worldwide

worldwide

Di Merck & Co., Inc (Kenilworth, NJ, USA), yang dikenal sebagai MSD di luar A.S dan Kanada, misi kami adalah menyelamatkan dan meningkatkan kehidupan yang mencakup menghormati privasi dan melindungi informasi pribadi.

Tanggal Pemeriksaan: 10 Agustus 2020
Tanggal efektif: 10 Agustus 2020

Kami berupaya menjalankan bisnis sesuai dengan nilai privasi karena kami meyakini nilai ini menunjukkan komitmen teguh terhadap praktik etis dan bertanggung jawab. Kami menyadari bahwa inovasi dan teknologi baru mendorong perubahan berkelanjutan dalam hal risiko, ekspektasi, dan peraturan perundang-undangan, sehingga kami mematuhi standar akuntabilitas privasi dan bertujuan untuk segera menyesuaikan praktik kami sebagai tanggapan atas perubahan tersebut.

Kebijakan ini menetapkan standar global untuk manajemen dan perlindungan Informasi Pribadi oleh atau atas nama perusahaan kami yang secara langsung atau tidak langsung berasal dari negara mana pun di Wilayah Ekonomi Eropa (European Economic Area atau “EEA”), Swiss atau dari anggota ekonomi Kerja Sama Ekonomi Asia Pasifik (Asia Pacific Economic Cooperation atau “APEC”) dan ditransfer ke negara lain, termasuk pemindahan antara EEA dan APEC. Kebijakan ini menjelaskan komitmen inti kami yang mendukung kepatuhan terhadap sertifikasi Aturan Privasi Lintas Negara APECAturan Perusahaan yang Mengikat (Binding Corporate Rules atau “BCR”), yang telah disetujui di Uni Eropa, dan sertifikasi mandiri untuk Perlindungan Privasi UE-A.S Ini berlaku untuk operasi kami di setiap negara, untuk setiap aktivitas yang melibatkan informasi tentang pihak yang berhubungan dengan kami di setiap anak perusahaan dan setiap divisi (termasuk oleh setiap penerus bisnis kami), termasuk, namun tidak terbatas pada aktivitas riset, manufaktur, komersial, dukungan perusahaan, serta layanan dan solusi perawatan kesehatan, serta pemindahan data yang diperlukan untuk melaksanakan aktivitas tersebut, termasuk, namun tidak terbatas pada:

  • Riset dan Manufaktur: mengevaluasi kebutuhan dan peluang inovasi medis dan kesehatan; memulai, mengatur, dan membiayai studi riset; mengevaluasi dan melibatkan peneliti, anggota komite ilmiah dan etika, dan mitra bisnis untuk mendukung studi riset dan pengembangan produk kami; perekrutan studi riset; mengevaluasi keamanan, kemanjuran, dan kualitas produk yang diselidiki serta dipasarkan; memenuhi kewajiban keamanan produk dan kualitas produk, termasuk menangani dan melaporkan kejadian tidak diinginkan dan pengaduan kualitas produk; mengajukan permohonan persetujuan dan mendaftarkan produk kami pada otoritas yang mengatur bidang kesehatan; dan mematuhi persyaratan hukum, pembuat peraturan, atau etika terkait;
  • Komersial: mengevaluasi pasar untuk produk kami; periklanan, pemasaran, penjualan, distribusi, dan pengiriman produk; berkomunikasi serta terlibat dengan pelanggan tenaga medis profesional, pembayar perawatan kesehatan, pasien, dan pengguna lain produk kami, serta perawat dari pengguna produk kami; mensponsori dan menyelenggarakan acara; mengevaluasi dan melibatkan mitra bisnis untuk mendukung aktivitas komersial kami; dan mematuhi persyaratan hukum, pembuat peraturan, atau etis terkait;
  • Dukungan Perusahaan: merekrut, mempekerjakan, mengelola, mengembangkan, berkomunikasi dengan, dan memberikan kompensasi kepada karyawan; mengurus tunjangan bagi karyawan dan tanggungannya; melaksanakan peninjauan kinerja dan talenta karyawan; memberikan pelatihan serta program pembelajaran dan pengembangan lain; menjalankan proses disiplin dan pengaduan karyawan; mengelola masalah etika dan privasi serta menjalankan penyelidikan; mengelola dan mengamankan aset serta infrastruktur fisik dan virtual kami; mengadakan serta membayar barang dan layanan; memenuhi komitmen tanggung jawab lingkungan, kesehatan dan keselamatan, serta tanggung jawab perusahaan lainnya; terlibat dengan media; serta mematuhi persyaratan hukum, pembuat peraturan, atau etis;
  • Layanan dan Solusi Perawatan Kesehatan: meningkatkan nilai perawatan yang diberikan kepada pasien melalui layanan dan solusi berbasis bukti yang berfokus pada layanan klinis, solusi keterlibatan, dan analisis kesehatan.

Kebijakan ini juga berlaku bagi semua orang yang informasinya kami proses, termasuk, namun tidak terbatas pada, tenaga medis profesional dan pelanggan lainnya; calon karyawan, karyawan saat ini, dan mantan karyawan serta tanggungan mereka, pasien, perawat, peneliti, dan peserta studi riset, anggota komite ilmiah dan etika, mitra bisnis, investor, dan pemegang saham, pejabat pemerintah, serta pemangku kepentingan.

Semua Karyawan Perusahaan dan Pemimpin Senior memiliki tanggung jawab privasi inti yang wajib dijunjung.

