글로벌 국가간 개인정보보호 규칙 정책

검토 날짜: 2023년 9월 1일
발효일: 2023년 9월 1일

당사는 개인정보보호라는 가치에 따라 비즈니스를 수행하기 위해 모든 노력을 아끼지 않습니다. 이러한 가치가 윤리적이면서도 책임의식을 갖춘 관행을 지켜나가고자 하는 당사의 확고한 의지를 증명한다고 믿고 있기 때문입니다. 혁신과 새로운 기술의 등장으로 관련 리스크, 기대치, 법률은 끊임없이 변화하고 있습니다. 이러한 상황을 인식하고 있는 당사는 개인정보보호 책임 표준을 준수하고, 이를 변화하는 환경에 맞춰 신속하게 적용하는 것을 목표로 삼고 있습니다.

본 정책은 개인정보가 비롯된 국가나 개인정보가 이전되는 국가에 관계없이 당사에 의해 수행되거나 당사를 대신해 수행되는 개인정보 관리 및 보호에 대한 당사의 국제 표준을 정의합니다. 이는 MSD의 APEC 국가간 개인정보보호 규칙(CBPR) 인증, 유럽연합에서 승인된 구속력 있는 회사 규칙들(“BCR”) , 그리고 EU-미국 개인정보 보호 쉴드(Privacy Shield), EU-미국 보호쉴드의 UK확대 및 스위스-미국 개인정보 보호 쉴드(Privacy Shield)에 대한 자발적인 인증의 준수를 지원하려는 당사의 확고한 약속을 드러냅니다.

당사는 미국 상무부에서 정한 EU-미국 개인정보 보호 쉴드(Privacy Shield), EU-미국 보호 쉴드의 UK 확대 및 스위스-미국 개인정보 보호 쉴드(Privacy Shield)를 준수합니다. 당사는 ‘EU-미국 개인정보 보호 쉴드’에 따라 유럽 연합에서 그리고 ‘EU-미국 보호 쉴드의 UK 확대’에 따라 영국(및 지브롤터)에서 수신한 개인 자료의 처리와 관련하여 ‘EU-미국 개인정보 보호 쉴드(EU-미국 보호 쉴드 원칙)’를 준수한다는 사실을 미국 상무부를 상대로 보증하는 바입니다. 당사는 ‘스위스-미국 개인정보 보호 쉴드’에 따라 스위스에서 수신한 개인 자료의 처리와 관련하여 ‘스위스-미국 개인정보 보호 쉴드(스위스-미국 보호 쉴드 원칙)’를 준수한다는 사실을 미국 상무부를 상대로 보증하는 바입니다. 본 정책의 조항과 EU-미국 개인정보 보호 쉴드 원칙 및/또는 스위스-미국 개인정보 보호 쉴드 원칙 간에 충돌이 있을 경우, 보호 쉴드 원칙을 적용해야 합니다. 개인정보 보호 쉴드 프로그램에 대해 자세히 알아보고 당사의 인증 상태를 확인하려면, https://www.dataprivacyframework.gov/ 를 참조하십시오.

본 정책은 모든 국가 내에서의 MSD 비즈니스 운영, 모든 자회사 및 사업부(비즈니스 계승자에 의해 운영되는 자회사 및 사업부 포함)에서 수행되며 연구, 생산, 상업, 기업 지원 활동 및 데이터 이전을 포함하는(단, 이에 국한되지 않음) 모든 활동에 적용됩니다. 이때 솔루션 및 데이터 이전은 다음 활동(단, 이에 국한되지 않음)을 포함하는 여러 가지 활동을 수행하기 위해 필요합니다.

• 연구 및 생산: 의료 및 건강 분야에 필요한 혁신과 기회 평가, 임상시험 개시/관리/자금 지원, 제품 개발을 위한 연구자/과학 및 윤리위원회 회원/비즈니스 파트너 평가 및 소통, 연구 인원 충원, 검사용 제품 및 시중에 홍보된 제품의 안전성/효과/품질 평가, 부작용 및 제품 품질에 대한 고충사항 처리 및 보고 등 제품 안전성 및 제품 품질에 대한 의무 완수, 건강 규제 당국에 대한 제품 승인 신청 및 등록, 관련 법, 규제 및 윤리 요구 사항 준수,
• 상업: 제품 시장 평가, 제품 광고, 마케팅, 판매, 유통 및 전달, 의료 전문 고객, 의료 지급인, 환자, 기타 제품 최종 사용자, 제품 사용자 간병인과의 커뮤니케이션 및 소통, 이벤트 스폰서 및 수행, 상업적 활동 지원을 위한 비즈니스 파트너 평가 및 소통, 관련 법, 규제 및 윤리 요구 사항 준수,
• 기업 지원: 인력 충원, 직원 채용, 관리, 개발, 직원과의 커뮤니케이션 및 보상, 직원 및 부양 가족을 대상으로 한 혜택 관리, 직원 성과 및 재능 검토 실시, 교육 및 기타 학습/개발 프로그램 제공, 직원 징계 및 고충 관련 절차 실시, 윤리 및 사생활 관련 우려 관리 및 조사 실시, 실제 및 가상 자산과 인프라 관리 및 보호, 재화 및 서비스 조달 및 비용 지불, 환경/건강/안전 및 기타 기업 신념 완수, 미디어와의 소통, 관련 법/규제/윤리 요구 사항 준수.

또한 본 정책은 당사에서 정보를 처리하는 의료 전문가 및 기타 고객, 잠재/현재/이전 직원 및 부양 가족, 환자, 간병인, 연구자 및 임상시험 참가자, 과학 및 윤리위원회 회원, 비즈니스 파트너, 투자자 및 주주, 정부 공무원, 기타 이해관계자를 포함하는(단, 이에 국한되지 않음) 모든 사람에 대해 적용됩니다.

모든 회사 직원 및 고위 임원은 개인정보보호 관련 핵심 신념을 가지며 이러한 신념을 지켜야 합니다.

