Глобални правила за трансгранична поверителност

В Merck & Co., Inc. (Kenilworth, NJ, USA), позната извън САЩ и Канада като MSD, нашата мисия да пазим и подобряваме живота се разширява, за да спазваме поверителността и защитаваме личната информация.

Стремим се да ръководим бизнеса си в съответствие с нашите ценности за поверителност, защото вярваме, че те отразяват нашия постоянен ангажимент към етични и отговорни практики. Признаваме, че иновациите и новите технологии водят до непрекъснатo променяне на рисковете, очакванията и законите, затова следваме стандартите за поверителност и се стремим да се адаптираме бързо към начина, по който ги прилагаме, в отговор на тези промени.

Тази политика определя нашите глобални стандарти за управление и защита на личната информация от компанията или от нейно име, които произтичат пряко или косвено от която и да е държава - членка от Европейското икономическо пространство („ЕИП”), Швейцария или от държавите-членки на Азиатско-Тихоокеанското икономическо сътрудничество („АТИС) и е прехвърлена към която и да е друга държава, включително прехвърляне между ЕИП и АТИС. Тя описва нашите целеви ангажименти, които подпомагат съответствието с нашето удостоверяване на Правилата за трансгранична поверителност в АТИС, нашите Правила за корпоративна свързаност („ПКС“), които са одобрени в Европейския Съюз и нашето самостоятелно удостоверяване към Щита за неприкосновеност на личните данни между ЕС и САЩ . Тя се прилага за нашите дейности във всяка държава, за всяка дейност, включваща информация за хора, с които работим във всяко дъщерно дружество и подразделение (включително наследници на нашия бизнес) и включва, но без да се ограничава до нашите проучвателни, производствени, търговски дейности, дейности за корпоративна подкрепа и здравни услуги и решения, както и за прехвърляне на данни, необходими за изпълнение на тези дейности, включително, но без да се ограничава до:

  • Проучване и производство: оценка на нуждите и възможностите за медицински и здравни иновации; стартиране, управление и финансиране на изследователски проучвания; оценка и привличане на изследователи, научни работници и членове на етични комисии и бизнес партньори в подкрепа на нашите изследователски проучвания и разработване на нашите продукти; подбор на участници за изследователски проучвания; оценка на безопасността, ефикасността и качеството на нашите изпитвани и продавани продукти; поемане на отговорност за безопасността и качеството на продуктите, включително обработване и докладване на нежелани събития и оплаквания относно качеството на продукти; подаване на документи за одобрение и регистриране на наши продукти от здравните власти; и съответствие със свързаните законови, регулаторни или етични изисквания;
  • Търговия: оценка на пазарите относно нашите продукти; реклама, маркетинг, продажби, дистрибуция и доставка на наши продукти; комуникация и ангажиране на здравни професионалисти, платци на здравни услуги, пациенти и други крайни потребители на наши продукти, както и болногледачи на тези, които използват наши продукти; спонсориране и провеждане на събития; оценка и ангажиране на бизнес партньори в подкрепа на наши търговски дейности; и спазване на свързаните с това законови, регулаторни или етични изисквания;
  • Корпоративна подкрепа: подбор на персонал, наемане, управление, развитие, комуникация и възнаграждения на служителите; определяне на бонуси за служители и хора на тяхна издръжка; проследяване резултатите на служители и таланти; осигуряване на обучение и други образователни програми и програми за развитие; провеждане на дисциплинарни производства и производства, свързани с оплаквания от служители; управление на оплаквания, свързани с етични въпроси и поверителност и провеждане на разследвания; управление и гарантиране сигурността на нашите физически и виртуални активи и инфраструктура; доставка и плащане на стоки и услуги; изпълнение на нашите ангажименти към околната среда, здравето, безопасността и други социални отговорности; ангажиране с медиите; и съответствие със свързаните законови, регулаторни или етични изисквания.
  • Здравни услуги и решения: добавяме стойност в грижата за пациентите по целия свят чрез базирани на доказателства услуги и решения, фокусирани върху клинични услуги, проверени решения и здравни анализи.

Тази политика се прилага също за всички хора, за които обработваме информация, включително, но без да се ограничава до нашите здравни професионалисти и други клиенти, бъдещи, настоящи и бивши служители и хора на тяхна издръжка, пациенти , болногледачи , изследователи и участници в изследователски проучвания, членове на научни и етични комисии, бизнес партньори, инвеститори и акционери, държавни служители и други заинтересовани страни.

Всички служители и ръководители на компанията трябва да поемат голямата отговорност, която имат по отношение на поверителността.

Ние признаваме, че непреднамерени грешки или неправилна преценка, свързани със защита на информация за хората, могат да създадат рискове относно поверителността на данните на физическите лица и рискове за репутацията, дейността, финансите и съответствието на нашата компания. Ние ще осигурим подходящо обучение по тази политика на всички служители и друг персонал, които имат постоянен или редовен достъп до лична информация, които участват в събирането на данни или в разработването на инструменти, използвани за обработка на лична информация. Всеки служител на нашата компания и останалите, които обработват лична информация за нашата компания, носят отговорност по отношение на разбирането и спазването на техните задължения относно тази политика и приложимото законодателство.