Kami menyadari bahwa kesalahan yang tidak disengaja dan kesalahan penilaian perlindungan informasi mengenai seseorang dapat menciptakan risiko privasi bagi individu serta risiko reputasi, operasional, keuangan, dan kepatuhan bagi Perusahaan kami. Kami akan menyediakan pelatihan yang sesuai mengenai Kebijakan ini bagi semua karyawan dan personel lain yang memiliki akses permanen atau reguler terhadap Informasi Pribadi, yang terlibat dalam pengumpulan data, atau dalam pengembangan alat bantu yang digunakan untuk memproses Informasi Pribadi. Setiap karyawan perusahaan kami, dan pihak lain yang memproses informasi setiap orang untuk perusahaan, bertanggung jawab untuk memahami dan menjunjung kewajibannya sesuai dengan Kebijakan ini dan Undang-undang yang berlaku.

Nilai dan Standar Privasi Kami

Kami menjunjung nilai privasi dalam segala hal yang kami lakukan yang melibatkan orang lain, termasuk cara kami menerapkan standar privasi. Empat nilai privasi kami adalah:

Rasa Hormat

Kepercayaan

Mencegah Kerugian

Kepatuhan

Kami menyadari bahwa persoalan privasi sering kali berhubungan dengan esensi jati diri kami, sudut pandang kami terhadap dunia, dan cara kami mendefinisikan diri sendiri. Oleh karena itu, kami berupaya menghormati sudut pandang serta kepentingan setiap individu dan komunitas, serta memberikan keadilan dan transparansi terkait cara kerja kami dalam menggunakan serta menyebarkan informasi mereka.

Kami memahami bahwa kepercayaan adalah kunci kesuksesan kami. Oleh karena itu, kami berupaya membangun dan mempertahankan kepercayaan pelanggan, karyawan, pasien, serta pemangku kepentingan lain melalui cara kami menghormati privasi dan melindungi informasi setiap orang.

Kami menyadari bahwa penyalahgunaan informasi orang lain dapat menyebabkan kerugian langsung dan tidak langsung terhadap individu tersebut. Oleh karena itu, kami berupaya mencegah kerugian fisik, keuangan, reputasi, dan bentuk kerugian privasi lain bagi setiap individu.

Kami mempelajari bahwa peraturan perundang-undangan tidak selalu mampu mengimbangi perkembangan ranah teknologi, alur data, dan pergeseran pesat terkait dengan risiko dan ekspektasi terhadap privasi. Maka dari itu, kami berupaya mematuhi kandungan serta semangat peraturan perundang-undangan terkait perlindungan data dan privasi sedemikian rupa, demi mendorong konsistensi serta efisiensi operasi bagi operasi bisnis global kami.

  1. Kami menanamkan standar privasi ke dalam seluruh aktivitas, proses, teknologi, dan hubungan dengan pihak ketiga yang menggunakan Informasi Pribadi. Kami merancang pengendalian privasi ke dalam setiap proses dan teknologi yang sejalan dengan nilai dan standar privasi sekaligus hukum yang berlaku. Delapan prinsip privasi yang ditetapkan di bawah ini merupakan ringkasan standar privasi dan persyaratan utama kami untuk melaksanakan proses, aktivitas, serta teknologi pendukungnya pada tingkat tinggi.

    Prinsip Privasi

    Komitmen Utama Kami

    1. Kebutuhan –Sebelum mengumpulkan, menggunakan, dan memba-gikan Informasi Pribadi, kami menetapkan serta mendoku-mentasikan keabsahan tujuan bisnis yang melatarbe-lakanginya.

    • Kami menentukan dan mendokumentasikan durasi Informasi Pribadi yang dibutuhkan untuk tujuan bisnis yang ditetapkan serta persyaratan hukum yang berlaku.

    • Kami tidak mengumpulkan, menggunakan, atau membagikan Informasi Pribadi lebih daripada yang diperlukan atau menyimpannya dalam bentuk yang dapat diidentifikasi selama lebih dari yang diperlukan untuk tujuan bisnis yang ditetapkan serta persyaratan hukum yang berlaku.

    • Kami membuat data menjadi anonim saat persyaratan bisnis memerlukan informasi tentang aktivitas atau proses disimpan untuk periode waktu yang lebih lama.

    • Kami memastikan bahwa persyaratan kebutuhan ini dirancang dalam setiap teknologi pendukung dan bahwa hal tersebut disampaikan kepada pihak ketiga yang mendukung aktivitas atau proses tersebut.

    2. Keadilan – Kami tidak memproses Informasi Pribadi secara tidak adil bagi orang lain yang berkaitan dengan data tersebut.

    • Kami menentukan apakah pengumpulan yang diajukan, penggunaan, atau pemrosesan Informasi Pribadi lainnya menunjukkan kemungkinan dan/atau risiko parah untuk kerugian langsung atau tidak langsung terhadap individu sesuai dengan nilai privasi untuk Mencegah Kerugian.

    • Apabila sifat data, jenis individu, atau aktivitas menunjukkan kemungkinan dan/atau risiko kerugian langsung dan tidak langsung bagi individu, kami memastikan bahwa risiko kerugian melebihi manfaat terkait bagi individu tersebut atau untuk misi kami dalam menyelamatkan dan meningkatkan kehidupan, serta ditanggulangi oleh langkah, pengamanan, dan mekanisme yang telah diterapkan.

    • Apabila risiko terkesan melebihi manfaat bagi individu, kami hanya memproses Informasi Sensitif atau Informasi Pribadi dengan persetujuan tertulis dari individu, sebagaimana diwajibkan secara tegas atau diizinkan secara tegas oleh hukum yang berlaku, atau sebagaimana diizinkan secara tegas oleh otoritas pembuat peraturan yang kompeten.

    • Kami mendokumentasikan analisis risiko dan merancang segala mekanisme yang diperlukan untuk mendapatkan serta mendokumentasikan persetujuan dalam teknologi pendukung.

