POLITICA GLOBALĂ PRIVIND REGULILE DE CONFIDENŢIALITATE TRANSFRONTALIERĂ

Data revizuirii: 1 septembrie 2023
Data intrării în vigoare: 1 septembrie 2023

Ne străduim să ne desfășurăm activitatea în conformitate cu valorile noastre în ceea ce privește confidențialitatea deoarece considerăm că acestea sunt o dovadă a angajamentului nostru ferm față de practicile etice și responsabile. Admitem că inovația și noua tehnologie implică evoluții permanente în materie de riscuri, așteptări și legislație, context în care respectăm standardele de responsabilitate în ceea ce privește confidențialitatea și avem drept scop adaptarea cu promptitudine a modului de aplicare a acestor standarde ca răspuns la schimbările menționate.

Această politică definește standardele noastre globale de gestionare și protecție a informațiilor cu caracter personal de către sau în numele companiei noastre, indiferent de țara din care provin sau în care pot fi transferate datele cu caracter personal. Aceasta descrie angajamentele noastre de bază care susțin conformitatea cu certificarea normelor noastre de confidențialitate APEC, regulile corporative obligatorii („BCR”), care au fost aprobate în Uniunea Europeană și autocertificarea noastră pentru acordul UE-SUA privind Cadrul de confidențialitate a datelor (DPF), extensia pentru Regatul Unit la DPF și programul Cadrului Elveția-SUA de confidențialitate a datelor.

Compania noastră respectă prevederile UE-SUA Programul Cadrului de confidențialitate a datelor (UE-SUA DPF), extensia la DPF pentru DPF UE-SUA și Cadrului Elveția-SUA de confidențialitate a datelor (Elveția-SUA DPF), conform prevederilor Departamentului de Comerț al SUA. Am certificat Departamentului de Comerț al S.U.A. că aderăm la Acordul UE-SUA privind Cadrul de confidențialitate a datelor (Principiile DPF UE-SUA ) în ceea ce privește prelucrarea datelor cu caracter personal primite de la Uniunea Europeană în baza principiilor UE-SUA. DPF și din Regatul Unit (și Gibraltar) în baza extensiei pentru Regatul Unit a DPF UE-SUA . Am certificat Departamentului de Comerț al S.U.A. că aderăm la Acordul Elveția-SUA privind Cadrul de confidențialitate a datelor (Principiile DPF Elveția-SUA ) în ceea ce privește prelucrarea datelor cu caracter personal primite din Elveția în baza DPF Elveția-SUA . Dacă există vreun conflict între termenii din această politică și Principiile DPF UE-SUA și/sau Principiile DPF Elveția-SUA , principiile vor avea prioritate. Pentru a afla mai multe despre programul Cadrului de confidențialitate a datelor (DPF) și pentru a vizualiza certificarea noastră, vizitați https://www.dataprivacyframework.gov/.

Această Politică se aplică operațiunilor noastre din fiecare țară, oricăror activități care implică informații despre persoane și pe care le derulăm în fiecare filială și în fiecare divizie (chiar și prin orice succesori ai afacerii noastre), inclusiv, dar fără a se limita la activitățile de cercetare, producție, comerciale, de sprijin corporativ și la servicii și soluții de asistență medicală, precum și transferurile de date necesare pentru a efectua aceste activități, inclusiv, dar fără a se limita la:

• Cercetare și fabricație: evaluarea nevoilor și oportunităților de inovare în domeniul medical și al sănătății; inițierea, gestionarea și finanțarea studiilor de cercetare; evaluarea și implicarea cercetătorilor, a membrilor comitetelor științifice și de etică și a partenerilor de afaceri pentru a sprijini studiile noastre de cercetare și dezvoltarea produselor noastre; recrutarea pentru studiile de cercetare; evaluarea siguranței, eficacității și calității produselor noastre experimentale și comercializate; respectarea obligațiilor privind siguranța și calitatea produselor, inclusiv manipularea și raportarea reacțiilor adverse și a reclamațiilor privind calitatea produselor; depunerea pentru aprobare și înregistrare a produselor noastre la autoritățile de reglementare din domeniul sănătății și respectarea cerințelor legale, de reglementare sau etice asociate;
• Activități comerciale: analiza piețelor pentru produsele noastre; publicitatea, marketingul, vânzarea, distribuirea și livrarea produselor noastre; comunicarea și relaționarea cu clienții cadre medicale, cu plătitorii de servicii medicale, cu pacienții și alți utilizatori finali ai produselor noastre, precum și cu persoanele care îi îngrijesc pe cei care folosesc produsele noastre; sponsorizarea și organizarea de evenimente; evaluarea și implicarea partenerilor de afaceri în sprijinirea activităților noastre comerciale și respectarea cerințelor legale, de reglementare sau etice asociate;
• Sprijin pentru corporație: recrutarea, angajarea, gestionarea, dezvoltarea, comunicarea cu angajații, precum și compensarea acestora; administrarea de beneficii pentru angajați și pentru persoanele aflate în întreținerea lor; efectuarea de analize de performanță și talent în rândul angajaților; furnizarea de servicii de formare și alte programe de învățare și dezvoltare; derularea de proceduri disciplinare și revendicative în ceea ce îi privește pe angajați; gestionarea eticii și a preocupărilor legate de confidențialitate și efectuarea de investigații; gestionarea și securizarea activelor noastre fizice și virtuale și a infrastructurii; procurarea și plata bunurilor și serviciilor; respectarea angajamentelor noastre în domeniul protecției mediului, al sănătății și siguranței, precum și al celor de responsabilitate corporativă; relaționarea cu mass-media și respectarea cerințelor legale, de reglementare sau etice asociate.

Prezenta politică se aplică, totodată, tuturor persoanelor ale căror informații le prelucrăm, inclusiv, dar fără a se limita la cadre medicale și alți clienți pe care îi avem; potențiali, actuali și foști angajați, precum și persoanele aflate în întreținerea lor, pacienți, îngrijitori, cercetători și participanți la studii de cercetare, membri ai comitetelor științifice și de etică, parteneri de afaceri, investitori și acționari, oficiali guvernamentali și alte părți interesate.

Toți angajații companiei și managerii de top au responsabilități de bază în ceea ce privește confidențialitatea, pe care trebuie să le respecte.

