worldwide

worldwide

Merck & Co., Inc., Rahway, NJ, USA, jonka kauppanimi on MSD Yhdysvaltojen ja Kanadan ulkopuolella ja johon kuuluvat muun muassa seuraavat yritykset: Merck Sharp & Dohme LLC ja Intervet, Inc.; tehtävämme pelastaa henkiä ja parantaa elämänlaatua ulottuu yksityisyyden kunnioittamiseen ja henkilötietojen suojaamiseen.

Tarkistuspäivämäärä: 01 syyskuuta 2023
Voimaantulopäivä: 01 syyskuuta 2023

Pyrimme harjoittamaan liiketoimintaamme tietosuoja-arvojemme mukaisesti, koska uskomme niiden osoittavan vankkumatonta sitoutumista eettisiin ja vastuullisiin käytäntöihin. Tiedostamme, että innovaatiot ja uudet teknologiat aikaansaavat jatkuvia muutoksia riskeissä, odotuksissa ja laeissa, joten noudatamme tietosuojavastuustandardeja ja pyrimme viipymättä sopeuttamaan niiden soveltamistapoja vastauksena muutoksiin.

Tämä toimintapolitiikka määrittelee maailmanlaajuiset standardimme henkilötietojen hallintaan ja suojaukseen yhtiömme toimesta tai puolesta, riippumatta siitä, mistä maasta kyseiset henkilötiedot ovat peräisin tai mihin maahan ne voidaan siirtää. Se kuvaa ydinsitoumuksiamme, jotka tukevat APECin Cross-Border Privacy Rules -sertifiointimme, Euroopan unionissa hyväksyttyjen yrityksiä sitovien sääntöjemme (BCR) noudattamista sekä EU-U.S. Data Privacy Framework (DPF) -ohjelman, UK Extension to DPF -ohjelman ja Swiss-U.S. Data Privacy Framework -ohjelman mukaista itsesertifiointiamme.

Yrityksemme noudattaa EU-U.S. Data Privacy Framework -ohjelmaa, UK Extension to EU-U.S. DPF -ohjelmaa sekä Swiss-U.S. Data Privacy Framework -ohjelmaa, jotka Yhdysvaltain kauppaministeriö on laatinut. Olemme vahvistaneet Yhdysvaltain kauppaministeriölle, että noudatamme EU-U.S. Data Privacy Framework -ohjelman periaatteita (EU-U.S. DPF Principles) Euroopan unionin alueelta vastaanotettujen henkilötietojen käsittelyn osalta tukeutumalla EU-U.S. DPF -ohjelmaan ja Yhdistyneestä kuningaskunnasta vastaanotettujen henkilötietojen käsittelyn osalta tukeutumalla UK Extension to EU-U.S. DPF -ohjelmaan. Olemme vahvistaneet Yhdysvaltain kauppaministeriölle, että noudatamme Swiss-U.S. Data Privacy Framework -ohjelman periaatteita (Swiss-U.S. DPF Principles) Sveitsistä vastaanotettujen henkilötietojen käsittelyn osalta tukeutumalla Swiss-U.S. DPF -ohjelmaan. Jos tämän käytännön ehtojen ja EU-U.S. DPF- ja/tai Swiss-U.S. DPF -periaatteiden välillä on ristiriitaa, periaatteilla on etusija. Saat lisätietoja Data Privacy Framework (DPF) -ohjelmasta ja voit tarkastella sertifikaattiamme osoitteessa https://www.dataprivacyframework.gov/.

Tämä toimintapolitiikka koskee toimintojamme jokaisessa maassa ja kaikkia toimintoja, joihin liittyy henkilötietoja ja joita suoritamme jokaisessa tytäryhtiössä ja toimialaryhmässä (ml. liiketoimintamme oikeudenomistajat), mukaan lukien, mutta niihin rajoittumatta, tutkimuksemme, tuotantomme, kaupalliset toiminnot, yrityksen tukitoiminnot ja terveydenhuoltopalvelut ja -ratkaisut sekä kyseisten toimintojen suorittamiseen tarvittavat tiedonsiirrot, mukaan lukien, mutta niihin rajoittumatta:

  • Tutkimus ja tuotanto: lääketieteellisen ja terveydenhoidollisen innovoinnin tarpeiden ja mahdollisuuksien arviointi; tutkimusten alullepano, hallinta ja rahoitus; tutkijoiden, tieteellisten ja eettisten toimikuntien jäsenten ja liikekumppaneiden arviointi ja palkkaus tutkimustemme ja tuotteidemme kehittelyn tueksi; töihinotto tutkimukseen; tutkimuksellisten ja markkinoitujen tuotteidemme turvallisuuden, tehokkuuden ja laadun arviointi; tuoteturvallisuus- ja tuotteiden laatuvelvoitteidemme täyttäminen, mukaan lukien käsittely ja haittavaikutusten ja tuotelaatuvirheiden raportointi; hyväksynnän hakeminen tuotteillemme terveysviranomaisilta ja niiden viranomaisrekisteröinti; ja asiaankuuluvien laillisten, sääntömääräisten tai eettisten vaatimusten noudattaminen;
  • Kaupalliset toiminnot: tuotteidemme markkinoiden arviointi; tuotteidemme mainonta, markkinointi, myynti, jakelu ja toimitus; viestintä ja vuorovaikutus terveydenhoidon ammattiasiakkaiden, terveydenhoidon maksajien, potilaiden ja muiden tuotteidemme loppukäyttäjien sekä tuotteidemme käyttäjien huoltajien kanssa; tapahtumien rahoittaminen ja järjestäminen; liikekumppaneiden arviointi ja palkkaus kaupallisten toimintojemme tueksi; ja asiaankuuluvien laillisten, sääntömääräisten tai eettisten vaatimusten noudattaminen;
  • Yrityksen tuki: työntekijöiden rekrytointi, palkkaus, hallinta, kehittäminen, heidän kanssaan viestiminen ja korvausten maksaminen heille; etujen antaminen työntekijöille ja heidän huollettavilleen; työntekijöiden suoritteen ja kykyjen arvioinnin suorittaminen; koulutuksen ja muiden oppimis- ja kehittymisohjelmien tarjoaminen; työntekijöiden kurinpidolliset menettelyt ja heidän valitustensa käsittely; eettisten ja tietosuoja-asioiden hallinta ja tutkimusten suorittaminen; fyysisten ja virtuaalisten varojemme ja infrastruktuurimme hallinta ja turvaaminen; tavaroiden ja palvelujen hankinta ja niistä maksaminen; ympäristö-, terveys- ja turvallisuus- ja muiden yrityksemme vastuusitoumusten täyttäminen; vuorovaikutus median kanssa; ja asiaankuuluvien laillisten, sääntömääräisten tai eettisten vaatimusten noudattaminen.

Tämä toimintapolitikka koskee myös kaikkia henkilöitä, joiden tietoja käsittelemme, mukaan lukien, mutta heihin rajoittumatta, terveydenhoidon ammattilaiset ja muut asiakkaamme; mahdolliset, nykyiset ja entiset työntekijämme ja heidän huollettavansa, potilaat, huoltajat, tutkijat ja tutkimuksiin osallistujat, tieteellisen ja eettisen toimikunnan jäsenet, liikekumppanit, sijoittajat ja osakkaat, valtion virkamiehet ja muut sidosryhmät.