    3. Transparansi – Kami tidak memproses Informasi Pribadi dalam cara atau tujuan yang tidak transparan.

    • Semua individu yang Informasi Pribadinya diproses dalam Kebijakan ini akan berhak atas salinan Kebijakan ini. Kami akan membuat salinan Kebijakan ini yang tersedia secara online di http://www.msd.com/privacy. Kantor Privasi Global MSD akan menyediakan salinan elektronik dan/atau fisik Kebijakan ini atas permintaan untuk alamat yang tertera pada Bagian 3.a. di bawah ini.

    • Dengan memperhatikan ketentuan Hukum yang berlaku di masing-masing negara, kami hanya akan mengumpulkan dan memproses Informasi Pribadi berdasarkan persetujuan dari atau setelah menyampaikan pemberitahuan kepada masing-masing individu terkait.

    • Saat Informasi Pribadi dikumpulkan secara langsung dari individu, kami menyampaikan kepada mereka, sebelum mengumpulkan informasi dan melalui pemberitahuan privasi atau cara serupa yang jelas, dapat dilihat, dan dapat diakses dengan mudah, (1) dari entitas perusahaan atau entitas yang bertanggung jawab atas pemrosesan, (2) perincian kontak Kepala Pejabat Privasi dan/atau Pejabat Privasi Data regional/setempat, (3) informasi yang akan dikumpulkan, (4) tujuan digunakannya informasi, (5) dasar hukum pemrosesan kami, (6) kepada siapa informasi akan dibagikan, termasuk setiap persyaratan untuk mengungkapkan Informasi Pribadi sebagai tanggapan atas permintaan yang sah oleh otoritas pemerintah, (7) jika dan cara kami akan memindahkan Informasi Pribadi ke negara lain, termasuk negara terkait jika memungkinkan, (8) lamanya informasi akan disimpan atau kriteria kami dalam membuat penetapan tersebut, (9) cara mereka dapat mengajukan pertanyaan, menyampaikan kekhawatiran, atau melaksanakan hak mereka terkait Informasi Pribadi mereka, (10) cara mereka dapat menarik setiap persetujuan yang telah diberikan, (11) hak mereka untuk mengajukan pengaduan kepada otoritas pengawas, (12) kewajiban apa pun untuk memberikan Informasi Pribadi dan konsekuensi untuk tidak menjalankan hal tersebut, (13) pengambilan keputusan otomatis apa pun, termasuk pembuatan profil, yang akan kami laksanakan, serta (14) tautan ke Kebijakan ini, jika sesuai dan memungkinkan. Pemberitahuan privasi komprehensif kami untuk berbagai pemangku kepentingan tersedia secara online di http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html

    • Saat Informasi Pribadi diperoleh melalui observasi, sensor, atau cara tidak langsung lainnya, penyerahan pemberitahuan privasi langsung kepada individu saat informasi dikumpulkan mungkin tidak dapat dilakukan. Dalam kasus tersebut, kami memastikan transparansi kepada individu melalui cara lain, seperti memposting atau mencetak pada perangkat atau materi terkait dengan perangkat yang akan mendapatkan informasi.

    • Saat Informasi Pribadi dikumpulkan melalui situs web, aplikasi seluler, atau aplikasi atau sumber daya online lain, kami menerapkan standar khusus teknologi yang ditetapkan dalam Kebijakan Privasi Internet dan Komitmen Privasi Cookie kami untuk memastikan persyaratan transparansi sesuai dengan Kebijakan ini telah terpenuhi.

    • Saat Informasi Pribadi dikumpulkan dari sumber lain dan tidak secara khusus diarahkan oleh perusahaan kami, sebelum mendapatkan informasi, kami memverifikasi secara tertulis bahwa penyedia informasi telah memberi tahu individu tentang cara dan tujuan perusahaan kami bermaksud menggunakan informasi tersebut. Apabila verifikasi tertulis tidak dapat diperoleh dari penyedia informasi, kami hanya menggunakan informasi anonim, atau sebelum menggunakan Informasi Pribadi, kami memberi tahu individu terdampak melalui pemberitahuan privasi atau cara serupa untuk (1) entitas atau entitas perusahaan kami yang bertanggung jawab untuk memproses informasi, (2) perincian kontak Kepala Pejabat Privasi dan/atau Pejabat Privasi Data regional/setempat, (3) informasi yang akan digunakan, (4) tujuan perusahaan menggunakannya, (5) dasar hukum untuk pemrosesan kami, (6) dengan siapa perusahaan akan membagikannya, (7) jika dan cara kami akan memindahkan Informasi Pribadi ke negara lain, termasuk negara terkait jika memungkinkan, (8) lama perusahaan kami berencana menyimpannya atau kriteria yang ditetapkan oleh kami, (9) cara mereka dapat mengajukan pertanyaan, menyampaikan kekhawatiran, atau melaksanakan hak mereka terkait Informasi Pribadi, (10) cara mereka dapat meminta penghentian pemprosesan dan penyimpanan Informasi Pribadi atau menarik setiap persetujuan yang telah diberikan, sebagaimana relevan, (11) hak mereka untuk menyampaikan pengaduan kepada otoritas pengawas, (12) kewajiban apa pun untuk memberikan Informasi Pribadi dan konsekuensi tidak melakukannya, (13) pengambilan keputusan otomatis apa pun, termasuk pembuatan profil, yang akan kami laksanakan, dan (14) tautan menuju Kebijakan ini, jika memungkinkan dan sesuai.

    • Kami memastikan bahwa mekanisme transparansi yang dibutuhkan, termasuk, jika memungkinkan, mekanisme yang mendukung permintaan hak individu, dirancang dalam teknologi pendukung, dan bahwa pihak ketiga yang mendukung aktivitas atau proses tidak memproses informasi mengenai orang lain dalam cara yang tidak sejalan dengan hal yang disampaikan kepada individu melalui pemberitahuan privasi atau cara lain yang dapat diverifikasi bahwa kami dan pihak lain yang bekerja untuk kami akan menangani informasi tersebut.

