GLOBALNA POLITIKA O PRAVILIMA O PRIVATNOSTI PRILIKOM PREKOGRANIČNOG PRENOSA PODATAKA

Datum pregleda: 1. maj 2022.
Datum primene: 1. maj 2022.

Težimo vođenju poslovanja u skladu s našim vrednostima u vezi sa privatnošću jer verujemo da one pokazuju našu nepokolebljivu posvećenost etičkim i odgovornim praksama. Prepoznajemo da inovacija i nova tehnologija stvaraju stalne promene u rizicima, očekivanjima i zakonima, pa zato poštujemo standarde odgovornosti u pogledu privatnosti i nastojimo odmah da tim promenama prilagodimo način na koji ih primenjujemo.

Ova Politika definiše naše globalne standarde upravljanja i zaštite Ličnih informacija od strane naše kompanije ili u njeno ime, a koje neposredno ili posredno potiču iz bilo koje zemlje u Evropskom ekonomskom području (European Economic Area, „EEA”), Švajcarske ili članica Azijsko pacifičke ekonomske kooperacije (Asia Pacific Economic Cooperation, „APEC”) i prenose se u bilo koju drugu zemlju, što obuhvata i prenose između EEA i APEC-a. Ona opisuje našu suštinsku posvećenost pružanju podrške usklađenosti sa našim potvrđivanjem Pravila APEC-a o privatnosti prilikom prekograničnog prenosa podataka, našim Obavezujućim korporativnim pravilima (Binding Corporate Rules, „BCRs”), koja su odobrena u Evropskoj uniji, i našim samopotvrđivanjem Štita privatnosti između EU i SAD. Ona se primenjuje na naše operacije u svakoj zemlji, na svaku aktivnost koja uključuje informacije o ljudima a koju izvršimo u bilo kom našem zavisnom društvu ili odeljenju (što obuhvata i sve pravne sledbenike naše kompanije), uključujući, ali se ne ograničavajući na naše aktivnosti istraživanja, proizvodnje, komercijalne aktivnosti i aktivnosti korporativne podrške i zdravstvene usluge i rešenja i prenose podataka neophodne za vršenje tih aktivnosti, što obuhvata, ali se ne ograničava na sledeće:

• Istraživanje i proizvodnja: procena potreba i prilika za medicinske i zdravstvene inovacije; pokretanje, upravljanje i finansiranje istraživačkih studija; procena i angažovanje istraživača, članova naučnih i etičkih odbora i poslovnih partnera radi podrške našim istraživačkim studijama i razvoju naših proizvoda; regrutovanje za istraživačke studije; procena bezbednosti, efikasnosti i kvaliteta naših ispitivanih i proizvoda koji su na tržištu; ispunjavanje naših obaveza u vezi sa bezbednošću i kvalitetom proizvoda, uključujući rešavanje i prijavljivanje neželjenih događaja i pritužbi na kvalitet proizvoda; podnošenje prijava za odobrenje i registraciju naših proizvoda pred zdravstvenim regulatornim organima i usklađenost sa zakonskim, regulatornim ili etičkim uslovima;
• Trgovina: procena tržišta za naše proizvode, oglašavanje, marketing, prodaja, distribucija i isporuka naših proizvoda; komunikacija i rad sa klijentima-zdravstvenim radnicima, fondovima zdravstvene zaštite, pacijentima i drugim krajnjim korisnicima naših proizvoda, kao i negovateljima onih koji koriste naše proizvode, sponzorisanje i vođenje događaja, procena i angažovanje poslovnih partnera u pružanju podrške našim komercijalnim aktivnostima i usklađenost s povezanim zakonskim, regulatornim ili etičkim uslovima;
• Korporativna podrška: regrutovanje, unajmljivanje, upravljanje, razvoj, komunikacija sa zaposlenima i plaćanje zaposlenih; upravljanje pogodnostima za zaposlene i njihova izdržavana lica, sprovođenje ocenjivanja učinka i talenta zaposlenih; obezbeđivanje obuke i drugih programa za učenje i razvoj; vođenje disciplinskih i žalbenih postupaka zaposlenih; rešavanje etičkih i problema u vezi s privatnošću i sprovođenje ispitivanja problema; upravljanje i obezbeđivanje naših fizičkih i virtuelnih resursa i infrastrukture; nabavka i plaćanje dobara i usluga; ispunjavanje naših obaveza u pogledu životne sredine, zdravlja i bezbednosti i drugih odgovornosti; rad sa medijima i usklađenost s povezanim zakonskim, regulatornim ili etičkim uslovima;
• Zdravstvene usluge i rešenja: poboljšanje vrednosti koju isporučujemo pacijentima širom sveta putem usluga zasnovanih na dokazima i rešenja fokusiranih na kliničke usluge, rešenja za zapošljavanje i zdravstvene analitike.

Ova Politika se takođe primenjuje na sve ljude o kojima mi obrađujemo informacije, što obuhvata, ali se ne ograničava na naše klijente-zdravstvene radnike i druge, buduće, sadašnje i bivše zaposlene i njihova izdržavana lica, pacijente, negovatelje, istraživače i učesnike u istraživačkim studijama, članove naučnih i etičkih odbora, poslovne partnere, investitore i akcionare, državne službenike i druga zainteresovana lica.

Svi zaposleni i viši rukovodioci Kompanije imaju suštinske dužnosti u pogledu zaštite privatnosti koje moraju da ispunjavaju.

Priznajemo da nenamerne greške i pogrešne procene u vezi sa zaštitom podataka o ljudima mogu da stvore rizike po privatnost za pojedince i rizike po ugled, rad, finansije i usklađenost s propisima za našu Kompaniju. Obezbedićemo odgovarajuću obuku o ovoj Politici za sve zaposlene i drugo osoblje koje ima trajni ili redovni pristup Ličnim informacijama, koji su uključeni u prikupljanje podataka ili u razvoj alata koji se koriste za obradu Ličnih informacija. Svi zaposleni naše Kompanije i drugi koji obrađuju informacije o ljudima za našu Kompaniju su odgovorni za razumevanje i ispunjavanje svojih obaveza na osnovu ove Politike i važećih zakona.

