Глобальная политика по обеспечению конфиденциальности при международной передаче персональных данных

Дата проведения обзора: 1 сентября 2023 г.
Дата вступления в силу: 1 сентября 2023 г.

Мы стараемся вести бизнес в соответствии с нашими ценностями, касающимися защиты права на неприкосновенность частной жизни и персональных данных, потому что считаем, что именно такой подход лучше всего отражает нашу приверженность принципам этичного и ответственного поведения. Мы понимаем, что инновации и новые технологии влекут за собой непрерывные изменения в оценке рисков, ожиданиях и требованиях законодательства, поэтому мы неизменно следуем требованиям стандартов по предоставлению отчетности и стараемся максимально быстро адаптировать их к изменяющимся условиям.

Настоящая Политика определяет наши глобальные стандарты управления персональными данными и их защиты Компанией или от имени Компании вне зависимости от того, в какой стране они были собраны и в какую страну будут переданы. В Политике описаны наши обязательства в отношении исполнения требований сертификации по Правилам обеспечения конфиденциальности APEC при трансграничной передаче данных, наших Обязательных корпоративных правил (Binding corporate rules, BCR), одобренных в ЕС, а также нашей самостоятельной сертификации в соответствии с принципами Программы по защите информации ЕС-США (Data Privacy Framework, DPF), Дополнения к DPF для Великобритании и Программы по защите персональных данных Швейцария-США .

Наша компания соответствует требованиям Программы по защите информации ЕС-США (DPF), дополнительного документа для Великобритании к DPF ЕС-США и Программы по защите информации Швейцарии-США в соответствии со стандартами Министерства торговли США. Мы предоставили Министерству торговли США сертификат, подтверждающий, что мы соблюдаем принципы Программы по защите информации ЕС-США (EU-U.S. DPF) в отношении обработки персональных данных, полученных из Европейского союза в соответствии с EU-U.S. DPF и из Великобритании (а также Гибралтара) в соответствии с Дополнением для Великобритании к документу EU-U.S. DPF. Мы предоставили Министерству торговли США сертификат, подтверждающий, что мы соблюдаем принципы Программы по защите информации Швейцарии-США (Swiss-U.S. DPF) в отношении обработки персональных данных, полученных из Швейцарии в соответствии с Swiss-U.S. DPF. В случае возникновения противоречий между положениями настоящей Политики и принципами EU-U.S. DPF и/или принципами Swiss-U.S. DPF, руководствоваться следует принципами DPF. Чтобы узнать больше о Программе защиты данных (DPF) и ознакомиться с нашей сертификацией, посетите веб-сайт https://www.dataprivacyframework.gov/.

Требования настоящей Политики применимы к нашим подразделениям во всех странах, а также к любой нашей деятельности, подразумевающей работу с информацией о людях, в каждом из наших подразделений и отделов (включая все компании-преемники), включая в том числе исследовательскую деятельность, производство, коммерческую деятельность, корпоративную поддержку, а также передачу данных, необходимую для их осуществления и применения, включая среди прочего следующее:

• Исследования и производство: оценка потребностей и возможностей внедрения инноваций в области медицины и здравоохранения; инициация и финансирование научных исследований, а также управление ими; оценка и привлечение исследователей, членов комитетов по науке и этике и деловых партнеров для поддержки наших научных исследований и разработки продукции; подбор персонала для проведения научных исследований; оценка безопасности, эффективности и качества наших исследуемых и рекламируемых на рынке продуктов; обеспечение соответствия требований к безопасности и качеству продукции, включая работу с нежелательными явлениями и жалобами на качество продукции и соответствующую отчетность; подача заявок и регистрация нашей продукции в органах здравоохранения; соблюдение всех применимых правовых, нормативных и этических требований;
• Коммерческая деятельность: оценка рынков для нашей продукции; реклама, маркетинг, продажа, распределение и поставка нашей продукции; коммуникация и взаимодействие с клиентами — работниками сферы здравоохранения, плательщиками из сферы здравоохранения, пациентами, другими конечными пользователями нашей продукции, а также опекунами пользователей нашей продукции; спонсирование и проведение мероприятий; оценка и привлечение деловых партнеров в целях поддержки нашей коммерческой деятельности; соблюдение соответствующих правовых, нормативных и этических требований;
• Корпоративная поддержка: подбор и наем персонала, управление сотрудниками, развитие сотрудников, коммуникация с ними и оплата их труда; управление льготами для сотрудников и зависящих от них лиц; оценка эффективности труда сотрудников; предоставление учебных и других развивающих программ; осуществление дисциплинарных мер и рассмотрение жалоб; решение вопросов, связанных с этичным поведением и конфиденциальностью, и проведение расследований; управление физическими и виртуальными активами и инфраструктурой и их защита; закупка и оплата товаров и услуг; исполнение наших обязательств в сфере защиты окружающей среды, обеспечения охраны труда и здоровья, а также исполнение наших обязательств в сфере корпоративной ответственности; взаимодействие со СМИ; соблюдение соответствующих правовых, нормативных и этических требований.

Требования Политики также применимы ко всем лицам, данные которых мы обрабатываем, включая в том числе работников сферы здравоохранения и других клиентов; будущих, текущих и бывших сотрудников и зависимых от них лиц, пациентов, опекунов, исследователей и участников исследований, членов комитетов по науке и этике, деловых партнеров, инвесторов и акционеров, государственных служащих и других заинтересованных лиц.

Все сотрудники и руководители Компании, включая высшее руководство, имеют базовые обязанности по обеспечению конфиденциальности, которые они должны выполнять.