Нашите ценности и стандарти за поверителност

Ние спазваме нашите ценности за поверителност във всичко, което правим и което включва хора, както и начина, по който прилагаме нашите стандарти за поверителност. Нашите четири ценности за поверителност са:

Уважение

Доверие

Предотвратяване на щети

Съответствие

Признаваме, че проблемите с поверителността често са свързани с нашата същност, начина, по който гледаме на света и как се самоопределяме, затова ние се стремим да уважаваме възможностите и интересите на хората и общностите, както и да бъдем честни и прозрачни при използване и споделяне на информацията за тях.

Знаем, че доверието е от съществено значение за нашия успех, затова се стремим да изграждаме и запазваме доверието на нашите клиенти, служители, пациенти и други заинтересовани страни относно начина, по който уважаваме поверителността и защитаваме информацията за хората.

Разбираме, че злоупотребата с информация за хората може да създаде както материални, така и нематериални щети за тях, затова се стремим да предотвратим физически, финансови, свързани с репутацията и други видове щети..

Научихме, че законите и подзаконовите актове не винаги са в крак с бързите промени в технологиите, потоците от данни и свързаните с тях промени при рисковете и очакванията относно поверителността, затова се стремим да спазваме духа и буквата на законите и подзаконовите актове относно поверителността и защитата на данните по начин, който осигурява последователност и оперативна ефективност за нашите глобални бизнес дейности.

  1. Научихме, че законите и подзаконовите актове не винаги са в крак с бързите промени в технологиите, потоците от данни и свързаните с тях промени при рисковете и очакванията относно поверителността, затова се стремим да спазваме духа и буквата на законите и подзаконовите актове относно поверителността и защитата на данните по начин, който осигурява последователност и оперативна ефективност за нашите глобални бизнес дейности.

    Принцип за поверителност

    Нашите основни ангажименти

    1. Потребност – преди събиране, използване или споделяне на лична информация, ние определяме и документираме конкретните законови бизнес цели, за които е необходима.a

    • Определяме и документираме необходимата продължителност за съхранение на личната информация за тези определени бизнес цели и изискванията на приложимото законодателство.
    • Не събираме, не използваме или споделяме повече лична информация, отколкото е необходимо, или я съхраняваме във форма, която разкрива самоличността на лицето, за период по-дълъг от необходимия за тези определени бизнес цели и изискванията на приложимото законодателство.
    • Анонимизираме данните, когато бизнес изискванията налагат информацията относно дейността или процеса да бъде съхранена за по-продължителен период от време.
    • Гарантираме, че тези задължителни изисквания са включени във всички съпътстващи технологии и че са съобщени на трети страни, подпомагащи дейността или процеса.

    2. Честност – не обработваме лична информация по начини, които са нечестни за хората, за които се отнасят тези данни.

    • Определяме дали предвиденото събиране, използване или друго обработване на лични данни представлява вероятен и/или сериозен риск от материална или нематериална щета зафизическите лица в съответствие с нашите ценности за поверителност за Предотвратяване на щети.
    • Ако естеството на данните, типа хора или дейности представляват вероятен и/или сериозен риск от материална или нематериална щета за хора, ние гарантираме, че рискът от щета е оценен спрямо съответната полза за тези хора или спрямо нашата мисия да пазим и подобряваме животи, както и е смекчен от мерките, гаранциите и механизмите, които сме въвели.
    • Там, където рискът изглежда, че превишава ползите за хората, ние обработваме чувствителна или лична информация само след изричното съгласие на лицето, ако се изисква изрично, или ако се разрешава изрично от приложимотозаконодателство, или както се изисква изрично от компетентния регулаторен орган.
    • Документираме анализа на риска и създаваме необходимите механизми за получаване и документиране на доказателствата за съгласие в съпътстващите технологии.

    3. Прозрачност – не обработваме лична информация по начини или за цели, при които липсва прозрачност.

