בחברת Merck & Co., Inc., הממוקמת ראהווי, ניו ג’רזי, ארה”ב ופועלת תחת השם המסחרי MSD מחוץ לארה”ב וקנדה, המשימה שלנו להציל ולשפר חיים משתרעת על כיבוד הפרטיות ועל ההגנה על מידע אישי.
תאריך סקירה: 2022,האחד במאי
תאריך תוקף: 2022,האחד במאי
אנו שואפים לנהל את העסקים שלנו בהתאם לערכי הפרטיות שלנו, משום שאנו מאמינים כי הם ממחישים את מחויבותנו הבלתי מתפשרת לפרקטיקות אתיות ואחראיות. אנו מודעים לכך שחדשנות וטכנולוגיה חדשה גורמות לשינוי מתמיד בסיכונים, בציפיות ובחוקים, לכן אנו פועלים על פי סטנדרטים של אחריות בכל הנוגע לפרטיות ושואפים להתאים במהירות את האופן שבו אנו מיישמים את הסטנדרטים בתגובה לאותם השינויים.
מדיניות זו מגדירה את הסטנדרטים הבינלאומיים שלנו לניהול והגנה על מידע אישי על ידי או מטעמה של החברה שלנו, ללא קשר למדינה שממנה הגיע המידע האישי או שאליה הוא עשוי להיות מועבר. מדיניות זו מתארת את התחייבויות הליבה שלנו, המאפשרות לנו לקבל את ההסמכה של כללי הפרטיות חוצי-גבולות של APEC, לציית לכלליים התאגידיים המחייבים שלנו (“BCRs”), שאושרו ע”י האיחוד האירופי, ולקיים את ההסמכה העצמית שלנו למגן הפרטיות של האיחוד אירופי-ארה”ב (EU-U.S. Privacy Shield) ולמגן הפרטיות של שווייץ-ארה”ב (Swiss-U.S. Privacy Shield). המדיניות חלה על הפעילות של החברה בכל מדינה, על כל פעילות הכוללת מידע על אנשים שאנו מקיימים בכל אחת מחברות הבת ובכל מחלקה (לרבות על ידי מחליפינו), ולרבות, אך לא רק, על מחקר, ייצור, מסחר, פעילויות תמיכה של התאגיד והעברות המידע הדרושות לביצוע פעילויות אלה, לרבות, על המצוין להלן:
- מחקר וייצור: הערכת צרכים והזדמנויות לחדשנות רפואית ובריאותית; יוזמה, ניהול ומימון של מחקרים; הערכה והתקשרות עם חוקרים, חברי ועדות אתיקה ומדע ושותפים עסקיים כדי לתמוך במחקרים שלנו ובפיתוח המוצרים שלנו; דרישות מחקר; הערכת בטיחות, יעילות ואיכות המוצרים הניסיוניים שנמצאים בפיתוח והמוצרים המשווקים שלנו; עמידה בהתחייבויות החברה ביחס לאיכות ולבטיחות המוצרים, לרבות טיפול ודיווח על תופעות לוואי ותלונות איכות; הגשה לאישור ורישום של המוצרים שלנו על ידי רשויות הבריאות הרגולטוריות; ועמידה בדרישות החוקיות, האתיות והרגולטוריות הרלוונטיות;
- מסחרי: הערכת השוק למוצרים שלנו; פרסום, שיווק, מכירה, הפצה ואספקה של המוצרים שלנו; יצירת קשר והתקשרות עם לקוחות שהם אנשי מקצועות הבריאות, נושאים בתשלום עבור טיפול רפואי, מטופלים ומשתמשי קצה אחרים של המוצרים שלנו, וכן עם המטפלים של צרכני המוצרים שלנו; מימון ועריכת אירועים; הערכה והתקשורת עם שותפים עסקים במטרה לתמוך בפעילות העסקית שלנו; ועמידה ובדרישות החוקיות, האתיות והרגולטוריות הרלוונטיות;
- תמיכה תאגידית: גיוס, העסקה, ניהול, פיתוח, תקשורת עם עובדים ותגמול עובדים; מתן הטבות לעובדים ולתלויים שלהם; הערכת תפקוד וביצוע לעובדים ;מתן הכשרה ותוכניות ללמידה והתפתחות; קיום הליכים משמעתיים ובירורי תלונות לעובדים; ניהול ענייני אתיקה ופרטיות ועריכת חקירות בנושא; ניהול ואבטחה של הנכסים והתשתיות המוחשיים והווירטואליים שלנו; רכישה ותשלומים עבור טובין ושירותים; עמידה במחויבויות שלנו בנוגע לאיכות הסביבה, בריאות, ביטחון ואחריויות תאגידיות אחרות; התנהלותנו מול אמצעי התקשורת; וציות לדרישות החוקיות, האתיות והרגולטוריות הרלוונטיות.
