worldwide

worldwide

미국 및 캐나다 이외의 지역에서 MSD라는 명칭을 사용하는 Merck & Co., Inc.(미국 뉴저지 주 캐닐워스 소재)는 생명 보호와 삶의 질 개선을 사명으로 삼고 있으며 이는 프라이버시 존중과 개인정보보호라는 가치로 확장됩니다.

MSD는 개인정보보호라는 가치에 따라 비즈니스를 수행하기 위해 모든 노력을 아끼지 않습니다. 이러한 가치가 윤리적이면서도 책임의식을 갖춘 관행을 지켜나가고자 하는 MSD의 확고한 의지를 증명한다고 믿고 있기 때문입니다. 혁신과 새로운 기술로 인해 관련 리스크, 기대치, 법률은 끊임없이 변화하고 있으며, 이러한 사실을 인식하고 있는 MSD는 개인정보보호 책임 표준을 준수하고, 이를 변화하는 환경에 맞춰 신속하게 적용하는 것을 목표로 삼고 있습니다.

본 정책은 유럽경제지역(“EEA”) 내의 국가나 스위스, 또는 아시아태평양경제협력단체(“APEC”) 회원국에서 직간접적으로 비롯되고 EEA 및 APEC 간의 이전 등 다른 모든 국가로 이전되며 MSD에 의해 수행되거나 MSD를 대신해 수행되는 개인정보 관리 및 보호에 대한 MSD의 국제 표준을 정의합니다. 이는 MSD의 APEC 국가간 개인정보보호 규칙(CBPR) 인증유럽연합에서 승인된 구속력 있는 회사 규칙들(“BCR”), 그리고 EU-미국 개인정보 보호 쉴드(Privacy Shield) 에 대한 자발적인 인증의 준수를 지원하려는 당사의 확고한 약속을 드러냅니다. 본 정책은 모든 국가 내에서의 MSD 비즈니스 운영, 모든 자회사 및 사업부(비즈니스 계승자에 의해 운영되는 자회사 및 사업부 포함)에서 수행되며 연구, 생산, 상업, 기업 지원 활동 및 헬스케어 서비스와 솔루션 및 데이터 이전을 포함하는(단, 이에 국한되지 않음) 모든 활동에 적용됩니다. 이때 솔루션 및 데이터 이전은 다음 활동을 포함하는(단, 이에 국한되지 않음) 여러 가지 활동을 수행하기 위해 요구됩니다.

  • 연구 및 생산: 의료 및 건강 분야에 필요한 혁신과 기회 평가, 임상시험 개시/관리/자금 지원, 제품 개발을 위한 연구자/과학 및 윤리위원회 회원/비즈니스 파트너 평가 및 소통, 연구 인원 충원, 검사용 제품 및 시중에 홍보된 제품의 안전성/효과/품질 평가, 부작용 및 제품 품질에 대한 고충사항 처리 및 보고 등 제품 안전성 및 제품 품질에 대한 의무 완수, 건강 규제 당국에 대한 제품 승인 신청 및 등록, 관련 법, 규제 및 윤리 요구 사항 준수,
  • 상업: 제품 시장 평가, 제품 광고, 마케팅, 판매, 유통 및 전달, 의료 전문 고객, 의료 지급인, 환자, 기타 제품 최종 사용자, 제품 사용자 간병인과의 커뮤니케이션 및 소통, 이벤트 스폰서 및 수행, 상업적 활동 지원을 위한 비즈니스 파트너 평가 및 소통, 관련 법, 규제 및 윤리 요구 사항 준수,
  • 기업 지원: 인력 충원, 직원 채용, 관리, 개발, 직원과의 커뮤니케이션 및 보상, 직원 및 부양 가족을 대상으로 한 혜택 관리, 직원 성과 및 재능 검토 실시, 교육 및 기타 학습/개발 프로그램 제공, 직원 징계 및 고충 관련 절차 실시, 윤리 및 사생활 관련 우려 관리 및 조사 실시, 실제 및 가상 자산과 인프라 관리 및 보호, 재화 및 서비스 조달 및 비용 지불, 환경/건강/안전 및 기타 기업 신념 완수, 미디어와의 소통, 관련 법/규제/윤리 요구 사항 준수.
  • 의료 서비스 및 솔루션: 임상 서비스, 참여 솔루션, 건강 분석에 초점을 맞춘 근거 기반 서비스 및 솔루션을 통해 전 세계 환자를 대상으로 제공되는 서비스 가치 개선.

또한 본 정책은 MSD에서 정보를 처리하는 의료 전문가 및 기타 고객, 잠재/현재/이전 직원 및 부양 가족, 환자, 간병인, 연구자 및 임상시험 참가자, 과학 및 윤리위원회 회원, 비즈니스 파트너, 투자자 및 주주, 정부 공무원, 기타 이해관계자를 포함하는(단, 이에 국한되지 않음) 모든 사람에 대해 적용됩니다.

모든 회사 직원 및 고위 임원은 개인정보보호 관련 핵심 신념을 가지며 이러한 신념을 지켜야 합니다.

MSD는 개인정보 보호와 관련된 의도치 않은 오류와 잘못된 판단으로 인하여 개인의 프라이버시와 관련된 리스크 및 MSD의 명성, 운영, 재무, 규제 준수와 연관된 리스크가 발생할 수 있다는 점을 인식하고 있습니다. MSD는 모든 직원들 및, 개인정보에 영구적으로 또는 정기적으로 접근하여 데이터를 수집하거나 개인정보 처리에 사용되는 도구 개발을 담당하는 그 밖의 인원에게 본 정책에 관한 적절한 교육을 제공할 것입니다. MSD의 모든 직원 및 MSD 직원 관련 정보를 처리하는 사람은 본 정책 및 해당 법에 따라 자신들이 갖는 의무를 이해하고 이를 준수할 책임을 가집니다.

MSD 개인정보보호 가치 및 표준

MSD는 개인정보보호 표준 적용 방식 등 인명과 관계된 모든 활동에 있어서 프라이버시 존중이라는 가치를 준수합니다. MSD의 4가지 개인정보보호 관련 가치는 다음과 같습니다.