Kaikilla yhtiön työntekijöillä ja ylemmillä johtajilla on keskeiset tietosuojavastuut, jotka heidän on täytettävä.

Tiedostamme, että henkilöiden tietojen suojaukseen liittyvät tahattomat virheet ja virhearviot voivat aiheuttaa tietosuojariskejä henkilöille ja maine-, toiminta-, talous- ja vaatimustenmukaisuusriskejä yhtiöllemme. Tarjoamme asianmukaista koulutusta tämän toimintapolitiikan suhteen kaikille työntekijöille ja muulle henkilöstölle, joilla on pysyvä tai säännöllinen pääsy henkilötietoihin, jotka osallistuvat tietojen keruuseen tai kehittävät työkaluja henkilötietojen käsittelyyn. Jokainen yhtiömme työntekijä ja muut, jotka käsittelevät henkilötietoja yhtiöllemme, ovat vastuussa siitä, että he ymmärtävät ja täyttävät tämän toimintapolitiikan ja sovellettavien lakien mukaiset velvoitteensa.

Tietosuoja-arvomme ja -standardimme

Noudatamme tietosuoja-arvojamme kaikessa ihmisiin liittyvässä toiminnassamme, mukaan lukien tavat, joilla sovellamme tietosuojastandardejamme. Neljä tietosuoja-arvoamme ovat:

Kunnioitus

Luottamus

Vahingon ehkäiseminen

Vaatimustenmukaisuus

Tiedostamme, että tietosuoja-asiat liittyvät usein olemuksemme ytimeen, siihen, kuinka katsomme maailmaa ja kuinka määrittelemme itsemme, joten pyrimme kunnioittamaan yksilöiden ja yhteisöjen näkökantoja ja etuja ja olemaan reiluja ja avoimia siinä, kuinka käytämme ja jaamme tietoja heistä tai niistä.

Tiedämme, että luottamus on elintärkeä menestyksellemme, joten pyrimme rakentamaan ja säilyttämään asiakkaidemme, työntekijöidemme, potilaidemme ja muiden sidosryhmiemme luottamuksen tavalla, jolla kunnioitamme yksityisyyttä ja suojaamme tietoja ihmisistä.

Ymmärrämme, että ihmisiä koskevien tietojen väärinkäyttö voi tuottaa sekä aineellisia että aineettomia vahinkoja henkilöille, joten pyrimme ehkäisemään fyysisiä, taloudellisia, maineeseen liittyviä ja muun tyyppisiä tietosuojavahinkoja henkilöille.

Olemme oppineet, etteivät lait ja määräykset aina pysy tekniikoiden, tiedonkulun ja niihin liittyvien tietosuojariskien ja odotusten nopean muutoksen mukana, joten pyrimme noudattamaan sekä yksityisyys- ja tietosuojalakien ja -määräysten henkeä että kirjainta tavalla, joka edistää maailmanlaajuisten liiketoimintojemme johdonmukaisuutta ja toimintatehokkuutta.

  1. Sisällytämme tietosuojastandardimme kaikkiin henkilötietoja käsitteleviin toimintoihin, prosesseihin, tekniikkoihin ja suhteisiin kolmansien osapuolten kanssa. Rakennamme prosesseihimme ja tekniikkoihimme tietosuojavalvonnan, joka on yhdenmukainen tietosuoja-arvojemme ja -standardiemme ja sovellettavan lain kanssa. Alla esitetyt kahdeksan tietosuojaperiaatettamme tiivistävät ylätasolla tietosuojastandardimme ja keskeiset vaatimuksemme prosesseille, toiminnoille ja niitä tukeville tekniikoille.

    Tietosuojaperiaate

    Keskeiset sitoumuksemme

    1. Tarve – Ennen henkilötietojen keräämistä, käyttämistä tai jakamista määrittelemme ja dokumentoimme nimenomaiset, perustellut liiketarkoitukset, joihin niitä tarvitaan.

    • Määrittelemme ja dokumentoimme, kuinka kauan henkilötietoja tarvitaan määriteltyihin liiketarkoituksiin sekä sovellettavan lain vaatimusten täyttämiseksi.
    • Emme kerää, käytä tai jaa enempää henkilötietoja kuin on tarpeen tai säilytä niitä tunnistettavassa muodossa pidempään kuin on tarpeen määriteltyihin liiketarkoituksiin sekä sovellettavan lain vaatimusten täyttämiseksi.
    • Anonymisoimme tiedot, kun liiketoiminnalliset vaatimukset edellyttävät, että tiedot toiminnasta tai prosessista säilytetään pidemmän aikaa.
    • Varmistamme, että nämä tarvevaatimukset sisällytetään teknologiaratkaisuihin ja että ne ilmoitetaan toimintaa tai prosessia tukeville kolmansille osapuolille.

    2. Reiluus – Emme käsittele henkilötietoja tavoilla, jotka ovat epäreiluja ihmisille, joita tiedot koskevat.

    • Määrittelemme, tuottaako ehdotettu henkilötietojen keruu, käyttö tai muu käsittely aineellisen tai aineettoman vahingon todennäköisen ja/tai vakavan riskin henkilöille, tietosuoja-arvomme vahingon ehkäiseminen mukaisesti.
    • Jos tietojen luonne, ihmistyypit tai toiminta tuottaa aineellisen tai aineettoman vahingon todennäköisen ja/tai vakavan riskin henkilöille, varmistamme, että vastaava hyöty niille henkilöille tai meidän tehtävällemme pelastaa ja parantaa ihmishenkiä on vahinkoriskiä suurempi ja toteuttamamme toimenpiteet, suojatoimet ja mekanismit lieventävät riskiä.
    • Jos riski vaikuttaa olevan henkilöille hyötyjä suurempi, sovellamme uusimpia tietoturva- ja suojausmekanismeja, ilmoitamme asiasta kyseisille henkilöille ja pyydämme neuvoa toimivaltaiselta sääntelyviranomaiselta, kun se on mahdollista.
    • Käsittelemme arkaluonteisia tietoja tai henkilötietoja vain henkilöiden nimenomaisella suostumuksella tai sovellettavan lain nimenomaisesti vaatimalla tai sallimalla tavalla.
    • Jos riski vaikuttaa olevan henkilöille hyötyjä suurempi, dokumentoimme riskianalyysin ja rakennamme tarpeelliset mekanismit vähentääksemme riskejä mahdollisimman paljon.

