VÅRT INTEGRITETSENGAGEMANG

Granskningsdatum: 1 September 2023
Gäller från datum: 1 September 2023

Vi strävar efter att bedriva vår verksamhet i enlighet med våra integritetsvärderingar, eftersom vi anser att de vittnar om vårt kompromisslösa engagemang för en etisk och ansvarsfull arbetspraxis. Vi inser att innovation och ny teknik leder till ständiga förändringar vad gäller risker, förväntningar och lagar. Därför följer vi normer för integritetsansvar och strävar efter att snabbt anpassa vårt sätt att tillämpa dem som svar på dessa förändringar.

Denna policy definierar våra internationella regler för förvaltning och skydd av personuppgifter inom eller på uppdrag av vårt företag, oavsett vilket land personuppgifterna kommer från eller till vilket land de kan överföras. Den beskriver våra huvudsakliga åtaganden för att möjliggöra efterlevnad av vår APEC-certifiering för en övergripande internationell integritetspolicy, våra bindande företagsregler (Binding Corporate Rules, BCR) som har godkänts inom EU, samt vår självcertifiering för ramen för dataskydd mellan EU och USA (EU-U.S. Data Privacy Framework, DPF), Storbritanniens tillägg till Ramen för dataskydd mellan Schweiz och USA.

Vårt företag följer ramen för dataskydd mellan EU och USA (DPF för EU och USA), Storbritanniens tillägg till DPF För EU och USA samt ramen för dataskydd mellan Schweiz och USA (DPF mellan Schweiz och USA) enligt det amerikanska handelsdepartementet. Vi har intygat för USA:s handelsdepartement att vi följer principerna för ramen för dataskydd mellan EU och USA (principer för DPF mellan EU och USA) med avseende på behandlingen av personuppgifter som erhållits från EU med tillit till DPF Mellan EU och USA samt från Storbritannien (och Gibraltar) med tillit till Storbritanniens tillägg till DPF mellan EU och USA. Vi har intygat för USA:s handelsdepartement att vi följer principerna för ramen för dataskydd mellan Schweiz och USA (Principer för DPF mellan Schweiz och USA) med avseende på behandlingen av personuppgifter som erhållits från Schweiz med tillit till DPF mellan Schweiz och USA. I händelse av konflikt mellan villkoren i denna policy och principerna för DPF mellan EU och USA och/eller principerna för DPF mellan Schweiz och USA ska principerna gälla. För att läsa mer om DPF-programmet och för att se vår certifiering kan du besöka https://www.dataprivacyframework.gov/.

Denna policy omfattar vår verksamhet i varje land och inom varje aktivitet rörande personuppgifter som bedrivs inom varje dotterbolag och verksamhetsområde (inklusive de som övertar vår verksamhet). Detta omfattar, men är inte begränsat till, vår forskning, tillverkning, handel, företagsstöd och de dataöverföringar som är nödvändiga för att utföra dessa aktiviteter. Dessa omfattar, men är inte begränsade till:

• Forskning och tillverkning: utvärdering av behov och möjligheter för innovation inom vården; inleda, förvalta och finansiera forskningsstudier; granska och anställa forskare, medlemmar av vetenskapliga och etiska kommittén samt affärspartner för att stödja vår forskning och produktutveckling; rekrytera till våra forskningsstudier; utvärdera säkerhet, effektivitet och kvalitet i våra försöksprodukter och marknadsförda produkter; uppfylla våra skyldigheter vad gäller produktsäkerhet och kvalitet, inklusive hantering och rapportering av biverkningar och kvalitetsklagomål; ansöka om godkännande och registrering av våra produkter hos hälsotillsynsmyndigheter; samt efterleva krav enligt lagar eller bestämmelser och etiska krav.
• Kommersiella aktiviteter: utvärdering av marknaderna för våra produkter; reklam, marknadsföring, försäljning, distribution och leverans av våra produkter; kommunikation och interaktion med branschkunder, betalande parter, patienter och andra slutanvändare av våra produkter samt vårdgivare åt de som använder våra produkter; sponsring och genomförande av evenemang; utvärdering och anställning av affärspartner för att stödja våra kommersiella aktiviteter, samt efterleva krav enligt lagar eller bestämmelser och etiska krav.
• Företagsstöd: rekrytera, anställa, administrera, vidareutbilda, kommunicera med samt betala personal; administrera förmåner för anställda och personer i beroendeställning; utvärdera de anställdas prestation och skicklighet; tillhandahålla utbildning, kurser och utvecklingsprogram; vidta disciplinära åtgärder och missnöjesförfaranden för anställda; hantera etik- och integritetsfrågor och göra utredningar; hantera och säkerställa våra fysiska och virtuella tillgångar och infrastruktur; upphandling och betalning av varor och tjänster; uppfylla företagets åtaganden vad gäller miljö, hälsa, säkerhet och övrigt samhällsansvar; kontakt med media; samt efterleva krav enligt lagar eller bestämmelser och etiska krav.

Denna policy gäller även för alla de personer vars personuppgifter vi behandlar. Detta omfattar, men är inte begränsat till, våra branschkunder och övriga kunder; framtida, nuvarande och tidigare anställda och personer under deras vårdnad, patienter, vårdgivare, forskare och deltagare i forskningsstudier, medlemmar i kommittén för vetenskap och etik, affärspartner, investerare och aktieägare, statstjänstemän och andra intressenter.

Alla företagets anställda och chefer har grundläggande integritetsansvar som de måste upprätthålla.