존중

신뢰

위험 예방

준수

개인정보보호에 대한 우려는MSD라는 기업의 본질, 세계를 바라보는 관점, 스스로를 정의하는 방식과 본질적으로 닿아있으며, 그렇기 때문에 MSD는 개인과 공동체가 갖고 있는 관점과 이해관계를 존중하고 우리가 개인 및 공동체의 정보를 사용하고 공유하는 방식에 있어서 공정하고 투명하게 행동하려 노력합니다.

MSD는 성공의 핵심은 신뢰라는 점을 이해하고 있습니다. 따라서 MSD에서는 MSD의 프라이버시 존중 및 개인정보 보호 방식에 대한 고객, 직원, 환자, 기타 이해관계자의 신뢰를 구축하고 지키기 위해 노력합니다.

MSD는 개인정보의 잘못된 사용은 개인에 대한 직간접적인 위험을 초래할 수 있음을 이해하고 있습니다. 따라서 MSD는 개인의 프라이버시와 관련하여 현실적인 위험 및 재무, 명성, 기타 유형의 위험을 예방하기 위한 방법을 모색하고 있습니다.

MSD는 예전부터 법과 규제가 언제나 기술, 데이터의 흐름, 개인정보보호와 관련된 리스크 및 기대치와 관련된 빠른 변화 속도를 따라잡지는 못한다는 점을 이해하고 있습니다. 따라서 MSD는 전 세계에서 비즈니스를 운영함에 있어서 프라이버시 및 데이터 보호법과 규제가 갖고 있는 정신 및 그 내용을 일관되고 효율적인 방식으로 준수하기 위해 노력합니다.

  1. MSD는 개인정보를 사용하는 모든 활동, 프로세스, 기술, 제3자와의 관계에 개인정보보호 표준을 포함시킵니다. MSD는 MSD의 프라이버시 가치와 표준, 관련 법과 맥을 같이하는 개인정보 보호 제어 조치가 프로세스 및 기술에 포함되도록 설계합니다. 아래에 설명된 MSD의 8가지 개인정보보호 원칙은 프로세스, 활동 및 이를 뒷받침하는 기술에 적용되는 MSD의 개인정보보호 표준 및 핵심 요구 사항을 고차원적으로 요약하고 있습니다.

    개인정보보호 원칙

    핵심 신념

    1. 필요성 – MSD는 개인정보를 수집, 사용, 공유하기 전 이러한 개인정보가 요구되는 구체적이며 합법적인 비즈니스 목적이 무엇인지 정의하고 이를 문서로 기록합니다.

    • MSD는 이렇게 정의된 비즈니스 목적과 관련 법적 요건을 달성하기 위해 개인정보가 필요한 기간을 결정하고 이를 문서로 기록합니다.
    • MSD는 필요한 정도를 넘어서는 개인정보를 수집, 사용, 공유하지 않으며 정의된 비즈니스 목적과 관련 법적 요건을 달성하기 위한 기간이 끝난 후 식별 가능한 형태로 개인정보를 보관하지 않습니다.
    • MSD는 비즈니스 차원의 요구 사항으로 인하여 활동이나 프로세스에 대한 정보를 오랫동안 보관해야 하는 경우 이 데이터를 익명화합니다.
    • MSD는 MSD에 필요한 모든 기술에 이러한 필요성 요구 사항이 포함되도록 설계하며 활동이나 프로세스를 지원하는 제3자와 이에 대한 커뮤니케이션을 수행합니다.

    2. 공정성 – MSD는 해당 데이터와 관련된 사람에게 공정하지 않은 방법으로 개인정보를 처리하지 않습니다.

    • MSD는 개인정보의 수집, 사용, 기타 처리로 인해 MSD의 개인정보보호 가치인 위험 예방에 따라 개인에게 직간접적인 리스크 발생 가능성 및/또는 중대한 리스크가 발생하는지를 결정합니다.
    • 데이터의 본질, 개인의 유형, 활동으로 인해 개인을 대상으로 직간접적인 리스크 발생 가능성 및/또는 중대한 리스크가 발생하는 경우 MSD는 위험이 발생할 리스크보다 해당 개인 또는 MSD의 사명인 생명 보호와 삶의 질 향상에 기여하는 혜택이 더 크고 MSD가 마련한 조치, 안전장치 및 메카니즘으로 이를 완화하는지 확인합니다.
    • 개인에게 주어지는 혜택에 비해 리스크가 더 커보이는 경우, 해당 개인의 분명한 동의를 얻은 경우에만 또는 관련 법에서 명확하게 요구하거나 허가하는 방식으로만, 또는 유관 규제당국이 명시적으로 허가한 바에 따라 중요 정보 또는 개인정보를 다룹니다.
    • MSD는 리스크 분석을 문서로 기록하며, MSD에 필요한 기술에 대해 동의한다는 근거를 얻고 이를 문서로 기록하기 위해 필요한 모든 메커니즘을 설계합니다,

    3. 투명성 – MSD는 투명하지 않은 방법이나 목적으로 개인정보를 처리하지 않습니다.