    4. Batasan Tujuan – Kami hanya menggu-nakan Informasi Pribadi sesuai dengan prinsip Kebutuhan dan Transparansi.

    • Apabila tujuan bisnis baru yang sah diidentifikasi untuk Informasi Pribadi yang sebelumnya dikumpulkan, kami memperoleh persetujuan individu untuk penggunaan Informasi Pribadi yang baru, atau kami memastikan bahwa tujuan bisnis yang baru sesuai dengan, termasuk secara material serupa dengan, tujuan yang dijelaskan dalam pemberitahuan privasi atau mekanisme transparansi yang sebelumnya diberikan kepada individu. Kami akan menentukan kesesuaian berdasarkan (1) hubungan antara tujuan asli dan tujuan baru yang diajukan, (2) ekspektasi wajar dari individu, (3) sifat Informasi Pribadi, (4) konsekuensi pemprosesan lebih lanjut bagi individu, dan (5) langkah-langkah perlindungan yang telah kami terapkan

    • Kami tidak menerapkan prinsip ini untuk informasi yang bersifat anonim atau jika kami menggunakan Informasi Pribadi semata-mata untuk tujuan riwayat dan riset ilmiah, serta jika (1) Komite Peninjauan Etika, atau peninjau berkompeten lainnya telah menentukan bahwa risiko penggunaan privasi dan hak lain dari individu tersebut dapat diterima, (2) kami telah melakukan upaya pengamanan yang tepat untuk memastikan minimalisasi data, seperti membuat data menjadi anonim, dan (3) semua Undang-undang yang berlaku dipatuhi.

    • Kami memastikan larangan batasan tujuan dirancang dalam teknologi pendukung, termasuk kemampuan pelaporan dan pembagian data sektor hilir.

    5. Kualitas Data – Kami menjaga keakuratan, kelengkapan, dan aktualitas Informasi Pribadi sesuai dengan tujuan penggunaan.

    • Kami memastikan bahwa mekanisme peninjauan data rutin dirancang dalam teknologi pendukung guna memvalidasi keakuratan data terhadap sumber dan sistem sektor hilir.

    • Kami memastikan Informasi Sensitif dinyatakan akurat dan aktual sebelum digunakan, dievaluasi, dianalisis, dilaporkan, atau diproses dengan cara lain yang menunjukkan risiko ketidakadilan kepada sejumlah orang jika data tidak akurat atau kedaluwarsa digunakan.

    • Apabila kami atau pihak ketiga yang bekerja untuk perusahaan kami mengubah Informasi Pribadi, kami memastikan bahwa perubahan tersebut disampaikan kepada individu terkait secara tepat waktu jika memungkinkan.

    6. Keamanan – Kami menerap-kan upaya pengamanan untuk melindungi Informasi Pribadi dan Informasi Sensitif dari kerugian, penya-lahgunaan, serta akses, pengung-kapan, peruba-han, atau pemusnahan tanpa izin.

    • Kami telah menerapkan program keamanan informasi komprehensif serta kami menerapkan pengawasan keamanan berdasarkan sensitivitas informasi dan tingkat risiko aktivitas serta mempertimbangkan praktik terbaik teknologi terkini dan biaya implementasi. Kebijakan keamanan fungsional kami termasuk, namun tidak terbatas pada, standar mengenai kelangsungan bisnis dan pemulihan bencana, enkripsi, manajemen identitas dan akses, klasifikasi informasi, manajemen insiden keamanan informasi, pengawasan akses jaringan, keamanan fisik, dan manajemen risiko.

    7. Pemindahan Data – Kami bertanggung jawab dan kami menjaga perlindungan privasi untuk Informasi Pribadi saat Informasi Pribadi tersebut dipindahkan ke atau dari organisasi lain secara lintas negara.

    (1) Kami memindahkan Informasi Pribadi dalam perusahaan kami jika persyaratan berikut dipenuhi:


    (1) pembagian diperlukan untuk memenuhi tujuan awal pengumpulan Informasi Pribadi atau kepentingan sah lain perusahaan, dan (ii) tujuan pembagian Informasi Pribadi, dan fakta bahwa Informasi Pribadi akan dibagikan, sesuai dengan pemberitahuan privasi atau mekanisme transparansi lain yang sebelumnya diberikan kepada individu saat Informasi Pribadi tersebut awalnya dikumpulkan dan individu tersebut memberikan persetujuan jika diperlukan. (iii) jika salah satu anak perusahaan kami bertindak semata-mata atas nama anak perusahaan kami lainnya dalam pemprosesan Informasi Pribadi, (iv) jika diwajibkan oleh Hukum, anak perusahaan kami tersebut akan melaksanakan perjanjian pemprosesan data internal sesuai dengan Prinsip 8 dalam Kebijakan ini.