מדיניות זו חלה גם על כל מי שאודותיו אנו מעבדים מידע, לרבות, על אנשי מקצועות הבריאות ולקוחות נוספים; על עובדינו לשעבר, בהווה ובעתיד והתלויים בהם; על מטופלים, מטפלים, חוקרים ומשתתפים במחקרים, חברי ועדות האתיקה והוועדות המדעיות, שותפים עסקיים, משקיעים ובעלי מניות, נציגי ממשל ובעלי עניין אחרים.
כל עובדי החברה והמנהלים הבכירים שותפים לאחריות הליבה לגבי פרטיות שעליהםם לקיים.
אנו מכירים בכך שטעויות שאינן מכוונות וטעויות הנובעות משיקול דעת מוטעה בנוגע להגנה על מידע אודות אנשים יכולות ליצור סיכון לפרטיות האנשים הללו, לצד סיכוני מוניטין וסיכונים תפעוליים,, פיננסיים, וסיכון של אי-ציות לדין לחברה. אנו נספק הדרכה מתאימה באשר למדיניות זו לכל העובדים ואנשי צוות אחרים בעלי גישה קבועה או שוטפת למידע אישי, המעורבים באיסוף מידע או בפיתוח כלים המשמשים לעיבוד מידע אישי. כל עובד של החברה שלנו ואחרים המעבדים מידע על אנשים עבור החברה שלנו, נושאים באחריות להבנת ולקיום המחויבויות שלהם על פי מדיניות זו ועל פי הדין.
ערכי הפרטיות והסטנדרטים שלנו
אנו שומרים על ערכי הפרטיות שלנו בכל דבר שאנו עושים הנוגע לאנשים, לרבות הדרך שבה אנו מיישמים את סטנדרט הפרטיות שלנו. ארבעת ערכי הפרטיות שלנו הם:
כבוד | אמון | מניעת נזק | ציות לדין |
---|---|---|---|
אנו מכירים בכך שלעתים קרובות חששות בנוגע לפרטיות קשורים למהות שלנו ואופן השקפתנו על העולם ולדרך בה אנו מגדירים את עצמנו, לכן אנו שואפים לכבד את השקפות העולם ותחומי העניין של יחידים וקהילות, ולהיות הוגנים ושקופים בנוגע לאופן שבו אנו משתמשים וחולקים מידע לגביהם. | ידוע לנו כי אמון הוא גורם חיוני להצלחה שלנו, לכן אנו שואפים לבנות ולשמר את האמון של הלקוחות, העובדים והמטופלים שלנו ובעלי עניין נוספים, באופן שבו אנו מכבדים פרטיות ומגנים על מידע אודות אנשים. | אנו מבינים כי שימוש לרעה במידע אודות אנשים עלול לגרום להם לנזקים מוחשיים ובלתי מוחשיים, ולכן אנו מנסים למנוע פגיעה פיזית, כספית, פגיעה במוניטין, או כל פגיעה אחרת בפרטיות. | למדנו כי חוקים ותקנות אינם תמיד עומדים בקצב השינויים הטכנולוגיים, זרימת הנתונים, ובשינויים הנלווים בסיכוני הפרטיות והצפיות, לכן אנו שואפים לציית הן ברוח והן בכתב לחוקי ותקנות הגנת הפרטיות ואבטחת המידע, באופן המביא לעקביות ויעילות תפעולית של פעולותינו העסקיות הבינלאומיות. |
1. אנו מטמיעים את סטנדרט הפרטיות שלנו בכל פעילות, תהליך, טכנולוגיה והתקשרויות עם צדדים שלישיים שעושים שימוש במידע אישי. אנו משלבים אמצעי בקרת פרטיות בתהליכים והטכנולוגיות שלנו, שעולים בקנה אחד עם ערכי הפרטיות והסטנדרטים שלנו ועם הדין. 8 עקרונות הפרטיות שלנו המפורטים להלן מתמצתים את סטנדרט הפרטיות ודרישות הבסיס שלנו לתהליכים ולפעילויות ואת הטכנולוגיות התומכות בהם ברמה גבוהה.
