V družbi Merck & Co., Inc., Rahway, NJ, ZDA, ki je izven ZDA in Kanade poznana pod imenom MSD ter med drugim vključuje zajete subjekte: Merck Sharp & Dohme, LLC, in Intervet, Inc.; svoje poslanstvo reševanja in izboljševanja življenj izvajamo tako, da obenem spoštujemo zasebnost in varujemo osebne podatke.
Datum pregleda: 1. september 2023
Datum začetka veljavnosti: 1. september 2023
Svoje poslovanje si prizadevamo izvajati v skladu z svojimi vrednotami glede zasebnosti, ker smo prepričani, da predstavljajo našo neuklonljivo predanost etičnim in odgovornim praksam. Zavedamo se, da inovacije in nove tehnologije vodijo do nenehnih sprememb v tveganjih, pričakovanjih in zakonodaji, zato se ravnamo po standardih za varovanje zasebnosti in si prizadevamo hitro prilagoditi svoj način njihovega uveljavljanja, če se izkaže, da so spremembe potrebne.
Ta pravilnik opredeljuje naše globalne standarde glede upravljanja in zaščite osebnih podatkov s strani ali v imenu naše družbe, ne glede na državo, v kateri osebni podatki izvirajo ali v katero jih prenašamo. Opisuje naše temeljne zaveze, ki podpirajo skladnost z našim certificiranjem v okviru Pravil glede zasebnosti pri čezmejnem prenosu v okviru APEC, našimi Zavezujočimi korporativnimi pravili (»BCRs«), k so bila odobrena v Evropski uniji, in našim lastnim certificiranjem za okvirni program za varstvo zasebnosti podatkov EU-ZDA (DPF), razširitev DPF v Združenem kraljestvu in okvirni program za varstvo zasebnosti podatkov Švica-ZDA.
Naše podjetje zagotavlja skladnost z okvirnim programom za varstvo zasebnosti podatkov EU-ZDA (EU ZDA DPF), razširitvijo DPF EU-ZDA v Združenem kraljestvu in okvirnim programom za varstvo zasebnosti podatkov Švica-ZDA (DPF Švica-ZDA ), kot to določa Ministrstvo za trgovino ZDA. Ministrstvu za trgovino ZDA smo potrdili, da zagotavljamo skladnost z načeli okvirnega programa za varstvo zasebnosti podatkov EU-ZDA (načela DPF EU-ZDA ) glede obdelave osebnih podatkov, prejetih iz Evropske unije, glede na DPF EU-ZDA in podatkov, prejetih iz Združenega kraljestva (in Gibraltarja), glede na razširitev DPF EU-ZDA v Združenem kraljestvu . Ministrstvu za trgovino ZDA smo potrdili, da zagotavljamo skladnost z načeli okvirnega programa za varstvo zasebnosti podatkov Švica-ZDA (načela DPF Švica-ZDA ) glede obdelave osebnih podatkov, prejetih iz Švice, glede na DPF Švica-ZDA. Če pride do spora med določbami tega pravilnika in načeli DPF EU-ZDA in ali načeli DPF Švica-ZDA, prevladajo načela. Če želite izvedeti več o okvirnem programu za varstvo zasebnosti podatkov (DPF) in si ogledati naše potrdilo, obiščite https://www.dataprivacyframework.gov/.
Ta pravilnik velja za naše delovanje v vseh državah, pri vsaki aktivnosti, pri kateri se uporabljajo osebni podatki in ki jo izvajamo v kateri koli podružnici ali kateri koli diviziji (vključno z morebitnimi nasledniki našega posla), med drugim naše raziskave, proizvodnjo, komercialne, korporativne podporne aktivnosti, zdravstvene storitve in rešitve ter prenose podatkov, ki jih izvajamo za izvajanje navedenih aktivnosti, med drugim tudi za:
- Raziskave in proizvodnjo: ocenjevanje potreb in priložnosti za medicinske in zdravstvene inovacije; dajanje pobud za raziskovalne študije, njihovo upravljanje in financiranje; ocenjevanje in angažiranje raziskovalcev, članov znanstvenega odbora in odbora za etična vprašanja ter poslovnih partnerjev za izvajanje podpore za naše raziskovalne študije in razvoj naših izdelkov; pridobivanje sodelujočih za raziskovalne študije; ocenjevanje varnosti, učinkovitosti in kakovosti naših preiskovanih in tržnih izdelkov; izpolnjevanje obvez glede varnosti in kakovosti izdelkov, vključno z obravnavo neželenih dogodkov, poročanjem o njih in razreševanjem pritožb glede kakovosti izdelkov; vlaganje dokumentacije za odobritev in registracijo naših izdelkov pri zdravstvenih regulatornih organih; in spoštovanje pravnih, regulatornih ali etičnih zahtev.
- Izvajanje komercialnih dejavnosti: ocenjevanje tržišč glede povpraševanja po naših izdelkih, oglaševanje, trženje, prodaja, distribucija in dostava naših izdelkov; komunikacija in sodelovanje s kupci zdravstvenimi delavci, plačniki zdravstvene oskrbe, bolniki in drugimi končnimi uporabniki naših storitev, kot tudi z negovalci ljudi, ki uporabljajo naše izdelke; sponzoriranje in izvajanje dogodkov; ocenjevanje in vzpostavljanje sodelovanja s poslovnimi partnerji za podporo pri izvajanju komercialnih dejavnosti; in spoštovanje povezanih pravnih, regulatornih ali etičnih zahtev.
- Izvajanje korporativne podpore: iskanje kadrov, zaposlovanje, upravljanje, razvoj, komuniciranje z zaposlenimi in njihovo plačevanje; razdeljevanje ugodnosti za zaposlene in njihove podrejene; izvajanje ocenjevanja uspešnosti in sposobnosti zaposlenih; zagotavljanje izobraževanj in drugič učnih in razvojnih programov; izvajanje disciplinskih in pritožbenih postopkov za zaposlene; upravljanje etičnih pravil in pravil glede zasebnosti ter izvajanje preiskav; upravljanje in varovanje našega fizičnega in virtualnega premoženja in infrastrukture; nabava in plačevanje blaga in storitev; izpolnjevanje naših okoljskih, zdravstvenih in varnostnih ter drugih korporativnih zavez k odgovornemu ravnanju; odnosi z mediji; in spoštovanje povezanih pravnih regulatornih ali etičnih zahtev.
Ta pravilnik velja tudi za vse ljudi, katerih osebne podatke obdelujemo, med drugim to vključuje naše zdravstvene delavce in druge stranke, potencialne, trenutne ali nekdanje zaposlene in njihove podrejene, bolnike, negovalce, raziskovalce in sodelujoče v raziskovalnih študijah, člane znanstvenih odborov ali odborov za etična vprašanja, poslovne partnerje, investitorje in delničarje, vladne uradnike in druge deležnike.
Vsi zaposleni v družbi in višji vodje imajo osnovne odgovornosti glede zasebnosti, ki jih morajo izpolnjevati.