Vi inser att oavsiktliga misstag och felbedömningar vad gäller skydd av personuppgifter kan leda till risker för individers integritet och risker för vårt företags anseende, verksamhet, ekonomi och regelefterlevnad. Varje anställd inom vårt företag, och andra som behandlar personuppgifter åt vårt företag, är skyldiga att förstå och upprätthålla sina förpliktelser i enlighet med denna policy och tillämpliga lagar.

Våra integritetsvärderingar och -normer

Vi värnar om våra integritetsvärderingar i allt vi gör som innefattar människor och det gäller även hur vi tillämpar våra integritetsnormer. Våra fyra integritetsvärderingar är:

Respekt	Förtroende	Förebyggande av skada	Regelefterlevnad
Vi inser att integritetsfrågor ofta är förbundna med vår egen natur, hur vi ser på världen och hur vi definierar oss själva. Därför strävar vi efter att respektera individers och samhällens olika synpunkter och intressen och att vara rättvisa och transparenta i hur vi använder och delar information om dem.	Vi vet att förtroende är avgörande för vår framgång. Därför strävar vi efter att bygga upp och bevara det förtroendet våra kunder, anställda, patienter och andra intressenter har för oss vad gäller hur vi respekterar deras integritet och skyddar personuppgifter.	Vi förstår att missbruk av personuppgifter kan orsaka både materiella och immateriella skador för enskilda. Därför försöker vi förebygga fysiska, ekonomiska, anseendemässiga och andra typer av integritetsrelaterade skador för enskilda.	Vi har lärt oss att lagar och förordningar inte alltid kan hålla jämna steg med den snabba utvecklingen av teknologier, dataflöden och relaterade förändringar vad gäller risker och förväntningar kring integritet. Därför strävar vi efter att efterleva integritets- och dataskyddslagar och -förordningar både bokstavligen och i deras andemening för att gynna konsekventa och effektiva internationella affärsverksamheter.

1. Våra integritetsnormer genomsyrar alla aktiviteter, processer, tekniker och relationer med tredje parter som använder personuppgifter. Vi integrerar integritetskontroller i våra processer och tekniker som är förenliga med våra integritetsvärderingar och -normer och tillämpliga lagar. Våra åtta integritetsprinciper som beskrivs nedan sammanfattar våra viktigaste integritetsnormer och främsta krav för processer, aktiviteter och relaterad teknik.