    3. Avoimuus – Emme käsittele henkilötietoja tavoilla tai tarkoituksiin, jotka eivät ole avoimia.

    • Kaikilla henkilöillä, joiden henkilötietoja käsitellään tämän toimintapolitiikan mukaisesti, on oikeus kopioon tästä toimintapolitiikasta. Tämä toimintapolitiikka on saatavilla verkossa osoitteessa https://www.msdprivacy.com/index.html. Global Privacy Office -organisaatio toimittaa sähköisiä ja/tai paperikopioita tästä toimintapolitiikasta. Pyynnöt voi toimittaa alla lueteltuihin osoitteisiin.
    • Kun henkilötiedot kerätään suoraan henkilöiltä, ilmoitamme heille ennen tietojen keräämistä ja selkeällä, näkyvällä ja helposti tarkistettavissa olevalla tietosuojailmoituksella tai vastaavalla tavalla (1) yhtiön yhteisön tai yhteisöt, jotka vastaavat käsittelystä, (2) tietosuojavaltuutettumme ja/tai alueellisen/paikallisen tietosuojavastaavan yhteystiedot, (3) kerättävät tiedot, (4) niiden käyttötarkoitukset, (5) tietojen käsittelyn lailliset perusteet, (6) sen, keille ne jaetaan, mukaan lukien vaatimukset luovuttaa henkilötietoja vastauksena valtion viranomaisten laillisiin pyyntöihin, (7) jos ja kuinka siirrämme henkilötietoja muihin maihin, mukaan lukien tiedon kyseisistä maista, jos mahdollista, (8) kuinka kauan niitä säilytetään tai kriteerit, joiden perusteella tämä määritetään, (9) kuinka he voivat esittää kysymyksiä, esittää huolenaiheitaan tai käyttää henkilötietoihinsa liittyviä oikeuksiaan, (10) kuinka he voivat peruuttaa suostumuksensa, (11) heidän oikeutensa tehdä valitus valvontaviranomaiselle, (12) velvollisuudet luovuttaa henkilötietoja ja seuraukset niiden luovuttamatta jättämisestä, (13) automaattisesti tekemämme päätökset, mukaan lukien profilointi, ja (14) linkin tähän käytäntöön, kun se on mahdollista ja asianmukaista. Monia sidosryhmiämme koskevat kattavat tietosuojailmoituksemme ovat saatavilla verkossa osoitteessa http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html
    • Kun henkilötietoja hankitaan havainnoimalla, ilmaisimilla tai muilla epäsuorilla tavoilla, ei ehkä ole mahdollista toimittaa tietosuojailmoitusta suoraan henkilölle tietojen keräämisen yhteydessä. Tällaisissa tapauksissa varmistamme avoimuuden henkilölle toisin tavoin, kuten lähetettynä tai tulostettuna laitteelle tai tiedot hankkivaan laitteeseen liitettynä aineistona.
    • Kun henkilötiedot kerätään verkkosivuston, mobiilisovelluksen tai muun verkkosovelluksen tai -resurssin kautta, sovellamme Internet-tietosuojakäytännössämme ja Evästeiden tietosuojasitoumuksessamme esitettyjä tekniikkakohtaisia standardeja varmistaaksemme, että tämän käytännön mukaiset avoimuusvaatimukset täyttyvät.
    • Kun henkilötietoja kerätään muista lähteistä eikä nimenomaisesti yhtiömme ohjauksessa, varmistamme ennen tietojen hankkimista kirjallisesti, että tietojen tarjoaja on kertonut henkilöille tavoista, joilla ja tarkoituksista, joihin yhtiömme aikoo käyttää tietoja. Ellei tietojen tarjoajalta voida saada kirjallista varmistusta, käytämme vain anonymisoituja tietoja, tai ennen henkilötietojen käyttämistä ilmoitamme asianosaisille henkilöille tietosuojailmoituksella tai vastaavalla tavalla (1) yhtiön yhteisön tai yhteisöt, jotka vastaavat käsittelystä, (2) tietosuojavaltuutettumme ja/tai alueellisen/paikallisen tietosuojavastaavan yhteystiedot, (3) mitä tietoja yhtiömme aikoo käyttää, (4) käyttötarkoitukset, joihin yhtiömme aikoo käyttää niitä, (5) tietojen käsittelyn lailliset perusteet, (6) sen, keille yhtiömme aikoo jakaa ne, (7) jos ja kuinka siirrämme henkilötietoja muihin maihin, mukaan lukien tiedon kyseisistä maista, jos mahdollista, (8) kuinka kauan niitä säilytetään tai kriteerit, joiden perusteella tämä määritetään, (9) kuinka he voivat esittää kysymyksiä, esittää huolenaiheitaan tai käyttää henkilötietoihinsa liittyviä oikeuksiaan, (10) kuinka he voivat peruuttaa antamansa suostumuksen, (11) heidän oikeutensa tehdä valitus valvontaviranomaiselle, (12) velvollisuudet luovuttaa henkilötietoja ja seuraukset niiden luovuttamatta jättämisestä, (13) automaattisesti tekemämme päätökset, mukaan lukien profilointi, ja (14) linkin tähän käytäntöön, kun se on mahdollista ja asianmukaista.
    • Varmistamme, että tarvittavat avoimuusmekanismit, mukaan lukien, kun se on mahdollista, oikeussuojapyyntöjä tukevat mekanismit, sisällytetään tukeviin tekniikkoihin ja että toimintaa tai prosessia tukevat kolmannet osapuolet eivät käsittele henkilötietoja tavoilla, jotka ovat ristiriidassa sen kanssa, mitä henkilöille on kerrottu tietosuojailmoituksella tai muulla todistettavalla tavalla siitä, mitä me ja muut meille työskentelevät tekevät tiedoilla.
    • Kun pyydämme suostumusta, hankimme ja dokumentoimme todisteet suostumuksesta tukeviin tekniikkoihimme.

    4. Käyttötarkoituksen rajoitus – Käytämme henkilötietoja tarve- ja avoimuusperiaatteiden mukaisesti.

    • Jos aiemmin kerätyille henkilötiedoille löydetään perusteltuja liiketoimintatarkoituksia, joko hankimme yksilön suostumuksen henkilötietojen uuteen käyttöön tai varmistamme, että uusi liiketoimintatarkoitus on yhteensopiva ja olennaisesti samankaltainen kuin aiemmin henkilölle annetussa tietosuojailmoituksessa tai muussa avoimuusmekanismissa. Määritämme yhteensopivuuden perustuen (1) yhteyteen alkuperäisten tarkoitusten ja ehdotetun uuden tarkoituksen välillä, (2) yksilön kohtuullisiin odotuksiin, (3) henkilötietojen luonteeseen, (4) jatkokäsittelyn seurauksiin yksilölle ja (5) toteuttamiimme suojatoimiin.
    • Emme sovella tätä periaatetta anonymisoituihin tietoihin tai käyttäessämme henkilötietoja ainoastaan historiallisiin ja tieteellisiin tutkimustarkoituksiin ja (1) eettinen arviointitoimikunta tai muu pätevä arvioija on päättänyt, että tällaisen käytön riski yksityisyydelle ja muille yksilön oikeuksille on hyväksyttävä, (2) olemme toteuttaneet asianmukaiset suojatoimet takaamaan tietojen minimoinnin, (3) henkilötiedot pseudonymisoidaan ja (4) kaikkia muita sovellettavia lakeja kunnioitetaan.
    • Varmistamme, että käyttötarkoituksen rajoitukset sisällytetään tukevaan tekniikkaan, mukaan lukien raportointitoiminnot ja tietojen jakaminen jatkokäsittelyyn.

    5. Tietojen laatu – Pidämme henkilötiedot virheettöminä, täydellisinä ja ajantasaisina niiden käyttötarkoituksen mukaisesti.

