ที่ Merck & Co., Inc., Rahway, NJ, USA ซึ่งมีชื่อทางการค้าว่า MSD นอกสหรัฐอเมริกาและแคนาดา และรวมถึงแต่ไม่จํากัดเพียงนิติบุคคลที่ครอบคลุม: Merck Sharp & Dohme LLC และ Intervet, Inc.; ภารกิจของเราในการช่วยชีวิตและพัฒนาคุณภาพชีวิตได้ขยายครอบคลุมไปถึงการเคารพความเป็นส่วนตัวและการปกป้องข้อมูลส่วนบุคคล
วันที่รีวิว: 1 กันยายน 2023
วันที่มีผลบังคับใช้: 1 กันยายน 2023
เรามุ่งมั่นที่จะดําเนินธุรกิจของเราตามค่านิยมของเราที่เกี่ยวกับความเป็นส่วนตัว เพราะเราเชื่อว่าสิ่งเหล่านี้แสดงให้เห็นถึงความมุ่งมั่นที่แน่วแน่ของเราต่อการปฏิบัติอย่างมีจริยธรรมและมีความรับผิดชอบ เราตระหนักดีว่านวัตกรรมและเทคโนโลยีใหม่ขับเคลื่อนการเปลี่ยนแปลงอย่างต่อเนื่องในด้านความเสี่ยง ความคาดหวัง และกฎหมาย ดังนั้นเราจึงปฏิบัติตามมาตรฐานความรับผิดชอบด้านความเป็นส่วนตัว และมุ่งมั่นที่จะปรับเปลี่ยนวิธีที่เรานําไปใช้เพื่อตอบสนองต่อการเปลี่ยนแปลงเหล่านั้นโดยทันที
นโยบายนี้กําหนดมาตรฐานสากลของเราสําหรับการจัดการและการคุ้มครองข้อมูลส่วนบุคคลโดยบริษัทของเรา หรือในนามของบริษัทของเรา โดยไม่คํานึงถึงประเทศที่มาของข้อมูลส่วนบุคคล หรือประเทศที่ข้อมูลส่วนบุคคลอาจถูกถ่ายโอนไป นโยบายนี้อธิบายถึงความมุ่งมั่นหลักของเราในการสนับสนุนการปฏิบัติตามข้อกําหนดของเราในเรื่อง การรับรองกฎความเป็นส่วนตัวข้ามพรมแดนของเอเปค กฎระเบียบขององค์กรที่มีผลผูกพัน (“BCR”) ซึ่งได้รับการอนุมัติในสหภาพยุโรปและการรับรองตนเองของเราต่อ โครงการกรอบความเป็นส่วนตัวของข้อมูล (DPF) ระหว่างสหภาพยุโรป-สหรัฐอเมริกา การขยาย DPF ของสหราชอาณาจักร และ โปรแกรมกรอบความเป็นส่วนตัวของข้อมูลระหว่างสวิส-สหรัฐอเมริกา
บริษัทของเราปฏิบัติตามโปรแกรมกรอบความเป็นส่วนตัวของข้อมูลระหว่างสหภาพยุโรป-สหรัฐอเมริกา (EU-U.S. DPF), การขยายของสหราชอาณาจักรไปยัง EU-U.S. DPF และ โปรแกรมกรอบความเป็นส่วนตัวของข้อมูลของสวิส-สหรัฐอเมริกา (สวิส-สหรัฐอเมริกา DPF) ตามที่กําหนดโดยกระทรวงพาณิชย์สหรัฐฯ เราได้รับรองต่อกระทรวงพาณิชย์ของสหรัฐอเมริกาว่าเราปฏิบัติตามหลักการกรอบความเป็นส่วนตัวของข้อมูลระหว่างสหภาพยุโรป-สหรัฐอเมริกา (หลักการ DPF ของสหภาพยุโรป-สหรัฐอเมริกา) เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลที่ได้รับจากสหภาพยุโรปโดยอาศัย DPF ระหว่างสหภาพยุโรปและจากสหราชอาณาจักร (และยิบรอลตาร์) โดยอาศัยการขยายขอบเขตของสหราชอาณาจักรไปยัง DPF ระหว่างสหภาพยุโรปและสหรัฐอเมริกา เราได้รับรองจากกระทรวงพาณิชย์ของสหรัฐอเมริกาว่าเราปฏิบัติตามข้อกําหนดของ หลักการของโปรแกรมกรอบความเป็นส่วนตัวของข้อมูลของสวิส-สหรัฐอเมริกา (หลักการ DPF ของสวิส-สหรัฐอเมริกา) เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลที่ได้รับจากสวิตเซอร์แลนด์โดยอาศัย DPF ของสวิส-สหรัฐอเมริกา หากมีข้อขัดแย้งระหว่างข้อกําหนดในนโยบายนี้กับหลักการ DPF ระหว่างสหภาพยุโรปและสหรัฐอเมริกา และ/หรือหลักการ DPF ระหว่างสวิสและสหรัฐอเมริกา หลักการจะควบคุม หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับโปรแกรมกรอบความเป็นส่วนตัวของข้อมูล (DPF) และดูการรับรองของเรา โปรดไปที่ https://www.dataprivacyframework.gov/
นโยบายนี้ใช้กับการดําเนินงานของเราในทุกประเทศ กับทุกกิจกรรมที่เกี่ยวข้องกับข้อมูลเกี่ยวกับบุคคลที่เราดําเนินการในบริษัทลูกและทุกแผนก (รวมถึงผู้สืบทอดธุรกิจของเรา) รวมถึงแต่ไม่จํากัดเพียงการวิจัย การผลิต เชิงพาณิชย์ กิจกรรมสนับสนุนองค์กร และการถ่ายโอนข้อมูลที่จําเป็นในการดําเนินกิจกรรมเหล่านั้น ซึ่งรวมถึงแต่ไม่จํากัดเพียง:
- การวิจัยและการผลิต: การประเมินความต้องการและโอกาสสําหรับนวัตกรรมทางการแพทย์และสุขภาพ การริเริ่ม การจัดการ และการจัดหาเงินทุนให้กับการศึกษาวิจัย การประเมินและมีส่วนร่วมกับนักวิจัย สมาชิกคณะกรรมการทางวิทยาศาสตร์และจริยธรรม และพันธมิตรทางธุรกิจเพื่อสนับสนุนการศึกษาวิจัยและการพัฒนาผลิตภัณฑ์ของเรา การสรรหาผู้เข้าร่วมการศึกษาวิจัย การประเมินความปลอดภัย ประสิทธิภาพ และคุณภาพของผลิตภัณฑ์ที่เรากำลังศึกษาวิจัยและผลิตภัณฑ์ในท้องตลาด การปฏิบัติตามความรับผิดชอบต่อความปลอดภัยและคุณภาพของผลิตภัณฑ์ของเรา รวมถึงการจัดการและการรายงานเหตุการณ์ไม่พึงประสงค์และข้อร้องเรียนด้านคุณภาพของผลิตภัณฑ์ การยื่นขออนุมัติและจดทะเบียนผลิตภัณฑ์ของเรากับหน่วยงานกํากับดูแลด้านสุขภาพ และปฏิบัติตามข้อกําหนดทางกฎหมาย กฎระเบียบ หรือจริยธรรมที่เกี่ยวข้อง
-
เชิงพาณิชย์: การประเมินตลาดสําหรับผลิตภัณฑ์ของเรา การโฆษณา การตลาด การขาย การจัดจําหน่าย และส่งมอบผลิตภัณฑ์ของเรา การสื่อสารและการมีส่วนร่วมกับลูกค้าผู้เชี่ยวชาญด้านการดูแลสุขภาพ ผู้จ่ายเงินด้านการดูแลสุขภาพ ผู้ป่วย และผู้ใช้ปลายทางอื่น ๆ ของผล
นโยบายนี้ยังใช้กับทุกคนที่เราประมวลผลข้อมูล รวมถึงแต่ไม่จํากัดเพียงผู้เชี่ยวชาญด้านการดูแลสุขภาพของเราและลูกค้าอื่นๆ พนักงานที่คาดหวังในปัจจุบันและอดีตพนักงานและผู้อยู่ในอุปการะผู้ป่วยผู้ดูแลนักวิจัยและผู้เข้าร่วมการศึกษาวิจัยสมาชิกคณะกรรมการวิทยาศาสตร์และจริยธรรม พันธมิตรทางธุรกิจ นักลงทุน และผู้ถือหุ้นเจ้าหน้าที่ของรัฐ และผู้มีส่วนได้ส่วนเสียอื่น ๆ
พนักงานของบริษัทและผู้นําอาวุโสทุกคนมีความรับผิดชอบหลักด้านความเป็นส่วนตัวที่พวกเขาต้องยึดถือ
เราตระหนักดีว่าข้อผิดพลาดโดยไม่ได้ตั้งใจและการตัดสินที่ผิดพลาดที่เกี่ยวข้องกับการคุ้มครองข้อมูลเกี่ยวกับบุคคลสามารถสร้างความเสี่ยงด้านความเป็นส่วนตัวสําหรับบุคคลและความเสี่ยงด้านชื่อเสียง การดําเนินงาน การเงิน และการปฏิบัติตามกฎระเบียบสําหรับบริษัทของเรา เราจะจัดให้มีการฝึกอบรมที่เหมาะสมเกี่ยวกับนโยบายนี้แก่พนักงานทุกคนและบุคลากรอื่น ๆ ที่สามารถเข้าถึงข้อมูลส่วนบุคคลได้ถาวรหรือเป็นประจํา และผู้ที่เกี่ยวข้องกับการเก็บรวบรวมข้อมูลหรือในการพัฒนาเครื่องมือที่ใช้ในการประมวลผลข้อมูลส่วนบุคคล พนักงานทุกคนของบริษัทของเราและผู้ ที่ประมวลผลข้อมูลเกี่ยวกับบุคคลให้กับบริษัทของเรามีหน้าที่รับผิดชอบในการทําความเข้าใจและรักษาหน้าที่ของตนภายใต้นโยบายนี้และกฎหมายที่บังคับใช้