Zavedamo se, da lahko zaradi nenamernih napak ali napačnih presoj, povezanih z zaščito osebnih podatkov, pride do varnostnih tveganj glede zasebnosti posameznikov in do krnitve ugleda, operacijskih, finančnih in skladnostnih tveganj za našo družbo. Ustrezno usposabljanje glede tega pravilnika bo na voljo vsem našim zaposlenim in drugemu osebju z rednim ali začasnim dostopom do osebnih podatkov, ki sodeluje pri zbiranju podatkov ali razvoju orodij za obdelavo osebnih podatkov. Vsak zaposleni v naši družbi in druge osebe, ki obdelujejo osebne podatke v imenu naše družbe, so se dolžne seznaniti s svojimi obvezami in jih spoštovati v skladu s tem pravilnikom in veljavnih zakonih.
Naše vrednote in standardi glede zasebnosti
Svoje vrednote glede zasebnosti spoštujemo pri vseh opravilih, povezanih z ljudmi, vključno z načinom uveljavljanja standardov glede zasebnosti. Naše štiri vrednote glede zasebnosti so:
Spoštovanje | Zaupanje | Preprečevanje škode | Vzdrževanje skladnosti |
---|---|---|---|
Zavedamo se, da so skrbi glede zasebnosti pogosto povezane z našim bistvom, s tem, kako gledamo na svet in kako se opredeljujemo, zato si prizadevamo spoštovati perspektive in zanimanja posameznikov in skupnosti ter ravnati pošteno in transparentno pri načinu uporabe in deljenja informacij o njih. | Zavedamo se, da je zaupanje ključnega pomena za naš uspeh, zato si prizadevamo izgraditi in ohranjati zaupanje naših strank, zaposlenih, bolnikov in ostalih deležnikov glede tega, kako spoštujemo zasebnost in ščitimo osebne podatke. | Zavedamo se, da lahko zloraba osebnih podatkov ustvari tako oprijemljivo kot neoprijemljivo škodo za posameznike, zato skušamo preprečiti fizično škodo, krnitev ugleda in druge vrste škod, povezane z zasebnostjo posameznikov. | Ugotovili smo, da zakoni in predpisi ne uspejo vedno dohajati bliskovitih sprememb v tehnologijah, tokovih podatkov in povezanih premikih glede varnostnih tveganj in pričakovanj glede zasebnosti, zato si prizadevamo izpolniti tako duh kot vsebino zakonov in predpisov o zasebnosti in varovanju podatkov na način, ki vodi do enotnosti in učinkovitosti delovanja naših globalnih poslovnih operacij. |
- Naši standardi glede zasebnosti so vključeni v vse dejavnosti, procese, tehnologije in odnose s tretjimi osebami, pri katerih se uporabljajo osebni podatki. V svoje procese in tehnologije smo vključili kontrole zasebnosti, ki so skladne z našimi vrednotami in standardi glede zasebnosti ter veljavnimi zakoni. Spodaj je navedenih naših osem načel glede zasebnosti, ki povzemajo naše standarde glede zasebnosti in osnovne zahteve za procese, dejavnosti in njihove podporne tehnologije na visoki ravni.
Načela glede zasebnosti
Naše osnovne zaveze
1. Upravičenost – pred zbiranjem, uporabo ali deljenjem osebnih podatkov moramo opredeliti in zabeležiti specifične legitimne poslovne namene, zaradi katerih jih potrebujemo.
- Nato moramo določiti in zabeležiti, kako dolgo potrebujemo te osebne podatke za navedene poslovne namene in veljavne zakonske zahteve.
- Ne zbiramo, uporabljamo ali delimo več osebnih podatkov, kot je potrebno, niti jih ne hranimo v obliki, v kateri jih je mogoče identificirati, za dlje časa, kot je potrebno za navedene poslovne namene in veljavne zakonske zahteve.
- Kadar poslovne potrebe zahtevajo hranjenje podatkov o aktivnosti ali procesu za dlje časa, te podatke anonimiziramo.
- Nenehno zagotavljamo, da so te zahteve glede upravičenosti vključene v vse podporne tehnologije in da z njimi seznanimo tudi tretje osebe, ki podpirajo dejavnost ali proces.
2. Poštenost – ne obdelujemo osebnih podatkov na način, ki bi bil nepošten do oseb, s katerimi so ti podatki povezani.
- Če predlagano zbiranje, uporaba ali druga obdelava osebnih podatkov predstavlja verjetno in/ali resno tveganje za pojav oprijemljive ali neoprijemljive škode za posameznike, presojamo v skladu z našimi vrednotami glede zasebnosti, da preprečimo nastanek škode.
- Če narava podatkov, vrsta oseb ali sama dejavnost predstavlja verjetno in/ali resno tveganje za nastanek oprijemljive ali neoprijemljive škode za posameznike, vedno zagotovimo, da je tveganje za nastanek škode dovolj nizko, da ga odtehta korist, ki jo imajo od tega posamezniki ali naše poslanstvo reševanja in izboljševanja kakovosti življenj, ter da je tveganje omejeno z uveljavljenimi ukrepi, varovali in mehanizmi.
- Če se zdi tveganje večje od koristi za posameznike, bomo občutljive podatke ali osebne podatke obdelovali samo ob izrecnem soglasju posameznikov, v skladu z določili veljavne zakonodaje ali ob izrecnem soglasju pristojnega regulativnega organa.
- Občutljive podatke obdelujemo samo z izrecnim soglasjem posameznikov, kot izrecno zahteva ali izrecno dovoljuje veljavna zakonodaja.
- Če se zdi tveganje večje od koristi za posameznike, bomo dokumentirali analizo tveganja in oblikovali vse zahtevane mehanizme za čim večje zmanjšanje tveganj.
3. Transparentnost – nikoli ne obdelujemo osebnih podatkov na način ali za namene, ki niso transparentni.
- Vsi posamezniki, katerih osebne podatke obdelujemo v skladu s tem pravilnikom, imajo pravico prejeti izvod tega pravilnika. Kopije tega pravilnika bodo na voljo v spletu na naslovu https://www.msdprivacy.com/index.html. Globalna služba družbe MSD za zagotavljanje zasebnosti bo zagotovila izvode tega pravilnika v elektronski in/ali tiskani obliki, če posredujete zahtevo na naslov, ki je naveden spodaj.
