worldwide

worldwide

På Merck & Co., Inc. (Rahway, NJ, USA), känt som MSD utanför USA och Kanada, omfattar vårt uppdrag att rädda och förbättra liv även att respektera integriteten och skydda personuppgifter.

Granskningsdatum: Den 1 maj 2022
Giltig från: Den 1 maj 2022

Vi strävar efter att bedriva vår verksamhet i enlighet med våra integritetsvärderingar, eftersom vi anser att de vittnar om vårt kompromisslösa engagemang för en etisk och ansvarsfull arbetspraxis. Vi inser att innovation och ny teknik leder till ständiga förändringar vad gäller risker, förväntningar och lagar. Därför följer vi normer för integritetsansvar och strävar efter att snabbt anpassa vårt sätt att tillämpa dem som svar på dessa förändringar.

Denna policy definierar våra internationella regler för förvaltning och skydd av personuppgifter inom eller på uppdrag av vårt företag, som direkt eller indirekt har sitt ursprung i något land inom Europeiska ekonomiska samarbetsområdet (EES), Schweiz eller någon medlemsstat inom Asia Pacific EconomicCooperation (APEC), och som överförs till något annat land, inklusive överföringar mellan EES och APEC. Den beskriver våra huvudsakliga åtaganden för att möjliggöra efterlevnad av vår APEC-certifiering för en övergripande internationell integritetspolicy, våra bindande företagsregler (Binding Corporate Rules, BCR) som har godkänts inom EU, samt vår självcertifiering för integritetsskölden mellan EU och USA. Den omfattar vår verksamhet i varje land och inom varje aktivitet som berör personuppgifter bedriven inom varje dotterbolag och verksamhetsområde (inklusive de som övertar vår verksamhet). Detta omfattar, men är inte begränsat till, forskning, tillverkning, handel, företagsstöd och hälsovård samt de dataöverföringar som är nödvändiga för att utföra dessa aktiviteter. Dessa omfattar, men är inte begränsade till:

  • Forskning och tillverkning: utvärdera behov och möjligheter för innovation inom vården; inleda, förvalta och finansiera forskningsstudier; granska och anställa forskare, medlemmar av kommittén för vetenskap och etik samt affärspartner för att stödja vår forskning och produktutveckling; rekrytera till våra forskningsstudier; utvärdera säkerhet, effektivitet och kvalitet i våra försöks- och marknadsförda läkemedel; efterleva våra skyldigheter vad gäller produktsäkerhet och kvalitetskrav inklusive hantering och rapportering av biverkningar och kvalitetsreklamationer; ansöka om godkännande och registrering av våra produkter hos hälsoskyddsmyndigheter; samt efterleva lag-, myndighets- och etiska krav.
  • Kommersiella aktiviteter: utvärdering av marknaderna för våra produkter; reklam, marknadsföring, försäljning, distribution och leverans av våra produkter; kommunikation och interaktion med branschkunder, betalande parter, patienter och andra slutanvändare av våra produkter samt vårdgivare åt de som använder våra produkter; sponsring och genomförande av evenemang; utvärdering och anställning av affärspartner för att stödja vår näringsverksamhet, samt efterleva lag-, myndighets- och etiska krav;
  • Företagsstöd: rekrytera, anställa, administrera, vidareutbilda, kommunicera med samt betala personal; administrera förmåner för anställda och personer under deras vårdnad; utvärdera de anställdas prestation och skicklighet; tillhandahålla utbildning, kurser och utvecklingsprogram; vidta disciplinära åtgärder och missnöjesförfaranden; hantera etik och integritetsfrågor och göra utredningar; hantera och säkerställa våra fysiska och virtuella tillgångar och infrastruktur; upphandling och betalning av varor och tjänster; leva upp till företagets åtaganden vad gäller miljö, hälsa, säkerhet och övrigt samhällsansvar; kontakt med media; samt efterleva lag-, myndighets- och etiska krav.
  • Hälsovårdstjänster och -lösningar: förbättra värdet på den vård vi levererar till patienter över hela världen genom evidensbaserade tjänster och lösningar som fokuserar på kliniska tjänster, uppdragslösningar och hälsoanalyser.

Denna policy gäller även för alla de personer vars personuppgifter vi behandlar. Detta omfattar, men är inte begränsat till, våra branschkunder och övriga kunder; framtida, nuvarande och tidigare anställda och personer under deras vårdnad, patienter, vårdgivare, forskare och deltagare i forskningsstudier, medlemmar i kommittén för vetenskap och etik, affärspartner, investerare och aktieägare, statstjänstemän och andra intressenter.

Alla företagets anställda och chefer har grundläggande integritetsansvar som de måste upprätthålla.

Vi inser att oavsiktliga misstag och felbedömningar vad gäller skydd av personuppgifter kan leda till risker för individers integritet och risker för vårt företags anseende, verksamhet, ekonomi och regelefterlevnad. Varje anställd inom vårt företag, och andra som behandlar personuppgifter åt vårt företag, är skyldiga att förstå och upprätthålla sina förpliktelser i enlighet med denna policy och tillämpliga lagar.

Våra integritetsvärderingar och -normer

Vi värnar om våra integritetsvärderingar i allt vi gör som innefattar människor och det gäller även hur vi tillämpar våra integritetsnormer. Våra fyra integritetsvärderingar är:

Respekt

Förtroende

Förebyggande av skada

Regelefterlevnad

Vi inser att integritetsfrågor ofta är förbundna med vår egen natur, hur vi ser på världen och hur vi definierar oss själva. Därför strävar vi efter att respektera individers och samhällens olika synpunkter och intressen och att vara rättvisa och transparenta i hur vi använder och delar information om dem.

