בחברת Merck & Co., Inc., Rahway, NJ, USA, ששמה המסחרי MSD מחוץ לארה”ב וקנדה והיא כוללת, בין היתר, את הישויות המכוסות: Merck Sharp & Dohme LLC ו-Intervet, Inc.. המשימה שלנו להציל ולשפר חיים כוללת את כיבוד הפרטיות והשמירה על מידע אישי.
תאריך בדיקה: 01 בספטמבר 2023
תאריך כניסה לתוקף: 01 בספטמבר 2023
אנו שואפים לנהל את החברה שלנו בהתאם לערכי הפרטיות שלנו כי אנו מאמינים שהם מפגינים את המחויבות הבלתי מעורערת שלנו לפרקטיקות אתיות ואחראיות. אנו מכירים בכך שחדשנות וטכנולוגיה חדשה מובילות לשינוי מתמשך בסיכונים, בציפיות ובחוקים, ולכן אנו פועלים לפי תקני אחריות לפרטיות ושואפים להתאים באופן מיידי את האופן שבו אנו מיישמים אותם בתגובה לשינויים אלו.
מדיניות זו מגדירה את הסטנדרטים הגלובליים שלנו לניהול והגנה על מידע אישי על-ידי או מטעמה של החברה שלנו, ללא קשר למדינה ממנה המידע האישי מגיע או שאליה ניתן להעבירו. המדיניות מתארת את מחויבויות הליבה שלנו התומכות בעמידה שלנו ב אישור כללי פרטיות חוצי גבולות של APEC, ב , בכללים תאגידיים מחייבים (“BCRs”), אשר אושרו באיחוד האירופי וההסמכה העצמית שלנו לאיחוד האירופי ולארצות הברית. תוכנית מסגרת פרטיות הנתונים(DPF), השלוחה הבריטית ל- DPF ושווייץ-ארה”ב. תוכנית מסגרת פרטיות הנתונים.
החברה שלנו עומדת בדרישות האיחוד האירופי-ארה”ב. תוכנית מסגרת פרטיות הנתונים (האיחוד האירופי-ארה”ב DPF), השלוחה הבריטית לאיחוד האירופי-ארה”ב DPF, ושווייץ-ארה”ב תוכנית מסגרת פרטיות הנתונים (שווייץ-ארה”ב DPF) כפי שנקבע על ידי משרד המסחר של ארה”ב. אישרנו למשרד המסחר של ארה”ב שאנו דבקים בכללים של האיחוד האירופי-ארה”ב. עקרונות מסגרת פרטיות הנתונים (האיחוד האירופי-ארה”ב עקרונות DPF) בנוגע לעיבוד נתונים אישיים המתקבלים מהאיחוד האירופי בהסתמך על האיחוד האירופי-ארה”ב. DPF ומבריטניה (וגיברלטר) בהסתמך על השלוחה הבריטית לאיחוד האירופי-ארה”ב. DPF. אישרנו למשרד המסחר של ארה”ב שאנו דבקים בכללים של שווייץ-ארה”ב. עקרונות תוכנית מסגרת פרטיות הנתונים (שווייץ-ארה”ב עקרונות DPF) בנוגע לעיבוד נתונים אישיים המתקבלים משוויץ בהסתמך על שווייץ-ארה”ב. DPF. במקרה של סתירה בין התנאים במדיניות זו לבין האיחוד האירופי-ארה”ב עקרונות DPF ו/או שווייץ-ארה”ב עקרונות DPF, העקרונות יגברו. למידע נוסף על תוכנית מסגרת פרטיות הנתונים (DPF) ולהצגת ההסמכה שלנו, אפשר לבקר באתר https://www.dataprivacyframework.gov/.
