A.B.D. ve Kanada dışında MSD olarak bilinen Merck & Co., Inc., Rahway, NJ, ABD şirketinde yaşamları kurtarma ve iyileştirme misyonumuz gizliliğe saygı gösterilmesine ve kişisel bilgilerin korunmasına kadar uzanır.
Değerlendirme Tarihi: 1 Mayis, 2022
Yürürlük Tarihi: 1 Mayis, 2022
İşimizi gizlilik değerlerimize uygun şekilde yürütmeye çalışırız çünkü bunların etik ve sorumlu uygulamalara sarsılmaz bağlılığımızı gösterdiğine inanırız. Yenilikçiliğin ve yeni teknolojinin risklerde, beklentilerde ve yasalarda sürekli değişikliğe neden olduğunu anlıyoruz ve bu nedenle gizlilik sorumluluğu standartlarını izliyoruz ve bu değişiklikler karşısında bunları uygulama şeklimizi hızla uyarlamayı hedefliyoruz.
Bu politika, Kişisel Bilgilerin hangi ülkeden geldiği veya hangi ülkelere aktarılacağı fark etmeksizin, Kişisel Bilgilerin şirketimiz tarafından veya onun adına yönetilmesi ve korunması için küresel standartlarımızı tanımlamaktadır. APEC Sınır Ötesi Gizlilik Kuralları sertifikasyonumuza, Avrupa Birliği’nde onaylanmış olan Bağlayıcı Kurumsal Kurallarımıza (“BCR’ler”), ve AB-A.B.D. Gizlilik Kalkanı ve İsviçre-A.B.D. Gizlilik Kalkanı için kendi kendimize gerçekleştirdiğimiz sertifikasyonumuza uygunluğu destekleyen temel taahhütlerimizi açıklamaktadır. Bir sınırlandırma olmaksızın aşağıdakiler dahil olmak üzere, araştırma, üretim, ticari, kurumsal destek faaliyetlerimiz dahil olmak üzere her ülkedeki işletmelerimiz, her iştirakte ve her bölümde (şirketimizin tüm ardılları tarafından dahil olmak üzere) yürüttüğümüz ve insanlar hakkında bilgi içeren her faaliyet ve bu faaliyetleri yürütmek için gerekli olan veri aktarma işlemleri için geçerlidir:
- Araştırma ve Üretim: tıpta ve sağlıkta yenilikçilik ihtiyaçlarını ve fırsatlarını değerlendirmek; araştırma çalışmaları başlatmak, yönetmek ve finanse etmek; araştırma çalışmalarımızın desteklenmesi ve ürünlerimizin geliştirilmesi için araştırmacıları, bilim ve etik komitesi üyelerini ve iş ortaklarını değerlendirmek ve görevlendirmek; araştırma çalışması için personel almak; araştırma aşamasındaki ve pazarlanan ürünlerimizin güvenliğini, etki düzeyini ve kalitesini değerlendirmek; advers olayların ve ürün kalitesi şikayetlerinin ele alınması ve rapor edilmesi dahil olmak üzere ürün güvenliği ve ürün kalitesi yükümlülüklerimizi yerine getirmek; ürünlerimizin onaylanması ve tescil edilmesi için idari sağlık makamlarına başvuruda bulunmak ve ilgili yasal, idari ve etik gereklere uymak.
- Ticari: ürünlerimiz için pazarları değerlendirmek; ürünlerimizin reklamını yapmak, onları pazarlamak, satmak, dağıtmak ve teslim etmek; sağlık hizmeti uzmanı müşterilerimiz, sağlık hizmeti ödemesi yapanlar, hastalar ve ürünlerimizin diğer son kullanıcıları ve ayrıca ürünlerimizi kullanan hastabakıcılar ile iletişim kurmak ve onların katılımını sağlamak; etkinliklere sponsorluk yapmak ve bunları gerçekleştirmek; ticari faaliyetlerimizin desteklenmesi için iş ortaklarımızı değerlendirmek ve katılmalarını sağlamak ve ilgili yasal, idari ve etik gereklere uymak.
- Kurumsal Destek: çalışanları işe almak, istihdam etmek, yönetmek, geliştirmek, onlar ile iletişim kurmak ve ücretlerini ödemek; çalışanlar ve bakmakla yükümlü oldukları kişiler için sosyal yardımları yönetmek; çalışan performans ve beceri incelemeleri yapmak; eğitim ve daha başka öğrenme ve gelişme programları sağlamak; çalışan disiplin ve şikayet işlemlerini yürütmek; etik ve gizlilik endişelerini yönetmek ve soruşturmalar yürütmek; fiziksel ve sanal kıymetlerimizi ve altyapımızı yönetmek ve korumak; mallar ve hizmetler tedarik etmek ve bunların ödemesini yapmak; çevre, sağlık ve güvenlik ile ilgili ve diğer kurumsal sorumluluk taahhütlerimizi yerine getirmek; medya ile iletişim kurmak ve ilgili yasal, idari ve etik gereklere uymak.
Bu Politika aynı zamanda, bir sınırlandırma olmaksızın sağlık hizmeti uzmanı ve diğer müşterilerimiz; müstakbel, mevcut ve eski çalışanlarımız ve bakmakla yükümlü oldukları kişiler, hastalar, hastabakıcılar, araştırmacılar ve araştırma çalışmasına katılanlar, bilim ve etik komitesi üyeleri, iş ortakları, yatırımcılar ve hissedarlar, devlet görevlileri ve diğer paydaşlar dahil olmak üzere hakkında bilgi işlediğimiz tüm kişiler için geçerlidir.
Tüm Şirket Çalışanları ve Kıdemli Liderler önem vermeleri gereken temel gizlilik sorumluluklarına sahiptir.
İnsanlar hakkındaki bilgilerin korunması ile ilgili kasıtsız hataların ve yanlış değerlendirmelerin bireyler için gizlilik risklerine ve Şirket için itibar, faaliyet, mali ve uygunluk risklerine yol açabileceğini anlıyoruz. Kişisel Bilgilere sürekli veya düzenli şekilde erişimi olan, verilerin toplanmasına veya Kişisel Bilgileri işlemede kullanılan araçların geliştirilmesine katılan tüm çalışanlara ve diğer personele bu Politika hakkında gerekli eğitimi sağlayacağız. Şirketimizin her çalışanı ve şirketimiz için insanlar hakkındaki bilgileri işleyen başka kişiler bu Politika ve geçerli Yasalar uyarınca kendi yükümlülüklerini anlamaktan ve sürdürmekten sorumludur.