Naše vrednosti i standardi zaštite privatnosti

Mi se pridržavamo svojih vrednosti u vezi sa privatnošću u svemu što radimo što uključuje ljude, a to obuhvata i način na koji primenjujemo svoje standarde zaštite privatnosti. Naše četiri vrednosti u vezi sa privatnošću su:

Poštovanje	Poverenje	Sprečavanje štete	Usklađenost s propisima
Priznajemo da je zabrinutost za privatnost često povezana sa suštinom toga ko smo, kako posmatramo svet i kako definišemo sebe, pa stoga nastojimo da poštujemo perspektive i interese pojedinaca i zajednica i da budemo pravični i transparentni u tome kako koristimo i delimo informacije o njima.	Znamo da je poverenje od vitalnog značaja za naš uspeh, pa stoga nastojimo da izgradimo i sačuvamo poverenje svojih klijenata, zaposlenih, pacijenata i drugih zainteresovanih lica u tome kako poštujemo privatnost i štitimo informacije o ljudima.	Razumemo da zloupotreba informacija o ljudima može da stvori i opipljive i neopipljive štete za pojedince, pa zato nastojimo da sprečimo fizičke, finansijske, reputacijske i druge vrste štete po privatnost pojedinaca.	Naučili smo da zakoni i propisi ne mogu uvek da drže korak sa brzim promenama u tehnologijama, protoku podataka i povezanim izmenama u rizicima po privatnost i očekivanjima, pa stoga nastojimo da se pridržavamo i duha i slova zakona i propisa o privatnosti i zaštiti podataka na način koji pruža doslednost i operativnu efikasnost naših globalnih poslovnih operacija.

1. Svoje standarde zaštite privatnosti ugrađujemo u sve aktivnosti, postupke, tehnologije i veze s trećim licima koja koriste Lične informacije. Osmišljavamo kontrole privatnosti u našim procesima i tehnologijama koje su u skladu s našim vrednostima i standardima u vezi sa privatnošću i važećim zakonom. Naših osam principa privatnosti utvrđenih u daljem tekstu sažimaju naše standarde zaštite privatnosti i ključne zahteve za postupke, aktivnosti i njihove prateće tehnologije na visokom nivou.

