Kebijakan Aturan Privasi Lintas Negara Global

Tanggal Tinjauan: 1 September 2023
Tanggal Berlaku: 1 September 2023

Kami berupaya menjalankan bisnis sesuai dengan nilai privasi karena kami meyakini nilai ini menunjukkan komitmen teguh terhadap praktik etis dan bertanggung jawab. Kami menyadari bahwa inovasi dan teknologi baru mendorong perubahan berkelanjutan dalam hal risiko, ekspektasi, dan peraturan perundang-undangan, sehingga kami mematuhi standar akuntabilitas privasi dan bertujuan untuk segera menyesuaikan praktik kami sebagai tanggapan atas perubahan tersebut.

Kebijakan ini menetapkan standar global untuk manajemen dan perlindungan Informasi Pribadi oleh atau atas nama perusahaan kami, terlepas dari negara tempat asalnya atau tempat Informasi Pribadi tersebut ditransfer. Kebijakan ini menjelaskan komitmen inti kami yang mendukung kepatuhan pada sertifikasi Aturan Privasi Lintas Negara APEC, Aturan Perusahaan yang Mengikat (Binding Corporate Rules atau “BCR”), yang telah disetujui di Uni Eropa, dan sertifikasi kami sendiri di UE-AS Program Kerangka Kerja Privasi Data (DPF), Ekstensi Inggris untuk DPF dan Swiss-AS Program Kerangka Kerja Privasi Data.

Perusahaan kami mematuhi Program Kerangka Kerja Privasi Data UE-AS (UE-AS DPF), Ekstensi Inggris untuk UE-AS DPF, dan Swiss-AS Program Kerangka Kerja Privasi Data (Swiss-AS DPF) sebagaimana ditetapkan oleh Departemen Perdagangan AS. Kami telah memberikan sertifikasi kepada Departemen Perdagangan AS bahwa kami mematuhi UE-AS Prinsip Kerangka Kerja Privasi Data (Prinsip UE-AS DPF) sehubungan dengan pemrosesan data pribadi yang diterima dari Uni Eropa dengan mengandalkan UE-AS DPF dan dari Inggris Raya (dan Gibraltar) dengan mengandalkan Ekstensi Inggris Raya hingga UE-AS DPF. Kami telah memberikan sertifikasi kepada Departemen Perdagangan AS bahwa kami mematuhi Swiss-AS Prinsip Program Kerangka Kerja Privasi Data (Prinsip Swiss-AS DPF) sehubungan dengan pemrosesan data pribadi yang diterima dari Swiss dengan mengandalkan Swiss-AS DPF. Jika terdapat pertentangan antara persyaratan dalam kebijakan ini dan Prinsip UE-AS DPF dan/atau Prinsip Swiss-AS DPF, Prinsip akan mengatur. Untuk mempelajari lebih lanjut tentang program Kerangka Kerja Privasi Data (DPF), dan untuk melihat sertifikasi kami, kunjungi https://www.dataprivacyframework.gov/.

Kebijakan ini berlaku untuk operasi kami di setiap negara, untuk setiap aktivitas yang melibatkan informasi tentang orang lain yang kami lakukan di setiap anak perusahaan dan setiap divisi (termasuk oleh setiap penerus bisnis kami), termasuk, namun tidak terbatas pada aktivitas riset, manufaktur, komersial, dukungan perusahaan, dan pemindahan data yang diperlukan untuk melaksanakan aktivitas tersebut, termasuk, namun tidak terbatas pada:

• Penelitian dan Manufaktur: mengevaluasi kebutuhan dan peluang untuk inovasi medis dan kesehatan; memulai, mengelola, dan mendanai studi riset; mengevaluasi dan merekrut peneliti, anggota komite ilmiah dan etika, serta mitra bisnis untuk mendukung studi riset dan pengembangan produk kami; perekrutan studi penelitian; mengevaluasi keamanan, kemanjuran, dan kualitas produk penyelidikan dan yang dipasarkan; memenuhi kewajiban kami atas keamanan dan kualitas produk, termasuk penanganan dan pelaporan kejadian yang tidak diinginkan dan keluhan kualitas produk; pengajuan untuk mendapatkan persetujuan dan mendaftarkan produk pada otoritas pembuat peraturan kesehatan; dan mematuhi persyaratan hukum, peraturan, atau etika terkait;
• Komersial: mengevaluasi pasar untuk produk kami; periklanan, pemasaran, penjualan, distribusi, dan pengiriman produk; berkomunikasi serta terlibat dengan pelanggan tenaga medis profesional, pembayar perawatan kesehatan, pasien, dan pengguna lain produk kami, serta perawat dari pengguna produk kami; mensponsori dan menyelenggarakan acara; mengevaluasi dan melibatkan mitra bisnis untuk mendukung aktivitas komersial kami; dan mematuhi persyaratan hukum, pembuat peraturan, atau etis terkait;
• Dukungan Perusahaan: merekrut, mempekerjakan, mengelola, mengembangkan, berkomunikasi dengan, dan memberikan kompensasi untuk karyawan; mengelola tunjangan karyawan dan tanggungan mereka; melakukan tinjauan atas kinerja dan talenta karyawan; memberikan pelatihan dan program pembelajaran dan pengembangan lainnya; melaksanakan tindakan disiplin atas karyawan dan keluhan karyawan; mengelola masalah etika dan privasi dan melakukan penyelidikan; mengelola dan mengamankan aset dan infrastruktur fisik dan virtual kami; pengadaan dan pembayaran barang dan jasa; memenuhi komitmen atas lingkungan, kesehatan dan keselamatan kami serta tanggung jawab perusahaan lainnya; berinteraksi dengan media; dan mematuhi persyaratan hukum, peraturan, atau etika terkait.

Kebijakan ini juga berlaku untuk semua orang yang informasinya kami proses, termasuk, namun tidak terbatas pada, tenaga medis profesional dan pelanggan lainnya; calon karyawan, karyawan yang ada, serta mantan karyawan dan tanggungannya, pasien, perawat, peneliti, dan peserta studi riset, anggota komite sains dan etika, mitra bisnis, investor, dan pemegang saham, pejabat pemerintah, serta pemangku kepentingan lainnya.

Semua karyawan perusahaan dan pimpinan senior yang memiliki tanggung jawab privasi utama yang harus mereka junjung.

Kami menyadari bahwa kesalahan yang tidak disengaja dan kesalahan penilaian perlindungan informasi mengenai seseorang dapat menciptakan risiko privasi bagi individu serta risiko reputasi, operasional, keuangan, dan kepatuhan bagi Perusahaan kami. Kami akan menyediakan pelatihan yang sesuai mengenai Kebijakan ini bagi semua karyawan dan personel lain yang memiliki akses permanen atau reguler terhadap Informasi Pribadi, yang terlibat dalam pengumpulan data, atau dalam pengembangan alat bantu yang digunakan untuk memproses Informasi Pribadi. Setiap karyawan perusahaan kami, dan pihak lain yang memproses informasi setiap orang untuk perusahaan, bertanggung jawab untuk memahami dan menjunjung kewajibannya sesuai dengan Kebijakan ini dan Undang-undang yang berlaku.

