Merck & Co., Inc.:n (Rahway, NJ, Yhdysvallat), joka tunnetaan nimellä MSD Yhdysvaltain ja Kanadan ulkopuolella, elämän pelastamisen ja parantamisen tehtävä ulottuu yksityisyyden kunnioittamiseen ja henkilötietojen suojaamiseen.
Tarkistuspäivämäärä: 01 toukokuu 2022
Voimaantulopäivä: 01 toukokuu 2022
Pyrimme harjoittamaan liiketoimintaamme yksityisyysarvojemme mukaisesti, koska uskomme niiden osoittavan vankkumatonta sitoutumista eettisiin ja vastuullisiin käytäntöihin. Tiedostamme, että innovaatio ja uusi tekniikka aikaansaavat jatkuvia muutoksia riskeissä, odotuksissa ja laeissa, joten noudatamme tietosuojavastuustandardeja ja pyrimme viipymättä sopeuttamaan niiden soveltamistapoja vastauksena noihin muutoksiin.
Tämä periaate määrittelee maailmanlaajuiset standardimme niiden henkilötietojen hallintaan ja suojaukseen yhtiömme toimesta tai puolesta, jotka ovat suoraan tai välillisesti peräisin jostakin Euroopan talousalueen (”ETA”) maasta, Sveitsistä tai Aasian ja Tyynenmeren alueen taloudellisen yhteistyön (”APEC”) jäsentaloudesta ja siirretään johonkin toiseen maahan, mukaan lukien siirrot ETAn ja APECin välillä. Se kuvaa ydinsitoumuksiamme, jotka tukevat APECin rajat ylittävien tietosuojasääntöjen sertifiointimme, ja Euroopan unionissa hyväksyttyjen yrityksiä sitovien sääntöjemme (BCR) noudattamista sekä Yhdysvaltain ja EU:n välisten Privacy Shield -tietosuojaperiaatteiden vaatimustenmukaisuusvakuutustamme. Se koskee toimintojamme jokaisessa maassa ja kaikkia toimintoja, joihin liittyy henkilötietoja ja joita suoritamme jokaisessa tytäryhtiössä ja toimialaryhmässä (ml. liiketoimintamme oikeudenomistajat), mukaan lukien, mutta niihin rajoittumatta, tutkimuksemme, tuotantomme, kaupalliset toiminnot, yrityksen tukitoiminnot ja terveydenhuoltopalvelut ja -ratkaisut sekä noiden toimintojen suorittamiseen tarvittavat tiedonsiirrot, mukaan lukien, mutta niihin rajoittumatta:
- tutkimus ja tuotanto: lääketieteellisen ja terveydenhoidollisen innovoinnin tarpeiden ja mahdollisuuksien arviointi; tutkijoiden, tieteellisten ja eettisten toimikuntien jäsenten ja liikekumppaneiden arviointi ja palkkaus tutkimustemme ja tuotteidemme kehittelyn tueksi; töihinotto tutkimukseen; tutkimuksellisten ja markkinoitujen tuotteidemme turvallisuuden, tehokkuuden ja laadun arviointi; tuoteturvallisuus- ja tuotteiden laatuvelvoitteidemme täyttäminen, mukaan lukien käsittely ja raportointi haitallisista tapahtumista ja valituksista tuotteiden laadusta; hyväksynnän hakeminen tuotteillemme terveysviranomaisilta ja niiden viranomaisrekisteröinti; ja asiaankuuluvien laillisten, sääntömääräisten tai eettisten vaatimusten noudattaminen;
- kaupalliset toiminnot: tuotteidemme markkinoiden arviointi; tuotteidemme mainonta, markkinointi, myynti, jakelu ja toimitus; viestintä ja vuorovaikutus terveydenhoidon ammattiasiakkaiden, terveydenhoidon maksajien, potilaiden ja muiden tuotteidemme loppukäyttäjien sekä tuotteidemme käyttäjien huoltajien kanssa; tapahtumien rahoittaminen ja järjestäminen; liikekumppaneiden arviointi ja palkkaus kaupallisten toimintojemme tueksi; ja asiaankuuluvien laillisten, sääntömääräisten tai eettisten vaatimusten noudattaminen;
- yrityksen tuki: työntekijöiden palkkaus, vuokraus, hallinta, kehittäminen, heidän kanssaan viestiminen ja korvausten maksaminen heille; etujen antaminen työntekijöille ja heidän huollettavilleen; työntekijöiden suoritteen ja kykyjen arvioinnin suorittaminen; koulutuksen ja muiden oppimis- ja kehittymisohjelmien tarjoaminen; työntekijöiden kurinpidolliset menettelyt ja heidän valitustensa käsittely; eettisten ja tietosuoja-asioiden hallinta ja tutkimusten suorittaminen; fyysisten ja virtuaalisten varojemme ja infrastruktuurimme hallinta ja turvaaminen; tavaroiden ja palvelujen hankinta ja niistä maksaminen; ympäristö-, terveys- ja turvallisuus- ja muiden yrityksemme vastuusitoumusten täyttäminen; vuorovaikutus median kanssa; ja asiaankuuluvien laillisten, sääntömääräisten tai eettisten vaatimusten noudattaminen.
- terveydenhuoltopalvelut ja -ratkaisut: potilaille annetun hoidon arvon parantaminen maailmanlaajuisesti todistepohjaisilla palveluilla ja ratkaisuilla, jotka painottuvat kliinisiin palveluihin, sitoutumisratkaisuihin ja terveysanalytiikkaan.
Tämä toimintaperiaate koskee myös kaikkia henkilöitä, joiden tietoja käsittelemme, mukaan lukien, mutta heihin rajoittumatta, terveydenhoidon ammattilaiset ja muut asiakkaamme; mahdolliset, nykyiset ja entiset työntekijämme ja heidän huollettavansa, potilaat, huoltajat, tutkijat ja tutkimuksiin osallistujat, tieteellisen ja eettisen toimikunnan jäsenet, liikekumppanit, sijoittajat ja osakkaat, valtion virkamiehet ja muut sidosryhmät.
Kaikilla yhtiön työntekijöillä ja ylemmillä johtajilla on keskeiset tietosuojavastuut, jotka heidän on täytettävä.
Tiedostamme, että henkilöiden tietojen suojaukseen liittyvät tahattomat virheet ja virhearviot voivat aiheuttaa tietosuojariskejä henkilöille ja maine-, toiminta-, talous- ja vaatimustenmukaisuusriskejä yhtiöllemme. Tarjoamme asianmukaista koulutusta tämän toimintaperiaatteen suhteen kaikille työntekijöille ja muulle henkilöstölle, joilla on pysyvä tai säännöllinen pääsy henkilötietoihin, jotka osallistuvat tietojen keruuseen tai kehittävät työkaluja henkilötietojen käsittelyyn. Jokainen yhtiömme työntekijä ja muut, jotka käsittelevät henkilötietoja yhtiöllemme, ovat vastuussa siitä, että ymmärtävät ja täyttävät tämän toimintaperiaatteen ja sovellettavien lakien mukaiset velvoitteensa.