   Princip privatnosti	Naša ključna obećanja
   1. Neophodnost – Pre prikupljanja, korišćenja ili deljenja Ličnih informacija, definišemo i dokumentujemo konkretne, legitimne poslovne svrhe za koje su nam one potrebne.	Utvrđujemo i dokumentujemo koliko dugo su nam Lične informacije potrebne za te definisane poslovne svrhe i primenljive zakonske uslove. Ne prikupljamo, ne koristimo niti delimo više Ličnih informacija nego što je potrebno, niti ih zadržavamo u obliku koji može da dovede do identifikacije duže nego to je potrebno za te definisane poslovne svrhe i primenljive zakonske uslove. Anonimiziramo podatke kada nas zahtevi poslovanja primoravaju da se informacije o aktivnosti ili procesu čuvaju duži period. Obezbeđujemo da ovi zahtevi nužnosti budu ugrađeni u sve prateće tehnologije i da se oni saopštavaju trećim licima koja podržavaju aktivnost ili proces.
   2. Poštenje – Ne obrađujemo Lične informacije na načine koji su nepošteni prema ljudima sa kojima su one povezane.	Utvrđujemo da li predloženo prikupljanje, korišćenje ili druga obrada Ličnih informacija predstavljaju verovatan i/ili ozbiljan rizik opipljive ili neopipljive štete prema pojedincima u skladu s našom vrednošću privatnosti koja se odnosi na Sprečavanje štete. Ako priroda podataka, vrsta ljudi ili aktivnost predstavljaju verovatan i/ili ozbiljan rizik opipljive ili neopipljive štete prema pojedincima, obezbeđujemo da odgovarajuća korist za te pojedince ili našu misiju spašavanja i poboljšavanja života nadmašuje rizik od štete i da on bude umanjen merama, obezbeđenjem i mehanizmima koje primenjujemo. Tamo gde rizik nadmašuje korist za pojedince, mi obrađujemo Osetljive informacije ili Lične informacije samo uz eksplicitnu saglasnost pojedinaca, kako izričito zahteva ili izričito dozvoljava važeći zakon ili kako izričito dozvoli nadležni regulatorni organ. Dokumentujemo analizu rizika i ugrađujemo sve potrebne mehanizme u prateće tehnologije da bismo pribavili i dokumentovali dokaz postojanja saglasnosti.
   3. Transparentnost – Ne obrađujemo Lične informacije na netransparentne načine ili u netransparentne svrhe.	Svi pojedinci o kojima se Lične Informacije obrađuju prema ovoj Politici imaće pravo na primerak ove Politike. Primerci ove Politike će biti dostupni onlajn na adresi: https://www.msdprivacy.com. Globalna kancelarija za privatnost kompanije MSD će dostaviti elektronske i/ili štampane primerke ove Politike, na zahtev, na adrese navedene u Odeljku 3.a. u tekstu ispod. Kada se Lične informacije prikupljaju neposredno od pojedinaca, mi ih informišemo, pre prikupljanja informacija i putem jasnog, uočljivog i lako dostupnog obaveštenja o privatnosti ili sličnim sredstvom, o (1) delu ili delovima kompanije odgovornim za obradu, (2) kontakt podacima našeg Glavnog službenika za privatnost i/ili regionalnog/lokalnog Službenika za privatnost podataka, (3) o tome koje informacije će se prikupljati, (4) o svrhama u koje će se one koristiti, (5) pravnom osnovu za obrađivanje, (6) o tome sa kim će se informacije deliti, uključujući sve uslove za otkrivanje Ličnih informacija na osnovu zakonitih zahteva vladinih organa, (7) o tome da li ćemo i kako prenositi Lične informacije u druge zemlje, uključujući relevantne zemlje tamo gde je to izvodljivo, (8) o tome koliko dugo će se one čuvati ili kriterijumima po kojima to određujemo, (9) kako pojedinci mogu da postave pitanje, izraze zabrinutost ili ostvaruju svoja prava u vezi sa svojim Ličnim informacijama, (10) kako mogu da povuku bilo koju saglasnost koju su dali, (11) o njihovom pravu da iznesu pritužbu nadzornom organu, (12) obavezama da daju Lične informacije i posledicama kada to ne učine, (13) svakom automatskom odlučivanju, uključujući profilisanje, koje vršimo i (14) o linku ka ovoj Politici, kada je to moguće i prikladno. Naša sveobuhvatna obaveštenja o privatnosti se mogu naći na https://www.msdprivacy.com Kada se Lične informacije pribavljaju putem posmatranja, senzorima ili drugim indirektnim sredstvima, možda neće biti moguće pružiti obaveštenje o privatnosti neposredno pojedincu u vreme kada se informacije prikupljaju. U takvim slučajevima, transparentnost prema pojedincima obezbeđujemo drugim sredstvima, kao što su objave ili štampana obaveštenja na uređaju ili materijalima povezanim sa uređajem koji će prikupljati informacije. Kada se Lične informacije prikupljaju putem veb lokacije, mobilne aplikacije ili druge onlajn aplikacije ili resursa, primenjujemo standarde za konkretnu tehnologiju utvrđene u našoj Politici privatnosti na internetu i našoj Izjavi o poštovanju privatnosti u pogledu korišćenja kolačića, da bismo obezbedili da uslovi transparentnosti u skladu s ovom Politikom budu ispunjeni. Kada se Lične informacije prikupljaju iz drugih izvora a ne konkretno po nalogu naše kompanije, pre pribavljanja informacija mi u pisanom obliku proveravamo da li je pružalac informacije informisao pojedince o načinima i svrhama u koje naša kompanija namerava da koristi informacije. Ako se od pružaoca informacije ne može dobiti pisana potvrda, mi koristimo samo anonimizovane informacije ili, pre korišćenja Ličnih informacija, informišemo pojedince na koje se informacije odnose, putem obaveštenja o privatnosti ili sličnim sredstvima o: (1) delu ili delovima naše kompanije odgovornim za obradu informacija, (2) kontakt podacima našeg Glavnog službenika za privatnost i/ili regionalnog/lokalnog Službenika za privatnost podataka, (3) o tome koje informacije naša kompanija planira da koristi, (4) o svrhama u koje naša kompanija planira da ih koristi, (5) pravnom osnovu za obrađivanje, (6) o tome sa kim će naša kompanija deliti informacije, (7) o tome da li ćemo i kako prenositi Lične informacije u druge zemlje, uključujući relevantne zemlje tamo gde je to izvodljivo, (8) o tome koliko dugo naša kompanija planira da zadrži informacije