Мы понимаем, что неизбежные ошибки и ошибочные суждения, связанные с защитой персональных данных, могут создавать риски приватности для отдельных лиц, а также репутационные, операционные, финансовые и юридические риски для нашей Компании. Мы проводим необходимое обучение данной Политике всех сотрудников и другого персонала, которые имеют постоянный или регулярный доступ к персональным данным и задействованы в сборе данных или разработке инструментария, необходимого для обработки персональных данных. Каждый сотрудник нашей Компании, а также лица, обрабатывающие персональные данные от имени нашей Компании, несут ответственность за правильное понимание и выполнение своих обязательств в соответствии с настоящей Политикой и применимыми законами.

Наши ценности и стандарты в отношении неприкосновенности частной жизни

Мы придерживаемся ценностей в отношении конфиденциальности защиты в каждом аспекте своей деятельности, затрагивающем людей, включая методы применения стандартов в отношении конфиденциальности. Наши ценности в отношении конфиденциальности — это:

Уважение	Доверие	Предотвращение вреда	Соответствие нормам
Мы признаем, что проблемы с обеспечением конфиденциальности часто связаны с тем, кто мы есть, с нашими взглядами на мир и с тем, как мы себя характеризуем, поэтому мы стараемся уважать взгляды и интересы отдельных лиц и сообществ, стремимся быть максимально честными и открытыми в отношении того, как мы используем и передаем их данные.	Мы знаем, что доверие очень важно для нашего успеха, поэтому мы стараемся создать и сохранить доверие клиентов, сотрудников, пациентов и других заинтересованных лиц и показать им, что мы уважаем конфиденциальность и защищаем информацию о людях.	Мы понимаем, что некорректное использование информации о людях может нанести людям как моральный, так и материальный ущерб, поэтому мы стремимся защитить людей от любых физических, финансовых, репутационных и других видов рисков.	Мы уже убедились в том, что законы и нормативно-правовые акты не всегда поспевают за быстро меняющейся ситуацией в сфере технологий, потоков данных и связанными с этим изменениями в ожиданиях и рисках в сфере приватности, поэтому мы стремимся следовать духу и букве закона в отношении конфиденциальности, поддерживая единообразие и эффективность работы во всех наших глобальных подразделениях.

1. Мы внедряем стандарты конфиденциальности во все свои рабочие процессы, технологии и взаимоотношения с третьими лицами, использующими персональные данные. Мы разрабатываем методы управления конфиденциальностью и внедряем их в процессы и технологии, обеспечивая единообразие в ценностях, стандартах и применимых законах. Наши восемь принципов обеспечения конфиденциальности, указанные ниже, включают основные положения стандартов и ключевые требования к процессам, деятельности и вспомогательным технологиям на высшем уровне.