Admitem faptul că erorile involuntare și judecățile greșite legate de protecția informațiilor despre persoane pot genera riscuri de confidențialitate pentru persoane fizice și riscuri reputaționale, operaționale, financiare și de conformitate pentru compania noastră. Vom instrui corespunzător, cu privire la această politică, toti angajații noștri, precum și alți membri ai personalului care au acces permanent sau regulat la datele cu caracter personal, care sunt implicați în colectarea datelor sau în dezvoltarea instrumentelor utilizate pentru a prelucra datele cu caracter personal. Toți angajații noştri, precum și terții care prelucrează informații despre persoane pentru compania noastră, sunt responsabili pentru înțelegerea și respectarea obligațiilor care le revin în temeiul prezentei politici și al legislației aplicabile.

Valorile și standardele noastre în ceea ce privește confidențialitatea

Respectăm valorile noastre privind confidențialitatea în toate activitățile care implică oameni, inclusiv în modul de aplicare a standardelor noastre în domeniul confidențialității. Cele patru valori ale noastre de confidențialitate sunt:

Respect	Încredere	Prevenirea prejudiciilor	Conformitate
Admitem faptul că preocupările legate de confidențialitate se referă adesea la cine suntem noi în esență, la modul în care privim lumea și la modul în care ne definim, motiv pentru care ne străduim să respectăm perspectivele și interesele indivizilor și comunităților și să fim corecți și transparenți în utilizarea și schimbul de informații despre aceștia.	Suntem conștienți că încrederea este vitală pentru succesul nostru și de aceea ne străduim să construim și să menținem încrederea clienților, a angajaților și a pacienților noștri, precum și a altor părți interesate, în ceea ce privește modul în care le respectăm dreptul la confidenţialitate și le protejăm informațiile personale.	Înțelegem că utilizarea abuzivă a informațiilor personale poate genera prejudicii, atât tangibile, cât și intangibile, pentru persoanele fizice, motiv pentru care vom încerca să prevenim prejudiciile de ordin fizic, financiar, reputațional sau de altă natură pentru cei în cauză.	În timp am învățat că legile și reglementările nu pot ține întotdeauna pasul cu schimbările rapide în ceea ce privește tehnologia, fluxurile de date și schimburile asociate în raport cu riscurile și așteptările privind confidențialitatea, de aceea ne străduim să respectăm spiritul și litera legilor și reglementărilor privind confidențialitatea și protecția informațiilor, într-o manieră care să determine coerență și eficiență operațională pentru activitatea noastră comercială la nivel mondial.

1. Integrăm standardele noastre privind confidențialitatea în toate activitățile, procesele, tehnologiile și relațiile cu terții care utilizează date cu caracter personal. Proiectăm controale privind confidențialitatea în cadrul proceselor și tehnologiilor noastre, controale care sunt în concordanță cu valorile și standardele noastre privind confidențialitatea, precum și cu legislația aplicabilă în domeniu. Cele 8 principii ale noastre privind confidențialitatea prezentate mai jos rezumă standardele noastre de confidențialitate și cerințele de bază pentru procesele, activitățile și tehnologiile de asistență la un nivel ridicat.