עיקרון הפרטיות | מחויבויות הליבה שלנו |
---|---|
1. נחיצות – לפני איסוף, שימוש או שיתוף מידע אישי, אנו מגדירים ומתעדים את המטרות העסקיות הספציפיות והלגיטימיות עבורן המידע נחוץ. |
|
2. הוגנות – אנו לא מעבדים מידע אישי בדרכים שאינן הוגנות כלפי אנשים שאליהם המידע קשור. |
|
3. שקיפות – אנו לא מעבדים מידע אישי בדרכים לא שקופות או למטרה שאינה שקופה. |
|
4. הגבלת מטרה – אנו נשתמש במידע האישי רק בהתאם לעקרונות הנחיצות והשקיפות. |
|
5. איכות מידע – אנו שומרים מידע אישי מדויק, שלם ועדכני, ובהתאם למטרה שלשמה מתוכנן לעשות בו שימוש. |
|
6. אבטחה – אנו מיישמים מנגנוני הגנה על מנת להגן על מידע אישי ומידע רגיש, מפני אובדן,שימוש, לרעה, ומפני גישה, גילוי, שינוי או השמדה לא מורשים. |
|
7. העברת מידע – אנו אחראיים ואנו שומרים על הגנת הפרטיות של מידע אישי כאשר הוא מועבר מארגונים אחרים או אליהם או מעבר לגבולות המדינה. |
(1) אנו מעבירים מידע אישי בתוך החברה שלנו אם מתקיימות הדרישות הבאות: (1) השיתוף נחוץ כדי לממש את המטרה שלשמה המידע האישי נאסף מלכתחילה או לאינטרס לגיטימי אחר של החברה, ו-(2) המטרה שלשמה יש לשתף את המידע, ועצם שיתופו, תואמים את הודעת הפרטיות שסיפקנו בעבר לנושא המידע בזמן שהמידע האישי נאסף לראשונה והוא נתן את הסכמתו ככל שהיה בה צורך. (3) כאשר אחת מחברות הבת שלנו פועלת אך ורק מטעמה של חברת בת אחרת של החברה שלנו בעיבוד המידע האישי, (4) כאשר הדבר נדרש על פי דין, חברות הבת הללו יוציאו אל הפועל הסכם פנימי לעיבוד מידע בהתאם לעקרון 8 של מדיניות זו. (5) מקום בו תשתית טכנולוגיות המידע דורשת העברה מעין זו, וכל עוד ננקטים כל אמצעי האבטחה והאמצעים הארגוניים הנחוצים כדי להבטיח שהעברה זו תבוצע תוך ציות לדרישות. (2) אנו מעבירים מידע אישי לצדדים שלישיים, או מתירים להם לעבד מידע אישי, אך ורק אם הדרישות הבאות מתקיימות. יתר על כן, אנו אחראים לוודא שהצדדים השלישיים שאנו פועלים עמם עונים על הדרישות הללו:
(3) אנו מעבירים מידע אישי בין גבולות של מדינות, לרבות לארה”ב, על ידי החברה או מטעמה, בהתאם למדיניות זו. אנו נחיל מדיניות זו על העברות מידע אישי מכל מדינה או טריטוריה עם דין שמגביל העברת מידע אישי, בנוסף לציות לכל דרישה המוטלת על ידי אותו דין (לרבות שימוש בכל מנגנון הנדרש לצורך העברות חוצות גבולות למדינות שאינן מחזיקות באותן אמות מידה להגנה על נתונים כמו אלה שבשימוש במדינת המקור). |
8. אפשרי מבחינה משפטית – אנו מעבדים מידע אישי רק אם התקיימו דרישות חוק. |
|
- אנו נטפל במהירות בבקשות הנוגעות לזכויות גישה, תיקון, שינוי או מחיקת מידע אישי, להתנגדות לעיבוד מידע אישי אודותיהם, ולמימוש זכויות אחרות לגבי המידע האישי.
- א. גישה, תיקון, מחיקה וזכויות אחרות – בהתאם לדין ברוב המדינות שאנו פועלים בהן, לאנשים קיימת הזכות לגשת למידע אישי אודותיהם ולשנות, לתקן או למחוק מידע אישי שאינו מדויק, אינו שלם או אינו מעודכן. אנו נכבד כל בקשה לגשת, לתקן או למחוק מידע אישי מכל אדם בהתאם לסעיף 3(א) להלן. אם בקשה לגישה, תיקון או מחיקה כפופה לדין שמספק הגנה גדולה יותר לפרט, אנו נוודא כי הדרישות הנוספות של הדין יקוימו.