당사는 개인정보 보호와 관련된 의도치 않은 오류와 잘못된 판단으로 인하여 개인의 프라이버시와 관련된 리스크 및 당사의 명성, 운영, 재무, 규제 준수와 연관된 리스크가 발생할 수 있다는 점을 인식하고 있습니다. 당사는 모든 직원들 및, 개인정보에 영구적으로 또는 정기적으로 접근하여 데이터를 수집하거나 개인정보 처리에 사용되는 도구 개발을 담당하는 그 밖의 인원에게 본 정책에 관한 적절한 교육을 제공할 것입니다. 당사의 모든 직원 및 당사 직원 관련 정보를 처리하는 사람은 본 정책 및 해당 법에 따라 자신들이 갖는 의무를 이해하고 이를 준수할 책임을 가집니다.

당사 개인정보보호 가치 및 표준

당사는 개인정보보호 표준 적용 방식 등 인명과 관계된 모든 활동에 있어서 프라이버시 존중이라는 가치를 준수합니다. 당사의 4가지 개인정보보호 관련 가치는 다음과 같습니다.

존중	신뢰	위험 예방	준수
개인정보보호에 대한 우려는 당사라는 기업의 본질, 세계를 바라보는 관점, 스스로를 정의하는 방식과 본질적으로 닿아있으며, 그렇기 때문에 당사는 개인과 공동체가 갖고 있는 관점과 이해관계를 존중하고 우리가 개인 및 공동체의 정보를 사용하고 공유하는 방식에 있어서 공정하고 투명하게 행동하려 노력합니다.	당사는 성공의 핵심은 신뢰라는 점을 이해하고 있습니다. 따라서 당사에서는 당사의 프라이버시 존중 및 개인정보 보호 방식에 대한 고객, 직원, 환자, 기타 이해관계자의 신뢰를 구축하고 지키기 위해 노력합니다.	당사는 개인정보의 잘못된 사용은 개인에 대한 직간접적인 위험을 초래할 수 있음을 이해하고 있습니다. 따라서 당사는 개인의 프라이버시와 관련하여 현실적인 위험 및 재무, 명성, 기타 유형의 위험을 예방하기 위한 방법을 모색하고 있습니다.	당사는 예전부터 법과 규제가 언제나 기술, 데이터의 흐름, 개인정보보호와 관련된 리스크 및 기대치와 관련된 빠른 변화 속도를 따라잡지는 못한다는 점을 이해하고 있습니다. 따라서 당사는 전 세계에서 비즈니스를 운영함에 있어서 프라이버시 및 데이터 보호법과 규제가 갖고 있는 정신 및 그 내용을 일관되고 효율적인 방식으로 준수하기 위해 노력합니다.

1. 당사는 개인정보를 사용하는 모든 활동, 프로세스, 기술, 제3자와의 관계에 개인정보보호 표준을 포함시킵니다. 당사는 당사의 개인정보 보호 가치와 표준 및 관련 법과 일치하는 프로세스와 기술에 개인정보 보호 제어를 설계합니다. 아래에 설명된 당사의 8가지 개인정보보호 원칙은 프로세스, 활동 및 이를 뒷받침하는 기술에 적용되는 당사의 개인정보보호 표준 및 핵심 요구 사항을 고차원적으로 요약하고 있습니다.