Vi vet att förtroende är avgörande för vår framgång. Därför strävar vi efter att bygga upp och bevara det förtroendet våra kunder, anställda, patienter och andra intressenter har för oss vad gäller hur vi respekterar deras integritet och skyddar personuppgifter.

Vi förstår att missbruk av personuppgifter kan skapa både materiella och immateriella skador för individer, så vi strävar efter att förhindra fysiska, ekonomiska eller anseendemässiga och andra typer av integritetsskador på individer.

Vi har lärt oss att lagar och förordningar inte alltid kan hålla jämna steg med den snabba utvecklingen av teknologier, dataflöden och relaterade förändringar vad gäller risker och förväntningar kring integritet. Därför strävar vi efter att efterleva integritets- och dataskyddslagar och -förordningar både bokstavligen och i deras andemening för att gynna konsekventa och effektiva internationella affärsverksamheter.

  1. Våra integritetsnormer genomsyrar alla aktiviteter, processer, tekniker och relationer med tredje parter som använder personuppgifter. Vi integrerar integritetskontroller i våra processer och tekniker som är förenliga med våra integritetsvärderingar och -normer och tillämpliga lagar. Våra åtta integritetsprinciper som beskrivs nedan sammanfattar våra viktigaste integritetsnormer och främsta krav för processer, aktiviteter och relaterad teknik.

    Integritetsprincip

    Våra främsta åtaganden

    1. Nödvändighet: Innan vi samlar in, använder eller delar personuppgifter fastställer och dokumenterar vi de specifika och legitima affärsändamål för vilka de behövs.

    • Vi avgör och dokumenterar hur länge personuppgifter behövs för de fastställda affärsändamålen och tillämpliga lagenliga krav.
    • Vi samlar inte in, använder eller delar mer personuppgifter än vad som behövs och lagrar den inte i identifierbar form längre än vad som behövs för de fastställda affärsändamålen och tillämpliga lagenliga krav.
    • Vi gör informationen anonym när affärsmässiga anledningar kräver att information om aktiviteten eller processen lagras under en längre tid.
    • Vi ser till att dessa nödvändighetskrav integreras i all relaterad teknik och att tredje parter som stödjer aktiviteten eller processen blir informerade om dessa.

    2. Rättvis behandling: Vi behandlar inte personuppgifter på sätt som är orättvisa mot de personer som uppgifterna avser.

    • Vi fastställer huruvida den föreslagna insamlingen, användningen eller annan behandling av personuppgifter innebär en trolig och/eller allvarlig risk för materiella eller immateriella skador på individer i enlighet med vår integritetsvärdering att förebygga skada.
    • Om informationens, människornas eller aktiviteternas natur utgör en trolig och/eller allvarlig risk för materiella eller immateriella skador på individer, ser vi till att risken för skada uppvägs av en motsvarande nytta för de individerna eller för vårt uppdrag att rädda och förbättra liv, och mildras av de åtgärder, skyddsåtgärder och mekanismer som vi har infört.
    • Om risken förefaller uppväga nyttan för individer, behandlar vi endast känslig eller personuppgifter med uttryckligt medgivande från individerna, eller enligt vad som uttryckligen krävs eller tillåts av tillämplig lagstiftning, eller som uttryckligen godkänts av en behörig tillsynsmyndighet.
    • Vi dokumenterar riskanalysen och utformar alla mekanismer som krävs för att inhämta och dokumentera bevis på samtycke i stödjande tekniker.