היא חלה על הפעילות שלנו בכל מדינה, על כל פעילות הכוללת מידע על אנשים שאנו עורכים בכל חברת בת ובכל חטיבה (כולל על ידי יורשים לחברה שלנו), לרבות, אך לא רק למחקר, ייצור, תמיכה מסחרית, ארגונית. פעילויות והעברת הנתונים הדרושים לביצוע פעילויות אלה, לרבות, אך לא רק:
- מחקר וייצור: הערכת צרכים והזדמנויות לחדשנות רפואית ובריאותית; ייזום, ניהול ומימון לימודי מחקר; הערכה ושיתוף של חוקרים, חברי ועדת מדע ואתיקה ושותפים עסקיים כדי לתמוך במחקרי המחקר שלנו ובפיתוח המוצרים שלנו; גיוס לימודי מחקר; הערכת הבטיחות, היעילות והאיכות של המוצרים הנבדקים והמשווקים שלנו; עמידה בהתחייבויות בטיחות המוצר ואיכות המוצר שלנו, כולל טיפול ודיווח על אירועים חריגים ותלונות על איכות המוצר; הגשת בקשה לאישור ורישום המוצרים שלנו ברשויות הרגולטוריות הבריאותיות; ועמידה בדרישות משפטיות, רגולטוריות או אתיות קשורות;
- מִסְחָרִי: הערכת השווקים עבור המוצרים שלנו; פרסום, שיווק, מכירה, הפצה ואספקה של המוצרים שלנו; תקשורת ויצירת קשר עם לקוחות מקצועיים בתחום הבריאות, משלמי שירותי בריאות, חולים ומשתמשי קצה אחרים של המוצרים שלנו, כמו גם מטפלים של אלה המשתמשים במוצרים שלנו; מתן חסות וניהול אירועים; הערכה ושיתוף של שותפים עסקיים כדי לתמוך בפעילויות המסחריות שלנו; ועמידה בדרישות משפטיות, רגולטוריות או אתיות קשורות;
- תמיכה ארגונית: גיוס עובדים, ניהול, פיתוח, תקשורת עם עובדים ותגמולם; ניהול הטבות לעובדים ולתלויים בהם; עריכת סקירות ביצועים וכישרונות עובדים; מתן הכשרה ותוכניות למידה ופיתוח אחרות; ניהול הליכי משמעת ותלונה מול העובדים; ניהול ענייני אתיקה ופרטיות וביצוע חקירות; ניהול ואבטחת הנכסים והתשתיות הפיזיים והווירטואליים שלנו; רכש ותשלום עבור סחורות ושירותים; עמידה בהתחייבויות הסביבה, הבריאות והבטיחות ואחריות תאגידית אחרת; עיסוק בתקשורת; ועמידה בדרישות משפטיות, רגולטוריות או אתיות קשורות אחרות.
מדיניות זו חלה גם על כל האנשים שאנו מעבדים מידע עליהם, לרבות, אך לא רק, אנשי המקצוע שלנו בתחום הבריאות ולקוחות אחרים; עובדים פוטנציאליים, בהווה ובעבר והתלויים בהם, מטופלים, מטפלים, חוקרים ומשתתפי מחקר, חברי ועדת מדעית ואתיקה, שותפים עסקיים, משקיעים ובעלי מניות, פקידי ממשל ובעלי עניין אחרים.
לכל עובדי החברה והמנהיגים הבכירים יש אחריות ליבה בנושא פרטיות שעליהם לעמוד בה.
אנו מכירים בכך שטעויות בשוגג והערכות מוטעות הקשורות להגנה על מידע על אנשים עלולות ליצור סיכוני פרטיות עבור יחידים וסיכוני מוניטין, תפעול, פיננסי וציות עבור החברה שלנו. אנו נספק הדרכה מתאימה לגבי מדיניות זו לכל העובדים ואנשי הצוות האחרים שיש להם גישה קבועה או ארעית למידע אישי, המעורבים באיסוף נתונים או בפיתוח כלים המשמשים לעיבוד מידע אישי. כל עובד של החברה שלנו, ואחרים המעבדים מידע על אנשים עבור החברה שלנו, אחראים להבין ולקיים את חובותיהם על פי מדיניות זו והחוקים החלים.
ערכי הפרטיות והסטנדרטים שלנו
אנו שומרים על ערכי הפרטיות שלנו בכל מה שאנחנו עושים עם אנשים, כולל איך אנחנו מיישמים את תקני הפרטיות שלנו. ארבעת ערכי הפרטיות שלנו הם:
כבוד | אמון | מניעת נזק | ציות |
---|---|---|---|
אנו מכירים בכך שדאגות לפרטיות נוגעות לרוב למהות של מי שאנחנו, איך אנחנו רואים את העולם ואיך אנחנו מגדירים את עצמנו, ולכן אנחנו שואפים לכבד את נקודות המבט והאינטרסים של יחידים וקהילות ולהיות הוגנים ושקופים באופן שבו אנו משתמשים לשתף מידע עליהם. | אנו יודעים שאמון הוא חיוני להצלחתנו, ולכן אנו שואפים לבנות ולשמר את האמון של הלקוחות, העובדים, המטופלים ובעלי עניין אחרים שלנו באופן שבו אנו מכבדים את הפרטיות ומגנים על מידע על אנשים. | אנו מבינים ששימוש לרעה במידע על אנשים עלול ליצור נזקים מוחשיים ובלתי מוחשיים עבור אנשים, ולכן אנו שואפים למנוע פגיעה פיזית, פיננסית, מוניטין וסוגים אחרים של פגיעה בפרטיות.. | למדנו שחוקים ותקנות לא תמיד יכולים לעמוד בקצב השינוי המהיר בטכנולוגיות, זרימות הנתונים והשינויים הנלווים בסיכוני הפרטיות והציפיות, ולכן אנו שואפים לעמוד ברוח ובמכתב של החוקים והתקנות להגנה על נתונים בדרך המניעה עקביות ויעילות תפעולית עבור הפעילות העסקית הגלובלית שלנו. |
1. אנו מטמיעים את תקני הפרטיות שלנו לכל הפעילויות, התהליכים, הטכנולוגיות והיחסים עם צדדים שלישיים המשתמשים במידע אישי. אָנוּ יוצרים בקרות של פרטיות בתהליכים ובטכנולוגיות שלנו בהתאם לערכי הפרטיות ולסטנדרטים שלנו ולחוק החל. 8 עקרונות הפרטיות שלנו המפורטים להלן מסכמים את תקני הפרטיות ודרישות הליבה שלנו לתהליכים, פעילויות והטכנולוגיות התומכות שלהם ברמה גבוהה.