- Kadar osebne podatke zbiramo neposredno od posameznikov, jih pred zbiranjem podatkov na jasen, nazoren in dostopen način informiramo z obvestilom glede zasebnosti ali podobnimi sredstvi, seznanimo jih (1) s podružnico ali podružnicami družbe, ki so odgovorne za obdelavo, (2) s kontaktnimi podatki vodje naše službe za varstvo zasebnosti in/ali regionalnega/lokalnega strokovnjaka za zasebnost, (3) z vrsto podatkov, ki jih nameravamo zbrati, (4) z nameni, za katere se bodo ti podatki uporabljali, (5) s pravno podlago za našo obdelavo podatkov, (6) s kom jih nameravamo deliti, vključno z vsemi zakonitimi zahtevami po razkritju osebnih podatkov, ki jih lahko vložijo državni organi, (7) če in kako bomo osebne podatke prenesli na tuje ter po možnosti vključimo relevantne države, (8) kako dolgo jih nameravamo hraniti in z merili, na podlagi katerih se bomo o tem odločali, (9) s postopkom za posredovanje vprašanj, pritožb ali izvajanjem pravic v povezavi z njihovimi osebnimi podatki, (10) kako lahko prekličejo katero koli izmed podanih soglasij, (11) z njihovo pravico do vložitve pritožbe pri nadzornem organu, (12) s kakršnimi koli obveznostmi predložitve osebnih podatkov in posledicami neupoštevanja teh obveznosti, (13) s kakršnim koli avtomatiziranim sprejemanjem odločitev, vključno z oblikovanjem profilov, ki ga bomo izvajali in (14) s povezavo do tega pravilnika, kjer je to mogoče in primerno. Naša izčrpna obvestila o zasebnosti za naše številne deležnike so na voljo v spletu na http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html
- Kadar osebne podatke pridobivamo z opazovanjem, prek tipal ali z drugimi posrednimi načini, se lahko zgodi, da ni mogoče zagotoviti obvestila glede zasebnosti neposredno posamezniku v času zbiranja podatkov. V takšnih primerih za transparentnost za posameznike poskrbimo na druge načine, z objavo ali napisom na napravi ali v gradivih, ki so povezana z napravo, s katero bomo pridobili te podatke.
- Kadar osebne podatke zbiramo prek spletnega mesta, mobilne aplikacije ali druge spletne aplikacije ali vira, uporabljamo tehnološko specifične standarde, ki so opisani v našem pravilniku glede zasebnosti v spletu in naši zavezi glede zasebnosti piškotkov da zagotovimo, da so bile zahteve po transparentnosti izpolnjene v skladu s tem pravilnikom.
- Kadar osebne podatke zbiramo iz drugih virov in proces ne poteka pod neposrednim nadzorom naše družbe, se pred pridobivanjem podatkov najprej v pisni obliki prepričamo, da je ponudnik podatkov informiral posameznike glede načinov in namenov, za katere namerava naša družba te podatke uporabljati. Če ne moremo pridobiti pisnega potrdila s strani ponudnika podatkov, uporabljamo izključno anonimizirane podatke, ali pa še pred uporabo teh podatkov seznanimo zadevne posameznike z našim obvestilom glede zasebnosti ali uporabimo podobne ukrepe, da jih seznanimo (1) s podružnico ali podružnicami družbe, ki so odgovorne za obdelavo podatkov, (2) s kontaktnimi podatki vodje naše službe za varstvo zasebnosti in/ali regionalnega/lokalnega strokovnjaka za zasebnost, (3) z vrsto podatkov, ki jih nameravamo zbrati, (4) z nameni, za katere se bodo ti podatki uporabljali, (5) s pravno podlago za našo obdelavo podatkov, (6) s kom jih bomo delili, (7) če in kako bomo osebne podatke prenesli na tuje ter po možnosti vključimo relevantne države, (8) kako dolgo jih nameravamo hraniti in z merili, na podlagi katerih se bomo o tem odločali, (9) s postopkom za posredovanje vprašanj, pritožb ali izvajanjem pravic v povezavi z njihovimi osebnimi podatki, (10) kako lahko prekličejo katero koli izmed podanih soglasij, (11) z njihovo pravico do vložitve pritožbe pri nadzornem organu, (12) s kakršnimi koli obveznostmi predložitve osebnih podatkov in posledicami neupoštevanja teh obveznosti, (13) s kakršnim koli avtomatiziranim sprejemanjem odločitev, vključno z oblikovanjem profilov, ki ga bomo izvajali in (14) s povezavo do tega pravilnika, kjer je to mogoče in primerno.
- Prav tako zagotavljamo, da so v naše podporne tehnologije vključeni potrebni mehanizmi za zagotavljanje transparentnosti, kjer je to mogoče tudi mehanizmi za podporo za podajanje posameznih zahtevkov glede pravic, in da tretje osebe, ki podpirajo aktivnost ali proces, ne obdelujejo osebnih podatkov na način, ki bil v neskladju s podatki, s katerimi so se seznanili prek obvestila glede zasebnosti ali z drugimi dokazljivimi načini, glede tega, kaj nameravamo mi in druge osebe, ki delajo za nas, narediti s temi podatki.
- Ko želimo pridobiti soglasje, dokazilo o soglasju pridobimo in dokumentiramo v naših podpornih tehnologijah.
4. Omejitev namena uporabe – vedno uporabljamo osebne podatke izključno v skladu s principi obstoječe potrebe in transparentnosti.
- Če prepoznamo novo legitimno poslovno potrebo za osebne podatke, ki so bili zbrani predhodno, bodisi pridobimo posameznikovo soglasje za nov namen uporabe osebnih podatkov bodisi zagotovimo, da je nova poslovna potreba skladna z nameni oz. bistveno podobna namenom, ki so opisani v obvestilu glede zasebnosti ali v drugem mehanizmu za zagotavljanje transparentnosti, ki smo ga posamezniku predhodno zagotovili. Skladnost bomo določili na podlagi (1) kakršne koli povezave med izvornimi nameni in predloženim novim namenom, (2) posameznikovih razumnih pričakovanj, (3) narave osebnih podatkov, (4) posledic nadaljnje obdelave za posameznika in (5) vzpostavljenih varoval.
- Tega načela ne uporabljamo pri anonimiziranih podatkih ali v primeru, ko osebne podatke uporabljamo izključno za zgodovinske in znanstvene raziskovalne namene, in je (1) odbor za etična vprašanja ali drug kompetentni izvajalec pregleda ugotovil, da je tveganje pri tovrstni uporabi glede zasebnosti in drugih pravic posameznikov sprejemljivo, (2) smo vzpostavili ustrezno zaščito za zagotovitev minimizacije podatkov, npr. psevdonimizacijo, (3) osebni podatki so psevdoanonimizirani, in (4) se pri tem spoštujejo vsi veljavni zakoni.
- Zagotavljamo, da so omejitve glede namena vgrajene v morebitne podporne tehnologije, vključno z zmogljivostmi za poročanje in deljenjem podatkov vzdolž dobavne verige.
5. Kakovost podatkov – skrbimo, da so osebni podatki točni, popolni in posodobljeni v skladu z namenom njihove uporabe.
- Zagotavljamo, da so mehanizmi za periodično pregledovanje podatkov vgrajeni v podporne tehnologije, da lahko overimo pravilnost podatkov v primerjavi z vnosi v izvirnih sistemih ali sistemih vzdolž dobavne verige.
- Zagotavljamo, da so občutljivi podatki overjeni glede pravilnosti in posodobljenosti pred uporabo, evalvacijo, analizo, uporabo v okviru poročanja ali drugo obdelavo, ki predstavlja tveganje za nepošten odnos do ljudi, če bi bili pri tem uporabljeni nepravilni ali zastareli podatki.
- Kadar osebne podatke spremeni naša družba ali tretje osebe, ki delajo za našo družbo, zagotovimo, da so relevantni posamezniki o tem pravočasno obveščeni, če je to mogoče.
