определено обработване на лична информация, включително, но без да се ограничава до одобрение за обработване от работнически съвети и други професионални съюзи; 2) Когато се изисква, ще регистрираме обработването на лична информация или ще искаме одобрението на съответния регулаторен орган, осъществяващ контрол върху поверителността и защитата на данни; 3) Когато се изисква, ще предоставяме по-широки права (например за достъп и коригиране) от описаните в настоящата политика; 4) Когато се изисква, ще ограничим сроковете за съхранение на лична информация; и 5) Когато се изисква, ще сключваме споразумения, съдържащи конкретни договорни клаузи, включително споразумения за трансгранично прехвърляне на данни към трети страни; 6) Когато се изисква, ще разкриваме лична информация в отговор на законни искания от страна на публичните органи, включително за изпълнение на изискванията за национална сигурност или на законите. В случай на противоречие между настоящата политика и приложимото законодателство, валидност ще има стандартът, които осигурява по-голяма защита на лицата.

2. Своевременно ще обработваме запитвания относно индивидуални права за достъп, изменение, коригиране или изтриване на лична информация, възражения за обработване на лична информация за тях, или за упражняване на други права по отношение на личната информация.
   1. Достъп, корекция, изтриване и други права – съгласно законодателството на повечето държави, в които работим, физическите лица имат право на достъп до личната си информация и право да я изменят, коригират или изтриват, когато е неточна, непълна или неактуална. Ще уважим всички запитвания за достъп, коригиране и изтриване на лична информация от всички физически лица в съответствие с раздел 3а по-долу. Ако запитване за достъп, коригиране или изтриване се управлява от приложимото законодателство, което предоставя по-голяма защита за физическите лица, ние ще осигурим спазването на допълнителните изисквания на това законодателство. В някои държави физическите лица може да имат други права по отношение на личната информация, като например правото да ограничат обработването, да възразят срещу обработването (вж. също Раздел 2b по-долу), както и да поискат прехвърляне на техните данни на друг доставчик на услуги. Ще уважим упражняването на правата, свързани с личните данни, в съответствие с приложимото законодателство. Някои права, като например изтриването, може да бъдат ограничени съгласно други регулаторни изисквания или потребността от спазване на местните изисквания за отчитане на съответствието, в който случай ще Ви информираме за съответните ограничения, ако е приложимо.
   2. Избор – в съответствие с нашите ценности за поверителност, свързани с уважение и доверие, ние зачитаме индивидуалните искания за възражение, свързани с обработването на лична информация, включително, но без да се ограничават до, отказ от програми или дейности, в които те по-рано са се съгласили да участват, обработване на лична информация за тях за съобщения за с директен маркетинг, съобщения, насочени към тях въз основа на личната им информация, и всяка оценка или решения за тях, които може значително да ги засегнат в резултат от използването на автоматизация или алгоритми.
      1. Освен в случаите, когато е забранено от закона, можем да отказваме възможност за избор, когато определено искане за избор би попречило на нашата компания: (1) да се спазва закон или етично задължение, включително, когато от нас се изисква да разкриваме лична информация в отговор на законни искания от страна на публични органи, както и за спазване на изискванията за национална сигурност или изпълнение на законите, (2) да разследва, завежда или се защитава в съдебни искове и (3) да изпълнява договори, управлява отношения или да участва в други разрешени бизнес дейности, които са в съответствие с принципите за прозрачност и ограничаване на целта, както и са осъществени въз основа на информацията за хората, за които става въпрос. В рамките на петнадесет работни дни от решението за отказ на искане за избор в съответствие с настоящата политика ще документираме и съобщим решението на искащото лице.
3. Ще отговаряме своевременно и ще решаваме всички въпроси, оплаквания, проблеми, свързани с поверителността, и всякакви потенциални инциденти, свързани с поверителността или сигурността.
