Polityka dotycząca globalnych transgranicznych zasad prywatności

Data przeglądu: 1 września 2023 r.
Data wejścia w życie: 1 września 2023 r.

Dążymy do tego, by prowadzić naszą działalność zgodnie z naszymi wartościami dotyczącymi prywatności, ponieważ uważamy, że odzwierciedlają one nasze niezachwiane przywiązanie do etycznych i odpowiedzialnych praktyk. Zdajemy sobie sprawę z tego, że innowacje i nowe technologie wiążą się z ciągłymi zmianami w zakresie ryzyka, oczekiwań i prawa, i dlatego też przestrzegamy standardów odpowiedzialności w zakresie prywatności oraz dokładamy wszelkich starań, by w odpowiedzi na te zmiany dostosować sposób, w jaki stosujemy te standardy.

Niniejsza polityka określa globalne standardy zarządzania i ochrony danych osobowych przez naszą firmę lub w jej imieniu, które bezpośrednio lub pośrednio pochodzą z dowolnego kraju Europejskiego Obszaru Gospodarczego (EOG), Szwajcarii lub członków Wspólnoty Gospodarczej Azji i Pacyfiku (APEC) i są przekazywane do innego kraju (dotyczy to także przekazywania pomiędzy krajami należącymi do EOG i APEC). Opisuje ona nasze podstawowe zobowiązania utrzymywania zgodności z naszym certyfikatem transgranicznych zasad prywatności APEC, naszymi Wiążącymi zasadami firmowymi („BCR”), które zostały zatwierdzone przez Unię Europejską, oraz naszym wewnętrznym certyfikatem programu Data Privacy Framework (DPF) zawartego między UE a USA, brytyjskiego rozszerzenia DPF i zawartego między Szwajcarią a USA programu Data Privacy Framework.

Nasza firma przestrzega wymogów programu Data Privacy Framework (UE-USA DPF), jego rozszerzenia w Wielkiej Brytanii i zawartego między Szwajcarią a USA programu Data Privacy Framework (Szwajcaria-USA DPF) określonych przez Departament Handlu USA. Zaświadczyliśmy przed Departamentem Handlu USA, że przestrzegamy zasad programu Data Privacy Framework (zasad UE-USA DPF) w odniesieniu do przetwarzania danych osobowych otrzymanych z Unii Europejskiej na podstawie umowy DPF zawartej między UE a USA i z Wielkiej Brytanii (oraz Gibraltaru) na podstawie rozszerzenia umowy DPF zawartej między UE a USA obowiązującego w Wielkiej Brytanii. Zaświadczyliśmy przed Departamentem Handlu USA, że przestrzegamy zasad programu Data Privacy Framework zawartego między Szwajcarią a USA (zasady umowy DPF między Szwajcarią a USA) w odniesieniu do przetwarzania danych osobowych otrzymanych ze Szwajcarii na podstawie umowy DPF zawartej między Szwajcarią a USA. W przypadku jakiejkolwiek sprzeczności między warunkami niniejszej polityki a zasadami umowy DPF UE-USA i/lub Szwajcaria-USA zastosowanie będą miały te Zasady. Aby dowiedzieć się więcej na temat programu Data Privacy Framework (DPF) i zapoznać się z naszym certyfikatem, prosimy odwiedzić stronę https://www.dataprivacyframework.gov/.

Niniejsza polityka ma zastosowanie dla naszej działalności w każdym kraju, w ramach której wykorzystywane są informacje o osobach fizycznych oraz którą prowadzimy w każdym z podmiotów zależnych oraz w każdym oddziale (w tym wszelkich następcach naszej działalności), w tym między innymi dla naszych badań, produkcji, działalności handlowej, działalności pomocniczej na szczeblu korporacyjnym oraz usług opieki zdrowotnej, a także rozwiązań oraz transferów danych niezbędnych do prowadzenia tych działalności, w tym między innymi:

• Badania i produkcja: ocena potrzeb i możliwości w zakresie innowacji w medycynie oraz opiece zdrowotnej; inicjowanie, zarządzanie i finansowanie badań, ocena i zaangażowanie pracowników naukowych, wsparcie naszych badań oraz rozwijania naszych produktów przez członków Komitetu ds. Badań Naukowych i Etyki; rekrutacja w obszarze badań; ocena bezpieczeństwa, skuteczność i jakość sprzedawanych produktów oraz produktów będących na etapie badań; spełnienie naszych zobowiązań dotyczących bezpieczeństwa i jakości produktów, w tym obsługa i raportowanie niepożądanych zdarzeń oraz skarg dotyczących jakości produktu; zgłoszenia do zatwierdzenia i rejestracji naszych produktów w organach regulacyjnych służby zdrowia oraz przestrzeganie powiązanych wymogów prawnych, przepisów i zasad etycznych;
• Działalność handlowa: ocena rynków dla naszych produktów; reklama, marketing, sprzedaż, dystrybucja oraz dostawa naszych produktów; komunikacja i współpraca z klientami aktywnymi zawodowo w służbie zdrowia, płatnikami służby zdrowia, pacjentami i innymi użytkownikami końcowymi naszych produktów oraz opiekunami, którzy korzystają z naszych produktów; sponsorowanie i organizacja wydarzeń; ocena i współpraca z partnerami biznesowymi w celu wsparcia naszych działań handlowych; przestrzeganie powiązanych wymogów prawnych, przepisów i zasad etycznych;
• Działalność pomocnicza na szczeblu korporacyjnym: rekrutacja, zarządzanie, zatrudnianie, rozwój, wynagradzanie pracowników oraz komunikacja z nimi; administracja świadczeń dla pracowników i ich rodzin; prowadzenie oceny wydajności pracowników oraz przeglądy umiejętności; zapewnienie szkoleń i innych programów edukacyjnych i rozwojowych; prowadzenie postępowań dyscyplinarnych wobec pracowników i rozpatrywanie skarg; zarządzanie etyką i wątpliwościami związanymi z prywatnością oraz prowadzenie dochodzeń; zarządzanie i zabezpieczanie naszych zasobów fizycznych i wirtualnych oraz infrastruktury; zakupy i płacenie za towary i usługi; wypełnianie naszych zobowiązań w zakresie środowiska, zdrowia i bezpieczeństwa oraz innych zobowiązań w zakresie odpowiedzialności związanej z prowadzeniem działalności; współpraca z mediami; przestrzeganie powiązanych wymogów prawnych, przepisów lub zasad etycznych.

Niniejsza polityka ma również zastosowanie do wszystkich osób fizycznych, których informacje osobowe przetwarzamy, w tym między innymi naszego personelu pracującego w służbie zdrowia oraz innych odbiorców; przyszłych, obecnych i byłych pracowników oraz osób od nich zależnych, pacjentów, opiekunów, badaczy naukowych oraz członków studiów badawczych, naukowych i członków Komitetu ds. Etyki i Badań Naukowych, partnerów biznesowych, inwestorów, akcjonariuszy, urzędników rządowych i innych interesariuszy.