   개인정보보호 원칙	핵심 신념
   1. 필요성 – 당사는 개인정보를 수집, 사용, 공유하기 전 이러한 개인정보가 요구되는 구체적이며 합법적인 비즈니스 목적이 무엇인지 정의하고 이를 문서로 기록합니다.	당사는 이렇게 정의된 비즈니스 목적과 관련 법적 요건을 달성하기 위해 개인정보가 필요한 기간을 결정하고 이를 문서로 기록합니다. 당사는 필요한 정도를 넘어서는 개인정보를 수집, 사용, 공유하지 않으며 정의된 비즈니스 목적과 관련 법적 요건을 달성하기 위한 기간이 끝난 후 식별 가능한 형태로 개인정보를 보관하지 않습니다. 당사는 비즈니스 차원의 요구 사항으로 인하여 활동이나 프로세스에 대한 정보를 오랫동안 보관해야 하는 경우 이 데이터를 익명화합니다. Merck/MSD는 Merck/MSD에 필요한 모든 기술에 이러한 필요성 요구 사항이 포함되도록 설계하며 활동이나 프로세스를 지원하는 제3자와 이에 대한 커뮤니케이션을 수행합니다.
   2. 공정성 – 당사는 해당 데이터와 관련된 사람에게 공정하지 않은 방법으로 개인정보를 처리하지 않습니다.	당사는 개인정보의 수집, 사용, 기타 처리로 인해 당사의 개인정보보호 가치인 위험 예방에 따라 개인에게 직간접적인 리스크 발생 가능성 및/또는 중대한 리스크가 발생하는지를 결정합니다. 데이터의 본질, 개인의 유형, 활동으로 인해 개인을 대상으로 직간접적인 리스크 발생 가능성 및/또는 중대한 리스크가 발생하는 경우 당사는 위험이 발생할 리스크보다 해당 개인 또는 당사의 사명인 생명 보호와 삶의 질 향상에 기여하는 혜택이 더 크고 당사가 마련한 조치, 안전장치 및 메카니즘으로 이를 완화하는지 확인합니다. 개인에게 주어지는 혜택에 비해 리스크가 더 커보이는 경우, 관련성이 가장 높은 보안 및 보호 조치를 적용하고, 이 사실을 개인에게 알리고, 가능한 경우 유관 규제당국의 조언을 구합니다. 해당 개인의 분명한 동의를 얻은 경우에만 또는 관련 법에서 명확하게 요구하거나 허가하는 방식으로만 민감 정보를 다룹니다. 개인에게 주어지는 혜택에 비해 리스크가 더 커보이는 경우, 당사는 리스크 분석을 문서로 기록하며, 리스크를 가능한 최소화하기 위해 필요한 모든 메커니즘을 설계합니다.
   3. 투명성 – 당사는 투명하지 않은 방법이나 목적으로 개인정보를 처리하지 않습니다.	본 정책하에서 개인정보가 처리되는 모든 개인은 본 정책의 사본을 보유할 수 있는 권리를 보유해야 합니다. 당사에서는 본 정책의 사본을 https://www.msdprivacy.com/index.html 에서 온라인으로 제공합니다. Global Privacy Office는 아래에 명시된 주소로 전해진 요청에 따라 본 정책의 전자 및/또는 서면 사본을 제공합니다. 개인에게서 직접 개인정보를 수집하는 경우, 당사는 정보를 수집하기 전에 분명하고, 명확하고, 쉽게 열람할 수 있는 개인정보보호 공지 또는 이와 유사한 수단을 사용하여 (1) 정보 처리를 담당하는 당사 법인, (2) 개인정보보호 최고책임자 및/또는 지역/현지 개인정보보호 책임자의 연락정보, (3) 수집되는 정보, (4) 정보 사용 목적, (5) 당사의 정보 처리의 법적 근거, (6) 정부 기관의 합법적인 요청에 대한 응답으로 개인정보를 공개해야 할 요건을 포함하는, 정보 공유 대상, (7) 당사가 정보 전달이 가능한 해당 국가를 포함한 타국으로 개인정보를 전송할 것인지 여부 및 그 방법, (8) 정보 보관 기간, 또는 당사가 이 기간을 결정하는 기준, (9) 질문하거나 우려를 표명하거나 개인정보와 관련된 권리를 행사하는 방법, (10) 개인이 제공한 동의를 철회할 수 있는 방법, (11) 감독 당국에 불만을 제기할 권리, (12) 개인정보를 제공해야 할 의무 및 그렇게 하지 않을 경우 그 결과, (13) 프로파일링을 비롯하여 당사가 실시할 자동화된 의사 결정, 및 (14) 해당하고 적절한 경우 본 정책을 확인할 수 있는 링크 정보를알립니다. 많은 이해관계자를 위한 당사의 종합적인 개인정보 보호 고지는 http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html에서 온라인으로 확인할 수 있습니다 관찰, 감지, 또는 기타 간접적인 수단을 통해 개인정보가 수집된 경우, 정보가 수집된 시점에 해당 개인에게 직접 개인정보보호 공지를 제공하는 것이 불가능할 수도 있습니다. 그러한 경우 해당 정보를 수집한 기기나 해당 기기와 관련된 자료에 공지를 게시 또는 인쇄하는 등의 다른 수단을 통해 해당 개인에게 투명성을 제공합니다. 개인정보가 웹사이트, 모바일 앱, 또는 기타 온라인 앱나 리소스를 통해 수집되는 경우, 당사는 본 정책에 따른 투명성 요구 사항이 충족될 수 있도록 당사의 인터넷 개인정보보호 정책 및 당사의 쿠키 개인정보보호 방침에 명시된 기술별 표준을 적용합니다. 다른 출처에서 개인정보가 수집되었으며 구체적으로는 당사의 지침에 의해 수집된 것이 아닌 경우, 해당 정보를 수집하기 전 당사는 정보 제공자가 당사가 정보를 사용하고자 하는 방법 및 목적에 대해 해당 개인에게 알렸는지 서면으로 확인합니다. 