Tietosuoja-arvomme ja -standardimme
Noudatamme tietosuoja-arvojamme kaikessa ihmisiin liittyvässä toiminnassamme, mukaan lukien tavat, joilla sovellamme tietosuojastandardejamme. Neljä tietosuoja-arvoamme ovat:
Kunnioitus | Luottamus | Vahingon ehkäiseminen | Vaatimustenmukaisuus |
---|---|---|---|
Tiedostamme, että tietosuoja-asiat liittyvät usein olemuksemme ytimeen, siihen, kuinka katsomme maailmaa ja kuinka määrittelemme itsemme, joten pyrimme kunnioittamaan yksilöiden ja yhteisöjen näkökantoja ja etuja ja olemaan reiluja ja avoimia siinä, kuinka käytämme ja jaamme tietoja heistä tai niistä. | Tiedämme, että luottamus on elintärkeä menestyksellemme, joten pyrimme rakentamaan ja säilyttämään asiakkaidemme, työntekijöidemme, potilaidemme ja muiden sidosryhmiemme luottamuksen tavalla, jolla kunnioitamme yksityisyyttä ja suojaamme tietoja ihmisistä. | Ymmärrämme, että ihmisiä koskevien tietojen väärinkäyttö voi tuottaa sekä aineellisia että aineettomia vahinkoja henkilöille, joten pyrimme ehkäisemään fyysisiä, taloudellisia, maineeseen liittyviä ja muun tyyppisiä tietosuojavahinkoja henkilöille. | Olemme oppineet, etteivät lait ja määräykset aina pysy tekniikoiden, tiedonkulun ja niihin liittyvien tietosuojariskien ja odotusten nopean muutoksen mukana, joten pyrimme noudattamaan sekä yksityisyys- ja tietosuojalakien ja -määräysten henkeä että kirjainta tavalla, joka edistää maailmanlaajuisten liiketoimintojemme johdonmukaisuutta ja toimintatehokkuutta. |
- Sisällytämme tietosuojastandardimme kaikkiin henkilötietoja käsitteleviin toimintoihin, prosesseihin, tekniikkoihin ja suhteisiin kolmansien osapuolten kanssa Rakennamme prosesseihimme ja tekniikkoihimme tietosuojavalvonnan, joka on yhdenmukainen tietosuoja-arvojemme ja -standardiemme ja sovellettavan lain kanssa. Alla esitetyt kahdeksan tietosuojaperiaatettamme tiivistävät tietosuojastandardimme ja keskeiset vaatimuksemme prosesseille, toiminnoille ja niitä tukeville tekniikoille korkealla tasolla.
Tietosuojaperiaate
Keskeiset sitoumuksemme
1. Tarve – Ennen henkilötietojen keräämistä, käyttämistä tai jakamista määrittelemme ja dokumentoimme nimenomaiset, perustellut liiketarkoitukset, joihin niitä tarvitaan.
- Määrittelemme ja dokumentoimme, kuinka kauan henkilötietoja tarvitaan määriteltyihin liiketarkoituksiin sekä sovellettavan lain vaatimusten täyttämiseksi.
- Emme kerää, käytä tai jaa enempää henkilötietoja kuin on tarpeen tai säilytä niitä tunnistettavassa muodossa pidempään kuin on tarpeen määriteltyihin liiketarkoituksiin sekä sovellettavan lain vaatimusten täyttämiseksi.
- Anonymisoimme tiedot, kun liiketoiminnalliset vaatimukset edellyttävät, että tiedot toiminnasta tai prosessista säilytetään pidempään aikaa.
- Varmistamme, että nämä tarvevaatimukset rakennetaan sisään tukevaan tekniikkaan ja että ne ilmoitetaan toimintaa tai prosessia tukeville kolmansille osapuolille.
2. Reiluus – Emme käsittele henkilötietoja tavoilla, jotka ovat epäreiluja ihmisille, joita tiedot koskevat.
- Määrittelemme, tuottaako ehdotettu henkilötietojen keruu, käyttö tai muu käsittely aineellisen tai aineettoman vahingon todennäköisen ja/tai vakavan riskin henkilöille, tietosuoja-arvomme vahingon ehkäiseminen mukaisesti.
- Jos tietojen luonne, ihmistyypit tai toiminta tuottaa luontaisen aineellisen tai aineettoman vahingon todennäköisen ja/tai vakavan riskin henkilöille, varmistamme, että vastaava hyöty niille henkilöille tai meidän tehtävällemme pelastaa ja parantaa ihmishenkiä on vahinkoriskiä suurempi, ja sitä lieventävät toteuttamamme toimenpiteet, suojatoimet ja mekanismit.
- Jos riski vaikuttaa olevan henkilöille hyötyjä suurempi, käsittelemme arkaluonteisia tietoja tai henkilötietoja vain henkilöiden nimenomaisella suostumuksella tai sovellettavan lain nimenomaisesti vaatimalla tai sallimalla tavalla tai toimivaltaisen sääntelyviranomaisen nimenomaisesti valtuuttamalla tavalla.
- Dokumentoimme riskianalyysin ja rakennamme tarpeelliset mekanismit hankkiaksemme ja dokumentoidaksemme todisteet suostumuksesta tukeviin tekniikkoihin.
3. Avoimuus – Emme käsittele henkilötietoja tavoilla tai tarkoituksiin, jotka eivät ole avoimia.
- Kaikilla henkilöillä, joiden henkilötietoja käsitellään tämän toimintaperiaatteen mukaisesti, on oikeus kappaleeseen tästä toimintaperiaatteesta. Asetamme kopioita tästä toimintaperiaatteesta saataville verkkoon osoitteessa www.www.msdprivacy.com. MSD:n maailmanlaajuinen tietosuojatoimisto toimittaa sähköisiä ja/tai paperikopioita tästä toimintaperiaatteesta pyynnöstä alla osiossa 3.a. lueteltuihin osoitteisiin.
- Kun henkilötiedot kerätään suoraan henkilöiltä, ilmoitamme heille ennen tietojen keräämistä ja selkeällä, näkyvällä ja helposti tarkistettavissa olevalla tietosuojailmoituksella tai vastaavalla tavalla (1) yhtiön yhteisön tai yhteisöt, jotka vastaavat käsittelystä, (2) tietosuojavaltuutettumme ja/tai alueellisen/paikallisen tietosuojavastaavan yhteystiedot, (3) kerättävät tiedot, (4) niiden käyttötarkoitukset, (5) tietojen käsittelyn lailliset perusteet, (6) sen, keille ne jaetaan, mukaan lukien vaatimukset luovuttaa henkilötietoja vastauksena valtion viranomaisten laillisiin pyyntöihin, (7) jos ja kuinka siirrämme henkilötietoja muihin maihin, mukaan lukien kyseisiin maihin jos mahdollista, (8) kuinka kauan niitä säilytetään tai kriteerit, joiden perusteella tämä määritetään, (9) kuinka he voivat esittää kysymyksiä, esittää huolenaiheitaan tai käyttää henkilötietoihinsa liittyviä oikeuksiaan, (10) kuinka he voivat peruuttaa suostumuksensa, (11) heidän oikeutensa tehdä valitus valvontaviranomaiselle, (12) velvollisuudet luovuttaa henkilötietoja ja seuraukset niiden luovuttamatta jättämisestä, (13) automaattisesti tekemämme päätökset, mukaan lukien profilointi, ja (14) linkin tähän toimintaperiaatteeseen, missä mahdollista ja asianmukaista.