    • Varmistamme, että tukeviin tekniikkoihin rakennetaan säännölliset tietojen tarkastusmekanismit tietojen virheettömyyden tarkistamiseksi lähde- ja jatkokäsittelyjärjestelmiä vastaan.
    • Varmistamme, että arkaluonteisten tietojen virheettömyys ja ajantasaisuus tarkistetaan ennen niiden käyttöä, arviointia, analyysiä, raportointia tai muuta käsittelyä, joka aiheuttaa epäreiluusriskin ihmisille, jos käytetään virheellisiä tai vanhentuneita tietoja.
    • Yhtiömme tai yhtiöllemme työskentelevien kolmansien osapuolten tehdessä muutoksia henkilötietoihin varmistamme, että muutoksista ilmoitetaan kyseisille henkilöille hyvissä ajoin, kun se on kohtuudella mahdollista.

    6. Turvallisuus – Toteutamme suojatoimenpiteitä henkilötietojen ja arkaluonteisten tietojen suojaamiseksi katoamiselta, väärinkäytöltä ja luvattomalta käytöltä, luovuttamiselta, muuttamiselta tai tuhoamiselta.

    • Olemme toteuttaneet kattavan tietoturvaohjelman ja käytämme tietojen arkaluonteisuuteen ja toiminnan riskitasoon perustuvia turvatarkastuksia, ottaen huomioon nykytekniikan parhaat käytännöt ja toteutuskustannukset. Toiminnalliseen turvasäännöstöömme kuuluvat mm. standardit liiketoiminnan jatkuvuuteen ja katastrofista toipumiseen, salaukseen, käyttäjätietojen ja käyttöoikeuksien hallintaan, tietojen luokitteluun, tietoturvaloukkausten hallintaan, verkon käytön hallintaan, fyysiseen turvallisuuteen ja riskienhallintaan.

    7. Tiedonsiirto – Säilytämme henkilötietojen tietosuojaukset ja olemme vastuussa niistä, kun niitä siirretään muille organisaatioille tai muilta organisaatioille tai valtakunnanrajojen yli.

    (1) Siirrämme henkilötietoja yhtiömme sisällä vain, jos seuraavat vaatimukset täyttyvät:

    • (1) Jakaminen on välttämätöntä sen tarkoituksen täyttämiseksi, johon henkilötietoja alun perin kerättiin tai yhtiön muun oikeutetun intressin vuoksi, ja (2) tarkoitus, jota varten sitä jaetaan ja se, että sitä jaetaan, on yhdenmukainen tietosuojailmoituksen tai muun läpinäkyvyysmekanismin kanssa, joka annettiin yksilölle aiemmin henkilötietojen keräämisen hetkellä ja yksilö antoi tähän suostumuksensa niin vaadittaessa. (3) Jos jokin yhtiömme tytäryhtiöistä toimii ainoastaan toisen tytäryhtiömme puolesta henkilötietojen käsittelyssä, (4) yhtiömme tytäryhtiöt tekevät lain niin vaatiessa sisäisen tietojenkäsittelysopimuksen tämän käytännön periaatteen 8 mukaisesti. (5) Mikäli IT-infrastruktuuri vaatii tällaista siirtoa, edellyttäen, että kaikkiin siirron vaatimustenmukaisuuden vaatimiin tietosuojaa koskeviin ja organisaatiotason toimiin on ryhdytty.

    (2) Siirrämme henkilötietoja tai sallimme kolmansien osapuolten käsitellä niitä vain, jos seuraavat vaatimukset täyttyvät, ja vastaamme sen varmistamisesta, että käyttämämme kolmannet osapuolet täyttävät nämä vaatimukset:

    • Jos kolmannen osapuolen tehtävä on käsitellä henkilötietoja yhtiöllemme tai sen puolesta, ennen henkilötietojen antamista kolmannelle osapuolelle tai kolmannen osapuolen palkkaamista: (1) suoritamme yritystarkastuksen tietosuojan osalta arvioidaksemme kolmannen osapuolen tietosuojakäytännöt ja niihin liittyvät riskit, (2) hankimme sopimukselliset vakuutukset kolmansilta osapuolilta siitä, että; ne käsittelevät henkilötietoja vain yhtiömme ohjeiden ja tämän käytännön mukaisesti (ml. rajoituksetta kaikki kahdeksan tietosuojaperiaatetta ja muut standardit, jotka on esitetty tässä käytännössä, ja sovellettava lainsäädäntö); ne ilmoittavat yhtiöllemme viipymättä kaikista yksityisyyden loukkauksista (ml. tässä käytännössä ja sovellettavassa lainsäädännössä esitettyjen standardien noudattamatta jättäminen), tai turvaloukkauksista ja toimivat korjatakseen viipymättä todennetun loukkauksen alla osiossa 2 esitettyjen yksilön oikeuksien noudattamiseksi; ne eivät ota mukaan toista yhtiötä henkilötietojen käsittelyyn ilman kirjallista lupaamme ja asettamatta sopimusta, joka määrittää vastaavat tietojenkäsittelyvelvollisuudet; ne poistavat tai palauttavat meille kaikki henkilötiedot sen jälkeen, kun ovat lopettaneet palveluiden tarjoamisen meille tai meidän pyynnöstämme; ne sallivat yhtiömme tarkastaa ja valvoa käytäntöjään käsittelyn ajan näiden vaatimusten noudattamisen suhteen. Lisäksi, jos kolmas osapuoli käsittelee henkilötietoja, jotka ovat peräisin maasta tai alueelta, jonka laki rajoittaa henkilötietojen siirtämistä, varmistamme, että siirto kolmannelle osapuolelle täyttää alla kohdassa (3) kuvatut rajat ylittävän tiedonsiirron vaatimukset.
    • Jos kolmannen osapuolen tehtävä on toimittaa henkilötietoja yhtiöllemme, varmistamme ennen henkilötietojen hankkimista kolmannelta osapuolelta, että avoimuusvaatimukset henkilötietojen keruuseen muista lähteistä, eikä nimenomaisesti yhtiömme ohjauksessa, täyttyvät, ja hankimme kolmannelta osapuolelta sopimuksellisen lausunnon, ettei se riko mitään lakia tai loukkaa minkään kolmannen osapuolen oikeuksia tarjoamalla henkilötietoja yhtiöllemme.
    • Jos kolmannen osapuolen tehtävä on vastaanottaa yhtiöltämme tietoja käsittelyyn, joka ei ole nimenomaisesti yhtiömme ohjauksessa, varmistamme ennen tietojen antamista kolmannelle osapuolelle, että tiedot on anonymisoitu, ja hankimme kirjalliset vakuutukset kolmannelta osapuolelta, että se käyttää niitä vain sopimuksessa määriteltyihin liiketarkoituksiin ja sovellettavan lainsäädännön mukaisesti ja että se ei yritä tunnistaa tietoja uudelleen.
    • Jos siirto kolmannelle osapuolelle vaaditaan yksilön tai yhtiön oikeutetun intressin suojaamiseksi, saatamme siirtää tietoja: (1) petoksenestotarkoituksesssa tai yhtiön oikeuksien ja kiinteistöjen suojaamiseksi, (2) työntekijöidemme tai kiinteistössämme olevien kolmansien osapuolten edustajien henkilökohtaisen turvallisuuden suojelemiseksi, ja (3) suojataksemme varojamme korjaavilla turvatoimilla, jos kohtuudella epäilemme, että on tapahtunut laitonta toimintaa tai vakava rikkomus.
    • Jos kolmas osapuoli on yhtiömme hankinnan tai määräysvallan tuottavan osuuden hankinnan kohteena, (1) ennen sopimuksen solmimista kolmannen osapuolen hankkimiseksi tai määräysvallan tuottavan osuuden hankkimiseksi suoritamme yritystarkastuksen tietosuojan osalta arvioidaksemme kyseisen kolmannen osapuolen tietosuojakäytännöt ja kolmannen osapuolen hankintaan tai määräysvallan tuottavan osuuden hankintaan kyseisestä kolmannesta osapuolesta liittyvät riskit ja (2) solmimme tiedonsiirtosopimuksen, joka määrittelee ehdot, joilla henkilötiedot voidaan luovuttaa sekä yhtiömme ja kolmannen osapuolen vastaavat velvoitteet.
    • Jos kolmannen osapuolen tehtävä on hankkia yhtiömme koko liiketoiminta tai osa siitä, ennen henkilötietojen jakamista jonkin yhtiömme liiketoiminnan osan luovutuksen yhteydessä (1) solmimme tiedonsiirtosopimuksen, joka määrittelee ehdot, joilla henkilötietoja voidaan luovuttaa ostajalle, mukaan lukien asianmukaiset henkilötietojen luvallisen käytön rajoitukset ja tässä käytännössä ja sovellettavassa laissa esitetyn standardin noudattaminen, (2) tarkastamme kaikki ihmisiä koskevat tietoelementit ennen jakamista jakamisen edellytysten arvioimiseksi, (3) hankimme suostumuksen henkilötietojen tai arkaluonteisten tietojen jakamiseen tämän käytännön avoimuus- ja käyttötarkoituksen rajoitusperiaatteiden mukaisesti ja (4) vaadimme kolmatta osapuolta ilmoittamaan yhtiöllemme viipymättä asianomaisesta yksityisyyden loukkauksesta, mukaan lukien tässä käytännössä ja sovellettavassa lainsäädännössä esitettyjen standardien noudattamatta jättämisestä, ja toimimaan yhteistyössä todennetun loukkauksen korjaamiseksi viipymättä tai lopettamaan asianomaisten henkilötietojen käsittelyn.