ili kriterijumima po kojima to određujemo, (9) kako pojedinci mogu da postave pitanje, izraze zabrinutost ili ostvaruju svoja prava u vezi sa svojim Ličnim informacijama, (10) kako mogu da povuku bilo koju saglasnost koju su dali, (11) o njihovom pravu da iznesu pritužbu nadzornom organu, (12) o svim obavezama da daju Lične informacije i posledicama kada to ne učine, (13) svakom automatskom odlučivanju, uključujući profilisanje, koje vršimo i (14) o linku ka ovoj Politici, kada je to moguće i prikladno. Obezbeđujemo da potrebni mehanizmi transparentnosti, uključujući kada je to moguće mehanizme koji podržavaju zahteve za ostvarivanje prava pojedinaca, budu ugrađeni u prateće tehnologije i da treća lica koja podržavaju aktivnost ili proces ne obrađuju informacije o ljudima na načine koji nisu konzistentni sa onim što je pojedincima rečeno, putem obaveštenja o privatnosti ili drugim proverljivim sredstvima, o tome šta ćemo mi ili drugi koji rade za nas raditi sa informacijama.
   4. Ograničenje svrhe – Lične informacije koristimo samo u skladu s principima Neophodnosti i Transparentnosti.	Ako su za prethodno prikupljene Lične informacije identifikovane nove legitimne poslovne svrhe, mi ili pribavljamo saglasnost pojedinca za novo korišćenje Ličnih informacija ili obezbeđujemo da nova poslovna svrha bude kompatibilna, što obuhvata i materijalnu sličnost, sa svrhama opisanim u obaveštenju o privatnosti ili drugim mehanizmom transparentnosti koji su prethodno pruženi pojedincu. Kompatibilnost utvrđujemo na osnovu (1) svake veze između originalnih svrha i predložene nove svrhe, (2) opravdanih očekivanja pojedinca, (3) prirode Ličnih informacija, (4) posledica daljeg obrađivanja po pojedinca i (5) mera obezbeđenja koje primenjujemo. Ovaj princip ne primenjujemo na anonimizovane informacije ili kada Lične informacije koristimo isključivo u svrhe istorijskog i naučnog istraživanja i (1) kada je Etički nadzorni odbor, ili drugi nadležni nadzorni organ, utvrdio da je rizik te upotrebe po privatnost i druga prava pojedinaca prihvatljiv, (2) kada smo primenili odgovarajuće mere obezbeđenja da bismo obezbedili svođenje podataka na minimum, kao što je pseudonimizacija i (3) kada su ispoštovani svi drugi važeći Zakoni. Obezbeđujemo da ograničenja svrhe budu ugrađena u sve prateće tehnologije, što obuhvata mogućnosti izveštavanja i deljenje podataka sa njihovim korisnicima.
   5. Kvalitet podataka – Održavamo tačnost, potpunost i aktuelnu usklađenost Ličnih informacija s njihovom namenom.	Obezbeđujemo da mehanizmi za periodični pregled podataka budu ugrađeni u prateće tehnologije da bi se potvrdila tačnost podataka u odnosu na njihov izvor i sisteme koji se snabdevaju njima. Obezbeđujemo da Osetljive informacije budu potvrđene kao tačne i aktuelne pre njihovog korišćenja, procene, analize, prijavljivanja ili druge obrade koja predstavlja rizik od nepoštenja prema ljudima ako se koriste netačni ili neažurni podaci. Kada naša kompanija ili treća lica koja rade za našu kompaniju izmene Lične informacije, obezbeđujemo da se te izmene blagovremeno saopšte relevantnim pojedincima kada je to razumno moguće.
   6. Bezbednost – Primenjujemo mere obezbeđenja da bismo zaštitili Lične informacije i Osetljive informacije od gubitka, zloupotrebe i neovlašćenog pristupa, otkrivanja, izmene ili uništenja.	Uveli smo sveobuhvatni program bezbednosti informacija i primenjujemo bezbednosne kontrole koje se zasnivaju na osetljivosti informacija i nivou rizika aktivnosti, uzimajući u obzir aktuelne najbolje prakse u tehnologiji i troškove uvođenja. Naše funkcionalne politike bezbednosti obuhvataju, ali se ne ograničavaju na standarde kontinuiteta poslovanja i oporavka od katastrofa, enkripciju, upravljanje identitetom i pristupom, klasifikaciju informacija, upravljanje incidentima u vezi sa bezbednošću informacija, kontrolu pristupa mreži i upravljanje rizikom.
   7. Prenos podataka – Odgovorni smo za i održavamo zaštitu privatnosti Ličnih informacija kada se one prenose ka ili od drugih organizacija ili preko granice.	(1) Prenosimo Lične informacije u okviru naše kompanije ako su ispunjeni sledeći uslovi: (1) deljenje je neophodno da bi se ispunila svrha u koju su Lične informacije prvobitno prikupljene ili drugi legitimni interes kompanije, (2) svrha u koju će se one podeliti i činjenica da će se podeliti su u skladu s obaveštenjem o privatnosti ili drugim mehanizmom transparentnosti koji su prethodno pruženi pojedincu u vreme kada su Lične informacije prvobitno prikupljene i pojedinac je dao saglasnost kada je to potrebno, (3) kada jedno od zavisnih društava naše kompanije deluje isključivo u ime drugog zavisnog društva naše kompanije u obradi Ličnih informacija, (4) kada to Zakon zahteva, ta povezana društva naše kompanije će potpisati interni sporazum o obradi podataka u skladu s 8. principom ove Politike. (2) Lične informacije prenosimo trećim licima ili im dozvoljavamo da ih obrađuju samo ako su ispunjeni sledeći uslovi i mi smo odgovorni za obezbeđivanje da treća lica koja angažujemo ispunjavaju ove uslove: Ako je zadatak trećeg lica da obrađuje Lične informacije za ili u ime naše kompanije, pre davanja Ličnih informacija trećem licu ili angažovanja trećeg lica, mi: (1) sprovodimo temeljnu proveru u pogledu privatnosti kako bismo procenili prakse privatnosti i rizike povezane s tim trećim licima, (2) pribavljamo ugovorna uveravanja od tih trećih lica da će ona obrađivati lične informacije isključivo u skladu s uputstvima naše kompanije i u skladu s ovom Politikom, što obuhvata bez ograničenja svih 8 Principa privatnosti i druge standarde utvrđene ovom Politikom i važećim Zakonima, da će odmah obavestiti našu kompaniju o svakom Incidentu u vezi sa privatnošću, uključujući svaku nesposobnost da se ispune standardi utvrđeni ovom Politikom i važećim Zakonima, ili Incident