Nilai dan Standar Privasi Kami

Kami menjunjung tinggi nilai privasi kami dalam segala hal yang kami lakukan yang melibatkan orang termasuk cara kami menerapkan standar privasi kami. Empat nilai privasi kami adalah:

Rasa Hormat	Kepercayaan	Mencegah Kerugian	Patuh
Kami menyadari bahwa masalah privasi sering kali berkaitan dengan esensi siapa kita, bagaimana kita memandang dunia dan bagaimana kita mendefinisikan diri kita, sehingga kita berupaya untuk menghargai perspektif dan minat individu dan komunitas dan bersikap adil dan transparan dalam cara kita menggunakan dan membagikan informasi tentang mereka.	Kami memahami bahwa kepercayaan adalah kunci kesuksesan kami. Oleh karena itu, kami berupaya membangun dan mempertahankan kepercayaan pelanggan, karyawan, pasien, serta pemangku kepentingan lain melalui cara kami menghormati privasi dan melindungi informasi setiap orang.	Kita menyadari bahwa penyalahgunaan informasi setiap orang dapat menyebabkan kerugian langsung dan tidak langsung pada individu, maka dari itu kita berupaya mencegah kerugian fisik, finansial, reputasi, dan bentuk kerugian privasi lain bagi setiap individu.	Kita mempelajari bahwa undang-undang dan regulasi tidak selalu mampu mengimbangi perkembangan ranah teknologi, alur data, dan pergeseran yang pesat terkait dengan risiko dan harapan privasi. Maka dari itu, kami berupaya mematuhi semangat serta undang-undang dan regulasi perlindungan data dan privasi sedemikian rupa demi mendorong konsistensi serta efisiensi operasi untuk operasi bisnis global kita.

1. Kami menanamkan standar privasi kami dalam semua aktivitas, proses, teknologi, dan hubungan dengan pihak ketiga yang menggunakan Informasi Pribadi. Kami merancang pengendalian privasi dalam proses dan teknologi kami yang sejalan dengan nilai dan standar privasi kami serta hukum yang berlaku. 8 prinsip privasi yang ditetapkan di bawah ini merangkum standar privasi dan persyaratan inti kami untuk proses, aktivitas, dan teknologi pendukungnya pada tingkat tinggi.