Wszyscy pracownicy i starsza kadra kierownicza firmy są zobowiązani do wypełniania podstawowych obowiązków dotyczących prywatności.

Zdajemy sobie sprawę z tego, że niezamierzone błędy oraz błędne oceny związane z ochroną podstawowych informacji osobowych mogą stanowić zagrożenie prywatności dla osób fizycznych oraz ryzyko utraty reputacji, ryzyko operacyjne i finansowe oraz ryzyko braku zgodności z przepisami dla naszej firmy. Wszyscy pracownicy i inny personel mający stały lub regularny dostęp do informacji osobowych, zaangażowani w zbieranie danych lub opracowywanie narzędzi wykorzystywanych do przetwarzania informacji osobowych przejdą odpowiednie szkolenie w zakresie niniejszej polityki. Każdy pracownik naszej firmy i inne osoby, które przetwarzają informacje osobowe dla naszej firmy, jest odpowiedzialny za zrozumienie i przestrzeganie swoich zobowiązań wynikających z niniejszej polityki oraz obowiązujących przepisów prawa.

Nasze wartości i standardy dotyczące prywatności

Stosujemy nasze wartości prywatności we wszystkim, co robimy i co dotyczy osób, uwzględniając sposób, w jaki wykorzystujemy nasze standardy prywatności. Nasze cztery wartości dotyczące prywatności to:

Szacunek	Autoryzacja	Zapobieganie szkodom	Zgodność z obowiązującymi przepisami
Zdajemy sobie sprawę z tego, że obawy dotyczące prywatności często odnoszą się do istoty tego, kim jesteśmy, jak postrzegamy świat i jak siebie definiujemy, i dlatego też staramy się uszanować perspektywę i interesy osób fizycznych i społeczności oraz być sprawiedliwymi i przejrzystymi w tym, w jaki sposób wykorzystujemy i udostępniamy informacje o nich.	Wiemy, że zaufanie ma kluczowe znaczenie dla naszego sukcesu, więc staramy się zbudować i utrzymać zaufanie naszych klientów, pracowników, pacjentów i innych zainteresowanych stron poprzez to, jak szanujemy ich prywatność i ochronę informacji o osobach.	Zdajemy sobie sprawę z tego, że nadużywanie informacji osobowych może być powodem zarówno materialnych, jak i niematerialnych szkód dla osób fizycznych. Dlatego też staramy się zapobiegać szkodom związanym z utratą reputacji, szkodom fizycznym lub finansowym oraz innym rodzajom szkód związanych z prywatnością osoby fizycznej.	Nauczeni doświadczeniem wiemy, że przepisy prawne i rozporządzenia nie zawsze nadążają za szybkimi zmianami w technologii, przepływie danych oraz związanymi z nimi zmianami w zagrożeniach i oczekiwaniach dotyczących ochrony prywatności, dlatego też staramy się wypełniać nasze obowiązki wynikające z przepisów prawa i rozporządzeń w sposób, który sprzyja spójności i efektywności operacyjnej naszej globalnej działalności handlowej.

1. 1. Wprowadzamy nasze standardy dotyczące ochrony prywatności we wszystkich działaniach, procesach, technologiach oraz relacjach z osobami trzecimi, które wykorzystują dane osobowe. Wdrażamy regulacje dotyczące prywatności w naszych procesach i technologiach, zgodne z naszymi wartościami i normami w zakresie ochrony prywatności oraz z obowiązującym prawem. 8 zasad ochrony prywatności przedstawionych poniżej podsumowuje nasze standardy dotyczące prywatności oraz podstawowe wymogi dla procesów, działań i ich technologii pomocniczej na wysokim szczeblu.