u vezi sa bezbednošću, i da će sarađivati kako bi se odmah otklonile posledice svakog potvrđenog Incidenta i rešili zahtevi za ostvarivanje prava pojedinaca utvrđenih u Odeljku 2 u daljem tekstu, da neće angažovati drugu kompaniju da obrađuje Lične informacije bez našeg pisanog odobrenja i bez zaključenja sporazuma kojim se nameću ekvivalentne obaveze zaštite podataka, da će izbrisati ili nam vratiti sve Lične informacije nakon što završe pružanje usluga nama ili na naš zahtev i da će našoj kompaniji dozvoliti da izvrši reviziju i da nadgleda njihove prakse tokom trajanja obrade podataka, a u pogledu pridržavanja ovih uslova. Pored toga, ako treće lice obrađuje Lične informacije koje potiču iz zemlje ili sa teritorije u kojima zakon ograničava prenos Ličnih informacija, obezbedićemo da prenos trećem licu ispunjava uslove za prekogranični prenos podataka opisan u tački (3) u daljem tekstu. Ako je zadatak trećeg lica da dostavi Lične informacije našoj kompaniji, pre pribavljanja Ličnih informacija od trećeg lica, obezbeđujemo da uslovi Transparentnosti za prikupljanje Ličnih informacija iz drugih izvora i ne konkretno po uputstvima naše kompanije budu ispunjeni i mi pribavljamo ugovorne izjave od trećeg lica da ono ne krši nijedan Zakon niti prava bilo kog trećeg lica pružanjem Ličnih informacija našoj kompaniji. Ako je zadatak trećeg lica da primi informacije od naše kompanije radi obrađivanja koje nije konkretno po uputstvima naše kompanije, pre pružanja informacija trećem licu mi obezbeđujemo da informacije budu anonimizovane i pribavljamo pisana uveravanja od trećeg lica da će ih ono koristiti samo u poslovne svrhe definisane u sporazumu i u skladu s važećim zakonima i da neće pokušati da ponovo identifikuje informacije. Ako je prenos trećem licu potreban radi zaštite legitimnih interesa pojedinca ili kompanije, možemo da prenesemo informacije: (1) u svrhe sprečavanja prevare ili radi ostvarivanja ili zaštite prava i imovine kompanije, (2) radi zaštite lične bezbednosti naših zaposlenih ili trećih lica na našoj imovini i (3) da bismo zaštitili svoje resurse preduzimanjem korektivnih bezbednosnih mera ako opravdano sumnjamo da je došlo do nezakonite aktivnosti ili ozbiljnog pogrešnog postupanja. Ako je našoj kompaniji cilj preuzimanje trećeg lica ili uspostavljanje kontrole nad njim, (1) pre zaključivanja ugovora o preuzimanju trećeg lica ili kontrole nad njim, sprovodimo temeljnu proveru u pogledu privatnosti kako bismo procenili prakse privatnosti i rizike povezane sa preuzimanjem tog trećeg lica ili kontrole nad njim i (2) zaključujemo sporazum o prenosu podataka koji navodi odredbe i uslove prema kojima se Lične informacije mogu otkrivati i obaveze naše kompanije, odnosno trećeg lica u pogledu toga. Ako je zadatak trećeg lica da preuzme celo ili deo poslovanja naše kompanije, pre deljenja bilo kakvih Ličnih informacija u vezi sa prodajom bilo kog dela poslovanja naše kompanije, mi (1) zaključujemo sporazum o prenosu podataka koji navodi odredbe i uslove prema kojima se Lične informacije mogu otkrivati kupcu, uključujući odgovarajuća ograničenja u vezi sa dozvoljenim korišćenjima Ličnih informacija i usklađenošću sa standardima utvrđenim ovom Politikom i važećim Zakonom, (2) pregledamo sve elemente podataka o ljudima pre deljenja da bismo procenili uslove za deljenje, (3) pribavljamo saglasnost za deljenje Ličnih informacija ili Osetljivih informacija u skladu s principima Transparentnosti i Ograničenja svrhe utvrđenim ovom Politikom i (4) zahtevamo od trećeg lica da odmah obavesti našu kompaniju o svakom relevantnom Incidentu u vezi sa privatnošću, što obuhvata i svaku nesposobnost da se postupa u skladu sa standardima utvrđenim ovom Politikom i važećim Zakonima i da sarađuje da bi se odmah otklonile posledice svakog potvrđenog Incidenta ili da prekine Obradu datih Ličnih informacija. (3) Lične informacije prenosimo preko državnih granica, što obuhvata i prenos u Sjedinjene Američke Države, od strane ili u ime naše kompanije, u skladu s ovom Politikom. Primenjivaćemo ovu Politiku na prenose Ličnih informacija iz bilo koje zemlje ili sa bilo koje teritorije na kojoj zakon ograničava prenos Ličnih informacija, pored pridržavanja svih uslova koje postavljaju takvi Zakoni (uključujući korišćenje svih mehanizama koji se zahtevaju za prekogranični prenos).
   8. Zakonom dozvoljeno – Lične informacije obrađujemo samo ako su ispunjeni zahtevi važećih zakona.	Dok su ostalih sedam principa privatnosti, kao i zahtevi u pogledu Prava pojedinaca opisani u daljem tekstu, namenjeni obezbeđivanju da budu ispunjeni uslovi zakona o privatnosti i zaštiti podataka koji se primenjuju na naše poslovanje širom sveta, u nekim zemljama je potrebno da ispunimo dodatne uslove, što obuhvata, ali se ne ograničava na sledeće: 1) Kada se to zahteva, pribavićemo posebne obrasce saglasnosti za određene obrade Ličnih informacija, što obuhvata, ali se ne ograničava na odobrenje obrade informacija od strane saveta radnika i drugih radničkih udruženja; 2) Kada se to zahteva, registrovaćemo obrađivanje Ličnih informacija kod nadležnog regulatornog organa za zaštitu privatnosti i podataka ili ćemo zatražiti njegovo odobrenje; 3) Kada se to zahteva, pružićemo šira prava (na primer, pravo na pristup i ispravku) od onih koja su utvrđena ovom Politikom; 4) Kada se to zahteva, dalje ćemo ograničiti periode zadržavanja podataka za Lične informacije; 5) Kada se to zahteva, zaključićemo sporazume koji sadrže konkretne ugovorne odredbe, što obuhvata i sporazume o prekograničnom prenosu podataka trećim licima; i 6) Kada se to zahteva, otkrivaćemo lične informacije na zakonite zahteve organa vlasti, što obuhvata i otkrivanje radi nacionalne bezbednosti ili primene zakona. U slučaju sukoba između ove Politike i važećeg zakona, primenjivaće se standard koji pruža veću zaštitu pojedincima.