   Integritetsprincip	Våra främsta åtaganden
   1. Nödvändighet: Innan vi samlar in, använder eller delar personuppgifter fastställer och dokumenterar vi de specifika och legitima affärsändamål för vilka de behövs.	Vi avgör och dokumenterar hur länge personuppgifter behövs för de fastställda affärsändamålen och tillämpliga krav enligt lag. Vi samlar inte in, använder eller delar mer personuppgifter än vad som behövs, och lagrar dem inte i identifierbar form längre än vad som behövs för de fastställda affärsändamålen och tillämpliga krav enligt lag. Vi anonymiserar informationen när affärsmässiga anledningar kräver att information om aktiviteten eller processen lagras under en längre tid. Vi ser till att dessa nödvändighetskrav integreras i all relaterad teknik och att tredje parter som stödjer aktiviteten eller processen blir informerade om dessa.
   2. Rättvis behandling: Vi behandlar inte personuppgifter på sätt som är orättvisa mot de personer som uppgifterna avser.	Vi fastställer huruvida den föreslagna insamlingen, användningen eller annan behandling av personuppgifter innebär en trolig och/eller allvarlig risk för materiella eller immateriella skador på individer i enlighet med vår integritetsvärdering att förebygga skada. Om informationens, människornas eller aktiviteternas natur utgör en trolig och/eller allvarlig risk för materiella eller immateriella skador på individer, ser vi till att risken för skada uppvägs av en motsvarande nytta för de individerna eller för vårt uppdrag att rädda och förbättra liv, och mildras av de åtgärder, skyddsåtgärder och mekanismer som vi har infört. Om risken förefaller uppväga nyttan för enskilda tillämpar vi de mest relevanta säkerhets- och skyddsåtgärderna, informerar enskilda om detta och rådfrågar en behörig tillsynsmyndighet när det är möjligt.. Vi behandlar endast känsliga uppgifter med de enskildas uttryckliga samtycke, enligt vad som uttryckligen krävs eller tillåts enligt tillämplig lag. Om risken förefaller uppväga nyttan för enskilda dokumenterar vi riskanalysen och utformar alla mekanismer som krävs för att minimera risker så långt det är möjligt.
   3. Transparens: Vi behandlar inte personuppgifter på sätt eller för ändamål som inte är transparenta.	Alla enskilda vars personuppgifter behandlas i enlighet med denna policy ska ha rätt till en kopia av denna policy. Vi kommer att göra kopior av denna policy tillgängliga online på https://www.msdprivacy.com. Den globala integritetsavdelningen kommer att tillhandahålla elektroniska kopior och/eller papperskopior av denna policy på begäran till adresserna som anges nedan. När personuppgifter samlas in direkt från enskilda informerar vi dem, innan vi samlar in uppgifterna, genom en tydlig, synlig och lättillgänglig integritetspolicy eller liknande medel innan vi samlar in information om (1) företaget eller de enheter som ansvarar för behandlingen, (2) vår datatillsynsmans och/eller regionala/lokala datatillsynsmäns kontaktdetaljer, (3) vilken information som kommer att samlas in, (4) de ändamål för vilka den kommer att användas, (5) de rättsliga grunderna för vår behandling av uppgifter, (6) med vem den kommer att delas, inklusive eventuella krav från myndigheter om lagligt utlämnande av personuppgifter, (7) huruvida och hur vi kommer att överföra personuppgifter till andra länder, inklusive tillämpliga länder om möjligt, (8) hur länge den kommer att lagras hos företaget eller de kriterier vi använder för att fastställa detta, (9) hur de kan ställa en fråga, uttrycka betänkligheter eller utöva sina rättigheter gällande sina personuppgifter, (10) hur de kan återkalla sitt samtycke, (11) deras rätt att lämna in ett klagomål till en tillsynsmyndighet, (12) eventuell skyldighet att lämna in personuppgifter och konsekvenser av att inte göra det, (13) eventuellt automatiserat beslutsfattande, inklusive profilering, som vi kommer att utföra, samt (14) en länk till denna policy när det är möjligt och lämpligt. Våra uttömmande integritetspolicyer för många av våra intressenter är tillgängliga online på http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html När personuppgifter erhålls genom observation, sensorer eller andra indirekta medel är det inte alltid möjligt att skicka en integritetsavisering direkt till individen vid tidpunkten då informationen samlas in. I sådana fall garanterar vi individen transparens genom andra medel, t.ex. genom en skriftlig avisering på enheten eller det material som tillhör enheten som samlar in informationen. När personuppgifter samlas in via en webbplats, mobilapp eller annan typ av onlineapplikation eller -resurs tillämpar vi de teknikspecifika normer som anges i vår nätintegritetspolicy och vårt cookie-integritetsåtagande för att säkerställa att kraven på transparens uppfylls i enlighet med denna policy. När personuppgifter samlas in från andra källor och inte specifikt under vårt företags ledning begär vi en skriftlig bekräftelse innan vi erhåller informationen på att leverantören av informationen har informerat individer om de syften och ändamål för vilka vårt företag har för avsikt att använda informationen. Om en skriftlig bekräftelse inte kan erhållas från leverantören av informationen använder vi endast anonym information, eller informerar de berörda individerna före användningen av personuppgifter genom en integritetsavisering eller med liknande medel om (1) den eller de enheter inom vårt företag som ansvarar för behandlingen av informationen, (2) vår datatillsynsmans och/eller regionala/lokala datatillsynsmäns kontaktdetaljer, (3) vilken information vårt företag planerar att använda, (4) de ändamål vårt företag planerar att använda den för,(5) de rättsliga grunderna för vår behandling av uppgifter, (6) med vem vårt företag planerar att dela den, (7) huruvida och hur vi kommer att överföra personuppgifter til andra länder, inklusive tillämpliga länder om möjligt, (8) hur länge den kommer att lagras hos företaget eller de kriterier vi använder för att fastställa detta, (9) hur de kan ställa en fråga, uttrycka betänkligheter eller utöva sina rättigheter gällande sina personuppgifter, (10) hur de kan återkalla sitt samtycke, (11) deras rätt att lämna in ett klagomål till en tillsynsmyndighet, (12) eventuell skyldighet att lämna in personuppgifter och konsekvenser av att inte göra det, (13) eventuellt automatiserat beslutsfattande, inklusive profilering, som vi kommer att utföra samt (14) en länk till denna policy om det är möjligt och lämpligt. Vi ser till att nödvändiga mekanismer för transparens, och om möjligt mekanismer som stöder krav om individuella rättigheter integreras i stödtekniken, och att tredje parter som bidrar till aktiviteten eller processen inte behandlar personuppgifter på sätt som är oförenliga med vad som sagts till individer via integritetsaviseringar eller andra kontrollerbara medel om vad vi och andra som arbetar för oss kommer att göra med informationen. När vi söker samtycke inhämtar och dokumenterar vi bevis på samtycke i vår stödteknik.