עיקרון הפרטיות | התחייבויות הליבה שלנו |
---|---|
1. הכרח – לפני איסוף, שימוש או שיתוף מידע אישי, אנו מגדירים ומתעדים את המטרות העסקיות הספציפיות והלגיטימיות שלשמן הוא נחוץ. |
|
2. הגינות – איננו מעבדים מידע אישי בדרכים שאינן הוגנות כלפי האנשים שאליהם מתייחסים הנתונים הללו. |
|
3. שקיפות – איננו מעבדים מידע אישי בדרכים או למטרות שאינן שקופות. |
|
4. הגבלת מטרה – אנו משתמשים במידע אישי רק בהתאם לעקרונות הנחיצות והשקיפות. |
|
5. איכות מידע – אנו שומרים על מידע אישי מדויק, מלא ועדכני בהתאם לשימוש המיועד שלו. |
|
6. אבטחה – אנו מיישמים אמצעי הגנה כדי להגן על מידע אישי ומידע רגיש מפני אובדן, שימוש לרעה וגישה לא מורשית, חשיפה, שינוי או הרס. |
|
7. העברת נתונים – אנחנו אחראים ואנחנו לשמור על הגנת הפרטיות עבור מידע אישי כאשר הוא מועבר אל או מארגונים אחרים או מעבר לגבולות המדינה. |
(1) אנו מעבירים מידע אישי בתוך החברה שלנו אם מתקיימים הדרישות הבאות:
(2) אנו מעבירים מידע אישי או מאפשרים לעבד אותו על ידי צדדים שלישיים רק אם מתקיימים הדרישות הבאות ואנו אחראים להבטיח שהצדדים השלישיים שאנו מתקשרים עומדים בדרישות אלה:
(3) אנו מעבירים מידע אישי על פני גבולות המדינה, לרבות לארצות הברית , על ידי או בשמה של החברה שלנו בהתאם למדיניות זו. אנו נחיל מדיניות זו על העברות של מידע אישי מכל מדינה או טריטוריה אחרת עם חוק המגביל את העברת המידע האישי, בנוסף לעמידה בכל הדרישות המוטלות על ידי חוקים אלה (כולל שימוש בכל המנגנונים הנדרשים למעבר גבולות העברות למדינות שאינן בעלות אותם תקני הגנה על מידע מאשר מדינת המקור). |
8. מותר מבחינה חוקית – אנו מעבדים מידע אישי רק אם התקיימו הדרישות של החוקים החלים. |
|
- אנו נתייחס מיידית לבקשות זכויות אינדיבידואליות לגשת, לתקן, לתקן או למחוק מידע אישי, להתנגד לעיבוד המידע האישי אודותיהם, או לממש זכויות אחרות בנוגע למידע האישי שלהם.
- גישה, תיקון, מחיקה וזכויות אחרות – על פי החוקים ברוב המדינות בהן אנו פועלים, לאנשים יש זכות לגשת למידע אישי על עצמם, ולתקן, לתקן או למחוק מידע אישי שאינו מדויק, לא שלם או מיושן. אנו נכבד את כל הבקשות לגשת, לתקן ולמחוק מידע אישי מכל הפרטים בהתאם לסעיף 3א להלן. אם בקשה לגישה, תיקון או מחיקה כפופה לחוק החל המעניק הגנה רבה יותר ליחידים, אנו נוודא שהדרישות הנוספות של חוק זה תתקיימנה.