    3. Transparens: Vi behandlar inte personuppgifter på sätt eller för ändamål som inte är transparenta.

    • Alla individer vars personuppgifter behandlas i enlighet med denna policy ska ha rätt till en kopia av denna policy. Vi kommer att göra kopior av denna policy tillgängliga online på https://www.msdprivacy.com MSD:s globala integritetsavdelning kommer att tillhandahålla elektroniska och/eller papperskopior av denna policy på begäran till adresserna angivna i avsnitt 3.a. nedan.
    • När personuppgifter samlas in direkt från individer informerar vi dem, innan vi samlar in uppgifterna, genom en tydlig, synlig och lättillgänglig integritetsavisering eller liknande medel innan vi samlar in information om (1) företaget eller de enheter som ansvarar för behandlingen, (2) vår datatillsynsmans och/eller regionala/lokala datatillsynsmäns kontaktdetaljer, (3) vilken information som kommer att samlas in, (4) de ändamål för vilka den kommer att användas, (5) de rättsliga grunderna för vår behandling av uppgifter, (6) med vem den kommer att delas, inklusive eventuella krav från myndigheter om lagenligt utlämnande av personuppgifter (7) huruvida och hur vi kommer att överföra personuppgifter till andra länder, inklusive tillämpliga länder om möjligt, (8) hur länge den kommer att lagras hos företaget eller de kriterier vi använder för att fastställa detta, (9) hur de kan ställa en fråga, uttrycka betänkligheter eller utöva sina rättigheter gällande sina personuppgifter, (10) hur de kan återkalla sitt samtycke, (11) deras rätt att lämna in ett klagomål till en tillsynsmyndighet, (12) eventuell skyldighet att lämna in personuppgifter och konsekvenser av att inte göra det, (13) eventuellt automatiserat beslutsfattande, inklusive profilering, som vi kommer att utföra, samt (14) en länk till denna policy när det är möjligt och lämpligt.
    • När personuppgifter erhålls genom observation, sensorer eller andra indirekta medel är det inte alltid möjligt att skicka en integritetsavisering direkt till individen vid tidpunkten då informationen samlas in. I sådana fall garanterar vi individen transparens genom andra medel, t.ex. genom en skriftlig avisering på enheten eller det material som tillhör enheten som samlar in informationen.
    • När personuppgifter samlas in via en webbplats, mobilapp eller annan typ av onlineapplikation eller -resurs tillämpar vi de teknikspecifika normer som anges i vår Internetintegritetspolicy och vårt cookieintegritetåtagande för att säkerställa att kraven på transparens uppfylls i enlighet med denna policy.
    • När personuppgifter samlas in från andra källor och inte specifikt under vårt företags ledning begär vi en skriftlig bekräftelse innan vi erhåller informationen på att leverantören av informationen har informerat individer om de syften och ändamål för vilka vårt företag har för avsikt att använda informationen. Om en skriftlig bekräftelse inte kan erhållas från leverantören av informationen använder vi endast anonym information, eller informerar de berörda individerna före användningen av personuppgifter genom en integritetsavisering eller med liknande medel om (1) den eller de enheter inom vårt företag som ansvarar för behandlingen av informationen, (2) vår datatillsynsmans och/eller regionala/lokala datatillsynsmäns kontaktdetaljer, (3) vilken information vårt företag planerar att använda, (4) de ändamål vårt företag planerar att använda den för,(5) de rättsliga grunderna för vår behandling av uppgifter, (6) med vem vårt företag planerar att dela den, (7) huruvida och hur vi kommer att överföra personuppgifter til andra länder, inklusive tillämpliga länder om möjligt, (8) hur länge den kommer att lagras hos företaget eller de kriterier vi använder för att fastställa detta, (9) hur de kan ställa en fråga, uttrycka betänkligheter eller utöva sina rättigheter gällande sina personuppgifter, (10) hur de kan återkalla sitt samtycke, (11) deras rätt att lämna in ett klagomål till en tillsynsmyndighet, (12) eventuell skyldighet att lämna in personuppgifter och konsekvenser av att inte göra det, (13) eventuellt automatiserat beslutsfattande, inklusive profilering, som vi kommer att utföra samt (14) en länk till denna policy om det är möjligt och lämpligt.
    • Vi ser till att nödvändiga mekanismer för transparens, och om möjligt mekanismer som stöder krav om individuella rättigheter integreras i stödtekniken, och att tredje parter som bidrar till aktiviteten eller processen inte behandlar personuppgifter på sätt som är oförenliga med vad som sagts till individer via integritetsaviseringar eller andra kontrollerbara medel om vad vi och andra som arbetar för oss kommer att göra med informationen.

    4. Ändamålsbegräns ning: Vi använder endast personuppgifter i enlighet med principerna om nödvändighet och transparens.

    • Om nya legitima affärsändamål identifieras för personuppgifter som samlats in tidigare, kommer vi antingen att få individens samtycke till ny användning av personuppgifterna, eller se till att det nya affärsändamålet är kompatibelt med, och väsentligt överensstämmer med,syften som beskrivs i en integritetsavisering eller andra mekanismer för transparens som tidigare meddelats individen. Vi kommer att fastställa kompabiliteten på grundval av (1) eventuell koppling mellan de ursprungliga syftena och det föreslagna nya syftet, (2) individens rimliga förväntningar, (3) personuppgifternas art, (4) konsekvenserna av ytterligare behandling för individen, samt (5) de skyddsåtgärder vi har infört.
    • Vi tillämpar inte denna princip för anonyma uppgifter eller om vi använder personuppgifter enbart för historiska och vetenskapliga forskningsändamål och (1) en etisk granskningskommitté eller annan behörig granskare har fastställt att risken för sådan användning för individens integritet och övriga rättigheter är acceptabelt, (2) vi har infört lämpliga skyddsåtgärder för att säkerställa dataminimering, såsom pseudonymisering och (3) att all annan gällande lagstiftning respekteras.
    • Vi ser till att ändamålsbegränsningarna är integrerade i stödtekniken, inklusive eventuella rapporteringsfunktioner och datadelning nedströms.

    5. Datakvalitet: Vi håller personuppgifterna korrekta, fullständiga och aktuella i överensstämmelse med deras avsedda användningsområd e.

    • Vi ser till att regelbundna datagranskningsmekanismer integreras i stödteknik för att kontrollera datans korrekthet mot källan och andra system nedströms.
    • Vi ser till att känslig information kontrolleras så att den är korrekt och aktuell innan användning, utvärdering, analys, rapportering eller annan behandling som kan utgöra en risk för orättvis behandling av individer vars felaktiga eller inaktuella uppgifter används.
    • När ändringar i personuppgifter görs av vårt företag eller av tredje parter som arbetar för vårt företag, ser vi till att ändringarna meddelas till berörda individer i god tid när detta är rimligen möjligt.

    6. Säkerhet: Vi implementerar skyddsåtgärder för att skydda personuppgifter och känslig information från förlust, missbruk, obehörig tillgång, avslöjande, ändring eller förstörelse.