   4. Andamålsbe-gränsning: Vi använder endast personuppgifter i enlighet med principerna om nödvändighet och transparens.	Om nya legitima affärsändamål identifieras för personuppgifter som samlats in tidigare, kommer vi antingen att få individens samtycke till ny användning av personuppgifterna, eller se till att det nya affärsändamålet är kompatibelt med, och väsentligt överensstämmer med,syften som beskrivs i en integritetsavisering eller andra mekanismer för transparens som tidigare meddelats individen. Vi kommer att fastställa kompabiliteten på grundval av (1) eventuell koppling mellan de ursprungliga syftena och det föreslagna nya syftet, (2) individens rimliga förväntningar, (3) personuppgifternas art, (4) konsekvenserna av ytterligare behandling för individen, samt (5) de skyddsåtgärder vi har infört. Vi tillämpar inte denna princip för anonyma uppgifter eller om vi använder personuppgifter enbart för historiska och vetenskapliga forskningsändamål och (1) en etisk granskningskommitté eller annan behörig granskare har fastställt att risken för sådan användning för individens integritet och övriga rättigheter är acceptabelt, (2) vi har infört lämpliga skyddsåtgärder för att säkerställa dataminimering, såsom pseudonymisering och (3) att all annan gällande lagstiftning respekteras. Vi ser till att ändamålsbegränsningarna är integrerade i stödtekniken, inklusive eventuella rapporteringsfunktioner och datadelning nedströms.
   5. Datakvalitet: Vi håller personuppgifterna korrekta, fullständiga och aktuella i överensstämmelse med deras avsedda användningsom-råde.	Vi ser till att regelbundna datagranskningsmekanismer integreras i stödteknik för att kontrollera datans korrekthet mot källan och andra system nedströms. Vi ser till att känslig information kontrolleras så att den är korrekt och aktuell innan användning, utvärdering, analys, rapportering eller annan behandling som kan utgöra en risk för orättvis behandling av individer vars felaktiga eller inaktuella uppgifter används. När ändringar i personuppgifter görs av vårt företag eller av tredje parter som arbetar för vårt företag, ser vi till att ändringarna meddelas till berörda individer i god tid när detta är rimligen möjligt.
   6. Säkerhet: Vi implementerar skyddsåtgärder för att skydda personuppgifter och känslig information från förlust, missbruk, obehörig tillgång, avslöjande, ändring eller förstörelse.	Vi har implementerat ett omfattande informationssäkerhetsprogram och vi tillämpar säkerhetskontroller som bygger på informationens känslighet och aktivitetens risknivå, med hänsyn till bästa praxis inom aktuell teknologi och kostnaden för implementeringen. Våra funktionssäkerhetspolicyer omfattar, men är inte begränsade till, normer för kontinuitet i verksamheten samt återställning, kryptering, identitets- och åtkomsthantering, informationsklassificering, informationssäkerhet, incidenthantering, kontroll av nätverksåtkomst, fysisk säkerhet och riskhantering.
   7. Dataöverföring: Vi är ansvariga för och vi bevarar integritetsskydden för personuppgifter när de överförs till eller från andra organisationer eller över nationsgränser.	(1) Vi överför personuppgifter inom vårt företag om följande krav är uppfyllda: ((1) Delningen är nödvändig för att uppfylla det syfte som personuppgifterna ursprungligen samlades in för eller ett annat berättigat intresse för företaget, och (2) syftet för vilket de ska delas och det faktum att de kommer att delas, överensstämmer med integritetspolicyn eller annan transparensmekanism som tidigare tillhandahållits den enskilda vid den tidpunkt då personuppgifterna ursprungligen samlades in och den enskilda gav sitt samtycke där detta krävs. (3) Där ett av våra företags dotterbolag agerar enbart på uppdrag av ett annat av våra dotterbolag i behandlingen av personuppgifter, (4) när det krävs enligt lag kommer dessa dotterbolag till vårt företag att ingå ett internt databehandlingsavtal i enlighet med princip 8 i denna policy. (5) När IT-infrastrukturen kräver sådan överföring, förutsatt att alla lämpliga säkerhetsåtgärder och organisatoriska åtgärder finns på plats för att göra sådan överföring förenlig. (2) Vi överför endast personuppgifter till, eller tillåter att de behandlas av, tredje parter om följande krav är uppfyllda, och vi är ansvariga för att se till så att de tredje parter vi samarbetar med uppfyller dessa krav: Om den tredje partens roll är att behandla personuppgifter för eller på uppdrag av vårt företag görs följande innan vi lämnar ut personuppgifter till eller anlitar tredje part: (1) en fullständig företagsbesiktning vad gäller integritet för att utvärdera integritetspraxis och risker förknippade med dessa tredje parter, (2) erhållande av avtalsmässiga garantier från dessa tredje parter om att de kommer att behandla personuppgifterna endast i enlighet med vårt företags instruktioner och i enlighet med denna policy, inklusive samtliga åtta integritetsprinciper utan begränsningar och andra normer angivna i denna policy och i tillämpliga lagar; att de kommer att meddela vårt företag omgående om alla eventuella integritetsincidenter, inklusive eventuell oförmåga att efterleva de normer som anges i denna policy och i tillämpliga