   Principiu privind confidențialitatea	Angajamentele noastre de bază
   1. Necesitatea – înainte de colectarea, utilizarea sau schimbul de date cu caracter personal, vom defini și documenta scopurile de afaceri specifice, legitime, pentru care aceste informații sunt necesare.	Stabilim și documentăm cât de mult timp sunt necesare datele cu caracter personal în scopurile de afaceri definite și cerințele legale aplicabile. Nu colectăm, nu utilizăm și nu partajăm mai multe date cu caracter personal decât este necesar și nici nu le păstrăm într-o formă identificabilă mai mult timp decât este nevoie pentru scopurile de afaceri definite și pentru cerințele legale aplicabile. Anonimizăm informațiile atunci când cerințele de afaceri impun ca datele despre activități sau procese să fie păstrate pentru o perioadă mai lungă de timp. Ne asigurăm că aceste cerințe de necesitate sunt incluse în orice tehnologie de asistență și că ele sunt comunicate terților care susțin activitatea sau procesul.
   2. Corectitudinea – nu prelucrăm date cu caracter personal în moduri care ar putea fi considerate incorecte față de persoanele la care se referă aceste informații.	Stabilim dacă colectarea, utilizarea sau alte prelucrări de date cu caracter personal propuse prezintă un risc probabil și/sau sever de vătămare tangibilă sau intangibilă a indivizilor, în conformitate cu valoarea noastră de confidențialitate pentru a preveni vătămările. Dacă natura datelor, tipurile de persoane sau activitatea prezintă un risc probabil și/sau sever de vătămare tangibilă sau intangibilă a persoanelor, ne asigurăm că riscul de vătămare este depășit de un beneficiu corespunzător pentru acele persoane sau pentru misiunea noastră de salvare și îmbunătățire a vieților, și atenuată de măsurile, garanțiile și mecanismele pe care le-am pus în aplicare. În cazurile în care riscul pare să depășească beneficiile pentru persoane fizice, aplicăm cele mai relevante măsuri de securitate și protecție, informăm persoanele de acest fapt și căutăm sfatul autorității de reglementare competente atunci când este posibil. Procesăm informații sensibile numai cu consimțământul explicit al persoanelor, după cum este solicitat în mod expres sau permis în mod expres de legea aplicabilă, În cazurile în care riscul pare a fi mai mare decât beneficiile pentru persoane, documentăm analiza de risc și concepem orice mecanisme necesare pentru minimizarea riscurilor cât mai mult posibil.
   3. Transparența – nu prelucrăm date cu caracter personal în moduri sau în scopuri care nu sunt transparente.	Toate persoanele ale căror date cu caracter personal sunt prelucrate în conformitate cu prezenta politică au dreptul la o copie a prezentului document. Vom face copii ale acestei Politici disponibile online la https://www.msdprivacy.com/index.html. Biroul global de confidențialitate va furniza copii electronice și/sau pe hârtie ale acestei politici, la cerere, la adresele menționate mai jos. Atunci când datele cu caracter personal sunt colectate direct de la persoane fizice le informăm, înainte de colectarea informațiilor și printr-o notificare de confidențialitate clară, evidentă și ușor accesibilă sau prin mijloace similare, despre (1) entitatea sau entitățile companiei responsabile pentru procesarea acestora, (2) datele de contact ale responsabilului nostru de confidențialitate și/sau ale ofițerului de confidențialitate a datelor regionale/locale, (3) ce informații vor fi colectate, (4) scopurile pentru care vor fi utilizate (5) baza legală pentru procesarea noastră (6), cu cine vor fi partajate , inclusiv orice cerințe pentru divulgarea informațiilor cu caracter personal ca răspuns la solicitările legale emise de autoritățile guvernamentale (7) dacă și cum vom transfera datele cu caracter personal către alte țări, inclusiv țările relevante, atunci când este fezabil (8) cât timp vor fi păstrate sau criteriile prin care facem această determinare, (9) modul în care aceștia pot adresa o întrebare, să-și facă griji sau să își exercite drepturile legate de informațiile lor cu caracter personal (10) modul în care își pot retrage orice consimțământ pe care l-au furnizat (11) dreptul lor de a depune o plângere la o autoritate de supraveghere, (12) orice obligație de a furniza date cu caracter personal și consecințele de a nu face acest lucru (13) orice luare automată a deciziilor, inclusiv crearea de profiluri, pe care o vom efectua și (14) un link către această politică, dacă este posibil și adecvat. Notificările noastre cuprinzătoare privind confidențialitatea pentru multe dintre părțile interesate sunt disponibile online la http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html În situația în care datele cu caracter personal sunt obținute prin observare, senzori sau alte mijloace indirecte, ar putea să nu fie posibilă furnizarea unei notificări privind confidențialitatea direct către individ, în momentul colectării informațiilor. În astfel de cazuri, asigurăm transparența pentru persoanele fizice prin alte mijloace, cum ar fi postarea sau imprimarea pe dispozitivul sau materialele asociate cu dispozitivul care obține informațiile. În situația în care datele cu caracter personal sunt colectate prin intermediul unui site web, al unei aplicații mobile sau al altor aplicații sau resurse online, aplicăm standardele tehnologice specifice stabilite în Politica noastră privind confidențialitatea pe internet și în Angajamentul nostru privind confidențialitatea în cazul utilizării de cookies, pentru a asigura faptul că cerințele de a fi transparenți, în conformitate cu prezenta politică, au fost îndeplinite. În situația în care datele cu caracter personal sunt colectate din alte surse și nu în mod specific sub îndrumarea companiei noastre, anterior obținerii informațiilor, vom verifica în scris că furnizorul lor a informat persoanele fizice cu privire la modalităţile și scopurile în care compania noastră intenționează să utilizeze datele respective. Dacă nu se poate obține o verificare scrisă de la furnizorul informațiilor, utilizăm numai informații anonimizate sau înainte de a utiliza informații cu caracter personal, informăm persoanele afectate printr-o notificare de confidențialitate sau un mijloc similar despre (1) entitatea sau entitățile companiei noastre responsabile pentru procesarea informațiilor, (2) datele de contact ale responsabilului nostru de confidențialitate și/sau ale responsabilului regional/local privind protecția datelor, (3) ce informații intenționează să utilizeze compania noastră (4) scopurile pentru care compania noastră intenționează să le utilizeze, (5) baza legală pentru procesarea noastră (6) cu cine le va partaja compania noastră (7) dacă și cum vom transfera informațiile cu caracter personal către alte țări, inclusiv țările relevante, atunci când este posibil (8) cât timp intenționează compania noastră să le păstreze sau criteriile prin care facem această determinare, (9) modul în care aceștia pot adresa o întrebare, să-și facă griji sau să își exercite