Směrnice pro globální pravidla pro přeshraniční ochranu osobních údajů

Datum revize: 1. Květen 2022
Platnost od: 1. Květen 2022

Snažíme se podnikat v souladu s našimi hodnotami ochrany osobních údajů, protože věříme, že jsou projevem našeho pevného závazku etických a zodpovědných postupů. Uvědomujeme si, že inovace a nové technologie vyvolávají neustálé změny rizik, očekávání a právních předpisů, a proto sledujeme standardy odpovědnosti v oblasti ochrany osobních údajů a v reakci na tyto změny se snažíme rychle přizpůsobit to, jak je používáme.

Tato směrnice definuje naše globální standardy pro správu a ochranu osobních údajů naší společností nebo jejím jménem, které přímo či nepřímo pocházejí z kterékoli oblasti v Evropském hospodářském prostoru („EHP“), Švýcarsku nebo v členských ekonomikách zemí Asijsko-tichomořské hospodářské spolupráce („APEC“) a jsou přenášeny do kterékoli země včetně přenosů mezi EHP a APEC. Popisuje naše stěžejní závazky, které podporují dodržování pravidel certifikace pro přeshraniční ochranu osobních údajů (Cross-Border Privacy Rules) Asijsko-pacifického hospodářského společenství (APEC),(dále jen „pravidla CBPR“) naše Závazná podniková pravidla (BCR), která byla schválena Evropskou Unií a naši čestnou certifikaci pro Štít ochrany osobních údajů mezi EU a USA (EU-US Privacy Shield). Vztahuje se na naše provozní činnosti v každé zemi, na každou činnost zahrnující informace o lidech, kterou provádíme v každé dceřiné společnosti a každé divizi (včetně veškerých právních nástupců našeho podniku) mimo jiné včetně našich výzkumných, výrobních, obchodních činností, činností firemní podpory a služeb a řešení v oblasti zdravotní péče a přenosů dat, které jsou k provádění těchto činností nezbytné, mimo jiné včetně následujících:

• výzkum a výroba: vyhodnocování potřeb a příležitostí pro inovace v oblasti lékařské a zdravotní péče; iniciování, řízení a financování výzkumných studií; hodnocení a najímání výzkumných pracovníků, členů vědeckých a etických komisí a obchodních partnerů poskytujících podporu pro naše výzkumné studie a vývoj našich produktů; nábor pro výzkumné studie; hodnocení bezpečnosti, účinnosti a kvality našich hodnocených produktů a produktů uváděných na trh; dodržování našich povinností v oblasti bezpečnosti a kvality produktů, včetně zvládání a hlášení nežádoucích příhod a stížností na kvalitu produktů; podávání žádostí o schválení a registraci našich produktů u zdravotnických regulačních úřadů; a dodržování souvisejících právních, regulačních nebo etických požadavků;
• obchodní činnosti: hodnocení trhů pro naše produkty; reklama, marketing, prodej, distribuce a dodávky našich produktů; komunikace se zákazníky z řad zdravotnických pracovníků, plátců zdravotní péče, pacientů a jiných koncových uživatelů našich produktů, jakož i pečovatelů těch, kteří naše produkty používají, a jejich zapojení; sponzorování a provádění akcí; vyhodnocování a najímání obchodních partnerů na podporu našich komerčních aktivit; a dodržování souvisejících právních, regulačních nebo etických požadavků;
• podpora společnosti: nábor, najímání, řízení, rozvoj zaměstnanců, komunikace s nimi a jejich odměňování; správa výhod pro zaměstnance a jejich vyživované osoby; provádění hodnocení výkonnosti a talentu zaměstnanců; poskytování školení a jiných vzdělávacích a rozvojových programů; provádění disciplinárních řízení se zaměstnanci a řešení jejich stížností; řešení obav v oblasti etiky a ochrany osobních údajů a provádění vyšetřování; správa a zabezpečení našich fyzických a virtuálních aktiv a infrastruktury; pořizování zboží a služeb a platba za ně; dodržování našich závazků v oblasti životního prostředí, ochrany zdraví a bezpečnosti a dalších závazků v oblasti firemní odpovědnosti; zapojení médií; a dodržování souvisejících právních, regulačních nebo etických požadavků;
• služby a řešení v oblasti zdravotní péče: zlepšování hodnoty péče poskytované pacientům po celém světě prostřednictvím služeb a řešení založených na důkazech, které jsou zaměřeny na klinické služby, řešení v oblasti zapojení a zdravotních analýz.

Tato směrnice se rovněž týká všech lidí, o kterých informace zpracováváme, mimo jiné včetně našich zákazníků z řad zdravotnických pracovníků a jiných zákazníků; potenciálních, stávajících a bývalých zaměstnanců a jejich vyživovaných osob, pacientů, pečovatelů, výzkumných pracovníků a účastníků výzkumných studií, členů vědeckých a etických komisí, obchodních partnerů, investorů a akcionářů, státních úředníků a jiných zainteresovaných osob.

Všichni řadoví zaměstnanci i vrcholoví vedoucí pracovníci společnosti mají v oblasti ochrany osobních údajů základní povinnosti, které musí dodržovat.

Uvědomujeme si, že neúmyslné chyby a nesprávné posouzení týkající se ochrany informací o lidech mohou pro jednotlivce způsobit rizika při ochraně osobních údajů a pro naši společnost riziko pro dobrou pověst, provozní, finanční rizika a rizika v oblasti dodržování předpisů. Všem zaměstnancům a dalšímu personálu, který má trvalý nebo pravidelný přístup k osobním údajům, který je zapojen do sběru dat nebo do vývoje nástrojů používaných pro zpracování osobních údajů, zajistíme odpovídající školení týkající se této směrnice. Každý zaměstnanec naší společnosti i ostatní, kteří pro naši společnost zpracovávají informace o lidech, zodpovídají za porozumění svým povinnostem dle této směrnice a platných právních předpisů a za jejich dodržování.