   Принцип конфиденциальности	Наши основные обязательства
   1. Необходимость: прежде чем собрать, использовать или передать Личную информацию, мы определяем и документально фиксируем конкретную и юридически обоснованную рабочую цель таких действий.	Мы определяем и документально фиксируем срок, на который персональные данные понадобятся в указанных рабочих целях и в соответствии с применимыми юридическими требованиями. Мы не собираем, не используем и не передаем больший объем персональных данных, чем нужно. Мы не храним персональные данные в незашифрованном виде дольше, чем необходимо в указанных рабочих целях и в соответствии с применимыми юридическими требованиями. Если существует рабочая необходимость в более длительном хранении данных, мы переводим их в анонимный формат. Мы гарантируем наличие требований к определению необходимости во всех используемых технологиях и передачу таких требований всем третьим лицам, участвующим в процессах.
   2. Честность: мы не обрабатываем персональные данные нечестным образом по отношению к людям, которым принадлежит эта информация.	Мы выясняем, влечет ли предполагаемый сбор, использование или другой вид обработки персональных данных за собой вероятные и/или серьезные моральные или материальные риски для субъектов таких персональных данных в соответствии с нашим принципом Предотвращение вреда. Если характер данных, типы лиц или действий влекут угрозу вероятного и/или серьезного риска морального или материального вреда, мы должны убедиться в том, что риск причинения вреда компенсируется преимуществами для указанных лиц или нашей миссии — спасения жизней и улучшения качества жизни людей, а степень риска снижается благодаря реализованным нами принципам, мероприятиям и мерам защиты. В случаях, когда имеются признаки того, что риск перевешивает преимущества для указанных лиц, мы применяем наиболее подходящие меры безопасности и защиты, информируем людей об этом факте и по возможности обращаемся за консультацией к компетентному регулирующему органу. Мы обрабатываем Чувствительную информацию только с прямого согласия указанных лиц при наличии прямого требования или недвусмысленного разрешения применимого законодательства. В случаях, когда имеются признаки того, что риск перевешивает преимущества для указанных лиц, мы документируем результаты анализа рисков и разрабатываем механизмы, необходимые для минимизации рисков.
   3. Прозрачность: мы не обрабатываем персональные данные в таких целях или такими способами, которые не являются прозрачными.	Все лица, чья информация обрабатывается в соответствии с настоящей Политикой, имеют право на получение текста настоящей Политики. Текст настоящей Политики будет доступен онлайн по адресу https://www.msdprivacy.com. Глобальный отдел обеспечения конфиденциальности (Global Privacy Office, GPO) предоставит по запросу электронные и/или бумажные копии настоящей Политики по адресам, указанным ниже. В случаях, когда персональные данные собираются непосредственно у субъектов персональных данных , мы информируем их об этом до момента сбора информации с помощью четких и понятных уведомлений или аналогичных средств с указанием (1) компании или подразделения, ответственного за обработку, (2) контактной информации нашего Директора по конфиденциальности и/или регионального/местного сотрудника по обеспечению конфиденциальности, (3) типа собираемых данных, (4) целей использования данных, (5) юридического основания для нашей обработки, (6) лиц, которым будут передаваться данные, включая любые требования по разглашению персональных данных в ответ на законные запросы со стороны правительственных органов, (7) будут ли персональные данные переданы в другие страны, включая соответствующие страны, когда это применимо, и каким образом это будет осуществляться, (8) сроков хранения данных или критериев, используемых при их определении, (9) способов получения ответов на возможные вопросы или подачи претензий и осуществления своих прав в отношении персональных данных, (10) способов отзыва предоставленного согласия, (11) прав на подачу жалобы в регулирующий орган, (12) обязательств по предоставлению персональных данных и последствий их непредоставления, (13) автоматизированных процедур принятия решений, которые мы будем использовать, включая составление профилей, и (14) ссылок на настоящую Политику во всех случаях, когда это возможно. Полные тексты примечаний по вопросам конфиденциальности для многих из наших заинтересованных лиц доступны онлайн по ссылке http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html В случае получения персональных данных с помощью наблюдения, датчиков или иных косвенных средств возможность направления владельцу информации уведомления о сборе непосредственно в момент сбора может отсутствовать. В этом случае мы обеспечиваем прозрачность процесса сбора данных иными способами, включая нанесение информации о сборе данных в печатном виде на устройство сбора данных. В случае получения персональных данных с помощью веб-сайта, мобильного приложения или иного онлайн-приложения или ресурса мы применяем специальные стандарты, описанные в Политике по обеспечению конфиденциальности в Интернете и наших Правилах обеспечения конфиденциальности при использовании файлов cookie, с целью обеспечения максимального уровня прозрачности в соответствии с требованиями настоящей Политики. В случае получения персональных данных из других источников, не находящихся в нашем непосредственном владении, мы в письменном виде подтверждаем наличие у поставщика информации уведомления для владельцев информации о целях и методах сбора указанной информации. Если письменное подтверждение не может быть получено у поставщика информации, мы используем только ту информацию, которая имеет статус анонимной, либо перед использованием персональных данных направляем соответствующим лицам уведомление с указанием (1) компании или подразделения, ответственного за обработку, (2) контактной информации нашего Директора по конфиденциальности и/или регионального/местного сотрудника по защите данных, (3) типа данных, которые Компания планирует использовать, (4) целей использования данных, (5) юридических оснований для нашей обработки, (6) лиц, которым будут передаваться данные, (7) будут ли передаваться персональные данные в другие страны, включая соответствующие страны, когда это возможно, и каким образом, (8) сроков хранения данных нашей Компанией или критериев для их определения (9) способов получения ответов на вопросы, подачи претензий или способов реализации своих прав в отношении персональных данных, (10) способов отзыва данного ими согласия, (11) прав на подачу жалобы в надзорный орган, (12) обязательств по предоставлению персональных данных и последствий их непредоставления, (13) автоматизированных процедур принятия решений, используемых нами, включая составление профилей, и (14) ссылок на настоящую Политику во всех случаях, когда это возможно. Мы стремимся обеспечить наличие во всех вспомогательных технологиях обязательных механизмов прозрачности, включая, по возможности, механизмы, поддерживающие возможность индивидуального запроса прав, и стремимся гарантировать соответствие процесса обработки данных третьими сторонами положениям уведомлений о конфиденциальности и иных контролируемых оповещений. Когда мы запрашиваем согласие, мы получаем и документируем свидетельство согласия утвержденным образом.