ค่านิยมและมาตรฐานความเป็นส่วนตัวของเรา
เรายึดมั่นในค่านิยมความเป็นส่วนตัวของเรา ในทุกสิ่งที่เราทําที่เกี่ยวข้องกับบุคคลรวมถึงการนำมาตรฐานความเป็นส่วนตัวของเราไปใช้อย่างไร ค่านิยมความเป็นส่วนตัวสี่ประการของเรามีดังนี้
เคารพ
ไว้ใจ
ป้องกันอันตราย
ปฏิบัติตาม
เราตระหนักดีว่าความกังวลด้านความเป็นส่วนตัวมักเกี่ยวข้องกับแก่นแท้ของตัวตนของเรา วิธีที่เรามองโลกและวิธีที่เรากําหนดตัวเราเอง ดังนั้นเราจึงมุ่งมั่นที่จะเคารพมุมมองและผลประโยชน์ของบุคคลและชุมชนและมีความยุติธรรมและโปร่งใสในวิธีที่เราใช้และแบ่งปันข้อมูลเกี่ยวกับพวกเขา เราทราบดีว่าความไว้วางใจมีความสําคัญต่อความสําเร็จของเรา ดังนั้นเราจึงมุ่งมั่นที่จะสร้างและรักษาความไว้วางใจของลูกค้า พนักงาน ผู้ป่วย และผู้มีส่วนได้ส่วนเสียอื่นๆ ในวิธีที่เราเคารพความเป็นส่วนตัวและปกป้องข้อมูลเกี่ยวกับผู้คน เราเข้าใจดีว่าการใช้ข้อมูลเกี่ยวกับบุคคลในทางที่ผิด สามารถสร้างอันตรายทั้งที่จับต้องได้และจับต้องไม่ได้ต่อบุคคล ดังนั้นเราจึงพยายามป้องกันอันตรายทางกายภาพ การเงิน ชื่อเสียง และอันตรายทางความเป็นส่วนตัวประเภทอื่นๆ ต่อบุคคล เราได้เรียนรู้ว่ากฎหมายและข้อบังคับไม่สามารถก้าวให้ทันกับการเปลี่ยนแปลงอย่างรวดเร็วของเทคโนโลยีการไหลของข้อมูล และการเปลี่ยนแปลงที่เกี่ยวข้องในความเสี่ยงและความคาดหวังด้านความเป็นส่วนตัว ดังนั้นเราจึงมุ่งมั่นที่จะปฏิบัติตามทั้งเจตนารมณ์และตัวอักษรของกฎหมายและข้อบังคับด้านความเป็นส่วนตัวและการคุ้มครองข้อมูลในลักษณะที่ขับเคลื่อนความสม่ําเสมอและประสิทธิภาพการดําเนินงานสําหรับการดําเนินธุรกิจทั่วโลกของเรา - เราฝังมาตรฐานความเป็นส่วนตัวของเรา ไว้ในทุกกิจกรรม กระบวนการ เทคโนโลยี และความสัมพันธ์กับบุคคลที่สามที่ใช้ข้อมูลส่วนบุคคล เรา ออกแบบการควบคุมความเป็นส่วนตัวในกระบวนการและเทคโนโลยีของเราที่สอดคล้องกับค่านิยมและมาตรฐานความเป็นส่วนตัวของเราและกฎหมายที่บังคับใช้ หลักความเป็นส่วนตัว 8 ประการของเราที่กําหนดไว้ด้านล่าง ได้สรุปมาตรฐานความเป็นส่วนตัวและข้อกําหนดหลักสําหรับกระบวนการ กิจกรรม และเทคโนโลยีสนับสนุนในมุมมองระดับสูง
- เรากําหนดและจัดทําเอกสารสำหรับระยะเวลาที่ข้อมูลส่วนบุคคลจําเป็นต้องใช้เพื่อวัตถุประสงค์ทางธุรกิจที่กําหนดไว้และข้อกําหนดทางกฎหมายที่เกี่ยวข้อง
- เราไม่เก็บรวบรวม ใช้ หรือแบ่งปันข้อมูลส่วนบุคคลมากเกินความจําเป็น หรือไม่เก็บรักษาไว้ในรูปแบบที่สามารถระบุตัวตนได้นานกว่าที่จําเป็นสําหรับวัตถุประสงค์ทางธุรกิจที่กําหนดไว้และข้อกําหนดทางกฎหมายที่เกี่ยวข้อง
- เราทําให้ข้อมูลไม่ระบุตัวตนเมื่อข้อกําหนดทางธุรกิจจําเป็นต้องเก็บข้อมูลเกี่ยวกับกิจกรรมหรือกระบวนการเป็นระยะเวลานานขึ้น
- เรามั่นใจว่าข้อกําหนดที่จําเป็นเหล่านี้ได้รับการออกแบบมาในเทคโนโลยีที่รองรับ และสื่อสารกับบุคคลที่สามที่สนับสนุนกิจกรรมหรือกระบวนการ
- เราพิจารณาว่าการรวบรวม การใช้ หรือการประมวลผลอื่นๆของข้อมูลส่วนบุคคลที่เสนอนั้นมีความเสี่ยงที่เป็นไปได้และ/หรือความเสี่ยงที่รุนแรงของอันตรายที่จับต้องได้หรือจับต้องไม่ได้ต่อบุคคลตามค่านิยมความเป็นส่วนตัวของเราเพื่อป้องกันอันตราย
- หากลักษณะของข้อมูล ประเภทของบุคคล หรือกิจกรรมมีความเสี่ยงที่เป็นไปได้และ/หรือรุนแรงของอันตรายที่จับต้องได้หรือจับต้องไม่ได้ต่อบุคคล เรารับรองว่าความเสี่ยงของอันตรายนั้นมีน้อยกว่าผลประโยชน์ที่สอดคล้องกันสําหรับบุคคลเหล่านั้น หรือภารกิจของเราในการช่วยชีวิตและพัฒนาคุณภาพชีวิต และบรรเทาได้ด้วยมาตรการ มาตรการป้องกันและกลไกที่เราได้วางไว้
- ในกรณีที่ความเสี่ยงดูเหมือนจะมากกว่าผลประโยชน์ต่อบุคคล เราจะใช้มาตรการรักษาความปลอดภัยและการป้องกันที่เกี่ยวข้องมากที่สุด แจ้งให้บุคคลทราบถึงข้อเท็จจริงนี้ และเราขอคําแนะนําจากหน่วยงานกํากับดูแลที่มีอํานาจเมื่อเป็นไปได้
- เราประมวลผลข้อมูลที่อ่อนไหวเมื่อได้รับความยินยอมโดยชัดแจ้งจากแต่ละบุคคลตามที่กําหนดอย่างชัดแจ้งหรืออนุญาตอย่างชัดแจ้งตามกฎหมายที่บังคับใช้
- ในกรณีที่ความเสี่ยงดูเหมือนจะมีมากกว่าผลประโยชน์ต่อบุคคลเราจะจัดทําเอกสารการวิเคราะห์ความเสี่ยงและออกแบบกลไกที่จําเป็นเพื่อลดความเสี่ยงให้มากที่สุด
- บุคคลทุกคนที่ได้รับการประมวลผลข้อมูลส่วนบุคคลภายใต้นโยบายนี้ มีสิทธิในสําเนาของนโยบายนี้ เราจะจัดทําสําเนานโยบายนี้ทางออนไลน์ที่https://www.msdprivacy.com/index.html
- เมื่อมีการเก็บรวบรวมข้อมูลส่วนบุคคลโดยตรงจากบุคคล เราจะแจ้งให้พวกเขาทราบก่อนการรวบรวมข้อมูล และผ่านประกาศความเป็นส่วนตัวที่ชัดเจน เด่นชัด และเข้าถึงได้ง่าย หรือวิธีการที่คล้ายคลึงกัน (1) นิติบุคคลของบริษัทหรือนิติบุคคลที่รับผิดชอบในการประมวลผล (2) รายละเอียดการติดต่อของประธานเจ้าหน้าที่ฝ่ายความเป็นส่วนตัวของเราและ/หรือเจ้าหน้าที่ความเป็นส่วนตัวของข้อมูลระดับภูมิภาค/ท้องถิ่น (3) ข้อมูลใดที่จะถูกเก็บรวบรวม (4) วัตถุประสงค์ที่จะใช้ (5) ฐานทางกฎหมายสําหรับการประมวลผลของเรา (6) ผู้ที่จะได้รับการแบ่งปันข้อมูลดังกล่าว รวมถึงข้อกําหนดใดๆ ในการเปิดเผยข้อมูลส่วนบุคคลเพื่อตอบสนองต่อคําขอที่ชอบด้วยกฎหมายของหน่วยงานของรัฐ (7) เราจะถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศอื่นหรือไม่และอย่างไร รวมถึงประเทศที่เกี่ยวข้องหากเป็นไปได้ (8) ระยะเวลาที่จะเก็บรักษาไว้หรือเกณฑ์ที่เราใช้ตัดสินใจ (9) พวกเขาสามารถถามคําถาม ตั้งข้อกังวล หรือใช้สิทธิ์ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของตนได้อย่างไร (10) พวกเขาสามารถเพิกถอนความยินยอมใด ๆ ที่ให้ไว้ได้อย่างไร (11) สิทธิ์ในการยื่นเรื่องร้องเรียนต่อหน่วยงานกํากับดูแล (12) ภาระผูกพันใด ๆ ในการให้ข้อมูลส่วนบุคคลและผลที่ตามมาของการไม่ทําเช่นนั้น (13) การตัดสินใจโดยอัตโนมัติใด ๆ รวมถึงการทําโปรไฟล์ ที่เราจะดําเนินการ และ (14) ลิงก์ไปยังนโยบายนี้หากเป็นไปได้และเหมาะสม ประกาศความเป็นส่วนตัวที่ครอบคลุมของเราสําหรับผู้มีส่วนได้ส่วนเสียจํานวนมากของเรา สามารถดูทางออนไลน์ได้ที่http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html