drepturile legate de informațiile lor cu caracter personal (10) modul în care își pot retrage orice consimțământ pe care l-au furnizat, (11) dreptul lor de a depune o plângere la o autoritate de supraveghere, (12) orice obligație de a furniza informații cu caracter personal și consecințele nerespectării acestui lucru, (13) orice luare automată a deciziilor, inclusiv crearea de profiluri, pe care o vom efectua, și (14) un link către această politică, acolo unde este posibil și adecvat. Ne asigurăm că mecanismele de transparență necesare, inclusiv, acolo unde este posibil, mecanismele care susțin cererile privind drepturile individuale, sunt proiectate în cadrul tehnologiilor de asistență și că terții care susțin activitatea sau procesele noastre nu prelucrează informații despre persoane în moduri care sunt incompatibile cu ceea ce li s-a comunicat acestor persoane, printr-o notificare de confidențialitate sau alte mijloace verificabile, însemnând ce noi și alte persoane care lucrează pentru noi vom face cu informațiile. Atunci când solicităm consimțământul, obținem și documentăm o dovadă de consimțământ în tehnologiile noastre de sprijin.
   4. Limitarea scopului – utilizăm datele cu caracter personal doar în conformitate cu principiile de transparență și necesitate.	Dacă sunt identificate noi scopuri legitime de afaceri pentru datele cu caracter personal care au fost colectate anterior, fie obținem consimțământul individului pentru noua utilizare a informațiilor cu caracter personal, fie asigurăm faptul că noul scop de afaceri este compatibil cu, inclusiv cu scopuri semnificativ similare, descrise într-o notificare de confidențialitate sau prin alt mecanism de transparență care a fost furnizat anterior persoanei respective. Vom stabili compatibilitatea pe baza (1) orice legătură între scopurile originale și scopul nou propus, (2) așteptările rezonabile ale individului, (3) natura informațiilor cu caracter personal, (4) consecințele prelucrării ulterioare pentru individ și (5) garanțiile pe care le-am pus în aplicare. Nu aplicăm acest principiu informațiilor anonimizate sau în cazul în care utilizăm datele cu caracter personal exclusiv în scopuri de cercetare istorică și științifică și (1) un comitet de evaluare a eticii sau un alt evaluator competent a stabilit că riscul unei astfel de utilizări pentru confidențialitate și alte drepturi ale persoanelor este acceptabil (2) am implementat măsuri de protecție adecvate pentru a asigura minimizarea datelor, (3) datele cu caracter personal sunt pseudonimizate și (4) toate celelalte legi aplicabile sunt respectate. Ne asigurăm că restricțiile privind limitarea scopului sunt proiectate în cadrul tuturor tehnologiilor de asistență, incluzând orice posibilități de raportare și partajare a datelor prin descărcare.
   5. Calitatea informațiilor – păstrăm datele cu caracter personal exacte, complete și actualizate, în concordanță cu scopul pentru care au fost colectate.	Ne asigurăm că mecanismele de revizuire periodică a datelor sunt proiectate în cadrul tehnologiilor de asistență pentru a valida acuratețea informațiilor față de sursă și sistemele transfer prin descărcare. Ne vom asigura că informațiile sensibile sunt validate ca fiind exacte și actuale, înainte de utilizarea, evaluarea, analiza, raportarea sau alt tip de prelucrare a lor care prezintă un risc de abuz față de persoanele de la care provin în cazul în care sunt utilizate date inexacte sau depășite. În cazurile în care informațiilor cu caracter personal le sunt aduse modificări de compania noastră sau terți care lucrează pentru compania noastră, ne asigurăm că aceste modificări sunt comunicate persoanelor relevante în timp util, atunci când este posibil în mod rezonabil.
   6. Securitatea – punem în aplicare măsuri de siguranță pentru a preveni pierderea, utilizarea abuzivă, accesul neautorizat, divulgarea, modificarea sau distrugerea datelor cu caracter personal și a informațiilor sensibile.	Am implementat un program complet de securitate a informațiilor și aplicăm controale de securitate care se bazează pe sensibilitatea informațiilor și nivelul de risc al activității, luând în considerare cele mai bune practici ale tehnologiei actuale și costurile de punere în aplicare. Politicile noastre de securitate funcționale includ, dar nu se limitează la acestea, standardele privind continuitatea în afaceri și recuperarea în caz de dezastru, criptarea, managementul identității și accesului, clasificarea informațiilor, managementul incidentelor de securitate a informațiilor, controlul accesului la rețea, securitatea fizică și gestionarea riscului.
   7. Transferul de date – suntem responsabili de și menținem măsurile de protecție a confidențialității datelor cu caracter personal atunci când acestea sunt transferate către sau de la alte organizații sau în afara granițelor țării.	(1) Transferăm date cu caracter personal în cadrul companiei noastre dacă sunt îndeplinite următoarele cerințe: (1) partajarea este necesară pentru a îndeplini scopul pentru care datele cu caracter personal au fost colectate inițial sau un alt interes legitim al companiei, și (2) scopul pentru care urmează să fie partajate și faptul că acestea vor fi partajate este în concordanță cu notificarea de confidențialitate sau cu alt mecanism de transparență care a fost furnizat anterior persoanei respective la momentul când datele cu caracter personal au fost colectate inițial, iar persoana respectivă și-a dat consimțământul dacă este necesar. (3) dacă una dintre filialele companiei noastre acționează numai în numele unei alte filiale ale companiei noastre în ceea ce privește prelucrarea datelor cu caracter personal, (4) filiale în cauză vor încheia un acord intern de prelucrare a informațiilor, în conformitate cu principiul nr. 8 al prezentei politici, acolo unde acest lucru este impus prin lege. (5) în cazul în care infrastructura IT necesită un astfel de transfer, cu condiția ca toate măsurile de securitate și organizatorice corespunzătoare să fie instituite pentru a face ca acest transfer să fie compatibil. (2) Transferăm datele cu caracter personal către terți sau permitem prelucrarea lor de către aceștia doar în situația în care sunt îndeplinite următoarele cerințe și avem obligația să ne asigurăm că terții pe care îi angajăm vor respecta aceste cerințe: În cazul în care rolul terțului este de a prelucra date cu caracter personal pentru sau în numele companiei noastre, înainte de a furniza date cu caracter personal către terți sau de a implica un terț, noi: (1) efectuăm o verificare completă de confidențialitate pentru a evalua practicile de confidențialitate și riscurile asociate cu aceste părți terțe (2) obținem garanții contractuale de la acele părți terțe că vor prelucra datele cu caracter personal în conformitate cu instrucțiunile companiei noastre și în conformitate cu această politică, incluzând, fără limitare, toate cele 8 principii de confidențialitate și celelalte standarde stabilite în această politică, și legile aplicabile, că