    • 본 정책하에서 개인정보가 처리되는 모든 개인은 본 정책의 사본을 보유할 수 있는 권리를 보유해야 합니다. MSD는 온라인에서 본 정책의 사본을 https://www.msdprivacy.com/. 을 통해 제공합니다. MSD 글로벌 개인정보보호실는 아래의 섹션 3.a.에 명시된 주소로 전해진 요청에 따라 본 정책의 전자 및/또는 서면 사본을 제공합니다.
    • 개인에게서 직접 개인정보를 수집하는 경우, MSD는 정보를 수집하기 전에 분명하고, 명확하고, 쉽게 열람할 수 있는 개인정보보호 공지 또는 이와 유사한 수단을 사용하여 (1) 정보 처리를 담당하는 MSD 법인, (2) 개인정보보호 최고책임자 및/또는 지역/현지 개인정보보호 책임자의 연락정보, (3) 수집되는 정보, (4) 정보 사용 목적, (5) MSD의 정보 처리의 법적 근거, (6) 정부 기관의 합법적인 요청에 대한 응답으로 개인정보를 공개해야 할 요건을 포함하는, 정보 공유 대상, (7) MSD가 정보 전달이 가능한 해당 국가를 포함한 타국으로 개인정보를 전송할 것인지 여부 및 그 방법, (8)정보 보관 기간,또는 MSD가 이 기간을 결정하는 기준, (9) 질문하거나 우려를 표명하거나 개인정보와 관련된 권리를 행사하는 방법, (10) 개인이 제공한 동의를 철회할 수 있는 방법, (11) 감독 당국에 불만을 제기할 권리, (12) 개인정보를 제공해야 할 의무 및 그렇게 하지 않을 경우 그 결과, (13) 프로파일링을 비롯하여 MSD가 실시할 자동화된 의사 결정, 및 (14)해당하고 적절한 경우 본 정책을 확인할 수 있는 링크 정보를알립니다. MSD 이해관계자에게 제공되는 개인정보보호 공지는 온라인에서 http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html 을 통해 확인할 수 있습니다.
    • 관찰, 감지, 또는 기타 간접적인 수단을 통해 개인정보가 수집된 경우, 정보가 수집된 시점에 해당 개인에게 직접 개인정보보호 공지를 제공하는 것이 불가능할 수도 있습니다. 그러한 경우 해당 정보를 수집한 기기나 해당 기기와 관련된 자료에 공지를 게시 또는 인쇄하는 등의 다른 수단을 통해 해당 개인에게 투명성을 제공합니다.
    • 개인정보가 웹사이트, 모바일 앱, 또는 기타 온라인 애플리케이션이나 리소스를 통해 수집되는 경우, MSD는 본 정책에 따른 투명성 요구 사항이 충족될 수 있도록 MSD의 인터넷 개인정보보호 정책 및 MSD의 쿠키 개인정보보호 신념 에 명시된 기술별 표준을 적용합니다.
    • 다른 출처에서 개인정보가 수집되었으며 구체적으로는 MSD의 지침에 의해 수집된 것이 아닌 경우, 해당 정보를 수집하기 전 MSD는 정보 제공자가 MSD가 정보를 사용하고자 하는 방법 및 목적에 대해 해당 개인에게 알렸는지 서면으로 확인합니다. 정보 제공자로부터 서면 확인을 받을 수 없는 경우 MSD는 익명화된 정보만을 사용하거나 해당 개인정보를 사용하기 전 개인정보보호 공지 또는 이와 유사한 수단을 사용하여 개인정보로 인해 영향을 받은 개인에게 (1) 회사 단체 또는 정보 처리를 담당하는 단체, (2) 개인정보보호 최고책임자 및/또는 지역/현지 개인정보보호 책임자의 연락정보, (3) MSD가 사용할 계획인 정보, (4) MSD의 정보 사용 계획 목적, (5) MSD의 정보 처리의 법적 근거, (6) MSD와 정보를 공유할 대상, (7) MSD가 정보 전달이 가능한 해당 국가를 포함한 타국으로 개인정보를 전송할 것인지 여부 및 그 방법, (8)정보 보관 기간,또는 MSD가 이 기간을 결정하는 기준, (9) 질문하거나 우려를 표명하거나 개인정보와 관련된 권리를 행사하는 방법, (10) 개인이 제공한 동의를 철회할 수 있는 방법, (11) 감독 당국에 불만을 제기할 권리, (12) 개인정보를 제공해야 할 의무 및 그렇게 하지 않을 경우 그 결과, (13) 프로파일링을 비롯하여 MSD가 실시할 자동화된 의사 결정, 및 (14) 해당하고 적절한 경우 본 정책을 확인할 수 있는 링크에 대한 정보를 알립니다.
    • MSD는 개인 권한 요청을 지지하는 메커니즘 등 필수 투명성 메커니즘이 MSD에 필요한 기술에 포함되도록 설계하며, 활동이나 프로세스를 지원하는 제3자가 MSD 및 MSD를 위해 일하는 단체에서 해당 정보에 대해 사용하는 개인정보보호 공지나 기타 확인 가능한 수단을 통해 해당 개인에게 전달한 내용과 다른 방식으로 개인정보를 처리하지 않을 것이라는 점을 분명히 합니다.

    4. 목적 제한 – MSD는 필요성 및 투명성 원칙에 따라 개인정보를 사용합니다.

    • 이전에 수집된 개인정보와 관련하여 타당한 비즈니스 목적이 새롭게 판명된 경우, MSD는 개인정보를 다시 사용하기 위하여 해당 개인의 동의를 받거나 해당 개인에게 이전에 제공된 개인정보보호 공지 또는 기타 투명성 메커니즘에 명시된 목적과 새로운 비즈니스 목적이, 상당히 유사한지를 포함하여, 서로 호환되는지 확인합니다. 호환 여부는 (1) 원래의 목적과 제안된 새로운 목적 간의 관련성, (2) 해당 개인의 타당한 기대치, (3) 개인정보의 속성, (4) 해당 개인을 위한 추후 정보 처리 결과, 및 (5) MSD가 마련한 안전조치를 토대로 한 것이어야 합니다.
    • MSD는 익명화된 정보, 또는 역사 및 과학 연구 목적으로만 개인정보를 사용하는 경우, (1) 윤리 검토 위원회 또는 이에 상당하는 검토자가 이러한 정보 사용으로 인해 개인의 개인정보보호 및 기타 권리에 야기되는 리스크가 수용 가능한 정도이며 (2) MSD가 익명화와 같이 데이터 최소화를 보장하기 위한 적절한 안전조치를 마련하였고, (3) 기타 제반 관련 법을 준수한다고 판단한 경우에는 본 원칙을 적용하지 않습니다.
    • MSD는 목적 제한 규칙이 모든 보고 기능 및 하류 데이터 공유 등 MSD에 필요한 모든 기술에 포함되도록 설계합니다.

    5. 데이터 품질 – MSD는 목적한 용도에 맞게 개인정보를 정확하고, 완전하고, 최신 상태로 유지합니다.