במדינות מסוימות, אנשים עשויים להיות זכאים לזכויות אחרות ביחס למידע אישי אודותיהם, כמו הזכות להגביל את עיבוד המידע, להתנגד לעיבודו (ראה גם סעיף 2(ב) להלן) ולבקש כי המידע שלהם יועבר לספק שירותים אחר. אנו נכבד את מימוש הזכויות בהתאם לדין החל. זכויות מסוימות, כמו הזכות למחיקה, עשויות להיות מוגבלות על ידי דרישות רגולטוריות אחרות, או הצורך לציית לחובות דיווח מקומיות בנושאי ציות. במקרים כאלה, נודיע לך על מגבלות אלה, בהתאם לנסיבות המקרה. - ב. בחירה – בהתאם לערכי הפרטיות שלנו של “כבוד” ו”אמון,” אנו מכבדים כל בקשה של אדם להתנגד לעיבוד מידע אישי, לרבות חזרה מהסכמה שניתנה בעבר להשתתף בתוכניות או בפעילויות, עיבוד מידע אישי אודותיו לצרכי שיווק ישיר, תקשורת המיועדת אליו והמבוססת על המידע האישי אודותיו, וכל הערכה או החלטה לגביהם, שיש לה פוטנציאל להשפיע באופן משמעותי עליהם, שנעשו באמצעות שימוש באוטומציה או באלגוריתמים.
- למעט כאשר הדבר אסור על פי דין, אנו רשאים למנוע את הבחירות האמורות כאשר בקשת בחירה מסוימת תפגע ביכולת החברה : (1) לציית לדין או לחובה אתית, לרבות כאשר אנו נדרשים לחשוף מידע אישי בתגובה לבקשה מכוח הדין של רשות ציבורית, לרבות עמידה בדרישות ביטחון לאומי או אכיפת הדין (2) לחקור, לתבוע או להתגונן מפני תביעה, ו(3) לערוך חוזים, לנהל קשרי גומלין, או לערוך פעילויות עסקיות מותרות אחרות העולות בקנה אחד עם עקרונות השקיפות והגבלת המטרה, כאשר אלה מתבססים על המידע אודות האנשים המדוברים. תוך חמישה עשר ימי עסקים מקבלת החלטה לדחות בקשה בהתאם למדיניות זו, אנו נתעד ונמסור את ההחלטה למבקש.
- א. גישה, תיקון, מחיקה וזכויות אחרות – בהתאם לדין ברוב המדינות שאנו פועלים בהן, לאנשים קיימת הזכות לגשת למידע אישי אודותיהם ולשנות, לתקן או למחוק מידע אישי שאינו מדויק, אינו שלם או אינו מעודכן. אנו נכבד כל בקשה לגשת, לתקן או למחוק מידע אישי מכל אדם בהתאם לסעיף 3(א) להלן. אם בקשה לגישה, תיקון או מחיקה כפופה לדין שמספק הגנה גדולה יותר לפרט, אנו נוודא כי הדרישות הנוספות של הדין יקוימו.
-
אנו נגיב במהירות ונעביר לגורמים הדרושים כל שאלה הקשורה לפרטיות, כמו גם כל תלונה, חשש, וכל תקרית פרטיות או תקרית אבטחה פוטנציאלית..
- כל אדם שאנו מעבדים מידע אישי אודותיו במסגרת מדיניות זו רשאי להעלות שאלה, להגיש תלונה או להעביר את חששותיו לחברה שלנו בכל עת, כולל בקשה לקבלת רשימה של כל חברות הבת שלנו הכפופות למדיניות זו. אנו מצפים כי העובדים שלנו, ואחרים שעובדים מטעם החברה שלנו, ימסרו במהירות הודעה אם יש להם כל סיבה להאמין כי הוראות של דין רלוונטי עלולות למנוע מהם לציית למדיניות זו. כל שאלה, תלונה או דאגה המועלית על ידי אדם, או כל הודעה של עובד או כל אדם אחר שעובד מטעם החברה שלנו, יש להפנות למחלקת הפרטיות הבינלאומית:
- בדואר אלקטרוני עבור עובדים השוהים באזור הכלכלי האירופי (EEA), לכתובת: euprivacydpo@msd.com
- כל אדם אחר, בדואר אלקטרוני לכתובת msd_privacy_office@msd.com
- בדואר: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
- עובדים וקבלנים נדרשים להודיע ללא דיחוי למחלקת הפרטיות הבינלאומית או לממונה הפרטיות המיועד באזור העסקים שלהם, על כל שאלה, תלונה או דאגה הקשורות לפרקטיקות הפרטיות של החברה.