Gizlilik Değerlerimiz ve Standartlarımız
Gizlilik standartlarımızı nasıl uyguladığımız dahil olmak üzere insanları içeren her işimizde gizlilik değerlerimizi önde tutarız. Dört gizlilik değerimiz şunlardır:
Saygı | Güven | Zararı Önle | Uygun Davran |
---|---|---|---|
Gizlilik konularının çoğunlukla özünde kim olduğumuz, dünyayı nasıl gördüğümüz ve kendimizi nasıl tanımladığımız ile ilgili olduğunu biliyoruz ve bu nedenle bireylerin ve toplumların bakış açılarına saygı göstermek ve onlar hakkındaki bilgileri kullanma ve paylaşma konusunda adil ve şeffaf olmaya çalışırız. | Güvenin başarımızın kaçınılmaz bir parçası olduğunu biliyoruz ve bu nedenle gizliliğe saygı duymamız ve insanlar hakkındaki bilgileri korumamız konusunda müşterilerimizin, çalışanlarımızın, hastalarımızın ve diğer paydaşlarımızın güvenini kazanmaya ve elde tutmaya çalışırız. | İnsanlar hakkındaki bilgilerin bireylere hem somut hem soyut zararlar verebileceğini anlıyoruz ve bu nedenle bireylerin fiziksel, mali, itibara dayalı ve diğer türlü gizlilik zararları görmesini önlemeye çalışırız. | Yasaların ve düzenlemelerin teknolojideki ve veri akışlarındaki hızlı değişikliklere ve gizlilik risklerindeki ve beklentilerindeki ilgili değişmelere her zaman ayak uyduramadığını öğrendik ve bu nedenle küresel iş faaliyetlerimize tutarlılık ve faaliyet verimliliği getirecek şekilde gizlilik ve veri koruma yasalarının ve düzenlemelerinin sözüne ve ruhuna uymaya çalışırız. |
- Kişisel Bilgi kullanan tüm faaliyetlere, süreçlere, teknolojilere ve üçüncü taraflar ile ilişkilere Gizlilik standartlarımızı dahil ederiz. Süreçlerimizin ve teknolojilerimizin içinde gizlilik değerlerimiz ve standartlarımız ve geçerli yasa ile tutarlı olan gizlilik denetlemeleri tasarlarız. Aşağıda açıklanan 8 gizlilik ilkemiz süreçler, faaliyetler ve bunların destekleyici teknolojileri için gizlilik standartlarımızı ve temel gerekliliklerimizi yüksek bir düzeyde özetlemektedir.
Gizlilik İlkesi
Temel Taahhütlerimiz
1. Zorunluluk – Kişisel Bilgiler toplamadan, kullanmadan veya paylaşmadan önce bunlara ihtiyaç duyulmasının özgün, meşru iş amaçlarını tanımlarız ve belgelendiririz.
- Tanımlanmış olan bu iş amaçları ve geçerli yasal gerekler için Kişisel Bilgilere ne kadar süre ihtiyaç olduğunu belirleriz ve belgelendiririz.
- İhtiyaç olandan fazla Kişisel Bilgi toplamayız, kullanmayız veya paylaşmayız ve tanımlanmış olan bu iş amaçları ve geçerli yasal gerekler için ihtiyaç olandan uzun süre tanımlanabilir bir şekilde elde tutmayız.
- İş gereklilikleri faaliyet veya süreç hakkındaki bilgilerin uzun bir süre elde tutulmasını zorunlu kıldığı zaman verileri isimsiz duruma getiririz.
- Bu zorunlu gerekliliklerin tüm destekleyici teknolojiler içinde tasarlanmış olmasını ve bunların faaliyete veya sürece destek sağlayan üçüncü taraflara bildirilmesini sağlarız.
2. Adil Olmak – Kişisel Bilgileri bu verilerin ilgili olduğu kişiler için adil olmayan şekillerde işlemeyiz.
- Kişisel Bilgi toplama, kullanma veya başka bir şekilde işleme hakkındaki bir önerinin Zararı Önle gizlilik değerimize göre bireyler için muhtemel ve/veya ağır bir maddi veya manevi zarar riskine yol açıp açmayacağını belirleriz.
- Verilerin özelliği, insanların türleri veya faaliyet bireyler için muhtemel ve/veya ağır bir maddi veya manevi zarar riskine yol açtığı zaman zarar riskinin bu bireyler için ilgili bir fayda veya yaşamları kurtarma ve iyileştirme misyonumuz tarafından çok önemsiz bırakılmasına ve kullanmakta olduğumuz önlemler, koruma tedbirleri ve mekanizmalar tarafından hafifletilmesine dikkat ederiz.
- Riskin bireylerin göreceği faydayı çok önemsiz bırakacağı anlaşılan durumlarda en ilgili güvenlik ve koruma önlemlerini alırız, bireyleri bu gerçek konusunda bilgilendiririz ve gerektiğinde yetkili düzenleyici makamın tavsiyelerini alırız.
- Hassas Bilgileri geçerli yasa tarafından kesinlikle gerekli tutulan veya kesinlikle izin verilen şekilde, yalnızca bireylerin açık onayı ile işleriz.
- Riskin bireylerin göreceği faydayı çok önemsiz bırakacağı anlaşılan durumlarda riskleri mümkün olduğunca en aza indirmek için risk analizini belgelendiririz ve gerekli olabilecek tüm mekanizmaları tasarlarız.
3. Şeffaflık – Kişisel Bilgileri şeffaf olmayan şekillerde veya amaçlar için işlemeyiz.
- Bu Politika uyarınca hakkında Kişisel Veriler işlenen tüm bireyler bu Politikanın bir kopyasını alma hakkına sahip olacaktır. Bu Politikanın kopyalarını https://www.msdprivacy.com/index.html. adresinden çevirim içi şekilde elde edilebilir duruma getireceğiz. Aşağıda belirtilen adreslere gönderilen istek üzerine MSD Global Gizlilik Ofisi bu Politikanın elektronik ve/veya kağıt kopyalarını sağlayacaktır.
- Doğrudan bireylerden Kişisel Bilgi toplandığı zaman, bilgileri toplamadan önce ve anlaşılır, kolayca görünen ve kolayca erişilebilen bir gizlilik bildirimi veya benzer yollar ile kendilerine şu bilgileri veririz: (1) işlemeden sorumlu olan şirket kuruluşu veya kuruluşları, (2) Gizlilik Yetkilimizin ve/veya bölgesel/yerel Veri Gizliliği Yetkilimizin iletişim bilgileri, (3) hangi bilgilerin toplanacağı, (4) bunların hangi amaçlar için kullanılacağı, (5) işleme için yasal temelimiz, (6) devlet makamlarını yasal taleplerine yanıt olarak Kişisel Bilgileri açıklamak için her türlü gereklilik dahil olmak üzere bunların kimler ile paylaşılacağı, (7) olanaklı olduğu zaman ilgili ülkeler dahil olmak üzere Kişisel Bilgileri başka ülkelere aktarıp aktarmayacağımız ve nasıl aktaracağımız, (8) bunların ne süre elde tutulacağı veya bu belirlemeyi hangi kıstaslara göre yaptığımız, (9) kendi Kişisel Bilgileri ile ilgili olarak nasıl soru sorabilecekleri, bir endişelerini dile getirebilecekleri veya haklarını kullanabilecekleri, (10) verdikleri herhangi bir onayı nasıl geri çekebilecekleri, (11) bir denetleme makamına şikayet etme hakları, (12) Kişisel Bilgi sağlamak için herhangi bir yükümlülükleri ve bunun yapmamanın sonuçları, (13) profil çıkarma dahil olmak üzere gerçekleştireceğimiz tüm otomatik karar verme yolları ve (14) olanaklı ve uygun olduğu zaman bu Politikaya bir bağlantı. Birçok paydaşımız için geniş kapsamlı gizlilik bildirimlerimiz şu adreste çevirim içi şekilde bulunmaktadır: http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html
- Kişisel Bilgiler gözlem, sensörler veya başka dolaylı yollar ile elde edildiği zaman, bilgiler toplandığı sırada doğrudan bireye bir gizlilik bildirimi sağlamak olanaklı olmayabilir. Bu gibi durumlarda, örneğin bilgiyi elde edecek olan cihazın veya cihaz ile ilişkili materyalin üzerine asmak veya yazmak gibi başka yollar vasıtası ile birey için şeffaflık sağlarız.