    (2) Kami hanya memindahkan Informasi Pribadi kepada atau mengizinkan Informasi Pribadi tersebut diproses oleh pihak ketiga jika persyaratan berikut dipenuhi dan kami bertanggung jawab untuk memastikan pihak ketiga yang kami libatkan memenuhi persyaratan ini:


    • Apabila peran pihak ketiga adalah memproses Informasi Pribadi untuk atau atas nama perusahaan kami, sebelum memberikan Informasi Pribadi kepada pihak ketiga atau melibatkan pihak ketiga, kami: (i) menyelesaikan uji tuntas privasi untuk mengevaluasi praktik privasi dan risiko yang terkait dengan pihak ketiga tersebut, (ii) mendapatkan jaminan kontrak dari pihak ketiga tersebut yang menyatakan bahwa mereka hanya akan memproses Informasi Pribadi sesuai dengan instruksi perusahaan kami, dan sesuai dengan Kebijakan ini, termasuk tanpa batasan, 8 Prinsip Privasi dan standar lain yang ditetapkan dalam Kebijakan ini, serta Undang-undang yang berlaku, dan bahwa mereka akan segera memberi tahu perusahaan kami terkait Insiden Privasi, termasuk ketidakmampuan untuk mematuhi standar yang ditetapkan dalam Kebijakan ini dan Undang-undang yang berlaku, atau Insiden Keamanan, serta bekerja sama untuk segera memulihkan Insiden yang telah dibuktikan dan menjalankan hak individu yang ditetapkan dalam Bagian 2 di bawah, bahwa mereka tidak akan melibatkan perusahaan lain dalam memproses Informasi Pribadi tanpa izin tertulis kami dan tanpa menjalankan perjanjian yang membebankan kewajiban perlindungan data yang setara, bahwa mereka akan menghapus atau mengembalikan seluruh Informasi Pribadi kepada kami setelah mereka selesai memberikan layanan kepada kami atau atas permintaan kami, dan bahwa mereka akan mengizinkan perusahaan kami mengaudit serta memantau praktik mereka selama jangka waktu pemrosesan guna mematuhi persyaratan ini. Selain itu, jika pihak ketiga memproses Informasi Pribadi yang berasal dari suatu negara atau wilayah dengan hukum yang melarang pemindahan Informasi Pribadi, kami akan memastikan bahwa pemindahan kepada pihak ketiga tersebut memenuhi persyaratan pemindahan data lintas negara yang dijelaskan dalam (3) di bawah.

    • Apabila peran pihak ketiga adalah memasok Informasi Pribadi kepada perusahaan kami, sebelum mendapatkan Informasi Pribadi dari pihak ketiga, kami memastikan bahwa persyaratan Transparansi terkait pengumpulan Informasi Pribadi dari sumber lain dan yang secara khusus tidak ditujukan untuk perusahaan kami dipenuhi, serta kami mendapatkan pernyataan kontrak dari pihak ketiga yang menyatakan bahwa pemberian Informasi Pribadi kepada perusahaan kami tidak melanggar Hukum atau hak pihak ketiga mana pun.

    • Apabila peran pihak ketiga adalah menerima informasi dari perusahaan kami terkait pemprosesan yang secara khusus tidak ditujukan untuk perusahaan kami, sebelum memberikan informasi kepada pihak ketiga, kami memastikan bahwa informasi tersebut telah dijadikan anonim, dan kami mendapatkan jaminan tertulis dari pihak ketiga tersebut yang menyatakan bahwa mereka hanya akan menggunakannya untuk tujuan bisnis yang ditetapkan dalam perjanjian dan sesuai dengan undang-undang yang berlaku, serta bahwa mereka tidak akan mencoba mengidentifikasi ulang informasi tersebut.

    • Apabila pemindahan kepada pihak ketiga diwajibkan untuk melindungi kepentingan sah individu atau kepentingan sah perusahaan, kami dapat memindahkan informasi tersebut: (i) untuk tujuan pencegahan penipuan atau menjalankan dan melindungi hak serta properti perusahaan, (ii) untuk melindungi keselamatan pribadi karyawan kami atau pihak ketiga pada properti kami, dan (iii) untuk melindungi aset kami dengan mengambil tindakan keamanan perbaikan jika kami secara wajar menduga telah terjadi aktivitas melanggar hukum atau pelanggaran serius.

    • Apabila pihak ketiga merupakan target akuisisi atau kepentingan pengendalian oleh perusahaan kami, (i) sebelum menandatangani perjanjian untuk mengakuisisi pihak ketiga atau mengakuisisi suatu kepentingan pengendalian pada pihak ketiga, kami menyelesaikan uji tuntas privasi untuk mengevaluasi praktik privasi dan risiko terkait dengan akuisisi pihak ketiga tersebut atau kepentingan pengendalian pada pihak ketiga, dan (ii) kami menandatangani perjanjian pemindahan data yang menetapkan syarat dan ketentuan berdasarkan Informasi Pribadi yang dapat diungkapkan serta kebijakan perusahaan kami dan pihak ketiga masing-masing.

    • Apabila peran pihak ketiga adalah mengakuisisi seluruh atau sebagian bisnis perusahaan kami, sebelum membagikan Informasi Pribadi dalam kaitannya dengan penjualan aset atas bagian apa pun dari bisnis perusahaan kami, kami (i) menanda-tangani perjanjian pemindahan data yang menetapkan syarat dan ketentuan berdasarkan Informasi Pribadi yang dapat diungkapkan kepada pembeli, termasuk batasan yang tepat mengenai penggunaan Informasi Pribadi yang diizinkan dan kepatuhan terhadap standar yang ditetapkan dalam Kebijakan ini dan Hukum yang berlaku, (ii) meninjau seluruh elemen data mengenai orang lain sebelum membagikannya untuk mengevaluasi persyaratan pembagian, (iii) mendapatkan persetujuan untuk membagikan Informasi Pribadi atau Informasi Sensitif sesuai dengan prinsip Transparansi dan Batasan Tujuan Kebijakan ini, dan (iv) mewajibkan pihak ketiga untuk segera memberi tahu perusahaan kami terkait Insiden Privasi yang terjadi, termasuk ketidakmampuan untuk mematuhi standar yang ditetapkan dalam Kebijakan ini serta Undang-undang yang berlaku, dan bekerja sama untuk segera menanggulangi Insiden yang telah dibuktikan atau menghentikan Pemprosesan Informasi Pribadi terkait.