vor notifica compania noastră cu promptitudine cu privire la orice incident de confidențialitate, inclusiv orice incapacitate de a respecta standardele stabilite în această politică și legile aplicabile sau incidentul de securitate și de a coopera pentru remedierea cu promptitudine a oricărui incident motivat și pentru a aborda drepturile individuale prevăzute în secțiunea 2 de mai jos, că nu vor angaja o altă companie pentru a procesa datele cu caracter personal fără autorizația noastră scrisă și fără a impunerea unor obligații echivalente de protecție a datelor, pe care le vor șterge sau reveni la noi cu privire la toate datele cu caracter personal după ce au încheiat furnizarea de servicii pentru noi sau la cererea noastră, și că vor permite companiei noastre să auditeze și să monitorizeze practicile acestora pe durata procesării pentru a respecta aceste cerințe. În plus, în cazul în care terțul prelucrează date cu caracter personal care provin dintr-o țară sau un teritoriu cu o lege care limitează comunicarea unor astfel de date, ne vom asigura că transmiterea către terț îndeplinește cerințele pentru transferul transfrontalier de informații descris la punctul (3) de mai jos. În situația în care rolul terțului este de a furniza companiei, noastre date cu caracter personal, înainte de a obține astfel de date de la terțul în cauză, ne vom asigura că sunt îndeplinite cerințele de transparență pentru colectarea datelor cu caracter personal din alte surse și nu în mod specific sub îndrumarea companiei noastre și vom obține declarații contractuale din partea terțului că nu încalcă nicio lege sau drepturile oricărei terțe părți prin furnizarea către compania noastră a unor date cu caracter personal. Dacă rolul terțului este de a primi de la noi informații pentru prelucrare care nu se realizează în mod specific sub îndrumarea companiei noastre, înainte de a furniza informații terțului, ne vom asigura că informațiile au fost anonimizate și vom obține garanții scrise din partea terțului că le va folosi numai în scopuri comerciale definite în acord și în conformitate cu legislația aplicabilă și că nu va încerca să reidentifice informațiile. Dacă transferul către o parte terță este necesar pentru a proteja interesele legitime ale individului sau pe cele ale companiei, este posibil să transferăm informațiile: (1) în scopul prevenirii fraudei sau pentru a aplica sau proteja drepturile și proprietățile companiei, (2) pentru protecția siguranței personale a angajaților sau părților terțe de pe proprietatea noastră și (3) pentru protejarea activelor noastre, prin adoptarea de măsuri de securitate corective dacă suspectăm în mod rezonabil că s-a efectuat o activitate ilegală sau o abatere gravă. În cazul în care terțul este o țintă pentru achiziția totală sau a pachetului de control de către compania noastră, (1) înainte de a încheia un acord pentru achiziția totală sau a pachetului de control al unui terț, vom realiza o verificare prealabilă privind confidențialitatea pentru a evalua practicile de confidențialitate și riscurile asociate cu achiziția totală sau a pachetului de control al terțului menționat și (2) vom încheia un acord de transfer de date care specifică termenii și condițiile în care datele cu caracter personal pot fi dezvăluite și obligațiile pe care le au în acest sens compania noastră și terțul în cauză. Dacă rolul terțului este de a dobândi în totalitate sau parțial afacerea companiei, înainte de a distribui datele cu caracter personal în legătură cu o cesionare a oricărei părți din afacerea companiei noastre, noi (1) încheiem un acord de transfer de date care precizează termenii și condițiile în care datele cu caracter personal pot fi comunicate cumpărătorului, inclusiv limitările corespunzătoare privind utilizările permise ale informațiilor cu caracter personal și conformitatea cu standardul prevăzut de prezenta politică și legea aplicabilă (2) revizuim toate elementele de date despre persoane înainte de partajare pentru a evalua cerințele de partajare, (3) obținem consimțământul pentru a distribui datele cu caracter personal sau informațiile sensibile în conformitate cu principiile de transparență și limitare a scopului acestei politici, și (4) solicităm părții terțe să notifice cu promptitudine compania noastră cu privire la orice incident de confidențialitate aplicabil, inclusiv orice incapacitate de a respecta standardele stabilite în această politică și legile aplicabile și să coopereze pentru a remedia cu promptitudine orice incident motivat sau pentru a înceta procesarea informațiilor personale relevante. (3) Transferăm date cu caracter personal peste granițele țării, inclusiv în Statele Unite ale Americii, de către sau în numele companiei noastre, în conformitate cu această politică. Vom aplica această politică transferurilor de date cu caracter personal din orice altă țară sau teritoriu cu o lege care restricționează transferul informațiilor cu caracter personal, în plus față de respectarea oricăror cerințe impuse de aceste legi (inclusiv utilizarea oricăror mecanisme necesare pentru transferurile transfrontaliere către țări care nu au aceleași standarde de protecție a datelor ca țara de origine).
   8. Permis conform legii – prelucrăm date cu caracter personal doar în cazul în care au fost îndeplinite cerințele impuse de legislația aplicabilă.	În timp ce celelalte 7 principii privind confidențialitatea, precum și cerințele referitoare la drepturile individuale descrise mai jos, au menirea de a asigura faptul că majoritatea reglementărilor legislației privind confidențialitatea și protecția datelor care se aplică activității noastre din întreaga lume au fost îndeplinite, în unele țări, trebuie să îndeplinim cerințe suplimentare, printre care, fără limitare: 1) Vom obține forme specifice de consimțământ pentru anumite prelucrări de date cu caracter personal, inclusiv, dar fără limitare la aprobarea prelucrării de către comitetele de întreprindere și alte sindicate, în situația în care acest lucru este necesar; 2) Atunci când este necesar, vom înregistra procesarea informațiilor cu caracter personal cu sau vom solicita aprobarea autorității de reglementare a confidențialității sau a protecției datelor aplicabile; 3) În cazul în care este necesar, vom furniza drepturi mai largi (de exemplu, acces și corectare) decât cele stabilite în această politică; 4) Vom limita și mai mult perioadele de păstrare a datelor cu caracter personal, acolo unde acest lucru este cerut și 5) Vom încheia acorduri care conțin clauze contractuale specifice, inclusiv acorduri de transfer transfrontalier de date către terți, dacă acest lucru este necesar. 6) Atunci când este necesar, vom divulga date cu caracter personal ca răspuns la solicitările legale ale autorităților publice, inclusiv pentru a îndeplini cerințele de securitate națională sau de aplicare a legii. În cazul unui conflict între prezenta politică și o lege aplicabilă, va prevala acel standard care oferă o mai bună protecție a persoanelor fizice.