    • Vi har implementerat ett omfattande informationssäkerhetsprogram och vi tillämpar säkerhetskontroller som bygger på informationens känslighet och aktivitetens risknivå, med hänsyn till bästa praxis inom aktuell teknologi och kostnaden för implementeringen. Våra funktionssäkerhetspolicyer omfattar, men är inte begränsade till, normer för kontinuitet i verksamheten samt återställning, kryptering, identitets- och åtkomsthantering, informationsklassificering, informationssäkerhet, incidenthantering, kontroll av nätverksåtkomst, fysisk säkerhet och riskhantering.

    7. Dataöverföring: Vi är ansvariga för och vi bevarar integritetsskydden för personuppgifter när de överförs till eller från andra organisationer eller över nationsgränser.

    (1) Vi överför personuppgifter inom vårt företag om följande krav är uppfyllda:

    (1) Delningen är nödvändig för att uppfylla det syfte som personuppgifterna ursprungligen samlades in för eller ett annat berättigat intresse för företaget, och (2) syftet för vilket de ska delas och det faktum att de kommer att delas, överensstämmer med integritetsmeddelandet eller annan öppenhetsmekanism som tidigare tillhandahölls till individen vid den tidpunkt då personuppgifterna ursprungligen samlades in och individen gav sitt samtycke där så är nödvändigt, (3) där ett av våra företags dotterbolag agerar enbart på uppdrag av ett annat av våra dotterbolag i behandlingen av personuppgifter, (4) när det krävs enligt lag, kommer dessa dotterbolag i vårt företag att ingå ett internt databehandlingsavtal i enlighet med princip 8 av denna policy.

    (2) Vi överför endast personuppgifter till, eller tillåter att de behandlas av, tredje parter om följande krav är uppfyllda, och vi är ansvariga för att se till så att de tredje parter vi samarbetar med uppfyller dessa krav:

    • Om den tredje partens roll är att behandla personuppgifter för eller på uppdrag av vårt företag görs följande innan vi lämnar ut personuppgifter till eller anlitar tredje part: (1) en fullständig företagsbesiktning vad gäller integritet för att utvärdera integritetspraxis och risker förknippade med dessa tredje parter, (2) erhållande av avtalsmässiga garantier från dessa tredje parter om att de kommer att behandla personuppgifterna endast i enlighet med vårt företags instruktioner och i enlighet med denna policy, inklusive samtliga åtta integritetsprinciper utan begränsningar och andra normer angivna i denna policy och i tillämpliga lagar; att de kommer att meddela vårt företag omgående om alla eventuella integritetsincidenter, inklusive eventuell oförmåga att efterleva de normer som anges i denna policy och i tillämpliga lagar, och säkerhetsincidenter, och att samarbeta för att omedelbart åtgärda sådana incidenter med hänsyn till de individuella rättigheter som beskrivs i avsnitt 2 nedan; att de inte kommer att involvera ett annat företag för att behandla personuppgifterna utan vårt skriftliga tillstånd och utan att ingå ett avtal som innebär motsvarande skyldigheter för dataskydd, att de kommer att radera eller returnera till oss alla personuppgifter efter att de har slutat tillhandahålla tjänster till oss eller på vår begäran, och att de kommer att tillåta vårt företag att granska och övervaka hela behandlingsprocessen för att kontrollera att de uppfyller dessa krav. Vidare, om den tredje parten behandlar personuppgifter med ursprung i ett land eller område med en lagstiftning som begränsar överföring av personuppgifter, kommer vi att säkerställa att överföringen till den tredje parten uppfyller kraven för dataöverföring över nationsgränser enligt vad som beskrivs i (3) nedan.
    • Om den tredje partens roll är att leverera personuppgifter till vårt företag kommer vi innan tar emot personuppgifterna från tredje part att säkerställa att kraven på transparens för insamling av personuppgifter från andra källor och inte specifikt under vårt företags ledning har uppfyllts, och vi begär avtalsmässiga garantier från tredje part som intygar att de inte bryter mot någon lag eller mot tredje parters rättigheter när de tillhandahåller personuppgifter till vårt företag.
    • Om den tredje partens roll att ta emot information för behandling från vårt företag som inte sker specifikt under vårt företags ledning, säkerställer vi innan vi lämnar ut uppgifter till tredje part att informationen är anonym och begär skriftliga garantier från tredje part om att de endast kommer att använda uppgifterna för de affärsändamål som anges i avtalet och i enlighet med tillämpliga lagar, och att de inte kommer att försöka ta använda informationen på nytt senare.
    • Om överföringen till en tredje part krävs för att skydda individens eller företagets berättigade intressen, kan vi överföra informationen: (1) i syfte att förebygga bedrägerier eller för att verkställa eller skydda företagets rättigheter och egendomar, (2) för att skydda vår personals eller tredje parts personliga säkerhet på vår egendom, och (3) för att skydda våra tillgångar genom att vidta korrigerande säkerhetsåtgärder om vi med rimliga skäl misstänker att olaglig verksamhet eller allvarlig försummelse har ägt rum.
    • Om den tredje parten blir föremål för förvärv eller kontrollerande andel från vårt företags sida, (1) genomför vi en fullständig företagsbesiktning vad gäller integritet för att utvärdera integritetspraxis och risker förknippade med förvärvet eller övertagandet av en kontrollerande andel av innan vi ingår ett avtal om förvärv eller övertagande av en kontrollerande andel av den tredje parten, och (2) ingår vi ett avtal om dataöverföring som anger villkoren för utlämning av personuppgifter och vårt företags och den tredje partens respektive skyldigheter.
    • Om den tredje partens roll är att förvärva hela eller delar av vår företagsverksamhet gör vi följande innan vi delar personuppgifter i samband med en avyttring av någon del av vår företagsverksamhet, (1) ingår ett avtal för dataöverföring som anger villkoren för utlämning av personuppgifter till köparen, inklusive lämpliga begränsningar vad gäller tillåten användning av personuppgifter och överensstämmelse med de normer som anges i denna policy och i tillämpliga lagar, (2) granskar alla dataelement om individer innan delningen för att utvärdera kraven för delning, (3) erhåller samtycke om att dela personuppgifter eller känslig information i enlighet med principerna om transparens och ändamålsbegränsning i denna policy, och (4) kräver att den tredje parten meddelar vårt företag omgående i händelse av en relevant integritetsincident, inklusive eventuell oförmåga att efterleva de normer som anges i denna policy och i tillämpliga lagaroch att samarbeta för att omedelbart åtgärda sådana incidenter eller upphöra med bearbetningen av relevanta personuppgifter.