    • Всички лица, чиято лична информация се обработва съгласно настоящата политика имат право да получат копие от нея. Ще осигурим на разположение копия на настоящата политика онлайн на www.msdprivacy.com. Отделът по Глобална поверителност на MSD ще предоставя електронни и/или хартиени копия на настоящата политика при поискване на адреса, посочен в Раздел 3.a. по-долу.
    • Когато се събира лична информация директно от хората, ние ги информираме, преди събирането на информация, посредством ясно, поставено на видно място и лесно достъпно съобщение за поверителност или чрез подобни средства от (1) фирменото звено или звена, отговорни за обработването, (2) данните за контакт на главното длъжностно лице по въпросите на защитата на данните и/или на регионалното/местното длъжностно лице за защита на данните, (3) каква информация ще бъде събирана, (4) целите, за които ще се използва, (5) правните основания за обработване от страна на MSD, (6) с кого ще бъде споделяна, включително всякакви изисквания за разкриване на лични данни в отговор на законосъобразни запитвания от държавни органи, (7) дали и как ще прехвърляме лични даннив други държави, включително съответните държави, където е възможно, (8) колко време ще бъде съхранявана или критериите, по които ще правим тази преценка, (9) как могат да задават въпроси, изразяват съмнения или да упражняват правата си, свързани с тяхната лична информация, (10) по какъв начин могат да оттеглят всяко дадено съгласие, (11) тяхното право да подадат оплакване пред надзорен орган, (12) всяко задължение за предоставяне на лична информация и последствията, ако не го направят, (13) всяко автоматично вземане на решения, включително профилиране, което ще извършваме и (14) линк към настоящата политика, когато е възможно и необходимо.
    • Когато се получава лична информация посредством наблюдение, сензори или други косвени средства, може да не е възможно да се предостави уведомление за поверителност директно на лицето, докато се събира информацията. В такива случаи гарантираме прозрачност на лицето посредством други средства, катонапример публикуван или отпечатан материал върху устройството или материали, свързани с устройството, което ще събира информацията.
    • Когато се събира лична информация чрез уеб сайт, мобилно приложение или друго онлайн приложение или ресурс, ние прилагаме специфични за технологията стандарти, описани в нашата Политика за Интернет поверителност и нашия Ангажимент за поверителност при използване на бисквитки, за да гарантираме, че изискванията за прозрачност в съответствие с настоящата политика, са спазени.
    • Когато се събира лична информация от други източници и не са специално предназначени за нашата компания, преди да получим информацията, ние проверяваме писмено дали доставчикът на информация е информирал хората за начините и целите, за които нашата компания възнамерява да използва информацията. Ако от доставчика на информация не може да се получи писмена проверка, ние използваме само анонимна информация или, преди да използваме лична информация, информираме участващите лица чрез лично уведомление или сходни средства на (1) звеното или звената от нашата компания, отговорни за обработването на информацията, (2) данните за контакт на нашето главно длъжностно лице за защита на личните данни и/или на регионалното / местно длъжностно лице за защита на личните данни, (3) каква информация планира да използва нашата компания, (4) целите, за които нашата компания планира да я използва, (5) правното основание за обработването от наша страна, (6) с кого нашата компания ще я споделя, (7) дали и как ще прехвърляме личната информация към други страни, включително съответните държави, където това е възможно, (8) колко дълго нашата компания планира да я задържи или критериите, според които правим тази преценка, (9) как могат да задават въпроси, изразяват съмнения или да упражняват своите права за свързаната с тях лична информация, (10) как могат да оттеглят всяко дадено съгласие, (11) тяхното право да подават оплакване до надзорен орган, (12) всяко задължение за предоставяне на лична информация и последствията, ако не го направят, (13) всяко автоматизирано вземане на решения, включително профилиране, което ще извършим, и (14) линк към настоящата политика, където е възможно и необходимо.
    • Гарантираме, че необходимите механизми за прозрачност, включващи, където е възможно, механизми, които подпомагат запитвания, свързани с индивидуалните права са проектирани в подкрепа на технологиите и че трети страни, подпомагащи дейността или процесите, не обработват информация за лицата по начини, които не отговарят на това, което им е съобщено чрез уведомлението за поверителност или други средства, които могат да бъдат проверени, които ние и други трети страни, работещи за нас, ще направят с информацията.

    4. Ограничаване на целта – ние използваме лична информация само в съответствие с принципите за потребност и прозрачност.

    • Ако бъдат определени нови законови бизнес цели за личната информация, която е събрана по-рано, ние или трябва да получим съгласието на физическото лице за новия начин на употреба, или трябва да гарантираме, че новата бизнес цел е в съответствие , включително сходна като предмет с целите, описани в уведомлението за поверителност или друг механизъм за прозрачност, който по-рано е предоставен на лицето. Ние ще определим спазването на това изискване въз основа на (1) всяка връзка между първоначалните цели и предложената нова цел, (2) разумните очаквания на физическото лице, (3) естеството на личната информация, (4) последствията от допълнителната обработка за лицето и (5) предпазните мерки, които сме въвели.
    • Не прилагаме този принцип за анонимизирана информация или, когато използваме лична информация само за исторически и научни цели, свързани с проучване и когато (1) Комитетът по етика или друг компетентен орган е определил, че рискът от такава употреба на права, свързани с поверителността и други права на лицето е приемлив и (2) сме въвели подходящи предпазни мерки, за да гарантираме минимизиране на данните, като например псевдонимизация, и (3) всички други приложими закони са спазени.
    • Гарантираме, че ограниченията върху целта са включени в съпътстващите технологии, включително възможността за докладване и споделяне на данни по веригата.

    5. Качество на данните – поддържаме личната информация точна, пълна и последователна спрямо нейното предназначение.

    • Гарантираме, че в съпътстващите технологии са включени механизми за периодичен преглед на данните за проверка точността на данните спрямо източника и системите надолу по веригата.
    • Гарантираме, че чувствителната информация е проверена като точна и актуална преди да бъде използвана, оценена, анализирана, докладвана или обработена по друг начин, който представлява риск от некоректност спрямо хората, ако се използват неточни или неактуални данни.
    • Когато бъдат направени промени в личната информация от нашата компания или от трети страни, работещи за компанията, ние гарантираме, че тези промени са навременно съобщени на съответните физически лица, когато това е възможно.

    6. Сигурност – въвеждаме предпазни мерки за защита на личната и чувствителна информация от загуба, злоупотреба и неупълномощен достъп, разкриване, изменение или унищожение.