Naše hodnoty a standardy ochrany osobních údajů

Naše hodnoty ochrany osobních údajů dodržujeme ve všem, co děláme a co zahrnuje lidi, včetně toho, jak naše standardy ochrany osobních údajů používáme. nNašeimi čtyřmi hodnoty hodnotami ochrany osobních údajů jsou:

Respekt	Důvěra	Předcházení škodám	Dodržování předpisů
Uvědomujeme si, že se obavy v oblasti ochrany osobních údajů často týkají podstaty toho, kým jsme, jak pohlížíme na svět a jak sami sebe definujeme, takže se snažíme respektovat názory a zájmy jednotlivců a komunit a jednat férově a transparentně v tom, jak informace o nich používáme a sdílíme.	Víme, že důvěra je pro náš úspěch zásadní, a proto se snažíme budovat a udržet si důvěru svých zákazníků, zaměstnanců, pacientů a jiných zainteresovaných osob v to, jak respektujeme soukromí a chráníme informace o lidech.	Chápeme, že zneužití informací o lidech může jednotlivcům způsobit jak hmotné, tak i nehmotné škody, a proto se fyzickým a finančním škodám, poškození pověsti a jiným typům poškození soukromí jednotlivce snažíme předcházet.	Zjistili jsme, že právní předpisy a nařízení nedokáží vždy držet krok s rychlými změnami technologií, toků dat a souvisejícími změnami rizik a očekávání v oblasti ochrany osobních údajů, takže se snažíme dodržovat jak ducha, tak literu zákonů a předpisů o ochraně osobních údajů takovým způsobem, který podporuje důslednost a provozní výkonnost našich globálních provozních činností.

1. Naše standardy ochrany osobních údajů začleňujeme do všech činností, procesů, technologií a vztahů se třetími stranami, které osobní údaje používají. Do svých procesů a technologií navrhujeme kontrolní opatření na ochranu osobních údajů, která jsou v souladu s našimi hodnotami a standardy ochrany osobních údajů a platnými právními předpisy. Naše standardy ochrany osobních údajů a základní požadavky na procesy, činnosti a jejich podpůrné technologie obecně shrnuje našich 8 principů ochrany osobních údajů níže.