במדינות מסוימות, אנשים עשויים להיות זכאים לזכויות אחרות ביחס למידע אישי על עצמם, כגון הזכות להגביל את העיבוד, להתנגד לעיבוד (ראה גם סעיףב להלן), ולהעביר את הנתונים שלהם לספק שירות אחר. אנו נכבד את מימוש זכויות הנתונים בהתאם לחוקים החלים. זכויות מסוימות כגון מחיקה עשויות להיות מוגבלות בהתאם לדרישות רגולטוריות אחרות או הצורך לציית לדיווח התאימות המקומי, במקרה כזה אנו נודיע לך על מגבלות אלו לפי העניין. - בְּחִירָה – בהתאם לערכי הפרטיות שלנו “כבוד” ו”אמון”, אנו מכבדים בקשות בודדות להתנגד לעיבוד מידע אישי, לרבות, אך לא רק ביטול הסכמה לתוכניות או פעילויות בהן הסכימו בעבר להשתתף, עיבוד מידע אישי עליהם לתקשורת שיווקית ישירה, תקשורת ממוקדת אליהם בהתבסס על מידע אישי אודותיהם, וכל הערכה או החלטות לגביהם, שיש לה פוטנציאל להשפיע עליהם באופן משמעותי, שנעשות באמצעות אוטומציה או אלגוריתמים.
- אלא אם הדבר אסור על פי חוק, אנו עשויים לדחות את הבחירה כאשר בקשת בחירה מסוימת תפריע לחברה שלנו ביכולתה: (1) לקיים חוק או חובה אתית, לרבות כאשר אנו נדרשים לחשוף מידע אישי בתגובה לבקשות חוקיות של רשויות ציבוריות, לרבות כדי לעמוד בדרישות הביטחון הלאומי או אכיפת החוק, (2) לחקור, להעלות או להגן על תביעות משפטיות, ו-(3) לבצע חוזים, לנהל מערכות יחסים, או לעסוק בפעילויות עסקיות מותרות אחרות העומדות בקנה אחד עם עקרונות השקיפות והגבלת התכלית, ונעשו בהסתמכות על המידע על האנשים המדוברים. בתוך חמישה עשר ימי עסקים מכל החלטה לדחות בקשת בחירה בהתאם למדיניות זו, נתעד ונעביר את ההחלטה למבקש.
- גישה, תיקון, מחיקה וזכויות אחרות – על פי החוקים ברוב המדינות בהן אנו פועלים, לאנשים יש זכות לגשת למידע אישי על עצמם, ולתקן, לתקן או למחוק מידע אישי שאינו מדויק, לא שלם או מיושן. אנו נכבד את כל הבקשות לגשת, לתקן ולמחוק מידע אישי מכל הפרטים בהתאם לסעיף 3א להלן. אם בקשה לגישה, תיקון או מחיקה כפופה לחוק החל המעניק הגנה רבה יותר ליחידים, אנו נוודא שהדרישות הנוספות של חוק זה תתקיימנה.
-
אנו נגיב מייד ונרחיב את כל השאלות, התלונות, החששות הקשורים לפרטיות וכל תקרית פרטיות או תקרית אבטחה פוטנציאלית.
-
כל אדם לגביו אנו מעבדים מידע אישי במסגרת מדיניות זו יכול להעלות שאלה, תלונה או דאגה לחברה שלנו בכל עת, לרבות בקשה לרשימה של כל החברות הבנות של החברה שלנו הכפופות למדיניות זו. אנו מצפים שהעובדים שלנו, ואחרים העובדים מטעם החברה שלנו, ימסרו הודעה מיידית אם יש להם סיבה להאמין שחוק החל עלול למנוע מהם לציית למדיניות זו. כל שאלה, תלונה או דאגה שהועלו על ידי אדם, או כל הודעה שסופקה על ידי עובד או כל אדם אחר שעובד מטעם החברה שלנו, יש להפנות למשרד הפרטיות הגלובלי:
- בדואר אלקטרוני עבור אנשים המתגוררים באזור הכלכלי האירופי (EEA) אל: euprivacydpo@msd.com
- אחרת במייל לכתובת: msd_privacy_office@msd.com
- בדואר דואר אל: משרד הפרטיות, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
- עובדים וקבלנים נדרשים להודיע מיידית למשרד הפרטיות הגלובלי, או למנהל הפרטיות המיועד לאזור העסקים שלהם, על כל שאלה, תלונה או דאגה הקשורים לנוהלי הפרטיות של החברה שלנו.