    (3) Vi överför personuppgifter över nationsgränser, inklusive till Amerikas förenta stater, från eller på uppdrag av vårt företag i enlighet med denna policy. Vi kommer att tillämpa denna policy vid överföringar av personuppgifter från andra länder eller territorier med lagstiftning som begränsar överföringen av personuppgifter, förutom att uppfylla kraven i sådana lagar (inklusive användningen av eventuella mekanismer som krävs för gränsöverskridande överföringar).

    8. Lagenlighet: – Vi kommer endast att behandla personuppgifter om tillämpliga lagkrav har uppfyllts.

    • Medan de andra sju integritetsprinciperna, liksom kraven på individuella rättigheter som beskrivs nedan, är avsedda att säkerställa att kraven i de flesta integritets- och dataskyddslagar som gäller för vår verksamhet runt om i världen uppfylls, måste vi i vissa länder uppfylla ytterligare krav, inklusive men inte begränsat till följande:

      1) När det krävs kommer vi att inhämta särskilda former av medgivande för viss behandling av personuppgifter, inklusive men inte begränsat till godkännande av behandling från företagsråd och andra fackföreningar;

      2) När det krävs kommer vi att meddela behandlingen av personuppgifternatill en tillsynsmyndighet för integritet eller dataskydd eller söka dess godkännande;

      3) När det krävs kommer vi att ge en mer omfattande rätt (till exempel, till åtkomst och korrigering) än vad som anges i denna policy;

      4) När det krävs kommer vi att begränsa datalagringstiderna för personuppgifter; och

      5) När det krävs kommer att vi ingå avtal som innehåller särskilda avtalsklausuler, inklusive avtal för dataöverföring till tredje part över nationsgränser.

      6) När det krävs kommer vi att lämna ut personuppgifter som svar på lagenliga förfrågningar från offentliga myndigheter, bland annat för att uppfylla nationella säkerhetskrav eller krav från brottsbekämpande organ.

      I händelse av en konflikt mellan denna policy och en tillämplig lag, kommer den norm som erbjuder mest skydd för individen att gälla.