    (3) Siirrämme henkilötietoja valtakunnanrajojen yli, mukaan lukien Amerikan Yhdysvaltoihin, yhtiömme toimesta tai puolesta tämän käytännön mukaisesti. Sovellamme tätä käytäntöä henkilötietojen siirtoon kaikista muista maista tai muilta alueilta, joiden laki rajoittaa henkilötietojen siirtoa, sen lisäksi, että noudatamme kaikkia tällaisten lakien määrittämiä vaatimuksia (mukaan lukien menettelyt, joita edellytetään siirrettäessä tietoja valtionrajojen yli maihin, jossa ei sovelleta samoja tietojenkäsittelykäytäntöjä kuin tietojen alkuperämaassa).

    8. Oikeudellisesti sallittu – Käsittelemme henkilötietoja vain, mikäli sovellettavan lainsäädännön vaatimukset täyttyvät.

    • Muiden seitsemän tietosuojaperiaatteen, samoin kuin alla kuvattujen oikeussuojavaatimusten, tarkoitus on varmistaa, että liiketoimintaamme ympäri maailman koskevien yksityisyys- ja tietosuojalakien vaatimukset täyttyvät, mutta joissakin maissa meidän on täytettävä lisävaatimuksia, joihin kuuluvat, niihin rajoittumatta, seuraavat:
      • 1) Vaadittaessa hankimme erityiset suostumuslomakkeet tietyille henkilötietojen käsittelytavoille, mukaan lukien, mutta niihin rajoittumatta, käsittelyn hyväksyntä yhteistoimintaneuvottelukunnalta ja muilta ammattiliitoilta;
      • 2) Vaadittaessa rekisteröimme henkilötietojen käsittelyn asianmukaisella yksityisyyden tai tietosuojan valvontaviranomaisella tai pyydämme heidän hyväksyntäänsä;
      • 3) Vaadittaessa tarjoamme tässä käytännössä esitettyjä laajemmat oikeudet (mm. käyttö- ja korjausoikeudet);
      • 4) Vaadittaessa rajoitamme henkilötietojen säilytysjaksoja edelleen; ja
      • 5) Vaadittaessa solmimme erityisiä sopimusmääräyksiä sisältäviä sopimuksia, mukaan lukien sopimukset rajat ylittävästä tiedonsiirrosta kolmansille osapuolille.
      • 6) Vaadittaessa julkaisemme henkilötietoja vastauksena viranomaisten esittämiin lainmukaisiin pyyntöihin, muun muassa noudattaaksemme kansallisia turvallisuutta tai lain noudattamista koskevia vaatimuksia.

      Siinä tapauksessa, että tämän käytännön ja sovellettavan lain välillä on ristiriita, enemmän suojausta henkilöille tarjoava normi vallitsee.

  2. Käsittelemme viipymättä oikeussuojapyynnöt tarkistaa, muuttaa, korjata tai poistaa henkilötietoja tai vastustaa omien henkilötietojen käsittelyä, tai harjoittaa muita henkilötietoja koskevia oikeuksia.
    1. Tarkistus, korjaus, poisto ja muut oikeudet – Useimpien niiden maiden lakien mukaan, joissa toimimme, henkilöillä on oikeus tarkistaa omat henkilötietonsa ja muuttaa, korjata tai poistaa virheelliset, epätäydelliset tai vanhentuneet henkilötiedot. Hyväksymme kaikki pyynnöt tarkistaa, korjata ja poistaa omat henkilötiedot alla olevan osion 3a mukaisesti. Jos sovellettava laki, joka antaa henkilöille paremman suojan, hallitsee tarkistus-, korjaus- tai poistopyyntöä, varmistamme, että tuon lain lisävaatimukset täyttyvät.

      Joissakin maissa yksilöt saattavat olla oikeutettuja muihin omia henkilötietojaan koskeviin oikeuksiin, kuten oikeus rajoittaa käsittelyä, vastustaa käsittelyä (ks. myös osio 2b alla) sekä siirtää tietojaan toiselle palveluntarjoajalle. Kunnioitamme tietoja koskevia oikeuksia sovellettavien lakien mukaisesti. Muiden säännösten vaatimukset tai paikallisten vaatimustenmukaisuusraportointivelvoitteiden noudattaminen saattavat rajoittaa joitakin oikeuksia, esimerkiksi tietojen poistamisen osalta, missä tapauksessa ilmoitamme sinulle tarvittaessa näistä rajoituksista.