6. Varovanje – uporabljamo zaščite, s katerimi varujemo osebne podatke ali občutljive podatke pred izgubo, zlorabo, nepooblaščenim dostopom, razkritjem, spreminjanjem ali uničenjem.
- Uvedli smo obsežen program informacijske varnosti, uporabljamo varovala, ki so osnovana na občutljivosti podatkov in stopnjo tveganja dejavnosti, pri čemer upoštevamo trenutne tehnološke najboljše prakse in stroške uvedbe. Naši funkcionalni varnostni pravilniki vključujejo med drugim tudi standarde o kontinuiteti poslovanja in obnovitvi po katastrofah, šifriranja, upravljanja identitete in dostopa, klasificiranja podatkov, upravljanja postopkov ugotavljanja kršitev informacijske varnosti, nadzora nad dostopom do omrežja, fizično varovanje in upravljanje tveganj.
7. Prenos podatkov – odgovorni smo za zaščite za osebne podatke in jih ohranjamo tudi pri prenosu v druge organizacije ali iz njih ali prek državnih meja.
(1) Znotraj družbe prenašamo osebne podatke, če so izpolnjene naslednje zahteve:
- (1) deljenje je potrebno za izpolnitev namena, zaradi katerega so bili osebni podatki izvorno zbrani ali za drug zakonit interes družbe in (2) je namen, zaradi katerega se delijo (ter dejstvo, da bodo deljeni) skladen z obvestilom o varstvu podatkov ali drugim mehanizmom za zagotavljanje transparentnosti, ki ga je posameznik predhodno prejel ob prvotnem zbiranju osebnih podatkov ter je po potrebi podal svoje soglasje, (3) ko ena izmed naših podružnic pri obdelavi osebnih podatkov deluje izključno v imenu druge podružnice, (4) v skladu z 8. načelom tega pravilnika te podružnice našega podjetja sklenejo notranji sporazum o obdelavi podatkov, kjer to zahteva zakon, (5) če infrastruktura IT zahteva takšen prenos, pod pogojem, da so vzpostavljeni vsi ustrezni varnostni in organizacijski ukrepi, da je tak prenos skladen.
(2) Tretjim osebam osebne podatke prenašamo ali jim dovoljujemo njihovo obdelavo samo, če so izpolnjene naslednje zahteve in smo dolžni zagotavljati, da tretje osebe, s katerimi poslujemo, izpolnjujejo te zahteve:
- če je vloga tretje osebe obdelava osebnih podatkov v imenu naše družbe, moramo še pred predajo osebnih podatkov tretji osebi ali pred angažiranjem tretje osebe zagotoviti, da: (1) opravimo natančen pregled glede zasebnosti, da ocenimo prakse glede zasebnosti in tveganja, ki so povezana s temi tretjimi osebami, (2) pridobimo pogodbena zagotovila teh tretjih oseb, da bodo osebne podatke obdelovale zgolj v skladu z navodili naše družbe in v skladu s tem pravilnikom, med drugim z vsemi osmimi načeli glede zasebnosti in drugimi standardi, ki jih predpisuje ta pravilnik, in z vsemi veljavnimi zakoni; zavezati se morajo, da bodo našo družbo nemudoma obvestile o morebitnih sumljivih dogodkih glede zasebnosti, vključno z vsako nezmožnostjo izpolnjevanja standardov, ki jih predpisujejo ta pravilnik in veljavni zakoni, ali o izrednih varnostnih dogodkih, in da bodo sodelovale z nami pri takojšnji odpravi vsakega utemeljenega izrednega dogodka in pri obravnavi individualnih pravic, ki jih predpisuje odsek 2 spodaj, da ne bodo spodbudile druge družbe k obdelavi osebnih podatkov brez našega pisnega pooblastila ali brez sprejetega sporazuma, ki zahteva enake obveznosti pri varovanju podatkov, da nam bodo po koncu nudenja storitev ali na našo zahtevo vrnile vse osebne podatke ali jih izbrisale in da bodo naši družbi dopustile izvajati nadzor in spremljanje teh praks za obdobje trajanja obdelave glede skladnosti s temi zahtevami. Če poleg tega tretja oseba obdeluje osebne podatke, ki izvirajo v državi ali ozemlju z zakonom, ki omejuje prenos osebnih podatkov, bomo zagotovili tudi, da bodo izpolnjene vse zahteve za čezmejni prenos podatkov, opisane v odseku (3) spodaj.
- Če je tretja oseba v vlogi, da naši družbi zagotavlja osebne podatke, moramo pred pridobitvijo osebnih podatkov od tretje osebe zagotoviti, da so izpolnjene zahteve glede transparentnosti pri zbiranju podatkov iz drugih virov brez posredovanja naše družbe, od tretjih oseb pa pridobiti pogodbeno zagotovilo, da z zagotavljanjem osebnih podatkov naši družbi niso kršeni nobeni zakoni ali pravice katerih koli tretjih oseb.
- Če je tretja oseba v vlogi, da prejema podatke od naše družbe za namen obdelave, ki ne bo potekala pod neposrednim usmerjanjem naše družbe, moramo pred predajo podatkov tretji osebi zagotoviti, da so podatki anonimizirani, od tretjih oseb pa pridobiti pisno zagotovilo, da bodo podatke uporabljale izključno v poslovne namene, ki so opredeljeni v dogovoru in so skladni z veljavnimi zakoni, ter da teh podatkov ne bodo poskušale znova povezati z identitetami posameznikov.
- Če je prenos tretji osebi potreben za zaščito posameznikovih zakonitih interesov ali zakonitih interesov družbe, lahko podatke prenesemo: (1) z namenom preprečevanja goljufije ali za uveljavitev ali zaščito pravic ali premoženja družbe, (2) za zaščito osebne varnosti naših zaposlenih ali tretjih oseb na naši posesti in (3) za zaščito naših sredstev s sprejemanjem korektivnih varnostnih ukrepov, če utemeljeno sumimo na obstoj nezakonitih dejavnosti ali hudih kršitev obveznosti.
- Če postane tretja oseba tarča za prevzem s strani naše družbe ali postane ta zainteresirana za pridobitev nadzornega deleža v njej, (1) je potrebno pred sklenitvijo dogovora za prevzem tretje osebe ali nakupom nadzornega deleža v tretji osebi izvesti skrben pregled glede zasebnosti, da ocenimo prakse glede zasebnosti in tveganja, ki so povezana s pridobitvijo zadevne tretje osebe ali nadzornega deleža v njej, in (2) moramo skleniti dogovor o prenosu podatkov, v katerem so določeni splošni pogoji, pod katerimi bodo ti osebni podatki morda razkriti in vse povezane obveznosti naše družbe in zadevne tretje osebe.