   Princip ochrany osobních údajů	Naše základní závazky
   1. Nezbytnost – před shromažďováním, používáním nebo sdílením osobních údajů definujeme a zdokumentujeme.	Stanovíme a zdokumentujeme, jak dlouho jsou pro tyto definované obchodní účely a platné zákonné požadavky osobní údaje zapotřebí. Neshromažďujeme, nepoužíváme ani nesdílíme více osobních údajů, než je zapotřebí, ani je neuchováváme v identifikovatelné podobě déle, než je na tyto definované obchodní účely a platné zákonné požadavky zapotřebí. Když podnikové požadavky vyžadují, aby byly informace o činnosti nebo procesu uchovávány po delší dobu, údaje anonymizujeme. Snažíme se, aby byly tyto požadavky nezbytnosti zahrnuty do veškeré podpůrné technologie a aby byly sděleny třetím stranám, které k dané činnosti nebo procesu poskytují podporu.
   2. Férovost – nezpracováváme osobní údaje takovými způsoby, které nejsou poctivé vůči lidem, jichž se údaje týkají.	Zjišťujeme, zda navrhované shromažďování, použití nebo jiné zpracování osobních údajů představuje pravděpodobné a/nebo závažné riziko hmotné nebo nehmotné škody jednotlivcům v souladu s naší hodnotou ochrany osobních údajů Předcházení škodám. Pokud povaha dat, typů lidí nebo činnosti představuje neoddělitelně spjaté pravděpodobné a/nebo závažné riziko hmotné nebo nehmotné škody jednotlivcům, zajistíme, aby toto riziko bylo vyváženo odpovídajícím přínosem pro tyto jednotlivce nebo pro naše poslání ochraňovat a zlepšovat životy lidí a aby toto riziko bylo zmírněno opatřeními, bezpečnostními opatřeními a mechanismy, které jsme zavedli. Tam, kde se zdá, že riziko převáží nad prospěchem pro jednotlivce, zpracováváme citlivé nebo osobní údaje pouze s výslovným souhlasem jednotlivců, jak je výslovně požadováno nebo povoleno platnými právními předpisy či jak výslovně povoluje příslušný regulační orgán. Dokumentujeme analýzu rizik a do podpůrných technologií začleňujeme veškeré požadované mechanismy shromažďování a dokumentace důkazů o souhlasu.
   3. Transparentnost –osobní údaje nezpracováváme takovými způsoby nebo pro účely, které nejsou transparentní.	Všichni jednotlivci, o kterých jsou osobní údaje podle této směrnice zpracovávány, budou mít právo obdržet kopii této směrnice. Kopii této směrnice zpřístupníme online na adrese https://www.msdprivacy.com. Na žádost zaslanou na adresy uvedené v bodě 3.a. níže poskytne centrální útvar pro ochranu osobních údajů společnosti MSD tuto směrnici v elektronické nebo papírové podobě. Pokud jsou osobní údaje shromažďovány přímo od jednotlivců, před shromažďováním informací je informujeme jasným, srozumitelným a snadno přístupným oznámením o ochraně osobních údajů nebo podobnými prostředky (1) o subjektu nebo subjektech společnosti zodpovědných za zpracování, (2) o kontaktních údajích našeho ředitele pro ochranu osobních údajů a/nebo regionálního/místního pracovníka odpovědného za ochranu osobních údajů, (3) jaké informace budou shromažďovány, (4) o účelech, k nimž budou použity, (5) o právním základu pro naše zpracování, (6) s kým budou sdíleny, což se také týká jakéhokoliv právního požadavku vládních úřadů, aby byly osobní údaje uvolněny, (7) zda a jak budeme přenášet osobní údaje do jiných zemí, je-li to proveditelné, pak včetně příslušných zemí, (8) jak dlouho budou uchovávány nebo o kritériích, podle nichž toto stanovení provádíme, (9), jak mohou položit dotaz, vznést obavu nebo uplatnit svá práva související s jejich osobními údaji, (10) jak mohou odvolat jakýkoli souhlas, který poskytli, (11) o jejich právu podat stížnost u dozorového úřadu, (12) o veškerých povinnostech osobní údaje poskytnout a o důsledcích nedodržení této povinnosti, (13) o veškerém automatizovaném rozhodování, včetně profilování, které provádíme, a (14) o odkazu na tuto směrnici (je-li to možné a vhodné). Když jsou osobní údaje získány prostřednictvím pozorování, čidel nebo jiných nepřímých prostředků, nemusí být možné poskytnout oznámení o ochraně osobních údajů přímo jednotlivci v čase, kdy jsou takovéto informace shromažďovány. V takových případech zajišťujeme transparentnost vůči jednotlivci jinými způsoby, jako je zveřejnění nebo vytištění na zařízení nebo v materiálech souvisejících se zařízením, které bude informace získávat. Když jsou osobní údaje shromažďovány prostřednictvím webových stránek, mobilní aplikace nebo jiné online aplikace nebo jiného online zdroje, používáme standardy specifické pro danou technologii stanovené v našich Zásadách ochrany osobních informací na internetu a v našem Závazku o ochraně soukromí v souvislosti se soubory cookie, aby bylo zajištěno, že byly splněny požadavky na transparentnost stanovené touto směrnicí. Když jsou osobní údaje shromažďovány z jiných zdrojů, a nikoli výslovně na příkaz naší společnosti, ověřujeme písemně před získáním informací, zda poskytovatel informací informoval jednotlivce o způsobech a účelech, k nimž naše společnost zamýšlí informace používat. Pokud od poskytovatele informací nelze získat písemné potvrzení, použijeme pouze anonymizované informace nebo budeme před použitím osobních údajů informovat dotyčné jednotlivce pomocí oznámení o ochraně osobních údajů nebo podobnými prostředky (1) o subjektu nebo subjektech naší společnosti odpovědných za zpracování informací, o kontaktních údajích našeho ředitele pro ochranu osobních údajů a/nebo regionálního/místního pracovníka odpovědného za ochranu osobních údajů, (3) jaké informace má naše společnost v plánu použít, (4) o účelech, k nimž je má naše společnost v plánu použít, (5) o právním základu pro naše zpracování, (6) s kým je naše společnost bude sdílet, (7) zda a jak budeme přenášet osobní údaje do jiných zemí, je-li to proveditelné, pak včetně příslušných zemí, (8) jak dlouho je má naše společnost v plánu uchovávat nebo o kritériích, podle nichž toto stanovení provádíme, (9) jak mohou položit dotaz, vznést obavu nebo uplatnit svá práva týkající se jejich osobních údajů, (10) jak mohou odvolat jakýkoli souhlas, který poskytli, (11) o jejich právu podat stížnost u dozorového úřadu, (12) o veškerých povinnostech osobní údaje poskytnout a o důsledcích nedodržení této povinnosti, (13) o veškerém automatizovaném rozhodování, včetně profilování, které budeme provádět, a (14) o odkazu na tuto směrnici (je-li to možné a vhodné). Zajišťujeme, aby byly do podpůrných technologií začleněny nezbytné mechanismy transparentnosti (je-li to možné), a to včetně mechanismů, které podporují požadavky na práva jednotlivců, a aby třetí strany, které pro činnost nebo proces poskytují podporu, nezpracovávaly informace o lidech způsoby, které nejsou v souladu s tím, co bylo jednotlivcům sděleno prostřednictvím oznámení o ochraně osobních údajů nebo jiných ověřitelných prostředků ohledně toho, co my nebo jiní, kteří pro nás pracují, budeme s informacemi dělat.