- מחלקת הפרטיות הבינלאומית תבדוק ותחקור, או יעבוד עם לשכת האתיקה, הלשכה המשפטית ו/או עם קצין הציות כדי לחקור את כל השאלות, התלונות או הדאגות הקשורות לפרקטיקות הפרטיות של החברה, בין אם התקבלו ישירות מעובדים או מאנשים אחרים, או דרך צדדים שלישיים, לרבות מרשויות רגולטוריות, ומרשויות ממשלתיות אחרות. אנו נשיב לפונה שהעלה את השאלה, התלונה או החששות תוך שלושים (30) ימים קלנדרים, למעט אם הדין הצד השלישי דורש תגובה בפרק זמן קצר יותר, או אם הנסיבות, כגון חקירה ממשלתית שמתרחשת באותה עת, דורשות פרק זמן ארוך יותר, ובמקרה זה, האדם או הצד השלישי שהעלה את השאלה יעודכן בכתב בהקדם האפשרי, על טיבן הכללי של הנסיבות המביאות לעיכוב.
- מחלקת הפרטיות הבינלאומית, בתאום עם המחלקה המשפטית ומחלקת הציות, ישתפו פעולה בתגובה לכל שאלה, בדיקה או חקירה של רשות פרטיות רגולטורית.
- בנוגע לתלונות שלא יכולות להיפתר בין החברה שלנו לבין אדם שהעלה את התלונה, החברה שלנו הסכימה להשתתף בהליכים הבאים לפתרון מחלוקות שיעסקו בחקירה ובפתרון תלונות מתוך שאיפה לפתור את המחלוקת שנתגלעה בהתאם למדיניות זו, אולם, בכל עת, אדם המתגורר באזור הכלכלי האירופי (EEA) או אנשים שהמידע האישי שלהם כפוף לחוק הגנת המידע של ה-EEA והמידע מועבר מחוץ ל-EEA, יכולים גם להסתמך על סעיף3(ו) שלהלן:
- בגין מחלוקות הקשורות להעברת מידע אישי שקשור לפעילות של משאבי אנוש בהקשר של יחסי עבודה, מה-EEA ומבריטניה לארה”ב, החברה שלנו מתחייבת גם לשתף פעולה עם פאנל רשות הגנת המידע המתאים באיחוד האירופי.
- בגין מחלוקות הקשורות להעברת מידע אישי שקשור לפעילות של משאבי אנוש בהקשר של יחסי עבודה, משווייץ לארה”ב, החברה שלנו מתחייבת לשתף פעולה עם רשות ההגנה על המידע השווייצרית, ה-FDPIC.
- בגין מחלוקות הנוגעות להעברה של מידע אישי בכפוף לציות החברה לכללי הפרטיות חוצי-הגבולות (“CBPRs”) של שיתוף הפעולה הכלכלי באזור אסיה והאוקיינוס השקט (“APEC”), בין ולציות למגן הפרטיות של האיחוד האירופי – ארה”ב ושל שווייץ – ארה”ב, וההעברה של מידע אישי שקשור לפעילויות שאינן של משאבי אנוש תוך לציות למגן הפרטיות של האיחוד האירופי – ארה”ב ושל שווייץ – ארה”ב, החברה שלנו הסכימה לפתרון מחלוקות באמצעות ספק שירותי פתרון המחלוקות מצד שלישי שלנו היושב בארה”ב (ללא עלות) בכתובת https://feedback-form.truste.com/watchdog/request.
- עבור כל מחלוקת שמתעוררת הכפופה למגן הפרטיות של האיחוד האירופי – ארה”ב ושל שווייץ – ארה”ב שלא נפתרה באמצעות הצעדים שתוארו בחלק זה, ניתן לפתוח הליך של בוררות מחייבת בהתאם לנהלי פאנל הגנת הפרטיות הקיימים תחת מגן הפרטיות של האיחוד האירופי – ארה”ב / שווייץ – ארה”ב.
-
כל אדם המתגורר ב-EEA או אנשים שהמידע האישי אודותיהם כפוף לדיני הגנת המידע של ה-EEA ומועבר מחוץ ל-EEA, ואשר המידע אודותיהם מעובד בהתאם למדיניות זו, זכאים על פי מדיניות זאת, בכל עת, לאכוף את הדרישות של מדיניות זו כמוטבי צד שלישי, לרבות הזכות לפתוח בהליך משפטי כדי לבקש סעדים בגין הפרה של זכויותיו על פי מדיניות זו (כמפורט בסעיף 2 לעיל) ולקבל פיצוי בגין הנזקים שנבעו מהפרה זו. אנשים המתגוררים ב-EEA או אנשים שהמידע האישי אודותיהם כפוף לדיני הגנת המידע של ה-EEA והמידע מועבר מחוץ ל-EEA (כולל לארה”ב), רשאים להגיש תביעה או להגיש תלונה על פי מדיניות זו, נגד חברת הבת של החברה האחראית על ייצוא המידע האישי מה-EEA בפני:
- תחום השיפוט של מייצא הנתונים הממוקם ב-EEA, או
- תחום השיפוט של המדינה שבה יושב ממונה הגנת המידע שלנו באירופה, או
- רשויות הגנת המידע המוסמכות (ופרט, במדינה החברה שבה הוא יושב, שבה הוא עובד או שבה אירעה ההפרה לכאורה), או
- רשויות הגנת המידע המובילות שלנו שסייעו בניסוח את ה-BCR שלנו: ה-CNIL הצרפתית.