정보 제공자로부터 서면 확인을 받을 수 없는 경우 당사는 익명화된 정보만을 사용하거나 해당 개인정보를 사용하기 전 개인정보보호 공지 또는 이와 유사한 수단을 사용하여 개인정보로 인해 영향을 받은 개인에게 (1) 회사 단체 또는 정보 처리를 담당하는 단체, (2) 개인정보보호 최고책임자 및/또는 지역/현지 개인정보보호 책임자의 연락정보, (3) 당사가 사용할 계획인 정보, (4) 당사의 정보 사용 계획 목적, (5) 당사의 정보 처리의 법적 근거, (6) 당사와 정보를 공유할 대상, (7) 당사가 정보 전달이 가능한 해당 국가를 포함한 타국으로 개인정보를 전송할 것인지 여부 및 그 방법, (8) 정보 보관 기간, 또는 당사가 이 기간을 결정하는 기준, (9) 질문하거나 우려를 표명하거나 개인정보와 관련된 권리를 행사하는 방법, (10) 개인이 제공한 동의를 철회할 수 있는 방법, (11) 감독 당국에 불만을 제기할 권리, (12) 개인정보를 제공해야 할 의무 및 그렇게 하지 않을 경우 그 결과, (13) 프로파일링을 비롯하여 당사가 실시할 자동화된 의사 결정, 및 (14) 해당하고 적절한 경우 본 정책을 확인할 수 있는 링크에 대한 정보를 알립니다. 당사는 개인 권한 요청을 지지하는 메커니즘 등 필수 투명성 메커니즘이 당사에 필요한 기술에 포함되도록 설계하며, 활동이나 프로세스를 지원하는 제3자가 당사 및 당사를 위해 일하는 단체에서 해당 정보에 대해 사용하는 개인정보보호 공지나 기타 확인 가능한 수단을 통해 해당 개인에게 전달한 내용과 다른 방식으로 개인정보를 처리하지 않을 것이라는 점을 분명히 합니다. 당사는 동의를 구할 때 당사에 필요한 기술에 대해 동의한다는 근거를 얻고 이를 문서로 기록합니다.
   4. 목적 제한 – 당사는 필요성 및 투명성 원칙에 따라 개인정보를 사용합니다.	이전에 수집된 개인정보와 관련하여 타당한 비즈니스 목적이 새롭게 판명된 경우, 당사는 개인정보를 다시 사용하기 위하여 해당 개인의 동의를 받거나 해당 개인에게 이전에 제공된 개인정보보호 공지 또는 기타 투명성 메커니즘에 명시된 목적과 새로운 비즈니스 목적이, 상당히 유사한지를 포함하여, 서로 호환되는지 확인합니다. 호환 여부는 (1) 원래의 목적과 제안된 새로운 목적 간의 관련성, (2) 해당 개인의 타당한 기대치, (3) 개인정보의 속성, (4) 해당 개인을 위한 추후 정보 처리 결과, 및 (5) 당사가 마련한 안전조치를 토대로 한 것이어야 합니다. 당사는 익명화된 정보, 또는 역사 및 과학 연구 목적으로만 개인정보를 사용하는 경우, (1) 윤리 검토 위원회 또는 이에 상당하는 검토자가 이러한 정보 사용으로 인해 개인의 개인정보보호 및 기타 권리에 야기되는 리스크가 수용 가능한 정도이며 (2) 당사가 데이터 최소화를 보장하기 위한 적절한 안전조치를 마련하였고, (3) 개인정보가 익명화되었으며, (4) 기타 제반 관련 법을 준수한다고 판단한 경우에는 본 원칙을 적용하지 않습니다. 당사는 목적 제한 규칙이 모든 보고 기능 및 하류 데이터 공유 등 당사에 필요한 모든 기술에 포함되도록 설계합니다.
   5. 데이터 품질 – 당사는 목적한 용도에 맞게 개인정보를 정확하고, 완전하고, 최신 상태로 유지합니다.	당사는 출처 및 하류 시스템에 대한 데이터 정확성을 확인하기 위해 주기적 데이터 검토 메커니즘이 당사에 필요한 기술에 포함되도록 설계합니다. 당사는 정보를 사용하거나, 평가하거나, 분석하거나, 보고하거나, 또는 정확하지 않거나 오래된 데이터가 사용될 경우 부당한 리스크를 야기하는 기타 처리 과정을 수행하기 전 민감 정보가 정확하며 최신 상태인지 확인합니다. 당사는 정보를 사용하거나, 평가하거나, 분석하거나, 보고하거나, 또는 정확하지 않거나 오래된 데이터가 사용될 경우 부당한 리스크를 야기하는 기타 처리 과정을 수행하기 전 민감 정보가 정확하며 최신 상태인지 확인합니다.
   6. 보안 – 당사는 보안 조치를 사용하여 개인정보 및 민감 정보가 손실되거나, 남용되거나, 무단 액세스, 공개, 변경 및 파괴되지 않게 보호합니다.	당사는 종합적인 정보 보안 프로그램을 실행해 왔습니다. 또한 정보의 민감도와 활동의 리스크 수준에 따라 보안 조치를 적용하며, 이때 현재의 기술 관련 모범 사례 및 구현 비용을 고려합니다. 당사 기능성 보안 정책은 비즈니스 지속성 및 재난 복구, 암호화, 신원 및 액세스 관리, 정보 분류, 정보 보안 사고 관리, 네트워크 액세스 통제, 물리적 보안, 리스크 관리를 포함하나 이에 국한되지 않습니다.
   7. 데이터 이전 – 당사는 개인정보가 다른 조직으로 이전되거나, 다른 조직에서 이전되어 오거나, 국경을 넘어 이전되는 개인정보에 대한 개인정보보호 조치에 대한 책임이 있으며 이를 보유하고 있습니다.	(1) 다음 요구 사항이 충족되는 경우에만 사내 개인정보 이전: (1) 개인정보 최초 수집 시 그 목적을 달성하거나 회사의 다른 적법한 이해관계를 위해 반드시 공유가 필요한 경우, (2) 공유 목적 및 공유된다는 사실이 개인정보 보호정책과 일치하고 필요한 경우 개인이 동의한 시점에 이전에 개인에게 제공된 개인 정보보호 고지 또는 기타 투명성 메커니즘과 일치하는 경우, (3) 당사의 자회사 중 하나가 다른 당사 자회사를 대신하여 단독으로 개인정보를 처리하는 경우, (4) 법에서 요구하는 경우, 본 정책의 원칙 8에 따라 내부 데이터 처리 계약을 집행하는 경우. (5) IT 인프라가 그러한 이전을 요구하는 경우, 그러한 이전을 준수하도록 모든 적절한 보안 및 조직적 조치가 마련되어 있는 경우. (2) 당사는 다음의 요구 사항이 충족되는 경우에만 개인정보를 이전하거나 제3자가 개정 정보를 처리하도록 허용하며 제3자가 이 요건들을 충족시키도록 해야 할 책임이 있습니다: 제3자의 역할이 당사를 위해서 또는 당사를 대신해 