   1. Всяко лице, чиято лична информация обработваме в рамките на настоящата политика, може да повдигне въпрос, оплакване или да отправи възражение към нашата компания по всяко време, включително искане за списък на всички дъщерни дружества на нашата компания, които са предмет на настоящата политика. Очакваме от нашите служители и останалите, които работят от името на нашата компания, да предоставят своевременно уведомление, ако имат причина да считат, че приложимото законодателство би могло да възпрепятства съответствието с настоящата политика. Всички въпроси, оплаквания или проблеми, повдигнати от физическо лице или всяко уведомление, подадено от служител или друго лице, което работи от името на нашата компания, трябва да бъде отправено към отдела за глобална поверителност:
      1. по имейл за физически лица, постоянно пребиваващи в Европейското икономическо пространство (ЕИП), до: euprivacydpo@msd.com
      2. За други случаи по имейл до: msd_privacy_office@msd.com
      3. По пощата до: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
   2. От служителите и изпълнителите се изисква своевременно да информират отдела за глобална поверителност на MSD или назначения служител по поверителността за тяхната бизнес област за всякакви въпроси, оплаквания или проблеми, свързани с практиките за поверителност в нашата компания.
   3. Отделът за глобална поверителност на MSD ще разгледа и разследва или ще работи заедно с етичния отдел, правния отдел и/или отдела за съответствие, за да разследва всички въпроси, оплаквания или проблеми, свързани с практиките за поверителност в нашата компания, независимо дали са получени директно от служители или други лица или чрез трети страни, включително, но без да се ограничават до, регулаторни агенции, консултанти или други правителствени органи. Ще отговорим на лицето или на звеното, което е повдигнало въпроса, оплакването или проблема към нашата компания, в срок до тридесет (30) календарни дни, освен ако закон или изискващата трета страна поискат отговор в по-кратък срок, или ако обстоятелствата, като паралелно правителствено разследване, изискват по-дълъг период от време, в който случай лицето или изискващата трета страна ще бъде уведомено писмено възможно най-скоро според общия характер на обстоятелствата, на които се дължи забавянето.
   4. Отделът за глобална поверителност на MSD, в координация с правния и този по съответствието ще си сътрудничат в отговор на всяко запитване, проверка или разследване на регулаторен орган, свързани с поверителността.
   5. При оплаквания, които не могат да бъдат разрешени между нашата компания и физическото лице, което е отправило оплакването, компанията е съгласна да участва в следните процедури за решаване на спорове при разследване и решаване на оплаквания за решаване на спорове съгласно настоящата политика, въпреки че, по всяко време, физическите лица, живеещи в държавите от ЕИП или физически лица, чиято лична информация е предмет на законодателството за защита на данните на ЕИП и се прехвърля извън ЕИП, могат да разчитат също на стандарт 3.f. по-долу:
      1. за спорове, включващи прехвърлянето на лична информация, свързана с действия на човешките ресурси в контекста на трудови правоотношения, от ЕИП и Обединеното кралство към САЩ, компанията е съгласна да си сътрудничи със съответния орган на ЕС за защита на данните;
      2. за спорове, включващи прехвърлянето на лична информация, свързана с действия на човешките ресурси в контекста на трудови правоотношения, от Швейцария към САЩ, компанията е съгласна да си сътрудничи с швейцарския Федерален комисариат за защита на личните данните (FDPIC);
      3. за спорове, включващи прехвърлянето на лична информация в съответствие със спазването от страна на нашата компания на установените в Азиатско-тихоокеанското икономическо сътрудничество (АТИС) Правила за трансгранична поверителност между икономиките в АТИС, нашата компания се е съгласила да разрешава спорове чрез консултанта ни по поверителността, BBB National Programs; За допълнителна информация за обхвата на участието ни или за изпращане на запитване във връзка с поверителността чрез BBB National Programs, моля, кликнете върху официалния печат, който се намира в долната част на тази страница.
      4. за спорове, включващи прехвърлянето на лична информация, несвързана с дейности на човешките ресурси чрез Щита за личните данни в отношенията между ЕС – САЩ и Швейцария – САЩ, нашата компания се е съгласила да разрешава спорове (безплатно) чрез независим механизъм за разглеждане на жалби, програмата на Щита за лични данни на BBB National Programs, който може да се намери на адрес https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers
      5. за спорове, възникнали съгласно Щита за личните данни в отношенията между ЕС – САЩ и Швейцария – САЩ, които не са разрешени посредством стъпките, описани в този раздел, физическите лица имат възможност да поискат арбитраж в съответствие с процедурите за Панела за защита на поверителността, описан в Щита за личните данни в отношенията между ЕС – САЩ и Швейцария – САЩ.