- Kişisel Bilgiler bir web sitesi, mobil uygulama veya başka bir çevirim içi uygulama veya kaynak vasıtası ile toplandığı zaman, bu Politikaya uygun şekilde şeffaf olmak gereklerinin yerine getirilmesini sağlamak için İnternet Gizlilik Politikamızda ve Küresel çevrimiçi izleme politikasi belirtilen teknolojiye özgü standartları uygularız.
- Kişisel Bilgiler başka kaynaklardan toplandığı ve özel şekilde şirketimizin talimatı altında olmadığı zaman, bilgileri elde etmeden önce bilgileri sağlayan tarafın şirketimizin bu bilgileri kullanmayı düşündüğü yollar ve amaçlar hakkında bireylere bilgi vermiş olduğunu yazılı şekilde teyit ederiz. Bilgileri sağlayan taraftan yazılı teyit alınamadığı zaman yalnızca isimsiz duruma getirilmiş bilgiler kullanırız veya Kişisel Bilgileri kullanmadan önce etkilenmiş bireylere bir gizlilik bildirimi veya benzer yollar ile şu bilgileri veririz: (1) şirketimizin bilgileri işlemekten sorumlu olan kuruluşu veya kuruluşları, (2) Gizlilik Yetkilimizin ve/veya bölgesel/yerel Veri Koruma Yetkilimizin iletişim bilgileri, (3) şirketimizin hangi bilgileri kullanmayı planladığı, (4) şirketimizin bunları kullanmayı planladığı amaçlar, (5) işlemenin yasal temeli, (6) şirketimizin bunları kimler ile paylaşacağı, (7) olanaklı olduğu zaman Kişisel Bilgileri ilgili ülkeler dahil olmak üzere başka ülkelere aktarıp aktarmayacağımız ve nasıl aktaracağımız, (8) bunları şirketimizin ne süre elde tutmayı planladığı veya bu belirlemeyi hangi kıstaslara göre yaptığımız, (9) kendi Kişisel Bilgileri ile ilgili olarak nasıl soru sorabilecekleri, bir endişelerini dile getirebilecekleri veya haklarını kullanabilecekleri, (10) verdikleri herhangi bir onayı nasıl geri çekebilecekleri, (11) bir denetleme makamına şikayet etme hakları, (12) Kişisel Bilgi sağlamak için herhangi bir yükümlülükleri ve bunun yapmamanın sonuçları, (13) profil çıkarma dahil olmak üzere gerçekleştireceğimiz tüm otomatik karar verme yolları ve (14) olanaklı ve uygun olduğu zaman bu Politikaya bir bağlantı.
- Olanaklı olduğu zaman bireysel hak taleplerini destekleyen mekanizmalar dahil olmak üzere gerekli şeffaflık mekanizmalarının destekleyici teknolojilerin içinde tasarlanmış olmasını ve, bu faaliyete veya sürece destek sağlayan üçüncü tarafların insanlar hakkındaki bilgileri bir gizlilik bildirimi veya teyit edilebilecek başka yollar vasıtası ile bireylere bizim ve bizim için çalışan başka kişilerin bilgiler ile ne yapacağı hakkında söylenmiş olan şeyler ile tutarsız şekilde işlememesini sağlarız.
- İzin istediğimizde, izni alır ve iznin kanıtını destekleyici teknolojilerimizde belgelendiririz.
4. Amaç Sınırlandırma – Kişisel Bilgileri yalnız Zorunluluk ve Şeffaflık ilkelerine uygun şekilde kullanırız.
- Daha önce toplanmış olan Kişisel Bilgiler için yeni meşru iş amaçları belirlenmesi halinde ya Kişisel Bilgilerin yeni kullanımı için bireyin onayını alırız veya yeni iş amacının bireye daha önce sağlanmış olan bir gizlilik bildiriminde veya başka şeffaflık mekanizmalarında açıklanan amaçlara maddi şekilde benzer olması dahil olmak üzere onlara uygun olmasını sağlarız. Bu uygunluğu şunlara dayanarak belirleriz: (1) ilk amaçlar ile önerilen yeni amaç arasındaki tüm bağlantılar, (2) bireyin makul beklentileri, (3) Kişisel Bilgilerin özelliği, (4) daha fazla işlemenin birey için sonuçları ve (5) kullanmakta olduğumuz koruma önlemleri.
- İsimsiz duruma getirilmiş bilgiler için veya Kişisel Bilgileri yalnız geçmiş ile ilgili ve bilimsel araştırma amaçları ile kullandığımız zaman veya şu durumlarda bu ilkeyi uygulamayız: (1) bir Etik İnceleme komitesi veya başka bir yetkin inceleme görevlisi söz konusu kullanımın riskinin bireylerin gizlilik ve başka hakları bakımından kabul edilebilir olduğunu belirlediği zaman, (2) veri minimizasyonu sağlamak için uygun koruma önlemleri kullandığımız zaman, (3) kişisel verilerde takma ad kullanıldığı zaman ve (4) geçerli diğer tüm Yasalara saygı gösterildiği zaman.
- Amaç sınırlandırma kısıtlamalarının rapor etme yetenekleri ve akış yönündeki veri paylaşımı dahil olmak üzere tüm destekleyici teknolojiler içinde tasarlanmış olmasını sağlarız.
5. Veri Kalitesi – Kişisel Bilgileri bunların kullanım amacı ile tutarlı şekilde doğru, tam ve güncel halde tutarız.
- Kaynağa ve akış yönündeki sistemlere göre veri doğruluğunu teyit etmek için periyodik veri inceleme mekanizmalarının destekleyici teknolojiler içinde tasarlanmış olmasını sağlarız.
- Kişisel Bilgileri kullanmadan, değerlendirmeden, analiz etmeden, rapor etmeden veya yanlış veya güncel olmayan veriler kullanılması halinde insanlara karşı adaletsizlik riski taşıyan başka işlemler yapmadan önce bunların doğru ve güncel olduğunun doğrulanmasını sağlarız.
- Şirketimiz tarafından veya şirketimiz için çalışan üçüncü taraflarda Kişisel Bilgilerde değişiklikler yapıldığı zaman bu değişikliklerin makul şekilde olanaklı olduğu takdirde ilgili bireylere zamanlı bir şekilde haber verilmesini sağlarız.
6. Güvenlik – Kişisel Bilgileri ve Hassas Bilgileri kaybolma, suiistimal ve yetkisiz erişim, açıklama, değiştirme veya imha karşısında korumak için koruma önlemleri uygularız.
- Mevcut teknolojinin en iyi uygulamalarını ve uygulama maliyetini göz önünde tutarak geniş kapsamlı bir bilgi güvenliği programı uygulamış bulunuyoruz ve bilgilerin duyarlılığına ve faaliyetin risk düzeyine dayanan güvenlik denetimleri uyguluyoruz. İşlevsel güvenlik politikalarımız bir sınırlandırma olmamak üzere şunları içerir: iş sürekliliği veya afet kurtarma hakkındaki standartlar, şifreleme, kimlik ve erişim yönetimi, bilgi sınıflandırması, bilgi güvenliği vakası yönetimi, ağ erişim denetimi, fiziksel güvenlik ve risk yönetimi.