2. Odmah ćemo rešavati zahteve za ostvarivanje prava pojedinaca na pristup, izmenu i dopunu, ispravljanje ili brisanje Ličnih informacija, na protivljenje obradi Ličnih informacija o njima ili na ostvarivanje drugih prava u vezi sa njihovim Ličnim informacijama.
   1. Pristup, ispravka, brisanje i druga prava – Prema Zakonima u većini zemalja u kojima poslujemo, pojedinci imaju pravo da pristupe Ličnim informacijama o sebi i da izmene i dopune, isprave ili izbrišu Lične informacije koje su netačne, nepotpune ili neažurne. Ispunićemo sve zahteve za pristup, ispravku i brisanje Ličnih informacija od svih pojedinaca u skladu sa Odeljkom 3a u daljem tekstu. Ako zahtev za pristup, ispravku ili brisanje uređuje važeći Zakon koji pruža veću zaštitu pojedincima, obezbedićemo da budu ispunjeni dodatni uslovi tog Zakona. U nekim zemljama, pojedinci mogu da imaju i druga prava u pogledu Ličnih informacija o sebi, kao što su pravo na ograničavanje obrade, pravo protivljenja obradi (pogledati takođe Odeljak 2b u daljem tekstu) i pravo da se njihovi podaci prenesu drugom pružaocu usluga. Poštovaćemo ostvarivanje prava u vezi sa zaštitom podataka u skladu s važećim Zakonima.
   2. Izbor – Dosledno našim vrednostima „Poštovanje” i „Poverenje” u vezi sa privatnošću, ispunjavamo zahteve pojedinaca koji se odnose na protivljenje obradi Ličnih informacija, što obuhvata, ali se ne ograničava na istupanje iz programa ili aktivnosti u kojima su se prethodno saglasili da učestvuju, obrađivanja Ličnih informacija o njima radi direktnih marketinških komunikacija, saopštenja usmerenih na njih na osnovu Ličnih informacija o njima i svih procena ili odluka o njima koje imaju potencijal da značajno utiču na njih, a koje su donete automatski ili uz pomoć algoritama.
      1. Izuzev kada je to zabranjeno Zakonom, možemo da odbijemo pravo na izbor u slučaju kada bi određeni izbor ometao našu kompaniju u njenoj sposobnosti da: (1) poštuje Zakon ili etičku obavezu, što obuhvata i slučajeve kada se od nas zahteva da otkrijemo lične informacije da bismo odgovorili na zakonite zahteve organa vlasti, uključujući ispunjavanje uslova nacionalne bezbednosti ili ostvarivanja prava, (2) ispita, podnese ili se odbrani od tužbenih zahteva i (3) izvršava ugovore, upravlja odnosima ili se angažuje u drugim dozvoljenim poslovnim aktivnostima koje su u skladu s principima Transparentnosti i Ograničenja svrhe i u koje se uključila pouzdajući se u informacije o ljudima na koje se ovo odnosi. U roku od petnaest radnih dana od donošenja bilo kakve odluke da se odbije zahtev za ostvarivanje prava izbora u skladu s ovom Politikom, dokumentovaćemo i saopštiti odluku podnosiocu zahteva.
3. Odmah ćemo pristupiti rešavanju i odgovoriti na sva pitanja, pritužbe, probleme u vezi sa privatnošću i sve potencijalne Incidente u vezi sa privatnošću ili Incidente u vezi sa bezbednošću.
   1. Svaki pojedinac o kome mi obrađujemo Lične informacije u okvirima ove Politike može da postavi pitanje, izjavi pritužbu ili prijavi problem našoj kompaniji u svako doba, što obuhvata i zahtev za spisak svih zavisnih društava naše kompanije koja podležu primeni ove Politike. Očekujemo da nas naši zaposleni i drugi koji rade u ime naše kompanije odmah obaveste ukoliko imaju razlog da veruju da ih važeći Zakon možda sprečava da se pridržavaju ove Politike. Svako pitanje, pritužbu ili problem koje izrazi Pojedinac ili bilo kakvo obaveštenje koje nam uputi zaposleni ili drugo lice koje radi u ime naše kompanije, treba uputiti na Globalnu kancelariju za privatnost kompanije MSD:
      1. Putem e-pošte na adresu: msd_privacy_office@msd.com
      2. Redovnom poštom na adresu: Privacy Office (kancelarija za privatnost), Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, SAD 19454.
   2. Od zaposlenih i izvođača se zahteva da odmah obaveste Globalnu kancelariju za privatnost kompanije MSD ili imenovanog Nadzornika za privatnost za njihovu poslovnu oblast, o svim pitanjima, pritužbama ili problemima u vezi sa praksama privatnosti naše kompanije.
   3. Globalna kancelarija za privatnost kompanije MSD će pregledati i ispitati ili će raditi sa Kancelarijom za etiku, Pravnom službom i/ili Službom za usklađenost kako bi se ispitala sva pitanja, pritužbe ili problemi u vezi sa praksama privatnosti naše kompanije, bilo da su prijavljeni neposredno od strane zaposlenih ili drugih pojedinaca ili preko trećih lica, što obuhvata, ali se ne ograničava na regulatorne agencije, agente zadužene za privatnost prekograničnog prenosa podataka i druge državne organe. Odgovorićemo pojedincu ili pravnom licu koje je postavilo pitanje, izjavilo pritužbu ili prijavilo problem našoj kompaniji u roku od trideset (30) kalendarskih dana, izuzev ukoliko Zakon ili podnosilac zahteva-treće lice ne zahtevaju odgovor u kraćem roku ili izuzev ukoliko okolnosti, kao što je tekuće vladino ispitivanje, ne zahtevaju duži rok, u kom slučaju će pojedinac ili podnosilac zahteva-treće lice biti pisanim putem obavešteni što je pre praktično moguće o opštoj prirodi okolnosti koje doprinose kašnjenju.
   4. Globalna kancelarija za privatnost kompanije MSD će, u koordinaciji sa Pravnom službom i Službom za usklađenost, sarađivati u rešavanju bilo kog upita, inspekcije ili ispitivanja regulatornog organa vlasti zaduženog za privatnost.
   5. Za pritužbe koje se ne mogu rešiti između naše kompanije i pojedinca koji je izjavio pritužbu, naša kompanija se saglasila da učestvuje u sledećim postupcima za rešavanje sporova prilikom ispitivanja i rešavanja pritužbi kako bi se sporovi rešili u skladu s ovom Politikom, međutim, u svako doba, pojedinci koji su rezidenti EEA ili pojedinci o kojima Lične informacije podležu Zakonu o zaštiti podataka EEA i prenose se van EEA, mogu takođe da se pouzdaju u standard 3.f. u daljem tekstu:
      1. za sporove koji uključuju sve Lične informacije koje je naša kompanija primila iz Švajcarske, naša kompanija se saglasila da će sarađivati sa švajcarskim Saveznim komesarom za zaštitu podataka i informacija (Federal Data Protection and Information Commissioner, FDPIC);
      2. za sporove koji uključuju prenos u SAD Ličnih informacija u vezi sa aktivnostima ljudskih resursa koje su prikupljene u kontekstu radnog odnosa u EEA, naša kompanija se takođe obavezuje da će sarađivati s odgovarajućim odborom EU za zaštitu podataka.