   6. Всички физически лица, живеещи в държави от ЕИП, или физически лица, чиято лична информация е предмет на законодателството за защита на данните на ЕИП, и са прехвърлени извън ЕИП, чиято информация се обработва съгласно настоящата политика, имат право според настоящата политика по всяко време да наложат изискванията на настоящата политика като трети страни бенефициенти, включително правото да предприемат съдебни действия, за да търсят обезщетение за нарушаване на техните права, съгласно настоящата политика (както е описано в Раздел 2 по-горе) и правото да получат обезщетение за щетите, произтичащи от това нарушаване. Физическите лица, живеещи в държави от ЕИП или физическите лица, чиято лична информация е предмет на законодателството за защита на данни на ЕИП и прехвърлени извън ЕИП (за по-голяма яснота, включително към САЩ), може да предявят иск или да подадат оплакване съгласно настоящата политика срещу дъщерното дружество на компанията, отговорно за изнасяне на личната информация извън ЕИП, пред:
      1. юрисдикцията на износителя на данни, установен в ЕИП, или
      2. юрисдикцията на държавата, в която е установен служителят ни по защита на данните за Европа, или
      3. компетентните органи за защита на данните (по-специално, в държавата членка на обичайното му пребиваване, месторабота или място на предполагаемото нарушение, или
      4. главните за нас органи за защита на данните, които са инструктирали организацията ни по задължителните фирмени правила: френската национална комисия за защита на данните (CNIL).
   7. Нашата компания ще отговори на лицето или на звеното, което е повдигнало въпроса, оплакването или проблема към нашата компания, в срок до тридесет (30) календарни дни, освен ако закон или изискващата трета страна поискат отговор в по-кратък срок, или ако обстоятелствата, като паралелно правителствено разследване, изискват по-дълъг период от време, в който случай лицето или изискващата трета страна ще бъде уведомено писмено възможно най-скоро според общия характер на обстоятелствата, на които се дължи забавянето.
4. Носим отговорност за спазването на ценностите и стандартите ни, свързани с поверителността.
   1. Дъщерното дружество на нашата компания, отговорно за дейност, която предизвика доказан инцидент, свързан с поверителността или сигурността, е финансово отговорно за стойността на иска за щети или глоби, или имуществени санкции, произтичащи от инцидента, свързан с поверителността или сигурността.
      1. В координация със и по преценка на отдела за глобална поверителност служителят по защита на данните за Европа Europe носи отговорност да гарантира, че необходимите действия са предприети, за да се разрешат всякакви предполагаеми нарушения на настоящата политика от дъщерните дружества на нашата компания извън ЕИП, засягащи лица, живеещи в държава от ЕИП или лица, чиято лична информация е предмет на законодателството за защита на данните в ЕИП и прехвърлени извън ЕИП, както и когато се изисква, да плати глобите, неустойките или щетите, присъдени за нарушения на настоящата политика, засягащи лица, живеещи в държави от ЕИП или лица, чиято лична информация е предмет на законодателството за защита на данните на ЕИП и прехвърлянето извън ЕИП. С помощта на отдела за Глобална поверителност на MSD и дъщерното дружество на нашата компания извън ЕИЗ, отговорно за предполагаемото нарушение, MSD Europe отговаря за това да покаже, че нашата компания не носи отговорност за предполагаемото нарушение. Когато друго дъщерно дружество на нашата компания носи отговорност за действието, за което се налага глоба, обезщетение или щети, това дъщерно дружество може да се наложи своевременно да възстанови на MSD Europe всякакви суми, платени от MSD Europe. Ако дъщерно дружество на нашата компания извън ЕИЗ наруши тази политика, съдилищата или органите за защита на данните в ЕИЗ ще имат юрисдикция и засегнатото лице ще има правата и средствата за защита срещу MSD Europe, както е посочено в раздел 3.е. по-горе.
      2. В координация със и по преценка на отдела за глобална поверителност Merck Sharp & Dohme LLC носи отговорност за предприемане на необходимите действия, за да се разрешат предполагаемите нарушения на тази политика, засягащи лица, пребиваващи извън ЕИП, или лица, чиято лична информация не е предмет на законодателството за защита на данните на ЕИП. Когато друго дъщерно дружество на компанията носи отговорност за действието, за което се налага глоба, санкция или присъждане на щети, това дъщерно дружество може да се задължи своевременно да възстанови на Merck Sharp & Dohme LLC сумите, платени от Merck Sharp & Dohme LLC.