   4. Omezení účelu – osobní údaje používáme pouze v souladu s principy nezbytnosti a transparentnosti.	Pokud budou zjištěny nové legitimní obchodní účely pro osobní údaje, které byly shromážděny dříve, buď získáme souhlas fyzické osoby s novým použitím osobních údajů, nebo zajistíme, aby byl nový obchodní účel, včetně významně podobných účelů, slučitelný s účely popsanými v oznámení o ochraně osobních údajů nebo v jiném mechanismu pro zajištění transparentnosti, který byl jednotlivci poskytnut dříve. Slučitelnost stanovíme na základě (1) jakékoli souvislosti mezi původními účely a navrhovaným novým účelem, (2) přiměřených očekáváních fyzické osoby, (3) povaze osobních údajů, (4) důsledcích dalšího zpracování pro fyzickou osobu a (5) bezpečnostních opatřeních, která jsme zavedli. Pokud budou zjištěny nové legitimní obchodní účely pro osobní údaje, které byly shromážděny dříve, buď získáme souhlas fyzické osoby s novým použitím osobních údajů, nebo zajistíme, aby byl nový obchodní účel, včetně významně podobných účelů, slučitelný s účely popsanými v oznámení o ochraně osobních údajů nebo v jiném mechanismu pro zajištění transparentnosti, který byl jednotlivci poskytnut dříve. Slučitelnost stanovíme na základě (1) jakékoli souvislosti mezi původními účely a navrhovaným novým účelem, (2) přiměřených očekáváních fyzické osoby, (3) povaze osobních údajů, (4) důsledcích dalšího zpracování pro fyzickou osobu a (5) bezpečnostních opatřeních, která jsme zavedli. Zajišťujeme, aby do veškeré podpůrné technologie (včetně jakýchkoli možností vytváření zpráv a sdílení podřízených dat) byla začleněna omezení účelu.
   5. Kvalita dat – osobní údaje uchováváme přesné, úplné a aktuální a v souladu s jejich zamýšleným způsobem použití.	Zajišťujeme, aby byly do podpůrných technologií začleněny mechanismy, které data pravidelně kontrolují, aby byla ověřena přesnost dat oproti zdrojovým a podřízeným systémům. Zajišťujeme, aby byly citlivé informace ověřeny jako přesné a aktuální před jejich použitím, vyhodnocením, analýzou, vykazováním nebo jiným zpracováním, které představuje riziko neférovosti vůči lidem, pokud by byla použita data nepřesná nebo zastaralá. Pokud jsou prováděny změny osobních údajů ze strany naší společnosti nebo třetích stran, které pro naši společnost pracují, je-li to přiměřeně možné, zajišťujeme, aby tyto změny byly příslušným fyzickým osobám sděleny včas.
   6. Zabezpečení – zavádíme bezpečnostní opatření k ochraně osobních údajů a citlivých informací před ztrátou, zneužitím a neoprávněným přístupem, zpřístupněním, pozměněním nebo zničením.	Zavedli jsme komplexní program zabezpečení informací a používáme bezpečnostní kontrolní opatření, která jsou založena na citlivosti informací a úrovni rizika činnosti, přičemž bereme v úvahu aktuální osvědčené postupy v oblasti technologií a náklady na jejich zavedení. Naše zásady funkčního zabezpečení mimo jiné zahrnují standardy pro zachování kontinuity obchodních aktivit a zotavení po havárii, šifrování, správu totožnosti a přístupu, klasifikaci informací, zvládání incidentů v oblasti zabezpečení informací, řízení přístupu k síti, fyzické zabezpečení a řízení rizik.
   7. Přenos dat – Jsme odpovědní a chráníme osobní údaje, když jsou přenášeny do jiných organizací nebo z nich nebo přes státní hranice.	(1) Předávání osobních údajů v rámci společnosti, pakliže jsou splněny následující požadavky: (1) sdílení je nezbytné k plnění účelu, k němuž byly osobní údaje původně shromážděny, nebo v jiném legitimním zájmu společnosti a (2) účel, za nímž mají být sdíleny, a skutečnost, že budou sdíleny, je v souladu s oznámením o ochraně osobních údajů nebo s jiným mechanismem pro zajištění transparentnosti, který byl fyzické osobě poskytnut dříve v okamžiku, kdy byly osobní údaje původně shromážděny, a je-li to nezbytné, poskytla k tomu fyzická osoba svůj souhlas, (3) tam, kde některá našed dceřiná společnost jedná při zpracování osobních údajů výhradně jménem jiné dceřiné společnosti naší firmy, a (4) pokud to předpisy vyžadují, tyto dceřiné společnosti naší firmy uzavřou interní dohodu o zpracování dat v souladu s principem 8 této směrnice. (2) Třetím stranám osobní údaje přenášíme nebo dovolujeme, aby je tyto zpracovávaly, pouze tehdy, pokud jsou splněny následující požadavky a odpovídáme za zajištění, aby třetí strany, které najímáme, splňovaly tyto požadavky: Pokud je rolí třetí strany zpracovávat osobní údaje pro naši společnost nebo jejím jménem, před poskytnutím osobních údajů třetí straně nebo před jejím najmutím: (1) dokončíme proces náležité péče v oblasti ochrany osobních údajů, abychom vyhodnotili postupy v oblasti ochrany osobních údajů a rizika spojená s těmito třetími stranami, (2) získáme od těchto třetích stran smluvní ujištění, že osobní údaje budou zpracovávat pouze v souladu s pokyny naší společnosti a v souladu s touto směrnicí, mimo jiné včetně 8 principů ochrany osobních údajů a dalších standardů uvedených v této směrnici a platných právních předpisech, že okamžitě oznámí naší