    2. Valinta – Tietosuoja-arvojemme kunnioituksen ja luottamuksen mukaisesti hyväksymme henkilöiden pyynnöt vastustaa henkilötietojen käsittelyä, mukaan lukien, mutta niihin rajoittumatta, kieltäytyminen osallistumasta ohjelmiin tai toimintoihin, joihin he aiemmin suostuivat osallistumaan, henkilötietojen käsittely suoramarkkinointiviestintää varten, henkilötietojen perusteella kohdistettu viestintä ja kaikki henkilöä koskeva arviointi tai päätöksenteko, joka voi vaikuttaa henkilöön merkittävästi ja joka on tehty käyttämällä automaatiota tai algoritmeja.
      1. Paitsi lain sen kieltäessä voimme kieltää valinnan, jos tietty valintapyyntö estäisi yhtiötämme: (1) noudattamasta jotain lakia tai eettistä velvoitetta, mukaan lukien tilanne, jossa olemme velvoitettuja paljastamaan henkilötietoja vastauksena viranomaisten esittämiin lainmukaisiin pyyntöihin, muun muassa noudattaaksemme kansallisia turvallisuutta tai lain noudattamista koskevia vaatimuksia (2) tutkimasta, tekemästä tai puolustamasta oikeusvaateita ja (3) suorittamasta urakoita, hallinnoimasta suhteita tai ryhtymästä muihin sallittuihin liiketoimintoihin, jotka ovat yhtäpitäviä avoimuus- ja käyttötarkoituksen rajoitusperiaatteiden kanssa ja joihin on ryhdytty luottaen tietoihin kyseisistä henkilöistä. Dokumentoimme päätöksen kieltää tämän käytännön mukainen valintapyyntö ja ilmoitamme siitä pyytäjälle viidentoista arkipäivän kuluessa päätöksestä.
  3. Vastaamme viipymättä kaikkiin yksityisyyteen liittyviin kysymyksiin, valituksiin, huolenaiheisiin ja mahdollisiin yksityisyyden loukkauksiin tai turvaloukkauksiin ja annamme ne ylemmän tahon käsiteltäviksi.
    1. Jokainen henkilö, jonka henkilötietoja käsittelemme tämän käytännön puitteissa, voi esittää kysymyksiä, valituksia tai huolenaiheita yhtiöllemme milloin tahansa, mukaan lukien luettelopyyntö kaikista yhtiömme tytäryhtiöistä, joita tämä käytäntö koskee. Odotamme työntekijöidemme ja muiden yhtiömme puolesta työskentelevien henkilöiden ilmoittavan viipymättä, jos heillä on syytä uskoa, että jokin sovellettava laki voi estää heitä noudattamasta tätä käytäntöä. Kaikki jonkun henkilön esittämät kysymykset, valitukset tai huolenaiheet tai työntekijän tai muun yhtiömme puolesta työskentelevien henkilön tekemä ilmoitus tulee osoittaa Global Privacy Office -organisaatiolle:
      1. Jos kyseinen henkilö asuu Euroopan talousalueella (ETA), sähköpostitse osoitteeseen: euprivacydpo@msd.com
      2. Muussa tapauksessa sähköpostitse osoitteeseen: msd_privacy_office@msd.com
      3. Postitse osoitteeseen: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
    2. Työntekijöiden ja vuokratyöntekijöiden on ilmoitettava viipymättä Global Privacy Office -organisaatiolle tai liiketoiminta-alueelleen nimitetylle tietosuojaedustajalle yhtiömme tietosuojakäytäntöihin liittyvistä kysymyksistä, valituksista tai huolenaiheista.
    3. Global Privacy Office -organisaatio arvioi ja tutkii tai yhdessä etiikkatoimiston, lakiosaston ja/tai valvontaosaston kanssa kaikki yhtiömme tietosuojakäytäntöihin liittyvät kysymykset, valitukset tai huolenaiheet, olipa ne saatu suoraan työntekijöiltä tai muilta henkilöiltä tai kolmansien osapuolten kautta, mukaan lukien, mutta niihin rajoittumatta, sääntelyvirastot, vastuuasiamiehet ja muut valtion viranomaiset. Vastaamme kysymyksen, valituksen tai huolenaiheen yhtiöllemme esittäneelle henkilölle kolmenkymmenen (30) vuorokauden aikana, ellei jokin laki tai kolmannen osapuolen pyytäjä vaadi vastausta lyhyemmässä ajassa tai elleivät olosuhteet, kuten samanaikainen valtiollinen tutkinta, vaadi pidempää ajanjaksoa, missä tapauksessa henkilöpyytäjälle tai kolmannen osapuolen pyytäjälle ilmoitetaan kirjallisesti mahdollisimman pian viiveeseen vaikuttaneiden olosuhteiden yleisestä luonteesta.
    4. Global Privacy Office -organisaatio toimii koordinoidusti yhteistyössä laki- ja valvontaosaston kanssa vastatakseen tietosuojaviranomaisen kyselyyn, tarkastukseen tai tutkintaan.
    5. Sellaisten valitusten tapauksessa, joita ei voida ratkaista yhtiömme ja valituksen esittäneen henkilön kesken, yhtiömme on sopinut osallistuvansa seuraaviin riidanratkaisumenettelyihin valitusten tutkinnassa ja ratkaisemisessa riita-asioiden ratkaisemiseksi tämän käytännön mukaisesti. ETA-alueella asuvat henkilöt tai henkilöt, joiden henkilötiedot ovat ETA:n tietosuojalain alaisia ja siirrettyjä ETA:n ulkopuolelle, voivat kuitenkin aina nojata myös alla olevaan standardiin 3.f.:
      1. Riita-asioissa, jotka liittyvät sellaisten henkilötietojen siirtoon Yhdysvaltoihin, jotka liittyvät henkilöstötoimintoihin ja jotka on kerätty työsuhteen yhteydessä ETA-alueella ja Iso-Britanniassa, yhtiömme sitoutuu myös tekemään yhteistyötä asianmukaisen EU:n ja Yhdistyneen kuningaskunnan tietosuojaviranomaispaneelin kanssa.
      2. Riita-asioissa, jotka liittyvät sellaisten henkilötietojen siirtoon Yhdysvaltoihin, jotka liittyvät henkilöstötoimintoihin ja jotka on kerätty työsuhteen yhteydessä Sveitsissä, yhtiömme sitoutuu myös tekemään yhteistyötä Sveitsin FDPIC:n kanssa.
      3. Henkilötietojen siirtämiseen liittyvissä riita-asioissa, jotka liittyvät yhtiömme Aasian ja Tyynenmeren alueen taloudellisen yhteistyön (”APEC”) rajat ylittävän tietosuojasääntöjen käytännön (”CBPR:t”) noudattamiseen APEC-talouksien välillä, yhtiömme on hyväksynyt riita-asioiden ratkaisijaksi vastuuasiamiehemme BBB National Programsin. Jos haluat lisätietoja osallistumisemme laajuudesta tai haluat lähettää tietosuojatiedustelun BBB National Programsin kautta, napsauta tämän sivun alareunassa olevaa virallista sinettiä.