7. Veri Aktarma – Kişisel Bilgiler başka kuruluşlara veya onlardan bize veya ülke sınırları üzerinden aktarıldığı zaman biz bunlardan sorumlu oluruz ve Kişisel Bilgiler için gizlilik koruma önlemleri kullanırız.
(1) Kişisel Bilgileri aşağıdaki gereklilikler yerine getirildiği takdirde şirketimizin içinde aktarırız:
(1) Kişisel Bilgilerin ilk olarak toplandığı amacı veya şirketin başka bir meşru çıkarını yerine getirmek için paylaşmak zorunludur ve (2) bunların paylaşılmasının amacı ve paylaşma olgusunun kendisi daha önce Kişisel Bilgiler ilk olarak toplanırken bireye sağlanmış olan ve gerekli olan yerde bireyin onay verdiği gizlilik bildirimi ve veya başka başka şeffaflık mekanizmaları ile tutarlıdır. (3) şirketimizin iştiraklerinden birisi Kişisel Bilgilerin işlenmesinde yalnızca şirketimizin bağlı şirketlerinden başka birisi adına hareket ettiği zaman, (4) Yasa tarafından gerekli tutulduğu zaman ve (5) BT altyapısının bu tür bir aktarımı gerektirmesi durumunda, bu tür bir aktarımı uyumlu hale getirmek için tüm uygun güvenlik ve organizasyon önlemlerinin mevcut olması şartıyla şirketimizin bu bağlı şirketleri bu Politikadaki İlke 8’e uygun şekilde dahili bir veri işleme sözleşmesi imzalayacaktır.(2) Yalnızca aşağıdaki koşullar sağlandığı zaman üçüncü taraflara Kişisel Bilgi aktarırız veya onlar tarafından işlenmesine izin veririz ve görevlendirdiğimiz üçüncü tarafların bu gereklilikleri karşılamasını sağlamaktan sorumluyuz:
- Üçüncü tarafın rolü şirketimiz adına Kişisel Bilgi işlemek olduğu zaman, üçüncü tarafa Kişisel Bilgi sağlamadan veya üçüncü tarafı görevlendirmeden önce şunları yaparız: (1) bu üçüncü taraflar ile ilişkili gizlilik uygulamalarını ve riskleri değerlendirmek için gizlilik ayrıntılı incelemesini tamamlamak, (2) şu konularda bu üçüncü taraflardan sözleşmeye dayalı güvenceler elde etmek: Kişisel Bilgileri bir sınırlandırma olmaksızın 8 Gizlilik İlkesinin hepsi ve bu Politikada belirtilen standartlar ve geçerli Yasalar dahil olmak üzere yalnızca şirketimizin talimatlarına göre ve bu Politikaya uygun şekilde işleyeceklerdir, bu Politikada belirtilen standartlara ve geçerli Yasalara herhangi bir şekilde uyulamaması dahil olmak üzere herhangi bir Gizlilik Vakasını veya Güvenlik Vakasını hemen şirketimize bildirecek ve kanıtlanan herhangi bir Vakayı hızla gidermek ve aşağıda Bölüm 2’de belirtilen bireysel hakları çözümlemek için işbirliği yapacaklardır, Kişisel Verileri işlemek için bizim yazılı iznimiz olmadan ve eşdeğer veri koruma yükümlülükleri getiren bir sözleşme yapmadan başka bir şirketi görevlendirmeyeceklerdir, bize hizmet vermeyi tamamlandıktan sonra veya bizim isteğimiz üzerine tüm Kişisel Bilgileri silecek veya bize iade edeceklerdir ve bu gereklere uygunluk sağlamak için işleme boyunca şirketimizin onların uygulamalarını denetlemesine ve gözlemlemesine izin vereceklerdir. Ayrıca, bu üçüncü taraf Kişisel Bilgilerin aktarılmasını kısıtlayan bir yasa bulunan bir ülkeden veya bölgeden kaynaklanan Kişisel Bilgiler işlediği takdirde üçüncü tarafa yapılan aktarma işleminin aşağıda (3) içinde açıklanan sınır ötesi veri aktarma işleminin gereklerini karşılamasını sağlayacağız.
- Üçüncü tarafın rolü şirketimize Kişisel Bilgi sağlamak olduğu zaman, üçüncü taraftan Kişisel Bilgiler elde etmeden önce, başka kaynaklardan toplanan ve özel şekilde şirketimizin talimatı altında olmayan Kişisel Bilgiler toplamak için Şeffaflık gereklerinin karşılanmasını sağlarız ve üçüncü taraftan şirketimize Kişisel Bilgi sağlamakla hiçbir Yasayı veya hiçbir üçüncü tarafın haklarını çiğnemediği bakımından sözleşmeye dayalı taahhütler alırız.
- Üçüncü tarafın rolü şirketimizden işlemek üzere özel şekilde şirketimizin talimatı altında olmayan bilgiler almak olduğu zaman, üçüncü tarafa bilgi sağlamadan önce bilgilerin isimsiz duruma getirilmesini sağlarız ve üçüncü taraftan bunları yalnızca sözleşmede tanımlanan iş amaçları için ve geçerli yasalara uygun şekilde kullanacağı ve bilgileri tekrar tanımlanmış duruma getirmeye çalışmayacağı hakkında yazılı güvenceler alırız.
- Üçüncü bir tarafa aktarma yapmak bireyin veya şirketin meşru çıkarlarını korumak için gerekli olduğu zaman, bilgileri şu şekilde aktarabiliriz: (1) yolsuzluk önleme amaçları ile veya şirketin haklarını ve mallarını uygulatmak veya korumak için, (2) çalışanlarımızın veya mülklerimiz üzerinde bulunan üçüncü tarafların kişisel güvenliğini korumak için ve (3) yasaya aykırı faaliyet veya ağır suiistimal meydana gelmiş olduğundan makul şekilde kuşkulandığımız zaman düzeltici güvenlik önlemleri alarak kıymetlerimizi korumak için.
- Üçüncü taraf bizim için satın alınacak veya çoğunluk hissesi elde edilecek bir hedef ise, (1) üçüncü tarafı satın almak veya üçüncü tarafta bir çoğunluk hissesi elde etmek için bir sözleşme yapmadan önce bu üçüncü tarafın satın alınması veya üçüncü tarafta bir çoğunluk hissesi elde edilmesi ile ilişkili gizlilik uygulamalarını ve riskleri değerlendirmek için gizlilik ayrıntılı incelemesini tamamlarız ve (2) Kişisel Bilgilerin açıklanabilmesine dayanak oluşturacak hükümleri ve koşulları ve şirketimizin ve üçüncü tarafın kendi yükümlülüklerini belirten bir veri aktarma sözleşmesi yaparız.