- เมื่อได้รับข้อมูลส่วนบุคคลผ่านการสังเกต เซ็นเซอร์ หรือวิธีการทางอ้อมอื่นๆ อาจไม่สามารถให้ประกาศความเป็นส่วนตัวแก่บุคคลโดยตรงในขณะที่รวบรวมข้อมูล ในกรณีดังกล่าว เรารับประกันความโปร่งใสต่อบุคคลด้วยวิธีการอื่น เช่น การโพสต์หรือพิมพ์บนอุปกรณ์หรือเอกสารที่เกี่ยวข้องกับอุปกรณ์ที่จะได้รับข้อมูล
- เมื่อมีการเก็บรวบรวมข้อมูลส่วนบุคคลผ่านทางเว็บไซต์ แอปบนอุปกรณ์เคลื่อนที่ หรือแอปพลิเคชันออนไลน์หรือแหล่งข้อมูลอื่นๆ เราจะใช้มาตรฐานเฉพาะด้านเทคโนโลยีที่กําหนดไว้ในนโยบายความเป็นส่วนตัวทางอินเทอร์เน็ตและข้อผูกมัดด้านความเป็นส่วนตัวของคุกกี้ของเราเพื่อให้แน่ใจว่าได้ปฏิบัติตามข้อกําหนดในความโปร่งใสตามนโยบายนี้
- เมื่อมีการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น ๆ และไม่ได้เป็นคําสั่งของบริษัทของเราโดยเฉพาโดยเฉพาะ ก่อนได้รับข้อมูล เราจะตรวจสอบจากลายลักษณ์อักษรว่าผู้ให้บริการข้อมูลได้แจ้งให้บุคคลทราบถึงวิธีการและวัตถุประสงค์ที่บริษัทของเราตั้งใจจะใช้ข้อมูลดังกล่าว หากไม่สามารถขอยืนยันเป็นลายลักษณ์อักษรจากผู้ให้บริการข้อมูล เราจะใช้เฉพาะข้อมูลที่ไม่ระบุตัวตน หรือก่อนใช้ข้อมูลส่วนบุคคล เราจะแจ้งให้บุคคลที่ได้รับผลกระทบทราบผ่านประกาศความเป็นส่วนตัวหรือวิธีการที่คล้ายคลึงกันของ (1) นิติบุคคลหรือหน่วยงานของบริษัทของเราที่รับผิดชอบในการประมวลผลข้อมูล (2) รายละเอียดการติดต่อของประธานเจ้าหน้าที่ฝ่ายความเป็นส่วนตัวของเรา และ/หรือเจ้าหน้าที่คุ้มครองข้อมูลระดับภูมิภาค/ท้องถิ่น (3) ข้อมูลใดที่บริษัทของเราวางแผนจะใช้ (4) วัตถุประสงค์ที่บริษัทของเราวางแผนจะใช้ข้อมูล (5) ฐานทางกฎหมายสําหรับการประมวลผลของเรา (6) บริษัทของเราจะแบ่งปันข้อมูลส่วนบุคคลกับใคร (7) เราจะถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศอื่นหรือไม่ รวมถึงประเทศที่เกี่ยวข้องหากเป็นไปได้ (8) บริษัทของเราวางแผนที่จะเก็บรักษาข้อมูลนั้นไว้นานแค่ไหน หรือเกณฑ์ที่เราใช้ตัดสินใจ (9) พวกเขาสามารถถามคําถาม ตั้งข้อกังวล หรือใช้สิทธิ์ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของตนได้อย่างไร (10) พวกเขาสามารถเพิกถอนความยินยอมใด ๆ ที่ให้ไว้ได้อย่างไร (11) สิทธิ์ในการยื่นเรื่องร้องเรียนต่อหน่วยงานกํากับดูแล (12) ภาระผูกพันใด ๆ ในการให้ข้อมูลส่วนบุคคลและผลที่ตามมาของการไม่ทําเช่นนั้น (13) การตัดสินใจโดยอัตโนมัติ รวมถึงการทําโปรไฟล์ ที่เราจะดําเนินการ และ (14) ลิงก์ไปยังนโยบายนี้หากเป็นไปได้และเหมาะสม
- เรามั่นใจว่ากลไกความโปร่งใสที่จําเป็น รวมถึงกลไกที่สนับสนุนคําขอสิทธิ์ส่วนบุคคล (หากเป็นไปได้) ได้รับการออกแบบให้สนับสนุนเทคโนโลยีต่าง ๆ และเรามั่นใจว่าบุคคลที่สามที่สนับสนุนกิจกรรมหรือกระบวนการจะไม่ประมวลผลข้อมูลเกี่ยวกับบุคคลในลักษณะที่ไม่สอดคล้องกับสิ่งที่บุคคลได้รับแจ้งผ่านประกาศความเป็นส่วนตัวหรือวิธีการอื่น ๆ ที่ตรวจสอบได้ ซึ่งเราและผู้อื่นที่ทํางานให้กับเราจะใช้ดําเนินการกับข้อมูลดังกล่าว
- เมื่อเราขอความยินยอม เราจะได้รับและจัดทําหลักฐานการยินยอมไว้ในเทคโนโลยีที่รองรับของเรา
- หากมีการระบุวัตถุประสงค์ทางธุรกิจใหม่ที่ถูกต้องตามกฎหมายสําหรับข้อมูลส่วนบุคคลที่เก็บรวบรวมไว้ก่อนหน้านี้ เราจะได้รับความยินยอมจากบุคคลนั้นสําหรับการใช้ข้อมูลส่วนบุคคลใหม่ หรือเราตรวจสอบให้แน่ใจว่าวัตถุประสงค์ทางธุรกิจใหม่นั้นสอดคล้องกับวัตถุประสงค์ที่อธิบายไว้ในประกาศความเป็นส่วนตัวหรือกลไกความโปร่งใสอื่น ๆ ที่ให้ไว้ก่อนหน้านี้ เราจะพิจารณาความเข้ากันได้ตาม (1) ความเชื่อมโยงระหว่างวัตถุประสงค์เดิมและวัตถุประสงค์ใหม่ที่เสนอ (2) ความคาดหวังที่สมเหตุสมผลของแต่ละบุคคล (3) ลักษณะของข้อมูลส่วนบุคคล (4) ผลที่ตามมาของการประมวลผลเพิ่มเติมสําหรับบุคคล และ (5) การป้องกันที่เราได้วางไว้
- เราไม่ใช้หลักการนี้กับข้อมูลที่ไม่ระบุตัวตน หรือในกรณีที่เราใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการวิจัยทางประวัติศาสตร์และวิทยาศาสตร์เท่านั้น และ (1) คณะกรรมการทบทวนจริยธรรม หรือผู้ตรวจสอบที่มีความสามารถอื่น ๆ ได้พิจารณาแล้วว่าความเสี่ยงของการใช้ดังกล่าวเพื่อความเป็นส่วนตัวและสิทธิอื่น ๆ ของบุคคลนั้นเป็นที่ยอมรับได้ (2) เราได้วางมาตรการป้องกันที่เหมาะสมเพื่อให้แน่ใจว่ามีการจัดเก็บข้อมูลเท่าที่จำเป็น (3) ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่ระบุตัวตน และ (4) เคารพกฎหมายอื่น ๆ ที่เกี่ยวข้องทั้งหมด
- เรามั่นใจว่าข้อจํากัดในการใช้วัตถุประสงค์ได้ถูกออกแบบไว้ในเทคโนโลยีที่รองรับ รวมถึงความสามารถในการรายงานและการแชร์ข้อมูลปลายน้ำ
- เรามั่นใจว่ากลไกการตรวจสอบข้อมูลเป็นระยะได้รับการออกแบบไว้ในเทคโนโลยีที่สนับสนุน เพื่อตรวจสอบความถูกต้องของข้อมูลกับระบบต้นทางและระบบปลายน้ํา
- เรามั่นใจว่าข้อมูลที่มีความอ่อนไหวได้รับการตรวจสอบความถูกต้องและเป็นปัจจุบันก่อนที่จะมีการใช้ ประเมิน วิเคราะห์ การรายงาน หรือการประมวลผลอื่นๆ ที่มีความเสี่ยงต่อความไม่เป็นธรรมต่อบุคคลหากมีการใช้ข้อมูลที่ไม่ถูกต้องหรือล้าสมัย
- ในกรณีที่มีการเปลี่ยนแปลงข้อมูลส่วนบุคคลโดยบริษัทของเราหรือบุคคลที่สามที่ทํางานให้กับบริษัทของเรา เราตรวจสอบให้แน่ใจว่ามีการสื่อสารการเปลี่ยนแปลงเหล่านั้นให้บุคคลที่เกี่ยวข้องทราบในเวลาที่เหมาะสม หากเป็นไปได้อย่างสมเหตุสมผล
- เราได้ใช้โปรแกรมความปลอดภัยของข้อมูลที่ครอบคลุม และเราใช้การควบคุมความปลอดภัยที่อิงตามความอ่อนไหวของข้อมูลและระดับความเสี่ยงของกิจกรรม โดยคํานึงถึงแนวทางปฏิบัติที่ดีที่สุดของเทคโนโลยีในปัจจุบันและค่าใช้จ่ายในการใช้งาน นโยบายการรักษาความปลอดภัยในการทํางานของเรารวมถึงแต่ไม่จํากัดเพียงมาตรฐานเกี่ยวกับความต่อเนื่องทางธุรกิจและการกู้คืนจากภัยพิบัติการเข้ารหัสการจัดการข้อมูลประจําตัวและการเข้าถึงการจําแนกประเภทข้อมูลการจัดการเหตุการณ์ด้านความปลอดภัยของข้อมูลการควบคุมการเข้าถึงเครือข่ายความปลอดภัยทางกายภาพและการจัดการความเสี่ยง