- Kun henkilötietoja hankitaan havainnoimalla, ilmaisimilla tai muilla epäsuorilla tavoilla, ei ehkä ole mahdollista toimittaa tietosuojailmoitusta suoraan henkilölle tietojen keräämisen yhteydessä. Tällaisissa tapauksissa varmistamme avoimuuden henkilölle toisin tavoin, kuten lähetettynä tai tulostettuna laitteelle tai tiedot hankkivaan laitteeseen liitettynä aineistona.
- Kun henkilötiedot kerätään verkkosivuston, mobiilisovelluksen tai muun verkkosovelluksen tai -resurssin kautta, , sovellamme Internet-tietosuojakäytännössämme ja Evästeiden tietosuojasitoumuksessamme esitettyjä tekniikkakohtaisia standardeja varmistaaksemme, että tämän toimintaperiaatteen mukaiset avoimuusvaatimukset täyttyvät.
- Kun henkilötietoja kerätään muista lähteistä eikä nimenomaisesti yhtiömme ohjauksessa,varmistamme ennen tietojen hankkimista kirjallisesti, että tietojen tarjoaja on kertonut henkilöille tavoista, joilla ja tarkoituksista, joihin yhtiömme aikoo käyttää tietoja. Ellei tietojen tarjoajalta voida saada kirjallista varmistusta, käytämme vain anonymisoituja tietoja, tai ennen henkilötietojen käyttämistä ilmoitamme asianosaisille henkilöille tietosuojailmoituksella tai vastaavalla tavalla (1) yhtiön yhteisön tai yhteisöt, jotka vastaavat käsittelystä, (2) tietosuojavaltuutettumme ja/tai alueellisen/paikallisen tietosuojavastaavan yhteystiedot, (3) mitä tietoja yhtiömme aikoo käyttää, (4) käyttötarkoitukset, joihin yhtiömme aikoo käyttää niitä, (5) tietojen käsittelyn lailliset perusteet, (6) sen, keille yhtiömme aikoo jakaa ne, (7) jos ja kuinka siirrämme henkilötietoja muihin maihin, mukaan lukien kyseisiin maihin jos mahdollista, (8) kuinka kauan niitä säilytetään tai kriteerit, joiden perusteella tämä määritetään, (9) kuinka he voivat esittää kysymyksiä, esittää huolenaiheitaan tai käyttää henkilötietoihinsa liittyviä oikeuksiaan, (10) kuinka he voivat peruuttaa antamansa suostumuksen, (11) heidän oikeutensa tehdä valitus valvontaviranomaiselle, (12) velvollisuudet luovuttaa henkilötietoja ja seuraukset niiden luovuttamatta jättämisestä, (13) automaattisesti tekemämme päätökset, mukaan lukien profilointi, ja (14)linkin tähän toimintaperiaatteeseen, missä mahdollista ja asianmukaista.
- Varmistamme, että tarvittavat avoimuusmekanismit, mukaan lukien, missä mahdollista, oikeussuojapyyntöjä tukevat mekanismit, rakennetaan sisään tukeviin tekniikkoihin ja että toimintaa tai prosessia tukevat kolmannet osapuolet eivät käsittele tietoja henkilötietoja tavoilla, jotka ovat yhtäpitämättömiä sen kanssa, mitä henkilöille on kerrottu tietosuojailmoituksella tai muulla todistettavalla tavalla siitä, mitä me ja muut meille työskentelevät tekevät tiedoilla.
4. Käyttötarkoituksen rajoitus – Käytämme henkilötietoja tarve- ja avoimuusperiaatteiden mukaisesti.
- Jos aiemmin kerätyille henkilötiedoille löydetään perusteltuja liiketarkoituksia, joko hankimme yksilön suostumuksen henkilötietojen uuteen käyttöön tai varmistamme, että uusi liiketarkoitus on yhteensopiva ja olennaisesti samankaltainen kuin aiemmin henkilölle annetussa tietosuojailmoituksessa tai muussa avoimuusmekanismissa. Määritämme yhteensopivuuden perustuen (1) yhteyteen alkuperäisten tarkoitusten ja ehdotetun uuden tarkoituksen välillä, (2) yksilön kohtuullisiin odotuksiin, (3) henkilötietojen luonteeseen, (4) jatkokäsittelyn seurauksiin yksilölle, ja (5) toteuttamiimme suojatoimiin.
- Emme sovella tätä periaatetta anonymisoituihin tietoihin tai käyttäessämme henkilötietoja ainoastaan historiallisiin ja tieteellisiin tutkimustarkoituksiin ja (1) eettinen arviointitoimikunta tai muu pätevä arvioija on päättänyt, että tällaisen käytön riski yksityisyydelle ja muille yksilön oikeuksille on hyväksyttävä, (2) olemme toteuttaneet asianmukaiset suojatoimet takaamaan tietojen minimoinnin, kuten pseudonymisoinnin, ja (3) kaikkia muita sovellettavia lakeja kunnioitetaan.
- Varmistamme, että käyttötarkoituksen rajoitukset rakennetaan sisään tukevaan tekniikkaan, mukaan lukien raportointitoiminnot ja tietojen jakaminen jatkokäsittelyyn.
5. Tietojen laatu – Pidämme henkilötiedot virheettöminä, täydellisinä ja ajantasaisina niiden käyttötarkoituksen mukaisesti.
- Varmistamme, että tukeviin tekniikkoihin rakennetaan säännölliset tietojen tarkastusmekanismit tietojen virheettömyyden tarkistamiseksi lähde- ja jatkokäsittelyjärjestelmiä vastaan.
- Varmistamme, että arkaluonteisten tietojen virheettömyys ja ajantasaisuus tarkistetaan ennen niiden käyttöä, arviointia, analyysiä, raportointia tai muuta käsittelyä, joka aiheuttaa epäreiluusriskin ihmisille, jos käytetään virheellisiä tai vanhentuneita tietoja.
- Yhtiömme tai yhtiöllemme työskentelevien kolmansien osapuolten tehdessä muutoksia henkilötietoihin varmistamme, että näistä muutoksista ilmoitetaan kyseisille henkilöille hyvissä ajoin, missä kohtuudella mahdollista.
6. Turvallisuus – Toteutamme suojatoimenpiteitä henkilötietojen ja arkaluonteisten tietojen suojaamiseksi katoamiselta, väärinkäytöltä ja luvattomalta käytöltä, luovuttamiselta, muuttamiselta tai tuhoamiselta.