  2. Vi kommer omgående att behandla enskilda individers begäran om att få tillgång till, ändra, korrigera eller radera personuppgifter eller om att invända mot behandlingen deras personuppgifter, eller för att utöva andra rättigheter avseende deras personuppgifter.
    1. Åtkomst, korrigering,radering och andra rättigheter: Enligt lagstiftningen i de flesta länder där vi är verksamma har individer rätt att få tillgång till personuppgifter om sig själva och att ändra, korrigera eller radera personuppgifter som är felaktiga, ofullständiga eller inaktuella. Vi kommer att godta alla förfrågningar om att få tillgång till, korrigera och radera personuppgifter från alla individer i enlighet med avsnitt 3a nedan. Om en förfrågan om åtkomst, korrigering och radering regleras av en lag som erbjuder ett föreskriver mer skydd för individen kommer vi att säkerställa att de ytterligare kraven i denna lag uppfylls. I vissa länder kan enskilda personer ha andra rättigheter avseende sina personuppgifter, till exempel en rätt att begränsa behandlingen, att motsätta sig behandlingen (se även avsnitt 2b nedan) och att överföra uppgifterna till en annan tjänsteleverantör. Vi kommer att respektera utövandet av datarättigheter i enlighet med gällande lagar.
    2. Valmöjlighet: Vi är konsekventa med våra integritetsvärderingar ”Respekt” och ”Förtroende”, och vi kommer att godta individers invändningar mot användning av personuppgifter, inklusive men inte begränsat till, att inte delta i program eller aktiviteter som de tidigare gick med på att delta i, behandling av personuppgifter om dem för direkt marknadsföringskommunikation, kommunikation riktad till dem baserat på personuppgifter om dem och alla typer av utvärderingar av eller beslut rörande dem som potentiellt kan påverka dem och som har framställts genom automation eller algoritmer.
      1. Förutom när detta förbjuds enligt lag kan vi neka valfrihet om ett visst val skulle hindra vårt företag i sin förmåga att: (1) verka i överensstämmelse med en lag eller en etisk skyldighet, samt även när vi är skyldiga att lämna ut personuppgifter som svar på förfrågningar från offentliga myndigheter, bland annat för att uppfylla nationella säkerhetskrav eller krav från brottsbekämpande organ, inklusive där vi är skyldiga att lämna ut personuppgifter som svar på lagenlig begäran från myndigheter, inklusive att uppfylla nationella säkerhets- eller brottsbekämpningskrav (2) undersöka, göra eller försvara rättsliga anspråk, och (3) uppfylla avtal, förvalta relationer eller delta i andra tillåtna affärsverksamheter som är förenliga med principerna om transparens och ändamålsbegränsning och som ingicks avseende personuppgifterna i fråga. Inom femton arbetsdagar efter ett beslut om att neka en förfrågan om valfrihet i enlighet med denna policy kommer vi att dokumentera och meddela beslutet till individen som gjort förfrågan.
  3. Vi kommer utan dröjsmål att besvara och eskalera alla integritetsrelaterade frågor, reklamationer, problem och andra potentiella integritets- eller säkerhetsincidenter.
    1. Varje individ vars personuppgifter vi behandlar inom ramen för denna policy kan när som helst kommunicera en fråga, en reklamation eller ett problem till vårt företag eller begära en lista över samtliga dotterbolag till vårt företag som omfattas av denna policy. Vi förväntar oss att våra medarbetare och andra som arbetar på uppdrag av vårt företag omgående meddelar om de har anledning att misstänka att tillämplig lagstiftning kan hindra dem från att följa denna policy. Alla frågor, klagomål eller problem som tagits upp av en individ eller varje typ av anmälan från en medarbetare eller annan person som arbetar för vårt företag bör riktas till MSD:s globala avdelning för integritetsfrågor:
      1. Via e-post till: msd_privacy_office@msd.com
      2. Via brev till: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
    2. Anställda och entreprenörer är förpliktade att informera MSD:s globala integritetsavdelning eller den ansvariga för integritetsfrågor inom deras verksamhetsområde om alla frågor, reklamationer eller problem relaterade till vårt företags integritetspraxis.
    3. MSD:s globala integritetsavdelning kommer att granska och utreda, eller samarbeta med avdelningen för etik, juridiska frågor och/eller regelefterlevnad, för att utreda alla frågor, reklamationer eller problem relaterade till vårt företags integritetspraxis, oavsett om de erhållits direkt från anställda eller andra individer eller genom tredje part, inklusive men inte begränsade till tillsynsmyndigheter, ansvarighetsombud och andra statliga myndigheter. Vi kommer att svara till den individ eller myndighet som tog upp frågan, reklamationen eller problemet med vårt företag inom trettio (30) kalenderdagar, såvida inte lagstiftning eller begäran från en tredje part föreskriver en kortare tidsfrist eller om omständigheterna, till exempel en samtidig myndighetsutredning, kr��ver en längre tidsfrist. I det senare fallet kommer personen i eller den tredje parten i fråga att meddelas skriftligen så snart som möjligt om omständigheterna som bidrar till dröjsmålet.
    4. MSD:s globala integritetsavdelning kommer att samarbeta med avdelningarna för lagfrågor och regelefterlevnad i samband med en undersökning, inspektion eller utredning från en integritetstillsynsmyndighet.
    5. Om ett tvistemål inte kan lösas i samförstånd mellan vårt företag och individen som gjort reklamationen, har vårt företag gått med på att delta i följande typer av tvistlösningsprocedurer för att utreda och bemöta reklamationer och tvister i enlighet med denna policy. Dock kan individer med hemvist i EES eller individer vars personuppgifter omfattas av den dataskyddslag som gäller inom EES och överförs utanför EES, också åberopa normen 3.f. nedan:
      1. för tvister gällande personuppgifter mottagna av vårt företag från Schweiz har vårt företag gått med på att samarbeta med den schweiziska federala dataskydds- och informationskommitté (FDPIC);
      2. för tvister gällande överföring till USA av personuppgifter som berör HR-aktiviteter och som samlats in i samband med ett anställningsförhållande i EES, åtar sig vårt företag även att samarbeta med lämpliga dataskyddsmyndighetspanelen inom EU.