2. Vom aborda cu promptitudine cererile privind drepturile persoanelor fizice de a accesa, modifica, corecta sau șterge datele cu caracter personal, de a se opune prelucrării acelor date care le privesc sau de a exercita alte drepturi cu privire la datele lor cu caracter personal
   1. Accesul, corectarea, ștergerea și alte drepturi – În conformitate cu legislația din majoritatea țărilor în care ne desfășurăm activitatea, persoanele fizice au dreptul de a accesa datele cu caracter personal care se referă la ele și de a le modifica, a le corecta sau șterge pe cele care sunt inexacte, incomplete sau neactualizate. Vom onora toate cererile de a accesa, corecta și șterge datele cu caracter personal, provenite de la persoanele fizice, în conformitate cu secțiunea 3a de mai jos. În cazul în care o cerere de acces, corectare sau ștergere este reglementată printr-o lege aplicabilă, care oferă o mai mare protecție persoanelor fizice, ne vom asigura că sunt îndeplinite cerințele suplimentare ale legii respective.

      În unele țări, persoanele pot avea dreptul la alte drepturi în ceea ce privește datele cu caracter personal despre ele însele, cum ar fi dreptul de a restricționa procesarea, de a se opune prelucrării (consultați și secțiunea 2b de mai jos) și de a-și transfera datele către un alt prestator de servicii. În conformitate cu legile aplicabile, vom onora exercitarea drepturilor de date. Unele drepturi, cum ar fi ștergerea, pot fi limitate în funcție de alte cerințe de reglementare sau de necesitatea de a respecta raportarea locală a conformității, în acest caz vă vom informa cu privire la aceste limitări după cum este cazul.