- Üçüncü tarafın rolü şirketimizin işini tamamen veya kısmen satın almak olduğu zaman, şirketimizin işinin herhangi bir parçasının elde çıkarılması ile ilgili şekilde herhangi bir Kişisel Bilgi paylaşmadan önce (1) Kişisel Bilgilerin izin verilen kullanımları ve bu Politikadaki standartlara ve geçerli Yasaya uygunluk bakımından uygun sınırlandırmalar dahil olmak üzere müşteriye Kişisel Bilgilerin açıklanabilmesine dayanak oluşturacak hükümleri ve koşulları belirten bir veri aktarma sözleşmesi yaparız, (2) paylaşma gerekliliklerini değerlendirmek için paylaşmadan önce insanlar hakkındaki tüm veri unsurlarını inceleriz, (3) bu Politikanın Şeffaflık ve Amaç Sınırlandırma ilkelerine uygun şekilde Kişisel Bilgileri veya Hassas Bilgileri paylaşmak için onay alırız ve (4) üçüncü tarafın bu Politikada belirtilen standartlara ve geçerli Yasalara herhangi bir şekilde uyulamaması dahil olmak üzere herhangi bir geçerli Gizlilik Vakasını hemen şirketimize bildirmesini ve kanıtlanan herhangi bir Vakayı hızla gidermek için işbirliği yapmasını veya ilgili Kişisel Verileri İşlemeyi durdurmasını şart koşarız.
(3) Kişisel Verileri şirketimiz adına bu Politikaya uygun şekilde Amerika Birleşik Devletleri dahil olmak üzere ülke sınırlarının ötesine aktarırız. Kişisel Bilgilerin aktarılmasını kısıtlandıran bir yasa bulunan başka bir ülkeden veya bölgeden yapılan Kişisel Bilgi aktarma işlemleri bakımından söz konusu Yasaların getirdiği tüm gerekliliklere ek olarak bu Politikayı uygulayacağız (geldiği ülke ile aynı veri koruma standartlarına sahip olmayan ülkelere sınır ötesi aktarma işlemleri için gereken tüm mekanizmaların kullanımına ek olarak).
8. Yasal Olarak İzin Verilebilir – Kişisel Bilgileri yalnızca geçerli yasaların gereklilikleri yerine getirildiği zaman işleriz.
- Aşağıda açıklanan Bireysel Hakların gerekliliklerinin yanı sıra diğer 7 gizlilik ilkesinin amacı dünyanın çeşitli yerlerindeki işlerimiz için geçerli olan gizlilik ve veri koruma yasalarının çoğunun gerekliliklerini sağlamak olmasına rağmen bazı ülkelere bir sınırlandırma olmaksızın aşağıdakiler dahil olmak üzere ilave gereklilikleri sağlamamız gerekmektedir:
1) Gerektiği zaman, Kişisel Bilgilerin bazı işleme işlemleri için bir sınırlandırma olmaksızın işçi komitelerinin ve diğer sendikaların işleme onayını almak dahil olmak üzere özel şekillerde onay alacağız;
2) Gerektiği zaman, Kişisel Bilgilerin işlenmesini geçerli gizlilik veya veri koruma düzenleme makamına tescil ettireceğiz veya onun onayını isteyeceğiz;
3) Gerektiği zaman, bu Politikada belirtilenlerden daha geniş haklar sağlayacağız (örneği erişim ve düzeltme için);
4) Gerektiği zaman, Kişisel Bilgiler için veri elde tutma sürelerini daha çok sınırlandıracağız;
5) Gerektiği zaman, üçüncü taraflara sınır ötesi veri aktarmaları dahil olmak üzere özel sözleşme maddeleri içeren sözleşmeler yapacağız ve
6) Gerektiği zaman, ulusal güvenlik veya yasal yaptırım gerekliliklerinin sağlanması dahil olmak üzere kamu makamlarının yasal taleplerine yanıt olarak kişisel bilgileri açıklayacağız.
Bu Politika ile geçerli yasa arasında bir çelişki olması durumunda bireylere daha fazla koruma sağlayan standart üstün olacaktır.
- Bireylerin Kişisel Bilgilere erişme, onları değiştirme, düzeltme veya silme, kendileri hakkındaki Kişisel Bilgilerin işlenmesine itiraz etme veya kendi Kişisel Bilgileri bakımından başka hakları kullanma hakkı taleplerini hemen ele alacağız.
- Erişme, Düzeltme, Silme ve diğer haklar – Faaliyet gösterdiğimiz birçok ülkenin yasalarına göre bireylerin kendileri hakkındaki Kişisel Bilgilere erişme ve yanlış, eksik veya eski olan Kişisel Bilgileri değiştirme, düzeltme veya silme hakkı vardır. Aşağıdaki Bölüm 3a’ya uygun şekilde, tüm bireylerden gelen Kişisel Bilgileri değiştirme, düzeltme veya silme taleplerine saygı göstereceğiz. Bir değiştirme, düzeltme veya silme talebi bireylere daha fazla koruma sağlayan geçerli bir Yasa tarafından düzenlendiği zaman o Yasanın ilave gereklerinin yerine getirilmesini sağlayacağız.
Bazı ülkelerde bireylerin kendileri hakkındaki Kişisel Bilgiler bakımından işlemeyi sınırlandırma, işlemeye itiraz etme (ayrıca aşağıdaki Bölüm 2b’ye bakın) ve verilerinin başka bir hizmet tedarikçisine aktarılmasını sağlama hakkı gibi başka hakları bulunabilir. Veri haklarının geçerli Yasalara uygun şekilde kullanılmasına saygı göstereceğiz. Silme gibi bazı haklar, diğer düzenleyici gerekliliklere veya yerel uyum raporlamasına uyma gerekliliğine göre sınırlandırılmış olabilir, böyle bir durumda sizi bu sınırlamalar ile ilgili olarak uygun şekilde bilgilendireceğiz. -
Seçim – Saygı” ve “Güven” gizlilik değerlerimiz ile tutarlı şekilde, bireylerin, bir sınırlandırma olmaksızın, daha önce katılmayı kabul etmiş oldukları programları veya faaliyetleri, kendileri hakkındaki Kişisel Bilgilerin doğrudan pazarlama iletişimleri için kullanılmasını, kendileri hakkındaki Kişisel Bilgilere dayalı olarak hedef gözeten iletişimleri ve kendilerini önemli ölçüde etkileme potansiyeline sahip olan şekilde otomasyon veya algoritmalar kullanılarak elde edilen kendileri hakkındaki herhangi bir değerlendirmeyi veya kararı tercih dışı bırakmak dahil olmak üzere Kişisel Bilgilerin işlenmesine itiraz etme taleplerine saygı gösteririz.
- Yasa tarafından yasaklanmış olması dışında, belli bir seçim talebi şirketimizin şunları yapmasını engelleyecek olduğu zaman bu seçimi ret edebiliriz: (1) ulusal güvenlik ve yasal yaptırım gerekliliklerinin sağlanması dahil kamu makamlarını yasal taleplerine yanıt olarak kişisel bilgileri açıklamamız gerekmesi dahil olmak üzere bir Yasaya veya etik yükümlülüğe uymak, (2) hukuki iddiaları araştırmak, hukuki iddialarda bulunmak ve bunlar için savunma yapmak ve (3) Şeffaflık ve Amaç Sınırlandırma ilkeleri ile tutarlı şekilde ve söz konusu insanlar hakkındaki bilgilere güvenilerek gerçekleştirilen sözleşmeler yapmak, ilişkileri yönetmek veya izin verilen başka iş faaliyetlerine girişmek. Bu Politikaya uygun şekilde, bir seçim talebinin ret edilmesi kararından sonra on beş gün içinde bu kararı belgelendirecek ve talep sahibine göndereceğiz.