    • Въвели сме програма за информационна сигурност и прилагаме контрол на сигурността, които са базирани на чувствителността на информацията и нивото на риск на дейността, отчитайки най-добрите практики при настоящите технологии и разходите по внедряването. Нашите функционални политики за сигурност включват, но не се ограничават до, стандарти за бизнес последователност и възстановяване след бедствия, криптиране, управление на самоличността и достъпа, класифициране на информация, управление на информацията при инциденти, свързани със сигурността, контрол на достъпа до мрежи, физическа охрана и управление на риска.

    7. Трансфер на данни – ние носим отговорност и запазваме защитите, свързани с поверителността на личната информация, когато се прехвърлят към или от други организации, или при трансгранично прехвърляне.

    ((1) Ние прехвърляме лична информация в рамките на дружеството, ако са изпълнени следните изисквания:

    • (1) споделянето е необходимо, за да се изпълни целта, за която първоначално е събрана личната информация, или друг законен интерес на дружеството, и
    • (2) целта, с която трябва да бъде споделена, както и обстоятелството, при което ще бъде споделена са в съответствие с обявлението за поверителност или друг механизъм за прозрачност, който е бил предоставен на физическото лице към момента на първоначалното събиране на личната информация и лицето е дало своето съгласие, когато е необходимо.
    • (3) когато наше дъщерно дружество действа само от името на друго наше дъщерно дружество при обработването на лична информация,
    • (4) когато това се изисква от закона, за да се изпълни вътрешно споразумение за обработване на данни в съответствие с принцип 8 на настоящата политика.

    (2) Прехвърляме лична информация към или разрешаваме тя да бъде обработвана от трети страни само, ако са спазени следните изисквания, и ние носим отговорност да гарантираме, че третите страни, които ангажираме, спазват тези изисквания:

    • Ако ролята на третата страна е да обработва лична информация за или от името на нашата компания, преди предоставяне на лична информация на третата страна или включването на трета страна, ние:
      • (1) правим надлежна проверка относно поверителността, за да оценим практиките и рисковете, свързани с поверителността при тези трети страни,
      • (2) получаваме договорени гаранции от тези трети страни, че те ще обработват личната информация само съгласно инструкциите от нашата компания и в съответствие с настоящата политика, включително, но без да се ограничават до, всички 8 принципа за поверителност и другите стандарти, описани в настоящата политика и приложимото законодателство; че ще уведомят нашата компания незабавно за всеки инцидент, свързан с поверителността, включително всяка невъзможност да се спазват стандартите, описани в настоящата политика и приложимото законодателство или инцидент със сигурността и ще сътрудничат за своевременното разрешаване на всеки доказан инцидент и за разрешаване на индивидуалните права, описани в Раздел 2 по-долу; че няма да ангажират друго дружество да обработва личната информация без нашето писмено разрешение и без да сключва споразумение, налагащо еквивалентни задължения за защита на личните данни; че ще изтрият или ще ни върнат цялата лична информация, след като са приключили да ни предоставят услуги или по наше искане; и ще позволят на нашата компания да одитира и наблюдава техните практики по време на обработването дали съответстват с тези изисквания. Допълнително, ако третата страна обработва лична информация, която произтича от държава или територия, чието законодателство ограничава прехвърлянето на лични данни, ние гарантираме, че прехвърлянето към третата страна отговаря на изискванията за трансгранично прехвърляне на данни, описани в (3) по-долу.
    • Ако ролята на третата страна е да предостави лична информация на нашата компания, преди получаването на лична информация от третата страна, ние гарантираме че са спазени изискванията за прозрачност при събиране на лична информация от други източници, а не специално предназначена за нашата компания и получаваме договорени изявления от третата страна, че не се нарушават законодателството или правата на друга трета страна при предоставянето на лична информация на компанията.
    • Ако ролята на третата страна е да предостави лична информация на нашата компания, преди получаването на лична информация от третата страна, ние гарантираме че са спазени изискванията за прозрачност при събиране на лична информация от други източници, а не специално предназначена за нашата компания и получаваме договорени изявления от третата страна, че не се нарушават законодателството или правата на друга трета страна при предоставянето на лична информация на компанията. страна, за да се защитят законните интереси на лицето или тези на дружеството, може да предадем информацията: (1) за целите на предотвратяване на измами или за прилагане или защита на правата и имуществото на дружеството, (2) за защита на личната безопасност на нашите служители или на трети лица върху нашата собственост, или (3) за защита на нашите активи, като предприемем корективни мерки за сигурност, ако разумно предполагаме, че са настъпили незаконна дейност или сериозно нарушение.
    • Ако нашата компания цели да придобие третата страна или контролния пакет от нея, (1) преди да сключим споразумение за придобиване на третата страна или на контролния пакет от нея, ние извършваме надлежна проверка относно поверителността, за да оценим практиките и рисковете относно поверителността, свързани с придобиването на тази трета страна или на контролния пакет от нея и (2) сключваме споразумение за прехвърляне на данни, което определя условията, при които може да бъде разкривана лична информация и съответните задължения на нашата компания и третата страна.
    • Ако ролята на третата страна е да придобие целия или част от бизнеса на нашата компания, преди споделяне на каквато и да е лична информация във връзка с разкриването на каквато и да е част от бизнеса на нашата компания, ние (1) сключваме споразумение за прехвърляне на данни, което определя общите условия, съгласно които може да се разкрива лична информация на купувача, включително необходимите ограничения относно допустимото използване на личната информация и съответствие със стандартите, описани в настоящата политика и приложимото законодателство, (2) преглеждаме всички елементи на данните за хората преди споделяне, за да оценим изискванията за споделяне, (3) получаваме съгласие за споделяне на лична или чувствителна информация в съответствие с принципите за прозрачност и ограничаване на целта в настоящата политика, и (4) изискваме от третата страна да уведоми нашата компания своевременно за всеки приложим инцидент, свързан с поверителността, включително невъзможност да се спазят стандартите, описани в настоящата политика и приложимото законодателство, и да сътрудничи за своевременно разрешаване на всеки доказан инцидент или прекъсване, свързано с обработването на съответната лична информация.