개인정보를 처리하는 것인 경우, 제3자에게 개인정보를 제공하거나 제3자와 접촉하기 전에 당사에서는 다음 행동을 취합니다. (1) 해당 제3자와 연관된 개인정보보호 관행 및 리스크를 평가하기 위하여 개인정보보호 실사를 완료하고, (2) 해당 제3자로부터 당사의 지침에 따라서만 개인정보를 처리할 것이며, 본 정책에서 명시된 8가지 개인정보보호 원칙 및 기타 표준 관련 제약을 포함한 본 정책의 내용 및 관련 법에 따라 모든 개인정보보호 사건(본 정책 및 관련 법에서 명시한 표준을 준수할 수 있는 능력이 없음을 포함) 또는 보안 사건에 대해 즉시 당사에 알리고, 일체의 실체화된 사고를 즉시 교정하며 아래 섹션 2에서 규정한 개인의 권리를 처리하는 데 협조하고, 당사의 서면 동이 없이, 동일한 데이터 보호 의무를 부과하는 계약을 체결하지 않고 타 회사와 개인정보 처리 계약을 체결하지 않고, 당사에 서비스 제공을 완료한 후 또는 당사의 요청에 따라 모든 개인정보를 삭제하거나 당사에 반환하고, 이러한 요구 사항을 준수하는지 당사에서 확인할 수 있도록 정보 처리 기간에 대한 관행을 당사가 감사하고 모니터링할 수 있게 허용한다는 계약상의 확약을 받습니다. 또한 개인정보 이전을 제한하는 법이 존재하는 국가 또는 영토에서 비롯된 개인정보를 제3자가 처리하는 경우 당사는 해당 제3자로의 정보 이전이 아래의 (3)에서 명시되는 국가간 데이터 이전의 요구 사항을 충족하는지 확인합니다. 제3자의 역할이 정보 처리를 위해 당사로부터 정보를 받는 것이지만 구체적으로 당사의 지침에 의한 것이 아닌 경우, 당사는 제3자에게 정보를 제공하기 전 해당 정보가 익명화되었는지 확인하며 제3자가 해당 정보를 관련 법에 따라 계약서에 정의된 비즈니스 목적을 위해서만 사용할 것이며 해당 정보의 신원을 다시 밝히려 하지 않을 것이라는 서면 확약을 받습니다. 법에 따라 또는 개인이나 회사의 합법적인 이익을 보호하기 위해 제3자에게 이전해야 할 경우 (1) 사기 방지 또는 회사의 권리와 재산을 집행하거나 보호할 목적으로, (2) 우리 회사 직원들 또는 우리 회사에 와 있는 제3자의 개인 안전 보호를 위하여, 또는 (3) 불법 행위나 심각한 위법 행위가 발생했다는 합리적인 의심이 들 경우 시정 보안 조치를 취하여 당사 자산을 보호하기 위하여 정보를 이전할 수 있습니다. 제3자가 당사의 인수 또는 지배적인 이해관계의 대상인 경우, (1) 당사는 제3자를 인수하는 계약을 맺거나 제3자에 대한 지배적인 이해관계를 인수하기 전 제3자 인수 또는 제3자에 대한 지배적인 이해관계 인수와 연관된 개인정보보호 리스크를 평가하기 위한 개인정보보호 실사를 완료하고, (2) 개인정보가 공개될 수 있는 약관 및 당사와 제3자의 의무를 명시하는 데이터 이전 계약을 체결합니다. 제3자의 역할이 당사의 일부 또는 모든 비즈니스를 인수하는 것인 경우, 당사는 당사의 비즈니스를 일부 매각하는 것과 관련하여 개인정보를 공유하기 전 (1) 개인정보의 허용된 사용에 관한 적절한 제한 및 본 정책 및 관련 법에서 명시한 표준 준수를 포함하는, 구매자와 개인정보가 공개될 수 있는 약관을 명시하는 데이터 이전 계약을 체결하고, (2) 정보 공유 필수 사항 평가를 위해 공유 전 모든 개인 데이터 요소를 검토하고, (3) 본 정책의 투명성 및 목적 제한 원칙에 따라 개인정보 또는 민감 정보 공유에 대한 동의를 받고, (4) 본 정책 및 관련 법에서 명시한 표준을 준수할 수 있는 능력이 없음을 포함하여, 제3자가 일체의 개인정보보호 사건을 즉시 당사에 통보하고, 일체의 실체화된 사고를 즉시 교정하거나 해당 개인정보 처리를 중단하는 데 협조하도록 규정합니다. (3) 개인정보는 당사에 의해 또는 당사를 대신해 본 정책에 따라 미국을 포함하여 국경 간에 이전됩니다. 당사는 개인정보 이전을 제한하는 법이 있는 국가 또는 영토로부터 원래 국가와 동일한 개인정보 보호 표준이 없는 국가로의 개인정보 이전에 대하여 동 법이 부과하는 일체의 요건 준수 외에 추가로(국가 간 이전에 요구되는 일체의 장치 사용 포함) 본 정책을 적용합니다.
   8. 합법적 허용 – 당사는 관련 법의 요구 사항이 충족될 경우에만 개인정보를 처리합니다.	다른 7개의 개인정보보호 원칙 및 아래에서 설명되는 개인 권리 요구 사항은 전 세계에서 수행되는 당사의 비즈니스에 적용되는 대부분의 개인정보보호 및 데이터 보호법의 요구 사항을 충족하는 것을 목적으로 하고 있지만, 일부 국가에서는 다음을 포함하나 이에 국한되지 않는 추가적인 요구 사항을 충족해야 합니다. 1) 필요한 경우 당사는 업무위원회 및 기타 노동조합으로부터의 처리 승인을 포함하나 이에 국한되지 않는 개인정보 처리 동의 양식을 받습니다. 2) 필요한 경우 당사는 해당하는 개인정보보호 또는 데이터 보호 규제 당국에 개인정보 처리 사실을 등록하거나 승인을 요청합니다. 3) 필요한 경우 당사는 본 정책에 명시된 것보다 광범위한 권리(예: 액세스 및 교정)를 제공합니다. 4) 필요한 경우 당사는 개인정보의 데이터 보관 기간을 더욱 제한합니다. 5) 필요한 경우 당사는 제3자에 대한 국가간 데이터 이전 계약을 포함한 특정 계약 조항을 포함한 계약을 체결합니다. 6) 필요한 경우 당사는(국가 안보 또는 법 집행 요건 충족을 위한 경우 포함), 공공기관의 합법적인 요청에 따라 개인 정보를 공개할 것입니다. 본 정책과 관련 법이 충돌하는 경우, 개인을 더욱 강력하게 보호하는 표준이 우선합니다.