    (3) Kami memindahkan Informasi Pribadi secara lintas negara, termasuk ke Amerika Serikat, oleh atau atas nama perusahaan kami sesuai dengan Kebijakan ini. Kami akan menerapkan Kebijakan ini untuk pemindahan informasi Pribadi dari negara atau wilayah lain mana pun dengan hukum yang melarang pemindahan Informasi Pribadi, di samping mematuhi persyaratan yang diwajibkan oleh Undang-undang tersebut (termasuk penggunaan mekanisme yang diwajibkan untuk pemindahan lintas negara).

    8. Diizinkan Secara Hukum – Kami hanya memproses Informasi Pribadi jika telah memenuhi persyaratan undang-undang yang berlaku.

    • Sekalipun 7 prinsip privasi lainnya, beserta persyaratan hak Individu yang dijelaskan di bawah, dimaksudkan untuk memastikan persyaratan sebagian besar undang-undang privasi dan perlindungan data yang berlaku untuk bisnis kami di seluruh dunia telah dipenuhi, di beberapa negara, kami harus memenuhi persyaratan tambahan, termasuk namun tidak terbatas pada hal berikut:

      1) Apabila diperlukan, kami akan mendapatkan bentuk persetujuan khusus untuk memproses Informasi Pribadi tertentu, termasuk namun tidak terbatas pada, persetujuan pemprosesan oleh dewan tenaga kerja dan serikat pekerja lainnya;


      2) Apabila diperlukan, kami akan mendaftarkan pemprosesan Informasi Pribadi dengan atau meminta persetujuan otoritas pembuat peraturan privasi atau perlindungan data yang berwenang;


      3) Apabila diperlukan, kami akan memberikan hak yang lebih luas (misalnya hak akses dan perbaikan) dari yang ditetapkan dalam Kebijakan ini;


      4) Apabila diperlukan, kami selanjutnya akan membatasi periode penyimpanan data untuk Informasi Pribadi; dan


      5) Apabila diperlukan, kami akan menandatangani perjanjian yang berisi klausul kontrak khusus, termasuk perjanjian pemindahan data lintas negara kepada pihak ketiga;


      6) Apabila diperlukan, kami akan mengungkapkan informasi pribadi sehubungan dengan permintaan sah oleh otoritas publik, termasuk memenuhi persyaratan keamanan nasional atau penegakan hukum.


      Apabila terjadi perbedaan antara Kebijakan ini dan hukum yang berlaku, standar yang memberikan perlindungan lebih ketat kepada individu akan berlaku.

  2. Kami akan segera menangani permintaan hak individu untuk mengakses, mengubah, memperbaiki, atau menghapus Informasi Pribadi, menolak pemprosesan Informasi Pribadi tentang mereka, atau menjalankan hak lain terkait Informasi Pribadi mereka.

    1. Akses, Perbaikan, Penghapusan, dan hak lain – Sesuai dengan Hukum di sebagian besar negara tempat kami beroperasi, individu berhak mengakses Informasi Pribadi tentang mereka, dan mengubah, memperbaiki, atau menghapus Informasi Pribadi yang tidak akurat, tidak lengkap, atau tidak aktual. Kami akan menghormati semua permintaan untuk mengakses, memperbaiki, dan menghapus Informasi Pribadi dari semua individu sesuai dengan Bagian 3a di bawah ini. Apabila permintaan akses, perbaikan, atau penghapusan diatur oleh Hukum yang berlaku yang memberikan perlindungan lebih ketat terhadap individu, kami akan memastikan bahwa kami memenuhi persyaratan tambahan Hukum tersebut.
      Di beberapa negara, individu dapat memiliki hak lain sehubungan dengan Informasi Pribadi tentang diri mereka, seperti hak untuk melarang pemprosesan, menolak pemprosesan, ihat juga Bagian 2b di bawah), dan memindahkan data mereka ke penyedia layanan lain. Kami akan menghormati pelaksanaan hak data sesuai dengan Hukum yang berlaku.

    2. Pilihan – Sejalan dengan nilai privasi kami, yakni “Rasa Hormat” dan “Kepercayaan”, kami menghormati permintaan individu untuk menolak pemprosesan Informasi Pribadi, termasuk, namun tidak terbatas pada, menolak program atau aktivitas yang sebelumnya mereka menyetujui untuk berpartisipasi, pemprosesan Informasi Pribadi tentang mereka untuk komunikasi pemasaran langsung, komunikasi yang ditargetkan untuk mereka berdasarkan Informasi Pribadi tentang mereka, dan evaluasi atau keputusan apa pun tentang mereka yang berpotensi mempengaruhi mereka secara signifikan, yang merupakan hasil penggunaan automasi atau algoritme.

      1. Kecuali jika dilarang oleh Hukum, kami dapat menolak pilihan saat permintaan pilihan tertentu akan menghambat kemampuan perusahaan kami untuk: (1) mematuhi Hukum atau kewajiban etika, termasuk jika kami wajib mengungkapkan informasi pribadi sehubungan dengan permintaan sah oleh otoritas publik, termasuk untuk memenuhi persyaratan keamanan nasional atau penegakan hukum, (2) menyelidiki, membuat, atau membela diri dari klaim hukum, dan (3) melaksanakan kontrak, menjalin hubungan, atau terlibat dalam aktivitas bisnis lain yang diizinkan sesuai dengan prinsip Transparansi dan Batasan Tujuan serta yang disepakati sesuai dengan informasi tentang orang yang dimaksud. Dalam lima belas hari kerja setelah keputusan untuk menolak permintaan pilihan sesuai dengan Kebijakan ini, kami akan mendokumentasikan dan menyampaikan keputusan tersebut kepada pemohon.
  3. Kami akan segera menanggapi dan meneruskan semua pertanyaan terkait privasi, pengaduan, kekhawatiran, dan kemungkinan Insiden Privasi atau Insiden Keamanan apa pun