společnosti jakýkoli incident v oblasti ochrany osobních údajů nebo bezpečnostní incident, což se také týká neschopnosti dodržet standardy stanovené touto směrnicí a platnými předpisy, a že bude spolupracovat při řešení jednotlivých práv stanovených v části 2 níže, že bez našeho písemného povolení a bez toho, aniž by měly uzavřenu smlouvu, která ukládá ekvivalentní povinnosti v oblasti ochrany údajů, nenajmou za účelem zpracování osobních údajů další společnost, že vymažou nebo nám vrátí veškeré osobní údaje poté, co poskytování služeb dokončí, nebo na naši žádost, a že umožní naší společnosti kontrolovat a sledovat jejich postupy po dobu trvání zpracování, co se týče dodržování těchto požadavků. Dále pokud třetí strana zpracovává osobní údaje, které pocházejí ze země nebo oblasti, kde právní předpisy omezují přenos osobních údajů, zajistíme, aby přenos třetí straně splňoval požadavky na přeshraniční přenosy dat popsané v bodu (3) níže. Pokud je rolí třetí strany poskytovat naší společnosti osobní údaje, zajistíme před získáním osobních údajů od třetí strany, aby byly splněny požadavky na transparentnost pro shromažďování osobních údajů z jiných zdrojů, a nikoli výslovně na příkaz naší společnosti, a získáme od třetí strany smluvní prohlášení, že poskytnutím osobních údajů naší společnosti neporušuje žádné právní předpisy ani práva žádné třetí strany. Pokud je rolí třetí strany získat od naší společnosti informace pro zpracování, které není výslovně na příkaz naší společnosti, zajistíme před poskytnutím informací třetí straně, aby byly tyto informace anonymizovány, a získáme od třetí strany písemné ujištění, že je použije pouze pro obchodní účely definované ve smlouvě a v souladu s platnými právními předpisy a že se nebude snažit informace znovu identifikovat. Pokud je předání třetí osobě vyžadováno za účelem ochrany legitimních zájmů fyzické osoby nebo společnosti, můžeme informace předávat: (1) pro účely předcházení podvodům nebo uplatnění či ochrany práv a majetku společnosti, (2) za účelem ochrany osobní bezpečnosti našich zaměstnanců či třetích osob v našich prostorách a (3) za účelem ochrany našeho majetku přijetím nápravných bezpečnostních opatření, jestliže máme důvodné podezření, že došlo k nezákonné činnosti nebo k závažnému nesprávnému počínání. Pokud je třetí strana cílem akvizice nebo získání kontrolního balíku akcií ze strany naší společnosti, (1) před uzavřením smlouvy o akvizici třetí strany nebo o získání kontrolního balíku akcií třetí strany dokončíme proces náležité péče v oblasti ochrany osobních údajů, abychom vyhodnotili postupy v oblasti ochrany osobních údajů a rizika spojená s akvizicí dané třetí strany nebo získáním kontrolního balíku akcií třetí strany, a (2) uzavřeme dohodu o předání údajů, která stanoví podmínky, za nichž mohou být sděleny osobní údaje, a příslušné povinnosti naší společnosti a třetí strany. Pokud je rolí třetí strany získat celý podnik naší společnosti nebo jeho část, pak před sdělením jakýchkoli osobních údajů v souvislosti s odprodejem jakékoli části podniku naší společnosti (1) uzavřeme dohodu o předání údajů, která stanoví podmínky, za nichž mohou být osobní údaje sděleny kupujícímu, včetně přislušných omezení týkajících se povoleného použití osobních údajů a dodržování standardů stanovených touto směrnicí a platnými předpisy. (2) zkontrolujeme veškeré datové prvky o lidech před jejich sdílením, abychom vyhodnotili požadavky na sdílení, a (3) získáme souhlas se sdílením osobních údajů nebo citlivých informací v souladu s principy transparentnosti a omezení účelu podle této směrnice a (4) od třetí strany požadujeme, aby okamžitě uvědomila naši společnost o jakémkoliv incidentu, týkajícímu se platné směrnice o ochraně osobních údajů, což se také týká neschopnosti dodržet standardy stanovené touto směrnicí a platnými předpisy, a aby spolupracovala při nápravě jakéhokoliv podloženého incidentu nebo přestala zpracovávat relevantní osobní údaje. (3) Osobní údaje jsou přenášeny přes státní hranice, včetně do Spojených států amerických, naší společností nebo jejím jménem v souladu s touto směrnicí. Tuto směrnici budeme používat pro přenosy osobních údajů z jakékoli země nebo oblasti, kde právní předpisy omezují přenos osobních údajů, a to navíc k dodržování veškerých požadavků takovýchto předpisů (včetně použití veškerých mechanismů vyžadovaných pro přeshraniční předání).
   8. Právně přípustné – osobní údaje zpracováváme pouze tehdy, pokud byly splněny požadavky platných právních předpisů.	Zatímco ostatních 7 principů ochrany osobních údajů, jakož i níže popsané požadavky na práva jednotlivce, jsou určeny k tomu, aby byly splněny požadavky většiny zákonů o ochraně osobních údajů a o ochraně dat, které platí pro naše podniky po celém světě, musíme v některých zemích dodržovat další požadavky, mimo jiné včetně následujících: 1) Tam, kde to je vyžadováno, získáme pro určité zpracování osobních údajů konkrétní formy souhlasu, mimo jiné včetně schválení zpracování radami zaměstnanců a dalšími odborovými svazy. 2) Tam, kde to je vyžadováno, zaregistrujeme zpracování osobních údajů u příslušného regulačního orgánu pro ochranu osobních údajů nebo dat nebo si vyžádáme schválení z jeho strany. 3) Tam, kde to je vyžadováno, poskytneme rozsáhlejší práva (například na přístup a ochranu), než je uvedeno v této směrnici. 4) Tam, kde to je vyžadováno, omezíme dále lhůty uchovávání osobních údajů. 5) Tam, kde to je vyžadováno, uzavřeme smlouvy obsahující konkrétní smluvní doložky, včetně dohod o přeshraničním přenosu dat třetím stranám. 6) Tam, kde je to vyžadováno, osobní údaje zveřejníme v reakci na zákonné požadavky orgánů státní správy včetně případů, kdy je to třeba ke splnění vnitrostátních požadavků na zabezpečení nebo prosazování práva. V případě rozporu mezi touto směrnicí a platnými právními předpisy bude mít přednost ta norma, která jednotlivcům zajišťuje vyšší ochranu.