- Olemme toteuttaneet kattavan tietoturvaohjelman ja käytämme tietojen arkaluonteisuuteen ja toiminnan riskitasoon perustuvia turvatarkastuksia, ottaen huomioon nykytekniikan parhaat käytännöt ja toteutuskustannukset. Toiminnalliseen turvasäännöstöömme kuuluvat mm. standardit liiketoiminnan jatkuvuuteen ja katastrofista toipumiseen, salaukseen, käyttäjätietojen ja käyttöoikeuksien hallintaan, tietojen luokitteluun, tietoturvaloukkausten hallintaan, verkon käytön hallintaan, fyysiseen turvallisuuteen ja riskienhallintaan.
7. Tiedonsiirto – Säilytämme henkilötietojen tietosuojaukset ja olemme vastuussa niistä, kun niitä siirretään muille organisaatioille tai muilta organisaatioille tai valtakunnanrajojen yli.
(1) Siirrämme henkilötietoja yhtiömme sisällä vain, jos seuraavat vaatimukset täyttyvät:
(1) jakaminen on välttämätöntä sen tarkoituksen täyttämiseksi, johon henkilötietoja alun perin kerättiin tai yhtiön muun oikeutetun intressin vuoksi, ja (2) tarkoitus, jota varten sitä jaetaan ja se, että sitä jaetaan, on yhdenmukainen tietosuojailmoituksen tai muun läpinäkyvyysmekanismin kanssa, joka annettiin yksilölle aiemmin henkilötietojen keräämisen hetkellä ja yksilö antoi tähän suostumuksensa niin vaadittaessa. (3) Jos jokin yhtiömme tytäryhtiöistä toimii ainoastaan toisen tytäryhtiömme puolesta henkilötietojen käsittelyssä, (4) yhtiömme tytäryhtiöt tekevät lain niin vaatiessa sisäisen tietojenkäsittelysopimuksen tämän toimintaperiaatteen periaatteen 8 mukaisesti.(2) Siirrämme henkilötietoja tai sallimme kolmansien osapuolten käsitellä niitä vain, jos seuraavat vaatimukset täyttyvät, ja vastaamme sen varmistamisesta, että käyttämämme kolmannet osapuolet täyttävät nämä vaatimukset:
- Jos kolmannen osapuolen tehtävä on käsitellä henkilötietoja yhtiöllemme tai sen puolesta, ennen henkilötietojen antamista kolmannelle osapuolelle tai kolmannen osapuolen palkkaamista: (1) suoritamme yritystarkastuksen tietosuojan osalta arvioidaksemme kolmannen osapuolen tietosuojakäytännöt ja niihin liittyvät riskit, (2) hankimme sopimukselliset vakuutukset kolmansilta osapuolilta siitä, että; ne käsittelevät henkilötietoja vain yhtiömme ohjeiden ja tämän toimintaperiaatteen mukaisesti (ml. rajoituksetta kaikki kahdeksan tietosuojaperiaatetta ja muut standardit, jotka on esitetty tässä toimintaperiaatteessa, ja sovellettava lainsäädäntö); ne ilmoittavat yhtiöllemme viipymättä kaikista yksityisyyden loukkauksista (ml. tässä toimintaperiaatteessa ja sovellettavassa lainsäädännössä esitettyjen standardien noudattamatta jättäminen), tai turvaloukkauksista ja toimivat korjatakseen viipymättä todennetun loukkauksen alla osiossa 2 esitettyjen yksiön oikeuksien noudattamiseksi; ne eivät ota mukaan toista yhtiötä henkilötietojen käsittelyyn ilman kirjallista lupaamme ja asettamatta sopimusta, joka määrittää vastaavat tietojenkäsittelyvelvollisuudet; ne poistavat tai palauttavat meille kaikki henkilötiedot sen jälkeen, kun ovat lopettaneet palveluiden tarjoamisen meille tai meidän pyynnöstämme; ne sallivat yhtiömme tarkastaa ja valvoa käytäntöjään käsittelyn ajan näiden vaatimusten noudattamisen suhteen. Lisäksi, jos kolmas osapuoli käsittelee henkilötietoja, jotka ovat peräisin maasta tai alueelta, jonka laki rajoittaa henkilötietojen siirtämistä, varmistamme, että siirto kolmannelle osapuolelle täyttää alla kohdassa 3) kuvatut rajat ylittävän tiedonsiirron vaatimukset.
- Jos kolmannen osapuolen tehtävä on toimittaa henkilötietoja yhtiöllemme, varmistamme ennen henkilötietojen hankkimista kolmannelta osapuolelta, että avoimuusvaatimukset henkilötietojen keruuseen muista lähteistä, eikä nimenomaisesti yhtiömme ohjauksessa, täyttyvät, ja hankimme kolmannelta osapuolelta sopimuksellisen lausunnon, ettei se riko mitään lakia tai loukkaa minkään kolmannen osapuolen oikeuksia tarjoamalla henkilötietoja yhtiöllemme.
- Jos kolmannen osapuolen tehtävä on vastaanottaa yhtiöltämme tietoja käsittelyyn, joka ei ole nimenomaisesti yhtiömme ohjauksessa, varmistamme ennen tietojen antamista kolmannelle osapuolelle, että tiedot on anonymisoitu, ja hankimme kirjalliset vakuutukset kolmannelta osapuolelta, että se käyttää niitä vain sopimuksessa määriteltyihin liiketarkoituksiin ja sovellettavan lainsäädännön mukaisesti ja että se ei yritä tunnistaa tietoja uudelleen.
- Jos siirto kolmannelle osapuolelle vaaditaan yksilön tai yhtiön oikeutetun intressin suojaamiseksi, saatamme siirtää tietoja: (1) petoksenestotarkoituksesssa tai yhtiön oikeuksien ja kiinteistöjen suojaamiseksi, (2) työntekijöidemme tai kiinteistössämme olevien kolmansien osapuolten edustajien henkilökohtaisen turvallisuuden suojelemiseksi, ja (3) suojataksemme varojamme korjaavilla turvatoimilla, jos kohtuudella epäilemme, että on tapahtunut laitonta toimintaa tai vakava rikkomus.
- Jos kolmas osapuoli on yhtiömme hankinnan tai määräysvallan tuottavan osuuden hankinnan kohteena, (1) ennen sopimuksen solmimista kolmannen osapuolen hankkimiseksi tai määräysvallan tuottavan osuuden hankkimiseksi suoritamme yritystarkastuksen tietosuojan osalta arvioidaksemme tuon kolmannen osapuolen tietosuojakäytännöt ja tuon kolmannen osapuolen hankintaan tai määräysvallan tuottavan osuuden hankintaan tuosta kolmannesta osapuolesta liittyvät riskit ja (2) solmimme tiedonsiirtosopimuksen, joka määrittelee ehdot, joilla henkilötiedot voidaan luovuttaa, ja yhtiömme ja kolmannen osapuolen vastaavat velvoitteet.