   4. Ограничение цели: мы используем персональные данные исключительно в соответствии с принципами необходимости и прозрачности.	Если в отношении ранее полученных персональных данных были выявлены новые законные цели применения, мы обеспечим либо получение согласия лица на новый способ использования персональных данных, либо соответствие новых целей применения целям, включая аналогичные ранее описанным в уведомлении о конфиденциальности, либо наличие другого механизма обеспечения прозрачности, предоставленного лицу ранее. Критерием для принятия нами решения о соответствии является (1) соответствие первоначальных целей предлагаемой новой цели, (2) обоснованность ожиданий субъекта персональных данных, (3) категория персональных данных, (4) последствия дальнейшей обработки и (5) принятые нами меры безопасности. Мы не применяем этот принцип к анонимным данным или случаям использования персональных данных исключительно в исторических или исследовательских целях, а также в случаях, когда (1) Комитет этического контроля или другой компетентный надзорный орган определил, что риск использования таких данных с точки зрения приватности и других прав субъекта персональных данных является приемлемым и (2) нами реализованы необходимые меры защиты, направленные на минимизацию объема данных; (3) все данные переведены в анонимную форму; (4) требования всех применимых законов соблюдены. Мы стремимся обеспечить наличие ограничений цели во всех вспомогательных технологиях, включая средства создания отчетности и дальнейшей передачи данных.
   5. Качество данных: мы стремимся поддерживать точность, полноту и соответствие персональных данных целям ее использования. целям их использования	Мы стараемся обеспечивать наличие механизмов периодической проверки данных, встроенных во вспомогательные системы и предназначенных для контроля корректности данных относительно источника и систем передачи данных. Мы стремимся гарантировать проверку точности и актуальности Секретной информации перед ее использованием, оценкой, анализом, созданием отчетности или другими видами обработки, представляющими риск передачи людям искаженной информации в случае использования неточных или устаревших данных. В случае внесения в персональные данные изменений нашей Компанией или третьими сторонами, работающими на нашу Компанию, мы стремимся в установленный срок оповестить об этом заинтересованных лиц в случае возможности.
   6. Безопасность: мы применяем специальные средства для защиты от потери, неправильного использования и несанкционированного доступа, раскрытия, изменения и уничтожения Личной и Чувствительной информации.	Мы используем программу полноценной защиты информации и применяем методы защиты, основанные на степени секретности информации и уровне риска, которым характеризуется деятельность, с учетом передовых практических методов и стоимости внедрения. Наши функциональные политики обеспечения безопасности включают среди прочего стандарты поддержания устойчивости бизнеса и аварийного восстановления, шифрования, идентификации и управления доступом, классификации информации, управления случаями нарушения информационной безопасности, управления доступом в сети, физической безопасности и управления рисками.
   7. Передача данных: в связи с тем, что мы несем ответственность за обеспечение безопасности данных при их передаче, мы соблюдаем все меры обеспечения конфиденциальности персональных данных во время их передачи между или в другие организации или за пределы страны.	(1) Мы передаем персональные данные в случае соблюдения следующих требований: (1) предоставление данных необходимо для осуществления цели первоначального сбора персональных данных или других законных интересов Компании, и (2) цель и факт предоставления данных соответствуют уведомлению о конфиденциальности или другому механизму обеспечения прозрачности, предоставленным лицу при первоначальном сборе персональных данных, с которым данное лицо, в случае необходимости, согласилось, (3) в случае если один из филиалов компании выступает от имени другого филиала в отношении обработки Личной информации, (4) в случае, когда это требуется законодательством, данными филиалами нашей Компании заключают внутренние соглашения об обработке данных в соответствии с Принципом 8 настоящей Политики; (5) в случае, когда это требуется ввиду особенностей применимых IT-технологий, при условии принятия всех необходимых мер безопасности и организационных мер для обеспечения соответствия такой передачи требованиям соблюдения конфиденциальности. (2) Мы передаем или допускаем передачу Личной информации третьими сторонами только при условии соблюдения перечисленных ниже требований. При этом мы несем ответственность за соблюдение этих требований третьими сторонами, задействованными нами: Если задачей третьей стороны является обработка персональных данных от имени нашей Компании, , то перед передачей персональных данных третьей стороне или привлечением третьей стороны мы принимаем следующие меры: (1) проведение комплексной проверки по вопросам обеспечения конфиденциальности для оценки мероприятий по защите информации и рисков, связанных с этими третьими сторонами, (2) получение юридического подтверждения обязательств третьих сторон следовать в процессе обработки персональных данных только инструкциям Компании, а также получение подтверждения обязательства третьих лиц в соответствии с настоящей Политикой, включая все восемь принципов обеспечения конфиденциальности и другие указанные в ней нормы, и применимым законодательством при первой возможности уведомить Компанию о нарушении конфиденциальности, включая неспособность выполнить требования данной Политики или применимого