- משרד הפרטיות הגלובלי יסקור ויחקור, או יעבוד עם משרד האתיקה, המשפט ו/או הציות, כדי לחקור את כל השאלות, התלונות או החששות הקשורים לנוהלי הפרטיות של החברה שלנו, בין אם התקבלו ישירות מעובדים או מאנשים אחרים או באמצעות צדדים שלישיים, לרבות, אך לא רק, סוכנויות רגולטוריות, סוכני אחריות ורשויות ממשלתיות אחרות. אנו נגיב לאדם או לישות שהעלו את השאלה, התלונה או החשש לחברתנו בתוך שלושים (30) ימים קלנדריים, אלא אם כן חוק או מבקש הצד השלישי דורשים תגובה בפרק זמן קצר יותר או אלא אם כן נסיבות, כגון חקירה ממשלתית במקביל, דורשת פרק זמן ארוך יותר, ובמקרה זה יודיעו למבקש הפרט או הצד השלישי בכתב בהקדם האפשרי על האופי הכללי של הנסיבות התורמות לעיכוב.
- משרד הפרטיות הגלובלי, בתיאום עם Legal and Compliance, ישתף פעולה בתגובה לכל פניה, בדיקה או חקירה של רשות רגולטורית פרטיות.
-
עבור תלונות שלא ניתן לפתור בין החברה שלנו לבין האדם שהעלה את התלונה, החברה שלנו הסכימה להשתתף בהליכי יישוב המחלוקות הבאים בחקירה ופתרון של תלונות לפתרון סכסוכים בהתאם למדיניות זו, אולם בכל עת, יחידים תושבי ה-EEA או אנשים שמידע אישי עליהם כפוף לחוק הגנת המידע של ה-EEA ומועבר מחוץ ל-EEA, עשויים להסתמך גם על תקן 3.f. לְהַלָן:
- עבור מחלוקות הכרוכות בהעברת מידע אישי הקשור לפעילויות משאבי אנוש בהקשר של יחסי עבודה מה-EEA ובריטניה לארה”ב, החברה שלנו מתחייבת לשתף פעולה עם פאנל הרשות המתאים להגנת המידע של האיחוד האירופי.
- עבור מחלוקות הכרוכות בהעברת מידע אישי הקשור לפעילויות משאבי אנוש בהקשר של יחסי עבודה משוויץ לארה”ב, החברה שלנו מתחייבת לשתף פעולה עם ה-FDPIC השוויצרי.
- עבור מחלוקות הכרוכות בהעברת מידע אישי בהתאם לציות של החברה שלנו לשיתוף פעולה כלכלי באסיה פסיפיק (“APEC”) כללי פרטיות חוצי גבולות (“CBPRs”) בין כלכלותAPEC , החברה שלנו הסכימה ליישוב מחלוקת על ידי סוכן האחריות שלנו, BBB National Programs. למידע נוסף על היקף ההשתתפות שלנו, או ל- הגש שאלת פרטיות דרך תוכניות לאומיות BBB, אנא לחץ על החותם הרשמי הממוקם ב- בתחתית העמוד הזה.
- למחלוקות הקשורות בהעברת מידע אישי הקשור לפעילויות שאינן משאבי אנוש דרך האיחוד האירופי-ארה”ב. תוכנית מסגרת פרטיות הנתונים (DPF), השלוחה הבריטית ל- DPF ושווייץ-ארה”ב. תוכנית מסגרת פרטיות הנתונים, החברה שלנו הסכימה ליישוב סכסוכים (ללא תשלום) על ידי מנגנון הפנייה עצמאי, שירותי מסגרת פרטיות נתונים, בהפעלת BBB National Programs. אם אינך מקבל אישור בזמן על תלונתך, או אם תלונתך אינה מטופלת באופן משביע רצון, יש לבקר באתר https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers למידע נוסף ולהגשת תלונה.
- עבור כל מחלוקת המתעוררת במסגרת האיחוד האירופי-ארה”ב תוכנית מסגרת פרטיות הנתונים (DPF), השלוחה הבריטית ל- DPF ושווייץ-ארה”ב. תוכנית מסגרת פרטיות הנתונים שאינה נפתרת באמצעות השלבים המתוארים בסעיף זה, בתנאים מסוימים, אנשים רשאים להפעיל בוררות מחייבת עבור חלק מהתביעות הנותרות שלא נפתרו במנגנוני תיקון אחרים. נא לעיין: https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2.