    1. Setiap individu pemilik Informasi Pribadi yang kami proses dalam cakupan Kebijakan ini dapat mengajukan pertanyaan, pengaduan, atau kekhawatiran pada perusahaan kami sewaktu-waktu, termasuk meminta daftar seluruh anak perusahaan kami yang tunduk pada Kebijakan ini. Kami mengharapkan karyawan kami dan pihak lain yang bekerja atas nama perusahaan untuk segera memberikan pemberitahuan jika mereka meyakini bahwa Hukum yang berlaku dapat mencegah mereka mematuhi Kebijakan ini. Pertanyaan, pengaduan, atau kekhawatiran apa pun yang diajukan oleh Individu, atau pemberitahuan yang diberikan oleh karyawan atau pihak lain yang bekerja atas nama kami harus dikirimkan ke Kantor Privasi Global MSD:
      1. Melalui email ke: msd_privacy_office@msd.com

      2. Melalui surat pos ke: Kantor Privasi, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.

    2. Karyawan dan kontraktor wajib segera memberi tahu Kantor Privasi Global MSD, atau Pengawas Privasi yang ditunjuk untuk area bisnis mereka, mengenai pertanyaan, pengaduan, atau kekhawatiran terkait praktik privasi perusahaan kami.

    3. Kantor Privasi Global MSD akan meninjau dan menyelidiki, atau akan bekerja sama dengan Kantor Etika, Hukum, dan/atau Kepatuhan untuk menyelidiki, semua pertanyaan, pengaduan, atau kekhawatiran terkait praktik privasi perusahaan kami, baik yang diterima langsung dari karyawan atau individu lain maupun melalui pihak ketiga, termasuk, namun tidak terbatas pada badan pembuat peraturan, agen akuntabilitas, dan otoritas pemerintah lain. Kami akan menanggapi individu atau entitas yang mengajukan pertanyaan, pengaduan, atau kekhawatiran kepada perusahaan kami dalam tiga puluh (30) hari kalender, kecuali jika Hukum atau pemohon pihak ketiga mewajibkan tanggapan dalam periode yang lebih singkat atau kecuali jika situasi tertentu, seperti penyelidikan pemerintah yang dilaksanakan pada saat bersamaan, mewajibkan jangka waktu yang lebih panjang, yang dalam hal ini individu atau pemohon pihak ketiga sesegera mungkin akan menerima pemberitahuan secara tertulis terkait sifat umum keadaan yang menyebabkan penundaan tersebut.

    4. Kantor Privasi Global MSD, melalui kerja sama dengan Hukum dan Kepatuhan, akan bekerja sama dalam menanggapi permintaan informasi, inspeksi, atau penyelidikan otoritas pembuat peraturan privasi.

    5. Untuk pengaduan yang tidak dapat diselesaikan antara perusahaan kami dan individu yang menyampaikan pengaduan, perusahaan kami telah setuju untuk berpartisipasi dalam prosedur penyelesaian sengketa berikut dalam penyelidikan serta penyelesaian pengaduan guna menyelesaikan sengketa sesuai dengan Kebijakan ini, namun demikian, kapan pun, individu yang tinggal di EEA atau individu pemilik Informasi Pribadi yang mendapat pemberlakuan Hukum perlindungan data EEA serta dipindahkan ke luar EEA, juga dapat memanfaatkan standar 3.f. di bawah ini:
      1. untuk sengketa yang melibatkan semua Informasi Pribadi yang diterima oleh perusahaan kami dari Swiss, perusahaan kami telah setuju untuk bekerja sama dengan FDPIC Swiss.

      2. untuk sengketa yang melibatkan pemindahan Informasi Pribadi terkait aktivitas sumber daya manusia dan dikumpulkan dalam konteks hubungan ketenagakerjaan di EEA ke A.S., perusahaan kami juga berkomitmen untuk bekerja sama dengan panel otoritas perlindungan data UE yang sesuai.

      3. untuk sengketa yang melibatkan semua Informasi Pribadi lain sesuai dengan Kebijakan ini, termasuk, namun tidak terbatas pada sengketa yang melibatkan kepatuhan perusahaan kami terhadap Kerja Sama Ekonomi Asia Pasifik (Asia Pacific Economic Cooperation atau “APEC”) Aturan Privasi Lintas Negara (Cross-Border Privacy Rules atau “CBPR”), Perlindungan Privasi UE A.S. dan Swiss-AS, perusahaan kami telah setuju untuk menyelesaikan sengketa dengan TRUSTe, penyedia layanan penyelesaian sengketa di A.S. Individu yang mengajukan pertanyaan atau kekhawatiran pada perusahaan kami dan tidak menerima pernyataan dari perusahaan kami tentang permintaan informasi tersebut atau merasa pertanyaan atau kekhawatiran mereka belum dijawab secara memuaskan harus menghubungi Program Penyelesaian Sengketa TRUSTe di Internet, melalui surat, atau faks. Permintaan informasi melalui surat atau faks harus mencantumkan Merck & Co. atau MSD sebagai penerima laporan kekhawatiran atau pertanyaan, serta menyertakan penjelasan kekhawatiran privasi tersebut, nama individu yang mengajukan permintaan informasi, serta keterangan jika TRUSTe dapat membagikan perincian permintaan informasi tersebut dengan perusahaan kami. TRUSTe akan bertindak sebagai penghubung bagi perusahaan kami untuk menyelesaikan sengketa tersebut.