Надзор и мониторинг

За да предоставим гаранции на регулаторите и други заинтересовани страни, че нашата компания спазва отговорно ангажимента си за етични и отговорни практики, свързани с поверителността, компанията поддържа група за управление на надзора и мониторинга, оглавявана от отговорния служител по защита на данните със специален отдел за глобална поверителност (GPO), назначен отговорен служител по защита на данните за ЕС, отговорен служител по защита на данните за съответната държава, когато това се изисква от закона или местните органи, и служители по глобална поверителност, които са назначени от ръководителите и служат като връзка между отдела за глобална поверителност и организационните области, в които работят.

Нашата компания ще разчита на консултанти по поверителността, пред които е отговорна съгласно законодателството периодично да проверява съответствието с изискванията на настоящата политика и тези закони, включително Правилата за трансгранична поверителност на АТИС.

В допълнение към прегледите за потвърждаване на съответствието, управлявани от отдела за глобална поверителност, екипите за вътрешен и външен одит и за съответствие ще провеждат прегледи на съответствието, за да проверяват придържането на компанията към тази политика, включително всички правила, процедури, стандарти и насоки, подчинени на нея. Ще бъдат разработени и приложени планове за корективни и превантивни действия за отстраняване на пропуските, установени от екипите за одит и потвърждаване на съответствието. Резултатите от програмата за одит ще бъдат съобщени на Отговорния служител по защита на данните, съответния служител за защита на данните и на Съвета по защита на личните данни, които отговарят за докладването им, както е описано в настоящата политика.

Органите за поверителност и защита на данните, които са одобрили настоящата политика или които имат юрисдикция върху практиките на нашата компания, съгласно настоящата политика, имат право да проверяват нашето съответствие с нея. Ще следваме съветите на тези компетентни органи по отношение тълкуването и прилагането на настоящата политика.