   Prinsip Privasi	Komitmen Inti Kami
   1. Kebutuhan –Sebelum mengumpulkan, menggunakan, atau membagikan Informasi Pribadi, kami menetapkan dan mendokumen-tasikan tujuan bisnis yang spesifik dan sah yang diperlukan.	Kami menentukan dan mendokumentasikan durasi Informasi Pribadi yang dibutuhkan untuk tujuan bisnis yang ditetapkan serta persyaratan hukum yang berlaku. Kami tidak mengumpulkan, menggunakan, atau membagikan Informasi Pribadi lebih daripada yang diperlukan atau menyimpannya dalam bentuk yang dapat diidentifikasi selama lebih dari yang diperlukan untuk tujuan bisnis yang ditetapkan serta persyaratan hukum yang berlaku. Kami membuat data menjadi anonim saat persyaratan bisnis memerlukan informasi tentang aktivitas atau proses disimpan untuk periode waktu yang lebih lama. Kami memastikan bahwa persyaratan kebutuhan ini dirancang dalam setiap teknologi pendukung dan bahwa hal tersebut disampaikan kepada pihak ketiga yang mendukung aktivitas atau proses tersebut.
   2. Keadilan – Kami tidak memproses Informasi Pribadi dengan cara yang tidak adil bagi orang yang terkait dengan data tersebut.	Kami menentukan apakah pengumpulan yang diajukan, penggunaan, atau pemrosesan Informasi Pribadi lainnya menunjukkan kemungkinan dan/atau risiko parah untuk kerugian langsung atau tidak langsung terhadap individu sesuai dengan nilai privasi untuk Mencegah Kerugian. Apabila sifat data, jenis individu, atau aktivitas menunjukkan kemungkinan dan/atau kerugian langsung bagi individu, kami memastikan bahwa risiko kerugian tersebut lebih besar daripada manfaatnya yang sesuai bagi individu tersebut atau misi kami untuk menyelamatkan dan meningkatkan kehidupan, dan dimitigasi dengan langkah-langkah, pengamanan dan mekanisme yang telah kami terapkan. Apabila risiko tampak lebih besar dari manfaatnya bagi individu, kami menerapkan langkah keamanan dan perlindungan yang paling relevan, memberi tahu individu tentang fakta ini dan kami meminta saran dari otoritas pembuat peraturan yang kompeten jika memungkinkan. Kami hanya memproses Informasi Sensitif dengan persetujuan eksplisit dari individu, sebagaimana diwajibkan atau diizinkan secara tegas oleh hukum yang berlaku, Apabila risikonya tampak lebih besar dibandingkan manfaatnya bagi individu, kami mendokumentasikan analisis risiko dan merancang semua mekanisme yang diperlukan untuk meminimalkan risiko sebanyak mungkin.
   3. Transparansi – Kami tidak memproses Informasi Pribadi dalam cara atau tujuan yang tidak transparan.	Semua individu yang Informasi Pribadinya diproses berdasarkan Kebijakan ini berhak atas salinan Kebijakan ini. Kami akan membuat salinan Kebijakan ini tersedia secara online di https://www.msdprivacy.com/index.html. Kantor Privasi Global akan menyediakan salinan elektronik dan/atau tercetak dari Kebijakan ini atas permintaan di alamat yang tercantum di bawah ini. Bila Informasi Pribadi dikumpulkan secara langsung dari individu, kami akan menginformasikan kepada mereka, sebelum pengumpulan informasi tersebut dan melalui pemberitahuan privasi yang jelas, mencolok, dan mudah diakses atau cara serupa, dari (1) entitas perusahaan atau entitas yang bertanggung jawab atas pemrosesan, (2) perincian kontak Chief Privacy Officer kami dan/atau Petugas Privasi Data regional/lokal, (3) informasi apa yang akan dikumpulkan, (4) tujuan penggunaannya, (5) dasar hukum pemrosesan kami, (6) dengan siapa informasi itu akan dibagikan, termasuk persyaratan untuk mengungkapkan Informasi Pribadi dalam merespons perintah hukum oleh otoritas pemerintah lainnya, (7) apakah dan bagaimana kami akan mentransfer Informasi Pribadi ke negara lain, termasuk negara yang relevan jika memungkinkan (8) berapa lama informasi tersebut akan dipertahankan atau kriteria yang kami gunakan untuk menentukannya, (9) bagaimana mereka dapat mengajukan pertanyaan, menyampaikan kekhawatiran, atau menggunakan hak mereka terkait dengan Informasi Pribadi mereka, (10) bagaimana mereka dapat menarik persetujuan yang telah diberikan, (11) hak mereka untuk mengajukan keluhan kepada otoritas pengawas, (12) kewajiban apa pun untuk memberikan Informasi Pribadi dan konsekuensi jika tidak melakukannya, (13) pengambilan keputusan otomatis apa pun, termasuk pembuatan profil, yang akan dilaksanakan, dan (14) tautan ke Kebijakan ini, jika memungkinkan dan sesuai. Pemberitahuan privasi komprehensif kami untuk banyak pemangku kepentingan tersedia secara online di http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html Bila Informasi Pribadi diperoleh melalui pengamatan, sensor, atau cara tidak langsung lainnya, memberikan pemberitahuan privasi secara langsung kepada individu tersebut pada waktu informasi dikumpulkan mungkin tidak dapat dilakukan. Dalam kasus tersebut, kami memastikan transparansi kepada individu melalui cara lain, seperti memposting atau mencetak pada perangkat atau material yang berhubungan dengan perangkat yang akan mendapatkan informasi tersebut. Bila Informasi Pribadi dikumpulkan melalui situs web, aplikasi seluler, atau aplikasi atau sumber daya online lainnya, , kami menerapkan standar teknologi tertentu yang ditetapkan dalam Kebijakan Privasi Internet dan Komitmen Privasi Cookie kami guna memastikan persyaratannya yang transparan sesuai dengan Kebijakan ini, terpenuhi. Bila Informasi Pribadi dikumpulkan dari sumber lain dan tidak secara khusus diarahkan oleh perusahaan kami, sebelum mendapatkan informasi tersebut, kami memverifikasi secara tertulis bahwa penyedia informasi telah memberi tahu individu tentang cara dan tujuan perusahaan kami bermaksud menggunakan informasi tersebut. Apabila verifikasi tertulis tidak dapat diperoleh dari penyedia informasi, kami hanya menggunakan informasi anonim, atau sebelum menggunakan Informasi Pribadi, kami memberi tahu individu terdampak melalui pemberitahuan privasi atau cara serupa untuk (1) entitas atau entitas perusahaan kami yang bertanggung jawab untuk memproses informasi, (2) perincian kontak Kepala Pejabat Privasi dan/atau Pejabat Perlindungan Data regional/setempat, (3) informasi yang akan digunakan, (4) tujuan perusahaan menggunakannya, (5) dasar hukum untuk pemrosesan kami, (6) dengan siapa perusahaan akan membagikannya, (7) jika dan cara kami akan memindahkan Informasi Pribadi ke negara lain, termasuk negara terkait jika memungkinkan, (8) lama perusahaan kami berencana menyimpannya atau kriteria yang ditetapkan oleh kami, (9) cara mereka dapat mengajukan pertanyaan, menyampaikan kekhawatiran, atau melaksanakan hak mereka terkait Informasi Pribadi, (10) cara mereka dapat menarik setiap persetujuan yang telah diberikan, (11) hak mereka untuk menyampaikan pengaduan kepada otoritas pengawas, (12) kewajiban apa pun untuk memberikan Informasi Pribadi dan konsekuensi tidak melakukannya, (13) pengambilan keputusan otomatis apa pun, termasuk pembuatan profil, yang akan kami laksanakan, dan (14) tautan menuju Kebijakan ini, jika memungkinkan dan sesuai. Kami memastikan bahwa mekanisme transparansi yang diperlukan, termasuk, jika memungkinkan, mekanisme yang mendukung permintaan hak individu, dirancang untuk mendukung teknologi, dan bahwa pihak ketiga yang mendukung aktivitas atau proses tersebut tidak memproses informasi tentang orang dengan cara yang tidak sesuai dengan apa yang dimiliki individu. telah diberi tahu melalui pemberitahuan privasi atau cara lain yang dapat diverifikasi bahwa kami dan orang lain yang bekerja untuk kami akan menangani informasi tersebut. Saat kami meminta persetujuan, kami mendapatkan dan mendokumentasikan bukti persetujuan dalam teknologi pendukung kami.
   4. Batasan Tujuan – Kami hanya menggu-nakan Informasi Pribadi sesuai dengan prinsip Kebutuhan dan Transparansi.	Jika tujuan bisnis baru yang sah diidentifikasi untuk Informasi Pribadi yang sebelumnya dikumpulkan, kami mendapatkan persetujuan individu untuk penggunaan baru Informasi Pribadi, atau kami memastikan bahwa tujuan bisnis baru kompatibel dengan, termasuk secara material mirip dengan, tujuan yang dijelaskan dalam pemberitahuan privasi atau mekanisme transparansi lain yang sebelumnya diberikan kepada individu. Kami akan menentukan kompatibilitas berdasarkan (1) hubungan antara tujuan awal dan tujuan baru yang diusulkan, (2) harapan wajar dari individu, (3) sifat Informasi Pribadi, (4) konsekuensi pemrosesan lebih lanjut bagi individu, dan (5) perlindungan yang telah diterapkan. Kami tidak menerapkan prinsip ini pada informasi anonim atau di mana kami menggunakan Informasi Pribadi semata-mata untuk tujuan penelitian sejarah dan ilmiah dan (1) Komite Peninjauan Etika, atau peninjau kompeten lainnya, telah menentukan bahwa risiko penggunaan tersebut terhadap privasi dan hak-hak lain dari individu dapat diterima, (2) kami telah menerapkan perlindungan yang sesuai untuk memastikan minimalisasi data, (3) data pribadi dibuat anonim dan (4) semua hukum lain yang berlaku dihormati. Kami memastikan bahwa pembatasan batasan tujuan dirancang dalam teknologi pendukung, termasuk kemampuan pelaporan dan pembagian data sektor hilir.
   5. Kualitas Data – Kami menyimpan Informasi Pribadi yang akurat, lengkap dan konsisten terkini dengan tujuan penggunaannya.	Kami memastikan bahwa mekanisme peninjauan data rutin dirancang dalam teknologi pendukung guna memvalidasi keakuratan data terhadap sumber dan sistem sektor hilir. Kami memastikan Informasi Sensitif dinyatakan akurat dan aktual sebelum digunakan, dievaluasi, dianalisis, dilaporkan, atau diproses dengan cara lain yang menunjukkan risiko ketidakadilan kepada sejumlah orang jika data tidak akurat atau kedaluwarsa digunakan. Apabila dilakukan perubahan pada informasi pribadi oleh perusahaan kami atau pihak ketiga yang bekerja untuk perusahaan kami, kami memastikan bahwa perubahan tersebut disampaikan kepada individu yang relevan secara tepat waktu dan wajar jika memungkinkan.