- Če je tretja oseba v vlogi, ko želi kupiti del ali celoten posel naše družbe, moramo pred deljenjem katerih koli osebnih podatkov v povezavi z dezinvestiranjem katerega koli dela posla naše družbe, (1) skleniti dogovor o prenosu podatkov, ki določa splošne pogoje, pod katerimi bodo osebni podatki morda razkriti kupcu, vključno z ustreznimi omejitvami glede dovoljenih uporab osebnih podatkov in skladnosti s standardom, ki ga predpisujejo ta pravilnik in veljavni zakoni, (2) pregledati vse elemente osebnih podatkov še pred deljenjem, da določimo ustrezne zahteve za deljenje, (3) pridobiti soglasje za deljenje osebnih podatkov ali občutljivih podatkov v skladu z načeli transparentnosti in omejitvami glede namena uporabe tega pravilnika in (4) zahtevati od tretje osebe, da takoj obvesti našo družbo o vsakem relevantnem izrednem dogodku glede zasebnosti, vključno z vsako nezmožnostjo izpolnjevanja standardov, ki jih predpisujejo ta pravilnik in veljavni zakoni, in zahtevati od tretje osebe, da sodeluje z nami pri takojšnji odpravi vsakega utemeljenega izrednega dogodka ali prekine obdelavo relevantnih osebnih podatkov.
(3) Osebne podatke prenašamo preko državnih meja, vključno v Združene države Amerike, s strani ali v imenu naše družbe samo v skladu s tem pravilnikom. Ta pravilnik velja za vse prenose osebnih podatkov iz katere koli druge države ali ozemlja, kjer zakon omejuje prenos osebnih podatkov, hkrati pa delujemo v skladu z vsemi zahtevami, ki jih tovrstni zakoni predpisujejo (vključno z uporabo kakršnega koli mehanizma, potrebnega za prenos preko državnih meja).
8. Dovoljeno z zakoni – osebne podatke obdelujemo izključno v primeru, da so bile izpolnjene vse zahteve veljavnih zakonov.
- Medtem ko je ostalih sedem načel o zasebnosti, kot tudi zahteve glede posameznih pravic, ki so opisane spodaj, namenjenih zagotavljanju izpolnjevanja vseh zahtev večine zakonov glede zasebnosti in varovanja podatkov, ki veljajo za naše poslovanje po vsem svetu, moramo v določenih državah izpolniti še dodatne zahteve, med drugim tudi naslednje:
- 1) kjer bo to potrebno, bomo pridobili specifično obliko soglasja s strani sveta delavcev ali drugih delavskih sindikatov za določene vrste obdelave osebnih podatkov, med drugim tudi odobritve za obdelavo;
- 2) kjer bo to potrebno, bomo prijavili izvajanje obdelave osebnih podatkov pri ustreznem nadzornem organu za zasebnost ali varovanje podatkov ali zaprosili za dovoljenje zanj;
- 3) kjer bo to potrebno, bomo zagotovili razširjene pravice (na primer do dostopa in popravkov), kot so pravice, določene s tem pravilnikom;
- 4) kjer bo to potrebno, bomo dodatno omejili dobo hranjenja podatkov za osebne podatke; in
- 5) kjer bo to potrebno, bomo sklenili dogovore s specifičnimi pogodbenimi določili, vključno z dogovori za čezmejni prenos podatkov tretjim osebam.
- 6) Kjer bo to potrebno, bomo razkrili osebne podatke na podlagi zakonitih zahtev, ki jih vložijo državni organi, vključno za namen izpolnjevanja zahtev nacionalne varnosti ali odkrivanja in pregona.
V primeru nasprotij med tem pravilnikom in veljavnimi zakoni bo obveljal standard, ki zagotavlja boljšo zaščito posameznikov.
- Nemudoma se bomo odzvali na vse posamezne zahtevke glede pravic do dostopa, dopolnjevanja, popravljanja ali brisanja osebnih podatkov, do nasprotovanja obdelavi osebnih podatkov o posameznikih ali uveljavljanja drugih pravic v povezavi z njihovimi osebnimi podatki.
- Dostop, popravki, brisanje in druge pravice – v skladu z zakoni v večini držav, v katerih poslujemo, imajo posamezniki pravico do dostopa do osebnih podatkov, ki jih hranimo o njih, in pravico dopolniti, popraviti ali izbrisati osebne podatke, ki niso pravilni, popolni ali so zastareli. Ugodili bomo vsem zahtevkom za dostop do osebnih podatkov, za popravljanje ali brisanje, ki jih bomo prejeli od katerih koli posameznikov v skladu z odsekom 3a spodaj. Če zahtevate dostop do podatkov, njihovo popravljanje ali brisanje v skladu z veljavnimi zakoni, ki zagotavljajo večjo stopnjo zaščite za posameznike, bomo poskrbeli, da bodo dodatne zahteve iz teh zakonov izpolnjene.
V nekaterih državah so lahko posamezniki upravičeni do drugih pravic glede svojih osebnih podatkov, npr. pravice do omejitve obdelave, nasprotovanja obdelavi (gl. tudi spodnji oddelek 2b) in prenosu osebnih podatkov k drugemu ponudniku storitev. Uveljavljanje pravic o podatkih bomo spoštovali v skladu z veljavnimi zakoni. Nekatere pravice, kot je brisanje, so lahko omejene v skladu z drugimi regulatornimi zahtevami ali potrebo po skladnosti z lokalnim poročanjem o skladnosti; v tem primeru vas bomo obvestili o teh omejitvah, kot je ustrezno.
- Izbira – v skladu z našimi vrednotami glede zasebnosti, kot sta »spoštovanje« in »zaupanje«, spoštujemo posameznikove zahtevke, s katerimi ugovarja obdelavi osebnih podatkov, med drugim tudi preklicem sodelovanja v programih ali dejavnostih, za katere se je predhodno strinjal s sodelovanjem, obdelavo njegovih osebnih podatkov za namene neposrednega trženja, za prilagajanje sporočil, ki so mu namenjena, v skladu z njegovimi osebnimi podatki, in morebitnih evalvacijah z njim povezanih odločitev, ki bi lahko nanj vplivale v veliki meri, in so pridobljene z uporabo avtomatizacije ali algoritmov.
- V kolikor tega izrecno ne prepovedujejo zakoni, lahko zahtevku tudi ne ugodimo, v kolikor bi z odobritvijo tega zahtevka naša družba okrnila svojo zmožnost, da: (1) ravna v skladu z zakoni ali etičnimi zavezami, vključno za namen izpolnjevanja zahtev nacionalne varnosti ali odkrivanja in pregona, (2) razišče, vloži ali brani pravne zahtevke, in (3) izvaja sklenjene dogovore, skrbi za odnose ali izvaja druge dovoljene poslovne dejavnosti, ki so skladne z načeli transparentnosti in omejenega načina uporabe, in v katere smo vstopili z zanašanjem na podatke o zadevnih posameznikih. V petnajstih delovnih dneh od sprejema morebitne odločitve, da zahtevku ne ugodimo, bomo v skladu s tem pravilnikom to zabeležili in svojo odločitvijo seznanili zaprositelja.