законодательства, или безопасности, принять все возможные меры для устранения последствий нарушения конфиденциальности и обеспечить защиту индивидуальных прав в соответствии с Разделом 2 ниже, предусматривающим, что они не будут привлекать другие компании для обработки персональных данных без нашего письменного согласия и заключения соглашения о равнозначных обязательствах по защите данных, будут удалять или возвращать нам персональные данные по окончании оказания нам услуг или по нашей просьбе, и предоставлять Компании возможность проведения аудита и отслеживания практических методов работы третьих лиц в ходе обработки информации для проверки соответствия указанным требованиям. Кроме того, если третья сторона обрабатывает персональные данные, полученные в стране или на территории, где действуют законы, ограничивающие передачу персональных данных, мы стремимся обеспечить соответствие процесса передачи данных третьим лицам требованиям к трансграничной передаче данных, описанным в пункте (3) ниже. Если обязанности третьих лиц заключаются в предоставлении персональных данных нашей Компании, то перед получением персональных данных от третьих лиц мы стремимся гарантировать выполнение всех внешних требований к прозрачности в процессе сбора персональных данных. Кроме того, в этом случае мы получаем юридическое подтверждение третьих лиц о том, что, предоставляя нам персональные данные, они не нарушают законов и чьих-либо прав. Если обязанности третьих лиц заключаются в получении от нашей Компании информации для обработки, и мы не можем непосредственно контролировать этот процесс, то перед передачей информации третьим лицам мы переведем указанную информацию в анонимный формат и получим от третьих лиц письменное подтверждение намерения использовать информацию только в рабочих целях, указанных в соглашении, и в соответствии с применимым законодательством, а также подтверждение отсутствия намерения повторно идентифицировать полученную информацию. В случае если передача третьему лицу требуется для защиты законных интересов лица или Компании, мы можем передать информацию: (1) в целях предотвращения мошенничества или для исполнения прав или защиты прав и имущества Компании, (2) для обеспечения персональной безопасности наших сотрудников или третьих лиц на нашей территории или (3) для защиты наших активов посредством принятия корректирующих мер безопасности в случае наличия у нас достаточных подозрений в совершении противозаконных действий или серьезных правонарушений. В случае, если наша Компания намеревается приобрести организацию или контрольный пакет акций в организации третьих лиц, то (1) перед заключением соглашения о приобретении организации или контрольного пакета акций мы проводим комплексную проверку по вопросам конфиденциальности для оценки методов обеспечения конфиденциальности и рисков, связанных с приобретением организации или контрольного пакет акций этих третьих лиц, а также (2) заключаем соглашение о передаче данных с указанием правил и условий разглашения персональных данных, а также соответствующих обязательств нашей Компании и третьих лиц. Если роль третьих лиц заключается в полном или частичном приобретении нашей Компании, то перед передачей персональных данных, связанных с отчуждением какой-либо части Компании, мы (1) заключаем соглашение о передаче данных с указанием правил и условий разглашения персональных данных приобретателю, включая соответствующие ограничения допустимого применения персональных данных и соответствия стандартам, указанным в данной Политике и применимом законодательстве, (2) изучаем всю информацию о людях для оценки требований к передаче данных, (3) получаем согласие на передачу персональных данных или секретной информации в соответствии с принципами «Прозрачности» и «Ограничения цели» настоящей Политики, а также (4) требуем от сторонней компании немедленно уведомлять нас обо всех случаях нарушения конфиденциальности, включая неспособность соблюдать стандарты, указанные в данной Политике и применимом законодательстве, а также содействовать в процессе устранения последствий подтвержденных нарушений или в прекращении обработки соответствующих персональных данных. (3) Трансграничная передача персональных данных, включая передачу в Соединенные Штаты Америки, осуществляется нашей Компанией или от нашего имени в соответствии с настоящей Политикой. Мы применяем настоящую Политику к процессам передачи персональных данных из любой другой страны или с любой другой территории, где действуют законы, ограничивающие передачу персональных данных, в дополнение к соблюдению требований, предусмотренных таким законодательством (включая использование процедур, требуемых при трансграничной передаче информации в страны, стандарты защиты данных в которых отличаются от стандартов, применимых в стране сбора информации).
   8. Юридическая допустимость: мы обрабатываем персональные данные только в том случае, если процесс обработки соответствует требованиям всех применимых законов.	Несмотря на то, что остальные семь принципов обеспечения конфиденциальности и нормативы в области защиты прав индивидуальных лиц, описанные ниже, призваны гарантировать удовлетворение требований большинства законов о защите данных, применимых к нашей деятельности в разных странах мира, в некоторых странах к нам применимы дополнительные требования, включая, среди прочего, следующие: 1) при необходимости мы получим специальные формы согласия на обработку Личной информации, включая среди прочего разрешение на обработку информации от советов предприятий и других профсоюзных организаций; 2) при необходимости мы зарегистрируем факт обработки персональных данных или будем добиваться утверждения в соответствующей организации по защите данных и обеспечению конфиденциальности; 3) при необходимости мы предоставим более широкие права (например, права доступа и изменения информации) в сравнении с правами, установленными настоящей Политикой; 4) при необходимости мы ограничим сроки хранения персональных данных; а также 5) при необходимости мы заключим дополнительные соглашения, включая соглашения о международной передаче информации третьим лицам. 6) при необходимости мы раскроем персональные данные на основании законных требований со стороны государственных органов, в том числе в соответствии с требованиями национальной безопасности или требованиями правоохранительных органов. В случае возникновения разночтений между настоящей Политикой и применимым законодательством предпочтение отдается стандарту, обеспечивающему наибольшую степень защиты.