-
(1) เราถ่ายโอนข้อมูลส่วนบุคคลภายในบริษัทของเราหากตรงตามข้อกําหนดต่อไปนี้
- (1) การแบ่งปันเป็นสิ่งจําเป็นเพื่อให้บรรลุวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลในตอนแรกหรือผลประโยชน์ที่ชอบด้วยกฎหมายอื่นของบริษัท และ (2) วัตถุประสงค์ในการแบ่งปัน และข้อเท็จจริงที่จะแบ่งปันนั้นสอดคล้องกับประกาศความเป็นส่วนตัวหรือกลไกความโปร่งใสอื่น ๆ ที่ให้ไว้ก่อนหน้านี้แก่บุคคล ณ เวลาที่ข้อมูลส่วนบุคคลถูกรวบรวมในตอนแรกและบุคคลนั้นให้ความยินยอม หากจําเป็น (3) ในกรณีที่บริษัทในเครือของบริษัทใดบริษัทหนึ่งของเราดําเนินการในนามของบริษัทย่อยอื่นของเราแต่เพียงผู้เดียวในการประมวลผลข้อมูลส่วนบุคคล (4) บริษัทในเครือของบริษัทเราจะดําเนินการตามข้อตกลงการประมวลผลข้อมูลภายในตามหลักการที่ 8 ของนโยบายนี้ ตามที่กฎหมายกําหนด (5) ในกรณีที่โครงสร้างพื้นฐานด้านไอทีต้องการการถ่ายโอนดังกล่าว โดยมีมาตรการรักษาความปลอดภัยและองค์กรที่เหมาะสมทั้งหมดเพื่อให้การถ่ายโอนดังกล่าวเป็นไปตามข้อกําหนด
-
(2) เราถ่ายโอนข้อมูลส่วนบุคคลไปยังบุคคลที่สาม หรืออนุญาตให้ประมวลผลโดยบุคคลที่สามก็ต่อเมื่อตรงตามข้อกําหนดต่อไปนี้ และเรามีหน้าที่รับผิดชอบในการตรวจสอบให้แน่ใจว่าบุคคลที่สามที่เราว่าจ้างมีคุณสมบัติตรงตามข้อกําหนดเหล่านี้
- หากบทบาทของบุคคลที่สาม คือการประมวลผลข้อมูลส่วนบุคคลสําหรับบริษัทของเรา หรือในนามของบริษัทของเรา ก่อนที่จะให้ข้อมูลส่วนบุคคลแก่บุคคลที่สาม หรือว่าจ้างบุคคลที่สาม เรา (1) ตรวจสอบสถานะความเป็นส่วนตัวเพื่อประเมินแนวทางปฏิบัติด้านความเป็นส่วนตัว และความเสี่ยงที่เกี่ยวข้องกับบุคคลที่สามเหล่านั้น (2) ได้รับการรับรองตามสัญญาจากบุคคลที่สามเหล่านั้นว่าพวกเขาจะประมวลผลข้อมูลส่วนบุคคลตามคําแนะนําของบริษัทของเราเท่านั้น และตามนโยบายนี้ รวมถึงแต่ไม่จํากัดเพียงหลักการความเป็นส่วนตัวทั้ง 8 ข้อ และมาตรฐานอื่นๆ ที่กําหนดไว้ในนโยบายนี้ และกฎหมายที่บังคับใช้ จะแจ้งให้บริษัทของเราทราบทันทีเกี่ยวกับเหตุการณ์ความเป็นส่วนตัวใดๆ รวมถึงการไม่สามารถปฏิบัติตามมาตรฐานที่กําหนดไว้ในนโยบายนี้และกฎหมายที่บังคับใช้ หรือเหตุการณ์ด้านความปลอดภัย และให้ความร่วมมือเพื่อแก้ไขเหตุการณ์ที่พิสูจน์ได้โดยทันที และเพื่อจัดการกับสิทธิส่วนบุคคลที่กําหนดไว้ในข้อ 2 ด้านล่าง ว่าพวกเขาจะไม่ว่าจ้างบริษัทอื่นในการประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษรจากเรา และไม่ได้ทําข้อตกลงที่กําหนดภาระผูกพันในการคุ้มครองข้อมูลที่เทียบเท่ากัน ว่าพวกเขาจะลบ หรือส่งคืนข้อมูลส่วนบุคคลทั้งหมดให้เราหลังจากที่พวกเขาให้บริการแก่เราเสร็จแล้วหรือตามคําขอของเรา และพวกเขาจะอนุญาตให้บริษัทของเราตรวจสอบ และติดตามแนวทางปฏิบัติของพวกเขาตลอดระยะเวลาของการประมวลผลเพื่อให้สอดคล้องกับข้อกําหนดเหล่านี้ นอกจากนี้ หากบุคคลที่สามประมวลผลข้อมูลส่วนบุคคลที่มาจากประเทศหรือดินแดนที่มีกฎหมายจํากัดการถ่ายโอนข้อมูลส่วนบุคคล เราจะตรวจสอบให้แน่ใจว่าการถ่ายโอนไปยังบุคคลที่สามเป็นไปตามข้อกําหนดสําหรับการถ่ายโอนข้อมูลข้ามพรมแดนที่อธิบายไว้ใน (3) ด้านล่าง
- หากบทบาทของบุคคลที่สามคือการจัดหาข้อมูลส่วนบุคคลให้กับบริษัทของเราก่อนที่จะได้รับข้อมูลส่วนบุคคลจากบุคคลที่สาม เราตรวจสอบให้แน่ใจว่าเป็นไปตามข้อกําหนดด้านความโปร่งใสสําหรับการรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่น ๆ และไม่ได้เป็นไปตามคําแนะนําของบริษัทของเราโดยเฉพาะ และเราได้รับการรับรองตามสัญญาจากบุคคลที่สามว่าไม่ได้ละเมิดกฎหมายใด ๆ หรือสิทธิ์ของบุคคลที่สามโดยการให้ข้อมูลส่วนบุคคลแก่บริษัทของเราs
- หากบทบาทของบุคคลที่สามคือการรับข้อมูลจากบริษัทของเรา เพื่อการประมวลผลที่ไม่ได้เป็นไปตามคําแนะนําของบริษัทของเราโดยเฉพาะ ก่อนที่จะให้ข้อมูลแก่บุคคลที่สาม เราตรวจสอบให้แน่ใจว่าข้อมูลนั้นได้รับการทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวตน และเราได้รับการรับรองเป็นลายลักษณ์อักษรจากบุคคลที่สามว่าพวกเขาจะใช้เพื่อวัตถุประสงค์ทางธุรกิจที่กําหนดไว้ในข้อตกลงและตามกฎหมายที่บังคับใช้เท่านั้น และพวกเขาจะไม่พยายามระบุตัวตนของข้อมูลอีกครั้ง
- หากจําเป็นต้องถ่ายโอนไปยังบุคคลที่สามเพื่อปกป้องผลประโยชน์ที่ชอบด้วยกฎหมายของบุคคลหรือของบริษัท เราอาจถ่ายโอนข้อมูล (1) เพื่อวัตถุประสงค์ในการป้องกันการฉ้อโกง หรือเพื่อบังคับใช้หรือปกป้องสิทธิและทรัพย์สินของบริษัท (2) เพื่อปกป้องความปลอดภัยส่วนบุคคลของพนักงานหรือบุคคลที่สามในทรัพย์สินของเรา และ (3) เพื่อปกป้องทรัพย์สินของเราโดยดำเนินมาตรการรักษาความปลอดภัยที่แก้ไข หากเราสงสัยอย่างสมเหตุสมผลว่ามีกิจกรรมที่ผิดกฎหมายหรือการประพฤติมิชอบอย่างร้ายแรงเกิดขึ้น
- หากบุคคลที่สามเป็นเป้าหมายของการเข้าซื้อกิจการ หรือมีส่วนได้เสียที่มีอํานาจควบคุมโดยบริษัทของเรา (1) ก่อนทําข้อตกลงเพื่อเข้าซื้อกิจการบุคคลที่สามหรือได้มาซึ่งผลประโยชน์ที่มีอํานาจควบคุมในบุคคลที่สาม เราจะดําเนินการตรวจสอบสถานะความเป็นส่วนตัวเพื่อประเมินแนวทางปฏิบัติด้านความเป็นส่วนตัวและความเสี่ยงที่เกี่ยวข้องกับการได้มาซึ่งบุคคลที่สามนั้น หรือผลประโยชน์ที่มีอํานาจควบคุมในบุคคลที่สามนั้น และ (2) เราทําข้อตกลงการถ่ายโอนข้อมูลที่ระบุข้อกําหนดและเงื่อนไขในการเปิดเผยข้อมูลส่วนบุคคลและภาระผูกพันที่เกี่ยวข้องของบริษัทของเราและบุคคลที่สาม