- Dostop, popravki, brisanje in druge pravice – v skladu z zakoni v večini držav, v katerih poslujemo, imajo posamezniki pravico do dostopa do osebnih podatkov, ki jih hranimo o njih, in pravico dopolniti, popraviti ali izbrisati osebne podatke, ki niso pravilni, popolni ali so zastareli. Ugodili bomo vsem zahtevkom za dostop do osebnih podatkov, za popravljanje ali brisanje, ki jih bomo prejeli od katerih koli posameznikov v skladu z odsekom 3a spodaj. Če zahtevate dostop do podatkov, njihovo popravljanje ali brisanje v skladu z veljavnimi zakoni, ki zagotavljajo večjo stopnjo zaščite za posameznike, bomo poskrbeli, da bodo dodatne zahteve iz teh zakonov izpolnjene.
- Nemudoma se bomo odzvali in resno obravnavali vsa z zasebnostjo povezana vprašanja, pritožbe, skrbi in vse potencialne sporne dogodke glede zasebnosti ali varnostnih dogodkov.
-
Vsak posameznik, čigar osebne podatke obdelujemo v skladu z obsegom tega pravilnika, lahko naši družbi zastavi vprašanje, nam zaupa svoje pritožbe ali skrbi, vključno z zahtevkom za seznam vseh podružnic družbe, za katere velja ta pravilnik. Pričakujemo, da nas bodo naši zaposleni in druge osebe, ki delujejo v imenu naše družbe, nemudoma obvestili, če bodo iz katerega koli razloga menili, da jim kateri od veljavnih zakonov preprečuje, da bi ravnali v skladu s tem pravilnikom. Morebitna vprašanja, pritožbe ali skrbi, ki jih je sporočil posameznik, ali obvestilo s strani zaposlenega ali druge osebe, ki deluje v imenu naše družbe, morajo biti naslovljena na Globalno službo za zagotavljanje zasebnosti družbe MSD:
- Po e-pošti za posameznike s prebivališčem v Evropskem gospodarskem prostoru (EGP) na: euprivacydpo@msd.com
- Sicer pa po e-pošti na: msd_privacy_office@msd.com
- Po pošti na naslov: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
- Zaposleni in pogodbeniki morajo nemudoma obvestiti Globalno službo za zagotavljanje zasebnosti družbe MSD ali njim dodeljenega uslužbenca za zasebnost za njihovo poslovno področje glede vseh zadev, pritožb in vprašanj, ki so povezana s praksami naše družbe v zvezi z zasebnostjo.
- Globalna služba za zagotavljanje zasebnosti družbe MSD jih bo pregledala in raziskala, ali pa bo sodelovala s Službo za etična vprašanja, pravne zadeve in/ali skladnost, da bo raziskala vsa vprašanja, pritožbe ali skrbi, povezane s praksami naše družbe glede zasebnosti, ne glede na to, ali jih bo prejela neposredno od zaposlenih ali drugih posameznikov, prek tretjih oseb, med drugim od agencij za nadzor, agentov za preverjanje odgovornosti ali drugih vladnih služb. Fizični ali pravni osebi, ki je sporočila vprašanje, pritožbo ali skrb naši družbi, bomo odgovorili najkasneje v tridesetih (30) koledarskih dneh, v kolikor ni zakonsko predpisan rok ali rok vložnika krajši od navedenega, ali razen če razmere, na primer vzporedna vladna preiskava, ne zahtevajo podaljšanega časa za odziv, v tem primeru bo posameznik ali tretja oseba, ki je vložila zadevo, o njej pisno obveščena takoj, ko bo to mogoče glede na naravo okoliščin, zaradi katerih je prišlo do zakasnjenega odziva.
- Globalna služba za zagotavljanje zasebnosti družbe MSD bo v navezi s Službo za pravne zadeve in skladnost sodelovala pri odzivanju na morebitne poizvedbe, preglede ali preiskave s strani nadzornega organa za zagotavljanje zasebnosti.
- V primeru pritožb, ki jih ni mogoče razrešiti z dogovorom med našo družbo in posameznikom ki je vložil pritožbo, se naša družba strinja, da bo sodelovala v procesu razreševanja sporov pri preiskavi in razreševanju pritožb, da bo razrešila spore, ki izhajajo iz tega pravilnika, hkrati pa se lahko posamezni prebivalci držav EGP ali posamezniki, katerih osebni podatki so podvrženi zakonu o varovanju podatkov iz EGP in katerih podatke se prenaša izven EGP, kadar koli zanesejo tudi na spodaj navedeni standard 3.f.:
- za spore, povezane s prenosom osebnih podatkov, ki se nanašajo na kadrovske dejavnosti v ZDA in se zbirajo v okviru zaposlitvenega razmerja v EGP in Združenem kraljestvu, se naša družba prav tako zavezuje, da bo sodelovala z ustreznim odborom organa EU in Združenega kraljestva za varstvo podatkov;
- za spore, povezane s kakršnimi koli osebnimi podatki v zvezi s kadrovskimi dejavnostmi v kontekstu zaposlitvenega odnosa, ki jih naša družba prejme v ZDA iz Švice, se naša družba strinja, da bo sodelovala s švicarsko FDPIC;
- Za spore, povezane s prenosom osebnih podatkov v skladu s poslovanjem naše družbe v okviru pravil glede zasebnosti pri čezmejnem prenosu (»CBPR-ji«) v skupini za azijsko-pacifiško gospodarsko sodelovanje (»APEC«), in sicer med gospodarstvi APEC, se naša družba strinja, da bo spore reševal naš agent, družba BBB National Programs. Za več informacij o obsegu našega sodelovanja ali za oddajo poizvedbe o zasebnosti prek družbe BBB National Programs, kliknite na uradni žig, ki se nahaja na dnu te strani.
- Za spore, ki vključujejo prenos osebnih podatkov v zvezi z dejavnostmi, ki niso povezane s človeškimi viri, prek okvirnega programa za varstvo zasebnosti podatkov EU-ZDA (DPF), razširitev DPF v Združenem kraljestvu in okvirnega programa za varstvo zasebnosti podatkov Švica-ZDA, se naša družba strinja, da bo spore reševala (brezplačno) prek neodvisnega pritožbenega mehanizma, storitev za okvirni programa za varstvo zasebnosti podatkov, ki ga upravlja družba BBB National Programs. Če potrdila o prejemu pritožbe ne prejmete pravočasno ali če vaša pritožba ni zadovoljivo obravnavana, za več informacij in vložitev pritožbe obiščite https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers.
- Za vse spore, ki nastanejo v okviru okvirnega programa za varstvo zasebnosti podatkov EU-ZDA (DPF), razširitev DPF v Združenem kraljestvu in okvirnega programa za varstvo zasebnosti podatkov Švica-ZDA ki niso razrešeni prek korakov, opisanih v tem razdelku, lahko za nekatere zahtevke, ki se ne razrešijo z drugimi mehanizmi za povrnitev škode, pod določenimi pogoji posamezniki sprožijo zavezujočo arbitražo. Glejte https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2.