      3. za sporove koji uključuju sve druge Lične informacije po osnovu ove Politike, što obuhvata, ali se ne ograničava na one koji se tiču usklađenosti naše kompanije sa Pravila o privatnosti prilikom prekograničnog prenosa podataka (Croos-Border Privacy Rules, „CBPRs”) Azijsko pacifičke ekonomske kooperacije („APEC”), Štitom privatnosti između EU i SAD i Švajcarske i SAD, naša kompanija se saglasila sa rešavanjem spora od strane TRUSTe, pružaoca usluge rešavanja sporova koji se nalazi u SAD. Pojedinci koji postave pitanje ili prijave problem našoj kompaniji i koji ne prime potvrdu prijema upita od naše kompanije ili koji smatraju da njihovo pitanje ili problem nisu rešeni na zadovoljavajući način treba da se obrate TRUSTe Programu rešavanja sporova putem interneta, poštom ili faksom. Na upitima poslatim poštom ili faksom treba naznačiti kompaniju Merck & Co., Inc. ili MSD kao kompaniju kojoj se prijavljuje problem ili postavlja pitanje i treba uključiti i opis problema u vezi sa privatnošću, ime i prezime pojedinca koji podnosi upit i da li TRUSTe može da podeli detalje upita sa našom kompanijom. TRUSTe će postupati kao veza sa našom kompanijom da bi se rešili ovi sporovi.
         1. Online
         2. Faks: +1-415-520-3420
         3. Pošta: Watchdog Complaints, TRUSTe, 835 Market Street, Suite 800, Box 137 San Francisco, CA, SAD 94103-1905
      4. Za više informacija o TRUSTe programu ili procesu rešavanja sporova od strane TRUSTe-ja, posetite TRUSTe na internetu ili zatražite tu informaciju od TRUSTe-ja poštom ili faksom koristeći kontakt podatke navedene u tekstu iznad. Proces rešavanja sporova pred TRUSTe-jem će se voditi na engleskom jeziku.
      5. Za sve sporove koji nastanu po osnovu Štita privatnosti između EU i SAD i Švajcarske i SAD koji nisu rešeni kroz korake opisane u ovom odeljku, pojedinci imaju mogućnost da se pozovu na obavezujuću arbitražu u skladu sa postupcima za Panel Štita privatnosti uspostavljenim u skladu sa Štitom privatnosti između EU-SAD i Švajcarske i SAD.
   6. Svi pojedinci koji su rezidenti EEA ili pojedinci o kojima Lične informacije podležu Zakonu o zaštiti podataka EEA i prenose se van EEA, o kojima se informacije obrađuju u skladu sa ovom Politikom, imaju pravo po osnovu ove Politike, u svako doba, da izvrše zahteve ove Politike kao treća lica-korisnici, što obuhvata i pravo da podnesu tužbu kako bi zatražili pravni lek protiv kršenja svojih prava po osnovu ove Politike (kako je utvrđeno u Odeljku 2 iznad) i pravo da prime naknadu štete koja nastane iz takvog kršenja. Pojedinci koji su rezidenti EEA ili pojedinci o kojima Lične informacije podležu Zakonu o zaštiti podataka EEA i prenose se van EEA (radi izbegavanja nejasnoća, to obuhvata i prenos u SAD), mogu da podnesu tužbu ili pritužbu, po osnovu ove Politike, protiv kompanije Merck Sharp & Dohme (Europe) Inc. – Ogranak u Belgiji („MSD Europe”):
      1. pred sudovima ili organima nadležnim za zaštitu podataka u zemlji EEA iz koje su Lične informacije o njima prenete,
      2. pred sudovima ili organima nadležnim za zaštitu podataka u zemlji EEA u kojoj imaju prebivalište, ili
      3. pred sudovima Belgije ili pred Belgijskom komisijom za zaštitu privatnosti.
   7. Naša kompanija će odgovoriti pojedincu ili pravnom licu koje je postavilo pitanje, izjavilo pritužbu ili prijavilo problem našoj kompaniji u roku od trideset (30) kalendarskih dana, izuzev ukoliko Zakon ili podnosilac zahteva-treće lice zahtevaju odgovor u kraćem roku ili izuzev ukoliko okolnosti zahtevaju duži rok, u kom slučaju će pojedinac ili podnosilac zahteva-treće lice biti pisanim putem obavešteni.
4. Odgovorni smo za poštovanje svojih vrednosti i standarda privatnosti.
   1. Zavisno društvo naše kompanije koje je odgovorno za radnju koja je bila razlog za potvrđeni Incident u vezi sa privatnošću ili Incident u vezi sa bezbednošću je finansijski odgovorno za iznos bilo kog zahteva za naknadu štete ili novčanu kaznu ili sankciju koja nastane kao posledica Incidenta u vezi sa privatnošću ili Incidenta u vezi sa bezbednošću.
      1. U saradnji sa i po nalogu Globalne kancelarije za privatnost kompanije MSD, kompanija MSD Europe je odgovorna za obezbeđivanje da budu preduzete potrebne radnje da bi se rešila sva navodna kršenja ove Politike od strane zavisnih društava naše kompanije van EEA koja pogađaju pojedince koji imaju prebivalište u EEA ili pojedince o kojima Lične informacije podležu Zakonu o zaštiti podataka EEA i prenose se van EEA i, kada se to zahteva, odgovorna je za plaćanje novčanih kazni, penala ili naknade štete dosuđenih zbog kršenja ove Politike koja pogađaju pojedince koji imaju prebivalište u EEA ili pojedince o kojima Lične informacije podležu Zakonu o zaštiti podataka EEA i prenose se van EEA. Uz podršku Globalne kancelarije za privatnost kompanije MSD i zavisnog društva naše kompanije van EEA koje je odgovorno za navodno kršenje, kompanija MSD Europe će biti odgovorna za dokazivanje da naša kompanija nije odgovorna za navodno kršenje. Kada je drugo povezano društvo naše kompanije odgovorno za radnju koja je izazvala novčanu kaznu, penale ili naknadu štete, od tog zavisnog društva se može zahtevati da odmah nadoknadi kompaniji MSD Europe svaki iznos koji je platila. Ako zavisno društvo naše kompanije van EEA prekrši ovu Politiku, sudovi ili organi nadležni za zaštitu podataka u EEA će biti nadležni i pogođeni pojedinac će imati prava i pravne lekove protiv kompanije MSD Europe kako je utvrđeno Odeljkom 3.f. u tekstu iznad.
      2. U saradnji sa i po nalogu Globalne kancelarije za privatnost kompanije MSD, kompanija Merck Sharp & Dohme LLC. je odgovorna za obezbeđivanje da budu preduzete potrebne radnje da bi se rešila sva navodna kršenja ove Politike koja pogađaju pojedince koji imaju prebivalište van EEA i, kada se to zahteva, odgovorna je za plaćanje novčanih kazni, penala ili naknade štete dosuđenih zbog kršenja ove Politike koja pogađaju pojedince koji imaju prebivalište van EEA ili pojedince o kojima Lične informacije ne podležu Zakonu o zaštiti podataka EEA. Kada je drugo povezano društvo naše kompanije odgovorno za radnju koja je izazvala novčanu kaznu, penale ili naknadu štete, od tog zavisnog društva se može zahtevati da odmah nadoknadi kompaniji Merck Sharp & Dohme LLC. svaki iznos koji je platila.