    (3) Прехвърляме лична информация трансгранично, включително в Съединените американски щати, от или от името на нашата компания в съответствие с настоящата политика. Ще прилагаме тази политика за прехвърляне на лична информация от всяка друга държава или територия със законодателство, което ограничава прехвърлянето на лична информация, както и спазването на всички изисквания, наложени от тези закони (включително използването на механизми, изисквани за трансграничните прехвърляния).

    8. Разрешено от закона – ние обработваме лична информация само, ако изискванията на приложимото законодателство са спазени.

    • Тъй като другите 7 принципа за поверителност, както и изискванията относно личните права, описани по-долу са предназначени да гарантират, че изискванията на повечето законодателства относно защитата на данни и поверителността, които се прилагат към нашия бизнес по света са спазени, в някои държави трябва да спазваме допълнителни изисквания, включително, но без да се ограничават до, следните:

      1) Където се изисква ще получаваме конкретни декларации за съгласие за определено обработване на лична информация, включително, но без да се ограничава до одобрение за обработване от работнически съвети и други работнически съюзи;

      2) Когато се изисква ще регистрираме обработването на лична информация или ще поискаме одобрението на съответния регулаторен орган, осъществяващ контрол, свързан с поверителността и защитата на данни;

      3) Когато се изисква ще предоставяме по-широки права (например за достъп и поправка) от описаните в настоящата политика;

      4) Когато се изисква ще ограничим сроковете за съхранение на лична информация; и

      5) Когато се изисква ще сключваме споразумения, съдържащи специфични договорни клаузи, включително споразумения за трансгранично прехвърляне на данни към трети страни.

      6) Когато се изисква, ще разкриваме лична информация в отговор на законни искания от страна на публичните органи, включително за изпълняване на изискванията за националната сигурност или на законите.

      В случай на противоречие между настоящата политика и приложимото законодателство, валидност ще има стандартът, които осигурява по-голяма защита на лицата.