    • MSD는 출처 및 하류 시스템에 대한 데이터 정확성을 확인하기 위해 주기적 데이터 검토 메커니즘이 MSD에 필요한 기술에 포함되도록 설계합니다.
    • MSD는 정보를 사용하거나, 평가하거나, 분석하거나, 보고하거나, 또는 정확하지 않거나 오래된 데이터가 사용될 경우 부당한 리스크를 야기하는 기타 처리 과정을 수행하기 전 중요 정보가 정확하며 최신 상태인지 확인합니다.
    • MSD 또는 MSD를 위해 일하는 제3자가 개인정보를 변경한 경우, 관련 개인에게 시기적절하게 이러한 변경사항을 전달합니다.

    6. 보안 – MSD는 보안 조치를 사용하여 개인정보 및 중요 정보가 손실되거나, 남용되거나, 무단 액세스, 공개, 변경 및 파괴되지 않게 보호합니다.

    • MSD는 종합적인 정보 보안 프로그램을 실행해 왔습니다. 또한 정보의 민감도와 활동의 리스크 수준에 따라 보안 조치를 적용하며, 이때 현재의 기술 관련 모범 사례 및 구현 비용을 고려합니다. MSD 기능성 보안 정책은 비즈니스 지속성 및 재난 복구, 암호화, 신원 및 액세스 관리, 정보 분류, 정보 보안 사고 관리, 네트워크 액세스 통제, 물리적 보안, 리스크 관리를 포함하나 이에 국한되지 않습니다.

    7. 데이터 이전 – MSD는 개인정보가 다른 조직으로 이전되거나, 다른 조직에서 이전되어 오거나, 국경을 넘어 이전되는 개인정보에 대한 개인정보보호 조치에 대한 책임이 있으며 이를 보유하고 있습니다.

    (1) 다음 요구 사항이 충족되는 경우에만 사내 개인정보 이전:

    (1) 개인정보 최초 수집 시 그 목적을 달성하거나 회사의 다른 적법한 이해관계를 위해 반드시 공유해야 하고, 이 정보를 공유할 것이며, 개인정보를 처음 수집할 때 해당 개인에게 이전에 제공한 개인정보보호 고지 또는 다른 투명성 장치에 따르고 필요한 경우 해당 개인이 동의를 제공하였다는 사실. (3) MSD의 자회사 중 하나가 다른 MSD 자회사를 대신하여 단독으로 개인정보를 처리하는 경우, (4) 법에서 요구하는 경우, 본 정책의 원칙 8에 따라 내부 데이터 처리 계약을 집행하는 경우.

    (2) MSD는 다음의 요구 사항이 충족되는 경우에만 개인정보를 이전하거나 제3자가 개정 정보를 처리하도록 허용하며 제3자가 이 요건들을 충족시키도록 해야 할 책임이 있습니다:

    • 제3자의 역할이 MSD를 위해서 또는 MSD를 대신해 개인정보를 처리하는 것인 경우, 제3자에게 개인정보를 제공하거나 제3자와 접촉하기 전에 MSD에서는 다음 행동을 취합니다. (1) 해당 제3자와 연관된 개인정보보호 관행 및 리스크를 평가하기 위하여 개인정보보호 실사를 완료하고, (2) 해당 제3자로부터 MSD의 지침에 따라서만 개인정보를 처리할 것이며, 본 정책에서 명시된 8가지 개인정보보호 원칙 및 기타 표준 관련 제약을 포함한 본 정책의 내용 및 관련 법에 따라 모든 개인정보보호 사건(본 정책 및 관련 법에서 명시한 표준을 준수할 수 있는 능력이 없음을 포함) 또는 보안 사건에 대해 즉시 MSD에 알리고, 일체의 실체화된 사고를 즉시 교정하며 아래 섹션 2에서 규정한 개인의 권리를 처리하는 데 협조하고, MSD의 서면 동이 없이, 동일한 데이터 보호 의무를 부과하는 계약을 체결하지 않고 타 회사와 개인정보 처리 계약을 체결하지 않고, MSD에 서비스 제공을 완료한 후 또는 MSD의 요청에 따라 모든 개인정보를 삭제하거나 MSD에 반환하고, 이러한 요구 사항을 준수하는지 MSD에서 확인할 수 있도록 정보 처리 기간에 대한 관행을 MSD가 감사하고 모니터링할 수 있게 허용한다는 계약상의 확약을 받습니다. 또한 개인정보 이전을 제한하는 법이 존재하는 국가 또는 영토에서 비롯된 개인정보를 제3자가 처리하는 경우 MSD는 해당 제3자로의 정보 이전이 아래의 (3)에서 명시되는 국가간 데이터 이전의 요구 사항을 충족하는지 확인합니다.
    • 제3자의 역할이 MSD에 개인정보를 제공하는 것인 경우, MSD는 제3자로부터 개인정보를 받기 전 기타 출처에서 개인정보가 수집되며 구체적으로 MSD의 지침에 의해 수집된 것이 아닌 경우에 대한 투명성 요구 사항이 충족되었는지 확인하며 해당 제3자가 개인정보를 MSD에 제공함으로써 법이나 제3자의 권리를 위반하지 않는다는 점에 대해 계약상의 확약을 받습니다.
    • 제3자의 역할이 정보 처리를 위해 MSD로부터 정보를 받는 것이지만 구체적으로 MSD의 지침에 의한 것이 아닌 경우, MSD는 제3자로부터 정보를 제공받기 전 해당 정보가 익명화되었는지 확인하며 제3자가 해당 정보를 관련 법에 따라 계약서에 정의된 비즈니스 목적을 위해서만 사용할 것이며 해당 정보의 신원을 다시 밝히려 하지 않을 것이라는 서면 확약을 받습니다.
    • 법에 따라 또는 개인이나 회사의 합법적인 이익을 보호하기 위해 제3자에게 이전해야 할 경우, (1) 유효한 법 집행 조치, 소환장, 법원 명령, 또는 현지법, 또는 규제 보고 요건에 대응하기 위하여, (2) 사기 방지 또는 회사의 권리와 재산을 집행하거나 보호할 목적으로, (3) 우리 회사 직원들 또는 우리 회사에 와 있는 제3자의 개인 안전 보호를 위하여, 또는 (4) 불법 행위나 심각한 위법 행위가 발생했다는 합리적인 의심이 들 경우 시정 보안 조치를 취하여MSD 자산을 보호하기 위하여 정보를 이전할 수 있습니다.
    • 제3자가 MSD의 인수 또는 지배적인 이해관계의 대상인 경우, (1) MSD는 제3자를 인수하는 계약을 맺거나 제3자에 대한 지배적인 이해관계를 인수하기 전 제3자 인수 또는 제3자에 대한 지배적인 이해관계 인수와 연관된 개인정보보호 리스크를 평가하기 위한 개인정보보호 실사를 완료하고, (2) 개인정보가 공개될 수 있는 약관 및 MSD와 제3자의 의무를 명시하는 데이터 이전 계약을 체결합니다.
    • 제3자의 역할이 MSD의 일부 또는 모든 비즈니스를 인수하는 것인 경우, MSD는 MSD의 비즈니스를 일부 매각하는 것과 관련하여 개인정보를 공유하기 전 (1) 개인정보의 허용된 사용에 관한 적절한 제한 및 본 정책 및 관련 법에서 명시한 표준 준수를 포함하는, 구매자와 개인정보가 공개될 수 있는 약관을 명시하는 데이터 이전 계약을 체결하고, (2) 정보 공유 필수 사항 평가를 위해 공유 전 모든 개인 데이터 요소를 검토하고, (3) 본 정책의 투명성 및 목적 제한 원칙에 따라 개인정보 또는 중요 정보 공유에 대한 동의를 받고, (4)본 정책 및 관련 법에서 명시한 표준을 준수할 수 있는 능력이 없음을 포함하여, 제3자가 일체의 개인정보보호 사건을 즉시 MSD에 통보하고, 일체의 실체화된 사고를 즉시 교정하거나 해당 개인정보 처리를 중단하는 데 협조하도록 규정합니다.