      3. för tvister som gäller alla andra personuppgifter enligt denna policy, inklusive men inte begränsat till de som rör vårt företags efterlevnad av APEC:s (Asia Pacific Economic Cooperation) internationella integritetsregler (Cross-Border Privacy Rules, CBPRs), integritetsskölden mellan EU och USA och mellan USA och Schweiz, har vårt företag förbundit sig till tvistlösning med TRUSTe, som är baserat i USA och tillhandahåller tjänster inom tvistelösning. Individer som tar upp en fråga eller ett problem med vårt företag och vars mottagande inte bekräftas av vårt företag eller som anser att deras fråga eller problem inte har bemötts på ett tillfredsställande sätt är välkomna att kontakta TRUSTe:s tvistlösningsprogram via internet, via e-post eller via fax. Förfrågningar via e-post eller fax bör identifiera Merck & Co., Inc. eller MSD som företaget till vilket en fråga eller problem har rapporterats, och bör innehålla en beskrivning av integritetsproblemet, namnet på individen som skickar förfrågan och huruvida TRUSTe får dela information om förfrågan med vårt företag. TRUSTe kommer att representera vårt företag för att lösa dessa tvister.
        1. Online
        2. Fax: +1-415-520-3420
        3. E-post: Watchdog Complaints, TRUSTe, 835 Market Street, Suite 800, Box 137 San Francisco, CA, USA 94103-1905
      4. För mer information om TRUSTe eller TRUSTes tvistlösningsprocess, vänligen besök TRUSTe:s hemsida eller begär denna information från TRUSTe via e-post eller fax med hjälp av kontaktinformationen som anges ovan. TRUSTe tvistlösningsprocess kommer att genomföras på engelska.
      5. För tvister som uppstår under integritetsskölden mellan EU och USA och Schweiz och USA som inte kan lösas i enlighet med de steg som beskrivs i detta avsnitt, har individer möjlighet att åberopa bindande medling enligt de procedurer för integritetssköldspanelen som utarbetats under integritetsskölden mellan EU och USA/Schweiz och USA.
    6. Alla individer bosatta inom EES, eller individer vars personuppgifter omfattas av dataskyddslagen i EES och den överförda utanför EES och vars personuppgifter behandlas i enlighet med denna policy, har enligt denna policy rätt att när som helst åberopa kraven i denna policy i egenskap av tredjepartsförmånstagare, inklusive rätten att vidta rättsliga åtgärder för att söka gottgörelse för brott mot sina rättigheter enligt denna policy (som anges i Avsnitt 2, ovan) och rätten att få skadestånd till följd av sådant brott. Personer bosatta inom EES eller individer vars personuppgifter omfattas av dataskyddslagen i EES och den överförda utanför EES (för tydlighetens skull, inklusive till USA), kan inom ramen för denna policy väcka talan eller lämna in ett klagomål mot Merck, Sharp & Dohme (Europa) Inc:s Belgienfilial (”MSD Europa”):
      1. I domstolarna eller hos dataskyddsmyndigheten i det EES-land från vilket personuppgifter om dem överförts, eller
      2. I domstolarna eller hos dataskyddsmyndigheten i det EES-land där de har sin hemvist, eller
      3. domstolarna i Belgien eller hos den Belgiska integritetskommissionen (Belgian Privacy Commission).
    7. Vårt företag kommer att svara till den fysiska eller juridiska person som tog upp frågan, reklamationen eller problemet med vårt företag inom trettio (30) kalenderdagar, såvida inte lagstiftning eller begäran från en tredje part kräver ett svar inom en kortare tidsfrist eller om omständigheterna kräver en längre tidsfrist. I det senare fallet kommer personen eller den tredje parten i fråga att meddelas skriftligen.
  4. Vi är ansvariga för att upprätthålla våra integritetsvärderingar och -normer.
    1. Dotterbolag till vårt företag som gör sig ansvariga för en åtgärd som ger upphov till en bekräftad integritets- eller säkerhetsincident är ekonomiskt ansvarig för anspråk om skadestånd, böter eller straff som resultat av integritetsincidenten eller säkerhetsincidenten.
      1. I samarbete med och under ledning av MSD:s ercks globala integritetsavdelning, ansvarar MSD Europa för att säkerställa att nödvändiga åtgärder vidtas för att ta itu med eventuella påstådda brott mot denna policy av våra dotterbolag utanför EES, som påverkar individer bosatta inom EES eller individer vars personuppgifter omfattas av dataskyddslagen i EES och den som överförs utanför EES samt, om så krävs, att betala böter, straffavgifter eller skadestånd för brott mot denna policy som påverkar individer bosatta inom EES eller individer vars personuppgifter omfattas av dataskyddslagen i EES och den som överförs utanför EES. Med stöd från MSD:s globala integritetsavdelning och det dotterbolag till vårt företag utanför EES som hålls ansvarigt för den påstådda överträdelsen, ansvarar MSD Europa för att bevisa att vårt företag inte kan hållas ansvarigt för den påstådda överträdelsen. När ett annat dotterbolag till vårt företag hålls ansvarigt för åtgärden som blivit föremål för böter, straffavgifter eller skadestånd kan detta dotterbolag åläggas att utan dröjsmål återbetala MSD Europa för alla belopp som betalats av MSD Europa. Om ett av våra dotterbolag utanför EES bryter emot denna policy, kommer domstolarna eller dataskyddsmyndigheterna i EES ha behörighet och den berörda individen kommer ha de rättigheter och rättigheter gentemot MSD Europa som anges i avsnitt 3.f ovan.
      2. I samarbete med och under ledning av MSD:s globala integritetsavdelning, ansvarar Merck Sharp & Dohme LLC. för att säkerställa att nödvändiga åtgärder vidtas för att ta itu med eventuella påstådda brott mot denna policy som påverkar individer bosatta utanför EES samt, om så krävs, att betala böter, straffavgifter eller skadestånd för brott mot denna policy som påverkar individer bosatta utanför EES eller individer vars personuppgifter inte omfattas av dataskyddslagen i EES. När ett annat dotterbolag till vårt företag hålls ansvarigt för åtgärden som krävde böter, straffavgifter eller skadestånd kan detta dotterbolag åläggas att utan dröjsmål ersätta Merck Sharp & Dohme LLC. för alla belopp som betalats av Merck Sharp & Dohme LLC.