  2. Своевременно ще обработваме запитвания относно индивидуални права за достъп, изменение, корекция или изтриване на лична информация, възражения за обработване на лична информация за тях, или да упражняват други права по отношение на тяхната лична информация.
    1. Достъп, корекция, изтриване и други права – съгласно законодателството на повечето държави, в които работим, физическите лица имат право на достъп до тяхната личната информация и право да я изменят, коригират или изтриват, когато е неточна, непълна или неактуална. Ще уважим всички запитвания за достъп, корекции и изтриване на лична информация от физически лица в съответствие с раздел 3а по-долу. Ако запитване за достъп, корекция или изтриване се управлява от приложимото законодателство, което предоставя по-голяма защита за физическите лица, ние ще гарантираме спазването на допълнителните изисквания на това законодателство. В други държави, физическите лица може да имат други права по отношение на личната информация, като например правото да ограничат обработването, да възразят срещу обработването (вж. също Раздел 2б по-долу), както и да поискат прехвърляне на техните данни на друг доставчик на услуги. Ние ще уважим упражняването на правата, свързани с личните данни, в съответствие с приложимото законодателство.
    2. Избор – в съответствие с нашите ценности, свързани с поверителността за „уважение” и „доверие”, ние уважаваме индивидуалните запитвания за възражения, свързани с обработване на лична информация, включително, но без да се ограничават до, избор на програми или дейности, в които те по-рано са се съгласили да участват, обработване на лична информация за тях за съобщения, свързани с директен маркетинг, съобщения, предназначени за тях въз основа на тяхната личната информация и всяка оценка или решение за тях, което може значително да ги засегне в резултат от използването на автоматизация или алгоритми.
      1. Освен в случаите, когато е забранено от закона, можем да отказваме избор, когато определено запитване за избор би попречило на нашата компания: (1) да се спазва закон или етично задължение, включително, когато от нас се изисква да разкриваме лична информация в отговор на законни искания от страна на публични органи, както и за спазване на изискванията за национална сигурност или изпълнение на законите, (2) да разследва, завежда или се защитава в съдебни искове и (3) да изпълнява договори, управлява отношения или да участва в други разрешени бизнес дейности, които са в съответствие с принципите за прозрачност и ограничаване на целта, както и са осъществени въз основа на информацията за хората, за които става въпрос. В рамките на петнадесет работни дни от решението за отказ на запитване за избор, в съответствие с настоящата политика ще документираме и съобщим решението на запитващия.
  3. Ще отговаряме своевременно на и ще решаваме всички въпроси, оплаквания, проблеми, свързани с поверителността и всякакви потенциални инциденти, свързани с поверителността или сигурността.
    1. Всяко лице, чиято лична информация обработваме, в рамките на настоящата политика може да повдигне въпрос, оплакване или да направи възражение към нашата компания по всяко време, включително запитване за списък на всички дъщерни дружества на нашата компания, които са предмет на настоящата политика. Очакваме от нашите служители и останалите, които работят от името на нашата компания, да предоставят своевременно уведомление, ако имат причина да вярват, че приложимото законодателство би могло да възпрепятства съответствието с настоящата политика. Всякакви въпроси, оплаквания или проблеми, повдигнати от физическо лице или всяко уведомление, направено от служител или друго лице, което работи от името на нашата компания, трябва да бъде отправено към отдела за поверителност:
      1. по имейл на: msd_privacy_office@msd.com
      2. по пощата на: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
    2. От служителите и изпълнителите се изисква своевременно да информират отдела за Глобална поверителност на MSD или назначения служител по поверителността за тяхната бизнес област за всякакви въпроси, оплаквания или проблеми, свързани с практиките за поверителност в нашата компания.
    3. Отделът за Глобална поверителност на MSD ще разгледа и разследва или ще работи заедно с отдела по етика, правния отдел и/или отдела за съответствие, за да разследва всички въпроси, оплаквания или проблеми, свързани с практиките по поверителност в нашата компания, независимо дали са получени директно от служители или други лица или чрез трети страни, включително, но без да се ограничават до, регулаторни агенции, консултанти или други правителствени органи. Ще отговорим на лицето или на звеното, което е повдигнало въпроса, оплакването или проблема към нашата компания, в срок до тридесет (30) календарни дни, освен ако закон или изискващата трета страна поискат отговор в по-кратък срок, или ако обстоятелствата, като паралелно правителствено разследване, изискват по-дълъг период от време, в който случай лицето или изискващата трета страна ще бъде уведомено писмено възможно най-скоро според общия характер на обстоятелствата, на които се дължи забавянето.
    4. Отделът за Глобална поверителност на MSD, в координация с правния и този по съответствието ще си сътрудничат в отговор на всяко запитване, проверка или разследване на регулаторен орган, свързани с поверителността.
    5. При оплаквания, които не могат да бъдат разрешени между нашата компания и физическото лице, което е отправило оплакването, компанията е съгласна да участва в следните процедури за решаване на спорове при разследване и решаване на оплаквания за решаване на спорове съгласно настоящата политика, въпреки че, по всяко време, физическите лица, живеещи в държавите от ЕИП или физически лица, чиято лична информация е предмет на законодателството за защита на данните на ЕИП и се прехвърля извън ЕИП, могат да разчитат също на стандарт 3.f. по-долу:
      1. за спорове, включващи цялата лична информация, получена от нашата компания от Швейцария, компанията е съгласна да си сътрудничи с Федерален комисариат за защита на личните данните на Швейцария (FDPIC);
      2. за спорове, включващи прехвърляне към САЩ на лична информация, свързана с дейности относно човешки ресурси и събирана в контекста на взаимоотношения, свързани със заетост в ЕИП, нашата компания също се ангажира да сътрудничи със съответните власти в ЕС относно защитата на личните данни.