   Zasady ochrony prywatności	Nasze główne zobowiązania
   1. Konieczność – przed zgromadzeniem, wykorzystaniem lub udostępnieniem danych osobowych określamy i dokumentujemy konkretne, uzasadnione cele biznesowe, dla których jest to wymagane.	Ustalamy i udokumentowujemy, jak długo dane osobowe są potrzebne do określonych celów biznesowych oraz obowiązujących przepisów prawa. Nie zbieramy, nie wykorzystujemy ani nie udostępniamy więcej danych osobowych, niż jest to konieczne lub przechowywane w identyfikowalnym formularzu przez dłużej niż jest to konieczne dla określonych celów biznesowych i obowiązujących przepisów prawa. Dokonujemy anonimizacji danych w przypadkach, gdy działalność wymaga tego, aby informacje na temat operacji lub procesu były przechowywane przez dłuższy okres czasu. Zapewniamy, by wymogi te były uwzględnione w jakiejkolwiek technologii pomocniczej oraz by były przekazywane podmiotom trzecim wspierającym operację lub proces.
   2. Uczciwość – nie przetwarzamy danych osobowych w sposób nieuczciwy w stosunku do osób, których dane te dotyczą.	Określamy, czy proponowane gromadzenie, wykorzystywanie lub inne przetwarzanie danych osobowych stwarza prawdopodobne i/lub poważne ryzyko szkód materialnych lub niematerialnych dla osób fizycznych, zgodnie z naszymi wartościami dotyczącymi prywatności w celu Zapobiegania szkodom. Jeżeli charakter danych, typ osoby lub działalność jest nieodłącznie związana z prawdopodobnym i/lub poważnym ryzykiem szkód materialnych lub niematerialnych dla osób fizycznych, zapewniamy, by ryzyko szkód było niwelowane poprzez odpowiednie korzyści dla tych osób lub dla naszej misji ratowania i poprawy jakości życia oraz ograniczane za pośrednictwem wprowadzonych przez nas środków, zabezpieczeń i mechanizmów. W przypadkach gdy ryzyko wydaje się przewyższać korzyści dla osoby fizycznej, przetwarzamy informacje wrażliwe lub dane osobowe tylko za wyraźną zgodą danej osoby, jeśli jest to wyraźnie wymagane lub dozwolone przez obowiązujące przepisy prawa bądź po uzyskaniu wyraźnego upoważnienia od właściwego organu regulacyjnego. Wrażliwe informacje przetwarzamy wyłącznie za wyraźną zgodą osób fizycznych, w sposób wyraźny wymagany lub wyraźnie dozwolony przez obowiązujące prawo, Jeśli ryzyko wydaje się przeważać nad korzyściami dla osób indywidualnych, dokumentujemy analizę ryzyka i zaprojektowaliśmy wszelkie wymagane mechanizmy, aby jak najbardziej zminimalizować ryzyko.
   3. Przejrzystość – nie przetwarzamy danych osobowych w sposób lub do celów, które nie są przejrzyste.	Wszystkie osoby, których dane osobowe są przetwarzane w ramach niniejszej polityki, mają prawo do wglądu do niniejszej polityki. Udostępnimy kopię niniejszej polityki na stronie internetowej https://www.msdprivacy.com/index.html. Globalne Biuro ds. Ochrony Prywatności dostarczy kopię elektroniczną i/lub papierową niniejszej polityki na wniosek wysłany na jeden z adresów podanych poniżej. Jeżeli dane osobowe są zbierane bezpośrednio od osoby fizycznej, wówczas powiadamiamy ją o tym przed zebraniem tych danych i poprzez wyraźną i łatwo dostępną informację lub za pomocą podobnego środka. Powiadomienie to musi zawierać następujące informacje: (1) podmiot lub podmioty firmy odpowiedzialne za przetwarzanie danych, (2) dane kontaktowe Głównego inspektora ds. prywatności i/lub regionalnego/miejscowego Inspektora ochrony danych, (3) jakie informacje będą gromadzone, (4) jakie są cele, dla których będą one stosowane, (5) podstawę prawną przetwarzania przez nas danych, (6) komu będą udostępniane, w tym wszelkie wymogi ujawniania danych osobowych w odpowiedzi na uzasadnione prawnie wnioski od władz rządowych, (7) czy i w jaki sposób będziemy przesyłać informacje osobowe do innych krajów, w tym do odnośnych krajów, w stosownych przypadkach, (8) jak długo pozostaną one zachowane lub kryteria, które stosujemy do określenia okresu przechowywania, (9) w jaki sposób można zadać pytanie, zgłosić obawę lub skorzystać ze swoich praw związanych z informacjami osobowymi, 10) w jaki sposób można wycofać udzieloną zgodę, (11) informację o prawie do złożenia skargi w organie nadzorczym, (12) wszelkie zobowiązania przekazania informacji osobowych oraz konsekwencje braku ich spełnienia, (13) wszelkie automatyczne metody podejmowania decyzji, takie jak profilowanie, które zamierzamy stosować, oraz (14) odnośnik do niniejszej polityki, jeśli jest to możliwe i właściwe. Nasze obszerne powiadomienia dotyczące prywatności dla wielu naszych interesariuszy są dostępne na stronie internetowej http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html W przypadku gdy dane osobowe są uzyskiwane za pomocą obserwacji, czujników lub innych środków pośrednich , dostarczenie informacji odnośnie do prywatności bezpośrednio do osoby fizycznej w czasie, gdy dane są zbierane, może nie być możliwe. W takich przypadkach zapewniamy przejrzystość osobie fizycznej za pomocą innych środków, takich jak publikowane lub drukowane na urządzeniu, lub materiały związane z urządzeniem, które zbiera informacje. Jeżeli dane osobowe są gromadzone przy pomocy strony internetowej, aplikacji mobilnej lub innego narzędzia internetowego, stosujemy standardy technologiczne określone w naszej Polityce prywatności w Internecie oraz naszej Polityce prywatności związanej z wykorzystywaniem plików cookies tak aby zapewnić spełnienie wymogów dotyczących przejrzystości zgodnie z niniejszym dokumentem. Jeżeli dane osobowe są gromadzone z innych źródeł oraz nie odbywa się to bezpośrednio pod kierownictwem naszej firmy , wówczas przed uzyskaniem takich danych sprawdzamy na piśmie, czy dostawca danych poinformował osoby fizyczne o sposobach i celach, do których nasza firma zamierza wykorzystać te dane. Gdy nie można uzyskać pisemnej weryfikacji od dostawcy danych, wykorzystujemy tylko anonimowe dane lub przed użyciem danych osobowych powiadamiamy osoby fizyczne, których dane te dotyczą, poprzez informację na temat prywatności lub za pomocą podobnego środka. Powiadomienie to musi zawierać następujące informacje: (1) podmiot lub podmioty firmy odpowiedzialne za przetwarzanie danych, (2) dane kontaktowe Głównego inspektora ds. prywatności i/lub regionalnego/miejscowego Inspektora ochrony danych, (3) jakie informacje będą gromadzone, (4) jakie są cele, dla których będą one stosowane, (5) podstawę prawną przetwarzania przez nas danych, (6) komu będą udostępniane, (7) czy i w jaki sposób będziemy przesyłać informacje osobowe do innych krajów, w tym do odnośnych krajów, w stosownych przypadkach, (8) jak długo nasza firma planuje je przechowywać lub kryteria, które stosujemy do określania okresu przechowywania, (9) w jaki sposób można zadać pytanie, zgłosić obawę lub skorzystać ze swoich praw związanych z informacjami osobowymi, (10) w jaki sposób można wycofać udzieloną zgodę, (11) informację o prawie do złożenia skargi w organie nadzorczym, (12) wszelkie zobowiązania przekazania informacji osobowych oraz konsekwencje braku ich spełnienia, (13) wszelkie automatyczne metody podejmowania decyzji, takie jak profilowanie, które zamierzamy stosować, oraz (14) odnośnik do niniejszej polityki, jeśli jest to możliwe i właściwe. Zapewniamy, by niezbędne mechanizmy przejrzystości, w tym, w miarę możliwości, mechanizmy, które obsługują poszczególne żądania dotyczące praw osób fizycznych, zostały wdrożone w technologii pomocniczej, a także, by osoby trzecie wspierające działalność lub proces nie przetwarzały informacji o osobach fizycznych w sposób niespójny z tym, co zostało przekazane tym osobom w ramach powiadomienia o polityce prywatności lub innych dających się zweryfikować środkach dotyczących tego, w jaki sposób my oraz nasi partnerzy wykorzystujemy takie informacje. Kiedy uzyskamy zgodę, otrzymujemy i udokumentujemy dowód zgody w naszych technologiach wspierających.
   4. Ograniczenie celu – wykorzystujemy dane osobowe wyłącznie w zgodzie z Zasadami konieczności i przejrzystości.	Jeżeli ustalone zostaną nowe uzasadnione cele działalności, do których chcemy wykorzystać dane osobowe, które zostały wcześniej zgromadzone, wówczas występujemy o zgodę danej osoby fizycznej na użycie danych osobowych w nowym celu lub zapewniamy, by nowy cel działalności był zgodny z, w tym także zasadniczo podobny do celów przedstawionych w powiadomieniu o polityce prywatności, oraz zapewniamy inny mechanizm, który wcześniej został wdrożony dla danej osoby fizycznej. Nasza ocena zgodności będzie opierać się na (1) wszelkich łącznikach pomiędzy pierwotnymi celami a proponowanym nowym celem, (2) uzasadnionych oczekiwaniach osoby, (3) charakterze informacji osobowych, (4) konsekwencjach dalszego przetwarzania dla danej osoby oraz (5) wprowadzonych przez nas zabezpieczeniach. Zasady tej nie stosujemy do anonimowych danych lub w przypadkach, gdy wykorzystujemy dane osobowe wyłącznie do celów badań historycznych i naukowych oraz gdy (1) Komitet Kontroli Etyki lub inne właściwe ciało ustaliło, że ryzyko takiego zastosowania dla prywatności i innych praw osoby fizycznej jest dopuszczalne, oraz (2) wprowadziliśmy odpowiednie zabezpieczenia, aby zagwarantować minimalizację ilości przetwarzanych danych, takie jak pseudonimizacja, oraz (3) przestrzegane są wszystkie inne właściwe przepisy prawa. Zapewniamy, by ograniczenia celowości były wdrażane w jakiejkolwiek technologii pomocniczej, w tym wszelkie możliwości raportowania i dalszego udostępniania danych.