    (3) 개인정보는 MSD에 의해 또는 MSD를 대신해 본 정책에 따라 미국을 포함하여 국경 간에 이전됩니다. MSD는 개인정보 이전을 제한하는 법이 있는 국가 또는 영토로부터의 개인정보 이전에 대하여 동 법이 부과하는 일체의 요건 준수 외에 추가로(국가 간 이전에 요구되는 일체의 장치 사용 포함) 본 정책을 적용합니다.

    8. 합법적 허용 – MSD는 관련 법의 요구 사항이 충족될 경우에만 개인정보를 처리합니다.

    • 다른 7개의 개인정보보호 원칙 및 아래에서 설명되는 개인 권리 요구 사항은 전 세계에서 수행되는 MSD의 비즈니스에 적용되는 대부분의 개인정보보호 및 데이터 보호법의 요구 사항을 충족하는 것을 목적으로 하고 있지만, 일부 국가에서는 다음을 포함하나 이에 국한되지 않는 추가적인 요구 사항을 충족해야 합니다.

      1) 필요한 경우 MSD는 업무위원회 및 기타 노동조합으로부터의 처리 승인을 포함하나 이에 국한되지 않는 개인정보 처리 동의 양식을 받습니다.

      2) 필요한 경우 MSD는 해당하는 개인정보보호 또는 데이터 보호 규제 당국에 개인정보 처리 사실을 등록하거나 승인을 요청합니다.

      3) 필요한 경우 MSD는 본 정책에 명시된 것보다 광범위한 권리(예: 액세스 및 교정)를 제공합니다.

      4) 필요한 경우 MSD는 개인정보의 데이터 보관 기간을 더욱 제한합니다.

      5) 필요한 경우 MSD는 제3자에 대한 국가간 데이터 이전 계약을 포함한 특정 계약 조항을 포함한 계약을 체결합니다.

      6) 필요한 경우 MSD는 (국가 안보 또는 법 집행 요건 충족을 위한 경우 포함), 공공기관의 합법적인 요청에 따라 개인 정보를 공개할 것입니다.

      본 정책과 관련 법이 충돌하는 경우, 개인을 더욱 강력하게 보호하는 표준이 우선합니다.