- หากบทบาทของบุคคลที่สามคือการได้มาซึ่งธุรกิจของบริษัทของเราทั้งหมดหรือบางส่วนก่อนที่จะแบ่งปันข้อมูลส่วนบุคคลใด ๆ ที่เกี่ยวข้องกับการขายกิจการส่วนใดส่วนหนึ่งของบริษัทของเรา เรา (1) ทําข้อตกลงการถ่ายโอนข้อมูลที่ระบุข้อกําหนดและเงื่อนไขที่อาจเปิดเผยข้อมูลส่วนบุคคล ให้กับผู้ซื้อ รวมถึงข้อจํากัดที่เหมาะสมเกี่ยวกับการใช้ข้อมูลส่วนบุคคลที่ได้รับอนุญาต และการปฏิบัติตามมาตรฐานที่กําหนดไว้ในนโยบายนี้ และกฎหมายที่บังคับใช้ (2) ตรวจสอบองค์ประกอบข้อมูลทั้งหมดเกี่ยวกับบุคคล ก่อนการแบ่งปันเพื่อประเมินข้อกําหนดสําหรับการแบ่งปัน (3) ขอความยินยอมในการแบ่งปันข้อมูลส่วนบุคคลหรือข้อมูลที่ละเอียดอ่อนตามหลักการจํากัดความโปร่งใสและวัตถุประสงค์ของนโยบายนี้ และ (4) กําหนดให้บุคคลที่สามแจ้งให้บริษัทของเราทราบทันทีเกี่ยวกับเหตุการณ์ความเป็นส่วนตัวที่เกี่ยวข้อง รวมถึงการไม่สามารถปฏิบัติตามมาตรฐานที่กําหนดไว้ในนโยบายนี้และกฎหมายที่บังคับใช้ และให้ความร่วมมือในการแก้ไขเหตุการณ์ที่พิสูจน์ได้โดยทันที หรือยุติการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้อง
- (3) เราถ่ายโอนข้อมูลส่วนบุคคลข้ามพรมแดนของประเทศ รวมถึงไปยังสหรัฐอเมริกา โดยหรือในนามของบริษัทของเราตามนโยบายนี้ เราจะใช้นโยบายนี้กับการถ่ายโอนข้อมูลส่วนบุคคลจากประเทศ หรือดินแดนอื่นใดที่มีกฎหมายจํากัดการถ่ายโอนข้อมูลส่วนบุคคล นอกเหนือจากการปฏิบัติตามข้อกําหนดใดๆ ที่กําหนดโดยกฎหมายดังกล่าว (รวมถึงการใช้กลไกใด ๆ ที่จําเป็นสําหรับการถ่ายโอนข้ามพรมแดนไปยังประเทศที่ไม่มีมาตรฐานการคุ้มครองข้อมูลเดียวกันกับประเทศต้นทาง)
- 1. หากจําเป็น เราจะขอความยินยอมในรูปแบบเฉพาะสําหรับการประมวลผลข้อมูลส่วนบุคคลบางอย่าง ซึ่งรวมถึงแต่ไม่จํากัดเพียงการอนุมัติการประมวลผลโดยสภาแรงงาน และสหภาพแรงงานอื่น ๆ
- 2. หากจําเป็น เราจะลงทะเบียนการประมวลผลข้อมูลส่วนบุคคลกับหรือขออนุมัติจากหน่วยงานกํากับดูแลความเป็นส่วนตัวหรือการคุ้มครองข้อมูลที่เกี่ยวข้อง
- 3. หากจําเป็น เราจะให้สิทธิ์ที่กว้างกว่า (เช่น การเข้าถึงและการแก้ไข) มากกว่าที่กําหนดไว้ในนโยบายนี้
- 4. หากจําเป็น เราจะจํากัดระยะเวลาการเก็บรักษาข้อมูลสําหรับข้อมูลส่วนบุคคลเพิ่มเติม และ
- 5. หากจําเป็น เราจะทําข้อตกลงที่มีข้อสัญญาเฉพาะ รวมถึงข้อตกลงสําหรับการถ่ายโอนข้อมูลข้ามพรมแดนไปยังบุคคลที่สาม
- 6. หากจําเป็น เราจะเปิดเผยข้อมูลส่วนบุคคลเพื่อตอบสนองต่อคําขอที่ชอบด้วยกฎหมายของหน่วยงานของรัฐ รวมถึงเพื่อให้เป็นไปตามข้อกําหนดด้านความมั่นคงของชาติ หรือการบังคับใช้กฎหมาย
-
เราจะจัดการกับคําขอสิทธิ์ส่วนบุคคลในการเข้าถึง แก้ไข แก้ไข หรือลบข้อมูลส่วนบุคคล เพื่อคัดค้านการประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับพวกเขา หรือเพื่อใช้สิทธิ์อื่นๆ เกี่ยวกับข้อมูลส่วนบุคคลของตนโดยทันที
- ก. การเข้าถึง การแก้ไข การลบ และสิทธิ์อื่นๆ – ภายใต้กฎหมายในประเทศส่วนใหญ่ที่เราดําเนินธุรกิจ บุคคลมีสิทธิ์เข้าถึงข้อมูลส่วนบุคคลเกี่ยวกับตนเอง และแก้ไข แก้ไข หรือลบข้อมูลส่วนบุคคลที่ไม่ถูกต้อง ไม่สมบูรณ์ หรือล้าสมัย เราจะเคารพคําขอทั้งหมดในการเข้าถึง แก้ไข และลบข้อมูลส่วนบุคคลจากบุคคลทุกคนตามข้อ 3ก ด้านล่าง หากคําขอให้เข้าถึง แก้ไข หรือลบอยู่ภายใต้กฎหมายที่บังคับใช้ซึ่งให้ความคุ้มครองแก่บุคคลมากขึ้น ในบางประเทศ บุคคลอาจมีสิทธิในสิทธิอื่นๆ เกี่ยวกับข้อมูลส่วนบุคคลเกี่ยวกับตนเอง เช่น สิทธิ์ในการจํากัดการประมวลผล คัดค้านการประมวลผล (ดูส่วนที่ 2ข ด้านล่างด้วย) และการถ่ายโอนข้อมูลของตนไปยังผู้ให้บริการรายอื่น เราจะให้เกียรติการใช้สิทธิ์ของข้อมูลตามกฎหมายที่บังคับใช้ สิทธิ์บางอย่าง เช่น การลบอาจถูกจํากัดตามข้อกําหนดด้านกฎระเบียบอื่นๆ หรือความจําเป็นในการปฏิบัติตามการรายงานการปฏิบัติตามข้อกําหนดในท้องถิ่น
- ข. ทางเลือก – สอดคล้องกับค่านิยมความเป็นส่วนตัวของเราในเรื่อง “ความเคารพ” และ “ความไว้วางใจ” เราเคารพคําขอส่วนบุคคลในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงแต่ไม่จํากัดเพียงการเลือกไม่เข้าร่วมโปรแกรมหรือกิจกรรมที่พวกเขาตกลงที่จะเข้าร่วมก่อนหน้านี้ และการประเมินหรือการตัดสินใจใด ๆ เกี่ยวกับพวกเขาซึ่งมีศักยภาพที่จะส่งผลกระทบอย่างมีนัยสําคัญซึ่งทําโดยการใช้ระบบอัตโนมัติหรืออัลกอริทึม
- ๑. เราอาจปฏิเสธทางเลือกในกรณีที่คําขอเลือกเฉพาะจะขัดขวางความสามารถของบริษัทของเราในการ (1) ปฏิบัติตามกฎหมายหรือภาระผูกพันทางจริยธรรม รวมถึงในกรณีที่เราจําเป็นต้องเปิดเผยข้อมูลส่วนบุคคลเพื่อตอบสนองต่อคําขอที่ชอบด้วยกฎหมายจากหน่วยงานของรัฐ รวมถึงเพื่อให้เป็นไปตามข้อกําหนดด้านความมั่นคงของชาติหรือการบังคับใช้กฎหมาย (2) สืบสวน ทํา หรือปกป้องการเรียกร้องทางกฎหมาย และ (3) ปฏิบัติตามสัญญา บริหารความสัมพันธ์ หรือมีส่วนร่วมในกิจกรรมทางธุรกิจอื่น ๆ ที่ได้รับอนุญาตซึ่งสอดคล้องกับหลักการจํากัดความโปร่งใสและวัตถุประสงค์ และทําขึ้นโดยอาศัยข้อมูลเกี่ยวกับบุคคลที่เป็นปัญหา ภายในสิบห้าวันทําการหลังจากการตัดสินใจปฏิเสธคําขอทางเลือกตามนโยบายนี้ เราจะจัดทําเอกสารและสื่อสารการตัดสินใจไปยังผู้ร้องขอ
-
เราจะตอบกลับและส่งต่อคําถาม ข้อร้องเรียน ข้อกังวล และเหตุการณ์ความเป็นส่วนตัวหรือเหตุการณ์ด้านความปลอดภัยที่อาจเกิดขึ้นโดยทันที
-
ก. บุคคลใดก็ตามที่เราประมวลผลข้อมูลส่วนบุคคลภายในขอบเขตของนโยบายนี้สามารถตั้งคําถาม ร้องเรียน หรือข้อกังวลต่อบริษัทของเราได้ตลอดเวลา รวมถึงการร้องขอรายชื่อบริษัทในเครือทั้งหมดของบริษัทของเราที่อยู่ภายใต้นโยบายนี้ เราคาดหวังว่าพนักงานของเราและคนอื่นๆ ที่ทํางานในนามของบริษัทของเราจะแจ้งให้ทราบทันที หากพวกเขามีเหตุผลที่จะเชื่อว่ากฎหมายที่บังคับใช้อาจขัดขวางไม่ให้พวกเขาปฏิบัติตามนโยบายนี้ คําถาม ข้อร้องเรียน หรือข้อกังวลใด ๆ ที่เกิดขึ้นโดยบุคคล หรือการแจ้งใด ๆ ที่ให้ไว้โดยพนักงาน หรือบุคคลอื่นใดที่ทํางานในนามของบริษัทของเรา ควรส่งไปยังสํานักงานความเป็นส่วนตัวทั่วโลก
- ๑. ทางอีเมลสําหรับบุคคลที่อาศัยอยู่ในเขตเศรษฐกิจยุโรป (EEA) ไปที่ euprivacydpo@msd.com
- ๒. ทางอีเมลไปที่ msd_privacy_office@msd.com
- ๓. ทางไปรษณีย์ไปที่ Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454
- ข. พนักงานประจำและพนักงานสัญญาจ้างจะต้องแจ้งสํานักงานความเป็นส่วนตัวทั่วโลกหรือผู้ดูแลความเป็นส่วนตัวที่ได้รับมอบหมายสําหรับพื้นที่ธุรกิจของตนทันที หากมีคําถามข้อร้องเรียนหรือข้อกังวลใด ๆ ที่เกี่ยวข้องกับแนวทางปฏิบัติด้านความเป็นส่วนตัวของบริษัทของเรา