2. 당사는 개인정보 액세스, 변경, 수정, 삭제에 대한 개인 권리 요청 또는 개인정보 처리에 반대하거나, 개인정보 관련 그 밖의 권리를 행사할 개인 권리 요청을 신속하게 처리할 것입니다.
   1. 액세스, 수정, 삭제 및 기타 권리 – 당사가 운영되는 대부분의 국가에서는 법에 따라 개인은 자신의 개인정보에 액세스할 수 있는 권리 및 정확하지 않거나, 완전하지 않거나, 오래된 개인정보를 변경, 수정, 또는 삭제할 수 있는 권리를 가집니다. 당사는 아래의 섹션 3a에 따른 모든 개인정보 액세스, 수정, 삭제 요청을 존중합니다. 액세스, 수정, 삭제 요청에 대하여 개인에 대한 더욱 강력한 보호를 제공하는 준거법이 있을 경우, 당사는 해당 법에 명시된 추가적인 요구 사항이 충족되는지 확인합니다. 일부 국가에서는 개인들이 처리를 제한할 권리, 처리에 반대할 권리(아래 2b 참조), 및 본인들의 데이터를 다른 서비스 제공자에게 이전할 권리와 같이 본인들의 개인정보에 관한 다른 권리를 행사할 권리가 있을 수 있습니다. 당사는 관련 법에 따른 데이터 권리 행사를 존중할 것입니다. 삭제 같은 일부 권리는 다른 규제 요구 사항 또는 현지 규정 준수 보고 의무 이행의 필요성에 따라 제한될 수 있습니다. 이러한 경우 해당 제한 사항에 대해 적절히 알려 드릴 것입니다.
   2. 선택 – 당사의 개인정보보호 가치인 “존중” 및 “신뢰”에 따라 당사는 개인이 이전에 참여하는 데 동의했던 프로그램 또는 활동에의 참여 거부, 및 직접마케팅 커뮤니케이션, 개인정보를 이용해 자신이 타겟으로 설정된 커뮤니케이션, 및 자동화 기능이나 알고리즘의 결과물로서 자신에게 상당한 영향을 미칠 가능성이 있는 평가 또는 결정에 대한 개인정보 처리를 포함하는(단, 이에 국한되지 않음) 개인정보 처리에 반대하는 개인 요청을 존중합니다.
      1. 법에 의해 금지된 경우를 제외하고, 당사는 특정 선택으로 인해 당사가 다음 활동을 수행할 수 있는 능력을 방해하는 경우 이 선택을 거부할 수 있습니다. (1) 국가 안보 또는 법 집행 요건 충족을 위한 경우를 비롯하여 공공기관의 합법적인 요청에 따라 개인 정보를 공개해야 하는 경우에 법 또는 윤리적 의무의 준수, (2) 법적 소송의 조사, 제기 또는 변호, 또는 (3) 계약 이행, 관계 관리 또는 투명성 및 목적 제한 원칙에서 허용되었고 해당 개인정보에 의지하는 비즈니스 활동에 참여하는 활동이 여기에 포함됩니다. 본 정책에 따라 선택 요청을 거부하겠다는 결정이 내려진 시점으로부터 영업일 기준으로 15일 내로 당사는 해당 결정을 문서로 기록하고 이에 대해 요청자에게 알립니다.
3. 당사는 개인정보보호와 관련된 모든 질문, 고충, 우려, 및 모든 잠재적인 개인정보보호 사건이나 보안 사건에 대해 신속하게 대응하며 이를 확대합니다.
   1. 본 정책의 범위 내에서 당사가 처리하는 개인정보와 관련된 모든 개인은 언제든지 당사를 대상으로 본 정책의 적용을 받는 모든 당사 자회사 목록 요청 등 요청, 고충, 우려를 제기할 수 있습니다. 당사는 당사 직원 및 당사를 대신해 일하는 사람이 관련 법으로 인해 본 정책을 준수할 수 없다고 믿는 타당한 이유가 있는 경우 신속하게 이에 대해 알릴 것이라고 여깁니다. 개인이 제기한 질문, 고충, 우려 또는 직원이나 당사를 대신해 일하는 사람이 제공한 알림은 Global Privacy Office로 전달되어야 합니다.
      1. EEA에 거주하는 개인을 위한 이메일: euprivacydpo@msd.com
      2. 그 외 국가에 거주하는 개인을 위한 이메일: msd_privacy_office@msd.com
      3. 우편: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
   2. 직원 및 계약업체는 당사의 개인정보보호 관행과 관련된 모든 질문, 고충, 우려를 신속하게 Global Privacy Office이실 또는 해당 비즈니스 지역에 지정된 개인정보보호 담당자에게 알려야 합니다.
   3. Global Privacy Office는 직원 또는 다른 개인으로부터 직접 수령했거나 규제 기관, 책임 기관, 기타 정부 당국 등을 포함하나 이에 국한되지 않는 제3자를 통해 수령하였으며 당사의 개인정보보호 관행과 관련된 모든 질문, 고충, 우려를 검토하고 조사하거나 이를 조사하기 위해 윤리, 법, 및/또는 준수 사무소와 협력합니다. 당사는 법 또는 제3의 요청자가 더 짧은 기간에 응답을 요구하거나 정부 조사가 동시에 진행되는 등 정황상 더 긴 시간이 필요한 경우(이 경우 응답이 지연되는 환경의 일반적인 특성을 감안했을 때 가능한 한 빨리 해당 개인이나 제3의 요청자에게 서면으로 통보)를 제외하고 달력 기준 30일 내에 당사에 대한 질문, 고충, 우려를 제기한 개인이나 단체에게 응답해야 합니다.
   4. Global Privacy Office는 법 및 준수 사무소와 협력하여 개인정보보호 규제 당국의 모든 질의, 검사, 조사에 응답합니다.
   5. 당사는 당사와 고충을 제기한 개인이 해당 고충을 해결할 수 없는 경우에 대하여 본 정책에 따라 분쟁을 해결할 수 있도록 다음의 분쟁 해결 절차에 참여하는 데 동의했습니다. 하지만 어떤 경우에도 EEA 거주자 또는 개인정보가 EEA의 데이터 보호법의 적용을 받으며 EEA 외부로 이전된 개인은 아래의 표준 3.f.에 의지할 수 있습니다.
      1. 인사 활동과 관련된 그리고 EEA 및 영국에서의 고용과 관련된 개인정보를 미국으로 전송하는 것과 관련된 분쟁의 경우, 당사는 관련 EU 및 영국(UK) 데이터 보호 당국의 패널에 협조할 것을 약속합니다.
      2. 당사는 고용 관계에 기반을 둔 인사 활동과 관련된 개인정보를 스위스에서 미국으로 전송하는 것과 관계가 있는 분쟁에 관해 스위스 FDPIC에 협조할 것을 약속합니다.