  2. MSD는 개인정보 액세스, 변경, 수정, 삭제에 대한 개인 권리 요청 또는 개인정보 처리에 반대하거나, 개인정보 관련 그 밖의 권리를 행사할 개인 권리 요청을 신속하게 처리할 것입니다.
    1. 액세스, 수정, 삭제 및 기타 권리: MSD가 운영되는 대부분의 국가에서는 법에 따라 개인은 자신의 개인정보에 액세스할 수 있는 권리 및 정확하지 않거나, 완전하지 않거나, 오래된 개인정보를 변경, 수정, 또는 삭제할 수 있는 권리를 가집니다. MSD는 아래의 섹션 3a에 따른 모든 개인정보 액세스, 수정, 삭제 요청을 존중합니다. 액세스, 수정, 삭제 요청에 대하여 개인에 대한 더욱 강력한 보호를 제공하는 준거법이 있을 경우, MSD는 해당 법에 명시된 추가적인 요구 사항이 충족되는지 확인합니다.
      일부 국가에서는 개인들이 처리를 제한할 권리, 처리에 반대할 권리(아래 2b 참조), 및 본인들의 데이터를 다른 서비스 제공자에게 이전할 권리와 같이 본인들의 개인정보에 관한 다른 권리를 행사할 권리가 있을 수 있습니다. MSD는 관련 법에 따른 데이터 권리 행사를 존중할 것입니다.
    2. 선택: MSD의 개인정보보호 가치인 “존중” 및 “신뢰”에 따라 MSD는 개인이 이전에 참여하는 데 동의했던 프로그램 또는 활동에의 참여 거부, 및 직접마케팅 커뮤니케이션, 개인정보를 이용해 자신이 타겟으로 설정된 커뮤니케이션, 및 자동화 기능이나 알고리즘의 결과물로서 자신에게 상당한 영향을 미칠 가능성이 있는 평가 또는 결정에 대한 개인정보 처리를 포함하는(단, 이에 국한되지 않음) 개인정보 처리에 반대하는 개인 요청을 존중합니다,
      1. 법에 의해 금지된 경우를 제외하고, MSD는 특정 선택으로 인해 MSD가 다음 활동을 수행할 수 있는 능력을 방해하는 경우 이 선택을 거부할 수 있습니다. (1) 국가 안보 또는 법 집행 요건 충족을 위한 경우를 비롯하여 공공기관의 합법적인 요청에 따라 개인 정보를 공개해야 하는 경우에 법 또는 윤리적 의무의 준수, (2) 법적 소송의 조사, 제기 또는 변호, 또는 (3) 계약 이행, 관계 관리 또는 투명성 및 목적 제한 원칙에서 허용되었고 해당 개인정보에 의지하는 비즈니스 활동에 참여하는 활동이 여기에 포함됩니다. 본 정책에 따라 선택 요청을 거부하겠다는 결정이 내려진 시점으로부터 영업일 기준으로 15일 내로 MSD는 해당 결정을 문서로 기록하고 이에 대해 요청자에게 알립니다.
  3. MSD는 개인정보보호와 관련된 모든 질문, 고충, 우려, 및 모든 잠재적인 개인정보보호 사건이나 보안 사건에 대해 신속하게 대응하며 이를 확대합니다.
    1. 본 정책의 범위 내에서 MSD가 처리하는 개인정보와 관련된 모든 개인은 언제든지 MSD를 대상으로 본 정책의 적용을 받는 모든 MSD 자회사 목록 요청 등 요청, 고충, 우려를 제기할 수 있습니다. MSD는 MSD 직원 및 MSD를 대신해 일하는 사람이 관련 법으로 인해 본 정책을 준수할 수 없다고 믿는 타당한 이유가 있는 경우 신속하게 이에 대해 알릴 것이라고 여깁니다. 개인이 제기한 질문, 고충, 우려 또는 직원이나 MSD를 대신해 일하는 사람이 제공한 알림은 MSD 글로벌 개인정보보호실로 전달되어야 합니다.
      1. 이메일: msd_privacy_office@msd.com
      2. 우편: MPO, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
    2. 직원 및 계약업체는 MSD의 개인정보보호 관행과 관련된 모든 질문, 고충, 우려를 신속하게 MSD 글로벌 개인정보보호실이실 또는 해당 비즈니스 지역에 지정된 개인정보보호 담당자에게 알려야 합니다.
    3. MSD 글로벌 개인정보보호실는 직원 또는 다른 개인으로부터 직접 수령했거나 규제 기관, 책임 기관, 기타 정부 당국 등을 포함하나 이에 국한되지 않는 제3자를 통해 수령하였으며 MSD의 개인정보보호 관행과 관련된 모든 질문, 고충, 우려를 검토하고 조사하거나 이를 조사하기 위해 윤리, 법, 및/또는 준수 사무소와 협력합니다. MSD는 법 또는 제3의 요청자가 더 짧은 기간에 응답을 요구하거나 정부 조사가 동시에 진행되는 등 정황상 더 긴 시간이 필요한 경우(이 경우 응답이 지연되는 환경의 일반적인 특성을 감안했을 때 가능한 한 빨리 해당 개인이나 제3의 요청자에게 서면으로 통보)를 제외하고 달력 기준 30일 내에 MSD에 대한 질문, 고충, 우려를 제기한 개인이나 단체에게 응답해야 합니다.
    4. MSD 글로벌 개인정보보호실는 법 및 준수 사무소와 협력하여 개인정보보호 규제 당국의 모든 질의, 검사, 조사에 응답합니다.
    5. MSD는 MSD와 고충을 제기한 개인이 해당 고충을 해결할 수 없는 경우에 대하여 본 정책에 따라 분쟁을 해결할 수 있도록 다음의 분쟁 해결 절차에 참여하는 데 동의했습니다. 하지만 어떤 경우에도 EEA 거주자 또는 개인정보가 EEA의 데이터 보호법의 적용을 받으며 EEA 외부로 이전된 개인은 아래의 표준 3.f.에 의지할 수 있습니다:
      1. MSD는 스위스에서 받은 모든 개인정보가 포함된 분쟁의 경우 스위스 FDPIC와 협력하는 데 동의했습니다.
      2. 인사 활동과 관련된 그리고 EEA에서의 고용과 관련하여 수집한 개인정보를 미국으로 전송하는 것과 관련된 분쟁의 경우, MSD는 또한 관련 EU 데이터 보호 당국의 패널에 협조할 것을 약속합니다.