-
Vsem posameznikom, ki prebivajo v EGP, ali tistim posameznikom, katerih osebni podatki so podvrženi zakonu o varovanju podatkov iz EGP in katerih podatke se prenaša izven EGP, pri katerih se podatki obdelujejo v skladu s tem pravilnikom (kot je bilo določeno zgoraj pod 2. točko), pripadajo po tem pravilniku pravice, da kot tretje osebe upravičenci kadar koli zahtevajo izvajanje zahtev iz tega pravilnika, vključno s pravico, da vložijo sodni spor in izkoristijo pravna sredstva zaradi kršitve njihovih pravic po tem pravilniku in pravico do nadomestila škode, ki je nastala zaradi tovrstne kršitve. Posamezniki, ki prebivajo v EGP ali posamezniki, katerih osebni podatki so podvrženi zakonu o varovanju podatkov iz EGP in katerih podatke se prenaša izven EGP (pojasnilo: tudi v ZDA), lahko vložijo svoj zahtevek ali pritožbo po tem pravilniku proti podružnici družbe, odgovorni za izvoz osebnih podatkov iz EGP. pred:
- pristojnimi organi izvoznika podatkov, ki se nahaja v EGP, ali
- pristojnimi organi države, v kateri se nahaja naša evropska uradna oseba za varstvo podatkov, ali
- pristojnimi organi za varstvo podatkov (zlasti v državi članici njegovega/njenega običajnega prebivališča, kraja dela ali kraja domnevne kršitve) ali
- našim vodilnim organom za varstvo podatkov, ki so dali navodila našemu BCR: francoski CNIL.
- Fizični ali pravni osebi, ki je sporočila vprašanje, pritožbo ali skrb naši družbi, bomo odgovorili najkasneje v tridesetih (30) koledarskih dneh, v kolikor ni zakonsko predpisan rok ali rok vložnika krajši od navedenega, ali razen če razmere ne zahtevajo podaljšanega časa za odziv, v tem primeru bo posameznik ali tretja oseba, ki je vložila zadevo, o njej pisno obveščena.
-
Vsak posameznik, čigar osebne podatke obdelujemo v skladu z obsegom tega pravilnika, lahko naši družbi zastavi vprašanje, nam zaupa svoje pritožbe ali skrbi, vključno z zahtevkom za seznam vseh podružnic družbe, za katere velja ta pravilnik. Pričakujemo, da nas bodo naši zaposleni in druge osebe, ki delujejo v imenu naše družbe, nemudoma obvestili, če bodo iz katerega koli razloga menili, da jim kateri od veljavnih zakonov preprečuje, da bi ravnali v skladu s tem pravilnikom. Morebitna vprašanja, pritožbe ali skrbi, ki jih je sporočil posameznik, ali obvestilo s strani zaposlenega ali druge osebe, ki deluje v imenu naše družbe, morajo biti naslovljena na Globalno službo za zagotavljanje zasebnosti družbe MSD:
- Prevzemamo odgovornost za spoštovanje naših vrednot in standardov glede zasebnosti.
-
Podružnica naše družbe, ki je odgovorna za dejanje, zaradi katerega pride do hujših spornih dogodkov glede zasebnosti ali varnostnih dogodkov, prevzema finančno odgovornost za celoten znesek nadomestila za povzročeno škodo, vse globe in kazni, ki izhajajo iz zadevnega spornega dogodka glede zasebnosti ali varnostnega dogodka.
- V sodelovanju z Globalno službo za zagotavljanje zasebnosti je evropski uradnik za varstvo podatkov odgovoren zagotoviti, da bodo izvedena vsa potrebna dejanja, s katerimi se bo poskrbelo za vse domnevne kršitve tega pravilnika s strani podružnic naše družbe izven EGP, ki zadevajo posameznike, ki prebivajo v EGP, ali posameznike, katerih osebni podatki so podvrženi zakonu o varovanju podatkov iz EGP in se jih prenaša izven EGP. Kadar je to potrebno, Merck, Sharp & Dohme (Europe) Inc., USA-Belgium Branch (»MSD Europe«) odgovoren za plačilo glob, kazni ali nadomestila škode, ki je bila naložena zaradi kršitev tega pravilnika, ki zadevajo posameznike, ki prebivajo v EGP, ali posameznike, katerih osebni podatki so podvrženi zakonu o varovanju podatkov iz EGP in se jih prenaša izven EGP. S podporo Globalne službe za zagotavljanje zasebnosti naše družbe in podružnice iz države izven EGP, ki je odgovorna za domnevno kršitev, bo evropska uradna oseba za varstvo podatkov poskušala dokazati, da naša družba ni odgovorna za domnevno kršitev. Če je druga podružnica naše družbe odgovorna za dejanje, ki je povzročilo globo, kazen ali obvezo povračila nastale škode, bo zadevna podružnica morala družbi MSD Evropa nemudoma povrniti celoten znesek, ki ga bo poravnala družba MSD Evropa. Če podružnica naše družbe zunaj EGP ta pravilnik krši, bodo pristojna sodišča ali organi za varstvo podatkov v EGP, prizadeti posameznik pa bo imel pravice in pravna sredstva zoper podružnico družbe, odgovorno za izvoz osebnih podatkov iz območja EGP, kakor je določeno v zgornji točki 3.f.
- V sodelovanju z Globalno službo za zagotavljanje zasebnosti je družba Merck Sharp & Dohme LLC in odgovorna zagotoviti, da bodo izvedena vsa potrebna dejanja, s katerimi se bo poskrbelo za vse domnevne kršitve tega pravilnika, ki zadevajo posameznike, ki prebivajo izven EGP, in, kadar je to potrebno, za plačilo glob, kazni ali nadomestila škode, ki je bilo dodeljeno zaradi kršitev tega pravilnika, ki zadevajo posameznike, ki prebivajo izven EGP, ali posameznike, katerih osebni podatki niso podvrženi zakonu o varovanju podatkov iz EGP. Če je druga podružnica naše družbe odgovorna za dejanje, ki je povzročilo globo, kazen ali obvezo povračila nastale škode, bo zadevna podružnica morala družbi Merck Sharp & Dohme LLC. nemudoma povrniti celoten znesek, ki ga bo poravnala družba Merck Sharp & Dohme LLC.
-
Podružnica naše družbe, ki je odgovorna za dejanje, zaradi katerega pride do hujših spornih dogodkov glede zasebnosti ali varnostnih dogodkov, prevzema finančno odgovornost za celoten znesek nadomestila za povzročeno škodo, vse globe in kazni, ki izhajajo iz zadevnega spornega dogodka glede zasebnosti ali varnostnega dogodka.
Nadzor in spremljanje
Da bi ponudili zagotovilo nadzornim organom in vsem deležnikom, da naša družba odgovorno pristopa k svojim zavezam k etičnim in odgovornim praksam glede zasebnosti, družba izvaja poglobljen nadzor in omogoča delovanje skupine za spremljanje upravljanja zasebnosti, ki jo vodi Direktor za zagotavljanje zasebnosti skupaj z odgovorno Globalno službo za zagotavljanje zasebnosti (GPO), dodeljenim EU uslužbencem za varstvo podatkov (DPO), državnim uslužbencem za varstvo podatkov, kjer to zahtevajo zakon ali lokalni organi, in uslužbenci za zagotavljanje zasebnosti, ki jih imenujejo višji vodje in ki so odgovorni za povezovanje med Globalno službo za zagotavljanje zasebnosti družbe MSD in organizacijskimi področji, v okviru katerih delajo.