      3. 당사는 APEC 경제국들 간의 아시아태평양경제협력단체(“APEC”) 국가 간 개인정보보호 규칙 정책(“CBPR”)에 의거한 개인 정보 전송과 관련된 분쟁에 대해서는 당사의 책임 에이전트인 BBB National Programs의 분쟁 해결에 동의했습니다. 참여 범위에 대한 자세한 내용을 보거나 BBB 국가 프로그램을 통해 개인 정보 문의를 제출하려면, 이 페이지 하단에 있는 공식 상자를 클릭하십시오.
      4. EU-미국 개인정보 보호 쉴드 프로그램, 이 프로그램의 UK 확대, 스위스-미국 개인정보 보호 쉴드 프로그램을 통한 비인력 활동과 관련된 개인 정보의 이전과 관련된 분쟁의 경우, 당사는 BBB 국가 프로그램에서 제공하는 독립적인추진 방법인 ‘개인정보 보호 쉴드’에 의한 (무료) 분쟁 해결에 동의하였습니다. 귀하의 불만 사항에 대한 승인을 적시에 받지 못하거나 귀하의 불만 사항이 만족스럽게 해결되지 않은 경우, https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers를 방문하여 자세한 내용을 확인하고 불만 사항을 제출하십시오.
      5. 본 섹션의 조치를 통해 해결되지 않은 EU-미국 개인정보 보호 쉴드 프로그램, 이 프로그램의 영국(UK) 확대 및 스위스-미국 개인정보 보호 쉴드 프로그램으로 발생한 모든 분쟁의 경우, 특정 조건에서 개인은 다른 구제 메커니즘으로 해결되지 않은 일부 잔여 청구에 대해 구속력 있는 중재를 요청할 수 있습니다. 참조:
   6. EEA에 거주하는 개인이나 개인정보는 EEA의 데이터 보호법의 적용을 받으며 EEA 외부로 이전되었거나 본 정책에 따라 개인정보가 처리된 모든 개인은 본 정책하에서 어떤 경우라도 제3의 수혜자로서 본 정책하에서 발생한 자신의 권리 침해에 대한 해결책을 모색하기 위해 소송을 제기할 수 있는 권리(위의 섹션 2 명시됨) 및 그러한 침해로 인해 발생한 손해에 대한 보상을 받을 권리 등 본 정책의 요구 사항을 실행할 수 있는 권리를 가집니다. EEA에 거주하는 개인이나 개인정보는 EEA의 데이터 보호법의 적용을 받으며 EEA 외부(명확하게 밝히자면, 미국으로의 이전 포함)로 이전된 개인은 본 정책에 따라 EEA 외부로 개인정보를 내보내는 일을 담당하는 자회사를 대상으로 이전에:
      1. EEA에 있는 국가의 데이터 내보내기 당국 또는
      2. 유럽 데이터 보호 책임자가 있는 국가의 관할 당국 또는
      3. 상거소, 근무지 또는 침해 추정지가 위치한 회원국에 있는 유권 데이터 보호 당국 또는
      4. BCR: 프랑스 CNIL에 지시를 내린 수석 데이터 보호 당국에 자신의 요구를 제출할 수 있습니다. 프랑스 CNIL.
   7. 당사는 법 또는 제3의 요청자가 더 짧은 기간에 응답을 요구하거나 정황상 더 긴 시간이 필요한 경우(이 경우 해당 개인이나 제3의 요청자에게 서면으로 통보)를 제외하고 달력 기준 30일 내에 문제, 고충, 우려를 제기한 개인이나 단체에 응답해야 합니다.
4. 당사는 당사의 개인정보보호 가치 및 표준을 지킬 책임을 갖고 있습니다.
   1. 입증된 개인정보보호 사건 또는 보안 사건을 야기한 행동에 책임이 있는 당사의 자회사는 손해 배상 청구 또는 개인정보보호 사건 또는 보안 사건으로 인해 발생한 벌금 또는 처벌 금액에 대한 재무 책임을 갖습니다.
      1. Global Privacy Office과의 협력 및 Global Privacy Office의 지침에 따라 유럽 데이터 보호 책임자는 EEA 외부의 당사 자회사에 의해 발생했다고 주장되었으며 EEA에 거주하는 개인이나 개인정보가 EEA의 데이터 보호법의 적용을 받으며 EEA 외부로 이전된 개인에게 영향을 주는 본 정책에 대한 위반을 해결하기 위해 필요한 행동을 취할 책임이 있습니다. 필요한 경우, Merck, Sharp & Dohme (Europe) Inc., USA -Belgium Branch(“당사 Europe”)는 EEA에 거주하는 개인이나 개인정보가 EEA의 데이터 보호법의 적용을 받으며 EEA 외부로 이전된 개인에게 영향을 주는 본 정책에 대한 위반에 대해 부과된 벌금, 처벌, 손해액을 지불하기 위해 필요한 행동을 취할 책임이 있습니다. 유럽 데이터 보호 책임자는 Global Privacy Office 및 해당 위반에 대한 책임이 있는 EEA 외부 지역의 당사 자회사의 지원을 받아 당사가 해당 위반에 대한 법적 책임이 없음을 증명할 책임이 있습니다. 당사의 다른 자회사가 벌금, 처벌, 손해액 보상을 야기한 행동에 책임이 있는 경우 해당 자회사는 당사 Europe에서 지불한 모든 금액을 당사 Europe에 신속하게 보상해야 합니다. EEA 이외 지역의 당사 자회사가 본 정책을 위반할 경우, EEA 소재 법원 또는 데이터 보호 당국이 관할권을 가지며 피해를 입은 개인은 위의 3.f.에서와 같이 EEA 외부로 개인정보를 내보낼 책임이 있는 자회사를 상대로 권리와 구제책을 행사할 수 있습니다.
      2. MPO와의 협력 및 Global Privacy Office의 지침에 따라 Merck Sharp & Dohme Corp.은 EEA 외부의 당사 자회사에 의해 발생했다고 주장되었으며 EEA에 거주하는 개인이나 개인정보가 EEA의 데이터 보호법의 적용을 받으며 EEA 외부로 이전된 개인에게 영향을 주는 본 정책에 대한 위반을 해결하고 필요한 경우 EEA에 거주하는 개인이나 개인정보가 EEA의 데이터 보호법의 적용을 받으며 EEA 외부로 이전된 개인에게 영향을 주는 본 정책에 대한 위반에 대해 부과된 벌금, 처벌, 손해액을 지불하기 위해 필요한 행동을 취할 책임이 있습니다. 당사의 다른 자회사가 벌금, 처벌, 손해액 보상을 야기한 행동에 책임이 있는 경우 해당 자회사는 Merck Sharp & Dohme Corp.에서 지불한 모든 금액을 Merck Sharp & Dohme Corp.에 신속하게 보상해야 합니다.