- ค. สํานักงานความเป็นส่วนตัวทั่วโลกจะตรวจสอบและสอบสวน หรือจะทํางานร่วมกับสํานักงานจริยธรรม กฎหมาย และ/หรือการปฏิบัติตามกฎระเบียบ เพื่อตรวจสอบคําถาม ข้อร้องเรียน หรือข้อกังวลทั้งหมดที่เกี่ยวข้องกับแนวทางปฏิบัติด้านความเป็นส่วนตัวของบริษัทของเรา ไม่ว่าจะได้รับโดยตรงจากพนักงานหรือบุคคลอื่น ๆ หรือผ่านบุคคลที่สาม ซึ่งรวมถึงแต่ไม่จํากัดเพียงหน่วยงานกํากับดูแล ตัวแทนรับผิดชอบ และหน่วยงานรัฐบาลอื่นๆ เราจะตอบกลับบุคคลหรือนิติบุคคลที่ตั้งคําถาม ข้อร้องเรียน หรือข้อกังวลต่อบริษัทของเราภายในสามสิบ (30) วันปฏิทิน เว้นแต่กฎหมายหรือผู้ร้องขอบุคคลที่สามกําหนดให้มีการตอบกลับในระยะเวลาที่สั้นลง หรือเว้นแต่สถานการณ์กำหนดระยะเวลาที่ยาวนานขึ้น เช่น การสอบสวนของรัฐบาลที่เกิดขึ้นพร้อมกัน ซึ่งบุคคลผู้ร้องขอ หรือบุคคลที่สามที่ร้องขอจะได้รับการแจ้งเป็นลายลักษณ์อักษรโดยเร็วที่สุดที่เป็นไปได้ถึงลักษณะของสถานการณ์ที่ก่อให้เกิดความล่าช้า
- ง. สํานักงานความเป็นส่วนตัวทั่วโลกประสานงานกับฝ่ายกฎหมายและการปฏิบัติตามกฎระเบียบจะให้ความร่วมมือในการตอบคําถามการตรวจสอบ หรือการสอบสวนของหน่วยงานกํากับดูแลความเป็นส่วนตัว
-
จ. สําหรับข้อร้องเรียนที่ไม่สามารถแก้ไขได้ระหว่างบริษัทของเรากับบุคคลที่ยื่นเรื่องร้องเรียน บริษัทของเราได้ตกลงที่จะมีส่วนร่วมในขั้นตอนการระงับข้อพิพาทต่อไปนี้ในการสอบสวน และระงับข้อร้องเรียนเพื่อแก้ไขข้อพิพาทตามนโยบายนี้ บุคคลที่ข้อมูลส่วนบุคคลอยู่ภายใต้กฎหมายคุ้มครองข้อมูลของ EEA และถูกถ่ายโอนออกไปนอก EEA อาจใช้มาตรฐาน 3.ฉ. ด้านล่าง
- ๑. สําหรับข้อพิพาทที่เกี่ยวข้องกับการถ่ายโอนข้อมูลส่วนบุคคลที่เกี่ยวข้องกับกิจกรรมด้านทรัพยากรบุคคลในบริบทของความสัมพันธ์การจ้างงานจาก EEA และสหราชอาณาจักรไปยังสหรัฐอเมริกา
- ๒. สําหรับข้อพิพาทที่เกี่ยวข้องกับการถ่ายโอนข้อมูลส่วนบุคคลที่เกี่ยวข้องกับกิจกรรมด้านทรัพยากรบุคคลในบริบทของความสัมพันธ์การจ้างงานจากสวิตเซอร์แลนด์ไปยังสหรัฐอเมริกา
- ๓. สําหรับข้อพิพาทที่เกี่ยวข้องกับการถ่ายโอนข้อมูลส่วนบุคคลตามการปฏิบัติตามกฎระเบียบความเป็นส่วนตัวข้ามพรมแดนของความร่วมมือทางเศรษฐกิจเอเชียแปซิฟิก (“APEC”) ระหว่างเศรษฐกิจเอเปค บริษัทของเราได้ตกลงที่จะระงับข้อพิพาทโดยตัวแทนความรับผิดชอบของเรา สําหรับข้อมูลเพิ่มเติมเกี่ยวกับขอบเขตของการเข้าร่วมของเรา หรือส่งคําถามเกี่ยวกับความเป็นส่วนตัวผ่าน BBB National Programsโปรดคลิกที่ตราประทับอย่างเป็นทางการที่ด้านล่างของหน้านี้
- ๔. สําหรับข้อพิพาทที่เกี่ยวข้องกับ การถ่ายโอนข้อมูลส่วนบุคคลที่เกี่ยวข้องกับกิจกรรมที่ไม่ใช่ทรัพยากรมนุษย์ผ่าน โครงการกรอบความเป็นส่วนตัวของข้อมูล (DPF) ระหว่างสหภาพยุโรป-สหรัฐอเมริกา การขยาย DPF ของสหราชอาณาจักร และ โปรแกรมกรอบความเป็นส่วนตัวของข้อมูลของสวิส-สหรัฐอเมริกา, บริษัทของเราได้ตกลงที่จะระงับข้อพิพาท (ไม่มีค่าใช้จ่าย) โดยอิสระ กลไกการไล่เบี้ย Data Privacy Framework Services ซึ่งดําเนินการโดย BBB National Programs หากคุณไม่ได้รับการตอบรับข้อร้องเรียนของคุณทันท่วงที หรือหากข้อร้องเรียนของคุณไม่ได้รับการแก้ไขอย่างน่าพอใจ โปรดไปที่ https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers สําหรับข้อมูลเพิ่มเติมและยื่นเรื่องร้องเรียน
- ๕. สําหรับข้อพิพาทใดๆ ที่เกิดขึ้นภายใต้โครงการกรอบความเป็นส่วนตัวของข้อมูล (DPF) ระหว่างสหภาพยุโรป-สหรัฐอเมริกา การขยาย DPF ของสหราชอาณาจักร และ โปรแกรมกรอบความเป็นส่วนตัวของข้อมูลของสวิส-สหรัฐอเมริกา ที่ไม่ได้แก้ไขผ่านขั้นตอนที่อธิบายไว้ในส่วนนี้ ภายใต้เงื่อนไขบางประการ บุคคลอาจเรียกใช้อนุญาโตตุลาการที่มีผลผูกพันสําหรับการเรียกร้องที่เหลือบางส่วนที่ไม่ได้แก้ไขโดยกลไกการแก้ไขอื่น ๆ ดูข้อมูลได้ที่ https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2
-
ฉ. บุคคลทั้งหมดที่อาศัยอยู่ใน EEA หรือบุคคลที่ข้อมูลส่วนบุคคลอยู่ภายใต้กฎหมายคุ้มครองข้อมูลของ EEA และถูกถ่ายโอนออกไปนอก EEA ซึ่งข้อมูลที่ได้รับการประมวลผลตามนโยบายนี้มีสิทธิภายใต้นโยบายนี้ได้ตลอดเวลาในการบังคับใช้ข้อกําหนดของนโยบายนี้ในฐานะผู้รับผลประโยชน์บุคคลที่สาม รวมถึงสิทธิในการดําเนินคดีเพื่อแสวงหาการเยียวยาสําหรับการละเมิดสิทธิของตนภายใต้นโยบายนี้ (ตามที่ระบุไว้ในข้อ 2 ข้างต้น) และสิทธิในการรับรางวัลสําหรับความเสียหายที่เกิดจากการละเมิดดังกล่าว บุคคลที่อาศัยอยู่ใน EEA หรือบุคคลที่ข้อมูลส่วนบุคคลอยู่ภายใต้กฎหมายคุ้มครองข้อมูลของ EEA และถูกถ่ายโอนออกไปนอก EEA (เพื่อความชัดเจน รวมถึงไปยังสหรัฐอเมริกา) อาจยื่นคําร้องหรือร้องเรียนภายใต้นโยบายนี้ กับบริษัทในเครือของบริษัทที่รับผิดชอบในการส่งออกข้อมูลส่วนบุคคลออกจาก EEA ก่อน
- ๑. เขตอํานาจศาลของผู้ส่งออกข้อมูลที่ตั้งอยู่ใน EEA หรือ
- ๒. เขตอํานาจศาลของประเทศที่เจ้าหน้าที่คุ้มครองข้อมูลยุโรปของเราตั้งอยู่ หรือ
- ๓. หน่วยงานคุ้มครองข้อมูลที่มีอํานาจ (โดยเฉพาะอย่างยิ่งในประเทศสมาชิกที่มีถิ่นที่อยู่ประจํา สถานที่ทํางาน หรือสถานที่ที่ถูกกล่าวหาว่าละเมิด) หรือ
- ๔. หน่วยงานหลักด้านการคุ้มครองข้อมูลของเราที่ได้สั่งการให้ BCR ของเรา: หน่วยงานคุ้มครองข้อมูลของเบลเยียม (APD)
- ช. บริษัทของเราจะตอบกลับบุคคลหรือนิติบุคคลที่แจ้งคําถาม ข้อร้องเรียน หรือข้อกังวลต่อบริษัทของเราภายในสามสิบ (30) วันปฏิทิน เว้นแต่กฎหมายหรือผู้ร้องขอบุคคลที่สามกําหนดให้มีการตอบกลับในระยะเวลาที่สั้นลง หรือเว้นแต่สถานการณ์จะกําหนดระยะเวลาที่ยาวนานขึ้น ซึ่งในกรณีนี้บุคคลหรือผู้ร้องขอบุคคลที่สามจะได้รับแจ้งเป็นลายลักษณ์อักษร
-
ก. บุคคลใดก็ตามที่เราประมวลผลข้อมูลส่วนบุคคลภายในขอบเขตของนโยบายนี้สามารถตั้งคําถาม ร้องเรียน หรือข้อกังวลต่อบริษัทของเราได้ตลอดเวลา รวมถึงการร้องขอรายชื่อบริษัทในเครือทั้งหมดของบริษัทของเราที่อยู่ภายใต้นโยบายนี้ เราคาดหวังว่าพนักงานของเราและคนอื่นๆ ที่ทํางานในนามของบริษัทของเราจะแจ้งให้ทราบทันที หากพวกเขามีเหตุผลที่จะเชื่อว่ากฎหมายที่บังคับใช้อาจขัดขวางไม่ให้พวกเขาปฏิบัติตามนโยบายนี้ คําถาม ข้อร้องเรียน หรือข้อกังวลใด ๆ ที่เกิดขึ้นโดยบุคคล หรือการแจ้งใด ๆ ที่ให้ไว้โดยพนักงาน หรือบุคคลอื่นใดที่ทํางานในนามของบริษัทของเรา ควรส่งไปยังสํานักงานความเป็นส่วนตัวทั่วโลก