Naša družba se zanaša na agente za preverjanje odgovornosti glede zasebnosti, katerim mora v skladu z zakoni redno dokazati, da izpolnjuje vse zahteve te Politike in zadevnih zakonov, vključno z APEC-ovimi CBPR-ji.
Poleg pregledov zagotovil, ki jih bo izvajala Globalna služba za zagotavljanje zasebnosti družbe, bodo zunanje in notranje revizijske ekipe ter ekipe za nadzor zagotovil izvajale preglede skladnosti, s katerimi bodo preverile, ali se družba drži pravil tega pravilnika in vseh njemu podrejenih pravilnikov, postopkov, standardov in smernic. Razviti bodo korektivni in preventivni akcijski načrti, ki bodo uresničeni za odpravo vrzeli, ki jih bodo odkrile ekipe za revizijo in pregled zagotovil. Rezultati revizijskega programa bodo posredovani direktorju za zagotavljanje zasebnosti in Odboru za zasebnost in varstvo podatkov, ki morata o njih poročati, kakor je opisano v tem pravilniku.
Vladne službe za zagotavljanje zasebnosti in zaščite podatkov, ki so odobrile ta pravilnik ali imajo pristojnost nad praksami naše družbe po tem pravilniku, imajo pravico preveriti, ali ravnamo v skladu z njim. Spoštovali bomo nasvete teh pristojnih organov glede razlaganja in uveljavljanja tega pravilnika.
Izrazi, s katerimi morate biti seznanjeni
- Anonimizirano. Sprememba, krajšanje, uničenje ali druga redakcija ali sprememba osebnih podatkov na način, s katerim se nepovratno onemogoči, da bi jih lahko uporabili za identifikacijo, lociranje ali stik s posameznikom, bodisi posamezno ali v kombinaciji z drugimi podatki.
- Zakon. Vsi veljavni zakoni, pravila, predpisi in mnenja pristojnih organov, ki so v veljavi v kateri koli državi, v kateri naša družba deluje ali v kateri se izvaja obdelava osebnih podatkov s strani ali v imenu naše družbe. To vključuje vse okvire za zagotavljanje zasebnosti, v katere je naša družba vključena ali zanje certificirana, vključno s Skupino za azijsko-pacifiško gospodarsko sodelovanje (»APEC«), Pravili glede zasebnosti pri čezmejnem prenosu (»CBPR-ji«), okvirnim programom za varstvo zasebnosti podatkov EU-ZDA (DPF), razširitev DPF v Združenem kraljestvu in okvirnim programom za varstvo zasebnosti podatkov Švica-ZDA – v okviru preiskovalnih in izvršnih pooblastil ameriške Zvezne komisije za trgovino.
- Naša družba. Merck & Co., Inc. (Rahway, NJ, ZDA), njeni nasledniki, podružnice in divizije po vsem svetu, razen mešanih družb, v katere je naša družba vključena.
- Osebni podatki. Vsi podatki, povezani z določenimi ali opredeljivimi posamezniki, vključno s podatki, prek katerih je mogoče prepoznati, locirati ter spremljati posameznika ali stopiti v stik z njim. Osebni podatki vključujejo podatke, ki omogočajo neposredno identifikacijo, kot so ime, identifikacijska številka ali edinstven naziv delovnega mesta, in podatke, ki omogočajo posredno identifikacijo, kot so datum rojstva, edinstven identifikator mobilne ali nosljive naprave, telefonska številka, kot tudi kodirane podatke, spletne identifikatorje, kot so npr. naslovi IP ali kakršne koli osebne dejavnosti, vedenje ali nastavitve, ki se lahko zbirajo za zagotavljanje storitev ali izdelkov.
- Sporni dogodek glede zasebnosti. Kršitev ali neizpolnjevanje tega pravilnika ali zakona o zagotavljanju zasebnosti ali varovanju podatkov vključuje tudi varnostni dogodek. Za presojo, ali je res prišlo do spornega dogodka glede zasebnosti in ali ga je mogoče obravnavati kršitev varstva osebnih podatkov, so odgovorni Globalna služba za zagotavljanje zasebnosti, Služba za upravljanje tveganja in varnosti informacijske tehnologije (ITRMS) in Urad generalnega svetovalca.
- Obdelava.Izvajanje kakršnih koli operacij ali nizov operacij na podatkih o ljudeh, s samodejnimi sredstvi ali ne, med drugim tudi zbiranje, beleženje, razporejanje, shranjevanje, dostopanje, prilagajanje, spreminjanje, priklic, posvetovanje, uporaba, ocenjevanje, analiza, uporaba za poročanje, deljenje, razkritje, razširjanje, prenos, omogočanje dostopa, izvajanje poravnave, kombiniranje, blokiranje, brisanje, izbris ali uničenje.
- Kršitev varstva osebnih podatkov. Kršitev varstva, ki povzroči naključno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje osebnih podatkov ali dostop do njih, ali utemeljeno prepričanje našega podjetja o tem. Dostop do osebnih podatkov s strani našega podjetja ali v njegovem imenu brez namena kršitve tega pravilnika ne pomeni kršitve varstva osebnih podatkov, pod pogojem, da se osebni podatki, do katerih se dostopa, nadalje uporabljajo in razkrijejo izključno v skladu s tem pravilnikom.
- Občutljivi podatki. Vse vrste osebnih podatkov, s katerimi je povezano tveganje, da bi lahko z njimi posameznikom potencialno povzročili škodo, vključno s podatki, ki jih kot občutljive določa zakonodaja, med drugim so to podatki o zdravju, genetiki, biometriki, rasi, narodni pripadnosti, verskih, političnih ali svetovnonazorskih prepričanjih, zgodovini kaznivih dejanj, podrobni podatki o geolokaciji, številke bančnih in finančnih računov, identifikacijske številke, izdane s strani državnih organov, podatki o mladoletnih otrocih, spolnih navadah, spolni usmerjenosti, članstvu v sindikatih, podatki o zavarovanju, socialni varnosti in drugih ugodnostih, ki jih je izdal delodajalec ali državni organ.
- Tretja oseba. Vsaka pravna oseba, združenje ali oseba, ki ni v lasti naše družbe ali v kateri naša družba nima nadzornega deleža, in ki ni zaposlena v naši družbi. V kolikor ni s tem pravilnikom izrecno določeno drugače, ne bo nobena podružnica ali divizija naše družbe dolžna izpolnjevati zahtev tretje osebe po tem pravilniku, saj morajo vse podružnice ali divizije osebne podatke obdelovati v skladu s tem pravilnikom, tudi če pride do situacije, ko ena od podružnic naše družbe podpira eno ali več drugih podružnic naše družbe pri njihovi obdelavi.
Spremembe tega pravilnika
Ta pravilnik smemo občasno dopolnjevati v skladu z zahtevami veljavnih zakonov. Ob spremembah tega pravilnika bo na naši spletni strani za zagotavljanje zasebnosti (https://www.msdprivacy.com/) ) za dobo 60 dni objavljeno obvestilo o spremembi na ravni vsebine.