   5. Jakość danych – zachowujemy dokładne, kompletne i aktualne dane osobowe zgodnie z ich przeznaczeniem.	Zapewniamy, by mechanizmy okresowego przeglądu danych były wdrożone do technologii pomocniczej w celu weryfikacji dokładności danych ze źródłem oraz systemami dalszego przekazywania danych. Zapewniamy, by informacje wrażliwe były weryfikowane pod kątem dokładności oraz aktualności przed ich wykorzystaniem, oceną, analizą, uwzględnieniem w raportach lub innym przetworzeniem, które niesie ze sobą ryzyko nieuczciwości wobec osób fizycznych w przypadku wykorzystania niedokładnych lub nieaktualnych danych. W przypadku wprowadzenia zmian w danych osobowych przez naszą firmę lub osoby trzecie pracujące dla naszej firmy zapewniamy, by zmiany te były zgłaszane właściwym osobom w odpowiednim czasie, gdzie jest możliwe.
   6. Bezpieczeństwo – stosujemy środki ostrożności zabezpieczające przed utratą danych, bezprawnym użyciem, nieuprawnionym dostępem, ujawnianiem, zmianą oraz zniszczeniem danych osobowych oraz informacji wrażliwych.	Wdrożyliśmy kompleksowy program ochrony informacji oraz stosujemy środki bezpieczeństwa, które są oparte na wrażliwości informacji i poziomie ryzyka działalności, z uwzględnieniem aktualnej technologii, najlepszych praktyk oraz kosztów wdrożenia. Nasze funkcjonalne zasady bezpieczeństwa obejmują między innymi standardy dotyczące ciągłości biznesowej, usuwania skutków awarii, szyfrowania, zarządzania tożsamością i dostępem, klasyfikacji informacji, zarządzania incydentami dotyczącymi bezpieczeństwa informacji, kontroli dostępu do sieci, bezpieczeństwa fizyczne oraz zarządzania ryzykiem.
   7. Transfer danych – jesteśmy odpowiedzialni za i zachowujemy środki ochrony prywatności w przypadku danych osobowych, które są przekazywane z lub do innych organizacji, lub poza granicę kraju.	1) Przesyłamy informacje osobowe wewnątrz firmy, jeżeli spełnione są następujące warunki: (1) udostępnianie jest niezbędne do realizacji celów, do których informacje osobowe zostały pierwotnie zebrane lub innego uzasadnionego interesu firmy oraz (2) cel, do którego zostaną udostępnione oraz sam fakt udostępnienia są zgodne z polityką prywatności lub innym mechanizmem przejrzystości, o którym osoba została poinformowana w czasie, gdy informacje osobowe były pierwotnie zbierane i osoba wyraziła na to zgodę, gdy było to konieczne, (3) w przypadku gdy jeden podmiot zależny naszej firmy działa wyłącznie w imieniu innego podmiotu zależnego naszej firmy, przetwarzając informacje osobowe, (4) gdy wymagają tego przepisy prawa, te podmioty zależne naszej firmy zawrą wewnętrzną umowę o przetwarzanie danych zgodnie z zasadą nr 8 niniejszej polityki, (5) w przypadku gdy infrastruktura IT wymaga takiego przekazania, pod warunkiem że obowiązują wszystkie odpowiednie środki bezpieczeństwa i organizacyjne w celu zapewnienia zgodności takiego transferu. (2) Przesyłamy dane osobowe lub zezwalamy na ich przetwarzanie osobom trzecim tylko, jeżeli spełnione są następujące warunki oraz odpowiadamy za zapewnienie, by te osoby trzecie je spełniały: Jeśli rolą osoby trzeciej jest przetwarzanie danych osobowych dla lub w imieniu naszej firmy, , przed przekazaniem danych osobowych osobie trzeciej lub podjęciem współpracy z nią w zakresie tych danych: (1) dokonujemy analizy due diligence w zakresie prywatności w celu oceny praktyk dotyczących ochrony prywatności oraz zagrożeń związanych z daną osobą trzecią, (2) uzyskujemy gwarancję kontraktową od osoby trzeciej, która będzie przetwarzać dane osobowe wyłącznie zgodnie z instrukcjami naszej firmy, a także zgodnie z niniejszą polityką, w tym bez ograniczeń ze wszystkimi 8 Zasadami dotyczącymi ochrony prywatności i innymi standardami określonymi w niniejszej polityce, jak również obowiązującym prawem, mówiącą o tym, że osoba trzecia będzie powiadamiać naszą firmę o wszelkich incydentach związanych z ochroną prywatności, w tym o wszelkiej niezdolności do przestrzegania standardów ustanowionych przez niniejszą politykę oraz obowiązujące prawo, będzie współpracować w celu niezwłocznej naprawy stwierdzonego incydentu i uwzględnienia praw osób fizycznych określonych w Sekcji 2 poniżej, nie zaangażuje innej firmy do przetwarzania informacji osobowych bez naszej pisemnej zgody i bez zawarcia umowy nakładającej na tę firmę równoważne zobowiązania ochrony danych, usunie lub zwróci nam wszystkie informacje osobowe po zakończeniu świadczenia nam usług lub na nasze żądanie oraz będzie zezwalać naszej firmie na kontrolę i monitorowanie swoich praktyk pod kątem zgodności z niniejszymi wymaganiami w okresie przetwarzania danych. Dodatkowo, jeśli osoba trzecia przetwarza dane osobowe pochodzące z kraju lub terytorium, na którym obowiązuje prawo ograniczające transfer danych osobowych, zapewniamy, że przekazanie danych osobie trzeciej spełnia wymogi transgranicznego transferu danych opisanego w punkcie (3) poniżej. Jeśli rolą osoby trzeciej jest dostarczanie danych osobowych naszej firmie, przed otrzymaniem danych osobowych od osoby trzeciej upewniamy się, że wymogi dotyczące przejrzystości dla gromadzenia danych osobowych z innych źródeł, nieodbywającego się bezpośrednio pod kierownictwem naszej firmy, są spełnione oraz że osoba trzecia wykonuje umowę w sposób, który nie narusza żadnych przepisów prawnych lub praw jakiejkolwiek osoby trzeciej w postaci przekazania danych osobowych naszej firmie. Jeśli rolą osoby trzeciej jest otrzymywanie informacji z naszej firmy w celu ich przetwarzania nieodbywającego się pod kierownictwem naszej firmy, przed przekazaniem informacji osobie trzeciej upewniamy się, że informacje te są anonimowe oraz że otrzymaliśmy pisemne zapewnienie od osoby trzeciej, że wykorzysta ona te informacje wyłącznie w celach prowadzenia działalności określonych w umowie oraz zgodnie z obowiązującymi przepisami prawa, a także, że nie będzie ona dążyć do ustalenia, kogo dane te dotyczą. Jeżeli transfer do osoby trzeciej jest prawnie wymagany celem ochrony uzasadnionych interesów osoby bądź firmy ,możemy przesyłać informacje: (1) celem zapobiegania oszustwom lub egzekucji bądź ochrony praw i własności firmy, (2) celem ochrony osobistego bezpieczeństwa naszych pracowników lub osób trzecich na naszym terenie lub (3) celem ochrony naszych aktywów, wprowadzając naprawcze środki bezpieczeństwa, jeżeli mamy uzasadnione powody przypuszczać, że doszło do bezprawnego działania lub poważnego uchybienia. Jeżeli nasza firma zamierza nabyć stronę trzecią lub jej pakiet kontrolny, , (1) przed zawarciem umowy nabycia strony trzeciej lub nabycia jej pakietu kontrolnego dokonujemy analizy due diligence w celu oceny praktyk dotyczących ochrony prywatności oraz ryzyka związanego z nabyciem strony trzeciej lub nabycia jej pakietu kontrolnego, a także (2) zawieramy umowę transferu danych, która określa zasady i warunki, na jakich dane osobowe mogą zostać ujawnione, a także odpowiednie zobowiązania naszej firmy i strony trzeciej. Jeśli rolą strony trzeciej jest nabycie całości lub części działalności naszej firmy, przed udostępnieniem jakichkolwiek danych osobowych w związku ze zbyciem jakiejkolwiek części działalności naszej firmy (1) zawieramy umowę transferu danych, która określa zasady i warunki, na jakich dane osobowe mogą zostać przekazane nabywcy, w tym stosowne ograniczenia dotyczące dozwolonego wykorzystania danych osobowych i zgodności ze standardem ustanowionym przez niniejszą politykę oraz obowiązujące prawo, (2) dokonujemy przeglądu wszystkich elementów danych o osobach fizycznych przed ich udostępnieniem w celu oceny spełnienia wymogów udostępnienia, (3) uzyskujemy zgodę na udostępnienie danych osobowych i informacji wrażliwych zgodnie z zasadami ograniczenia przejrzystości i celowości niniejszej polityki oraz (4) wymagamy od stron trzecich powiadamiania naszej firmy o wszelkich incydentach związanych z ochroną prywatności w tym wszelkiej niezdolności do przestrzegania standardów ustanowionych przez niniejszą politykę oraz obowiązujące prawo oraz współpracy w celu niezwłocznej naprawy stwierdzonego incydentu lub zakończenia przetwarzania związanych z nim danych osobowych. (3) Przekazujemy dane osobowe poza granice kraju, w tym do Stanów Zjednoczonych, poprzez lub w imieniu naszej firmy zgodnie z niniejszą polityką. Będziemy stosować niniejszą politykę do przekazywania danych osobowych z jakiegokolwiek innego kraju lub terytorium, gdzie obowiązuje prawo ograniczające transfer danych osobowych oprócz przestrzegania wszelkich wymogów prawnych nakładanych przez takie prawo (w tym wykorzystania wszelkich mechanizmów wymaganych do transferów transgranicznych).
   8. Prawnie dopuszczalne – przetwarzamy dane osobowe tylko, jeśli zostały spełnione wymogi określone w przepisach prawa.	Pomimo tego, że pozostałych 7 zasad dotyczących ochrony prywatności, a także wymogi praw osób fizycznych opisane poniżej mają na celu zapewnienie, by wymagania większości przepisów dotyczących prywatności i ochrony danych, które odnoszą się do naszej działalności na całym świecie, zostały spełnione, w niektórych krajach musimy spełniać dodatkowe wymagania, w tym bez ograniczeń następujące: 1) W razie potrzeby uzyskamy określone formy zgody na konkretne przetwarzanie danych osobowych, w tym bez ograniczeń zatwierdzenia przetwarzania przez rady pracownicze i inne związki zawodowe; 2) W razie potrzeby zarejestrujemy przetwarzanie danych osobowych w odpowiednim organie regulacyjnym zajmującym się prywatnością lub ochroną danych lub pozyskamy zgodę takiego organu; 3) W razie potrzeby zapewnimy szersze prawa (na przykład do dostępu i korekty danych) niż te określone w niniejszej polityce; 4) W razie potrzeby będziemy dalej redukować okresy przechowywania danych osobowych; 5) W razie potrzeby będziemy zawierać umowy obejmujące konkretne klauzule, w tym umowy dotyczące transgranicznego transferu danych do podmiotów trzecich; 6) W razie potrzeby będziemy ujawniać dane osobowe w odpowiedzi na zgodne z prawem żądania organów publicznych, w tym w celu spełnienia wymogów bezpieczeństwa narodowego lub organów ścigania. W przypadku konfliktu między niniejszą polityką a obowiązującym prawem rozstrzygające są przepisy, które zapewniają większą ochronę osobom fizycznym.