- Erişme, Düzeltme, Silme ve diğer haklar – Faaliyet gösterdiğimiz birçok ülkenin yasalarına göre bireylerin kendileri hakkındaki Kişisel Bilgilere erişme ve yanlış, eksik veya eski olan Kişisel Bilgileri değiştirme, düzeltme veya silme hakkı vardır. Aşağıdaki Bölüm 3a’ya uygun şekilde, tüm bireylerden gelen Kişisel Bilgileri değiştirme, düzeltme veya silme taleplerine saygı göstereceğiz. Bir değiştirme, düzeltme veya silme talebi bireylere daha fazla koruma sağlayan geçerli bir Yasa tarafından düzenlendiği zaman o Yasanın ilave gereklerinin yerine getirilmesini sağlayacağız.
- Gizlilik ile ilgili tüm sorulara, şikayetlere, endişelere ve herhangi bir potansiyel Gizlilik Vakasına veya Güvenlik Vakasına hemen yanıt vereceğiz ve ilgili yetkiliye ileteceğiz.
-
Şirketimizin bu Politikaya tabi olan tüm iştiraklerinin listesini talep etmek dahil olmak üzere bu Politika kapsamı içinde hakkında Kişisel Veri işlediğimiz herhangi bir birey şirketimize her an bir soru, şikayet veya endişe iletebilir. Çalışanlarımızın ve şirketimiz adına çalışan başka kişilerin geçerli bir Yasanın kendilerinin bu Politikaya uymasını engellediğine inanması için bir nedenleri olduğu zaman hemen bildirimde bulunmasını bekleriz. Bir birey tarafından yönetilen bir soru, şikayet veya endişe veya bir çalışan veya şirketimiz adına çalışan başka bir kişi tarafından gönderilen bir bildirim Global Gizlilik Ofisine gönderilmelidir:
- Avrupa Ekonomik Alanı (EEA) içerisinde yaşayan bireyler e-posta ile şuraya:euprivacydpo@msd.com
- Bunun dışında: e-posya yoluyla şuraya:msd_privacy_office@msd.com
- iii. Posta mektubu ile şuraya: Gizlilik Ofisi, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, ABD 19454.
- Çalışanların ve yüklenicilerin, şirketimizin gizlilik uygulamaları ile ilgili sorular, şikayetler ve endişeler hakkında hemen Global Gizlilik Ofisine veya kendi iş alanları için belirlenmiş olan Gizlilik Yöneticisine bildirimde bulunması gerekmektedir.
- MSD Global Gizlilik Ofisi, ister doğrudan çalışanlardan alınmış olsun ister bir sınırlandırma olmaksızın düzenleyici kuruluşlar, hesap sorulabilirlik ajansları ve diğer devlet makamları dahil olmak üzere başka bireylerden alınmış olsun, şirketimizin gizlilik uygulamaları ile ilgili soruları, şikayetleri ve endişeleri inceleyecek ve soruşturacak veya soruşturmak için Etik, Hukuk ve/veya Uygunluk Ofisi ile birlikte çalışacaktır. Bir Yasa veya üçüncü taraf başvuru sahibi daha kısa bir süre içinde karşılık talep etmediği sürece veya aynı sırada devam etmekte olan bir devlet soruşturması gibi koşulların daha uzun bir süre gerektirmemesi halinde, şirketimize soru, şikayet veya endişe bildiren kişiye veya kuruluşa otuz (30) takvim günü içinde yanıt vereceğiz ve diğer durumda ise bireye veya üçüncü taraf başvuru sahibine olanaklı olan en kısa sürede gecikmeye neden olan koşulların genel özelliği hakkında yazılı olarak bildirimde bulunacağız.
- Bir gizlilik düzenleyici makamının tüm sorgularında, denetlemelerinde veya soruşturmalarında Global Gizlilik Ofisi, Hukuk veya Uygunluk bölümü ile koordinasyon içinde işbirliği gösterecektir.
-
Şirketimiz ile şikayette bulunan kişi arasında çözümlenemeyen şikayetler için şirketimiz anlaşmazlıkların bu Politika uyarınca çözümlenmesi için şikayetlerin soruşturulmasında ve çözümlenmesinde aşağıdaki anlaşmazlık çözümleme prosedürlerine katılmayı kabul etmiştir ancak, her an, EEA’da ikamet eden bireyler veya Kişisel Bilgileri EEA’nın veri koruma Yasasına tabi olan ve EEA’nın dışına aktarılmış olan bireyler aynı zamanda aşağıdaki 3.f standardını da kullanabilir:
- şirketimiz, insan kaynakları faaliyetleri ile ilgili olan ve EEA ve Birleşik Krallık’tan A.B.D.’ye bir istihdam ilişkisi kapsamında aktarılan Kişisel Bilgiler ile ilgili anlaşmazlıklar için yine ilgili AB veri koruma makamı paneli ile işbirliği yapmayı taahhüt etmektedir.
- İsviçre’den ABD’ye bir istihdam ilişkisi bağlamında insan kaynakları faaliyetleri ile ilgili Kişisel Bilgilerin aktarımını içeren anlaşmazlıklar için, şirketimiz İsviçre FDPIC ile işbirliği yapmayı taahhüt etmektedir.
- Şirketimizin APEC Ekonomileri içerisindeki Asya Pasifik Ekonomik İşbirliği (“APEC”) Sınır Ötesi Gizlilik Kuralları (“CBPR’ler”) ile uygunluğu uyarınca Kişisel Bilgilerin aktarımı ile ilgili anlaşmazlıklarda, AB-A.B.D. ve İsviçre-ABD Gizlilik Kalkanı üzerinden, insan kaynaklarını içermeyen Kişisel Bilgilerin aktarımı ile ilgili olarak, Şirketimiz anlaşmazlıkları A.B.D. kökenli bir üçüncü taraf anlaşmazlık çözüm sağlayıcısı ile çözümlemeyi Çevirim içi adresinden ücretsiz kabul etmiştir.
- AB-A.B.D. ve İsviçre-ABD Gizlilik Kalkanı uyarınca ortaya çıkan ve bu bölümde açıklanan adımlar vasıtası ile çözümlenmeyen anlaşmazlıklar için bireylerin AB-A.B.D…/.İsviçre-A.B.D. Gizlilk Kalkanı uyarınca oluşturulmuş Gizlilik Kalkanı Panelinin prosedürlerine uygun şekilde bağlayıcı tahkim başlatma seçeneği bulunmaktadır.