lagar, och säkerhetsincidenter, och att samarbeta för att omedelbart åtgärda sådana incidenter med hänsyn till de individuella rättigheter som beskrivs i avsnitt 2 nedan; att de inte kommer att involvera ett annat företag för att behandla personuppgifterna utan vårt skriftliga tillstånd och utan att ingå ett avtal som innebär motsvarande skyldigheter för dataskydd, att de kommer att radera eller returnera till oss alla personuppgifter efter att de har slutat tillhandahålla tjänster till oss eller på vår begäran, och att de kommer att tillåta vårt företag att granska och övervaka hela behandlingsprocessen för att kontrollera att de uppfyller dessa krav. Vidare, om den tredje parten behandlar personuppgifter med ursprung i ett land eller område med en lagstiftning som begränsar överföring av personuppgifter, kommer vi att säkerställa att överföringen till den tredje parten uppfyller kraven för dataöverföring över nationsgränser enligt vad som beskrivs i (3) nedan. Om den tredje partens roll är att leverera personuppgifter till vårt företag kommer vi innan vi tar emot personuppgifterna från tredje part att säkerställa att kraven på transparens för insamling av personuppgifter från andra källor och inte specifikt under vårt företags ledning har uppfyllts, och vi begär avtalsmässiga garantier från tredje part som intygar att de inte överträder någon lag eller tredje parters rättigheter genom att tillhandahålla vårt företag personuppgifter. Om den tredje partens roll att ta emot information för behandling från vårt företag som inte sker specifikt under vårt företags ledning, säkerställer vi innan vi lämnar ut uppgifter till tredje part att informationen är anonymiserad och begär skriftliga garantier från tredje parten om att de endast kommer att använda uppgifterna för de affärsändamål som anges i avtalet och i enlighet med tillämpliga lagar, och att de inte kommer att försöka återidentifiera informationen. Om överföringen till en tredje part krävs för att skydda individens eller företagets berättigade intressen, kan vi överföra informationen: (1) i syfte att förebygga bedrägerier eller för att verkställa eller skydda företagets rättigheter och egendomar, (2) för att skydda vår personals eller tredje parts personliga säkerhet på vår egendom, och (3) för att skydda våra tillgångar genom att vidta korrigerande säkerhetsåtgärder om vi med rimliga skäl misstänker att olaglig verksamhet eller allvarlig försummelse har ägt rum. Om den tredje parten blir föremål för förvärv eller kontrollerande andel från vårt företags sida, (1) genomför vi en fullständig företagsbesiktning vad gäller integritet för att utvärdera integritetspraxis och risker förknippade med förvärvet eller övertagandet av en kontrollerande andel av innan vi ingår ett avtal om förvärv eller övertagande av en kontrollerande andel av den tredje parten, och (2) ingår vi ett avtal om dataöverföring som anger villkoren för utlämnande av personuppgifter och vårt företags och den tredje partens respektive skyldigheter. Om den tredje partens roll är att förvärva hela eller delar av vår företagsverksamhet gör vi följande innan vi delar personuppgifter i samband med en avyttring av någon del av vår företagsverksamhet, (1) ingår ett avtal för dataöverföring som anger villkoren för utlämning av personuppgifter till köparen, inklusive lämpliga begränsningar vad gäller tillåten användning av personuppgifter och överensstämmelse med de normer som anges i denna policy och i tillämpliga lagar, (2) granskar alla dataelement om individer innan delningen för att utvärdera kraven för delning, (3) erhåller samtycke om att dela personuppgifter eller känslig information i enlighet med principerna om transparens och ändamålsbegränsning i denna policy, och (4) kräver att den tredje parten meddelar vårt företag omgående i händelse av en relevant integritetsincident, inklusive eventuell oförmåga att efterleva de normer som anges i denna policy och i tillämpliga lagaroch att samarbeta för att omedelbart åtgärda sådana incidenter eller upphöra med bearbetningen av relevanta personuppgifter. (3) Vi överför personuppgifter över nationsgränser, inklusive till Amerikas förenta stater, från eller på uppdrag av vårt företag i enlighet med denna policy. Vi kommer att tillämpa denna policy vid överföringar av personuppgifter från andra länder eller territorier med lagstiftning som begränsar överföringen av personuppgifter, förutom att uppfylla kraven i sådana lagar (inklusive användningen av eventuella mekanismer som krävs för gränsöverskridande överföringar).
   8. Lagenlighet: – Vi kommer endast att behandla personuppgifter om krav enligt tillämpliga lagar är uppfyllda.	Medan de andra sju integritetsprinciperna, liksom kraven på individuella rättigheter som beskrivs nedan, är avsedda att säkerställa att kraven i de flesta integritets- och dataskyddslagar som gäller för vår verksamhet runt om i världen uppfylls, måste vi i vissa länder uppfylla ytterligare krav, inklusive men inte begränsat till följande: 1) När det krävs kommer vi att inhämta särskilda former av medgivande för viss behandling av personuppgifter, inklusive men inte begränsat till godkännande av behandling från företagsråd och andra fackföreningar; 2) När det krävs kommer vi att meddela behandlingen av personuppgifternatill en tillsynsmyndighet för integritet eller dataskydd eller söka dess godkännande; 3) När det krävs kommer vi att ge en mer omfattande rätt (till exempel, till åtkomst och korrigering) än vad som anges i denna policy; 4) När det krävs kommer vi att ytterligare begränsa datalagringstiderna för personuppgifter. 5) När det krävs kommer att vi ingå avtal som innehåller särskilda avtalsklausuler, inklusive avtal för gränsöverskridande dataöverföring till tredje parter. 6) När det krävs kommer vi att lämna ut personuppgifter som svar på lagenliga förfrågningar från offentliga myndigheter, bland annat för att uppfylla nationella säkerhetskrav eller krav från brottsbekämpande organ. I händelse av en konflikt mellan denna policy och en tillämplig lag, kommer den norm som erbjuder mest skydd för individen att gälla.