2. Мы при первой возможности выполняем запросы субъектов персональных данных на доступ, изменение, удаление информации о них, а также на осуществление других прав в отношении их персональных данных.
   1. Доступ, изменение, удаление и другие права: согласно требованиям законов большинства стран нашего присутствия, субъекты персональных данных имеют права доступа, изменения или удаления информации о себе, если она является неправильной, неполной или устаревшей. Мы выполняем все запросы на доступ к персональным данным, их изменение или удаление от всех субъектов персональных данных в соответствии с разделом 3a ниже. Если на запрос на получение доступа к персональным данным, их изменение или удаление распространяются требования применимого закона, обеспечивающего более широкую степень защиты субъекта данных, мы сделаем все возможное для соблюдения требований такого закона. В некоторых странах лица могут быть наделены другими правами в отношении персональных данных о себе, например право на ограничение обработки, обжалование (см. также Раздел 2b ниже), и на передачу своих данных другому поставщику услуг. Мы обеспечиваем соблюдение прав в отношении данных в соответствии с действующим законодательством. Некоторые права, в частности право на удаление информации, могут быть ограничены в соответствии с другими нормативными требованиями или в связи с необходимостью отчетности согласно местному законодательству; мы проинформируем вас о наличии таких ограничений.
   2. Выбор: мы воплощаем в жизнь ценности «Уважение» и «Доверие» и выполняем запросы субъектов персональных данных на запрет их обработки, включая среди прочего выход из программ или акций, в которых они ранее согласились принять участие, обработку персональных данных о них для непосредственных маркетинговых коммуникаций, коммуникации, основанные на предоставлении персональных данных, а также автоматическую или программную оценку или решения в отношении субъектов персональных данных, которые могут оказать на них существенное влияние.
      1. Во всех случаях кроме запрещенных законодательством мы имеем право отклонить вышеуказанный запрос, если он препятствует возможности нашей Компании: (1) соблюдать закон или этическое обязательство, в том числе в тех случаях, когда мы обязаны раскрыть персональные данные на основании законных требований со стороны государственных органов, в том числе в соответствии с требованиями национальной безопасности или требованиями правоохранительных органов; (2) расследовать, подавать или защищать юридические иски или (3) заключать контракты, налаживать взаимоотношения или принимать участие в другой деловой деятельности, которая соответствует принципам Прозрачности и Ограничения цели, и которая была начата на основе рассматриваемых персональных данных. В случае отклонения запроса в соответствии с положениями настоящей Политики мы в течение 15 рабочих дней направим автору запроса уведомление об отклонении.
3. В случае возникновения вопросов, жалоб, сомнений или риска потенциального нарушения конфиденциальности или безопасности мы при первой возможности ответим на них и примем меры к их дальнейшему рассмотрению.
   1. Каждый субъект персональных данных, которые мы обрабатываем в соответствии с положениями настоящей Политики, имеет право в любое время задать вопрос, подать жалобу или претензию, включая запрос на предоставление списка дочерних организаций Компании, на которые распространяется действие настоящей Политики. Мы ожидаем, что все сотрудники и подрядчики Компании, в случае возникновения у них сомнений в правомерности применения настоящей Политики, немедленно уведомят об этом Компанию. Все вопросы, жалобы и претензии субъектов данных, а также уведомления со стороны сотрудников или подрядчиков необходимо направлять в Глобальный отдел конфиденциальности (Global Privacy Office, GPO):
      1. Для лиц, проживающих в странах Европейской экономической зоны по электронной почте: euprivacydpo@msd.com
      2. Для других лиц по электронной почте:msd_privacy_office@msd.com
      3. Почтой по адресу: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
   2. Сотрудники и подрядчики обязаны как можно скорее уведомить Глобальный отдел конфиденциальности (Global Privacy Office, GPO) или куратора по вопросам конфиденциальности в своем подразделении о наличии вопросов, жалоб или претензий в отношении практических методов обеспечения конфиденциальности, принятых в Компании.
   3. Глобальный отдел конфиденциальности (Global Privacy Office, GPO) рассмотрит вопрос или проведет расследование, или обратится в Отдел этики, Юридический отдел или Отдел нормативно-правового соответствия для проведения расследования по всем вопросам, жалобам или претензиям, связанным с практическими методами обеспечения конфиденциальности, принятыми в нашей Компании, в случае получения таких вопросов или жалоб от сотрудников, подрядчиков или иных лиц, включая, среди прочего, надзорные органы, агентства по контролю нормативно-правового соответствия и прочие государственные организации. Мы ответим физическому или юридическому лицу, поднявшему вопрос, не позднее тридцати (30) календарных дней, при условии, что ни закон, ни лицо, обратившееся с просьбой, не требуют предоставить ответ в более короткий период, или обстоятельства (включая расследования со стороны государственных органов) не требуют более продолжительного периода времени, о чем физическое или юридическое лицо будут уведомлены в письменном виде при первой возможности.
   4. Глобальный отдел конфиденциальности MSD вместе с Юридическим отделом или Отделом нормативно-правового соответствия предпримет совместные действия, требуемые в связи с запросом, проверкой или расследованием надзорного органа по вопросам конфиденциальности.
   5. В случае если жалобы невозможно решить путем переговоров между нашей Компанией и инициатором жалобы, Компания соглашается принять участие в следующих процедурах расследования и вынесения решения по жалобам, связанным с настоящей Политикой. При этом лица, проживающие в странах Европейской экономической зоны, или лица, обработка персональных данных которых защищена законами стран Европейской экономической зоны на территории других стран, могут также использовать стандарт 3f ниже:
      1. В случае разногласий, касающихся передачи персональных данных, связанных с деятельностью отделов по работе с персоналом в контексте трудоустройства, из Европейской экономической зоны, а также из Великобритании в США, наша Компания обязуется сотрудничать с соответствующей организацией по защите данных в ЕС и Великобритании;
      2. В случае разногласий, связанных с передачей персональных данных, связанной с деятельностью отделов по работе с персоналом в контексте трудоустройства, из Швейцарии в США, наша Компания обязуется сотрудничать с Федеральной организацией по защите данных и информации (FDPIC);