   6. Keamanan –Kami menerapkan pengamanan untuk melindungi Informasi Pribadi dan Informasi Sensitif dari kerugian, penyalahgunaan, dan akses, pengungkapan, pengubahan, atau pemusnahan tanpa izin.	Kami telah menerapkan program keamanan informasi yang komprehensif dan menerapkan pengawasan keamanan berdasarkan sensitivitas informasi dan tingkat risiko aktivitas, mempertimbangkan praktik terbaik teknologi terkini dan biaya penerapannya. Kebijakan keamanan fungsional kami termasuk, namun tidak terbatas pada, standar mengenai kelangsungan bisnis dan pemulihan bencana, enkripsi, manajemen identitas dan akses, klasifikasi informasi, manajemen insiden keamanan informasi, pengawasan akses jaringan, keamanan fisik, dan manajemen risiko.
   7. Transfer Data – Kami bertanggung jawab dan kami menjaga perlindungan privasi Informasi Pribadi saat dipindahkan ke atau dari organisasi lain atau lintas negara.	(1) Kami memindahkan Informasi Pribadi dalam perusahaan kami jika persyaratan berikut dipenuhi: (1) pembagian diperlukan untuk memenuhi tujuan Informasi Pribadi yang dikumpulkan sebelumnya atau kepentingan sah lain perusahaan, dan (2) tujuan penggunaannya, dan fakta bahwa informasi tersebut akan dibagikan, sejalan dengan pemberitahuan privasi atau mekanisme transparansi lain yang sebelumnya diberikan kepada individu pada saat Informasi Pribadi dikumpulkan dan individu tersebut memberikan persetujuan mereka jika perlu. (3) jika salah satu anak perusahaan kami bertindak semata-mata atas nama anak perusahaan kami yang lain dalam pemrosesan Informasi Pribadi, (4) jika diwajibkan oleh hukum, anak perusahaan kami tersebut akan melaksanakan perjanjian pemrosesan data internal sesuai dengan Prinsip 8 dalam Kebijakan ini. (5) jika infrastruktur TI mewajibkan pemindahan tersebut, asalkan semua langkah keamanan dan organisasi yang tepat sudah ada untuk membuat persyaratan transfer tersebut. (2) Kami hanya memindahkan Informasi Pribadi ke atau mengizinkannya diproses oleh pihak ketiga jika persyaratan berikut dipenuhi dan kami bertanggung jawab untuk memastikan pihak ketiga yang kami libatkan memenuhi persyaratan ini: Jika peran pihak ketiga adalah memproses Informasi Pribadi untuk atau atas nama perusahaan kami, sebelum memberikan Informasi Pribadi kepada pihak ketiga atau melibatkan pihak ketiga, kami akan: (1) menyelesaikan uji tuntas privasi untuk mengevaluasi praktik privasi dan risiko yang terkait dengan pihak ketiga tersebut, (2) mendapatkan jaminan kontraktual dari pihak ketiga yang akan memproses Informasi Pribadi sesuai hanya dengan instruksi perusahaan kami, dan sesuai dengan kebijakan ini, termasuk tanpa batasan pada 8 Prinsip Privasi dan standar lain yang ditetapkan dalam kebijakan ini, dan undang-undang yang berlaku, bahwa mereka akan segera memberi tahu perusahaan kami tentang insiden privasi apa pun, termasuk ketidakmampuan untuk mematuhi standar yang ditetapkan dalam kebijakan ini dan undang-undang yang berlaku, atau insiden keamanan, dan bekerja sama untuk segera memperbaiki insiden yang dibuktikan dan untuk menangani hak individu yang ditetapkan dalam bagian 2 di bawah ini, bahwa mereka tidak akan melibatkan perusahaan lain untuk memproses informasi pribadi tanpa otorisasi tertulis dari kami dan tanpa memasang perjanjian memberlakukan kewajiban perlindungan data yang setara, bahwa mereka akan menghapus atau mengembalikan kepada kami semua Informasi Pribadi setelah mereka selesai menyediakan layanan kepada kami atau atas permintaan kami, dan bahwa mereka akan mengizinkan perusahaan kami untuk mengaudit dan memantau praktik mereka selama durasi pemrosesan untuk kepatuhan terhadap persyaratan ini. Selain itu, jika pihak ketiga memproses Informasi Pribadi yang berasal dari suatu negara atau wilayah dengan hukum yang melarang pemindahan Informasi Pribadi, kami akan memastikan bahwa pemindahan kepada pihak ketiga tersebut memenuhi persyaratan untuk pemindahan data lintas negara yang dijelaskan dalam (3) di bawah ini. Jika peran pihak ketiga adalah memasok Informasi Pribadi kepada perusahaan kami, sebelum memperoleh Informasi Pribadi dari pihak ketiga, kami memastikan bahwa persyaratan transparansi untuk mengumpulkan Informasi Pribadi dari sumber lain dan tidak secara khusus atas arahan perusahaan kami terpenuhi, dan kami memperoleh pernyataan kontraktual dari pihak ketiga bahwa hal itu tidak melanggar hukum apa pun atau hak pihak ketiga mana pun dengan memberikan Informasi Pribadi kepada perusahaan kami. Apabila peran pihak ketiga adalah menerima informasi dari perusahaan kami untuk pemrosesan yang tidak secara khusus diarahkan oleh perusahaan kami, sebelum memberikan informasi kepada pihak ketiga, kami memastikan bahwa informasi tersebut telah dianonimisasi, dan kami memperoleh jaminan tertulis dari pihak ketiga bahwa mereka akan menggunakan informasi tersebut hanya untuk tujuan bisnis yang ditentukan dalam perjanjian ini dan sesuai dengan undang-undang yang berlaku, dan bahwa mereka tidak akan berupaya untuk mengidentifikasi ulang informasi tersebut. Apabila transfer kepada pihak ketiga diperlukan untuk melindungi kepentingan sah individu atau milik perusahaan, maka kami dapat memindahkan informasi tersebut: (1) untuk tujuan pencegahan penipuan atau untuk menegakkan atau melindungi hak dan properti perusahaan, (2) untuk perlindungan keselamatan pribadi karyawan kami atau pihak ketiga di properti kami, dan (3) untuk melindungi aset kami dengan mengambil tindakan keamanan perbaikan jika kami secara wajar menduga bahwa aktivitas melanggar hukum atau pelanggaran serius telah terjadi. Apabila pihak ketiga adalah target akuisisi atau kepentingan pengendalian yang dilakukan oleh perusahaan kami, (1) sebelum menandatangani perjanjian untuk mengakuisisi pihak ketiga atau untuk mengakuisisi kepentingan pengendalian terhadap pihak ketiga, kami menyelesaikan uji tuntas privasi untuk mengevaluasi praktik privasi dan risiko terkait akuisisi pihak ketiga tersebut atau kepentingan pengendalian terhadap pihak ketiga tersebut, dan (2) kami memasukkan ke dalam perjanjian pemindahan data yang menentukan syarat dan ketentuan terkait Informasi Pribadi yang dapat diungkapkan dan kewajiban masing-masing perusahaan dan pihak ketiga. Apabila peran pihak ketiga adalah untuk mengakuisisi seluruh atau sebagian bisnis perusahaan kami, sebelum membagikan Informasi Pribadi apa pun sehubungan dengan divestur bagian apa pun dari bisnis perusahaan kami, kami (1) memasukkan ke dalam perjanjian pemindahan data yang menyebutkan syarat dan ketentuan terkait Informasi Pribadi yang dapat diungkapkan kepada pembeli, termasuk batasan yang sesuai untuk penggunaan Informasi Pribadi yang diizinkan dan kepatuhan terhadap standar yang ditetapkan dalam Kebijakan ini dan Hukum yang berlaku, (2) meninjau semua elemen data tentang orang sebelum berbagi untuk mengevaluasi persyaratan berbagi, (3) mendapatkan persetujuan untuk berbagi Informasi Pribadi atau Informasi Sensitif sesuai dengan prinsip Transparansi dan Pembatasan Tujuan dari Kebijakan ini, dan (4) mewajibkan pihak ketiga untuk segera memberi tahu perusahaan kami tentang setiap Insiden Privasi yang berlaku, termasuk ketidakmampuan untuk mematuhi standar yang ditetapkan dalam kebijakan ini dan hukum yang berlaku, dan bekerja sama untuk segera memulihkan setiap insiden yang dibuktikan atau berhenti memproses Informasi Pribadi yang relevan. (3) Kami memindahkan Informasi Pribadi melintasi batas negara, termasuk ke Amerika Serikat, oleh atau atas nama perusahaan kami sesuai dengan kebijakan ini. Kami akan menerapkan kebijakan ini untuk memindahkan Informasi Pribadi dari negara atau wilayah lain mana pun dengan hukum yang melarang pemindahan Informasi Pribadi, selain mematuhi persyaratan yang diberlakukan oleh undang-undang tersebut (termasuk penggunaan mekanisme yang diperlukan untuk pemindahan lintas batas ke negara yang tidak memiliki standar perlindungan data yang sama dengan negara asal).
   8. Diizinkan secara hukum – Kami hanya memproses Informasi Pribadi jika persyaratan undang-undang yang berlaku telah dipenuhi.	Sekalipun 7 prinsip privasi lainnya, beserta persyaratan hak individu yang dijelaskan di bawah, dimaksudkan untuk memastikan persyaratan sebagian besar undang-undang privasi dan perlindungan data yang berlaku untuk bisnis kami di seluruh dunia telah dipenuhi, di beberapa negara, kami harus memenuhi persyaratan tambahan, termasuk namun tidak terbatas pada hal berikut: 1) Apabila diperlukan, kami akan memperoleh formulir persetujuan khusus untuk pemrosesan Informasi Pribadi tertentu, termasuk, namun tidak terbatas pada, persetujuan pemrosesan oleh dewan kerja dan serikat pekerja lainnya; 2) Apabila diperlukan, kami akan mendaftarkan pemrosesan Informasi Pribadi dengan atau meminta persetujuan otoritas pembuat peraturan privasi atau perlindungan data yang berlaku; 3) Apabila diperlukan, kami akan memberikan hak yang lebih luas (misalnya, akses dan perbaikan) dari yang ditetapkan dalam kebijakan ini; 4) Apabila diperlukan, kami akan membatasi lebih lanjut jangka waktu penyimpanan data untuk Informasi Pribadi; dan 5) Apabila diperlukan, kami akan menandatangani perjanjian yang berisi klausul kontrak khusus, termasuk perjanjian pemindahan data lintas negara kepada pihak ketiga. 6) Apabila diperlukan, kami akan mengungkapkan Informasi Pribadi sebagai tanggapan atas permintaan yang sah oleh otoritas publik, termasuk untuk memenuhi persyaratan keamanan nasional atau penegakan hukum. Jika terdapat pertentangan antara kebijakan ini dan hukum yang berlaku, maka standar yang memberikan perlindungan yang lebih besar kepada individu akan berlaku.