2. Vi kommer omgående att behandla enskilda individers begäran om att få tillgång till, ändra, korrigera eller radera personuppgifter eller om att invända mot behandlingen deras personuppgifter, eller för att utöva andra rättigheter avseende deras personuppgifter.
   1. Åtkomst, korrigering,radering och andra rättigheter: Enligt lagstiftningen i de flesta länder där vi är verksamma har enskilda rätt att få tillgång till personuppgifter om sig själva och att ändra, korrigera eller radera personuppgifter som är felaktiga, ofullständiga eller inaktuella. Vi kommer att godta varje begäran om att få tillgång till, korrigera och radera personuppgifter från alla enskilda i enlighet med avsnitt 3a nedan. Om en begäran om åtkomst, korrigering och radering regleras av en lag som ger enskilda ett större skydd kommer vi att säkerställa att de ytterligare kraven i den lagen uppfylls. I vissa länder kan enskilda ha andra rättigheter avseende sina personuppgifter, till exempel en rätt att begränsa behandlingen, att motsätta sig behandlingen (se även avsnitt 2b nedan) och att överföra uppgifterna till en annan tjänsteleverantör. Vi kommer att respektera utövandet av datarättigheter i enlighet med gällande lagar. Vissa rättigheter som radering kan vara begränsade enligt andra myndighetskrav eller nödvändigheten av att följa lokal efterlevnadsrapportering. I sådana fall kommer vi att informera dig om dessa begränsningar i tillämpliga fall.
   2. Valmöjlighet: I överensstämmelse med våra integritetsvärderingar ”Respekt” och ”Förtroende” kommer vi att godta enskildas invändningar mot användning av personuppgifter, inklusive men inte begränsat till, att inte delta i program eller aktiviteter som de tidigare samtyckt till att delta i, behandling av personuppgifter om dem för direktmarknadsföring, kommunikation riktad till dem baserat på personuppgifter om dem och alla typer av utvärderingar av eller beslut rörande dem som potentiellt kan påverka dem och som har framställts genom automation eller algoritmer.
      1. Förutom när det är förbjudet enligt lag kan vi neka valmöjligheten när en viss sådan begäran skulle försämra vårt företags förmåga att: (1) efterleva en lag eller etisk förpliktelse, inklusive där vi måste lämna ut personuppgifter som svar på laglig begäran från offentliga myndigheter, inklusive för att uppfylla krav som rör nationell säkerhet eller brottsbekämpning, (2) utreda, ställa eller försvara rättsliga anspråk och (3) uppfylla avtal, hantera relationer eller delta i andra tillåtna affärsverksamheter som är förenliga med principerna för transparens och ändamålsbegränsning och som vi ingått med tillit till uppgifterna om personerna i fråga. Inom femton arbetsdagar efter ett beslut om att neka en begäran om valmöjlighet i enlighet med denna policy kommer vi att dokumentera och meddela beslutet till den som gjort begäran.
3. Vi kommer utan dröjsmål att besvara och eskalera alla integritetsrelaterade frågor, reklamationer, problem och andra potentiella integritets- eller säkerhetsincidenter.
   1. Varje individ vars personuppgifter vi behandlar inom ramen för denna policy kan när som helst kommunicera en fråga, en reklamation eller ett problem till vårt företag eller begära en lista över samtliga dotterbolag till vårt företag som omfattas av denna policy. Vi förväntar oss att våra medarbetare och andra som arbetar på uppdrag av vårt företag omgående meddelar om de har anledning att misstänka att tillämplig lagstiftning kan hindra dem från att följa denna policy. Alla frågor, klagomål eller problem som tagits upp av en individ eller varje typ av anmälan från en medarbetare eller annan person som arbetar för vårt företag bör riktas till MSD:s globala avdelning för integritetsfrågor:
      1. Via e-post för enskilda som är bosatta inom det Europeiska ekonomiska samarbetsområdet (EES) till: euprivacydpo@msd.com
      2. Annars via e-post till: msd_privacy_office@msd.com
      3. Via brev till: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
   2. Anställda och entreprenörer är förpliktade att informera MSD:s globala integritetsavdelning eller den ansvariga för integritetsfrågor inom deras verksamhetsområde om alla frågor, reklamationer eller problem relaterade till vårt företags integritetspraxis.
   3. Den globala integritetsavdelningen kommer att granska och utreda, eller samarbeta med avdelningen för etik, juridiska frågor och/eller regelefterlevnad, för att utreda alla frågor, klagomål eller problem relaterade till vårt företags integritetspraxis, oavsett om de erhållits direkt från anställda eller andra enskilda eller genom tredje part, inklusive men inte begränsade till tillsynsmyndigheter, ansvarighetsombud och andra myndigheter. Vi kommer att svara den enskilda eller myndighet som kommunicerade frågan, klagomålet eller problemet till vårt företag inom trettio (30) kalenderdagar, såvida inte lagstiftning eller begäran från en tredje part föreskriver en kortare tidsfrist eller om omständigheterna, till exempel en samtidig myndighetsutredning, kräver en längre tidsfrist. I det senare fallet kommer den enskilda eller den tredje parten i fråga att meddelas skriftligen så snart som möjligt om omständigheterna som bidrar till dröjsmålet.
   4. Den globala integritetsavdelningen kommer att samarbeta med avdelningen för juridik och efterlevnad till svar på en förfrågan, inspektion eller utredning från en integritetstillsynsmyndighet.
   5. Om ett klagomål inte kan lösas i samförstånd mellan vårt företag och den enskilda som ingett klagomålet har vårt företag samtyckt till att delta i följande typer av tvistlösningsförfaranden för utredning och åtgärdande av klagomål för att lösa tvister i enlighet med denna policy. Dock kan enskilda med hemvist i EES eller enskilda vars personuppgifter omfattas av den dataskyddslag som gäller inom EES och överförs utanför EES, också åberopa normen 3.f. nedan:
      1. För tvister gällande överföring av personuppgifter relaterade till HR-aktiviteter i samband med ett anställningsförhållande från EES och Storbritannien till USA förbinder sig vårt företag att samarbeta med tillämplig dataskyddsmyndighets panel i EU och Storbritannien.