      3. за спорове, засягащи всички други лични данни съгласно настоящата политика, включително, но без да се ограничават до, тези, включващи спазването от страна на нашата компания с Правилата за поверителност при трансгранично прехвърляне („ППТП”) на на Азиатско-Тихоокеанското икономическо сътрудничество („АТИС”), Щит за личните данни в отношенията между ЕС-САЩ и Швейцария-САЩ, нашата компания се е съгласила да разрешава спорове чрез TRUSTe, доставчик на услуга за разрешаване на спорове, базиран в САЩ. Физически лица, които изпращат въпроси или опасения до нашата компания и които не получат потвърждение от нея на запитването, или които смятат, че техният въпрос или проблем не е решен по задоволителен начин, трябва да се свържат с програмата за разрешаване на спорове TRUSTe по Интернет, по пощата или по факс. Запитвания по пощата или по факс трябва да идентифицират Merck & Co., Inc. или MSD като компанията, до която е бил изпратен проблема или въпроса и да включват описание на проблема, свързан с поверителност, името на физическото лице, изпращащо запитването и дали TRUSTe може да споделя подробности от запитването с нашата компания. TRUSTe ще действа като посредник за нашата компания при разрешаване на тези спорове.
        1. Oнлайн
        2. факс: +1-415-520-3420
        3. поща: Watchdog Complaints, TRUSTe, 835 Market Street, Suite 800, Box 137 San Francisco, CA, USA 94103-1905
      4. За информация относно TRUSTe или процеса на работа при решаване на спорове от TRUSTe, посетете TRUSTe в интернет или поискайте тази информация от TRUSTe по пощата или по факс като използвате информацията за контакт, описана по-горе. Процесът на решаване на спорове от TRUSTe се провежда на английски език.
      5. За всякакви спорове, възникнали съгласно Щит за личните данни в отношенията между ЕС-САЩ и Швейцария-САЩ, които не са разрешени посредством стъпките, описани в този раздел, физическите лица имат възможност да поискат арбитраж в съответствие с процедурите за Панела за защита на поверителността, описан в Щит за личните данни в отношенията между ЕС-САЩ и Швейцария-САЩ.
    6. Всички физически лица, живеещи в държави от ЕИП или физически лица, чиято лична информация е предмет на законодателството за защита на данните на ЕИП и са прехвърлени извън ЕИП, чиято информация се обработва съгласно настоящата политика, имат право според настоящата политика по всяко време да наложат изискванията на настоящата политика като трети страни бенефициенти, включително правото да предприемат съдебни действия, за да търсят обезщетение за нарушаване на техните права, съгласно настоящата политика (както е описано в Раздел 2 по-горе) и правото да получат обезщетение за щетите, произтичащи от това нарушаване. Физическите лица, живеещи в държави от ЕИП или физически лица, чиято лична информация е предмет на законодателството за защита на данни на ЕИП и прехвърлени извън ЕИП (за по-голяма яснота, включително към САЩ), могат да предявят иск или да подадат оплакване съгласно настоящата политика срещу Merck Sharp & Dohme (Europe) Inc. - белгийския клон („MSD Europe”):
      1. В съдилищата или пред властите за защита на данните в държава от ЕИП, от която е прехвърлена лична информация за тях или
      2. В съдилищата или в органа за защита на данните в държавата на ЕИП, в която имат обичайно местопребиваване, или
      3. В съдилищата на Белгия или Белгийската комисия за поверителност.
    7. Нашата компания ще отговори на лицето или на звеното, което е повдигнало въпроса, оплакването или проблема в срок до тридесет (30) календарни дни, освен ако законодателството или изискващата трета страна изиска отговор в по-кратък срок, или ако обстоятелствата изискват по-дълъг период от време, в който случай лицето или изискващата трета страна ще бъдат известени писмено.
  4. Носим отговорност да се придържаме към нашите ценности и стандарти, свързани с поверителността.
    1. Дъщерно дружество на нашата компания, отговорно за дейност, която предизвика доказан инцидент, свързан с поверителността или сигурността, е финансово отговорно за стойността на иска за щети или глоба или имуществена санкция, произтичаща от инцидента, свързан с поверителността или сигурността.
      1. В координация с и по преценка на отдела по Глобална поверителност на MSD, MSD Europe носи отговорност да гарантира, че необходимите действия са предприети, за да се разрешат всякакви предполагаеми нарушения на настоящата политика от дъщерните дружества на нашата компания извън ЕИП, засягащи лица, живеещи в държава от ЕИП или лица, чиято лична информация е предмет на законодателството за защита на данните в ЕИП и прехвърлени извън ЕИП, както и когато се изисква, да плати глобите, неустойките или щетите, присъдени за нарушения на настоящата политика, засягащи лица, живеещи в държави от ЕИП или лица, чиято лична информация е предмет на законодателството за защита на данните на ЕИП и прехвърлянето извън ЕИП. С помощта на отдела за Глобална поверителност на MSD и дъщерното дружество на нашата компания извън ЕИЗ, отговорно за предполагаемото нарушение, MSD Europe отговаря за това да покаже, че нашата компания не носи отговорност за предполагаемото нарушение. Когато друго дъщерно дружество на нашата компания носи отговорност за действието, за което се налага глоба, обезщетение или щети, това дъщерно дружество може да се наложи своевременно да възстанови на MSD Europe всякакви суми, платени от MSD Europe. Ако дъщерно дружество на нашата компания извън ЕИЗ наруши тази политика, съдилищата или органите за защита на данните в ЕИЗ ще имат юрисдикция и засегнатото лице ще има правата и средствата за защита срещу MSD Europe, както е посочено в раздел 3.е. по-горе.
      2. В координация с и по преценка на отдела по Глобална поверителност на MSD, Merck Sharp & Dohme Corp. носи отговорност да гарантира, че необходимите действия са предприети, за да се разрешат всякакви предполагаеми нарушения на настоящата политика, засягащи лица, живеещи извън държава от ЕИП и когато се изисква, да плати глобите, неустойките или щетите, присъдени за нарушения на настоящата политика, засягащи лица, живеещи извън държави от ЕИП или лица, чиято лична информация не е предмет на законодателството за защита на данните на ЕИП. Когато друго дъщерно дружество на нашата компания носи отговорност за действието, за което се налага глоба, обезщетение или щети, това дъщерно дружество може да се наложи своевременно да възстанови на Merck Sharp & Dohme Corp. всякакви суми, платени от Merck Sharp & Dohme Corp.