Термини, които трябва да знаете

• Анонимизирано. Промяна, съкращаване, заличаване или друга редакция или промяна на лична информация, така че да стане необратима възможността да се използва, за да се идентифицира, определи местоположението на лицето или да се установи контакт с него, самостоятелно или в комбинация с друга информация.
• Закон. Всички приложими закони, правила, разпоредби и наредби, имащи силата на закон в държава, в която работи нашата компания или в която се обработва лична информация от нашата компания или от нейно име. Това включва всички работни рамки за поверителност, съгласно които нашата компания е одобрена или сертифицирана, включително задължителните фирмени правила на ЕС, Правила за трансгранична поверителност на Азиатско-тихоокеанското икономическо сътрудничество (АТИС), Щита за личните данни в отношенията между ЕС – САЩ и Швейцария – САЩ – съгласно правомощията за разследване и прилагане на Федералната търговска комисия на САЩ.
• Нашата компания. Merck & Co., Inc. (Rahway, NJ, USA), нейните правоприемници, дъщерни дружества, подразделения и групи по света, с изключение на съвместните предприятия, в които компанията ни има участие.
• Лична информация (лични данни). Лични данни означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано, включително данни, които идентифицират физическото лице или могат да се използват за идентифициране, локализиране, проследяване или свързване с него. Личната информация включва както информация, позволяваща пряко идентифициране, като име, идентификационен номер или уникално наименование на длъжност, така и информация, позволяваща непряко идентифициране, като дата на раждане, уникален идентификатор за мобилно или преносимо устройство, телефонен номер, както и кодирани с ключ данни, онлайн идентификатори, като IP адреси или произволни лични дейности, поведение или предпочитания, които може да бъдат събирани с цел предоставяне на услуги или продукти.
• Инцидент, свързан с поверителността. Нарушаване на настоящата политика или на законодателството, свързано с поверителността и защитата на данни и включващо инцидент, свързан със сигурността. Решението дали е имало инцидент, свързан с поверителността, и дали трябва да се ескалира до инцидент, свързан със сигурността, трябва да се вземе от отдела за глобална поверителност, управление на рисковете, свързани с ИТ и сигурността (ITRMS) и службата на главния юрисконсулт.
• Обработване. Операция или съвкупност от операции, извършвани с информация за хора, независимо дали чрез автоматични средства или не, включително, но не само събиране, записване, организиране, съхранение, достъп, адаптиране, промяна, извличане, консултиране, употреба, оценка, анализ, съобщаване, споделяне, разкриване, разпространяване, предаване, предоставяне, подреждане, комбиниране, блокиране, заличаване, изтриване или унищожаване.
• Инцидент, свързан със сигурността. Нарушаване на сигурността, водеща до случайно или неправомерно унищожаване, загуба, изменение, неразрешено разкриване на лична информация или достъп до нея или основателното убеждение за същото от страна на нашата компания. Достъпът до лична информация от нашата компания или от нейно име без умисъл за нарушаване на настоящата политика не представлява инцидент, свързан със сигурността, при условие че личната информация, до която е имало достъп впоследствие се използва и се разкрива само както е разрешено от настоящата политика.
• Чувствителна информация. Всякакъв вид информация за хората, която носи потенциален риск за щети на лица, включително информация, определена по закон като чувствителна, включително, но без да се ограничава до, информация, свързана със здравето, генетични, биометрични данни, раса, етнически произход, религия, политически или философски мнения или убеждения, криминално минало, информация за точно местоположение, банкови или други номера на финансови сметки, идентификационни номера, издадени от държавата, малолетни деца, сексуален живот, сексуална ориентация, синдикална принадлежност, застраховка, социална осигуровка и други служебни или предоставяни от държавата придобивки.
• Трета страна. Всяко юридическо лице, асоциация или лице, което не е собственост на нашата компания или в което тя не притежава контролния пакет, или което не е заето в нашата компания. С изключение на изрично посоченото в настоящата политика, дъщерните дружества или подразделенията на нашата компания не е необходимо да отговарят на изискванията за трета страна съгласно настоящата политика, тъй като всички дъщерни дружества или подразделения трябва да обработват лична информация в съответствие с настоящата политика, включително при обстоятелства когато едно от дъщерните дружества на компанията подпомага едно или повече други дъщерни дружества на компанията при обработването.

Промени в настоящата политика

Настоящата политика може да бъде изменяна периодично в съответствие с изискванията на приложимото законодателство. Когато настоящата политика бъде променена в значителна степен, на уеб страницата за поверителност на нашата компания (https://www.msdprivacy.com/) ще бъде публикувано уведомление за срок от 60 дни.