- החברה שלנו תשיב לפונה שהעלה את השאלה, התלונה או החשש בפני החברה שלנו בתוך שלושים (30) ימים קלנדרים, אלא אם הדין או הצד שלישי דורש תגובה בפרק זמן קצר יותר, או אם הנסיבות דורשות פרק זמן ארוך יותר – ובמקרה זה, האדם או הצד השלישי יקבל על כך הודעה בכתב.
- כל אדם שאנו מעבדים מידע אישי אודותיו במסגרת מדיניות זו רשאי להעלות שאלה, להגיש תלונה או להעביר את חששותיו לחברה שלנו בכל עת, כולל בקשה לקבלת רשימה של כל חברות הבת שלנו הכפופות למדיניות זו. אנו מצפים כי העובדים שלנו, ואחרים שעובדים מטעם החברה שלנו, ימסרו במהירות הודעה אם יש להם כל סיבה להאמין כי הוראות של דין רלוונטי עלולות למנוע מהם לציית למדיניות זו. כל שאלה, תלונה או דאגה המועלית על ידי אדם, או כל הודעה של עובד או כל אדם אחר שעובד מטעם החברה שלנו, יש להפנות למחלקת הפרטיות הבינלאומית:
-
אנו נושאים באחריות להקפדה על הערכים והסטנדרטים שלנו בנושא פרטיות.
- חברת הבת של החברה שלנו, הנושאת באחריות לפעולה שגרמה לתקרית פרטיות או לתקרית אבטחה מוכחת, היא האחראית מבחינה כספית לכל תביעה לתשלום פיצויים או לקנס או עונש הנגזרים כתוצאה מתקרית הפרטיות או האבטחה.
- בתאום עם מחלקת הפרטיות הבינלאומית ועל פי הנחיותיו, ממונה הגנת המידע באירופה אחראי לוודא כי יינקטו הפעולות הנדרשות כדי לתת מענה לכל הפרה לכאורה של מדיניות זו על ידי חברות בנות של החברה מחוץ לאזור EEA, המשפיעה על אנשים המתגוררים ב-EEA או על אנשים שהמידע האישי אודותיהם כפוף לחוק הגנת המידע של ה-EEA ומועבר מחוץ ל-EEA. במידת הצורך, Merck, Sharp & Dohme (Europe) Inc., USA -Belgium Branch (“MSD אירופה”) תהיה אחראית לתשלום הקנסות, העונשים או הפיצויים שיוענקו בגין הפרות של מדיניות זו המשפיעות על אנשים המתגוררים ב-EEA או על אנשים שהמידע האישי אודותיהם כפוף לחוק הגנת המידע של ה-EEA ומועבר אל מחוץ לאזור EEA. בתמיכת מחלקת הפרטיות הבינלאומית וחברת הבת של החברה מחוץ ל-EEA הנושאת באחריות להפרה לכאורה, ממונה הגנת המידע באירופה יהיה אחראי להוכיח כי החברה אינה אחראית להפרה לכאורה. כאשר חברת בת אחרת של החברה שלנו תהא אחראית לפעולה שהובילה להטלת הקנס, העונש או תשלום הפיצויים, ייתכן כי אותה חברת בת זו תידרש לפצות את MSD Europe ללא דיחוי בגין כל סכום ששולם על ידי MSD Europe. ככל שחברת בת של החברה מחוץ ל-EEA תפר מדיניות זו, לבתי המשפט או רשויות הגנת המידע ב-EEA תהיה סמכות שיפוט. כמו כן, לאדם הרלוונטי יעמדו זכויות ותרופות נגד חברת הבת של החברה שאחראית על ייצוא המידע האישי מחוץ ל-EEA כפי שנקבע בסעיף 3.ו. לעיל.