감독 및 모니터링

규제기관 및 기타 이해관계자를 대상으로 당사가 윤리 및 책임의식 있는 개인정보보호 관행에 대한 신념을 지킬 책임이 있다는 점을 확실히 약속하기 위해 당사는 고위 임원을 임명하고, Global Privacy Office 및 Global Privacy Office에서 업무를 수행하는 조직 영역 간의 연락을 담당하며, 전담 Global Privacy Office(GPO), EU DPO, 법률상 또는 현지 당국이 요구할 경우 국가별 DPO 및 개인정보보호 담당자 가 배정된 개인정보보호 최고 책임자 가 수장으로 있는 광범위한 감독 및 모니터링 거버넌스 그룹을 운영했습니다.

당사는 1년 이하의 주기로 본 정책 및 APEC CBPR등의 법적 요구 사항 준수 여부를 확인하기 위하여 법적 책임을 갖고 있는 개인정보보호 책임 직원에 의지할 것입니다.

Global Privacy Office가 관리하는 확인 검토 외에, 내외부 감사 및 확인 팀은 규범 준수 검토를 실시하여 당사가 본 정책(본 정책에 부속되는 일체의 정책, 절차, 표준 및 가이드 포함)을 준수하는지 확인합니다. 감사 및 확인 팀이 관측한 격차를 해결하기 위해 시정 및 예방 조치 시행 계획을 개발할 것입니다. 감사 프로그램 결과는 본 정책에 기술된 바와 같이 이 결과를 보고할 책임이 있는 개인정보보호 최고 책임자, 관련 DPO 및 개인정보보호 및 데이터 보호 위원회에 전달할 것입니다.

본 정책을 승인했거나 본 정책하에서 당사의 관행에 대한 사법권을 갖고 있는 개인정보보호 및 데이터 보호 당국은 당사가 본 정책을 준수하는지 확인할 권리를 가집니다. 당사는 본 정책의 해석 및 적용과 관련하여 결정권을 가진 당국의 조언을 준수합니다.

알아야 할 용어

• 익명화. 특정인의 신원을 파악하거나 위치를 파악하거나 연락을 취할 수 없게 하고 이를 취소할 수 없도록 단독으로, 또는 다른 정보와 조합하여 개인정보를 수정, 잘라냄, 삭제, 편집 또는 수정하는 것을 의미합니다.
• 법. 당사가 운영되거나 당사에 의해 또는 당사를 대신해 개인정보가 처리되는 모든 국가의 적용 가능한 법, 규칙, 규제, 법적 구속력을 가진 의견 명령을 의미합니다. 여기에는 EU 구속력 있는 기업 규칙(“BCR”), 아시아태평양경제협력단체(“APEC”), 국가 간 개인정보보호 규칙 정책 (“CBPR”), 미국 자유무역위원회의 조사 및 집행 권한 하에 있는 EU-미국 개인정보 보호 쉴드 프로그램, 이 프로그램의 영국(UK) 확대 및 스위스-미국 개인정보 보호 쉴드 프로그램 등 당사가 승인 또는 인증을 받은 모든 개인정보보호 프레임워크가 포함됩니다.
• 당사. 당사가 참여하는 조인트 벤처를 제외하고, Merck & Co., Inc.(Rahway, NJ, USA), 전 세계의 승계자, 자회사 및 사업부를 의미합니다.
• 개인정보. 개인을 식별하거나 개인을 식별, 위치 파악, 추적, 접촉하기 위해 사용된 데이터 등 식별된 개인 또는 식별 가능한 개인에 대한 모든 데이터를 의미합니다. 개인정보에는 이름, 식별 번호, 고유 직무명 등 직접 식별 가능한 정보와 생년월일, 고유 모바일 또는 웨어러블 기기 식별자, 전화번호, 키코드화 된 데이터 및 IP 주소와 같은 온라인 식별자 또는 서비스나 제품을 제공하기 위해 수집될 수 있는 개인 활동, 행동 또는 선호도 등 간접 식별 가능한 정보가 포함됩니다.
• 개인정보보호 사건. 본 정책이나 개인정보보호 또는 데이터 보호법에 대한 위반을 의미하며, 보안 사건을 포함합니다. 개인정보보호 사건의 발생 여부와 개인정보 유출로 격상해야 하는지 여부는 Global Privacy Office, 정보기술 위험 관리 및 보안 부서(ITRMS) 및 OGC에서 결정해야 합니다.
• 프로세스(처리). 수집, 기록, 조직, 저장, 열람, 적용, 변경, 검색, 참조, 이용, 평가, 분석, 보고, 공유, 공개, 유포, 전송, 차단 해제, 조정, 조합, 차단, 삭제 또는 파괴를 포함하나 이에 국한되지 않는 자동화된 수단을 이용하거나 이용하지 않음으로써 개인정보에 대한 작업 또는 일련의 작업 수행을 의미합니다.
• 개인정보 유출. 개인정보의 우발적 또는 불법 파기, 분실, 변경, 무단 공개, 또는 접근으로 이어지는 보안 침해, 또는 당사가 그렇다고 합리적으로 믿을만한 침해를 의미합니다. 본 정책을 위반하려는 의도 없이 당사에 의한 또는 당사를 대신한 개인정보 액세스가 이뤄진 경우, 액세스하는 정보가 전적으로 본 정책이 허용하는 바에 따라 사용 및 공개되는 경우에 한하여 개인정보 로 간주하지 않습니다.
• 민감 정보. 건강, 유전, 생체 정보, 인종, 민족, 종교, 정치, 철학적 의견 또는 믿음, 범죄 기록, 정확한 지리적 위치 정보, 은행 또는 기타 재무 계정 번호, 정부에서 발행한 식별 번호, 미성년자, 성생활, 성적 지향, 무역조합 가맹, 보험, 사회 보안 및 기타 고용 또는 정부에서 발생한 혜택을 포함하는(단, 이에 국한되지 않음) 정보 등 법에서 민감하다고 정의되는 정보를 포함하여 개인에게 잠재적인 위험을 초래할 수 있는 리스크가 내재된 모든 유형의 개인정보를 의미합니다.
• 제3자. 당사의 소유가 아니거나, 당사가 지배적인 이해관계를 갖고 있지 않거나, 당사에 고용되어 있지 않은 모든 법적 단체, 연합, 개인을 의미합니다. 본 정책에서 명시된 경우를 제외하고, 당사의 어떤 자회사나 사업부도 본 정책하에서 제3자의 요구 사항을 따르라는 요구를 받아서는 안 됩니다. 당사의 자회사 중 하나가 하나 또는 복수의 당사 자회사의 정보 처리를 지원하는 경우를 포함하여 모든 자회사나 사업부는 본 정책에 따라 정보를 처리해야 하기 때문입니다.

정책 변경사항

본 정책은 관련 법의 요구 사항에 따라 때때로 수정될 수 있습니다. 본 정책에 중요한 변경사항이 발생할 때마다 MSD의 개인정보보호 웹페이지(https://www.msdprivacy.com/)에 60일간 공지가 게시됩니다.