-
כל הפרטים המתגוררים ב-EEA, או אנשים שמידע אישי עליהם כפוף לחוק הגנת המידע של ה-EEA ומועבר מחוץ ל-EEA,עליהם מעובד מידע בהתאם למדיניות זו, זכאים לפי מדיניות זו, בכל עת, לאכוף את הדרישות של מדיניות זו כמוטבי צד שלישי, לרבות הזכות להגיש תביעה שיפוטית לבקשת סעד בגין הפרת זכויותיו על פי מדיניות זו (כמפורט בסעיף 2 לעיל) והזכות לקבל פרס בגין נזקים הנובעים מהפרה כזו. אנשים המתגוררים ב-EEA או יחידים שמידע אישי עליהם כפוף לחוק הגנת המידע של ה-EEA ומועבר מחוץ ל-EEA (למען הבהירות, לרבות לארה”ב), רשאים להגיש תביעה או תלונה במסגרת מדיניות זו , נגד חברת הבת של החברה האחראית לייצוא המידע האישי אל מחוץ לאזור ה-EEA: לפני:
- סמכות השיפוט של יצואן הנתונים הממוקם ב-EEA, או
- תחום השיפוט של המדינה נמצא קצין הגנת המידע האירופי שלנו, או
- רשויות הגנת המידע המוסמכות (במיוחד במדינה החברה שבה מגוריו הרגילים, מקום עבודתו או מקום ההפרה לכאורה), או
- רשויות הגנת המידע המובילות שלנו שהורו ל-BCR שלנו: ה-CNIL הצרפתי.
- החברה שלנו תגיב לאדם או לישות שהעלו את השאלה, התלונה או החשש לחברתנו בתוך שלושים (30) ימים קלנדריים, אלא אם כן חוק או מבקש הצד השלישי דורשים תגובה בפרק זמן קצר יותר או אלא אם הנסיבות דורשות זמן ארוך יותר. פרק זמן, ובמקרה זה יקבל הודעה בכתב למבקש הפרט או הצד השלישי.
-
כל אדם לגביו אנו מעבדים מידע אישי במסגרת מדיניות זו יכול להעלות שאלה, תלונה או דאגה לחברה שלנו בכל עת, לרבות בקשה לרשימה של כל החברות הבנות של החברה שלנו הכפופות למדיניות זו. אנו מצפים שהעובדים שלנו, ואחרים העובדים מטעם החברה שלנו, ימסרו הודעה מיידית אם יש להם סיבה להאמין שחוק החל עלול למנוע מהם לציית למדיניות זו. כל שאלה, תלונה או דאגה שהועלו על ידי אדם, או כל הודעה שסופקה על ידי עובד או כל אדם אחר שעובד מטעם החברה שלנו, יש להפנות למשרד הפרטיות הגלובלי:
-
אנו אחראים לשמירה על ערכי הפרטיות והסטנדרטים שלנו.
- חברת הבת של החברה שלנו האחראית לפעולה המולידה אירוע פרטיות או תקרית אבטחה מבוססת אחראית כלכלית לסכום כל תביעה לפיצויים או קנס הנובעים מתקרית הפרטיות או תקרית האבטחה.
- בתיאום עם משרד הפרטיות הגלובלי ובהנחייתו, קצין הגנת המידע האירופי אחראי להבטיח שהפעולות הדרושות יינקטו כדי לטפל בכל הפרה לכאורה של מדיניות זו על ידי חברות בת של החברה שלנו מחוץ לאזור ה-,EEA המשפיעות על יחידים המתגוררים ב-EEA או על אנשים שמידע אישי עליהם כפוף לחוק הגנת הנתונים של ה-EEA ו מועבר מחוץ ל-EEA. במידת הצורך, Merck, Sharp & Dohme (Europe) Inc., USA-Belgium Branch (“MSD Europe”) אחראית לשלם את הקנסות, הקנסות או הפיצויים שנפסקו בגין הפרות של מדיניות זו הנוגעת ליחידים המתגוררים ב-EEA או אנשים לגביהם. מידע אישי כפוף לחוק הגנת המידע של ה-EEA ומועבר מחוץ ל-EEA. עם תמיכה ממשרד הפרטיות הגלובלי והחברה הבת של החברה שלנו מחוץ ל-EEA האחראית על ההפרה לכאורה, קצין הגנת המידע האירופי יהיה אחראי להוכיח שהחברה שלנו אינה אחראית להפרה לכאורה. כאשר חברת בת אחרת של החברה שלנו אחראית לפעולה שהצריכה קנס, קנס או מתן פיצויים, חברת בת כזו עשויה להידרש להחזיר את MSD Europe לאלתר על כל סכום ששולם על ידי MSD Europe. אם חברה בת של החברה שלנו מחוץ לאזור ה-EEA תפר את המדיניות הזו, לבתי המשפט או לרשויות ההגנה על נתונים ב-EEA תהיה סמכות השיפוט ולאדם המושפע יהיו הזכויות והסעד נגד החברה הבת האחראית לייצוא המידע האישי מחוץ לאזור ה-EEA. כמפורט בסעיף 3.ו. (3.f)
- בתיאום עם משרד הפרטיות הגלובלי ובהנחייתו, Merck Sharp & Dohme LLC אחראית להבטיח שהפעולות הנדרשות יינקטו כדי לטפל בכל הפרה לכאורה של מדיניות זו המשפיעה על אנשים המתגוררים מחוץ לאזור ה-EEA, ובמידת הצורך לשלם את הקנסות, הקנסות או הפיצויים שנפסקו בגין הפרות של מדיניות זו המשפיעות על אנשים המתגוררים מחוץ ל-EEA. EEA או אנשים שמידע אישי לגביהם אינו כפוף לחוק הגנת המידע של EEA. כאשר חברת בת אחרת של החברה שלנו אחראית לפעולה שהצריכה קנס, קנס או מתן פיצויים, חברת בת כזו עשויה להידרש להחזיר לאלתר את Merck Sharp & Dohme LLC עבור כל סכום ששולם על ידי Merck Sharp & Dohme LLC.