2. 2. Bezodkladně se budeme zabývat právy jednotlivce na přístup k jejich osobním údajům, jejich pozměnění, opravu nebo vymazání, na námitku vůči jejich zpracování nebo dalšími právy týkajícími se jejich osobních údajů.
   1. Přístup, oprava, vymazání a další práva – podle právních předpisů ve většině zemí, kde působíme, mají jednotlivci právo na přístup k osobním údajům o své osobě a na pozměnění, opravu nebo vymazání osobních údajů, které jsou nepřesné, neúplné nebo zastaralé. Budeme ctít všechny požadavky na přístup, opravu a vymazání osobních údajů od všech jednotlivců v souladu s bodem 3a níže. Pokud se požadavek na přístup, opravu nebo vymazání osobních údajů řídí platným právním předpisem, který zajišťuje jednotlivcům vyšší úroveň ochrany, zajistíme, aby byly dodatečné požadavky tohoto právního předpisu splněny. V některých zemích mohou mít fyzické osoby v souvislosti s osobními údaji o nich samotných nárok na další práva, jako je právo na omezení zpracování, vznést námitku proti zpracování (viz také bod 2b níže) a nechat své údaje přenést jinému poskytovateli služeb. Ctíme uplatnění práv týkajících se údajů v souladu s platnými předpisy.
   2. Volba – v souladu s našimi hodnotami ochrany osobních údajů, jimiž jsou „respekt“ a „důvěra“, ctíme požadavky jednotlivců vznést námitku vůči zpracování osobních údajů, mimo jiné včetně možnosti neúčastnit se programů nebo činností, s účastí v nichž dříve souhlasili, zpracování jejich osobních údajů pro sdělení přímého marketingu, sdělení, která jsou na ně zacílená na základě jejich osobních údajů, a jakéhokoli vyhodnocení nebo rozhodování o jejich osobě prováděného s využitím automatizace nebo algoritmů, kde existuje potenciální možnost je významně ovlivnit.
      1. Vyjma toho, kdy je to zákonem zakázáno, můžeme tuto volbu odepřít, pokud by určitý požadavek volby bránil naší společnosti, aby mohla: (1) dodržet zákonné nebo etické závazky včetně případů, kdy jsme povinni osobní údaje zveřejnit v reakci na zákonné požadavky orgánů státní správy, a včetně nutnosti dodržovat vnitrostátní požadavky na zabezpečení nebo prosazování práva, (2) vyšetřovat, uplatnit nebo obhajovat právní nároky a (3) uzavírat smlouvy, spravovat vztahy nebo vstupovat do dalších povolených obchodních aktivit, které jsou v souladu s principy transparentnosti a omezení účelu a byly uzavřeny při spoléhání se na informace o dotyčných lidech. Do patnácti pracovních dní od jakéhokoli rozhodnutí odmítnout požadavek volby v souladu s touto směrnicí, toto rozhodnutí zdokumentujeme a sdělíme žadateli.
3. 3. Budeme bezodkladně reagovat na jakékoli dotazy, stížnosti a obavy související s ochranou osobních údajů a jakýkoli potenciální incident v oblasti ochrany osobních údajů nebo bezpečnostní incident a postoupíme je výše.
   1. Kterýkoli jednotlivec, o němž v rámci působnosti této směrnice zpracováváme osobní údaje, může kdykoli na naši společnost vznést dotaz, stížnost nebo obavu, včetně žádosti o seznam všech našich dceřiných společností, jichž se tato směrnice týká. Od našich zaměstnanců i od ostatních, kteří pracují jménem naší společnosti, očekáváme, že nás budou bezodkladně informovat, pokud budou mít důvod domnívat se, že jim platné zákony mohou bránit dodržovat tuto směrnici. Jakýkoli dotaz, stížnost nebo obava vznesená jednotlivcem nebo jakékoli oznámení poskytované zaměstnancem nebo kteroukoli jinou osobou, která pracuje jménem naší společnosti, by měly být směrovány na centrální útvar pro ochranu osobních údajů společnosti MSD:
      1. e-mailem na adresu: msd_privacy_office@msd.com
      2. poštou na adresu: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
   2. Od zaměstnanců a smluvních partnerů vyžadujeme, aby bezodkladně informovali centrální útvar pro ochranu osobních údajů společnosti MSD nebo jmenovaného správce pro ochranu osobních údajů pro jejich podnikovou oblast o veškerých dotazech, stížnostech nebo obavách souvisejících s postupy naší společnosti v oblasti ochrany osobních údajů.
   3. Tyto záležitosti prověří a vyšetří centrální útvar pro ochranu osobních údajů společnosti MSD, případně bude spolupracovat s kanceláří pro etiku, právním oddělením a/nebo s oddělením pro dodržování předpisů při vyšetřování všech dotazů, stížností nebo obav týkajících se postupů naší společnosti v oblasti ochrany osobních údajů, ať již je obdržela přímo od zaměstnanců či jiných jednotlivců nebo prostřednictvím třetích stran, mimo jiné včetně regulačních agentur, zástupců pro oblast odpovědnosti a dalších orgánů státní správy. Fyzické nebo právnické osobě, která vznesla otázku, stížnost či obavy, odpovíme do třiceti (30) kalendářních dnů, pokud zákon nebo třetí strana žadatele nevyžaduje reakci v kratší době nebo pokud okolnosti, jako je například souběžně probíhající vládní vyšetřování, nevyžadují delší časové období, přičemž v takovém případě budou žádající jednotlivec nebo třetí strana písemně vyrozuměni co nejdříve vzhledem k obecné povaze okolností, které ke zdržení vedly.
   4. Centrální útvar pro ochranu osobních údajů společnosti MSD, v koordinaci s právním oddělením a s oddělením pro dodržování předpisů, bude spolupracovat při reakci na jakýkoli dotaz, kontrolu nebo vyšetřování regulačního orgánu v oblasti ochrany osobních údajů.
   5. U stížností, které nelze vyřešit přímo mezi naší společností a jednotlivcem, který stížnost vznesl, naše společnost souhlasila, že se zúčastní následujících postupů arbitráže sporů při vyšetřování a řešení stížností na základě této směrnice, avšak jednotlivci s trvalým pobytem v EHP nebo jednotlivci, jejichž osobní údaje podléhají právním předpisům EHP o ochraně údajů a tyto jsou přenášeny mimo EHP, se mohou rovněž kdykoli opřít o standard 3.f. níže:
      1. u sporů týkajících se osobních údajů obdržených od naší společnosti ze Švýcarska naše společnost souhlasila, že bude spolupracovat se švýcarským federálním inspektorem pro ochranu údajů a informací (Federal Data Protection and Information Commissioner, FDPIC);
      2. co se týče sporů ohledně přenosu osobních údajů spojených s personalistickými aktivitami a shromážděných v rámci zaměstnaneckého poměru v EHP do Spojených států, se naše společnost rovněž zavazuje spolupracovat s příslušnou komisí orgánu EU pro ochranu údajů