- เรามีหน้าที่รับผิดชอบในการรักษาค่านิยมและมาตรฐานความเป็นส่วนตัวของเรา
-
ก. บริษัทในเครือของบริษัทของเราที่รับผิดชอบต่อการกระทําที่ก่อให้เกิดเหตุการณ์ความเป็นส่วนตัวหรือเหตุการณ์ด้านความปลอดภัยที่พิสูจน์ได้ จะต้องรับผิดชอบทางการเงินสําหรับจํานวนเงินของการเรียกร้องค่าเสียหาย หรือค่าปรับ หรือโทษที่เกิดขึ้นจากเหตุการณ์ความเป็นส่วนตัวหรือเหตุการณ์ด้านความปลอดภัย
- ๑. ในการประสานงานกับและตามคําแนะนําของสํานักงานความเป็นส่วนตัวทั่วโลก เจ้าหน้าที่ คุ้มครองข้อมูลของยุโรปมีหน้าที่รับผิดชอบในการตรวจสอบให้แน่ใจว่า มีการดําเนินการที่จําเป็นเพื่อจัดการกับการละเมิดนโยบายนี้ที่ถูกกล่าวหาโดยบริษัทในเครือของบริษัทของเรานอก EEA ซึ่งส่งผลกระทบต่อบุคคลที่อาศัยอยู่ใน EEA หรือบุคคลที่ข้อมูลส่วนบุคคลอยู่ภายใต้กฎหมายคุ้มครองข้อมูลของ EEA และถ่ายโอนออกนอก EEA ในกรณีที่จําเป็น Merck, Sharp & Dohme (Europe) Inc., USA -Belgium Branch (“MSD Europe”) มีหน้าที่รับผิดชอบในการชําระค่าปรับ บทลงโทษ หรือค่าเสียหายที่ได้รับจากการละเมิดนโยบายนี้ซึ่งส่งผลกระทบต่อบุคคลที่อาศัยอยู่ใน EEA หรือบุคคลที่ข้อมูลส่วนบุคคลอยู่ภายใต้กฎหมายคุ้มครองข้อมูลของ EEA และถ่ายโอนออกไปนอก EEA ด้วยการสนับสนุนจากสํานักงานความเป็นส่วนตัวทั่วโลก และบริษัทในเครือของบริษัทของเรานอก EEA ที่รับผิดชอบต่อการละเมิดที่ถูกกล่าวหา เจ้าหน้าที่คุ้มครองข้อมูลของยุโรปจะต้องรับผิดชอบในการแสดงให้เห็นว่าบริษัทของเราไม่รับผิดชอบต่อการละเมิดที่ถูกกล่าวหา ในกรณีที่บริษัทในเครืออื่นของบริษัทของเราต้องรับผิดชอบต่อการกระทําที่จําเป็นต้องได้รับค่าปรับ บทลงโทษ หรือค่าเสียหาย บริษัทย่อยดังกล่าวอาจต้องชดใช้เงินคืนให้ MSD Europe ทันทีสําหรับจํานวนเงินที่ MSD Europe จ่ายไป หากบริษัทในเครือของบริษัทของเรานอกเขตเศรษฐกิจยุโรปละเมิดนโยบายนี้ ศาลหรือหน่วยงานคุ้มครองข้อมูลในเขตเศรษฐกิจยุโรปจะมีเขตอํานาจศาล และบุคคลที่ได้รับผลกระทบจะมีสิทธิและการเยียวยาต่อบริษัทในเครือของบริษัทที่รับผิดชอบในการส่งออกข้อมูลส่วนบุคคลออกจากเขตเศรษฐกิจยุโรปตามที่กําหนดไว้ในข้อ 3.ฉ. ข้างต้น
- ๒. ในการประสานงานกับและตามคําแนะนําของสํานักงานความเป็นส่วนตัวทั่วโลก Merck Sharp & Dohme LLCมีหน้าที่รับผิดชอบในการตรวจสอบให้แน่ใจว่ามีการดําเนินการที่จําเป็น เพื่อจัดการกับการละเมิดนโยบายนี้ที่ถูกกล่าวหาซึ่งส่งผลกระทบต่อบุคคลที่อาศัยอยู่นอก EEA และหากจําเป็น จะต้องชําระค่าปรับ บทลงโทษ หรือค่าเสียหายที่ได้รับจากการละเมิดนโยบายนี้ที่ส่งผลกระทบต่อบุคคลที่อาศัยอยู่นอก EEA หรือบุคคลที่ข้อมูลส่วนบุคคลไม่อยู่ภายใต้ EEA กฎหมายคุ้มครองข้อมูลของ EEA ในกรณีที่บริษัทในเครืออื่นของบริษัทของเราต้องรับผิดชอบต่อการกระทําที่จําเป็นต้องได้รับค่าปรับ ค่าปรับ หรือค่าเสียหาย บริษัทย่อยดังกล่าวอาจต้องชดใช้เงินคืนให้กับ Merck Sharp & Dohme LLC ทันทีสําหรับจํานวนเงินที่ชําระโดย Merck Sharp & Dohme LLC
-
ก. บริษัทในเครือของบริษัทของเราที่รับผิดชอบต่อการกระทําที่ก่อให้เกิดเหตุการณ์ความเป็นส่วนตัวหรือเหตุการณ์ด้านความปลอดภัยที่พิสูจน์ได้ จะต้องรับผิดชอบทางการเงินสําหรับจํานวนเงินของการเรียกร้องค่าเสียหาย หรือค่าปรับ หรือโทษที่เกิดขึ้นจากเหตุการณ์ความเป็นส่วนตัวหรือเหตุการณ์ด้านความปลอดภัย
หลักความเป็นส่วนตัว
ความมุ่งมั่นหลักของเรา
1. ความจําเป็น – ก่อนการรวบรวม ใช้ หรือแบ่งปันข้อมูลส่วนบุคคล เรากําหนดและจัดทําเอกสารวัตถุประสงค์ทางธุรกิจที่เฉพาะเจาะจงและถูกต้องตามกฎหมาย 2. ความเป็นธรรม – เราไม่ประมวลผลข้อมูลส่วนบุคคลในลักษณะที่ไม่เป็นธรรมต่อบุคคลที่เกี่ยวข้องกับข้อมูลเหล่านั้น 3. ความโปร่งใส – เราไม่ประมวลผลข้อมูลส่วนบุคคลในลักษณะที่ไม่โปร่งใส หรือเพื่อวัตถุประสงค์ที่ไม่โปร่งใส 4. การจํากัดวัตถุประสงค์ – เราใช้ข้อมูลส่วนบุคคลตามหลักการความจําเป็นและความโปร่งใสเท่านั้น 5. คุณภาพของข้อมูล – เรารักษาข้อมูลส่วนบุคคลให้ถูกต้อง ครบถ้วน และเป็นปัจจุบัน สอดคล้องกับวัตถุประสงค์การใช้งาน 6. ความปลอดภัย – เราใช้มาตรการป้องกันเพื่อปกป้องข้อมูลส่วนบุคคลและข้อมูลที่อ่อนไหวจากการสูญหาย การใช้งานผิดวัตุประสงค์ และการเข้าถึง การเปิดเผย การเปลี่ยนแปลง หรือการทําลายโดยไม่ได้รับอนุญาต 7. การถ่ายโอนข้อมูล – เรามีหน้าที่รับผิดชอบและรักษา การคุ้มครองความเป็นส่วนตัวสําหรับข้อมูลส่วนบุคคลเมื่อมีการถ่ายโอนไปยังหรือถ่ายโอนจากองค์กรอื่นหรือข้ามพรมแดนของประเทศ 8. อนุญาตตามกฎหมาย – เราประมวลผลข้อมูลส่วนบุคคลก็ต่อเมื่อเป็นไปตามข้อกําหนดของกฎหมายที่บังคับใช้เท่านั้น ในขณะที่หลักการความเป็นส่วนตัวอีก 7 ข้อ รวมถึงข้อกําหนดด้านสิทธิส่วนบุคคลที่อธิบายไว้ด้านล่าง มีวัตถุประสงค์เพื่อให้แน่ใจว่าเป็นไปตามข้อกําหนดของกฎหมายความเป็นส่วนตัว และการคุ้มครองข้อมูลส่วนใหญ่ที่ใช้กับธุรกิจของเราทั่วโลก แต่ในบางประเทศ เราจําเป็นต้องปฏิบัติตามข้อกําหนดเพิ่มเติม ซึ่งรวมถึงแต่ไม่จํากัดเพียงสิ่งต่อไปนี้ - ไม่เปิดเผยตัวตน การแก้ไข การตัดทอน การลบล้าง หรือการเปลี่ยนแปลง หรือแก้ไขข้อมูลส่วนบุคคลอื่น ๆ เพื่อให้ไม่สามารถใช้เพื่อระบุตัวตน ค้นหา หรือติดต่อบุคคลได้ไม่ว่าจะเพียงอย่างเดียวหรือร่วมกับข้อมูลอื่น ๆ
- กฎหมายกฎหมาย กฎ ข้อบังคับ และคําสั่งความเห็นที่บังคับใช้ทั้งหมดมีผลบังคับใช้ตามกฎหมายในประเทศใด ๆ ที่บริษัทของเราดําเนินงาน หรือที่ข้อมูลส่วนบุคคลได้รับการประมวลผลโดยหรือในนามของบริษัทของเรา ซึ่งรวมถึงกรอบความเป็นส่วนตัวทั้งหมดที่บริษัทของเราได้รับการอนุมัติหรือรับรอง รวมถึงกฎระเบียบองค์กรที่มีผลผูกพันของสหภาพยุโรป (“BCR”) ความร่วมมือทางเศรษฐกิจเอเชียแปซิฟิก (“APEC”) กฎความเป็นส่วนตัวข้ามพรมแดน(“CBPRs”) โครงการกรอบความเป็นส่วนตัวของข้อมูล (DPF) ระหว่างสหภาพยุโรป-สหรัฐอเมริกา การขยาย DPF ของสหราชอาณาจักร และสวิตเซอร์แลนด์-สหรัฐอเมริกา โปรแกรมกรอบความเป็นส่วนตัวของข้อมูล-