Nadzor i monitoring

Da bismo uverili regulatorne organe i druga zainteresovana lica da je naša kompanija odgovorna u svojoj posvećenosti etičnim i odgovornim praksama zaštite privatnosti, kompanija ima široku grupu za upravljanje nadzorom i monitoringom, koju predvodi Glavni službenik za privatnost, sa posvećenom Globalnom kancelarijom za privatnost (Global Privacy Office, GPO), imenovanim Službenikom za zaštitu podataka u EU (Data Protection Officer, DPO), Službenikom za zaštitu podataka za zemlju, kada to zahtevaju zakon ili lokalni organi, i Nadzornike za privatnost, koje imenuju Viši rukovodioci i koji služe kao veza između Globalne kancelarije za privatnost kompanije MSD i organizacionih oblasti u kojima oni rade.

Naša kompanija se oslanja na Agente zadužene za privatnost prekograničnog prenosa podataka kojima je dužna, u skladu sa Zakonima, da periodično potvrdi svoju usklađenost s uslovima ove Politike i tih Zakona, što obuhvata i APEC-ova CPBR pravila.

Pored kontrolnih pregleda koje sprovodi Globalna kancelarija za privatnost kompanije MSD, interni i eksterni timovi za reviziju će sprovoditi preglede usklađenosti kako bi potvrdili da se kompanija MSD pridržava ove Politike, što obuhvata i sve politike, procedure, standarde i smernice koje su niži akti u odnosu na ovu Politiku. Planovi korektivnih i preventivnih mera će se razvijati i primenjivati kako bi se uklonila odstupanja koja su uočili timovi za reviziju i kontrolu. Rezultati Programa revizije će se saopštavati Glavnom službeniku za privatnost i Odboru za privatnost i zaštitu podataka, koji su odgovorni za njihovo prijavljivanje kako je opisano u ovoj Politici.

Organi nadležni za privatnost i zaštitu podataka koji su odobrili ovu Politiku, ili koji su nadležni za prakse naše kompanije po osnovu ove Politike, imaju pravo da proveravaju našu usklađenost s njom. Pridržavaćemo se saveta ovih nadležnih organa u pogledu tumačenja i primene ove Politike.

Pojmovi koje treba da znate

• Anonimizovano. Izmena, skraćivanje, uništavanje ili druga redakcija ili modifikacija Ličnih podataka tako da one nepovratno ne budu podobne za identifikaciju, lociranje ili kontaktiranje pojedinca, bilo same ili u kombinaciji sa drugim informacijama.
• Incident u vezi sa bezbednošću. Kršenje bezbednosti koje vodi do slučajnog ili nezakonitog uništenja, gubitka, menjanja, neovlašćenog otkrivanja ili pristupa Ličnim informacijama ili opravdano uverenje naše kompanije o tome. Pristup Ličnim informacijama od strane naše kompanije ili u njeno ime bez namere da se prekrši ova Politika ne predstavlja Incident u vezi sa bezbednošću, pod uslovom da se Lične informacije kojima se pristupilo dalje koriste i otkrivaju samo na način dozvoljen ovom Politikom.
• Incident u vezi sa privatnošću. Povreda ili kršenje ove Politike ili Zakona o zaštiti privatnosti i podataka, i obuhvata i Incident u vezi sa bezbednošću. Utvrđivanje da li se dogodio incident u vezi sa privatnošću i da li je on materijalne prirode vrše Globalna kancelarija za privatnost kompanije MSD, Upravljanje rizikom i bezbednost informacione tehnologije (Information Technology Risk Management and Security, ITRMS) i Kancelarija generalnog savetnika.
• Lične informacije. Svi podaci u vezi sa identifikovanim ili pojedincem koji se može identifikovati, uključujući podatke koji identifikuju pojedinca ili koji bi se mogli koristiti za identifikaciju, lociranje, praćenje ili kontaktiranje pojedinca. Lične informacije obuhvataju i informacije koje neposredno mogu da identifikuju pojedinca, kao što su ime i prezime, identifikacioni broj ili jedinstveni naziv radnog mesta i informacije koje posredno mogu da identifikuju pojedinca kao što su datum rođenja, jedinstveni identifikator mobilnog ili prenosnog uređaja, broj telefona kao i kodirani podaci i onlajn identifikatori kao što su IP adrese.
• Naša kompanija. Kompanija Merck & Co., Inc. (Rahway, NJ, SAD), njeni pravni sledbenici, zavisna društva i odeljenja širom sveta, izuzev zajedničkih ulaganja u kojima je naša kompanija jedna od strana.
• Obrađivanje. Vršenje bilo koje operacije ili skupa operacija na informacijama o ljudima, bilo automatski ili ne, što obuhvata, ali se ne ograničava na, prikupljanje, beleženje, organizaciju, čuvanje, pristup, prilagođavanje, menjanje, ponovno preuzimanje, konsultovanje, korišćenje, procenu, analizu, izveštavanje, deljenje, otkrivanje, distribuiranje, prenos, činjenje dostupnim, usklađivanje, kombinovanje, blokiranje, brisanje ili uništenje.
• Osetljive informacije. Sve vrste informacija o ljudima koje nose neodvojivi rizik od moguće štete po pojedince, uključujući informacije koje su definisane zakonom kao osetljive, što obuhvata, ali se ne ograničava na informacije u vezi sa zdravljem, genetske informacije, biometrijske informacije, rasu, etničko poreklo, religiju, političko ili filozofsko mišljenje ili uverenje, kriminalni dosije, precizne informacije o geo-lokaciji, brojeve bankovnih ili drugih finansijskih računa, identifikacione brojeve koje izdaju državni organi, maloletnu decu, seksualni život, seksualnu orijentaciju, pripadnost sindikatu, osiguranje, socijalnu zaštitu i druge pogodnosti koje daju poslodavac ili vlada.
• Treće lice. Svako pravno lice, udruženje ili osoba koje ne poseduje naša kompanija ili nad kojima naša kompanija nema kontrolu ili koje ona ne zapošljava. Izuzev kada je izričito utvrđeno ovom Politikom, od zavisnog društva ili odeljenja naše kompanije se neće zahtevati da ispunjavaju uslove trećeg lica prema ovoj politici pošto se od svih zavisnih društava ili odeljenja zahteva da obrađuju informacije o ljudima u skladu s ovom Politikom, uključujući i u okolnostima kada jedno od zavisnih društava naše kompanije podržava jedno ili više drugih zavisnih društava naše kompanije u obrađivanju.
• Zakon. Svi važeći zakoni, pravila, propisi i službena mišljenja koja imaju snagu zakona u zemlji u kojoj naša kompanija posluje ili u kojoj naša kompanija obrađuje Lične informacije ili se one obrađuju u njeno ime. To obuhvata sve okvire privatnosti po kojima je naša kompanija odobrena ili sertifikovana, uključujući Pravila o privatnosti prilikom prekograničnog prenosa podataka („CBPRs”) Azijsko pacifičke ekonomske kooperacije („APEC”), Štit privatnosti između EU i SAD i Švajcarske i SAD – u skladu s ovlašćenjima Savezne trgovinske komisije SAD u pogledu istrage i izvršenja.

Izmene ove Politike

Ova Politika se može menjati i dopunjavati s vremena na vreme, u skladu sa zahtevima važećeg Zakona. Obaveštenje će biti objavljeno na veb stranici naše kompanije posvećenoj privatnosti (https://www.msdprivacy.com) u trajanju od 60 dana, kad god je ova Politika izmenjena u materijalnom smislu.