- בתאום עם מחלקת הפרטיות הבינלאומית ועל פי הנחיותיה, Merck Sharp & Dohme Corp. אחראית לוודא כי יינקטו הפעולות הנדרשות כדי לתת מענה לכל הפרה לכאורה של מדיניות זו המשפיעה על אנשים המתגוררים מחוץ לאזור EEA וגם, כאשר הדבר נדרש, לתשלום הקנסות, העונשים או הפיצויים שיוענקו בגין הפרות של מדיניות זו שישפיעו על אנשים המתגוררים מחוץ לאזור EEA, או על אנשים שהמידע האישי אודותיהם אינו כפוף לחוק הגנת המידע של אזור ה-EEA. כאשר חברת בת אחרת של החברה שלנו תהא אחראית לפעולה שהובילה להטלת הקנס, העונש או הפיצויים, ייתכן שחברת הבת תידרש לפצות באופן מיידי את Merck Sharp & Dohme Corp בגין כל סכום ששולם על ידי Merck Sharp & Dohme Corp.
- חברת הבת של החברה שלנו, הנושאת באחריות לפעולה שגרמה לתקרית פרטיות או לתקרית אבטחה מוכחת, היא האחראית מבחינה כספית לכל תביעה לתשלום פיצויים או לקנס או עונש הנגזרים כתוצאה מתקרית הפרטיות או האבטחה.
בקרה ופיקוח
על-מנת לספק ביטחון לרגולטורים ולבעלי עניין אחרים בהיות החברה שלנו אחראית למחויבותה לפרקטיקות פרטיות אתיות ואחראיות, החברה מפעילה קבוצת ניהול רחבת היקף לפיקוח ובקרה, בראשות ממונה הפרטיות הראשי, עם מחלקת פרטיות בינלאומית (GPO) ייעודית, עם ממונה על פרטיות המידע במדינות שבהן משרה זו נדרשת על פי דין או על ידי רשויות החוק המקומיות, וממוני פרטיות, הממונים לתפקידיהם על ידי המנהלים הבכירים ומשמשים כאנשי קשר בין מחלקת הפרטיות הבינלאומית לבין האזורים הארגוניים שבהם הם עובדים.
החברה שלנו מסתמכת על סוכני אחריות בעניין פרטיות (Privacy Accountability Agents) אשר אחראים מכוח החוק לוודא מעת לעת את הציות לדרישות של מדיניות זו ולחוק, כולל APEC CPBRs.
בנוסף לבדיקות סקר המנוהלות ע”י מחלקת הפרטיות הבינלאומית ‚ צוותי ביקורת ובדיקות סקר, הן פנימיים והן חיצוניים, יבצעו בדיקות ציות כדי לוודא כי החברה פועלת על פי מדיניות זו, לרבות כל מדיניות, נהלים, אמות מידה והנחיות הכפופים למדיניות זו. תוכניות תיקון ומנע יפותחו וייושמו כדי לתת מענה לפערים שיתגלו על ידי צוותי הביקורת ובדיקות הסקר. תוצאות תוכנית הביקורת ידווחו לממונה הפרטיות הראשי, לממונה הפרטיות הרלוונטי ולמועצת הגנת הפרטיות והמידע, הנושאים באחריות לדיווח התוצאות כמפורט במדיניות זו.
רשויות פרטיות והגנת מידע שאישרו את מדיניות זו, או שיש להן סמכות שיפוטית על פרקטיקות החברה שלנו על פי מדיניות זו, זכאיות לאמת את עמידתנו במדיניות זו. אנו נפעל על פי המלצת הרשויות המוסמכות בנוגע לפרשנות של מדיניות זו וליישומה.
מונחים שעליך להכיר
- הפיכה לאנונימי. תיקון, קיצור, מחיקה, עיבוד או שינוי אחר של מידע אישי, המבטיח באופן בלתי הפיך כי שלא ניתן יהיה להשתמש בו כדי לזהות אדם ולאתר אותו או ליצור אִתו קשר, בין אם באמצעות שימוש במידע זה בלבד ובין אם תוך שילוב בין המידע לבין מידע אחר.
- חוק. כל החוקים, הכללים, התקנות והנחיות בעלות תוקף חוקי בכל מדינה שבה החברה שלנו פועלת, או שבה מעובד מידע אישי על ידי החברה שלנו או מטעמה. האמור לעיל כולל כל מסגרת פרטיות במסגרתן החברה שלנו אושרה או הוסמכה, לרבות כלליים תאגידיים מחייבים (“BCR”) באיחוד האירופי, הפורום לשיתוף פעולה כלכלי באזור אסיה והאוקיינוס השקט (“APEC”), כללי פרטיות חוצי גבולות (“CBPRs”), מגן הפרטיות של האיחוד האירופי – ארה”ב ושווייץ – ארה”ב – על פי סמכויות האכיפה והחקירה של נציבות הסחר הפדרלית בארה”ב.