- Jos kolmannen osapuolen tehtävä on hankkia yhtiömme koko liiketoiminta tai osa siitä,, ennen henkilötietojen jakamista jonkin yhtiömme liiketoiminnan osan luovutuksen yhteydessä (1) solmimme tiedonsiirtosopimuksen, joka määrittelee ehdot, joilla henkilötietoja voidaan luovuttaa ostajalle, mukaan lukien asianmukaiset henkilötietojen luvallisen käytön rajoitukset ja tässä toimintaperiaatteessa ja sovellettavassa laissa esitetyn standardin noudattaminen, (2) tarkastamme kaikki ihmisiä koskevat tietoelementit ennen jakamista jakamisen edellytysten arvioimiseksi, (3) hankimme suostumuksen henkilötietojen tai arkaluonteisten tietojen jakamiseen tämän toimintaperiaatteen avoimuus- ja käyttötarkoituksen rajoitusperiaatteiden mukaisesti ja (4) vaadimme kolmatta osapuolta ilmoittamaan yhtiöllemme viipymättä asianomaisesta yksityisyyden loukkauksesta, mukaan lukien tässä toimintaperiaatteessa ja sovellettavassa lainsäädännössä esitettyjen standardien noudattamatta jättämisestä, ja toimimaan yhteistyössä todennetun loukkauksen korjaamiseksi viipymättä tai lopettamaan asianomaisten henkilötietojen käsittelyn.
(3) Siirrämme henkilötietoja valtakunnanrajojen yli, mukaan lukien Amerikan Yhdysvaltoihin, yhtiömme toimesta tai puolesta tämän toimintaperiaatteen mukaisesti. Sovellamme tätä toimintaperiaatetta henkilötietojen siirtoon kaikista muista maista tai muilta alueilta, joiden laki rajoittaa henkilötietojen siirtoa, sen lisäksi, että noudatamme kaikkia tällaisten lakien määrittämiä vaatimuksia (mukaan lukien kaikkien rajat ylittäviä siirtoja koskevien menettelyiden käyttäminen).
8. Oikeudellisesti sallittu – Käsittelemme henkilötietoja vain, mikäli sovellettavan lainsäädännön vaatimukset täyttyvät.
- Muiden seitsemän tietosuojaperiaatteen. samoin kuin alla kuvattujen oikeussuojavaatimusten, tarkoitus on varmistaa, että liiketoimintaamme ympäri maailman koskevien yksityisyys- ja tietosuojalakien vaatimukset täyttyvät, mutta joissakin maissa meidän on täytettävä lisävaatimuksia, joihin kuuluvat, mutta niihin rajoittumatta, seuraavat:
1) Vaadittaessa hankimme erityiset suostumuslomakkeet tietyille henkilötietojen käsittelytavoille, mukaan lukien, mutta niihin rajoittumatta, käsittelyn hyväksyntä yritysneuvostoilta ja muilta ammattiliitoilta;
2) Vaadittaessa rekisteröimme henkilötietojen käsittelyn asianmukaisella yksityisyyden tai tietosuojan valvontaviranomaisella tai pyydämme heidän hyväksyntäänsä;
3) Vaadittaessa tarjoamme tässä toimintaperiaatteessa esitettyjä laajemmat oikeudet (mm. käyttö- ja korjausoikeudet);
4) Vaadittaessa rajoitamme henkilötietojen säilytysjaksoja edelleen; ja
5) Vaadittaessa solmimme erityisiä sopimusmääräyksiä sisältäviä sopimuksia, mukaan lukien sopimukset rajat ylittävästä tiedonsiirrosta kolmansille osapuolille.
6) Vaadittaessa paljastamme henkilötietoja vastauksena viranomaisten esittämiin lainmukaisiin pyyntöihin, muun muassa noudattaaksemme kansallisia turvallisuutta tai lain noudattamista koskevia vaatimuksia.
Siinä tapauksessa, että tämän toimintaperiaatteen ja sovellettavan lain välillä on ristiriita, enemmän suojausta henkilöille tarjoava normi hallitsee.
- 2. Käsittelemme viipymättä oikeussuojapyynnöt tarkistaa, muuttaa, korjata tai poistaa henkilötietoja tai vastustaa omien henkilötietojen käsittelyä, tai harjoittaa muita henkilötietoja koskevia oikeuksia.
- Tarkistus, korjaus, poisto ja muut oikeudet – Useimpien niiden maiden lakien mukaan, joissa toimimme, henkilöillä on oikeus tarkistaa omat henkilötietonsa ja muuttaa, korjata tai poistaa virheelliset, epätäydelliset tai vanhentuneet henkilötiedot. Hyväksymme kaikki pyynnöt tarkistaa, korjata ja poistaa omat henkilötiedot alla olevan osion 3.a. mukaisesti. Jos sovellettava laki, joka antaa henkilöille paremman suojan, hallitsee tarkistus-, korjaus- tai poistopyyntöä, varmistamme, että tuon lain lisävaatimukset täyttyvät. Joissakin maissa yksilöt saattavat olla oikeutettuja muihin omia henkilötietojaan koskeviin oikeuksiin, kuten oikeus rajoittaa käsittelyä, vastustaa käsittelyä (ks. myös osio 2b alla) sekä siirtää tietojaan toiselle palveluntarjoajalle. Kunnioitamme tietoja koskevia oikeuksia sovellettavien lakien mukaisesti.
- Valinta – Yksityisyysarvojemme kunnioituksen ja luottamuksen mukaisesti hyväksymme henkilöiden pyynnöt vastustaa henkilötietojen käsittelyä, mukaan lukien, mutta niihin rajoittumatta, kieltäytyminen osallistumasta ohjelmiin tai toimintoihin, joihin he aiemmin suostuivat osallistumaan, heidän henkilötietojensa käsittely suoramarkkinointiviestintää varten, heidän henkilötietojensa perusteella heihin kohdistuva viestintä ja kaikki heitä koskeva arviointi tai päätöksenteko, joka voi vaikuttaa heihin merkittävästi ja joka on tehty käyttämällä automaatiota tai algoritmeja.
- Paitsi lain sen kieltäessä voimme kieltää valinnan, jos tietty valintapyyntö estäisi yhtiötämme: (1) noudattamasta jotain lakia tai eettistä velvoitetta, mukaan lukien tilanne, jossa olemme velvoitettuja paljastamaan henkilötietoja vastauksena viranomaisten esittämiin lainmukaisiin pyyntöihin, muun muassa noudattaaksemme kansallisia turvallisuutta tai lain noudattamista koskevia vaatimuksia (2) tutkimasta, tekemästä tai puolustamasta oikeusvaateita ja (3) suorittamasta urakoita, hallinnoimasta suhteita tai ryhtymästä muihin sallittuihin liiketoimintoihin, jotka ovat yhtäpitäviä avoimuus- ja käyttötarkoituksen rajoitusperiaatteiden kanssa ja joihin on ryhdytty luottaen tietoihin kyseisistä henkilöistä. Dokumentoimme päätöksen kieltää tämän toimintaperiaatteen mukainen valintapyyntö ja ilmoitamme siitä pyytäjälle viidentoista arkipäivän kuluessa päätöksestä.
- Vastaamme viipymättä kaikkiin yksityisyyteen liittyviin kysymyksiin, valituksiin, huolenaiheisiin ja mahdollisiin yksityisyyden loukkauksiin tai turvaloukkauksiin ja annamme ne ylemmän tahon käsiteltäviksi.