2. Będziemy niezwłocznie rozpatrywać wnioski osób fizycznych o przyznanie prawa do dostępu, zmiany, korekty lub usunięcia danych osobowych, do wniesienia sprzeciwu wobec przetwarzania ich danych osobowych lub realizacji innych praw dotyczących ich informacji osobowych.`
   1. Dostęp, korekta, usuwanie i inne prawa – zgodnie z przepisami prawa w większości krajów, w których prowadzimy działalność, osoby fizyczne mają prawo dostępu do swoich danych osobowych, a także do zmiany, korekty lub usunięcia tych danych, które są niedokładne, niepełne lub nieaktualne. Będziemy honorować wszystkie wnioski o udzielenie dostępu, korektę i usunięcie danych osobowych od wszystkich osób fizycznych zgodnie z pkt. 3a poniżej. Jeżeli wniosek o udzielenie dostępu, korektę lub usunięcie jest regulowany przez obowiązującą ustawę, która zapewnia większą ochronę osób fizycznych, zapewnimy, by zostały spełnione dodatkowe wymogi tej ustawy. W niektórych krajach osoby mogą posiadać inne prawa względem dotyczących ich informacji osobowych, takie jak prawo do ograniczenia przetwarzania, sprzeciwu wobec przetwarzania (patrz również punkt 2b poniżej) oraz przesłania swoich danych do innego dostawcy usług. Umożliwimy im realizację praw dotyczących danych zgodnie z przepisami obowiązującego prawa. Niektóre prawa, takie jak usunięcie może być ograniczone zgodnie z innymi wymogami regulacyjnymi lub konieczność przestrzegania lokalnych sprawozdawczości w zakresie zgodności, w takim przypadku będziemy informować Pana/Panią o tych ograniczeniach, zgodnie z obowiązującymi przepisami.
   2. Wybór – zgodnie z naszymi wartościami dotyczącymi prywatności jak „szacunek” i „zaufanie” honorujemy wnioski osób fizycznych, w których sprzeciwiają się przetwarzaniu danych osobowych, w tym bez ograniczeń, wnioski o rezygnację z programów lub działań, na udział w których wcześniej wyraziły zgodę, przetwarzanie ich danych osobowych w celu bezpośredniej komunikacji marketingowej, komunikacji skierowanej do nich w oparciu o ich dane osobowe, a także wszelkich ocen lub decyzji ich dotyczących, które mogą na te osoby znacząco wpłynąć oraz które zostały dokonane przez nas z wykorzystaniem automatyzacji i algorytmów
      1. i. Z wyjątkiem przypadków, w których jest to zabronione przez prawo, możemy odmówić pozytywnego rozpatrzenia wniosku, jeżeli dany wniosek będzie utrudniać naszej firmie: (1) stosowanie się do przepisów prawnych lub zobowiązań o charakterze etycznym, w tym w sytuacjach, w których jesteśmy zobowiązani do ujawnienia danych osobowych w odpowiedzi na zgodne z prawem żądania organów publicznych, w tym w celu spełnienia wymogów bezpieczeństwa narodowego lub organów ścigania (2) prowadzenie dochodzeń oraz dochodzenie roszczeń prawnych, a także obronę przed nimi, (3) realizację umów, zarządzanie relacjami bądź prowadzenie innej działalności biznesowej zgodnej z Zasadami ograniczenia przejrzystości i celowości oraz podjętej w oparciu o przedmiotowe dane osobowe. W ciągu piętnastu dni roboczych od każdej decyzji o odmowie wniosku zgodnie z niniejszą polityką udokumentujemy i przedstawimy taką decyzję osobie wnioskującej.
3. Będziemy natychmiast odpowiadać oraz przekazywać na wyższy szczebel wszystkie pytania związane z prywatnością, skargami, obawami oraz możliwymi Incydentami dotyczącymi prywatności i bezpieczeństwa.
   1. Każda osoba fizyczna, której dane osobowe przetwarzamy w ramach niniejszej polityki, może kierować pytania, skargi lub obawy do naszej firmy w dowolnym czasie, w tym również wniosek o wykaz wszystkich podmiotów zależnych naszej firmy, które podlegają niniejszej polityce. Oczekujemy, że nasi pracownicy i inne osoby, które działają w imieniu naszej firmy, niezwłocznie nas powiadomią, jeśli będą mieć powody, by uważać, że przepisy obowiązującej ustawy mogą ograniczać ich w przestrzeganiu zasad niniejszej polityki. Wszelkie pytania, skargi lub obawy zgłoszone przez osobę fizyczną lub jakiekolwiek powiadomienie od pracownika lub innej osoby, która działa w imieniu naszej firmy, powinny być kierowane do Globalnego Biura ds. Ochrony Prywatności:
      1. E-mailem dla osób przebywających na terenie Europejskiego obszaru gospodarczego (EOG) na adres: euprivacydpo@msd.com
      2. W przeciwnym wypadku e-mailem na adres: msd_privacy_office@msd.com
      3. Pocztą na adres: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
   2. Pracownicy i wykonawcy są zobowiązani do niezwłocznego informowania Globalnego Biura ds. Ochrony Prywatności MSD lub wyznaczonego Pracownika ds. Ochrony Prywatności dla ich obszaru działalności o wszelkich pytaniach, skargach lub obawach związanych z polityką prywatności naszej firmy.
   3. Globalne Biuro ds. Ochrony Prywatności MSD dokona przeglądu oraz przeprowadzi dochodzenie lub razem z Biurem Etyki, Działem Prawnym i/lub Działem Zgodności z Przepisami będzie pracować w celu zbadania wszelkich pytań, skarg lub obaw dotyczących zasad ochrony prywatności naszej firmy, uzyskanych bezpośrednio od pracowników, innych osób lub osoby trzeciej, w tym bez ograniczeń agencji regulacyjnych, agentów ds. odpowiedzialności za ochronę prywatności oraz innych instytucji rządowych. Będziemy odpowiadać na pytania, skargi oraz wątpliwości przedstawione przez osoby fizyczne lub prawne w ciągu trzydziestu (30) dni kalendarzowych, chyba że zgodnie z przepisami bądź żądaniem wnioskodawcy będącego osobą trzecią wymagane jest udzielenie odpowiedzi w krótszym czasie, bądź ze względu na okoliczności niezbędny jest dłuższy okres – w takim przypadku należy odpowiednio powiadomić zainteresowaną osobę fizyczną lub wnioskodawcę będącego osobą trzecią na piśmie w możliwie najkrótszym czasie o ogólnym charakterze okoliczności mających wpływ na opóźnienie.
   4. Globalne Biura ds. Ochrony Prywatności MSD w koordynacji z Działem Prawnym oraz Działem Zgodności z Przepisami będą współpracować w odpowiedzi na wszelkie zapytania, kontrole oraz dochodzenia organu regulacyjnego w zakresie ochrony prywatności.
   5. W przypadku skarg, które nie mogą być rozwiązane pomiędzy naszą firmą a osobą fizyczną, która złożyła skargę, nasza firma zgodziła się wziąć udział w następujących procedurach rozwiązywania sporów w ramach dochodzenia i rozpatrywania skarg w celu rozwiązania sporów wynikających z zasad niniejszej polityki. Jednakże osoby fizyczne zamieszkałe w krajach EOG lub osoby fizyczne, których dane osobowe są objęte ustawą o ochronie danych EOG i przekazywane poza EOG, mogą również w każdej chwili powołać się na poniższą regulację 3.f.:
      1. W przypadku skarg dotyczących przekazywania danych osobowych związanych z działalnością kadrową w kontekście stosunku pracy ze strony EOG i Zjednoczonego Królestwa do Stanów Zjednoczonych, nasza firma zobowiązuje się współpracować z odpowiednim panelem nadzoru nad organami ochrony danych w UE i Wielkiej Brytanii.