      3. В случае разногласий, связанных с передачей персональных данных с учетом соблюдения нашей Компанией Правил обеспечения конфиденциальности при трансграничной передаче информации (CBPR) в странах Азиатско-Тихоокеанского экономического сотрудничества (АТЭС), наша компания согласилась на разрешение споров нашим Агентом по отчетности, BBB National Programs. Для получения дополнительной информации об объеме нашего участия или для подачи запроса о конфиденциальности через BBB National Programs, нажмите на официальный символ, расположенный в нижней части этой страницы.
      4. В случае разногласий по вопросам передачи персональных данных, связанных с деятельностью, не относящейся к работе с персоналом, с помощью Программы по защите информации ЕС-США (Data Privacy Framework, DPF), Дополнения к DPF для Великобритании и Программы по защите персональных данных Швейцария-США наша компания согласилась на разрешение споров с помощью независимого бесплатного механизма, службы Программы по защите информации, управляемой BBB National Programs. Если вы не получили своевременного подтверждения рассмотрения вашей жалобы или если ваша жалоба не была рассмотрена удовлетворительным образом, посетите сайт https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers для получения дополнительной информации и подачи жалобы.
      5. Все разногласия, связанные с исполнением требований (Data Privacy Framework, DPF), Дополнения к DPF для Великобритании и Программы по защите персональных данных Швейцария-США , которые не удалось разрешить методами, описанными в данном разделе, при определенных условиях могут быть разрешены посредством арбитражного разбирательства с целью рассмотрения оставшихся претензий, не урегулированных другими механизмами возмещения ущерба. См. https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2.
   6. Субъекты персональных данных, обрабатываемых в соответствии с настоящей Политикой, проживающие в странах Европейской экономической зоны, или лица, обработка персональных данных которых защищена законами стран Европейской экономической зоны на территории других стран, согласно настоящей Политике имеют право в любое время настоять на применении требований данной Политики в качестве сторонних выгодоприобретателей, включая право подачи судебного иска о нарушении прав указанных лиц в соответствии с данной Политикой (согласно Разделу 2 выше) и возмещении ущерба, возникшего в результате такого нарушения. Лица, проживающие в странах Европейской экономической зоны, или лица, обработка персональных данных которых защищена законами стран Европейской экономической зоны на территории других стран (во избежание двусмысленного толкования — включая США), могут в соответствии с настоящей Политикой подать иск или жалобу против дочернего предприятия Компании, ответственного за передачу персональных данных из стран Европейской экономической зоны:
      1. в судебные инстанции страны Европейской экономической зоны, в которой расположено данное предприятие, или
      2. в судебные инстанции страны, в которой находится уполномоченный нами сотрудник по защите данных на территории стран Европы, или
      3. в компетентные органы по защите данных (в частности, в стране Европейской экономической зоны, в которой ответственное лицо проживает или работает или в стране, где произошло нарушение), или
      4. в основной орган по защите данных, утвердивший наши обязательные корпоративные правила — Национальную комиссию по вопросам информационных прав и свобод Франции.
   7. Мы ответим физическому или юридическому лицу, поднявшему вопрос, не позднее тридцати (30) календарных дней, при условии, что ни закон, ни лицо, обратившееся с просьбой, не требуют предоставить ответ в более короткий период, или обстоятельства не требуют более продолжительного периода времени, о чем физическое или юридическое лицо будут уведомлены в письменном виде.
4. Мы несем ответственность за следование своим ценностям и соблюдение стандартов поддержания конфиденциальности.
   1. Финансовая ответственность за ущерб по претензиям и уплата штрафа за нарушение конфиденциальности или безопасности возлагается на дочернюю организацию нашей Компании, ответственную за действия, ставшие причиной подтвержденного факта нарушения конфиденциальности или безопасности.
      1. По согласованию и под управлением Глобального отдела конфиденциальности (Global Privacy Office, GPO) сотрудник по защите данных на территории стран Европы несет ответственность за обеспечение наличия соответствующих мер по рассмотрению заявлений о нарушениях настоящей Политики дочерними организациями нашей Компании за пределами Европейской экономической зоны, влияющих на лиц, проживающих в странах Европейской экономической зоны, или лиц, обработка персональных данных которых защищена законами стран Европейской экономической зоны на территории других стран. При необходимости филиал Компании Merck, Sharp & Dohme (Europe) Inc. в США-Бельгии («MSD Европа») несет ответственность за уплату штрафов и возмещение ущерба в результате нарушения настоящей Политики, оказавшего влияние на лиц, проживающих в странах Европейской экономической зоны, или лиц, обработка персональных данных которых защищена законами стран Европейской экономической зоны на территории других стран. Сотрудник по защите данных на территории стран Европы при поддержке Глобального отдела конфиденциальности (Global Privacy Office, GPO) и дочерней организации за пределами Европейской экономической зоны, ответственной за нарушение, несет ответственность за демонстрацию отсутствия причастности Компании к нарушению. Если ответственность за действия, повлекшие за собой штраф или необходимость возмещения ущерба, лежит на дочерней компании MSD Europe, то MSD Europe может предъявить такой компании требование незамедлительного возмещения суммы, выплаченной MSD Europe. Если дочерняя организация нашей Компании за пределами Европейской экономической зоны допустит нарушение данной Политики, то она подпадает под юрисдикцию судов или органов по надзору за защитой данных Европейской экономической зоны, а лицо, чьи права были затронуты, наделяется правами и средствами защиты в отношении дочерней организации, ответственной за передачу персональных данных за пределы Европейской экономической зоны, предусмотренными Разделом 3.f. выше.
      2. По согласованию и под управлением Глобального отдела конфиденциальности (Global Privacy Office, GPO) компания Merck Sharp & Dohme LLC несет ответственность за обеспечение наличия соответствующих мер по рассмотрению заявлений о нарушениях данной Политики дочерними организациями нашей Компании, влияющих на лиц, проживающих за пределами Европейской экономической зоны, и при необходимости за оплату штрафов и возмещение ущерба в результате нарушения данной Политики, оказавшего влияние на лиц, проживающих за пределами странах Европейской экономической зоны, или лиц, обработка персональных данных которых не защищена законами стран Европейской экономической зоны на территории других стран. Если ответственность за действия, повлекшие за собой штраф или необходимость возмещения ущерба, лежит на дочерней компании Merck Sharp & Dohme LLC, то Merck Sharp & Dohme LLC может предъявить такой компании требование незамедлительного возмещения суммы, выплаченной Merck Sharp & Dohme LLC.