-
Jokainen henkilö, jonka henkilötietoja käsittelemme tämän toimintaperiaatteen puitteissa, voi esittää kysymyksiä, valituksia tai huolenaiheita yhtiöllemme milloin tahansa, mukaan lukien luettelopyyntö kaikista yhtiömme tytäryhtiöistä, joita tämä toimintaperiaate koskee. Odotamme työntekijöidemme ja muiden yhtiömme puolesta työskentelevien henkilöiden ilmoittavan viipymättä, jos heillä on syytä uskoa, että jokin sovellettava laki voi estää heitä noudattamasta tätä toimintaperiaatetta. Kaikki jonkun henkilön esittämät kysymykset, valitukset tai huolenaiheet tai työntekijän tai muun yhtiömme puolesta työskentelevien henkilön tekemä ilmoitus tulee osoittaa MSD:n maailmanlaajuiselle tietosuojatoimistolle:
- Sähköpostitse osoitteeseen: msd_privacy_office@msd.com
- Postitse osoitteeseen: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
- Työntekijöiden ja urakoitsijoiden on ilmoitettava viipymättä MSD:n maailmanlaajuiselle tietosuojatoimistolle tai liiketoiminta-alueelleen nimitetylle tietosuojaedustajalle yhtiömme tietosuojakäytäntöihin liittyvistä kysymyksistä, valituksista tai huolenaiheista.
- MSD:n maailmanlaajuinen tietosuojatoimisto arvioi ja tutkii tai yhdessä etiikkatoimiston, lakiosaston ja/tai valvontaosaston kanssa tutkii kaikki yhtiömme tietosuojakäytäntöihin liittyvät kysymykset, valitukset tai huolenaiheet, olipa ne saatu suoraan työntekijöiltä tai muilta henkilöiltä tai kolmansien osapuolten kautta, mukaan lukien, mutta niihin rajoittumatta, sääntelyvirastot, vastuuasiamiehet ja muut valtion viranomaiset. Vastaamme kysymyksen, valituksen tai huolenaiheen yhtiöllemme esittäneelle henkilölle kolmenkymmenen (30) vuorokauden aikana, ellei jokin laki tai kolmannen osapuolen pyytäjä vaadi vastausta lyhyemmässä ajassa tai elleivät olosuhteet, kuten samanaikainen valtiollinen tutkinta, vaadi pidempää ajanjaksoa, missä tapauksessa henkilöpyytäjälle tai kolmannen osapuolen pyytäjälle ilmoitetaan kirjallisesti mahdollisimman pian viiveeseen vaikuttaneiden olosuhteiden yleisestä luonteesta.
- MSD:n maailmanlaajuinen tietosuojatoimisto toimii koordinoidusti yhteistyössä laki- ja valvontaosaston kanssa vastauksena tietosuojaviranomaisen kyselyyn, tarkastukseen tai tutkintaan.
-
Sellaisten valitusten tapauksessa, joita ei voida ratkaista yhtiömme ja valituksen esittäneen henkilön kesken, yhtiömme on sopinut osallistuvansa seuraaviin riidanratkaisumenettelyihin valitusten tutkinnassa ja ratkaisemisessa riita-asioiden ratkaisemiseksi tämän toimintaperiaatteen mukaisesti. ETA-alueella asuvat henkilöt tai henkilöt, joiden henkilötiedot ovat ETAn tietosuojalain alaisia ja siirrettyjä ETAn ulkopuolelle, voivat kuitenkin aina nojata myös alla olevaan standardiin 3.f.:
- yhtiömme Sveitsistä saamiin henkilötietoihin liittyvissä riita-asioissa yhtiömme on sopinut tekevänsä yhteistyötä Sveitsin FDPIC:n kanssa;
- riita-asioissa, jotka liittyvät sellaisten henkilötietojen siirtoon Yhdysvaltoihin, jotka liittyvät henkilöstötoimintoihin ja jotka on kerätty työsuhteen yhteydessä ETA-alueella, yhtiömme sitoutuu myös tekemään yhteistyötä asianmukaisen EU:n tietosuojaviranomaispaneelin kanssa;
- kaikissa muissa tämän toimintaperiaatteen mukaisiin henkilötietoihin liittyvissä riita-asioissa, mukaan lukien, mutta niihin rajoittumatta, ne, jotka liittyvät yhtiömme Aasian ja Tyynenmeren alueen taloudellisen yhteistyön (”APEC”) rajat ylittävien tietosuojasääntöjen (“CBPRs”), EU:n ja Yhdysvaltain välisten ja Yhdysvaltain ja Sveitsin välisten Privacy Shield -tietosuojaperiaatteiden , lähettävän henkilön nimi ja se, saako TRUSTe jakaa kyselyn tiedot yhtiöllemme. TRUSTe toimii yhteystahona yhtiöömme näiden riitojen ratkaisemiseksi.
- Verkossa
- Fax: +1-415-520-3420
- Posti: Watchdog Complaints, TRUSTe, 835 Market Street, Suite 800, Box 137, San Francisco, CA, USA 94103-1905
- Tietoja TRUSTesta tai TRUSTen riidanratkaisuprosessin toiminnasta saat käymällä TRUSTen verkkosivustolla tai pyytämällä näitä tietoja TRUSTelta postitse tai faksilla käyttämällä yllä lueteltuja yhteystietoja. TRUSTen riidanratkaisuprosessi käydään englanniksi.
- Kaikissa EU:n ja Yhdysvaltain sekä Sveitsin ja Yhdysvaltain välisistä tietosuojaperiaatteista aiheutuvissa riita-asioissa, jotka eivät ratkea tässä osiossa esitettyjen vaiheiden kautta, henkilöillä on oikeus vedota sitovaan välimiesmenettelyyn EU:n ja Yhdysvaltain/Sveitsin ja Yhdysvaltain välisten tietosuojaperiaatteiden mukaisesti perustetun yksityisyydensuojapaneelin menettelyjen mukaan .
-
Kaikilla ETA-alueella asuvilla henkilöillä tai henkilöillä, joiden henkilötiedot ovat ETAn tietosuojalain alaisia ja siirrettyjä ETAn ulkopuolelle ja joiden tietoja käsitellään tämän toimintaperiaatteen mukaisesti, on tämän toimintaperiaatteen mukainen oikeus milloin tahansa toimeenpanna tämän toimintaperiaatteen vaatimukset kolmansina osapuolina edunsaajina, mukaan lukien oikeustoimeen ryhtyminen muutoksen hakemiseksi tämän toimintaperiaatteen mukaisten oikeuksiensa loukkaamiseen, ja oikeus saada korvaus tällaisesta loukkauksesta aiheutuvista vahingoista (kuten yllä esitetään osiossa 2). ETA-alueella asuvat henkilöt tai henkilöt, joiden henkilötiedot ovat ETAn tietosuojalain alaisia ja siirrettyjä ETAn ulkopuolelle (selvyyden vuoksi mukaan lukien Yhdysvaltoihin), voivat tämän toimintaperiaatteen mukaisesti nostaa kanteen tai tehdä valituksen Merck, Sharp & Dohme (Europe) Inc.:n Belgian sivuliikettä (”MSD Europe”) vastaan:
- tuomioistuimissa tai tietosuojaviranomaisella siinä ETA-maassa, josta heidän henkilötietonsa on siirretty,
- tuomioistuimissa tai tietosuojaviranomaisella siinä ETA-maassa, jossa he normaalisti asuvat, tai
- belgialaisissa tuomioistuimissa tai Belgian tietosuojakomissiossa.