      2. W sporach dotyczących danych osobowych otrzymanych przez naszą firmę ze Szwajcarii nasza firma zgodziła się na współpracę ze szwajcarskim Federalnym Komisarzem Ochrony Danych i Informacji (FDPIC).
      3. W przypadku sporów dotyczących przekazywania danych osobowych zgodnie z naszą firmą zgodnie z polityką współpracy gospodarczej Azji i Pacyfiku („APEC”) transgraniczne przepisy dotyczące prywatności („CBRs”) obowiązujące w gospodarkach APEC, nasza firma zgodziła się na rozstrzyganie sporów przez naszego agenta odpowiedzialności, programy krajowe BBB. Aby uzyskać więcej informacji na temat zakresu naszego udziału, lub przesłać zapytanie dotyczące prywatności za pośrednictwem programów krajowych BBB, kliknij oficjalną pieczęć znajdującą się na dole tej strony.
      4. W przypadku sporów dotyczących przekazywania danych osobowych związanych z działaniami niezwiązanymi z zasobami ludzkimi za pośrednictwem EU-USA. (DPF) zawartego między UE a USA, brytyjskiego rozszerzenia DPF i zawartego między Szwajcarią a USA programu Data Privacy Framework zawartego między UE a USA, nasza firma zgodziła się na rozstrzyganie sporów (bezpłatnie) przez niezależny mechanizm rozstrzygania sporów, Data Privacy Framework Services, obsługiwany przez programy krajowe BBB. Jeśli nie otrzymasz reklamacji w odpowiednim czasie lub jeśli skarga nie zostanie uwzględniona w sposób zadowalający, należy odwiedzić stronę https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers, aby uzyskać więcej informacji i złożyć skargę.
      5. W przypadku wszelkich sporów wynikających z programu (DPF) zawartego między UE a USA, brytyjskiego rozszerzenia DPF i zawartego między Szwajcarią a USA Data Privacy Framework zawartego między UE a USA, które nie zostały rozwiązane w drodze kroków opisanych w tym punkcie, osoby fizyczne mają możliwość powołania się na wiążący arbitraż w odniesieniu do niektórych pozostałych roszczeń, które nie zostały rozstrzygnięte przez inne mechanizmy dochodzenia roszczeń. Zob. https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2.
   6. Wszystkie osoby zamieszkujące na terenie EOG lub osoby, których dane osobowe są objęte ustawą o ochronie danych EOG i zostały przekazane poza EOG oraz są przetwarzane zgodnie z niniejszą polityką, mają prawo na mocy niniejszej polityki w dowolnym czasie egzekwować wymagania niniejszej polityki jako beneficjenci osób trzecich, w tym prawo do wniesienia powództwa sądowego w celu wystąpienia o zadośćuczynienie za naruszenie ich praw wynikających z niniejszej polityki (określonych w punkcie 2 powyżej) oraz prawo do otrzymania rekompensaty za szkody wynikające z takiego naruszenia. Osoby zamieszkałe w EOG lub osoby, których dane osobowe są objęte ustawą o ochronie danych EOG i zostały przekazane poza EOG (dla jasności także do USA), mogą wnieść roszczenie lub skargę na podstawie niniejszej polityki przeciwko jednostce zależnej odpowiedzialnej za eksport danych osobowych z EOG: przed:
      1. Jurysdykcją podmiotu przekazującego dane znajdującego się na terenie EOG, lub
      2. Jurysdykcją kraju, w którym znajduje się nasz Europejski Inspektor ochrony danych, lub
      3. Właściwymi organami ochrony danych (w szczególności w Państwie Członkowskim, w którym znajduje się jego miejsce zwykłego pobytu, miejsce pracy lub miejsce domniemanego naruszenia), lub
      4. Nasze organy nadzorujące ochronę danych, które Poinstruowały naszą BCR: Francuski CNIL.
   7. Nasza firma odpowie na pytania, skargi lub wątpliwości przedstawione przez osoby fizyczne lub prawne w ciągu trzydziestu (30) dni kalendarzowych, chyba że zgodnie z przepisami bądź żądaniem wnioskodawcy będącego podmiotem trzecim wymagane jest udzielenie odpowiedzi w krótszym czasie, bądź ze względu na okoliczności niezbędny jest dłuższy okres – w takim przypadku należy odpowiednio powiadomić zainteresowaną osobę fizyczną lub wnioskodawcę będącego podmiotem trzecim na piśmie.
4. Jesteśmy odpowiedzialni za podtrzymywanie naszych wartości i standardów ochrony prywatności.
   1. Podmiot zależny naszej firmy odpowiedzialny za działania, które są powodem wykazanego Incydentu dotyczącego prywatności lub bezpieczeństwa jest finansowo odpowiedzialny za wszelkie roszczenia o odszkodowanie lub kary bądź grzywny wynikające z takiego Incydentu.
      1. We współpracy z oraz pod kierownictwem Globalnego Biura ds. Ochrony Prywatności, Europejski Inspektor ochrony danych jest odpowiedzialne za zapewnienie niezbędnych działań w celu wyeliminowania wszelkich domniemanych naruszeń niniejszej polityki przez podmioty zależne naszej firmy poza EOG, które mają wpływ na osoby zamieszkałe na terenie EOG lub osoby, których dane osobowe są objęte ustawą o ochronie danych osobowych EOG i przekazywane poza EOG, oraz, w razie potrzeby, za zapłatę grzywny, kary lub odszkodowania zasądzonego za naruszenie niniejszej polityki dotyczącej osób zamieszkałych w krajach EOG lub osób, których dane osobowe są objęte ustawą o ochronie danych EOG i przekazywane poza EOG. We współpracy z Globalnym Biurem ds. Ochrony Prywatności MSD oraz podmiotem zależnym naszej firmy poza EOG, odpowiedzialnym za domniemane naruszenie, MSD Europe jest odpowiedzialne za wykazanie, że nasza firma nie ponosi odpowiedzialności za domniemane naruszenie. Gdy inny podmiot zależny naszej firmy jest odpowiedzialny za działania, które są powodem nałożenia grzywny, kary lub przyznania odszkodowania, wówczas taki podmiot zależny może być zobowiązany do niezwłocznego zwrotu MSD Europe każdej kwoty zapłaconej przez MSD Europe. W przypadku gdy podmiot zależny naszej firmy mający swoją siedzibę poza terytorium EOG naruszy niniejszą politykę, będzie podlegać jurysdykcji sądów i organów ochrony danych na terytorium EOG, a dotknięta osoba będzie w posiadaniu praw i środków prawnych względem MSD Europe określonych w punkcie 3.f. powyżej.
      2. We współpracy z kierownictwem biura ds. ochrony prywatności Merck i pod jego nadzorem Merck Sharp & Dohme LLC jest odpowiedzialna za zapewnienie niezbędnych działań w celu zajęcia się kwestią wszelkich domniemanych naruszeń niniejszej polityki, które mają wpływ na osoby fizyczne spoza EOG, oraz, w razie potrzeby, za zapłatę grzywny, kary lub odszkodowania zasądzonego za naruszenie niniejszej polityki dotyczącej osób zamieszkałych poza EOG lub osób, których dane osobowe nie są objęte ustawą o ochronie danych EOG. Gdy inny podmiot zależny naszej firmy jest odpowiedzialny za działania, które są powodem nałożenia grzywny, kary lub przyznania odszkodowania, wówczas taki podmiot zależny może być zobowiązany do niezwłocznego zwrotu Merck Sharp & Dohme Corp. każdej kwoty zapłaconej przez Merck Sharp & Dohme Corp.