Tillsyn och övervakning

För att ge garantier till tillsynsmyndigheter och andra intressenter att vårt företag tar ansvar för sitt ställningstagande för en etisk och ansvarsfull arbetspraxis vad gäller integritet, upprätthåller företaget en omfattande styrelsegrupp för tillsyn och övervakning som leds av en datatillsynsman med en global integritetsavdelning under sig, en tilldelad EU datatillsynsman, landsdatatillsynsmän där så krävs under lag eller lokala myndigheter, och integritetsinspektörer som utses av högt uppsatta ledare och fungerar som förbindelser mellan MSD:s globala integritetsavdelning och de organisatoriska områden där de arbetar.

Vårt företag kommer att förlita sig på de ombud för integritetsansvar som vi svarar inför att enligt lag och med jämna mellanrum kontrollera vår efterlevnad av kraven i denna policy och dessa lagar, inklusive APEC:s CBPR-regler.

Utöver de garantigranskningar som hanteras av MSD:s globala integritetsavdelning, kommer interna och externa revisions- och garanti grupper att utföra överensstämmelsegranskningar för att verifiera att MSD följer denna policy, inklusive eventuella policyer, förfaranden, normer och riktlinjer som är underordnade denna policy. Korrigerings- och förebyggande handlingsplaner kommer att utvecklas och genomföras för att hantera luckor som observerats av revisions- och garantigrupper. Resultaten av revisionsprogrammet kommer att meddelas till vår datatillsynsman och vår Styrelse för integritet och dataskydd, som ansvarar för att rapportera dem enligt beskrivningen i denna policy.

Integritets- och dataskyddsmyndigheter som har godkänt denna policy eller som har jurisdiktion över vår företagspraxis enligt denna policy har rätt att kontrollera vår efterlevnad av policyn. Vi kommer att följa råd från dessa behöriga myndigheter vad gäller tolkningen och tillämpningen av denna policy.

Termer som du behöver känna till

  • Anonym(isering). Förändring, trunkering, utradering eller andra typer av redigering eller ändring av personuppgifter så att de oåterkalleligen inte längre kan användas för att identifiera, lokalisera eller kontakta en individ, ensamt eller i kombination med annan information.
  • Behandling. Utförande av varje typ av åtgärd eller serie av åtgärder på personuppgifter, oavsett om detta ske automatiskt eller ej, inklusive men inte begränsat till: insamling, inspelning, ordning, lagring, tillgång, anpassning, förändring, hämtning, genomgång, användning, utvärdering, analys, rapportering, delning, utlämnande, spridning, överföring, tillgängliggörande, justering, sammanslagning, blockering, radering, utplåning eller förstöring.
  • Integritetsincident. Ett brott eller en överträdelse av policyn eller en integritets- eller dataskyddslag som även omfattar en säkerhetsincident. Det åligger MSD:s globala integritetsavdelning, avdelningen som hanterar IT-och säkerhetsrisker (Technology Risk Management and Security, ITRMS), och juridikavdelningens högsta chef att avgöra om en integritetsincident har inträffat och huruvida den är av betydelse.
  • Känslig information. Alla personuppgifter som innebär en potentiell risk för skador på individer, inbegripet uppgifter som har definierats som känsliga enligt lag, inklusive men inte begränsat till uppgifter om hälsa, genetik, biometri, ras, etniskt ursprung, religion, politiska eller filosofiska åsikter eller trosuppfattningar, kriminellt förflutet, exakt platsgeografisk information, bank- eller andra finansiella kontonummer, statligt utfärdade ID-nummer, minderåriga barn, sexliv, sexuell läggning, facklig organisationstillhörighet, försäkringar, sociala förmåner och andra förmåner utfärdade av arbetsgivare eller av socialtjänst.
  • Lag. Alla tillämpliga lagar, regler, förordningar och föreskrifter som har laga kraft i ett land där vårt företag verkar eller där personuppgifter behandlas av eller på uppdrag av vårt företag. Detta omfattar alla integritetsramverk under vilka vårt företag har godkänts eller certifierats, inklusive Asia Pacific EconomicCooperations (APEC) internationella integritetsbestämmelser (CBPR-reglerna), integritetsskölden mellan EU och USA och Schweiz och USA under U.S. Federal Trade Commissions utredande och verkställande befogenheter.
  • Personuppgifter. Varje typ av data som avser en identifierad eller identifierbar individ, inklusive data som identifierar en individ eller som kan användas för att identifiera, lokalisera, spåra eller kontakta en individ. Personuppgifter omfattar både direkt identifierbar information som namn, ID-nummer eller unika arbetstitlar och indirekt identifierbar information som födelsedatum, unika serienummer för mobila eller bärbara enheter, telefonnummer samt kodade uppgifter och online identifierare såsom IP adresser.
  • Säkerhetsincident. Ett brott mot säkerheten som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande eller tillgång till personuppgifter, eller vad vårt företag kan rimligen betrakta som sådant. Tillgång till personuppgifter av eller på uppdrag av vårt företag utan avsikt att bryta mot denna policy utgör inte en säkerhetsincident, förutsatt att personuppgifterna endast används och lämnas ut i enlighet med denna policy.
  • Tredje part. Varje typ av juridisk person, förening eller person som inte ägs av vårt företag eller i vilken vårt företag inte äger en kontrollerande andel, eller som inte är anställd av vårt företag. Förutom vad som uttryckligen anges i denna policy är inget dotterbolag eller del av vårt företag skyldiga att uppfylla kraven som ställs av en tredje part enligt denna policy eftersom alla dotterbolag eller avdelningar är skyldiga att behandla personuppgifter i enlighet med denna policy, inklusive under omständigheter där ett av våra dotterbolag samarbetar med ett eller flera andra dotterbolag till vårt företag under behandlingen.
  • Vårt företag. Merck & Co, Inc. (Rahway, NJ, USA), dess efterträdare, dotterbolag och avdelningar över hela världen, exklusive samriskföretag som vårt företag utgör en del av.

Ändringar av denna policy

Denna policy kan ändras emellanåt, i överensstämmelse med kraven i tillämplig lagstiftning. Ett meddelande kommer att läggas upp på företagets integritetswebbplats (https://www.msdprivacy.com) under 60 dagar när denna policy ändras i väsentlig utsträckning.