      3. MSD는 본 정책하에서 아시아태평양경제협력단체(“APEC”) 국가 간 개인정보보호 규칙(“CBPR”), EU-미국 및 스위스- US개인정보보호 쉴드 준수와 관련된 개인정보를 포함하나 이에 국한되지 않는 다른 모든 개인정보와 관련된 분쟁의 경우 미국 기반 분쟁 해결 서비스 제공업체인 TRUSTe가 분쟁을 해결하도록 동의했습니다. MSD에 대해 질문이나 우려를 제출하였으나 MSD로부터 질의에 대한 확인을 받지 못했거나 자신의 질문이나 우려가 충분히 처리되지 않았다고 생각하는 개인은 인터넷, 우편, 또는 팩스를 통하여 TRUSTe 분쟁 해결 프로그램에 문의하시기 바랍니다. 우편 또는 팩스로 제출되는 질의는 우려 또는 질문을 제출하는 회사를 Merck & Co., Inc. 또는 MSD라고 표시해야 하며 개인정보보호 우려에 대한 설명, 질의를 제출하는 개인의 이름, TRUSTe가 MSD와 질의 세부정보를 공유해야 하는지 여부를 명시해야 합니다. 이러한 분쟁을 해결하기 위해 TRUSTe에서 MSD와의 연락을 담당할 것입니다.
        1. 온라인
        2. 팩스: +1-415-520-3420
        3. 우편: Watchdog Complaints, TRUSTe, 835 Market Street, Suite 800, Box 137 San Francisco, CA, USA 94103-1905
      4. TRUSTe나 TRUSTe의 분쟁 해결 프로세스가 어떻게 운영되는지 알아보려면 인터넷에서 TRUSTe를 방문 하거나 위에 명시된 문의 정보를 사용하여 우편 또는 팩스를 통해 TRUSTe에 이 정보를 요청하시기 바랍니다. TRUSTe의 분쟁 해결 프로세스는 영어로 수행됩니다.
      5. 본 섹션에서 기술한 단계에 따라 해결되지 않는EU-미국 및 스위스-미국 개인정보보호 쉴드에 따라 발생하는 일체의 분쟁의 경우, 개인은 EU-미국 / 스위스-미국 개인정보보호 쉴드 패널 절차에 따라 구속력있는 중재를 제기할 수 있는 선택권을 가집니다.
    6. EEA에 거주하는 개인이나 개인정보는 EEA의 데이터 보호법의 적용을 받으며 EEA 외부로 이전되었거나 본 정책에 따라 개인정보가 처리된 모든 개인은 본 정책하에서 어떤 경우라도 제3의 수혜자로서 본 정책하에서 발생한 자신의 권리 침해에 대한 해결책을 모색하기 위해 소송을 제기할 수 있는 권리 및 그러한 침해로 인해 발생한 손해에 대한 보상을 받을 권리 등 본 정책의 요구 사항을 실행할 수 있는 권리를 가집니다. EEA에 거주하는 개인이나 개인정보는 EEA의 데이터 보호법의 적용을 받으며 EEA 외부(명확하게 밝히자면, 미국으로의 이전 포함)로 이전된 개인은 본 정책에 따라 벨기에 지사(“MSD Europe”)인 Merck, Sharp & Dohme (Europe) Inc.를 대상으로:
      1. 개인정보가 이전된 EEA 국가의 법정이나 데이터 보호 당국
      2. 거주 중인 EEA 국가의 법원 또는 데이터 보호 당국
      3. 벨기에 법정이나 벨기에 개인정보보호 위원회에 자신의 요구를 제출할 수 있습니다
    7. MSD는 법 또는 제3의 요청자가 더 짧은 기간에 응답을 요구하거나 정황상 더 긴 시간이 필요한 경우(이 경우 해당 개인이나 제3의 요청자에게 서면으로 통보)를 제외하고 달력 기준 30일 내에 문제, 고충, 우려를 제기한 개인이나 단체에 응답해야 합니다.
  4. MSD는 MSD의 개인정보보호 가치 및 표준을 지킬 책임을 갖고 있습니다.
    1. 입증된 개인정보보호 사건 또는 보안 사건을 야기한 행동에 책임이 있는 MSD의 자회사는 손해 배상 청구 또는 개인정보보호 사건 또는 보안 사건으로 인해 발생한 벌금 또는 처벌 금액에 대한 재무 책임을 갖습니다.
      1. MSD 글로벌 개인정보보호실와의 협력 및 MSD 글로벌 개인정보보호실의 지침에 따라 MSD Europe 은 EEA 외부의 MSD 자회사에 의해 발생했다고 주장되었으며 EEA에 거주하는 개인이나 개인정보가 EEA의 데이터 보호법의 적용을 받으며 EEA 외부로 이전된 개인에게 영향을 주는 본 정책에 대한 위반을 해결하고 필요한 경우 EEA에 거주하는 개인이나 개인정보가 EEA의 데이터 보호법의 적용을 받으며 EEA 외부로 이전된 개인에게 영향을 주는 본 정책에 대한 위반에 대해 부과된 벌금, 처벌, 손해액을 지불하기 위해 필요한 행동을 취할 책임이 있습니다. MSD Europe은 MSD 글로벌 개인정보보호실 및 해당 위반에 대한 책임이 있는 EEA 외부 지역의 MSD 자회사의 지원을 받아 MSD가 해당 위반에 대한 법적 책임이 없음을 증명할 책임이 있습니다. MSD의 다른 자회사가 벌금, 처벌, 손해액 보상을 야기한 행동에 책임이 있는 경우 해당 자회사는 MSD Europe에서 지불한 모든 금액을 MSD Europe에 신속하게 보상해야 합니다. EEA 이외 지역의 MSD 자회사가 본 정책을 위반할 경우, EEA 소재 법원 또는 데이터 보호 당국이 관할권을 가지며 피해를 입은 개인은 위의 3.f.에서와 같이 MSD Europe을 상대로 권리와 구제책을 행사할 수 있습니다.
      2. MPO와의 협력 및 MSD 글로벌 개인정보보호실의 지침에 따라 Merck Sharp & Dohme Corp. 은 EEA 외부의 MSD 자회사에 의해 발생했다고 주장되었으며 EEA에 거주하는 개인이나 개인정보가 EEA의 데이터 보호법의 적용을 받으며 EEA 외부로 이전된 개인에게 영향을 주는 본 정책에 대한 위반을 해결하고 필요한 경우 EEA에 거주하는 개인이나 개인정보가 EEA의 데이터 보호법의 적용을 받으며 EEA 외부로 이전된 개인에게 영향을 주는 본 정책에 대한 위반에 대해 부과된 벌금, 처벌, 손해액을 지불하기 위해 필요한 행동을 취할 책임이 있습니다. MSD의 다른 자회사가 벌금, 처벌, 손해액 보상을 야기한 행동에 책임이 있는 경우 해당 자회사는 Merck Sharp & Dohme Corp.에서 지불한 모든 금액을 Merck Sharp & Dohme Corp.에 신속하게 보상해야 합니다.