      2. För tvister gällande överföring av personuppgifter relaterade till HR-aktiviteter i samband med ett anställningsförhållande från Schweiz till USA, förbinder sig vårt företag att samarbeta med den schweiziska federala dataskydds- och informationskommittén (FDPIC).
      3. För tvister gällande överföring av personuppgifter i enlighet med vårt företags efterlevnad av APEC:s (Ekonomiska samarbetet i Asien och Stillahavsområdet) gränsöverskridande integritetsregler (”CBPR”) mellan APEC-ekonomierna, har vårt företag samtyckt till tvistlösning med vår ansvarsskyldighetsagent, BBB National Programs. För mer information om omfattningen av vårt deltagande, eller för att skicka en integritetsförfrågan via BBB National Programs, klicka på den officiella stämpeln längst ned på denna sida.
      4. För tvister gällande överföringen av personuppgifter som inte berör HR-aktiviteter genom ramen för dataskydd mellan EU och för dataskydd mellan EU och USA (EU-U.S. Data Privacy Framework, DPF), Storbritanniens tillägg till Ramen USA, har vårt företag samtyckt till tvistlösning (kostnadsfritt) av en oberoende regressmekanism, DPF-tjänst, som drivs av BBB National Programs. Om du inte får en bekräftelse på ditt klagomål i tid, eller om ditt klagomål inte behandlas på ett tillfredsställande sätt, kan du besöka https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers för mer information och för att inge ett klagomål.
      5. I händelse av tvist som uppstår under ramen för dataskydd mellan EU och för dataskydd mellan EU och USA (EU-U.S. Data Privacy Framework, DPF), Storbritanniens tillägg till Ramen USA som inte löses genom de steg som beskrivs i det här avsnittet kan enskilda under vissa omständigheter åberopa bindande skiljedomsförfarande för vissa återstående anspråk som inte lösts med andra prövningsmekanismer. Se https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2.
   6. Alla enskilda som är bosatta inom EES, eller enskilda vars personuppgifter omfattas av dataskyddslagen i EES och överförs utanför EES, och vars personuppgifter behandlas i enlighet med denna policy, har enligt denna policy rätt att när som helst åberopa kraven i denna policy i egenskap av tredjepartsförmånstagare, inklusive rätten att vidta rättsliga åtgärder för att söka gottgörelse för brott mot sina rättigheter enligt denna policy (som anges i Avsnitt 2, ovan) och rätten att få skadestånd till följd av sådant brott. Enskilda som är bosatta inom EES eller enskilda vars personuppgifter omfattas av dataskyddslagen i EES och överförs utanför EES (för tydlighetens skull, inklusive till USA), kan inom ramen för denna policy väcka talan eller lämna in ett klagomål mot företagets dotterbolag som är ansvarigt för exporten av personuppgifterna från EES: inför:
      1. jurisdiktionen för dataexportören i EES, eller
      2. jurisdiktionen för det land där vårt europeiska dataskyddsombud är beläget, eller
      3. behöriga dataskyddsmyndigheter (särskilt i den medlemsstat där han/hon har sin vanliga hemvist, arbetsplats eller platsen för den påstådda överträdelsen), eller
      4. våra ledande dataskyddsmyndigheter som har instruerat våra bindande företagsbestämmelser: franska CNIL.
   7. Vårt företag kommer att svara till den fysiska eller juridiska person som tog upp frågan, reklamationen eller problemet med vårt företag inom trettio (30) kalenderdagar, såvida inte lagstiftning eller begäran från en tredje part kräver ett svar inom en kortare tidsfrist eller om omständigheterna kräver en längre tidsfrist. I det senare fallet kommer personen eller den tredje parten i fråga att meddelas skriftligen.
4. Vi är ansvariga för att upprätthålla våra integritetsvärderingar och -normer.
   1. Dotterbolag till vårt företag som gör sig ansvariga för en åtgärd som ger upphov till en bekräftad integritets- eller säkerhetsincident är ekonomiskt ansvarig för anspråk om skadestånd, böter eller straff som resultat av integritetsincidenten eller säkerhetsincidenten.
      1. i. I samarbete med och under ledning av den globala integritetsavdelningen ansvarar det europeiska dataskyddsombudet för att säkerställa att nödvändiga åtgärder vidtas för att hantera eventuella påstådda överträdelser av denna policy från våra dotterbolag utanför EES, som berör enskilda bosatta inom EES eller enskilda vars personuppgifter omfattas av dataskyddslagen i EES och som överförs utanför EES. När det krävs kommer Merck, Sharp & Dohme (Europe) Inc., USA – filialen i Belgien (”MSD Europa”) att vara ansvarig för att betala böter, straffavgifter eller skadestånd för överträdelse av denna policy som påverkar enskilda bosatta inom EES eller enskilda vars personuppgifter omfattas av dataskyddslagen i EES och överförs utanför EES. Med stöd från den globala integritetsavdelningen och det dotterbolag till vårt företag utanför EES som hålls ansvarigt för den påstådda överträdelsen ansvarar det europeiska dataskyddsombudet för att bevisa att vårt företag inte kan hållas ansvarigt för den påstådda överträdelsen. När ett annat dotterbolag till vårt företag hålls ansvarigt för åtgärden som blivit föremål för böter, straffavgifter eller skadestånd kan detta dotterbolag åläggas att utan dröjsmål ersätta MSD Europa för alla belopp som betalats av MSD Europa. Om ett av våra dotterbolag utanför EES bryter mot denna policy, har domstolarna eller dataskyddsmyndigheterna i EES behörighet och den enskilda som berörs har de rättigheter och rättsmedel gentemot det av företagets dotterbolag som ansvarar för exporten av personuppgifterna ut ur EES så som anges i avsnitt 3.f ovan.
      2. I samarbete med och under ledning av MSD:s globala integritetsavdelning, ansvarar Merck Sharp & Dohme LLC. för att säkerställa att nödvändiga åtgärder vidtas för att ta itu med eventuella påstådda brott mot denna policy som påverkar individer bosatta utanför EES samt, om så krävs, att betala böter, straffavgifter eller skadestånd för brott mot denna policy som påverkar individer bosatta utanför EES eller individer vars personuppgifter inte omfattas av dataskyddslagen i EES. När ett annat dotterbolag till vårt företag hålls ansvarigt för åtgärden som krävde böter, straffavgifter eller skadestånd kan detta dotterbolag åläggas att utan dröjsmål ersätta Merck Sharp & Dohme LLC. för alla belopp som betalats av Merck Sharp & Dohme LLC.