- บริษัทของเรา Merck & Co., Inc., Rahway, NJ, USA ผู้สืบทอด บริษัทย่อย และแผนกต่างๆ ทั่วโลก ยกเว้นกิจการร่วมค้าที่บริษัทของเราเป็นคู่สัญญา
- ข้อมูลส่วนบุคคล ข้อมูลใดๆ ที่เกี่ยวข้องกับบุคคลที่ระบุตัวตนหรือสามารถระบุตัวตนได้ รวมถึงข้อมูลที่ระบุตัวตนหรือที่อาจใช้เพื่อระบุ ค้นหา ติดตาม หรือติดต่อบุคคล ข้อมูลส่วนบุคคลรวมถึงข้อมูลที่สามารถระบุตัวตนได้โดยตรง เช่น ชื่อ หมายเลขประจําตัวประชาชน หรือตําแหน่งงานที่ไม่ซ้ํากัน และข้อมูลที่สามารถระบุตัวตนได้ทางอ้อม เช่น วันเดือนปีเกิด ตัวระบุอุปกรณ์เคลื่อนที่หรืออุปกรณ์สวมใส่ที่ไม่ซ้ํากัน หมายเลขโทรศัพท์ ตลอดจนข้อมูลรหัสคีย์ ตัวระบุออนไลน์ เช่น ที่อยู่ IP หรือกิจกรรมส่วนบุคคล พฤติกรรม หรือความชอบใดๆ ที่อาจถูกเก็บรวบรวมเพื่อให้บริการหรือผลิตภัณฑ์
- เหตุการณ์ความเป็นส่วนตัวการละเมิดนโยบายนี้หรือกฎหมายความเป็นส่วนตัวหรือการคุ้มครองข้อมูล และรวมถึงเหตุการณ์ด้านความปลอดภัย การพิจารณาว่าเหตุการณ์ความเป็นส่วนตัวเกิดขึ้นหรือไม่ และควรยกระดับเป็นการละเมิดข้อมูลส่วนบุคคลหรือไม่ จะต้องดําเนินการโดยสํานักงานความเป็นส่วนตัวทั่วโลก การจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและความปลอดภัย (ITRMS) และสํานักงานที่ปรึกษาทั่วไป
- ประมวลผล ดําเนินการหรือชุดการดําเนินการใด ๆ เกี่ยวกับข้อมูลเกี่ยวกับบุคคล ไม่ว่าจะด้วยวิธีการอัตโนมัติหรือไม่ก็ตาม ซึ่งรวมถึงแต่ไม่จํากัดเพียง การรวบรวม การบันทึก การจัดระเบียบ การจัดเก็บ การเข้าถึง การปรับ การเปลี่ยนแปลง การดึงข้อมูล การให้คําปรึกษา การใช้ การประเมินผล การวิเคราะห์ การรายงาน การแบ่งปัน การเปิดเผย การเผยแพร่ การส่ง การทําให้พร้อมใช้งาน การจัดตําแหน่ง การรวมกัน การปิดกั้น การลบ การลบ หรือการทําลาย
- การละเมิดข้อมูลส่วนบุคคล การละเมิดความปลอดภัยที่นําไปสู่การทําลาย การสูญหาย การเปลี่ยนแปลง การเปิดเผยหรือการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือโดยไม่ได้ตั้งใจหรือผิดกฎหมาย หรือความเชื่อที่สมเหตุสมผลของบริษัทของเราในเรื่องเดียวกัน การเข้าถึงข้อมูลส่วนบุคคลโดยหรือในนามของบริษัทของเราโดยไม่มีเจตนาที่จะละเมิดนโยบายนี้ไม่ถือเป็นการละเมิดข้อมูลส่วนบุคคล โดยมีเงื่อนไขว่าข้อมูลส่วนบุคคลที่เข้าถึงจะถูกนําไปใช้และเปิดเผยเพิ่มเติมตามที่นโยบายนี้อนุญาตเท่านั้น
- ข้อมูลที่อ่อนไหว ข้อมูลประเภทใดก็ตามเกี่ยวกับบุคคลที่มีความเสี่ยงโดยธรรมชาติที่จะเกิดอันตรายต่อบุคคล รวมถึงข้อมูลที่กําหนดโดยกฎหมายว่าละเอียดอ่อน ซึ่งรวมถึงแต่ไม่จํากัดเพียงข้อมูลที่เกี่ยวข้องกับสุขภาพ พันธุกรรม ไบโอเมตริกซ์ เชื้อชาติ ชาติพันธุ์ ศาสนา ความคิดเห็นหรือความเชื่อทางการเมืองหรือปรัชญา ประวัติอาชญากรรม ข้อมูลตําแหน่งทางภูมิศาสตร์ที่แม่นยํา เด็กที่เป็นผู้เยาว์ ชีวิตทางเพศ รสนิยมทางเพศ สังกัดสหภาพแรงงาน การประกันภัย ประกันสังคม และสวัสดิการอื่น ๆ ที่นายจ้างหรือรัฐบาลออก
- บุคคลที่สาม นิติบุคคล สมาคม หรือบุคคลใดๆ ที่ไม่ได้เป็นเจ้าของของบริษัทของเรา หรือบริษัทของเราไม่มีส่วนได้เสียในการควบคุม หรือผู้ที่ไม่ได้จ้างงานจากบริษัทของเรา บริษัทย่อยหรือแผนกใดของบริษัทของเราจะต้องปฏิบัติตามข้อกําหนดของบุคคลที่สามภายใต้นโยบายนี้ เนื่องจากบริษัทในเครือหรือแผนกทั้งหมดจําเป็นต้องประมวลผลข้อมูลเกี่ยวกับบุคคลตามนโยบายนี้ รวมถึงในกรณีที่บริษัทในเครือของบริษัทใดบริษัทหนึ่งของเราสนับสนุนบริษัทในเครืออื่น ๆ ของบริษัทของเราอย่างน้อยหนึ่งแห่งในการประมวลผล
การกํากับดูแลและการตรวจสอบ
เพื่อให้ความมั่นใจแก่หน่วยงานกํากับดูแลและผู้มีส่วนได้ส่วนเสียอื่น ๆ ว่าบริษัทของเรามีความรับผิดชอบต่อความมุ่งมั่นในการปฏิบัติด้านความเป็นส่วนตัวอย่างมีจริยธรรม และมีความรับผิดชอบ บริษัทจึงมีกลุ่มกํากับดูแลและตรวจสอบที่ครอบคลุม ซึ่งนําโดยประธานเจ้าหน้าที่ฝ่ายความเป็นส่วนตัวที่มีสํานักงานความเป็นส่วนตัวทั่วโลก(GPO) โดยเฉพาะ DPO ของสหภาพยุโรปที่ได้รับมอบหมาย DPO ของประเทศตามที่กฎหมายหรือหน่วยงานท้องถิ่นกําหนดและผู้ผู้ดูแลความเป็นส่วนตัวซึ่งได้รับการแต่งตั้งจากผู้นําอาวุโสและทําหน้าที่เป็นผู้ประสานงานระหว่างสํานักงานความเป็นส่วนตัวทั่วโลกและพื้นที่องค์กรที่พวกเขาทํางาน
บริษัทของเราจะพึ่งพา ตัวแทนความรับผิดชอบด้านความเป็นส่วนตัว ซึ่งบริษัทมีหน้าที่รับผิดชอบภายใต้กฎหมายเพื่อตรวจสอบการปฏิบัติตามข้อกําหนดของนโยบายนี้และกฎหมายเหล่านั้นเป็นระยะ รวมถึง CPBR ของ APEC
นอกเหนือจากการทบทวนการรับประกันที่จัดการโดย Global Privacy Office แล้ว ทีมตรวจสอบและประกันภายในและภายนอกจะดําเนินการตรวจสอบการปฏิบัติตามข้อกําหนดเพื่อตรวจสอบว่าบริษัทปฏิบัติตามนโยบายนี้ รวมถึงนโยบาย ขั้นตอน มาตรฐาน และคําแนะนําใดๆ ที่อยู่ใต้นโยบายนี้ แผนปฏิบัติการแก้ไขและป้องกันจะได้รับการพัฒนาและนําไปใช้เพื่อจัดการกับช่องว่างที่สังเกตโดยทีมตรวจสอบและประกัน ผลลัพธ์ของโปรแกรมการตรวจสอบจะถูกสื่อสารไปยังประธานเจ้าหน้าที่ฝ่ายความเป็นส่วนตัว DPO ที่เกี่ยวข้อง และคณะกรรมการความเป็นส่วนตัวและการคุ้มครองข้อมูล ซึ่งมีหน้าที่รับผิดชอบในการรายงานตามที่อธิบายไว้ในนโยบายนี้
หน่วยงานด้านความเป็นส่วนตัวและการคุ้มครองข้อมูลที่อนุมัตินโยบายนี้หรือผู้ที่มีเขตอํานาจศาลเหนือแนวทางปฏิบัติของบริษัทของเราภายใต้นโยบายนี้มีสิทธิในการตรวจสอบการปฏิบัติตามนโยบายนี้ เราจะปฏิบัติตามคําแนะนําของหน่วยงานที่มีอํานาจเหล่านี้เกี่ยวกับการตีความและการประยุกต์ใช้นโยบายนี้
คําศัพท์ที่คุณต้องรู้
การเปลี่ยนแปลงนโยบายนี้
นโยบายนี้อาจมีการแก้ไขเป็นครั้งคราว โดยสอดคล้องกับข้อกําหนดของกฎหมายที่บังคับใช้ ประกาศจะโพสต์บนหน้าเว็บความเป็นส่วนตัวของบริษัท (https://www.msdprivacy.com/)เป็นเวลา 60 วัน เมื่อใดก็ตามที่มีการเปลี่ยนแปลงนโยบายนี้อย่างมีนัยสําคัญ