- חברת הבת של החברה שלנו האחראית לפעולה המולידה אירוע פרטיות או תקרית אבטחה מבוססת אחראית כלכלית לסכום כל תביעה לפיצויים או קנס הנובעים מתקרית הפרטיות או תקרית האבטחה.
פיקוח וניטור
על מנת לספק ביטחון לרגולטורים ולבעלי עניין אחרים שהחברה שלנו אחראית למחויבותה לנוהלי פרטיות אתיים ואחראיים, החברה מקיימת קבוצת פיקוח וניטור נרחבת, בראשות ממונה הגנה על הפרטיות עם משרד פרטיות גלובלי ייעודי (GPO) ,DPO מוקצה של האיחוד האירופי,DPO’s במדינה כאשר הדבר נדרש על פי חוק או רשויות מקומיות ודיילי פרטיות הממונים על ידי מנהלים בכירים ומשמשים כאנשי קשר בין משרד הפרטיות הגלובלי והתחומים הארגוניים שבהם הם עובדים.
החברה שלנו תסתמך על ממוני אחריות לפרטיות עליהם היא אחראית על פי החוקים לוודא מעת לעת את עמידתה בדרישות של מדיניות זו ושל חוקים אלה, לרבות ה-APEC CPBRs.
בנוסף לביקורות האבטחה המנוהלות על ידי משרד הפרטיות הגלובלי, צוותי ביקורת והבטחה פנימיים וחיצוניים יערכו סקירות ציות כדי לוודא שהחברה מצייתת למדיניות זו, לרבות כל מדיניות, נהלים, סטנדרטים והנחיה הכפופים למדיניות זו. תכניות פעולה מתקנות ומונעות יפותחו וייושמו כדי לטפל בפערים שנצפו על ידי צוותי הביקורת וההבטחה. תוצאות תוכנית הביקורת יועברו לקצין הפרטיות הראשי, ל-DPO הרלוונטי ולמועצה להגנה על הפרטיות והנתונים, אשר אחראים לדווח עליהן כמתואר במדיניות זו.
רשויות פרטיות והגנת מידע מי שאישר מדיניות זו או שיש להם סמכות שיפוט על נהלי החברה שלנו על פי מדיניות זו זכאים לאמת את עמידתנו בה. אנו נפעל לעצות של הרשויות המוסמכות הללו בכל הנוגע לפרשנות ויישום של מדיניות זו.
מונחים שעליך להכיר
- אנונימי. השינוי, הקיצוץ, המחיקה או עריכה או שינוי אחר של מידע אישי כדי להפוך אותו לבלתי הפיך ליכול לשמש לזיהוי, איתור או יצירת קשר עם אדם, לבד או בשילוב עם מידע אחר.
- חוֹק. כל החוקים, הכללים, התקנות וצווי הדעות החלים בעלי תוקף של חוק בכל מדינה שבה החברה שלנו פועלת או שבה המידע האישי מעובד על ידי או מטעם החברה שלנו. הדבר כולל את כל מסגרות הפרטיות שעל פיהן קיבלה החברה שלנו אישורים מחייבים או הסמכות מחייבות של האיחוד האירופי (“BCR”) באזור שיתוף הפעולה הכלכלי באסיה-פסיפיק (“APEC”) כללי הפרטיות חוצה גבולות (“CBPRs”), האיחוד האירופי-ארה”ב. תוכנית מסגרת פרטיות הנתונים (DPF), השלוחה הבריטית ל- DPF ושווייץ-ארה”ב. תוכנית מסגרת פרטיות הנתונים – תחת סמכויות החקירה והאכיפה של ועדת הסחר הפדרלית של ארה”ב.