-
EEA’da ikamet eden tüm bireyler veya Kişisel Bilgileri EEA’nın veri koruma Yasasına tabi olan ve EEA’nın dışına aktarılmış olan ve bilgileri bu Politika uyarınca işlenen bireyler, bu politika uyarınca haklarının ihlal edilmesi karşısında çözüm bulmak için hukuki işlem başlatma hakkı (yukarıda Bölüm 2’de belirtildiği gibi) ve söz konusu ihlalden ortaya çıkan zarar için tazminat alma hakkı dahil olmak üzere bu Politika uyarınca her an bu politikanın gerekliliklerini üçüncü taraf lehtar olarak uygulatma hakkına sahiptir. EEA’da ikamet eden bireyler veya Kişisel Bilgileri EEA’nın veri koruma Yasasına tabi olan ve EEA’nın dışına aktarılmış olan bireyler (açıklık sağlamak amacı ile ABD’ye dahil) bu Politika uyarınca Kişisel Bilgileri EEA’dan dışarıya aktarmaktan sorumlu olan Şirket yan kuruluşuna karşı aşağıdaki makamların nezdinde dava açabilir veya şikayette bulunabilir:
- EEA’da bulunan Verileri Dışa Aktaran’ın yargı yetkisi, veya
- Avrupa Veri Koruma Görevlimizin bulunduğu ülkenin yargı yetkisi veya,
- Yetkili Veri Koruma Otoriteleri (özellikle kişinin ikametgahının bulunduğu Üye Devlette, iş yerinde veya iddia edilen ihlalin olduğu yerde), veya
- BCR’miz konusunda talimat veren Baş Veri Koruma Yetkililerimiz: Fransız CNIL.
- Bir Yasa veya üçüncü taraf başvuru sahibi daha kısa bir süre içinde karşılık talep etmediği sürece veya koşulların daha uzun bir süre gerektirmemesi halinde, şirketimize soru, şikayet veya endişe bildiren kişiye veya kuruluşa şirketimiz otuz (30) takvim günü içinde yanıt verecektir ve diğer durumda ise bireye veya üçüncü taraf başvuru sahibine yazılı olarak bildirimde bulunulacaktır
-
Şirketimizin bu Politikaya tabi olan tüm iştiraklerinin listesini talep etmek dahil olmak üzere bu Politika kapsamı içinde hakkında Kişisel Veri işlediğimiz herhangi bir birey şirketimize her an bir soru, şikayet veya endişe iletebilir. Çalışanlarımızın ve şirketimiz adına çalışan başka kişilerin geçerli bir Yasanın kendilerinin bu Politikaya uymasını engellediğine inanması için bir nedenleri olduğu zaman hemen bildirimde bulunmasını bekleriz. Bir birey tarafından yönetilen bir soru, şikayet veya endişe veya bir çalışan veya şirketimiz adına çalışan başka bir kişi tarafından gönderilen bir bildirim Global Gizlilik Ofisine gönderilmelidir:
- Gizlilik değerlerimizi ve standartlarımızı ön planda tutmaktan sorumluyuz.
-
Kanıtlanmış bir Gizlilik Vakasına veya Güvenlik Vakasına yol açan bir hareketten sorumlu olan Şirketimizin iştiraki Gizlilik Vakasından veya Güvenlik Vakasından ortaya çıkan herhangi bir tazminat talebinin tutarından veya para cezasından veya cezadan mali olarak sorumludur.
- Global Gizlilik Ofisinin koordinasyonu ile ve onun talimatı altında, Avrupa Veri Koruma Görevlisi, bu Politikanın EEA’da ikamet eden bireyleri veya Kişisel Bilgileri EEA’nın veri koruma Yasasına tabi olan ve EEA’nın dışına aktarılmış olan bireyleri etkileyecek şekilde şirketimizin EEA dışındaki iştirakleri tarafından ihlal edildiği iddialarını ele almak üzere gerekli önlemlerin alınmasını sağlamaktan sorumludur. Gerekli olduğu zaman, Merck, Sharp & Dohme (Europe) Inc., A.B.D -Belçika Şubesi (“MSD Europe”) bu Politikanın EEA’da ikamet eden bireyleri veya Kişisel Bilgileri EEA’nın veri koruma Yasasına tabi olan ve EEA’nın dışına aktarılmış olan bireyleri etkileyecek şekilde ihlal edilmesi yüzünden verilen para cezalarını, cezaları veya tazminatları ödemekten sorumludur. MSD Global Gizlilik Ofisinin ve şirketimizin iddia edilen ihlalden sorumlu olan EEA dışındaki iştirakinin desteği ile, Avrupa Veri Koruma Görevlisi, şirketimizin iddia edilen ihlalden sorumlu olmadığını ortaya koymaktan sorumlu olacaktır. Para cezasını, cezayı veya tazminatı gerektiren davranış için şirketimizin başka bir iştiraki sorumlu olduğu zaman söz konusu iştirakin MSD Europe tarafından ödenen tüm tutarı MSD Europe’a hemen geri ödemesi istenebilir. Şirketimizin EEA dışındaki bir iştiraki bu Politikayı ihlal ettiği takdirde EEA’daki mahkemeler veya veri koruma makamları yargı yetkisine sahip olacaktır ve etkilenen bireyler Kişisel Bilgileri EEA’dan dışarıya aktarmaktan sorumlu Şirket yan kuruluşu karşısında yukarıda Bölüm 3.f.’de belirtilen haklara ve çarelere sahip olacaktır.
- MSD Global Gizlilik Ofisinin koordinasyonu ile ve onun talimatı altında, Merck Sharp & Dohme LLC. bu Politikanın EEA dışında ikamet eden bireyleri etkileyecek şekilde ihlal edildiği iddialarını ele almak üzere gerekli önlemlerin alınmasını sağlamaktan ve, gerekli olduğu zaman, bu Politikanın EEA dışında ikamet eden bireyleri veya Kişisel Bilgileri EEA’nın veri koruma Yasasına tabi olmayan bireyleri etkileyecek şekilde ihlal edilmesi yüzünden verilen para cezalarını, cezaları veya tazminatları ödemekten sorumludur. Para cezasını, cezayı veya tazminatı gerektiren davranış için şirketimizin başka bir iştiraki sorumlu olduğu zaman söz konusu iştirakin Merck Sharp & Dohme LLC. tarafından ödenen tüm tutarı Merck Sharp & Dohme LLC.’a hemen geri ödemesi istenebilir.
-
Kanıtlanmış bir Gizlilik Vakasına veya Güvenlik Vakasına yol açan bir hareketten sorumlu olan Şirketimizin iştiraki Gizlilik Vakasından veya Güvenlik Vakasından ortaya çıkan herhangi bir tazminat talebinin tutarından veya para cezasından veya cezadan mali olarak sorumludur.
Nezaret Etme ve İzleme
Düzenleme makamlarına ve diğer paydaşlara şirketimizin etik ve sorumlu gizlilik uygulamalarına bağlı kalma sorumluluğu bulunduğu güvencesini vermek için şirket bir Gizlilik Yetkilisi başkanlığında ve belirlenmiş bir Global Gizlilik Ofisi (GPO), atanmış bir AB DPO, yasa veya yerel makamlar tarafından gerekli görüldüğü zaman Ülke DPO’ları ve Gizlilik Yöneticileri içeren geniş ölçekli bir nezaret ve izleme gurubu bulundurmaktadır ve bu kişiler Kıdemli Liderler tarafından atanmakta olup Global Gizlilik Ofisi ile kendi çalıştıkları kuruluş alanı arasında irtibat görevlileri olarak hareket etmektedir.
Şirketimiz bu Politikanın ve APEC CPBR’ler dahil söz konusu Yasaların gerekliliklerine uygunluğunun periyodik şekilde doğrulanması için, Yasalar uyarınca kendisine karşı sorumlu olduğu Gizlilik Hesap Sorulabilirlik Ajanslarına güvenecektir.