Nadzorowanie i monitorowanie

W celu zapewnienia gwarancji dla organów regulacyjnych i innych zainteresowanych stron, że nasza firma jest odpowiedzialna za swoje zaangażowanie na rzecz etycznego i odpowiedzialnego zachowania poufności informacji, firma utrzymuje szeroką grupę zarządzania nadzorem i monitorowaniem, kierowaną przez Dyrektora ds. Ochrony Prywatności wraz z dedykowanym Globalnym Biurem Ochrony Prywatności (GPO), przydzielonym przez UE Inspektorem ochrony danych, krajowym Inspektorem ochrony danych, gdy wymaga tego prawo lub miejscowe władze, oraz Pracownikami ds. Ochrony Prywatności, którzy są powoływani przez starszą kadrę kierowniczą i pracują jako łącznicy między Globalnym Biurem ds. Ochrony Prywatności MSD a obszarami organizacyjnymi, w których pracują.

Nasza firma będzie polegać na Agentach ds. Odpowiedzialności za Ochronę Prywatności, wobec których jest ona zobowiązana okresowo weryfikować swoją zgodność z wymogami niniejszej polityki oraz prawa, w tym z Zasadami Transgranicznej Ochrony Prywatności (CBPR) Wspólnoty Gospodarczej Azji i Pacyfiku (APEC).