      3. u sporů týkajících se jakýchkoli jiných osobních údajů podle této směrnice, mimo jiné včetně těch, které se týkají dodržování podmínek systému Asijsko-tichomořské hospodářské spolupráce („APEC“) Cross-Border Privacy Rules (pravidel pro přeshraniční ochranu osobních údajů, „CBPR“),štítu na ochranu soukromí EU–USAa štítu na ochranu soukromí EU–USA soukromí USA–Švýcarsko ze strany naší společnosti, naše společnost souhlasila s řešením sporů prostřednictvím organizace pro řešení sporů TRUSTe. Jednotlivci, kteří předloží naší společnosti dotaz nebo obavu a nedostanou od naší společnosti potvrzení dotazu nebo kteří se budou domnívat, že jsme se jejich dotazem nebo obavou uspokojivým způsobem nezabývali, by se měli obrátit na program řešení sporů organizace TRUSTe na internetu, poštou nebo faxem. Dotazy zaslané poštou nebo faxem by měly uvádět společnost Merck & Co., Inc. nebo MSD jako společnost, jíž byly obava nebo dotaz odeslány, a měly by obsahovat popis obavy o ochranu osobních údajů, jméno jednotlivce odesílajícího požadavek a to, zda může organizace TRUSTe sdělit podrobnosti požadavku naší společnosti. TRUSTe bude při řešení těchto sporů jednat vůči naší společnosti jako prostředník.
         1. Online
         2. Fax: +1-415-520-3420
         3. Mail: Watchdog Complaints, TRUSTe, 835 Market Street, Suite 800, Box 137 San Francisco, CA, USA 94103-1905
      4. Pokud jde o informace o organizaci TRUSTe nebo o fungování procesu řešení sporů prostřednictvím organizace TRUSTe, navštivte TRUSTe na internetu nebo si s využitím výše uvedených kontaktních údajů vyžádejte informace od TRUSTe poštou nebo faxem. Proces řešení sporů prostřednictvím organizace TRUSTe bude veden v angličtině.
      5. Co se týče jakéhokoli sporu souvisejícího s programem EU-US a Švýcarsko-USA, který nebyl dořešen pomocí postupu popsaného v této části, mají fyzické osoby možnost využít závazného rozhodčího řízení dle postupů komise programu Privacy Shield ustanovených v rámci programu EU–US/Švýcarsko Privacy Shield..
   6. Všichni jednotlivci žijící v EHP nebo jednotlivci, jejichž osobní údaje podléhají právním předpisům EHP o ochraně údajů a tyto jsou přenášeny mimo EHP, o nichž jsou informace zpracovávány podle této směrnice, mají podle této směrnice kdykoli právo vymáhat požadavky této směrnice jako oprávněné třetí strany včetně práva podat soudní žalobu a domáhat se nápravy z důvodu porušení svých práv podle této směrnice (jak je stanoveno v odstavci 2 výše) a práva získat přiznání náhrady škod vzniklých z důvodu takového porušení. Jednotlivci žijící v EHP nebo jednotlivci, jejichž osobní údaje podléhají právním předpisům EHP o ochraně údajů a tyto jsou přenášeny mimo EHP (v zájmu jasnosti, včetně do USA), mohou podle této směrnice podat žalobu nebo stížnost vůči společnosti Merck, Sharp & Dohme (Europe) Inc. – pobočka Belgie („MSD Europe“):
      1. u soudů nebo orgánu pro ochranu údajů v zemi EHP, odkud byly jejich osobní údaje přeneseny,
      2. u soudů nebo orgánu pro ochranu údajů v zemi EHP svého obvyklého bydliště, nebo
      3. u soudů v Belgii nebo belgické komise pro ochranu osobních údajů (Belgian Privacy Commission).
   7. Fyzické nebo právnické osobě, která vznesla otázku, stížnost nebo obavy, naše společnost odpoví do třiceti (30) kalendářních dnů, pokud zákon nebo třetí strana žadatele nevyžaduje reakci v kratší době nebo pokud okolnosti nevyžadují delší časové období, přičemž v takovém případě budou žádající jednotlivec nebo třetí strana vyrozuměni písemně.
4. Jsme zodpovědní za dodržování našich hodnot a standardů ochrany osobních údajů.
   1. Naše dceřiná společnost, která je zodpovědná za žalobu, která povede ke vzniku doloženého incidentu v oblasti ochrany osobních údajů nebo bezpečnostního incidentu, je finančně zodpovědná za částku jakéhokoli nároku na náhradu škod nebo pokuty či penále vzniklé na základě incidentu v oblasti ochrany osobních údajů nebo bezpečnostního incidentu.
      1. V koordinaci s centrálním útvarem pro ochranu osobních údajů společnosti MSD a na jeho příkaz je společnost, MSD Europe odpovědná za zajištění toho, aby byla přijata nezbytná opatření, která se budou zabývat jakýmikoli domnělými porušeními této směrnice našimi dceřinými společnostmi mimo EHP postihujícími jednotlivce žijící v EHP nebo jednotlivce, jejichž osobní údaje podléhají právním předpisům EHP o ochraně údajů a tyto jsou přenášeny mimo EHP, a bude-li to zapotřebí, aby byly zaplaceny pokuty, penále či přiznané náhrady škod za porušení této směrnice postihující jednotlivce žijící v EHP nebo jednotlivce, jejichž osobní údaje podléhají právním předpisům EHP o ochraně údajů a tyto jsou přenášeny mimo EHP. S podporou od centrálního útvaru pro ochranu osobních údajů společnosti MSD a naší dceřiné společnosti mimo EHP zodpovědné za domnělé porušení bude MSD Europe zodpovědná za prokázání toho, že naše společnost není za domnělé porušení odpovědná. Tam, kde je jiná naše dceřiná společnost zodpovědná za žalobu, která si vyžádala pokutu, penále nebo přiznání náhrady škody, může být od této dceřiné společnosti vyžadováno, aby okamžitě uhradila společnosti MSD Europe jakoukoli částku, kterou tato zaplatila. Pokud tuto směrnici poruší dceřiná společnost naší firmy mimo EHP, budou mít soudní příslušnost soudy či úřady pro ochranu osobních údajů v EHP a dotyčná fyzická osoba bude mít práva a ochranné prostředky vůči společnosti MSD Europe, jak je stanoveno v bodu 3f výše.
      2. V koordinaci s centrálním útvarem pro ochranu osobních údajů společnosti MSD a na jeho příkaz je společnost, Merck Sharp & Dohme Corp. odpovědná za zajištění toho, aby byla přijata nezbytná opatření, která se budou zabývat jakýmikoli domnělými porušeními této směrnice postihujícími jednotlivce žijící mimo EHP, a bude-li to zapotřebí, aby byly zaplaceny pokuty, penále či přiznané náhrady škod za porušení této směrnice postihující jednotlivce žijící mimo EHP nebo jednotlivce, jejichž osobní údaje nepodléhají právním předpisům EHP o ochraně údajů. Tam, kde je jiná naše dceřiná společnost zodpovědná za žalobu, která si vyžádala pokutu, penále nebo přiznání náhrady škody, může být od této dceřiné společnosti vyžadováno, aby okamžitě uhradila společnosti Merck Sharp & Dohme Corp. jakoukoli částku, kterou tato zaplatila.