Şirketin bu Politikaya tabi olan tüm politikalar, prosedürler, standartlar ve rehberler dahil olmak üzere bu Politikaya uyduğunun doğrulanması için Global Gizlilik Ofisi tarafından yönetilen güvence incelemelerine ek olarak iç ve dış denetleme ve güvence ekipleri uygunluk incelemeleri yapacaktır. Denetleme ve güvence ekipleri tarafından gözlemlenen açıkları çözümlemek için düzeltici ve önleyici eylem planları geliştirilecek ve uygulanacaktır. Denetleme Programının sonuçları, bunları bu Politikada açıklanan şekilde rapor etmekten sorumlu olan Gizlilik Yetkilisine, ilgili DPO’ya ve Gizlilik ve Veri Koruma Kuruluna iletilecektir.
Bu Politikayı onaylamış olan veya bu Politika uyarınca şirketin uygulamaları üzerinde yargı yetkisine sahip olan Gizlilik ve Veri Koruma Makamları bizim ona uygunluğumuzu doğrulama hakkına sahiptir. Bu yetkili makamların bu Politikanın yorumlanması ve uygulanması ile ilgili öğütlerine uyacağız.
Bilmeniz Gereken Terimler
- Gizlilik VakasıBu Politikanın veya bir gizlilik veya veri koruma yasasının bir ihlalidir ve bir Güvenlik Vakasını içerir. Bir gizlilik vakası meydana gelip gelmediği ve bunun Kişisel Veri İhlali konumuna yükseltilmesi ile ilgili kararlar Global Gizlilik Ofisi, Bilgi Teknolojisi Risk Yönetimi ve Güvenliği (ITRMS) ve Genel Hukuk Danışmanı Ofisi tarafından yapılacaktır.
- Güvenlik Vakası. Kişisel Bilgilerin kaza sonucu veya yasa dışı şekilde imha edilmesi, kaybolması, değiştirilmesi, yetkisiz şekilde açıklanması veya onlara erişilmesi sonucunu veren bir güvenlik ihlali veya şirketimizin bunların olduğuna makul şekilde inanması. Bu Politikayı ihlal etme amacı olmadan şirketimiz tarafından veya şirketimiz adına Kişisel Bilgilere erişilmesi, erişilen Kişisel Bilgilerin daha sonra yalnızca bu Politikanın izin verdiği ölçüde kullanılması ve açıklanması koşulu ile bir Kişisel Veri İhlali oluşturmaz.
- Hassas Bilgiler. Bir sınırlandırma olmaksızın sağlık, genetik, biyometrik, ırk, etnik köken, din, politik veya felsefi görüşler veya inançlar, sabıka geçmişi, tam coğrafi konum bilgileri, banka veya diğer mali hesap numaraları, devlet tarafından verilen tanımlama numaraları, reşit olmayan çocuklar, cinsel yaşam, cinsel yönelim, sendika üyeliği, sigorta, sosyal güvenlik ve işveren veya devlet tarafından verilen diğer sosyal yardımlar ile ilgili bilgiler dahil olmak üzere yasa tarafından hassas olarak tanımlanan bilgiler dahil, özelliği gereği bireylere karşı potansiyel zarar riski taşımak üzere insanlar hakkındaki her tür bilgi.
- İsimsiz duruma getirilmiş. Kişisel Bilgilerin tek başına veya beraberce bir bireyi tanımlamak, yerini belirlemek veya iletişim kurmak için geri çevrilemez şekilde kullanılamaz duruma getirilmesi amacı ile değiştirilmesi, kısaltılması, bozulması veya başka şekilde redakte edilmesi veya tadil edilmesi.
- İşleme. Otomatik araçlar yapılsın veya yapılmasın, bir sınırlandırma olmaksızın toplamak, kayıt etmek, düzenlemek, depolamak, erişmek, uyarlamak, değiştirmek, geri çağırmak, danışmak, kullanmak, değerlendirmek, analiz etmek, rapor etmek, paylaşmak, açıklamak, yayınlamak, aktarmak, kullanıma sunmak, uygun duruma getirmek, birleştirmek, engellemek, silmek, temizlemek veya yok etmek dahil olmak üzere, insanlar hakkındaki bilgiler üzerinde herhangi bir işlem veya işlemler gurubu uygulanması.
- Kişisel Bilgiler. Bir bireyi tanımlayan veya bir bireyi tanımlamak, yerini belirlemek, izlemek veya iletişim kurmak için kullanılabilen veriler dahil olmak üzere tanımlanmış veya tanımlanabilir bir birey ile ilgili her türlü veri. Kişisel Bilgiler hem bir ad, tanımlama numarası veya özgün iş unvanı gibi doğrudan tanımlanabilir bilgileri hem de doğum tarihi, özgün mobil veya giyilebilir cihaz tanımlayıcısı, telefon numarası ve ayrıca tuş kodlu veriler, IP adresleri gibi çevirim içi tanımlayıcılar veya hizmet veya ürünleri sunmak için toplanabilecek tüm kişisel faaliyetler, davranışlar veya tercihler gibi dolaylı olarak tanımlanabilir bilgileri içerir.
- Şirketimiz. Şirketimizin taraf olduğu ortak girişimler hariç olmak üzere Merck & Co., Inc., Rahway, NJ, ABD, dünyanın çeşitli yerlerindeki ardılları, iştirakleri ve bölümleri.
- Üçüncü taraf. Şirketimizin sahip olmadığı veya şirketimizin çoğunluk hissesine sahip olmadığı veya şirketimiz tarafından istihdam edilmiş olmayan herhangi bir tüzel kişilik, birlik veya kişi. İşleme sırasında şirketimizin bir iştirakinin şirketimizin bir veya daha çok iştirakine destek sağladığı koşullar dahil olmak üzere, bu Politikada başka türlü belirtilmediği sürece, şirketimizin hiçbir iştirakinin veya bölümünün bu politika uyarınca üçüncü bir tarafın gerekliliklerini yerine getirmesi gerekmeyecektir çünkü tüm iştiraklerin veya bölümlerin insanlar hakkındaki bilgileri bu Politika uyarınca işlemesi gerekmektedir.
- Yasa. Şirketimizin faaliyet gösterdiği veya Kişisel Bilgilerin şirketimiz tarafından veya onun adına işlendiği herhangi bir ülkedeki geçerli tüm yasalar, kurallar, düzenlemeler ve yasa gücünde olan emirler veya görüşler. A.B.D. Federal Ticaret Komisyonunun soruşturma ve yasal yaptırım yetkileri altında, AB Bağlayıcı Şirket Kuralları (“BCR”), Asya Pasifik Ekonomik İşbirliği (“APEC”) Sınır Ötesi Gizlilik Kuralları (“CBPR’ler”), AB-A.B.D. ve İsviçre-A.B.D. Gizlilik Kalkanı dahil olmak üzere şirketimizin onlar uyarınca onaylanmış veya belgelendirilmiş olduğu tüm gizlilik çerçeveleri buna dahildir.
Bu Politikadaki Değişiklikler
Bu Politika geçerli Yasanın gerekleri ile tutarlı şekilde zaman zaman değiştirilebilir. Bu Politika maddi bir şekilde değiştirildiği zaman şirketimizin gizlilik web sayfasında (https:/www.msdprivacy.com/) 60 gün boyunca bir bildirim yayınlanacaktır.