   2. Alegerea – În acord cu valorile noastre „Respect” și „Încredere” privind confidențialitatea, onorăm cererile individuale de respingere a prelucrării datelor cu caracter personal, inclusiv, dar fără limitare la renunțarea la programe sau activități la care au fost anterior de acord să participe, prelucrarea datelor cu caracter personal care îi privesc pentru comunicațiile prin marketing direct, comunicații care se bazează pe date cu caracter personal care îi privesc și care sunt transmise către ei, precum și orice evaluare sau decizii cu privire la acestea, care le pot afecta în mod semnificativ, prin utilizarea automatizării sau algoritmilor.
      1. Cu excepția cazului în care este interzis prin lege, putem refuza cererea de alegere dacă o anumită cerere ar împiedica compania noastră în capacitatea sa de: (1) a respecta o lege sau o obligație de natură etică, ceea ce include situația în care ni se impune să dezvăluim informațiile cu caracter personal ca răspuns la solicitarea autorităților publice, inclusiv pentru îndeplinirea cerințelor naționale privind securitatea sau aplicarea legii, (2) a investiga, formula sau combate pretenții de natură juridică și (3) a pune în aplicare contracte, a gestiona relații sau a se angaja în alte activități economice permise, care sunt în conformitate cu principiile privind transparența și limitarea scopului și au fost puse în practică pe baza informațiilor despre persoanele în cauză. Vom documenta și comunica decizia solicitantului în termen de cincisprezece zile lucrătoare de la orice decizie de a refuza o cerere de alegere, în conformitate cu prezenta politică.
3. Vom răspunde prompt și escalada toate întrebările, reclamațiile, preocupările și orice incident potențial privind confidențialitatea sau securitatea.
   1. Orice persoană fizică ale cărei date cu caracter personal le prelucrăm în contextul aplicabilității prezentei politici poate adresa companiei noastre o întrebare, reclamație sau ne poate comunica o preocupare în orice moment, inclusiv solicitarea listei tuturor filialelor companiei noastre, care fac obiectul prezentei politici. Așteptăm ca angajații noștri și cei care lucrează în numele companiei noastre să transmită o notificare promptă în cazul în care au motive să creadă că o lege aplicabilă îi poate împiedica să respecte prezenta politică. Orice întrebare, reclamație sau preocupare semnalată de o persoană fizică sau orice notificare transmisă de către un angajat sau orice altă persoană care lucrează în numele companiei noastre, trebuie să fie adresate Biroului global de confidențialitate:
      1. Prin e-mail pentru persoanele cu domiciliul în Spațiul Economic European (SEE): euprivacydpo@msd.com
      2. În caz contrar, prin e-mail: msd_privacy_office@msd.com
      3. Prin poștă la adresa: Biroul de confidențialitate, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, SUA 19454.
   2. Angajații și contractorii sunt obligați să informeze cu promptitudine Biroul global de confidențialitate sau responsabilul de confidențialitate desemnat pentru zona lor de activitate, cu privire la orice întrebări, reclamații sau preocupări legate de practicile de confidențialitate ale companiei noastre.
   3. Biroul global de confidențialitate MSD va analiza și investiga sau va lucra cu Biroul de etică, Departamentul juridic și/sau Biroul de conformitate pentru a investiga toate întrebările, reclamațiile sau preocupările legate de practicile companiei noastre privind confidențialitatea, indiferent dacă sunt primite direct din partea angajaților sau a altor persoane sau dacă sunt primite prin terți, inclusiv, dar fără limitare la agențiile de reglementare, instituțiile responsabile și alte autorități guvernamentale. Vom răspunde persoanei fizice sau entității care a transmis o întrebare, reclamație sau preocupare, în termen de 30 (treizeci) de zile calendaristice, cu excepția situațiilor în care legea impune sau un terț solicită un răspuns într-o perioadă de timp mai scurtă sau dacă circumstanțele, cum ar fi o anchetă guvernamentală concomitentă, nu impun o perioadă de timp mai lungă, situație în care persoana sau solicitantul terț va primi o notificare scrisă cât mai curând posibil, luând în considerare caracterul general al circumstanțelor care contribuie la întârziere.
   4. Biroul global de confidențialitate MSD va coopera cu Departamentul juridic și Biroul de conformitate în oferirea răspunsului la orice solicitare, inspecție sau investigație a unei autorități de reglementare în domeniul confidențialității.
   5. Pentru reclamațiile care nu pot fi rezolvate între compania noastră și persoana care a transmis plângerea, am fost de acord să participăm la următoarele proceduri de soluționare în sensul investigării și clarificării reclamațiilor pentru soluționarea litigiilor în acord cu prezenta politică; cu toate acestea, în orice moment, persoanele fizice rezidente în SEE sau cei ale căror date cu caracter personal sunt supuse legii SEE privind protecția datelor și sunt transferate în afara SEE, pot, de asemenea, să se bazeze pe standardul 3.f. de mai jos:
      1. Pentru litigiile care implică transferul de informații cu caracter personal legate de activitățile de resurse umane în contextul unui raport de muncă din SEE și din Marea Britanie către SUA, compania noastră se angajează să coopereze cu autoritatea competentă de protecție a datelor din UE și Marea Britanie.
      2. Pentru litigiile care implică transferul de date cu caracter personal legate de activitățile de resurse umane în contextul unui raport de muncă din Elveția către SUA, compania noastră se angajează să coopereze cu FDPIC elvețian.
      3. Pentru litigiile care implică transferul de date cu caracter personal în conformitate cu respectarea de către compania noastră a regulilor de confidențialitate transfrontalieră din zona de cooperare economică Asia-Pacific (APEC) („CBPR”) în rândul economiilor APEC, compania noastră a fost de acord să soluționeze soluționarea de către agentul nostru responsabil cu răspunderea, Programele Naționale BBB. Pentru mai multe informații despre domeniul de aplicare al participării noastre, sau pentru a trimite o întrebare privind confidențialitatea prin Programele Naționale BBB, vă rugăm să faceți clic pe sigiliul oficial situat în partea de jos a acestei pagini.
      4. Pentru litigiile care implică transferul de date cu caracter personal legate de activitățile de resurse non-umane prin intermediul privind Cadrul de confidențialitate a datelor (DPF), extensia pentru Regatul Unit la DPF și programul Cadrului Elveția-SUA, compania noastră a fost de acord cu soluționarea litigiilor (gratuit) printr-un mecanism independent de recurs, Data Privacy Framework Services, operat de BBB National Programs. Dacă nu primiți confirmarea în timp util a reclamației dvs. sau dacă reclamația dvs. nu este soluționată în mod satisfăcător, vă rugăm să vizitați https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers pentru mai multe informații și pentru a depune o reclamație.
      5. Pentru orice litigiu care decurge din Acordul UE-SUA privind privind Cadrul de confidențialitate a datelor (DPF), extensia pentru Regatul Unit la DPF și programul Cadrului Elveția-SUA Cadrul de confidențialitate a datelor care nu este soluționat prin pașii descriși în această secțiune, în anumite condiții, persoanele fizice pot invoca arbitrajul obligatoriu pentru unele revendicări reziduale nesoluționate prin alte mecanisme de recurs. Consultaţi https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2.
   6. Toți rezidenții SEE sau persoanele ale căror date cu caracter personal sunt supuse legii SEE privind protecția datelor, sunt transferate în afara SEE și sunt prelucrate în conformitate cu prezenta politică, au dreptul în orice moment, conform prezentei politici, să pună în aplicare cerințele prezentului document în calitate de beneficiari terți, inclusiv dreptul de a introduce o acțiune judiciară pentru a căuta soluții împotriva încălcării drepturilor lor prevăzute în cadrul prezentei politici (conform secțiunii 2 de mai sus) și dreptul de a primi despăgubiri pentru daunele rezultate dintr-o astfel de încălcare. Persoanele care locuiesc în SEE sau persoane despre care datele cu caracter personal fac obiectul legii privind protecția datelor din SEE și care sunt transferate în afara SEE (din motive de claritate, inclusiv în SUA), pot aduce o cerere sau o plângere în temeiul acestei politici, împotriva filialei companiei responsabile pentru exportul informațiilor cu caracter personal din SEE: înainte:
      1. Competența exportatorului de date situat în SEE sau
      2. Competența țării în care se află responsabilul nostru European pentru protecția datelor sau
      3. Autoritățile competente pentru protecția datelor (în special în statul membru în care se află reședința obișnuită, locul de muncă sau locul presupusei încălcări), sau.
      4. Autoritățile noastre de protecție a datelor cu caracter principal care au instruit BCR: CNIL francez.
   7. Compania noastră va răspunde persoanei fizice sau entității care a transmis o întrebare, reclamație sau preocupare, în termen de 30 (treizeci) de zile calendaristice, cu excepția situațiilor în care legea impune sau un terț solicită un răspuns într-o perioadă de timp mai scurtă sau dacă circumstanțele nu impun o perioadă de timp mai lungă, situație în care persoana sau solicitantul terț va primi o notificare scrisă.
4. Suntem responsabili pentru susținerea valorilor și standardelor noastre privind confidențialitatea.
   1. Filiala companiei noastre care este responsabilă pentru o acțiune ce generează un incident confirmat de confidențialitate sau de securitate răspunde financiar pentru valoarea oricăror cereri de daune, amenzi sau penalități care decurg din respectivul incident.
      1. În coordonare cu și la direcția Biroului global de confidențialitate, responsabilul European cu protecția datelor este responsabil pentru a se asigura că sunt luate măsurile necesare pentru a aborda orice presupusă încălcare a acestei politici de către filialele companiei noastre din afara SEE, care afectează persoanele cu domiciliul în SEE sau persoane despre care datele cu caracter personal fac obiectul legislației privind protecția datelor din SEE și transferate în afara SEE. În cazul în care este necesar, Merck, Sharp & Dohme (Europe) Inc., filiala SUA-Belgia (“MSD Europe”) este responsabil (ă) de plata amenzilor, sancțiunilor sau daunelor acordate pentru încălcări ale acestei politici care afectează persoanele cu domiciliul în SEE sau persoane despre care datele cu caracter personal fac obiectul legii privind protecția datelor din SEE și transferate în afara SEE. Cu sprijinul Biroului global de confidențialitate și al filialei companiei noastre din afara SEE, răspunzătoare pentru presupusa încălcare, responsabilul European cu protecția datelor este responsabil pentru a demonstra că societatea noastră nu este răspunzătoare pentru presupusa încălcare. În cazul în care o altă filială a companiei noastre este responsabilă pentru acțiunea care a impus amenda, penalizarea sau acordarea de despăgubiri, filiala în cauză poate fi obligată să ramburseze fără întârziere către MSD Europa orice sumă suportată de către aceasta din urmă. Dacă o filială a companiei noastre din afara SEE încalcă această politică, instanțele sau autoritățile de protecție a datelor din SEE vor avea competență, iar persoana vizată va avea drepturile și căile de atac împotriva filialei companiei responsabile pentru exportul informațiilor cu caracter personal din SEE, așa cum este prevăzut în secțiunea 3. f. de mai sus.
      2. In coordonare cu și sub îndrumare Biroului global de confidențialitate, Merck Sharp & Dohme LLC este responsabilă pentru asigurarea faptului că sunt întreprinse acțiunile necesare pentru verificarea presupuselor încălcări ale prezentei politici care afectează persoanele rezidente în afara SEE și, în cazul în care este necesar, pentru plata amenzilor, penalităților sau despăgubirilor acordate pentru încălcări ale prezentei politici care afectează persoane rezidente în afara SEE sau persoane ale căror date cu caracter personal nu sunt supuse legii SEE privind protecția datelor. În cazul în care o altă filială a companiei noastre este responsabilă pentru acțiunea care a impus amenda, penalizarea sau acordarea de despăgubiri, filiala în cauză poate fi obligată să ramburseze fără întârziere către Merck Sharp & Dohme LLC. orice sumă suportată de către aceasta din urmă.