- החברה שלנו. Merck & Co., Inc., Rahway, NJ, USA, יורשי זכויותיה, חברות הבת שלה וחטיבותיה ברחבי העולם, למעט יוזמות משותפות שהחברה היא צד בהן.
- מידע אישי. כל מידע הנוגע לאדם מסוים, מזוהה או הניתן לזיהוי, ובכלל זה מידע המזהה אדם או שניתן לעשות בו שימוש לשם זיהוי או איתור אדם, למעקב אחריו או ליצירת קשר עמו. מידע אישי כולל מידע המאפשר זיהוי ישיר, כגון שם, מספר זיהוי, או הגדרת תפקיד ייחודית, ומידע המאפשר זיהוי עקיף, כגון תאריך לידה, מזהה ייחודי של מכשיר נייד/לביש, מספר טלפון וכן מידע מקודד, מזהים מקוונים כמו כתובות IP או כל פעילות אישית, התנהגות, או העדפה שניתנות לאיסוף לשם מתן שירות או אספקת מוצרים.
- תקרית פרטיות. הפרה של מדיניות זו או של דיני הגנת פרטיות או אבטחת מידע, לרבות תקרית אבטחה. הקביעה האם תקרית אבטחה אירעה והאם יש להסלימה לדרגת פריצה למידע אישי תתבצע על ידי מחלקת הפרטיות הבינלאומית, ניהול סיכונים ואבטחה של טכנולוגיית מידע (ITRMS) והיועץ המשפטי.
- עיבוד. ביצוע כל פעולה או סדרת פעולות במידע על אנשים, באמצעים אוטומטיים או ידניים, לרבות איסוף, הקלטה, ארגון, אחסון, גישה, התאמה, תיקון, אחזור, התייעצות, שימוש, הערכה, ניתוח, דיווח, שיתוף, גילוי, הפצה, שידור, הפיכה לזמין, , שילוב, חסימה, מחיקה, הסרה או השמדה.
- פריצה למידע אישי. פריצת אבטחה המובילה, שלא במתכוון או בניגוד לדין, להרס, אבדן, שינוי, גילוי או גישה לא מורשים למידע אישי, או המובילה את חברתנו למסקנה הסבירה שדבר מה מן האמורים לעיל התרחש. גישה למידע אישי על ידי החברה שלנו, או בשמה, ללא כוונה להפר מדיניות זו אינה מהווה פריצה למידע אישי, בתנאי שכל עיבוד של המידע האישי שאליו ניתנה גישה ייעשה אך ורק בהתאם למותר במדיניות זו.
- מידע רגיש. כל סוג של מידע על אנשים המגלם בתוכו סיכון לנזק פוטנציאלי לאנשים, כולל מידע המוגדר על פי דין כמידע רגיש, לרבות מידע הקשור לבריאות, גנטיקה, ביומטריה, גזע, מקור אתני, דת, דעות או אמונות פוליטיות או פילוסופיות, עבר פלילי, מידע על מיקום גאוגרפי מדויק, מספר חשבון בנק או מספר חשבון פיננסי אחר, מספרי זיהוי שהונפקו על ידי הממשלה, ילדים שהם קטינים, חיי מין, נטייה מינית, שיוך לאיגוד מקצועי, ביטוח, הטבות של המוסד לביטוח לאומי והטבות אחרות של מעסיק או מטעם הממשלה.
- צד שלישי. כל ישות משפטית, התאגדות או אדם, שהחברה שלנו אינה הבעלים שלה, או שאין לחברה שלנו שליטה בה, או שאינה מועסקת על ידי החברה. למעט כפי שהוגדר במפורש במדיניות זו, אף חברת בת או חטיבה של החברה שלנו לא יידרשו לעמוד בדרישות של צד שלישי על פי מדיניות זו, שכן כל חברות הבת או החטיבות נדרשות לעבד מידע על אנשים בהתאם למדיניות זו, לרבות בנסיבות שבהן אחת מחברות הבת שלנו מסייעת לאחת או יותר מחברות הבת האחרות בעיבוד מידע.
שינויים למדיניות זו
מדיניות זו ניתנת לשינוי מעת לעת בהתאם לדרישות החוק הרלוונטיות. הודעה תפורסם בדף הפרטיות של החברה (https://www.msdprivacy.com) למשך 60 ימים בכל פעם שמדיניות זו תשתנה באופן מהותי.