Oprócz ocen gwarancji przeprowadzanych przez Globalne Biuro ds. Ochrony Prywatności MSD zespoły ds. wewnętrznego i zewnętrznego audytu oraz gwarancji będą prowadzić oceny zgodności, aby potwierdzić, że MSD przestrzega postanowień niniejszej polityki, w tym wszelkich polityk, procedur, standardów i wytycznych podrzędnych względem niniejszej polityki. Zostaną opracowane i wdrożone plany działań naprawczych i profilaktycznych, aby zapełnić luki zaobserwowane przez zespoły ds. audytu i gwarancji. Wyniki Programu audytu zostaną podane do wiadomości przez Głównego inspektora ds. prywatności oraz Radę prywatności i ochrony danych, którzy są odpowiedzialni za sprawozdanie wyników zgodnie z opisem zawartym w niniejszej polityce.

Organy ochrony danych i prywatności, które zatwierdziły niniejszą politykę lub które posiadają jurysdykcję nad praktykami naszej firmy w ramach niniejszej polityki, mają prawo do weryfikacji naszej zgodności z nią. Będziemy przestrzegać porad tych organów w odniesieniu do interpretacji i stosowania niniejszej polityki.

Pojęcia, które należy znać

• Anonimowe Pojęcie „anonimowe” oznacza, iż dane osobowe zostały zmienione, skrócone, usunięte lub w inny sposób przeredagowane lub zmodyfikowane, nieodwracalnie uniemożliwiając identyfikację lub lokalizację danych osób fizycznych bądź kontakt z nimi, wykorzystane samodzielnie lub w połączeniu z innymi informacjami.
• PrawoWszystkie obowiązujące przepisy prawne, zasady oraz opinie mające moc prawną w każdym kraju, w którym nasza firma prowadzi działalność lub w którym dane osobowe są przetwarzane przez lub w imieniu naszej firmy. Dotyczy wszystkich ram polityki prywatności, zgodnie z którymi nasza firma została zatwierdzona lub certyfikowana, w tym Wiążących Reguł Korporacyjnych (BCR) w UE, Wspólnoty Gospodarczej Azji i Pacyfiku (APEC), Zasad Transgranicznej Ochrony Prywatności (CBPR), programu (DPF) zawartego między UE a USA, brytyjskiego rozszerzenia DPF i zawartego między Szwajcarią a USA Data Privacy Framework — podlegających uprawnieniom dochodzeniowym i wykonawczym Federalnej Komisji Handlu USA.
• Nasza firma Merck & Co., Inc. (Rahway, NJ, USA), jej następcy, jednostki zależne oraz oddziały na całym świecie z wyjątkiem spółek typu joint venture, których udziałowcem jest firma Merck.
• Dane osobowe Wszelkie dane dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, w tym dane identyfikujące osobę fizyczną lub które mogłyby być wykorzystane do identyfikacji, ustalenia lokalizacji, śledzenia lub kontaktu z osobą fizyczną. Dane osobowe to zarówno informacje identyfikujące bezpośrednio, takie jak imię i nazwisko, numer identyfikacyjny lub unikalne stanowisko, jak również informacje identyfikujące pośrednio, takie jak data urodzenia, unikalny identyfikator urządzenia mobilnego, numer telefonu oraz zakodowane dane, a także identyfikatory internetowe, takie jak adresy IP.
• Naruszenie prywatności. Naruszenie niniejszej polityki lub przepisów prawnych dotyczących prywatności lub ochrony danych, obejmujące incydent dotyczący bezpieczeństwa. Decyzje w zakresie tego, czy miał miejsce incydent dotyczący prywatności, a także, czy miał on charakter materialny, podejmuje Globalne Biuro ds. Ochrony Prywatności, dział zarządzania ryzykiem i bezpieczeństwa technologii informatycznych (Information Technology Risk Management and Security, ITRMS) oraz Biuro Głównego Radcy Prawnego.
• Przetwarzanie Wykonywanie dowolnych operacji lub zestawu operacji na danych osobowych przy pomocy metod automatycznych i manualnych, na przykład gromadzenie, rejestrowanie, organizowanie, przechowywanie, uzyskiwanie dostępu, przerabianie, zmienianie, wyszukiwanie, konsultowanie, wykorzystywanie, ujawnianie, rozpowszechnianie, przekazywanie, udostępnianie, grupowanie, łączenie, blokowanie, usuwanie lub niszczenie.
• Incydent dotyczący bezpieczeństwaNaruszenie bezpieczeństwa prowadzące do przypadkowego lub bezprawnego zniszczenia, utraty, zmiany, nieupoważnionego ujawnienia lub dostępu do informacji osobowych; lub uzasadnione podejrzenie naszej firmy w tej sprawie. Dostęp do danych osobowych przez lub w imieniu naszej firmy bez zamiaru naruszenia niniejszej polityki nie stanowi incydentu dotyczącego bezpieczeństwa pod warunkiem, że dane, do których uzyskano dostęp, są następnie wykorzystywane i ujawniane wyłącznie w sposób dozwolony przez niniejszą politykę.
• Informacje wrażliwe. Wszelkiego rodzaju informacje na temat osób, które niosą ze sobą ryzyko wystąpienia ewentualnych szkód dla osób fizycznych, w tym informacje określone przez prawo jako wrażliwe, między innymi informacje związane ze zdrowiem, genetyką, rasą, pochodzeniem etnicznym, religią, poglądami politycznymi, poglądami filozoficznymi, przekonaniami, karalnością, dokładne dane geolokalizacyjne, bankowe lub numery innych kont finansowych, numery identyfikacyjne wydane przez rząd, informacje o dzieciach, które są małoletnie, życiu seksualnym, przynależności związkowej, ubezpieczeniu, ubezpieczeniu społecznym i innych świadczeniach od pracodawcy lub rządu.
• Podmiot trzeci. Każdy podmiot prawny, stowarzyszenie lub osoba, która nie należy do naszej firmy lub w których nasza firma nie posiada pakietu kontrolnego, lub która nie jest zatrudniona w naszej firmie. Z wyjątkiem przypadków wyraźnie określonych w niniejszej polityce, żaden podmiot zależny lub oddział naszej firmy nie jest zobowiązany do spełnienia wymagań osób trzecich w ramach niniejszej polityki, ponieważ wszystkie podmioty zależne lub oddziały są zobowiązane do przetwarzania informacji o osobach zgodnie z niniejszą polityką. Dotyczy to także przypadków, kiedy jeden z naszych podmiotów zależnych wspiera inny podmiot zależny lub więcej podmiotów zależnych naszej firmy w przetwarzaniu danych.

Zmiany niniejszej polityki

Niniejsza polityka może być okresowo zmieniana zgodnie z wymogami obowiązującego prawa. Na stronie internetowej naszej firmy dotyczącej ochrony prywatności (www.www.msdprivacy.com) przez 60 dni będzie publikowane powiadomienie, w przypadku gdy treść niniejszej polityki zostanie zmieniona w istotny sposób.