Tillsyn och övervakning

För att garantera tillsynsmyndigheter och andra intressenter om att vårt företag tar ansvar för sitt ställningstagande för en etisk och ansvarsfull arbetspraxis vad gäller integritet, upprätthåller företaget en omfattande styrelsegrupp för tillsyn och övervakning som leds av ett ansvarigt integritetsombud med en global integritetsavdelning under sig, ett särskilt EU-dataskyddsombud, landsdataskyddsombud där så krävs enligt lag eller lokala myndigheter, och integritetsinspektörer som utses av seniora ledare och fungerar som förbindelser mellan den globala integritetsavdelningen och de organisatoriska områden där de arbetar.

Vårt företag kommer att förlita sig på de ombud för integritetsansvar som vi svarar inför att enligt lag och med jämna mellanrum kontrollera vår efterlevnad av kraven i denna policy och dessa lagar, inklusive APEC:s CBPR-regler.

Utöver de garantigranskningar som hanteras av MSD:s globala integritetsavdelning, kommer interna och externa revisions- och garanti grupper att utföra överensstämmelsegranskningar för att verifiera att MSD följer denna policy, inklusive eventuella policyer, förfaranden, normer och riktlinjer som är underordnade denna policy. Korrigerings- och förebyggande handlingsplaner kommer att utvecklas och genomföras för att hantera luckor som observerats av revisions- och garantigrupper. Resultaten av revisionsprogrammet kommer att meddelas till vår datatillsynsman och vår Styrelse för integritet och dataskydd, som ansvarar för att rapportera dem enligt beskrivningen i denna policy.

Integritets- och dataskyddsmyndigheter som har godkänt denna policy eller som har jurisdiktion över vår företagspraxis enligt denna policy har rätt att kontrollera vår efterlevnad av policyn. Vi kommer att följa råd från dessa behöriga myndigheter vad gäller tolkningen och tillämpningen av denna policy.

Termer som du behöver känna till

• Anonymiserad. Förändring, trunkering, utradering eller andra typer av redigering eller ändring av personuppgifter så att de oåterkalleligen inte längre kan användas för att identifiera, lokalisera eller kontakta en enskild, enbart eller i kombination med annan information.
• Lag. Alla tillämpliga lagar, regler, bestämmelser och föreskrifter som har laga kraft i ett land där vårt företag verkar eller där personuppgifter behandlas av eller på uppdrag av vårt företag. Detta innefattar alla integritetsramar under vilka vårt företag har godkänts eller certifierats, inklusive EU:s bindande företagsbestämmelser (”BCR”), Ekonomiska samarbetet i Asien och Stillahavsområdet (”APEC”) gränsöverskridande integritetsregler (”CBPR”), ramen för dataskydd mellan EU och för dataskydd mellan EU och USA (EU-U.S. Data Privacy Framework, DPF), Storbritanniens tillägg till Ramen USA– under USA:s federala handelskommissions utrednings- och verkställighetsbefogenheter.
• Vårt företag. Merck & Co, Inc. (Rahway, NJ, USA), dess efterträdare, dotterbolag och avdelningar över hela världen, exklusive samriskföretag som vårt företag ingår i.
• Personuppgifter.
• Integritetsincident. En överträdelse av denna policy eller en integritets- eller dataskyddslag som även omfattar en säkerhetsincident. Det åligger den globala integritetsavdelningen, avdelningen som hanterar IT-och säkerhetsrisker (Technology Risk Management and Security, ITRMS), och den juridiska avdelningens högsta chef att avgöra om en integritetsincident har inträffat och huruvida den bör höjas till en personuppgiftsincident.
• Behandling. Utförande av varje typ av åtgärd eller serie av åtgärder på personuppgifter, oavsett om detta ske automatiskt eller ej, inklusive men inte begränsat till: insamling, inspelning, ordning, lagring, tillgång, anpassning, förändring, hämtning, genomgång, användning, utvärdering, analys, rapportering, delning, utlämnande, spridning, överföring, tillgängliggörande, justering, sammanslagning, blockering, radering, utplåning eller förstöring.
• Personuppgiftsincident. En säkerhetsöverträdelse som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter, obehörigt utlämnande av eller åtkomst till personuppgifter, eller vårt företags rimliga misstanke om desamma. Åtkomst till personuppgifter från eller på uppdrag av vårt företag utan avsikt att överträda denna policy utgör inte en personuppgiftsincident, förutsatt att de personuppgifter som ges tillgång till används vidare och endast lämnas ut i enlighet med vad som tillåts i denna policy.
• Känsliga uppgifter. Alla personuppgifter som innebär en potentiell risk för skada för enskilda, inbegripet uppgifter som har definierats som känsliga enligt lag, inklusive men inte begränsat till uppgifter om hälsa, genetik, biometri, ras, etniskt ursprung, religion, politiska eller filosofiska åsikter eller trosuppfattningar, kriminellt förflutet, exakt platsgeografisk information, bank- eller andra finanskontonummer, statligt utfärdade ID-nummer, minderåriga barn, sexliv, sexuell läggning, facklig organisationstillhörighet, försäkringar, sociala förmåner och andra förmåner utfärdade av arbetsgivare eller av socialtjänst.
• Tredje part. Varje typ av juridisk person, förening eller person som inte ägs av vårt företag eller i vilken vårt företag inte har ett kontrollerande intresse, eller som inte är anställd av vårt företag. Med undantag för vad som uttryckligen anges i denna policy är inget dotterbolag eller del av vårt företag skyldigt att uppfylla kraven som ställs av en tredje part enligt denna policy, eftersom alla dotterbolag eller avdelningar är skyldiga att behandla personuppgifter i enlighet med denna policy, inklusive under omständigheter där ett av våra dotterbolag stöder ett eller flera andra dotterbolag till vårt företag i behandlingen.

Ändringar av denna policy

Denna policy kan komma att ändras emellanåt, i överensstämmelse med kraven i tillämplig lagstiftning. Ett meddelande kommer att vara publicerat på vårt företags integritetswebbsida (https://www.msdprivacy.com) under 60 dagar när denna policy ändras i väsentlig utsträckning.