Надзор и контроль

В целях предоставления регулирующим органам и другим заинтересованным лицам гарантии приверженности нашей Компании этичным и ответственным методам обеспечения конфиденциальности в Компании имеется группа расширенного контроля и надзора, возглавляемая Директором по вопросам конфиденциальности и имеющая специальный Глобальный отдел обеспечения конфиденциальности (GPO), специальный отдел конфиденциальности по странам ЕС, отдел конфиденциальности в Стране в случае, если это требуется законодательством или местными органами, и кураторов по вопросам конфиденциальности, которые назначаются руководством и служат посредниками между Глобальным отделом обеспечения конфиденциальности MSD и подразделениями организации, в которых они работают.

Наша Компания в своей деятельности также полагается на Агентов по контролю обеспечения конфиденциальности, которым периодически предоставляет отчетность о соответствии требованиям настоящей Политики и применимых законов, включая CBPR APEC.

Дополнительно к внутренним проверкам, осуществляемым Глобальным отделом по обеспечению конфиденциальности MSD, группы внутреннего и внешнего аудита совместно с группами внутреннего контроля должны проводить проверку нормативно- правового соответствия для обеспечения соблюдения MSD данной Политики, включая политики, процедуры, стандарты и руководства, регулируемые данной Политикой. Предусматривается разработка и реализация коррективных и профилактических планов действий в отношении недостатков, выявленных группами аудита и внутреннего контроля. Результаты Программы аудита направляются Директору по конфиденциальности и в Совет по конфиденциальности и защите данных, которые отвечают за отчетность по ним в соответствии с настоящей Политикой.

Организации по защите конфиденциальности и данных, одобрившие данную Политику и обладающие полномочиями контролировать исполнение ее требований нашей Компанией, имеют право проводить проверки соответствия нашей деятельности требованиям Политики. Мы обязаны придерживаться рекомендаций таких организаций относительно интерпретации и применения данной Политики.

Терминология, которую необходимо знать

• Анонимизированный. Означает изменение, разделение, уничтожение или другую переработку или модификацию личной информации с тем, чтобы ее окончательно невозможно было использовать для идентификации, установления местонахождения лица или связи с ним, будь то самостоятельно, или в сочетании с другой информацией
• Законодательство. Все применимые законы, правила, нормативные акты и судебные решения, имеющие юридическую силу в стране осуществления деятельности нашей Компании или стране обработки Личной информации от имени нашей Компании. Сюда относятся все стандарты обеспечения конфиденциальности, в соответствии с которыми наша компания получила одобрения или сертификаты, включая Обязательные корпоративные правила ЕС (EU Binding Corporate Rules, BCR),Правила обеспечения конфиденциальности при международной передаче информации (CBPR) в странах Азиатско-Тихоокеанского экономического сотрудничества (АТЭС), Программу по защите информации ЕС-США (Data Privacy Framework, DPF), Дополнения к DPF для Великобритании и Программы по защите персональных данных Швейцария-США — применимую в процессе проведения расследований и осуществления правоприменительных мер Федеральной торговой комиссии США.
• Наша компания . Означает компанию Merck & Co., Inc. (Роуэй, NJ, США), ее правопреемников, дочерние компании и подразделения по всему миру, за исключением совместных предприятий с участием Компании.
• Личная информация. Любая информация о человеке, чью личность можно установить, включая информацию, идентифицирующую или позволяющую идентифицировать человека, установить его местонахождение, отследить его или связаться с ним. Персональная информация включает как непосредственно идентифицирующую информацию, например имя, идентификационный номер или уникальное название должности, так и косвенно идентифицирующую информацию, такую как дата рождения, уникальный идентификатор мобильного или носимого устройства, номер телефона, а также зашифрованные с помощью ключа данные, онлайн-идентификаторы, такие как IP-адреса, или любые личные действия, поведение или предпочтения, которые могут быть собраны для предоставления услуг или продуктов.
• Инцидент, связанный с конфиденциальностью. Нарушение требований настоящей Политики или закона о защите конфиденциальности или данных, включая нарушение безопасности. Выявление случаев нарушения конфиденциальности и определение их важности должно осуществляться Глобальным отделом конфиденциальности MSD, Отделом по безопасности и управлению рисками, связанными с информационными технологиями (ITRMS) и Отделом генерального юрисконсульта MSD.
• Обработка. Означает выполнение какой-либо операции или последовательности операций с Личной информацией, независимо от того, осуществляется это автоматически или нет, включая, в частности, сбор, регистрацию, организацию, хранение, доступ, адаптацию, изменение, исправление, консультирование, использование, раскрытие, распространение, передачу, предоставление, согласование, объединение, группирование, удаление, стирание или разрушение.
• Нарушение в области персональных данных. Нарушение в области персональных данных, которое влечет случайное или незаконное уничтожение, утрату, изменение, неправомерное разглашение либо получение доступа к Личной информации или обоснованное подозрение Компании об этом. Доступ к Личной информации Компанией или от имени Компании без намерения нарушить положения настоящей Политики не представляет собой нарушение в области персональных данных, при условии, что последующее использование и раскрытие такой информации осуществляется исключительно в соответствии с настоящей Политикой.
• Чувствительная информация. Любая информация о людях, характеризующаяся неотъемлемым риском потенциального причинения им ущерба, включая информацию, определяемую законом как конфиденциальная, включая, помимо прочего, информацию, связанную со здоровьем, генетикой, биометрическими данными, расой, этническим происхождением, религией, политическими или философскими мнениями или убеждениями, криминальной историей, информацию о точном местонахождении, номера банковских или иных финансовых счетов, государственные идентификационные номера, информацию о несовершеннолетних детях, сексуальной жизни, сексуальной ориентации, принадлежности к профсоюзам, страховании, социальном обеспечении и других льготах, предоставленных государством или работодателем.
• Третья сторона. Любое юридическое лицо, ассоциация или физическое лицо, не принадлежащие нашей Компании, в которых наша Компания не имеет контрольного пакета акций, и не работающие на нашу Компанию. Если в настоящей Политике прямо не указано иное, подразделения нашей Компании не обязаны выполнять требования третьих лиц по вопросам, обозначенным в настоящей Политике, так как все наши подразделения обязаны обрабатывать Личную информацию в соответствии с требованиями нашей Политики, включая среди прочего случаи, когда в процессе обработки информации одна из дочерних организаций нашей Компании оказывает поддержку одной или нескольким другим дочерним организациям нашей Компании.

Изменения настоящей Политики

Настоящая Политика может периодически изменяться в соответствии с требованиями применимого законодательства. В случае изменения текста настоящей Политики уведомление об этом будет размещено (https://www.msdprivacy.com) на срок 60 дней на странице сайта Компании, посвященной вопросам конфиденциальности.