      4. Untuk informasi tentang TRUSTe atau operasi proses penyelesaian sengketa TRUSTe, kunjungi TRUSTe di Internetatau ajukan permintaan informasi ini dari TRUSTe melalui email atau faks menggunakan informasi kontak yang tercantum di atas. Proses penyelesaian sengketa TRUSTe akan dilaksanakan dalam bahasa Inggris.

      5. Untuk sengketa yang timbul dalam Perlindungan Privasi UE-A.S. dan Swiss-AS yang tidak diselesaikan melalui langkah yang dijelaskan pada bagian ini, individu dapat memilih untuk memohon arbitrase yang mengikat sesuai dengan prosedur bagi Panel Perlindungan Privasi yang ditetapkan dalam Perlindungan Privasi UE-A.S./Swiss-A.S.

    6. Semua individu yang tinggal di EEA, atau individu pemilik Informasi Pribadi yang mendapat pemberlakuan Hukum perlindungan data EEA dan dipindahkan ke luar EEA, pemilik informasi yang diproses sesuai dengan Kebijakan ini berhak, kapan pun, untuk memberlakukan persyaratan Kebijakan ini sebagai penerima pihak ketiga, termasuk hak untuk melakukan tindakan hukum guna meminta pemulihan atas pelanggaran haknya dalam Kebijakan ini (sebagaimana ditetapkan dalam Bagian 2 di atas) serta hak untuk menerima ganti rugi yang timbul akibat pelanggaran tersebut. Individu yang tinggal di EEA atau individu pemilik Informasi Pribadi yang mendapat pemberlakuan Hukum perlindungan data EEA dan dipindahkan ke luar EEA (demi kejelasan, termasuk ke AS), dapat mengajukan klaim atau pengaduan sesuai dengan Kebijakan ini, pada Merck Sharp & Dohme (Europe) Inc. – Cabang Belgia (“MSD Eropa”):

      1. Di pengadilan atau dengan otoritas perlindungan data di negara EEA tempat asal pemindahan Informasi Pribadi tentang mereka

      2. Di pengadilan atau dengan otoritas perlindungan data di negara EEA tempat tinggal mereka, atau

      3. Di pengadilan Belgia atau dengan Komisi Privasi Belgia.

    7. Perusahaan kami akan menanggapi setiap individu atau entitas yang mengajukan pertanyaan, pengaduan, atau kekhawatiran dalam tiga puluh (30) hari kalender, kecuali jika Hukum atau pemohon pihak ketiga mengharuskan tanggapan dalam periode lebih singkat atau kecuali jika keadaan mengharuskan periode lebih panjang, dan individu atau pemohon pihak ketiga tersebut akan menerima pemberitahuan tertulis.

  4. Kami bertanggung jawab untuk menjunjung nilai dan standar privasi kami.

    1. Anak perusahaan kami yang melakukan tindakan yang dapat menimbulkan Insiden Privasi atau Insiden Keamanan yang berhasil dibuktikan bertanggung jawab dari segi keuangan untuk membayar klaim kerugian atau denda atau penalti akibat Insiden Privasi atau Insiden Keamanan tersebut.
      1. Bekerja sama dengan dan sesuai dengan arahan Kantor Privasi Global MSD, MSD Eropa bertanggung jawab untuk memastikan pengambilan tindakan yang diperlukan guna menjawab dugaan pelanggaran Kebijakan ini oleh anak perusahaan dari perusahaan kami di luar EEA yang berdampak pada individu yang tinggal di EEA atau individu pemilik Informasi Pribadi yang mendapat pemberlakuan Hukum perlindungan data EEA dan dipindahkan ke luar EEA, serta, jika perlu, membayar denda, penalti, atau kerugian akibat pelanggaran Kebijakan ini yang berdampak pada individu yang tinggal di EEA atau individu pemilik Informasi Pribadi yang mendapat pemberlakuan Hukum perlindungan data EEA dan dipindahkan ke luar EEA. Dengan dukungan Kantor Privasi Global MSD dan anak perusahaan dari perusahaan kami di luar EEA yang bertanggung jawab terhadap EEA atas dugaan pelanggaran, MSD Eropa akan bertanggung jawab untuk menunjukkan bahwa perusahaan kami tidak bertanggung jawab atas dugaan pelanggaran tersebut. Apabila anak perusahaan lain dari perusahaan kami bertanggung jawab atas tindakan yang mengakibatkan denda, penalti, atau ganti rugi, anak perusahaan tersebut dapat diminta untuk segera mengganti biaya ke MSD Eropa sesuai dengan jumlah yang dibayarkan oleh MSD Eropa. Apabila anak perusahaan kami yang lain di luar EEA melanggar Kebijakan ini, pengadilan atau otoritas perlindungan data di EEA akan menggelar yurisdiksi dan individu terdampak akan berhak meminta pemulihan dari MSD Eropa sebagaimana ditetapkan pada Bagian 3.f. di atas.

      2. Bekerja sama dengan dan sesuai arahan Kantor Privasi Global MSD, Merck Sharp & Dohme Corp. bertanggung jawab untuk memastikan pengambilan tindakan yang diperlukan guna menjawab dugaan pelanggaran Kebijakan ini yang berdampak pada individu yang tinggal di luar EEA dan, jika perlu, membayar denda, penalti, atau kerugian yang diderita akibat pelanggaran Kebijakan ini yang berdampak pada individu yang tinggal di luar EEA atau individu pemilik Informasi Pribadi yang tidak mendapat pemberlakuan Hukum perlindungan data EEA. Apabila anak perusahaan kami yang lain melakukan tindakan yang mengakibatkan denda, penalti, atau ganti rugi, anak perusahaan tersebut dapat diwajibkan untuk segera mengganti biaya ke Merck Sharp & Dohme Corp. sesuai jumlah yang dibayarkan oleh Merck Sharp & Dohme Corp.