Dohled a monitorování

Abychom ujistili regulační orgány a další zainteresované strany, že je naše společnost zodpovědná za svůj závazek etických a zodpovědných postupů v oblasti ochrany osobních údajů, udržuje společnost rozsáhlý dohled a monitorovací řídicí skupinu vedenou vedenou ředitelem pro ochranu údajů se specializovaným centrálním útvarem pro ochranu osobních údajů (Global Privacy Office, GPO), přidělenými pověřenci pro ochranu osobních údajů pro EU, pověřenci pro ochranu osobních údajů zemí tam, kde to vyžadují právní předpisy nebo místní orgány, a správci pro ochranu osobních údajů a správci pro ochranu osobních údajů, , kteří jsou jmenováni vrcholovými vedoucími pracovníky a slouží jako prostředníci mezi centrálním útvarem pro ochranu osobních údajů společnosti MSD a oblastmi organizace, v nichž pracují.

Naše společnost se bude opírat o zástupce pro oblast odpovědnosti při ochraně osobních údajů, jimž se podle právních předpisů pravidelně, a bude si ověřovat své dodržování požadavků této směrnice a těchto právních předpisů (včetně systému APEC CBPR).

Kromě kontrol řízených centrálním útvarem pro ochranu osobních údajů MSD budou provádět kontroly dodržování předpisů týmy interních a externích auditů a kontrolní týmy s cílem ověřit, že společnost MSD dodržuje tuto směrnici včetně všech dalších směrnic, postupů, standardů a pokynů, které jsou této směrnici podřízeny. Budou vytvořeny a zavedeny nápravné a preventivní akční plány k řešení nedostatků zjištěných týmy auditu a kontrolními týmy. Výsledky programu auditu budou sděleny řediteli pro ochranu osobních údajů, který je odpovědný za jejich vykazování tak, jak je popsáno v této směrnici.

Orgány působící v oblasti ochrany osobních údajů a ochrany dat,které tuto směrnici schválily nebo pod jejichž jurisdikci postupy naší společnosti podle této směrnice spadají, mají právo prověřovat její dodržování. Budeme respektovat rady těchto kompetentních orgánů ohledně interpretace a používání této směrnice.

Pojmy, které musíte znát

• Anonymizovaný. Pozměnění, zkrácení, smazání nebo jiná úprava nebo změna osobních údajů tak, aby je nevratně nebylo možné použít k identifikaci, vyhledání nebo kontaktování jednotlivce, a to buď samostatně, nebo v kombinaci s dalšími informacemi.
• Právní předpisy. Veškeré platné zákony, pravidla, předpisy a stanoviska, která mají účinnost zákona v kterékoli zemi, v níž naše společnost působí nebo v níž jsou osobní údaje naší společností nebo jejím jménem zpracovávány. Patří sem veškeré právní rámce v oblasti ochrany údajů a soukromí, podle nichž naše společnost získala schválení nebo certifikaci, včetně podmínek systému Asijsko-tichomořské hospodářské spolupráce („APEC“)Cross-Border Privacy Rules (pravidel pro přeshraniční ochranu osobních údajů, „CBPR“), štítu na ochranu soukromí EU–USA (Privacy Shield) a štítu na ochranu soukromí USA–Švýcarsko – v rámci vyšetřovacích a prosazovacích pravomocí Federální obchodní komise USA (U.S. Federal Trade Commission).
• Naše společnost. Merck & Co., Inc. (Rahway, NJ, USA), její právní nástupci, dceřiné společnosti a divize po celém světě, s výjimkou společných podniků, v nichž je naše společnost smluvní stranou.
• Osobní údaje. Veškeré údaje týkající se osoby, jejíž totožnost je nebo může být identifikována, a to včetně údajů, které osobu identifikují nebo by mohly být použity k identifikaci, lokalizaci, sledování nebo kontaktování dané osoby. Do osobních údajů patří jak údaje umožňující přímou identifikaci (například jméno, identifikační číslo nebo jedinečný název pracovní pozice), tak i údaje umožňující nepřímou identifikaci (například datum narození, jedinečný identifikátor mobilního nebo nositelného zařízení, telefonní číslo nebo údaje vyjádřené formou kódu a online identifikátory, jako jsou IP adresy).
• Incident v oblasti ochrany osobních údajů. Porušení této směrnice nebo zákona o ochraně osobních údajů nebo dat, zahrnuje bezpečnostní incident. Stanovení toho, zda k incidentu v oblasti ochrany osobních údajů došlo a zda se jedná o podstatné porušení, provádí centrální útvar pro ochranu osobních údajů společnosti MSD, oddělení zabezpečení a řízení rizik informačních technologií (Information Technology Risk Management and Security, ITRMS) a kancelář hlavního právníka.
• Zpracování. Provedení jakéhokoli úkonu nebo souboru úkonů s informacemi o lidech, ať už pomocí automatizovaných nástrojů, nebo bez nich, mimo jiné včetně shromažďování, zaznamenávání, uspořádávání, uchovávání, přístupu, úpravy, pozměňování, vyhledávání, konzultace, použití, vyhodnocení, analýzy, podávání zpráv, sdílení, zveřejňování, šíření, přenosu, zpřístupnění, srovnávání, kombinování, blokování, zrušení, vymazání nebo zničení.
• Bezpečnostní incident. Porušení zabezpečení vedoucí k náhodnému nebo nezákonnému zničení, ztrátě, pozměnění, neoprávněnému zveřejnění nebo přístupu k osobním údajům nebo naše důvodné podezření, že k tomuto došlo. Přístup k osobním údajům ze strany naší společnosti nebo jejím jménem bez záměru porušit tuto směrnici nepředstavuje bezpečnostní incident za předpokladu, že osobní údaje, ke kterým je přistupováno, jsou dále používány a zveřejňovány výhradně tak, jak povoluje tato směrnice.
• Citlivé informace. Jakýkoli typ informací o lidech, který s sebou nese neoddělitelně spjaté riziko potenciální škody jednotlivcům, včetně informací, které jsou právními předpisy definovány jako citlivé, mimo jiné včetně informací týkajících se zdravotního stavu, genetiky, biometrie, rasy, etnického původu, náboženství, politických či filozofických názorů nebo přesvědčení, případné dřívější trestné činnosti, přesných informací o zeměpisné poloze, čísel bankovních nebo jiných finančních účtů, státem vydaných identifikačních čísel, dětí, které jsou nezletilé, sexuálního života, sexuální orientace, členství v odborech, pojištění, sociálního zabezpečení a dalších výhod poskytovaných zaměstnavatelem nebo státem.
• Třetí strana. Jakákoli právnická osoba, asociace nebo osoba, kterou naše společnost nevlastní nebo v níž nemá kontrolní balík akcií nebo kterou naše společnost nezaměstnává. Vyjma toho, co je v této směrnici výslovně stanoveno, nebude od žádné naší dceřiné společnosti nebo divize naší společnosti vyžadováno, aby plnila požadavky třetí strany podle této směrnice, protože je podle této směrnice od všech dceřiných společností nebo divizí vyžadováno, aby zpracovávaly informace o lidech v souladu s touto směrnicí, včetně situace, kdy jedna z našich dceřiných společností poskytuje při zpracování podporu jedné nebo více dceřiným společnostem.

Změny této směrnice

Tato směrnice může být příležitostně novelizována v souladu s požadavky platných právních předpisů. Kdykoli bude tato směrnice podstatným způsobem pozměněna, bude na webových stránkách naší společnosti věnovaných ochraně osobních údajů (https://www.msdprivacy.com) vyvěšeno po dobu 60 dní příslušné oznámení.