감독 및 모니터링

규제기관 및 기타 이해관계자를 대상으로 MSD가 윤리 및 책임의식 있는 개인정보보호 관행에 대한 신념을 지킬 책임이 있다는 점을 확실히 약속하기 위해 MSD는 고위 임원을 임명하고, MSD 글로벌 개인정보보호실 및 MSD 글로벌 개인정보보호실에서 업무를 수행하는 조직 영역 간의 연락을 담당하며, 전담 MSD 글로벌 개인정보보호실(GPO),EU DPO, 법률상 또는 현지 당국이 요구할 경우 국가별DPO 및 개인정보보호 담당자 가 배정된 개인정보보호 최고 책임자가 수장으로 있는 광범위한 감독 및 모니터링 거버넌스 그룹을 운영했습니다.

MSD는 1년 이하의 주기로 본 정책 및 APEC CBPR등의 법적 요구 사항 준수 여부를 확인하기 위하여 법적 책임을 갖고 있는 개인정보보호 책임 직원에 의지할 것입니다.

MSD 글로벌 개인정보보호실이 관리하는 확인 검토 외에, 내외부 감사 및 확인 팀은 규범 준수 검토를 실시하여 MSD가 본 정책(본 정책에 부속되는 일체의 정책, 절차, 표준 및 가이드 포함)을 준수하는지 확인합니다. 감사 및 확인 팀이 관측한 격차를 해결하기 위해 시정 및 예방 조치 시행 계획을 개발할 것입니다. 감사 프로그램 결과는 본 정책에 기술된 바와 같이 이 결과를 보고할 책임이 있는 개인정보보호 최고 책임자와 개인정보보호 및 데이터 보호 위원회에 전달할 것입니다.

본 정책을 승인했거나 본 정책하에서 MSD의 관행에 대한 사법권을 갖고 있는 개인정보보호 및 데이터 보호 당국은 MSD가 본 정책을 준수하는지 확인할 권리를 가집니다. MSD는 본 정책의 해석 및 적용과 관련하여 결정권을 가진 당국의 조언을 준수합니다.

알아야 할 용어

  • 익명화. 특정인의 신원을 파악하거나 위치를 파악하거나 연락을 취할 수 없게 하고 이를 취소할 수 없도록 단독으로, 또는 다른 정보와 조합하여 개인정보를 수정, 잘라냄, 삭제, 편집 또는 수정하는 것을 의미합니다.
  • . MSD가 운영되거나 MSD에 의해 또는 MSD를 대신해 개인정보가 처리되는 모든 국가의 적용 가능한 법, 규칙, 규제, 법적 구속력을 가진 의견 명령을 의미합니다. 여기에는 아시아태평양경제협력단체(“APEC”) 국가 간 개인정보보호 규칙 (“CBPR”), 미국 자유무역위원회의 조사 및 집행 권한 하에 있는 EU-미국 및 스위스-미국 개인정보보호 쉴드등 MSD가 승인 또는 인증을 받은 모든 개인정보보호 프레임워크가 포함됩니다.
  • MSD. MSD가 참여하는 조인트 벤처를 제외하고, Merck & Co., Inc.(Kenilworth, NJ, USA), 전 세계의 승계자, 자회사 및 사업부를 의미합니다.
  • 개인정보. 개인을 식별하거나 개인을 식별, 위치 파악, 추적, 접촉하기 위해 사용된 데이터 등 식별된 개인 또는 식별 가능한 개인에 대한 모든 데이터를 의미합니다. 개인정보에는 이름, 식별 번호, 고유 직무명 등 직접 식별 가능한 정보와 생년월일, 고유 모바일 또는 웨어러블 기기 식별자, 전화번호, 키코드화 된 데이터 및 IP 주소와 같은 온라인 식별자 등 간접 식별 가능한 정보가 포함됩니다.
  • 개인정보보호 사건. 본 정책이나 개인정보보호 또는 데이터 보호법에 대한 위반을 의미하며, 보안 사건을 포함합니다. 개인정보보호 사건의 발생 여부와 그 중대성은 MSD 글로벌 개인정보보호실, 정보기술 위험 관리 및 보안 부서(ITRMS) 및 OGC에 의해 결정됩니다.
  • 프로세스(처리). 수집, 기록, 조직, 저장, 열람, 적용, 변경, 검색, 참조, 이용, 평가, 분석, 보고, 공유, 공개, 유포, 전송, 차단 해제, 조정, 조합, 차단, 삭제 또는 파괴를 포함하나 이에 국한되지 않는 자동화된 수단을 이용하거나 이용하지 않음으로써 개인정보에 대한 작업 또는 일련의 작업 수행을 의미합니다.
  • 개인정보 침해. 개인정보의 우발적 또는 불법 파기, 분실, 변경, 무단 공개, 또는 접근으로 이어지는 보안 침해, 또는 MSD가 그렇다고 합리적으로 믿을만한 침해를 의미합니다. 본 정책을 위반하려는 의도 없이 MSD에 의한 또는 MSD를 대신한 개인정보 액세스가 이뤄진 경우, 액세스하는 정보가 전적으로 본 정책이 허용하는 바에 따라 사용 및 공개되는 경우에 한하여 보안 사건으로 간주하지 않습니다.
  • 중요 정보. 건강, 유전, 생체 정보, 인종, 민족, 종교, 정치, 철학적 의견 또는 믿음, 범죄 기록, 정확한 지리적 위치 정보, 은행 또는 기타 재무 계정 번호, 정부에서 발행한 식별 번호, 미성년자, 성생활, 성적 지향, 무역조합 가맹, 보험, 사회 보안 및 기타 고용 또는 정부에서 발생한 혜택을 포함하는(단, 이에 국한되지 않음) 정보 등 법에서 민감하다고 정의되는 정보를 포함하여 개인에게 잠재적인 위험을 초래할 수 있는 리스크가 내재된 모든 유형의 개인정보를 의미합니다.
  • 제3자. MSD의 소유가 아니거나, MSD가 지배적인 이해관계를 갖고 있지 않거나, MSD에 고용되어 있지 않은 모든 법적 단체, 연합, 개인을 의미합니다. 본 정책에서 명시된 경우를 제외하고, MSD의 어떤 자회사나 사업부도 본 정책하에서 제3자의 요구 사항을 따르라는 요구를 받아서는 안 됩니다. MSD의 자회사 중 하나가 하나 또는 복수의 MSD 자회사의 정보 처리를 지원하는 경우를 포함하여 모든 자회사나 사업부는 본 정책에 따라 정보를 처리해야 하기 때문입니다.

정책 변경사항

본 정책은 관련 법의 요구 사항에 따라 때때로 수정될 수 있습니다. 본 정책에 중요한 변경사항이 발생할 때마다 MSD의 개인정보보호 웹페이지(https://www.www.msdprivacy.com/) 에 60일간 공지가 게시됩니다.

발효일

2018년 6월 5일