2. Kami akan segera menangani permintaan hak individu untuk mengakses, mengubah, memperbaiki, atau menghapus Informasi Pribadi, menolak pemprosesan Informasi Pribadi tentang mereka, atau menjalankan hak lain terkait Informasi Pribadi mereka.
   
   
   
   1. Akses, Perbaikan, Penghapusan, dan hak lain – Sesuai dengan Hukum di sebagian besar negara tempat kami beroperasi, individu berhak mengakses Informasi Pribadi tentang mereka, dan mengubah, memperbaiki, atau menghapus Informasi Pribadi yang tidak akurat, tidak lengkap, atau tidak aktual. Kami akan menghormati semua permintaan untuk mengakses, memperbaiki, dan menghapus Informasi Pribadi dari semua individu sesuai dengan Bagian 3a di bawah ini. Apabila permintaan akses, perbaikan, atau penghapusan diatur oleh Hukum yang berlaku yang memberikan perlindungan lebih ketat terhadap individu, kami akan memastikan bahwa kami memenuhi persyaratan tambahan Hukum tersebut.

      Di beberapa negara, individu dapat memiliki hak lain sehubungan dengan Informasi Pribadi tentang diri mereka, seperti hak untuk melarang pemprosesan, menolak pemprosesan, ihat juga Bagian 2b di bawah), dan memindahkan data mereka ke penyedia layanan lain. Kami akan menghormati pelaksanaan hak data sesuai dengan Hukum yang berlaku.