- Yhtiömme vastaa kysymyksen, valituksen tai huolenaiheen yhtiöllemme esittäneelle henkilölle tai yhteisölle kolmenkymmenen (30) vuorokauden aikana, ellei jokin laki tai kolmannen osapuolen pyytäjä vaadi vastausta lyhyemmässä ajassa tai elleivät olosuhteet vaadi pitempää ajanjaksoa, missä tapauksessa henkilöpyytäjälle tai kolmannen osapuolen pyytäjälle ilmoitetaan kirjallisesti.
-
Jokainen henkilö, jonka henkilötietoja käsittelemme tämän toimintaperiaatteen puitteissa, voi esittää kysymyksiä, valituksia tai huolenaiheita yhtiöllemme milloin tahansa, mukaan lukien luettelopyyntö kaikista yhtiömme tytäryhtiöistä, joita tämä toimintaperiaate koskee. Odotamme työntekijöidemme ja muiden yhtiömme puolesta työskentelevien henkilöiden ilmoittavan viipymättä, jos heillä on syytä uskoa, että jokin sovellettava laki voi estää heitä noudattamasta tätä toimintaperiaatetta. Kaikki jonkun henkilön esittämät kysymykset, valitukset tai huolenaiheet tai työntekijän tai muun yhtiömme puolesta työskentelevien henkilön tekemä ilmoitus tulee osoittaa MSD:n maailmanlaajuiselle tietosuojatoimistolle:
- Olemme vastuussa yksityisyysarvojemme ja -standardiemme noudattamisesta.
-
Yhtiömme tytäryhtiö, joka on vastuussa toimesta, joka aiheuttaa toteennäytetyn yksityisyyden loukkauksen tai turvaloukkauksen, on taloudellisessa vastuussa yksityisyyden loukkauksesta tai turvaloukkauksesta aiheutuvan vahingonkorvausvaatimuksen, sakon tai rangaistuksen summasta.
- Koordinoidusti MSD:n maailmanlaajuisen tietosuojatoimiston kanssa ja sen ohjauksessa MSD Europe on vastuussa sen varmistamisesta, että ryhdytään tarpeellisiin toimiin yhtiömme ETAn ulkopuolisten tytäryhtiöiden tekemiksi väitettyjen tämän toimintaperiaatteen rikkomusten käsittelemiseksi, jotka vaikuttavat ETA-alueella asuviin henkilöihin tai henkilöihin, joiden henkilötiedot ovat ETAn tietosuojalain alaisia ja siirrettyjä ETAn ulkopuolelle, ja tarpeen vaatiessa sellaisten tämän toimintaperiaatteen rikkomuksista tuomittujen sakkojen, rangaistusten tai vahingonkorvausten maksamiseksi, jotka vaikuttavat ETA-alueella asuviin henkilöihin tai henkilöihin, joiden henkilötiedot ovat ETAn tietosuojalain alaisia ja siirrettyjä ETAn ulkopuolelle. MSD:n maailmanlaajuisen tietosuojatoimiston ja väitetystä rikkomuksesta vastuussa olevan yhtiömme ETAn ulkopuolisen tytäryhtiön tuella MSD Europe on vastuussa sen osoittamisesta, että yhtiömme ei ole vastuussa väitetystä rikkomuksesta. Kun yhtiömme toinen tytäryhtiö on vastuussa toimesta, joka edellytti sakkoa, rangaistusta tai vahingonkorvausta, tuota tytäryhtiötä voidaan vaatia korvaamaan viipymättä MSD Europelle MSD Europen maksama summa. Jos yhtiömme ETA:n ulkopuolinen tytäryhtiö rikkoo tätä toimintaperiaatetta, toimivalta on tuomioistuimilla tai tietosuojaviranomaisilla ETA:n alueella, ja kyseisellä yksilöllä on oikeudet ja keinot MSD Europea vastaan, kuten osiossa 3.f. yllä on määritetty.
- Koordinoidusti MSD:n maailmanlaajuisen tietosuojatoimiston kanssa ja sen ohjauksessa Merck Sharp & Dohme Corp. on vastuussa sen varmistamisesta, että tarpeellisiin toimiin ryhdytään ETA-alueen ulkopuolella asuviin henkilöihin vaikuttavien tämän toimintaperiaatteen väitettyjen rikkomusten käsittelemiseksi ja, mikäli tarpeen, ETA-alueen ulkopuolella asuviin henkilöihin tai henkilöihin, joiden henkilötiedot eivät ole ETAn tietosuojalain alaisia, vaikuttavista tämän toimintaperiaatteen rikkomuksista tuomittujen sakkojen, rangaistusten tai vahingonkorvausten maksamiseksi. Kun yhtiömme toinen tytäryhtiö on vastuussa toimesta, joka edellytti sakkoa, rangaistusta tai vahingonkorvausta, tuota tytäryhtiötä voidaan vaatia korvaamaan viipymättä Merck Sharp & Dohme Corp.:lle MSD Merck Sharp & Dohme Corp.:n maksama summa.
-
Yhtiömme tytäryhtiö, joka on vastuussa toimesta, joka aiheuttaa toteennäytetyn yksityisyyden loukkauksen tai turvaloukkauksen, on taloudellisessa vastuussa yksityisyyden loukkauksesta tai turvaloukkauksesta aiheutuvan vahingonkorvausvaatimuksen, sakon tai rangaistuksen summasta.
Valvonta ja seuranta
Sääntelyviranomaisten ja muiden sidosryhmien vakuuttamiseksi siitä, että yhtiömme vastaa sitoumuksestaan eettisiin ja vastuullisiin tietosuojakäytäntöihin, yhtiö ylläpitää kattavaa valvonnan ja seurannan hallintoryhmää, jota johtaa päätietosuojavastaava jolla on oma maailmanlaajuinen tietosuojatoimisto (GPO), EU-tietosuojavastaava, maakohtaiset tietosuojavastaavat lain ja paikallisten viranomaisten niin vaatiessa, sekä tietosuojaedustajia, joille se on lakien mukaan velvollinen määräajoin tarkistamaan tämän toimintaperiaatteen ja noiden lakien, mukaan lukien APECin CBPR:t, vaatimusten noudattamisensa.