Supervizarea și monitorizarea

Pentru a oferi asigurări autorităților de reglementare și altor părți interesate privind faptul că compania noastră este răspunzătoare pentru angajamentul său față de practicile etice și responsabile de confidențialitate, compania menține un grup de guvernanță extins pentru supraveghere și monitorizare, condus de un ofițer de confidențialitate șef cu un oficiu Global de confidențialitate (GPO), un DPO al UE alocat, al unei țări DPO, dacă este impus de lege sau autorități locale, și administratori de confidențialitate, care sunt numiți de liderii superiori și care servesc drept legătură între biroul global de confidențialitate și zonele organizatorice în care lucrează.

Compania noastră se va baza pe agenții responsabili cu răspunderea pentru confidențialitate pentru care este responsabil conform legilor, pentru a verifica periodic conformitatea acestuia cu cerințele acestei politici și cu legile respective, inclusiv cu APEC cpbrs.

Programul de audit – Pe lângă analizele de asigurare derulate de Biroul global de confidențialitate Merck, echipele interne și externe de audit și asigurare vor derula analize de conformitate pentru a verifica dacă Compania respectă această politică, precum și politicile, procedurile, standardele și îndrumările subordonate acestei politici. Vor fi dezvoltate și implementate planuri de acțiune corective și preventive pentru a soluționa discrepanțele constatate de echipele de audit și asigurare. Rezultatele programului de audit vor fi comunicate ofițerului de confidențialitate șef, DPO relevant și Consiliului de administrație a confidențialității și protecției datelor, care sunt responsabili pentru raportarea acestora conform descrierii din această politică.

Autoritățile de reglementare din domeniul confidențialității și protecției datelor care au aprobat prezenta politică sau care au jurisdicție asupra practicilor companiei noastre prevăzute în cadrul prezentei politici au dreptul de a verifica respectarea ei de către noi. Vom respecta recomandările acestor autorități competente cu privire la interpretarea și aplicarea prezentei politici.

Termeni pe care trebuie să-i cunoașteți

• Anonimizat. Modificarea, trunchierea, distrugerea sau orice altă redactare sau modificare a informațiilor cu caracter personal, astfel încât să fie incapabilă în mod ireversibil să fie utilizată pentru a identifica, localiza sau contacta o persoană, fie singură, fie în combinație cu alte informații.
• Legislație. Toate legile, reglementările, regulamentele și ordinele sau hotărârile cu putere de lege din orice țară în care compania noastră își desfășoară activitatea sau în care datele cu caracter personal sunt prelucrate de către sau în numele companiei noastre. Aceasta include toate cadrele de confidențialitate în baza cărora compania noastră a fost aprobată sau certificată, inclusiv Regulile corporatiste obligatorii ale UE („BCR”), Regulile de confidențialitate transfrontalieră („CBPR”) pentru Cooperarea Economică Asia-Pacific („APEC”), Acordul UE-SUA privind privind Cadrul de confidențialitate a datelor (DPF), extensia pentru Regatul Unit la DPF și programul Cadrului Elveția-SUA Cadrul de confidențialitate a datelor – sub puterile de investigare și executare ale Comisiei Federale pentru Comerț din SUA.
• Compania noastră. Merck & Co., Inc., Rahway, NJ, SUA, succesorii, filialele și diviziile acesteia din întreaga lume, cu excepția asocierilor în participațiune la care compania noastră este parte.
• Informaţii personale. Orice informații cu privire la o persoană fizică identificată sau identificabilă, inclusiv datele care identifică o persoană sau care ar putea fi folosite pentru a identifica, localiza, urmări sau contacta un individ. Datele cu caracter personal includ atât informații direct identificabile, cum ar fi numele, numărul de identificare sau un titlu unic al postului, cât și informațiile identificabile indirect, cum ar fi data nașterii, identificatorul unic al dispozitivului mobil sau purtabil, numărul de telefon, precum și datele codificate, identificatorii online, cum ar fi adresele IP sau orice activități, comportamente sau preferințe personale care pot fi colectate pentru a furniza servicii sau produse.
• Incident privind confidențialitatea. O încălcare a acestei politici sau a unei legi privind confidențialitatea sau protecția datelor și include un incident de securitate. Determinările privind aspectul dacă s-a produs un incident de confidențialitate și dacă trebuie crescut la o încălcare a datelor cu caracter personal vor fi efectuate de către Oficiul global de confidențialitate, Managementul riscurilor și securității tehnologiei informațiilor (ITRMS) și de către biroul de consiliere generală.
• Prelucrare. Realizarea oricăror operațiuni sau seturi de operațiuni asupra informațiilor despre persoane, indiferent dacă pentru aceasta sunt folosite mijloace automate sau nu, inclusiv colectarea, înregistrarea, organizarea, stocarea, accesarea, adaptarea, modificarea, descărcarea, consultarea, utilizarea, evaluarea, analiza, raportarea, partajarea, divulgarea, diseminarea, transmiterea, punerea la dispoziție, alinierea, combinarea, blocarea, eliminarea, ștergerea sau distrugerea, fără însă a se limita la acestea.
• Încălcarea securității datelor cu caracter personal. O încălcare a securității care duce la distrugerea accidentală sau ilegală, pierderea, modificarea, divulgarea neautorizată sau accesul la date cu caracter personal sau la credința rezonabilă a companiei noastre. Accesul la datele cu caracter personal de către sau în numele companiei noastre, fără intenția de a încălca această politică, nu constituie o încălcare a securității datelor cu caracter personal, ceea ce prevede faptul că datele cu caracter personal accesate sunt utilizate în continuare și divulgate numai conform celor permise de această politică.
• Informații sensibile. Orice tip de informații despre persoane fizice care pot genera un risc inerent de potențiale prejudicii aduse acestora, inclusiv informații definite prin lege ca fiind sensibile, inclusiv, dar fără limitare, informații legate de sănătate, genetică, biometrie, rasă, origine etnică, religie, opinii sau convingeri politice sau filozofice, cazier, informații precise privind geo-locația, numere de coduri bancare sau alte conturi financiare, numere de identificare emise de guvern, copiii minori, viața sexuală, orientare sexuală, apartenență sindicală, polițe de asigurări, asigurări sociale și alte beneficii oferite de angajator sau de guvern.
• Terță parte. Orice entitate juridică sau asociație care nu este deținută de compania noastră sau în care nu avem un interes privind controlul sau orice persoană care nu este angajată în cadrul companiei noastre. Cu excepția cazurilor stipulate în mod expres în prezenta politică, nicio filială sau divizie a companiei noastre nu trebuie să îndeplinească cerințele unui terț în cadrul prezentei politici, deoarece toate filialele sau diviziile trebuie să prelucreze informații despre persoane fizice, în conformitate cu prezentul document, inclusiv în cazul în care una dintre filialele companiei noastre sprijină una sau mai multe dintre filialele noastre în procesul de prelucrare.

Modificarea prezentei politici

Prezenta politică poate fi amendată periodic, în concordanță cu cerințele legislației aplicabile. O notificare va fi postată pe pagina web de confidențialitate a companiei noastre (www.www.msdprivacy.com).