   2. Pilihan – Sesuai dengan nilai privasi “rasa hormat” dan “kepercayaan”, kami menghormati permintaan individu untuk menolak pemrosesan Informasi Pribadi, termasuk, namun tidak terbatas pada berhenti dari program atau aktivitas di mana mereka sebelumnya menyetujui untuk berpartisipasi, memproses Informasi Pribadi tentang mereka untuk komunikasi pemasaran langsung, komunikasi yang ditargetkan kepada mereka berdasarkan Informasi Pribadi mereka, dan setiap evaluasi atau keputusan tentang mereka, yang memiliki potensi untuk memengaruhi mereka secara signifikan, yang dibuat menggunakan otomatisasi atau algoritma.
      1. Kecuali jika dilarang oleh hukum, kita dapat menolak pilihan di mana permintaan pilihan tertentu akan menghambat perusahaan kita dalam kemampuannya untuk: (1) mematuhi hukum atau kewajiban etika, termasuk jika kami diwajibkan untuk mengungkapkan Informasi Pribadi dalam menanggapi permintaan yang sah oleh otoritas publik, termasuk untuk memenuhi persyaratan keamanan nasional atau penegakan hukum, (2) menyelidiki, membuat, atau membela klaim hukum, dan (3) melakukan kontrak, melaksanakan hubungan, atau terlibat dalam aktivitas bisnis lain yang diizinkan yang sejalan dengan prinsip Batasan Transparansi dan Tujuan dan dimasukkan ke dalam ketergantungan pada informasi tentang orang lain yang dimaksud. Dalam lima belas hari kerja setelah keputusan untuk menolak permintaan pilihan sesuai dengan kebijakan ini, kami akan mendokumentasikan dan mengomunikasikan keputusan tersebut kepada pemohon.
3. Kami akan segera menanggapi dan meneruskan semua pertanyaan terkait privasi, pengaduan, kekhawatiran, dan kemungkinan Insiden Privasi atau Insiden Keamanan apa pun
   
   
   
   1. Setiap individu yang Informasi Pribadinya kami proses dalam ruang lingkup kebijakan ini dapat mengajukan pertanyaan, pengaduan, atau kekhawatiran kepada perusahaan kami setiap saat, termasuk permintaan daftar semua anak perusahaan kami yang tunduk pada kebijakan ini. Kami berharap bahwa karyawan kami, dan pihak lain yang bekerja atas nama perusahaan kami, memberikan pemberitahuan dengan segera jika mereka memiliki alasan untuk meyakini bahwa hukum yang berlaku dapat mencegah mereka mematuhi kebijakan ini. Setiap pertanyaan, pengaduan, atau kekhawatiran yang diajukan oleh individu, atau pemberitahuan apa pun yang diberikan oleh karyawan atau pihak lain yang bekerja atas nama perusahaan kami, harus diarahkan ke Kantor Privasi Global:
      