MSD:n maailmanlaajuisen tietosuojatoimiston hallitsemien varmistustarkastusten lisäksi sisäinen ja ulkoinen tarkastus- ja varmistustiimi tekevät tarkastuksia sen varmistamiseksi, että MSD noudattaa tätä toimintaperiaatetta, mukaan lukien tähän toimintaperiaatteeseen kenties sisältyvät toimintaperiaatteet, menettelytavat, standardit ja ohjeet. Korjaavia ja ennaltaehkäiseviä toimintasuunnitelmia kehitetään ja toteutetaan tarkastus- ja varmistustiimien havaitsemien puutteiden käsittelemiseksi. Tarkastusohjelman tulokset toimitetaan päätietosuojavaltuutetulle, jonka vastuulla on niiden ilmoittaminen tässä toimintaperiaatteessa kuvatulla tavalla.
Tietosuojaviranomaisilla, jotka ovat hyväksyneet tämän toimintaperiaatteen tai joilla on toimivalta yhtiömme käytäntöihin tämän toimintaperiaatteen mukaan, on oikeus tarkistaa sen noudattamisemme. Noudatamme näiden toimivaltaisten viranomaisten neuvoja tämän toimintaperiaatteen tulkinnan ja soveltamisen suhteen.
Termejä, jotka sinun on tunnettava
- Anonymisoitu. Henkilötietojen muunteleminen, typistäminen, poispyyhkiminen tai muu muokkaaminen tai muuttaminen niiden tekemiseksi peruuttamattomasti mahdottomiksi käyttää jonkun henkilön yksilöimiseen tai paikantamiseen tai yhteyden ottamiseen häneen, joko yksin tai yhdessä muiden tietojen kanssa.
- Arkaluonteiset tiedot. Kaikentyyppiset tiedot ihmisistä, joilla on luontainen mahdollisen vahingon riski henkilöille, mukaan lukien tiedot, jotka laki määrittelee arkaluonteiseksi, mukaan lukien, mutta niihin rajoittumatta, terveyteen, perimään, biometrisiin tietoihin, rotuun, etniseen alkuperään, uskontoon, poliittisiin tai filosofisiin mielipiteisiin tai uskomuksiin, rikostaustaan, tarkkoihin maantieteellisiin paikkatietoihin, pankki- tai muihin rahoitustilinumeroihin, valtion myöntämiin henkilötunnuksiin, alaikäisiin lapsiin, sukupuolielämään, seksuaaliseen suuntautumiseen, kytköksiin ammattiliittoihin, vakuutukseen ja sosiaaliturvaan ja muihin työnantajan tai valtion myöntämiin etuihin liittyvät tiedot.
- Henkilötiedot. Kaikki tiedot liittyen tunnistettuun tai tunnistettavaan henkilöön, mukaan lukien tiedot, jotka yksilöivät henkilön tai joita voidaan käyttää jonkun henkilön yksilöimiseen, paikantamiseen tai jäljittämiseen tai yhteyden ottamiseen johonkuhun henkilöön. Henkilötiedot käsittävät sekä suoraan tunnistettavat tiedot, kuten nimi, henkilötunnus tai yksilöllinen työnimike, että välillisesti tunnistettavat tiedot, kuten syntymäaika, yksilöllinen mobiilitunniste tai käyttökelpoisen laitteen tunniste, puhelinnumero ja avainkoodatut tiedot sekä verkkotunnisteet, kuten IP-osoitteet.
- Kolmas osapuoli. Oikeussubjekti, yhdistys tai henkilö, jota yhtiömme ei omista tai jossa yhtiöllämme ei ole määräysvallan tuottavaa osuutta tai joka ei ole yhtiömme palveluksessa. Paitsi mitä on nimenomaisesti esitetty tässä toimintaperiaatteessa, minkään yhtiömme tytäryhtiön tai toimialaryhmän ei edellytetä täyttävän kolmannen osapuolen vaatimuksia tämän toimintaperiaatteen mukaan, koska kaikkien tytäryhtiöiden tai toimialaryhmien edellytetään käsittelevän tietoja ihmisistä tämän toimintaperiaatteen mukaan, myös olosuhteissa, joissa jokin yhtiömme tytäryhtiö tukee yhtä tai useampaa yhtiömme tytäryhtiötä käsittelyssä.
- Käsittely. Toiminnon tai toimintosarjan suorittaminen tiedoille ihmisistä, automaattisin tai muin keinoin, mukaan lukien, mutta niihin rajoittumatta, keruu, tallennus, järjestäminen, säilytys, tarkistus, mukautus, muuntelu, nouto, tarkastelu, käyttö, arviointi, analyysi, raportointi, jakaminen, luovutus, levitys, lähetys, saataville asettaminen, kohdistus, yhdistely, esto, poisto, poispyyhkiminen tai tuhoaminen.
- Laki. Kaikki sovellettavat lait, säännöt, määräykset ja mielipidejärjestykset, joilla on lainvoima jossakin maassa, jossa yhtiömme toimii tai jossa henkilötietoja käsitellään yhtiömme toimesta tai puolesta. Tämä käsittää kaikki tietosuojakehykset, joissa yhtiömme on hyväksytty tai sertifioitu, mukaan lukien Aasian ja Tyynenmeren alueen taloudellisen yhteistyön (”APEC”) rajat ylittävät tietosuojasäännöt (”CBPR:t”), EU:n ja Yhdysvaltain ja Sveitsin ja Yhdysvaltain väliset Privacy Shield -tietosuojaperiaatteet – Yhdysvaltain liittovaltion kauppakomission tutkinta- ja toimeenpanovallan alaisina.
- Turvaloukkaus. Turvarikkomus, joka johtaa vahingossa tai luvattomasti henkilötietojen tuhoamiseen, menetykseen, muuttamiseen, luvattomasti luovuttamiseen tai niihin pääsyyn, tai yhtiömme perusteltu usko tällaisista tapahtumista. Henkilötietojen tarkastelu yhtiömme toimesta tai puolesta ilman aikomusta loukata tätä toimintaperiaatetta ei muodosta turvaloukkausta edellyttäen, että tarkasteltuja henkilötietoja käytetään ja luovutetaan edelleen ainoastaan tämän toimintaperiaatteen sallimalla tavalla.
- Yhtiömme. Merck & Co., Inc. (Rahway, NJ, Yhdysvallat), sen oikeudenomistajat, tytäryhtiöt ja toimialaryhmät maailmanlaajuisesti, pois lukien yhteisyritykset, joissa yhtiömme on osapuolena.
- Yksityisyyden loukkaus. Tämän toimintaperiaatteen tai tietosuojalain loukkaus tai rikkomus, mukaan lukien turvaloukkaus. Sen, onko yksityisyyden loukkaus tapahtunut ja onko se merkittävä, määrittelevät MSD:n maailmanlaajuinen tietosuojatoimisto, tietotekniikan riskienhallinta ja turvallisuustoimisto (Information Technology Risk Management and Security, ITRMS) ja lakiasiaintoimisto.
Muutokset tähän toimintaperiaatteeseen
Tätä toimintaperiaatetta voidaan muuttaa aika ajoin, sovellettavan lain vaatimusten mukaisesti. Ilmoitus laitetaan yhtiömme tietosuojaverkkosivulle (https://www.msdprivacy.com) 60 päivän ajaksi aina, kun tätä toimintaperiaatetta muutetaan olennaisella tavalla.