      4. Riita-asioissa, jotka liittyvät sellaisten henkilötietojen siirtoon, jotka liittyvät muihin kuin henkilöstötoimintoihin EU-U.S. Data Privacy Framework (DPF) -ohjelman, UK Extension to DPF -ohjelman ja Swiss-U.S. Data Privacy Framework -ohjelman kautta, yhtiömme on hyväksynyt riita-asioiden ratkaisijaksi (maksutta) riippumattoman sovittelutahon, joka on BBB National Programsin tarjoama Data Privacy Framework Services. Jos valitustasi ei kuitata vastaanotetuksi ajallaan tai jos valitustasi ei ole käsitelty tyydyttävällä tavalla, saat lisätietoja ja voit tehdä valituksen osoitteessa https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers.
      5. Mikäli EU-U.S. Data Privacy Framework (DPF) -ohjelman, UK Extension to DPF -ohjelman tai Swiss-U.S. Data Privacy Framework -ohjelman alaiset riitatapaukset eivät ratkea tässä osiossa kuvatuin keinoin, yksilöt voivat tietyin ehdoin vedota sitovaan menettelyyn koskien vaateita, jotka eivät ole ratkenneet muilla oikeussuojamekanismeilla. Lisätietoja on osoitteessa: https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2
    6. Kaikilla ETA-alueella asuvilla henkilöillä tai henkilöillä, joiden henkilötiedot ovat ETA:n tietosuojalain alaisia ja siirrettyjä ETA:n ulkopuolelle ja joiden tietoja käsitellään tämän käytännön mukaisesti, on tämän käytännön mukainen oikeus milloin tahansa toimeenpanna tämän käytännön vaatimukset kolmannen osapuolen edunsaajina, mukaan lukien oikeustoimeen ryhtyminen muutoksen hakemiseksi tämän käytännön mukaisten oikeuksiensa loukkaamiseen ja oikeus saada korvaus tällaisesta loukkauksesta aiheutuvista vahingoista (kuten yllä esitetään osiossa 2). ETA-alueella asuvat henkilöt tai henkilöt, joiden henkilötiedot ovat ETA:n tietosuojalain alaisia ja siirrettyjä ETA:n ulkopuolelle (selvyyden vuoksi mukaan lukien Yhdysvaltoihin), voivat tämän käytännön mukaisesti nostaa kanteen tai tehdä valituksen henkilötiedot ETA:n ulkopuolelle siirtänyttä yhtiön sivuliikettä vastaan seuraavasti:
      1. tuomioistuimissa siinä ETA-maassa, josta heidän henkilötietonsa on siirretty,
      2. tuomioistuimissa siinä maassa, josta Euroopan-tietosuojavastaavamme on,
      3. toimivaltaisille tietosuojaviranomaisille (erityisesti siinä jäsenmaassa, jossa ko. henkilö asuu tai työskentelee tai jossa väitetty rikkomus tapahtui), tai
      4. omille tietosuojaviranomaisillemme, jotka ovat avustaneet BCR-sääntöjen luomisessa: Ranskan CNIL.
    7. Yhtiömme vastaa kysymyksen, valituksen tai huolenaiheen yhtiöllemme esittäneelle henkilölle tai yhteisölle kolmenkymmenen (30) vuorokauden aikana, ellei jokin laki tai kolmannen osapuolen pyytäjä vaadi vastausta lyhyemmässä ajassa tai elleivät olosuhteet vaadi pitempää ajanjaksoa, missä tapauksessa henkilöpyytäjälle tai kolmannen osapuolen pyytäjälle ilmoitetaan kirjallisesti.
  4. Olemme vastuussa tietosuoja-arvojemme ja -standardiemme noudattamisesta.
    1. Yhtiömme tytäryhtiö, joka on vastuussa toimesta, joka aiheuttaa toteennäytetyn yksityisyyden loukkauksen tai turvaloukkauksen, on taloudellisessa vastuussa yksityisyyden loukkauksesta tai turvaloukkauksesta aiheutuvan vahingonkorvausvaatimuksen, sakon tai rangaistuksen summasta.
      1. Yhteistyössä Global Privacy Office -organisaation kanssa ja sen ohjauksessa Euroopan tietosuojavastaava on vastuussa sen varmistamisesta, että ryhdytään tarpeellisiin toimiin yhtiömme ETA:n ulkopuolisten tytäryhtiöiden tekemiksi väitettyjen tämän käytännön rikkomusten käsittelemiseksi, jotka vaikuttavat ETA-alueella asuviin henkilöihin tai henkilöihin, joiden henkilötiedot ovat ETA:n tietosuojalain alaisia ja siirrettyjä ETA:n ulkopuolelle. Merck, Sharp & Dohme (Europe) Inc., USA:n sivuliike Belgiassa (”MSD Europe”) vastaa tarpeen vaatiessa sellaisten tämän käytännön rikkomuksista tuomittujen sakkojen, rangaistusten tai vahingonkorvausten maksamisesta, jotka vaikuttavat ETA-alueella asuviin henkilöihin tai henkilöihin, joiden henkilötiedot ovat ETA:n tietosuojalain alaisia ja siirrettyjä ETA:n ulkopuolelle. Global Privacy Office -organisaation ja väitetystä rikkomuksesta vastuussa olevan yhtiömme ETA:n ulkopuolisen tytäryhtiön tuella Euroopan tietosuojavastaava on vastuussa sen osoittamisesta, että yhtiömme ei ole vastuussa väitetystä rikkomuksesta. Kun yhtiömme toinen tytäryhtiö on vastuussa toimesta, joka edellytti sakkoa, rangaistusta tai vahingonkorvausta, tuota tytäryhtiötä voidaan vaatia korvaamaan viipymättä MSD Europelle MSD Europen maksama summa. Jos yhtiömme ETA:n ulkopuolinen tytäryhtiö rikkoo tätä käytäntöä, toimivalta on tuomioistuimilla tai tietosuojaviranomaisilla ETA:n alueella, ja kyseisellä yksilöllä on oikeudet ja keinot henkilötietoja ETA-alueelta pois vienyttä yhtiön tytäryhtiötä vastaan, kuten osiossa 3.f. yllä on määritetty.
      2. Yhteistyössä Global Privacy Office -organisaation kanssa ja sen ohjauksessa Merck Sharp & Dohme LLC on vastuussa sen varmistamisesta, että tarpeellisiin toimiin ryhdytään ETA-alueen ulkopuolella asuviin henkilöihin vaikuttavien tämän käytännön väitettyjen rikkomusten käsittelemiseksi ja, mikäli tarpeen, ETA-alueen ulkopuolella asuviin henkilöihin tai henkilöihin, joiden henkilötiedot eivät ole ETA:n tietosuojalain alaisia, vaikuttavista tämän käytännön rikkomuksista tuomittujen sakkojen, rangaistusten tai vahingonkorvausten maksamiseksi. Kun yhtiömme toinen tytäryhtiö on vastuussa toimesta, joka edellytti sakkoa, rangaistusta tai vahingonkorvausta, tuota tytäryhtiötä voidaan vaatia korvaamaan viipymättä Merck Sharp & Dohme LLC:lle Merck Sharp & Dohme LLC:n maksama summa.