      1. Melalui email untuk individu yang berada di Wilayah Ekonomi Eropa (EEA) ke: euprivacydpo@msd.com
      2. Jika tidak, melalui email ke: msd_privacy_office@msd.com
      3. Melalui surat pos ke: Kantor Privasi, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
   2. Karyawan dan kontraktor wajib segera memberi tahu Kantor Privasi Global atau Petugas Privasi yang ditunjuk untuk area bisnis mereka, mengenai pertanyaan, keluhan, atau kekhawatiran terkait praktik privasi perusahaan kami.
   3. Kantor Privasi Global akan meninjau dan menyelidiki, atau akan bekerja sama dengan Kantor Etika, Hukum, dan/atau Kepatuhan, untuk menyelidiki, semua pertanyaan, pengaduan, atau kekhawatiran terkait praktik privasi perusahaan kami, baik yang diterima langsung dari karyawan atau individu lain ataupun melalui pihak ketiga, termasuk, namun tidak terbatas pada badan pembuat peraturan, agen akuntabilitas, dan otoritas pemerintah lainnya. Kami akan menanggapi individu atau entitas yang mengajukan pertanyaan, keluhan, atau kekhawatiran kepada perusahaan kami dalam waktu tiga puluh (30) hari kalender kecuali Undang-Undang atau pemohon pihak ketiga memerlukan tanggapan dalam waktu yang lebih singkat atau kecuali keadaan, seperti Investigasi pemerintah secara bersamaan, memerlukan jangka waktu yang lebih lama, dalam hal ini pemohon individu atau pihak ketiga akan diberitahukan secara tertulis sesegera mungkin tentang sifat umum dari keadaan yang berkontribusi terhadap penundaan tersebut.
   4. Kantor Privasi Global MSD, melalui kerja sama dengan Hukum dan Kepatuhan, akan bekerja sama dalam menanggapi permintaan informasi, inspeksi, atau penyelidikan otoritas pembuat peraturan privasi.
   5. Untuk keluhan yang tidak dapat diselesaikan antara perusahaan kami dan individu yang mengajukan keluhan, perusahaan kami telah sepakat untuk berpartisipasi dalam prosedur penyelesaian sengketa berikut dalam investigasi dan penyelesaian keluhan untuk menyelesaikan sengketa sesuai dengan kebijakan ini, namun, setiap saat, individu yang tinggal di EEA atau individu yang Informasi Pribadinya tunduk pada hukum perlindungan data EEA dan dipindahkan ke luar EEA, juga dapat mengandalkan standar 3.f di bawah ini:
      1. Untuk sengketa yang melibatkan pengalihan Informasi Pribadi terkait kegiatan sumber daya manusia dalam konteks hubungan kerja dari EEA dan Inggris ke AS, perusahaan kami berkomitmen untuk bekerja sama dengan panel otoritas perlindungan data UE dan Inggris yang sesuai.
      2. Untuk sengketa yang melibatkan pemindahan Informasi Pribadi terkait kegiatan sumber daya manusia dalam konteks hubungan kerja dari Swiss ke AS, perusahaan kami berkomitmen untuk bekerja sama dengan FDPIC Swiss.
      3. Untuk sengketa yang melibatkan pemindahan Informasi Pribadi yang sesuai dengan kepatuhan perusahaan kami dengan Kerja Sama Ekonomi Asia Pasifik (“APEC”) Aturan Privasi Lintas Negara (“CBPR”) di antara Ekonomi APEC, perusahaan kami telah menyetujui penyelesaian sengketa oleh Agen Akuntabilitas kita, Program Nasional BBB. Untuk informasi lebih lanjut tentang ruang lingkup partisipasi kami, atau untuk mengajukan permintaan privasi melalui Program Nasional BBB, klik segel resmi yang ada di bagian bawah halaman ini
      4. iv. Untuk sengketa yang melibatkan pemindahan Informasi Pribadi yang terkait dengan aktivitas sumber daya non-manusia melalui UE-AS Program Kerangka Kerja Privasi Data (DPF), Ekstensi Inggris untuk DPF dan Swiss-AS Program Kerangka Kerja Privasi Data, perusahaan kami telah menyetujui penyelesaian sengketa (gratis) dengan mekanisme sumber daya independen, Layanan Kerangka Kerja Privasi Data, yang dioperasikan oleh Program Nasional BBB. Jika Anda tidak menerima pengakuan tepat waktu atas keluhan Anda, atau jika keluhan Anda tidak ditangani secara memuaskan, kunjungi https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers untuk mengetahui informasi lebih lanjut dan untuk mengajukan keluhan.
      5. Untuk setiap perselisihan yang timbul berdasarkan UE-AS Program Kerangka Kerja Privasi Data (DPF), Ekstensi Inggris untuk DPF dan Swiss-AS Program Kerangka Kerja Privasi Data yang tidak diselesaikan melalui langkah-langkah yang dijelaskan dalam bagian ini, dalam kondisi tertentu individu dapat meminta arbitrase yang mengikat untuk beberapa klaim residual yang tidak diselesaikan oleh mekanisme ganti rugi lainnya. Lihat https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2.
   6. Semua individu yang tinggal di EEA, atau individu yang Informasi Pribadinya tunduk pada undang-undang perlindungan data EEA dan dipindahkan ke luar EEA, yang informasinya diproses berdasarkan Kebijakan ini memiliki hak berdasarkan kebijakan ini, kapan pun, untuk menegakkan persyaratan kebijakan ini sebagai penerima manfaat pihak ketiga, termasuk hak untuk mengajukan tindakan hukum guna mencari pemulihan atas pelanggaran haknya berdasarkan kebijakan ini (sebagaimana diatur dalam Bagian 2, di atas) dan hak untuk menerima penghargaan untuk kerugian yang diakibatkan oleh pelanggaran tersebut. Individu yang tinggal di EEA atau individu yang Informasi Pribadinya tunduk pada hukum perlindungan data EEA dan dipindahkan ke luar EEA (demi kejelasan, termasuk ke AS), dapat mengajukan klaim atau pengaduan sesuai dengan kebijakan ini, dengan anak perusahaan yang bertanggung jawab untuk mengekspor Informasi Pribadi di luar EEA: sebelum:
      1. Yurisdiksi Pengekspor Data yang berada di EEA, atau
      2. Yurisdiksi negara tempat Petugas Perlindungan Data Eropa kami berada, atau
      3. Otoritas Perlindungan Data yang kompeten (khususnya di negara anggota tempat tinggal mereka, tempat kerja, atau tempat dari dugaan pelanggaran), atau
      4. Otoritas Perlindungan Data Utama kami yang telah menginstruksikan BCR kami: CNIL Prancis.
   7. Perusahaan kami akan menanggapi setiap individu atau entitas yang mengajukan pertanyaan, pengaduan, atau kekhawatiran kepada perusahaan kami dalam waktu tiga puluh (30) hari kalender, kecuali jika hukum atau pemohon pihak ketiga memerlukan tanggapan dalam periode yang lebih singkat atau kecuali jika keadaan mengharuskan periode yang lebih panjang, dan individu atau pemohon pihak ketiga tersebut akan menerima pemberitahuan tertulis.
4. Kita bertanggung jawab untuk menegakkan nilai dan standar privasi kita.
   1. Anak perusahaan kami yang bertanggung jawab atas tindakan yang menimbulkan Insiden Privasi atau Insiden Keamanan yang diperkuat bertanggung jawab secara finansial atas jumlah klaim kerugian atau denda atau penalti yang timbul akibat insiden privasi atau insiden keamanan tersebut.
      1. Dalam koordinasi dengan dan pada arahan Kantor Privasi Global, Petugas Perlindungan Data Eropa bertanggung jawab untuk memastikan bahwa tindakan yang diperlukan diambil untuk mengatasi setiap dugaan pelanggaran kebijakan ini oleh anak perusahaan di luar perusahaan kami yang berada di luar EEA yang memengaruhi individu yang tinggal di EEA atau individu yang Informasi Pribadinya tunduk pada hukum perlindungan data EEA dan dipindahkan ke luar EEA. Apabila diperlukan, Merck, Sharp & Dohme (Eropa) Inc., Cabang AS-Belgia (“MSD Eropa”) bertanggung jawab untuk membayar denda, penalti, atau kerugian yang diberikan atas pelanggaran kebijakan ini yang memengaruhi individu yang tinggal di EEA atau individu yang Informasi Pribadinya tunduk pada hukum perlindungan data EEA dan dipindahkan ke luar EEA. Dengan dukungan dari Kantor Privasi Global dan anak perusahaan kami di luar EEA yang bertanggung jawab atas dugaan pelanggaran, Petugas Perlindungan Data Eropa bertanggung jawab untuk menunjukkan bahwa perusahaan kami tidak bertanggung jawab atas dugaan pelanggaran tersebut. Apabila anak perusahaan lain dari perusahaan kami bertanggung jawab atas tindakan yang mengakibatkan denda, penalti, atau ganti rugi, anak perusahaan tersebut dapat diminta untuk segera mengganti biaya ke MSD Eropa sesuai dengan jumlah yang dibayarkan oleh MSD Eropa. Jika anak perusahaan dari perusahaan kami di luar EEA melanggar Kebijakan ini, pengadilan atau otoritas perlindungan data di EEA akan memiliki yurisdiksi dan individu yang terkena dampak akan memiliki hak dan pemulihan terhadap anak perusahaan dari perusahaan yang bertanggung jawab untuk mengekspor Informasi Pribadi keluar dari EEA sebagaimana diatur dalam Bagian 3.f. di atas.
      2. ii. Dalam koordinasi dengan dan pada arahan Kantor Privasi Global, Merck Sharp & Dohme LLC bertanggung jawab untuk memastikan bahwa tindakan yang diperlukan diambil untuk menangani dugaan pelanggaran kebijakan ini yang memengaruhi individu yang tinggal di luar EEA dan, jika diwajibkan, untuk membayar denda, penalti, atau kerugian yang diberikan atas pelanggaran kebijakan ini yang memengaruhi individu yang tinggal di luar EEA atau individu yang Informasi Pribadinya tidak dikenakan hukum perlindungan data EEA. Apabila anak perusahaan lain dari perusahaan kami bertanggung jawab atas tindakan yang mengakibatkan denda, penalti, atau ganti rugi, anak perusahaan tersebut dapat diminta untuk segera mengganti biaya ke Merck Sharp & Dohme LLC untuk setiap jumlah yang dibayarkan oleh Merck Sharp & Dohme LLC.

Pengawasan dan Pemantauan

Untuk memberikan jaminan kepada pembuat peraturan dan pemangku kepentingan lain bahwa perusahaan kami bertanggung jawab atas komitmennya pada etika dan praktik privasi yang bertanggung jawab, perusahaan memiliki grup tata kelola pengawasan dan pemantauan yang ekstensif, dipimpin oleh Kepala Petugas Privasi dengan Kantor Privasi Global (GPO), DPO yang ditunjuk oleh UE, DPO Negara bila diwajibkan oleh hukum atau otoritas setempat, dan Petugas Privasi, yang ditunjuk oleh Pimpinan Senior dan berfungsi sebagai penghubung antara Kantor Privasi Global dan area organisasi tempat mereka bekerja.

Perusahaan kami akan mengandalkan Agen Akuntabilitas Privasi yang bertanggung jawab berdasarkan undang-undang untuk secara berkala memverifikasi kepatuhannya pada persyaratan kebijakan ini dan undang-undang tersebut, termasuk CPBR APEC.