Надзор и мониторинг

За да предоставим гаранции на регулаторите и други заинтересовани страни, че нашата компания носи отговорност да спазва ангажимента си за етични и отговорни практики, свързани с поверителността, компанията поддържа група за управление на надзора и мониторинга, оглавявана от отговорния служител по поверителност (ОСП) с ангажиран отдел за Глобална поверителност (ОГП), назначен ОСП за ЕС, ОСП за дадена държава, когато това се изисква от закона или местните органи, и служители по Глобална поверителност, които са назначени от ръководителите и служат като връзка между отдела за Глобална поверителност на MSD и организационните области, в които работят.

Нашата компания ще разчита на консултанти по поверителността, пред които е отговорна съгласно законодателството периодично да проверява съответствието с изискванията на настоящата политика и тези закони, включително ППТП на АТИС.

В допълнение към прегледите за потвърждаване на съответствието, управлявани от отдела за Глобална поверителност на MSD, екипите за вътрешен и външен одит и за съответствие ще проведат прегледи на съответствието, за да потвърдят, че MSD се придържа към тази политика, включително всички правила, процедури, стандарти и насоки, подчинени на тази политика. Ще бъдат разработени и приложени планове за корективни и превантивни действия за отстраняване на пропуските, установени от екипите за одит и потвърждаване на съответствието. Резултатите от програмата за одит ще бъдат съобщени на Отговорния служител по защита на личните данни и на Съвета за защита личните данни, които отговарят за докладването им, както е описано в настоящата Политика.

Органите за поверителност и защита на данните, които са одобрили настоящата политика или които имат юрисдикция върху практиките на нашата компания, съгласно настоящата политика, имат право да проверяват нашето съответствие с нея. Ние ще следваме съветите на тези компетентни органи по отношение тълкуването и прилагането на настоящата политика.

Термини, които трябва да знаете

  • Анонимен. Промяна, отрязване, заличаване или друга редакция или промяна на лична информация, така че да стане необратима възможността да се използва, за да се идентифицира, определи местоположението на или да се установи контакт с лицето, самостоятелно или в комбинация с друга информация.Закон. Всички приложими закони, правила, разпоредби и наредби, имащи силата на закон в някоя държава, в която работи нашата компания или в която се обработва лична информация от нашата компания или от нейно име.. Това включва всички работни рамки за поверителност, съгласно които нашата компания е била одобрена или сертифицирана, включително Правилата за поверителност при трансгранично прехвърляне („ППТП”) на Азиатско-Тихоокеанското икономическо сътрудничество („АТИС”), в Щит за личните данни в отношенията между ЕС-САЩ и Швейцария-САЩ, съгласно правомощията за разследване и прилагане на Федералната търговска комисия на САЩ. MSD. Merck & Co., Inc., нейните приемници, дъщерни дружества и подразделения по целия свят, с изключение на съвместните предприятия, в които MSD е страна.
  • Лични данни. Лични данни означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата и умствената, икономическата, културната или социалната идентичност на това физическо лице;
  • Инцидент, свързан с поверителността. Нарушаване на настоящата политика или на законодателството, свързано с поверителността и защитата на данни и включващо инцидент, свързан със сигурността. Решението дали е имало инцидент, свързан с поверителността и дали е значителен, трябва да се вземе от отдела по Глобална поверителност на MSD, Управление на рисковете, свързани с ИТ и сигурността (ITRMS) и службата на главния юрисконсулт.
  • Обработване. Обработване означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на осигуряване на достъп до данните, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
  • Инцидент, свързан със сигурността. Нарушение на сигурността, водещо до случайно или незаконно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лична информация; или нашето разумно вярване за същото. Достъп до лична информация от нашата компания или от нейно име без умисъл за нарушаване на настоящата политика не представлява инцидент, свързан със сигурността, при условие че личната информация, до която е имало достъп впоследствие се използва и се разкрива само както е разрешено от настоящата политика.
  • Чувствителна информация. Всякакъв вид информация за хората, която носи потенциален риск за щети на лица, включително информация, определена по закон като чувствителна, включително, но без да се ограничава до, информация, свързана със здравето, генетични, биометрични данни, раса, етнически произход, религия, политически или философски мнения или убеждения, криминално минало, информация за точно местоположение, банкови или други номера на финансови сметки, идентификационни номера, издадени от правителство, малолетни деца, сексуален живот, сексуална ориентация, синдикална принадлежност, застраховка, социална осигуровка и други служебни или издадени от правителството поощрения.
  • Трета страна. Всяко правно дружество, асоциация или лице, което не е собственост на нашата компания или в което тя не притежава контролния пакет, или което не е заето в нашата компания. С изключение на изрично посоченото в настоящата политика, дъщерни дружества или подразделения на нашата компания не е необходимо да отговарят на изискванията за трета страна съгласно настоящата политика, тъй като всички дъщерни дружества или подразделения трябва да обработват личната информация в съответствие с настоящата политика, включително при обстоятелства когато едно от дъщерните дружества на нашата компания подпомага едно или повече други дъщерни дружества на нашата компания при обработването.

Промени в настоящата политика

Настоящата политика може да бъде изменяна от време на време в съответствие с изискванията на приложимото законодателство. Когато настоящата политика бъде променена в значителна степен, на уеб сайта за поверителност на нашата компания (www.msdprivacy.com) ще бъде публикувано уведомление за период от 60 дни.

Дата на влизане в сила

30 април 2018 г.

TRUSTeTRUSTeThis Web Accessibility icon serves as a link to download eSSENTIAL Accessibility assistive technology software for individuals with physical disabilities. It is being featured as part of a Disability Community Involvement initiative that reflects our commitment to Diversity, Inclusion,Corporate Citizenship and Social Responsibility.
Twitter IconLinkedin Icon

Copyright © 2009-2018 Merck Sharp & Dohme Corp., uma subsidiária da Merck & Co., Inc. Kenilworth, NJ, USA. Todos os direitos reservados. Este website é mantido pela Merck Sharp & Dohme Corp., uma subsidiária da Merck & Co., Inc., Kenilworth, NJ, USA.