Valvonta ja seuranta

Sääntelyviranomaisten ja muiden sidosryhmien vakuuttamiseksi siitä, että yhtiömme vastaa sitoumuksestaan eettisiin ja vastuullisiin tietosuojakäytäntöihin, yhtiö ylläpitää kattavaa valvonnan ja seurannan hallintoryhmää, jota johtaa päätietosuojavastaava, jolla on oma Global Privacy Office -organisaatio (GPO), EU-tietosuojavastaava, maakohtaiset tietosuojavastaavat lain ja paikallisten viranomaisten niin vaatiessa, sekä ylempien johtajien nimittämiä tietosuojaedustajia, jotka toimivat Global Privacy Office -organisaation ja sen työskentelyalueiden välisinä yhdyshenkilöinä.

Yhtiö on lain mukaan velvollinen osoittamaan tietosuojatarkastajilleen tämän käytännön ja lakien, mukaan lukien APEC:in CBPR:t, vaatimusten noudattamisensa.

Global Privacy Office -organisaatio hallitsemien varmistustarkastusten lisäksi sisäinen ja ulkoinen tarkastus- ja varmistustiimi tekevät tarkastuksia sen varmistamiseksi, että yhtiö noudattaa tätä käytäntöä, mukaan lukien tähän käytäntöön kenties sisältyvät muut käytännöt, menettelytavat, standardit ja ohjeet. Korjaavia ja ennaltaehkäiseviä toimintasuunnitelmia kehitetään ja toteutetaan tarkastus- ja varmistustiimien havaitsemien puutteiden käsittelemiseksi. Tarkastusohjelman tulokset toimitetaan päätietosuojavaltuutetulle, vastaavalle tietosuojavastaavalle sekä tietosuojatoimikunnalle, joiden vastuulla on niiden ilmoittaminen tässä käytännössä kuvatulla tavalla.

Tietosuojaviranomaisilla, jotka ovat hyväksyneet tämän toimintapolitiikan tai joilla on toimivalta tähän toimintapolitiikkaan kuuluviin yhtiömme käytäntöihin , on oikeus tarkistaa, että noudatamme sitä. Noudatamme näiden toimivaltaisten viranomaisten neuvoja tämän käytännön tulkinnan ja soveltamisen suhteen.

Termejä, jotka sinun on tunnettava

  • Anonymisoitu. Henkilötietojen muunteleminen, typistäminen, poispyyhkiminen tai muu poistaminen tai muuttaminen niiden tekemiseksi peruuttamattomasti mahdottomiksi käyttää jonkun henkilön yksilöimiseen tai paikantamiseen tai yhteyden ottamiseen häneen, joko yksin tai yhdessä muiden tietojen kanssa.
  • Laki. Kaikki sovellettavat lait, säännöt, määräykset ja kannanotot, joilla on lainvoima jossakin maassa, jossa yhtiömme toimii tai jossa henkilötietoja käsitellään yhtiömme toimesta tai puolesta. Tämä sisältää kaikki tietosuojakehykset, joiden mukaisesti yrityksemme on hyväksytty tai sertifioitu, mukaan lukien EU:n yrityksiä sitovat säännöt (”BCR”), Aasian ja Tyynenmeren alueen taloudellisen yhteistyön (”APEC”) rajat ylittävän tietosuojasääntöjen käytännön (”CBPR”), EU-U.S. Data Privacy Framework (DPF) -ohjelman, UK extension to DPF-ohjelman ja Swiss-U.S. Data Privacy Framework -ohjelman mukaista itsesertifiointiamme – Yhdysvaltain liittovaltion kauppakomission tutkinta- ja täytäntöönpanovaltuuksien nojalla.
  • Yhtiömme. Merck & Co., Inc. (Rahway, NJ, Yhdysvallat), sen oikeudenomistajat, tytäryhtiöt ja toimialaryhmät maailmanlaajuisesti, pois lukien yhteisyritykset, joissa yhtiömme on osapuolena.
  • Henkilötiedot. Kaikki tiedot liittyen tunnistettuun tai tunnistettavaan henkilöön, mukaan lukien tiedot, jotka yksilöivät henkilön tai joita voidaan käyttää jonkun henkilön yksilöimiseen, paikantamiseen tai jäljittämiseen tai yhteyden ottamiseen johonkuhun henkilöön. Henkilötiedot käsittävät sekä suoraan tunnistettavat tiedot, kuten nimi, henkilötunnus tai yksilöllinen työnimike, että välillisesti tunnistettavat tiedot, kuten syntymäaika, yksilöllinen mobiililaitteen tai puettavan laitteen tunniste, puhelinnumero ja avainkoodatut tiedot sekä verkkotunnisteet, kuten IP-osoitteet tai kaikki henkilökohtainen toiminta, käytös tai mieltymykset, joista saatetaan kerätä tietoa palvelujen tai tuotteiden tarjoamista varten.
  • Yksityisyyden loukkaus. Tämän käytännön tai tietosuojalain loukkaus tai rikkomus, mukaan lukien turvaloukkaus. Sen, onko yksityisyyden loukkaus tapahtunut ja onko se merkittävä, määrittelevät Global Privacy Office -organisaatio, tietotekniikan riskienhallinta- ja turvallisuustoimisto (Information Technology Risk Management and Security, ITRMS) ja lakiasiaintoimisto.
  • Käsittely. Toiminnon tai toimintosarjan suorittaminen tiedoille ihmisistä, automaattisin tai muilla keinoin, mukaan lukien, mutta niihin rajoittumatta, keruu, tallennus, järjestäminen, säilytys, tarkistus, mukautus, muuntelu, nouto, tarkastelu, käyttö, arviointi, analyysi, raportointi, jakaminen, luovutus, levitys, lähetys, saataville asettaminen, kohdistus, yhdistely, esto, poisto, poispyyhkiminen tai tuhoaminen.
  • Turvaloukkaus. Turvarikkomus, joka johtaa vahingossa tai luvattomasti henkilötietojen tuhoamiseen, menetykseen, muuttamiseen, luvattomasti luovuttamiseen tai niihin pääsyyn, tai yhtiömme perusteltu epäilys tällaisista tapahtumista. Henkilötietojen tarkastelu yhtiömme toimesta tai puolesta ilman aikomusta loukata tätä käytäntöä ei muodosta turvaloukkausta edellyttäen, että tarkasteltuja henkilötietoja käytetään ja luovutetaan edelleen ainoastaan tämän käytännön sallimalla tavalla.
  • Arkaluonteiset tiedot. Kaikentyyppiset tiedot ihmisistä, joilla on luontainen mahdollisen vahingon riski henkilöille, mukaan lukien tiedot, jotka laki määrittelee arkaluonteiseksi, mukaan lukien, mutta niihin rajoittumatta, terveyteen, perimään, biometrisiin tietoihin, rotuun, etniseen alkuperään, uskontoon, poliittisiin tai filosofisiin mielipiteisiin tai uskomuksiin, rikostaustaan, tarkkoihin maantieteellisiin paikkatietoihin, pankki- tai muihin rahoitustilinumeroihin, valtion myöntämiin henkilötunnuksiin, alaikäisiin lapsiin, sukupuolielämään, seksuaaliseen suuntautumiseen, kytköksiin ammattiliittoihin, vakuutukseen ja sosiaaliturvaan ja muihin työnantajan tai valtion myöntämiin etuihin liittyvät tiedot.
  • Kolmas osapuoli. Oikeussubjekti, yhdistys tai henkilö, jota yhtiömme ei omista tai jossa yhtiöllämme ei ole määräysvallan tuottavaa osuutta tai joka ei ole yhtiömme palveluksessa. Paitsi mitä on nimenomaisesti esitetty tässä toimintapolitiikassa, minkään yhtiömme tytäryhtiön tai toimialaryhmän ei edellytetä täyttävän kolmannen osapuolen vaatimuksia tämän toimintapolitiikan mukaan, koska kaikkien tytäryhtiöiden tai toimialaryhmien edellytetään käsittelevän tietoja ihmisistä tämän toimintapolitiikan mukaan, myös olosuhteissa, joissa jokin yhtiömme tytäryhtiö tukee yhtä tai useampaa yhtiömme tytäryhtiötä käsittelyssä.

Muutokset tähän toimintapolitiikkaan

Tätä toimintaperiaatetta voidaan muuttaa aika ajoin, sovellettavan lain vaatimusten mukaisesti. Ilmoitus laitetaan yhtiömme tietosuojaverkkosivulle (https://www.msdprivacy.com) 60 päivän ajaksi aina, kun tätä toimintaperiaatetta muutetaan olennaisella tavalla.