- החברה שלנו. Merck & Co., Inc., Rahway, NJ, ארה”ב, יורשיה, חברות הבנות והחטיבות שלה ברחבי העולם, למעט מיזמים משותפים שהחברה שלנו צד להם.
- מידע אישי. כל מידע הנוגע לאדם מסוים, מזוהה או שניתן לזיהוי, כולל מידע המזהה אדם כלשהו או שניתן לעשות בו שימוש לשם זיהוי או איתור אדם כלשהו, מעקב אחריו או יצירת קשר עמו. מידע אישי כולל מידע מזהה ישיר, כגון שם, מספר זיהוי או תפקיד ייחודי וכן מידע המאפשר זיהוי עקיף, כגון תאריך הלידה, מזהה ייחודי של מכשיר נייד או לביש, מספר טלפון, כמו גם נתונים מקודדים במפתח, מזהים מקוונים, כגון כתובת IP או כל פעילות אישית, דפוס התנהגות או העדפות הניתנות לאיסוף על מנת לספק שירותים או מוצרים.
- אירוע פרטיות. הפרה של מדיניות זו או חוק פרטיות או הגנת מידע וכוללת אירוע אבטחה. קביעות האם התרחש אירוע פרטיות והאם יש להעלות אותו לפרצת נתונים אישיים ייעשו על ידי משרד הפרטיות הגלובלי, ניהול סיכונים ואבטחה של טכנולוגיית מידע (ITRMS), ומשרד היועץ הכללי.
- מעבד. ביצוע כל פעולה או קבוצה של פעולות שמבוצעת במידע של אדם כלשהו, בין אם באמצעים אוטומטיים, הכוללות, אך אינן מוגבלות לאיסוף, תיעוד, ארגון, אחסון, גישה, התאמה, שינוי, אחזור, ייעוץ, שימוש, הערכה, ניתוח, דיווח, שיתוף, חשיפה, הפצה, העברה, הנגשה, שילוב, חסימה, מחיקה, הסרה או השמדה.
- הפרת נתונים אישיים. הפרת אבטחה המובילה להרס מקרי או בלתי חוקי, אובדן, שינוי, חשיפה בלתי מורשית של מידע אישי או גישה אליו, או לאמונה הסבירה של החברה שלנו בדבר. גישה למידע אישי על ידי או מטעמה של החברה שלנו ללא כוונה להפר מדיניות זו אינה מהווה הפרת נתונים אישיים, בתנאי שהמידע האישי אליו ניגש ייעשה שימוש נוסף וייחשף אך ורק כפי שמותר במדיניות זו.
- מידע רגיש. כל סוג של מידע על אנשים שעשוי לגרום לאנשים אלה נזק פוטנציאלי, לרבות מידע שהוגדר בחוק כרגיש, כולל, אך אינו מוגבל למידע הקשור בבריאות, בגנטיקה, בביומטריה, בגזע, במוצא אתני, בדת, בדעות או באמונות פוליטיות או פילוסופיות, בהיסטוריה פלילית, במידע על מיקום גיאוגרפי מדויק, בנתונים בנקאיים או במספר חשבון כספי אחר, במספרי זיהוי רשמיים, בקטינים, בחיי מין, בנטייה מינית, בזיקה לאיגוד מסחרי, בביטוח, בביטוח לאומי ובמעסיקה אחרת או בהטבות ממשלתיות.
- צד שלישי. כל ישות משפטית, עמותה או אדם שאינם בבעלות חברתנו, או שלחברתנו אין גרעין שליטה בהם, או שאינו מועסק על ידי חברתנו. למעט כפי שנקבע במפורש במדיניות זו, אף חברה בת או חטיבה של החברה שלנו לא תידרש לעמוד בדרישות של צד שלישי על פי מדיניות זו, שכן כל החברות הבנות או החטיבות נדרשות לעבד מידע על אנשים בהתאם למדיניות זו, לרבות ב נסיבות שבהן אחת מחברות הבת של החברה שלנו תומכת באחת או יותר חברות בת אחרות של החברה שלנו בעיבוד.
שינויים במדיניות זו
מדיניות זו עשויה להשתנות מעת לעת, בהתאם לדרישות החוק החל. הודעה תפורסם בדף הפרטיות של החברה שלנו (https://www.msdprivacy.com/) הודעה תפורסם בדף הפרטיות של החברה שלנו.