Selain peninjauan jaminan yang dikelola oleh Kantor Privasi Global, tim audit dan jaminan internal dan eksternal akan melaksanakan peninjauan kepatuhan untuk memverifikasi bahwa perusahaan mematuhi kebijakan ini, termasuk kebijakan, prosedur, standar, dan panduan yang tunduk pada kebijakan ini. Rencana tindakan korektif dan preventif akan dikembangkan dan diimplementasikan untuk mengatasi kesenjangan yang diamati oleh tim audit dan jaminan. Hasil Program Audit akan disampaikan kepada Kepala Petugas Privasi, DPO yang relevan, dan Dewan Perlindungan Privasi dan Data, yang bertanggung jawab untuk melaporkannya sebagaimana dijelaskan dalam kebijakan ini.

Otoritas Perlindungan Privasi dan Data yang telah menyetujui kebijakan ini atau yang memiliki yurisdiksi atas praktik perusahaan kami dalam kebijakan ini memiliki hak untuk memverifikasi kepatuhan kami. Kami akan menaati saran otoritas yang kompeten ini sehubungan dengan interpretasi dan penerapan kebijakan ini.

Istilah yang Perlu Anda Ketahui

• Anonim. Pengubahan, pemotongan, pemusnahan, atau penyuntingan lain atau modifikasi Informasi Pribadi sedemikian rupa sehingga membuatnya tidak dapat digunakan lagi untuk mengidentifikasi, menemukan, atau menghubungi seseorang, baik sendiri atau digabungkan dengan informasi lain.
• Hukum. Semua undang-undang, aturan, peraturan, dan perintah keputusan yang berkekuatan hukum di negara mana pun tempat perusahaan kami beroperasi atau jika Informasi Pribadi diproses oleh atau atas nama perusahaan kami. Hal ini mencakup semua kerangka kerja privasi yang perusahaan kami telah disetujui atau disertifikasi, termasuk Aturan Perusahaan yang Mengikat (“BCR”) UE, Kerja Sama Ekonomi Asia Pasifik (“APEC”) Cross-Border Privacy Rules (“CBPR”), Perlindungan Privasi Uni Eropa -Amerika Serikat dan Perlindungan Privasi Swiss-Amerika Serikat – EU-US and Swiss-US Privacy Shield -di bawah penyelidikan dan kekuatan penegakan Komisi Perdagangan Federal AS.
• Perusahaan kita. Merck & Co., Inc., Rahway, NJ, USA, penerus, anak perusahaan, dan divisinya di seluruh dunia, tidak termasuk usaha bersama di mana perusahaan kami menjadi bagian di dalamnya.
• Informasi pribadi. Setiap data tentang individu yang diidentifikasi atau dapat diidentifikasi, termasuk data identifikasi individu atau yang dapat digunakan untuk mengidentifikasi, menemukan, melacak, atau menghubungi individu. Informasi Pribadi mencakup informasi yang dapat diidentifikasi secara langsung, seperti nama, nomor identifikasi, atau jabatan khusus, dan informasi pengidentifikasi yang tidak langsung, seperti tanggal lahir, pengidentifikasi unik perangkat seluler atau perangkat yang dikenakan, nomor telepon serta data dengan kode kunci, pengidentifikasi online, seperti alamat IP atau aktivitas, perilaku, atau preferensi pribadi yang mungkin dikumpulkan untuk menyediakan layanan atau produk.
• Insiden Privasi. Pelanggaran Kebijakan ini atau undang-undang perlindungan privasi atau data, termasuk Insiden Keamanan. Penentuan apakah insiden privasi telah terjadi dan apakah harus ditingkatkan menjadi Pelanggaran Data Pribadi harus dilakukan oleh Kantor Privasi Global, Manajemen Risiko dan Keamanan Teknologi Informasi (ITRMS), dan Kantor Penasihat Umum.
• Pemrosesan. Pelaksanaan operasi atau serangkaian operasi terhadap orang lain, baik dengan alat elektronik atau tidak, termasuk, namun tidak terbatas pada, pengumpulan, perekaman, pengelolaan, penyimpanan, akses, adaptasi, perubahan, penelusuran, konsultasi, penggunaan, evaluasi, analisis, pelaporan, pembagian, pengungkapan, penyebaran, pengiriman, penyediaan, penyelarasan, penggabungan, pemblokiran, penghapusan, pemusnahan, atau penghancuran.
• Pelanggaran Data Pribadi. Pelanggaran keamanan yang mengarah pada perusakan, kehilangan, perubahan, pengungkapan yang tidak sah atau tidak disengaja, atau akses ke, Informasi Pribadi, atau keyakinan wajar perusahaan kami tentang hal tersebut. Akses ke Informasi Pribadi oleh atau atas nama perusahaan kami tanpa maksud untuk melanggar Kebijakan ini bukan merupakan Pelanggaran Data Pribadi, dengan ketentuan bahwa Informasi Pribadi yang diakses selanjutnya digunakan dan diungkapkan hanya sebagaimana diizinkan oleh Kebijakan ini.
• Informasi sensitif. Segala jenis informasi tentang orang lain yang berpotensi merugikan individu, termasuk informasi yang ditetapkan oleh hukum sebagai informasi sensitif, termasuk, namun tidak terbatas pada informasi terkait kesehatan, genetika, biometrik, ras, asal etnis, agama, pendapat atau keyakinan politik atau falsafah, riwayat kejahatan, informasi geolokasi terperinci, nomor rekening bank atau keuangan lainnya, nomor identifikasi yang dikeluarkan pemerintah, anak di bawah umur, kehidupan seksual, orientasi seksual, afiliasi serikat dagang, asuransi, jaminan sosial, dan tunjangan perusahaan atau tunjangan yang dikeluarkan perusahaan.
• Pihak ketiga. Setiap entitas hukum, asosiasi, atau individu yang tidak dimiliki oleh perusahaan kami, atau di mana perusahaan kami tidak memiliki kepentingan pengendalian, atau yang tidak dipekerjakan oleh perusahaan kami. Kecuali dinyatakan secara tegas dalam Kebijakan ini, tidak ada anak perusahaan atau divisi dari perusahaan kami yang diwajibkan untuk memenuhi persyaratan pihak ketiga berdasarkan kebijakan ini karena semua anak perusahaan atau divisi diwajibkan untuk memproses informasi tentang orang sesuai dengan Kebijakan ini, termasuk dalam keadaan di mana salah satu anak perusahaan kami mendukung satu atau lebih anak perusahaan lain dari perusahaan kami dalam pemrosesan.

Perubahan pada Kebijakan ini

Kebijakan ini dapat diubah dari waktu ke waktu, sesuai dengan persyaratan hukum yang berlaku. Pemberitahuan akan diposting di halaman web privasi perusahaan kami (https://www.msdprivacy.com/ ) selama 60 hari setiap kali Kebijakan ini diubah secara material.