Глобальне забезпечення конфіденційності під час транскордонної передачі даних

Дата останнього перегляду: 20 листопада 2020 р.
Дата набрання чинності: 20 листопада 2020 р.

Ми прагнемо здійснювати діяльність відповідно до наших принципів забезпечення конфіденційності даних, оскільки так ми можемо продемонструвати, що ми завжди дотримуємося корпоративних стандартів ділової етики та соціальної відповідальності. Ми визнаємо, що інновації та нові технології призводять до постійної зміни ризиків, очікувань та законів, тому ми дотримуємося стандартів відповідальності за конфіденційність даних і прагнемо швидко адаптувати те, як ми застосуємо їх у відповідь на ці зміни.

У цій політиці визначені наші глобальні стандарти щодо захисту персональних даних і управління персональними даними, що здійснюються нашою компанією або від її імені, незалежно від того, з якої країни надходять персональні дані або куди вони будуть передані. У ній описані наші основні зобов’язання, які підтверджують дотримання нами Системи правил АТЕС щодо конфіденційності даних під час транскордонної передачі, Зобов’язальних корпоративних правил («ЗКП»), які були схвалені в Європейському Союзі, а також дотримання рамкових угод про правила передачі персональних даних між ЄС і США й між Швейцарією та США Privacy Shield. Вона стосується всіх підрозділів компанії в кожній країні, а також усіх видів діяльності, пов’язаних із інформацією про людей, які ми здійснюємо в кожній дочірній компанії та кожному підрозділі (це зокрема стосується правонаступників нашої компанії), включно з дослідженнями, виробництвом, торгівлею та корпоративною підтримкою, а також передачею даних, необхідною для здійснення цих видів діяльності, зокрема:

• Дослідження та виробництво: оцінка потреб і можливостей для медичних інновацій; ініціювання, управління та фінансування наукових досліджень; оцінка та залучення дослідників, членів комітету з питань науки та етики і ділових партнерів для підтримки досліджень й розробки продукції; набір учасників досліджень; оцінка безпечності, ефективності та якості досліджуваних та продаваних продуктів; дотримання вимог щодо безпечності та якості продукції, включно з розглядом і повідомленням про небажані явища та скарги на якість продукції; подання документів до органів охорони здоров’я для затвердження та реєстрації продукції; дотримання відповідних юридичних, нормативних або етичних вимог.
• Торгівля: оцінка ринків для продукції; реклама, маркетинг, продаж, розповсюдження та доставка продукції; спілкування та взаємодія з клієнтами-медичними працівниками, платниками зі сфери охорони здоров’я, пацієнтами та іншими кінцевими користувачами продукції, а також піклувальниками осіб, які користуються продукцією; спонсорування та проведення заходів; оцінка та залучення ділових партнерів для підтримки комерційної діяльності; дотримання відповідних юридичних, нормативних або етичних вимог.
• Корпоративна підтримка: рекрутинг, працевлаштування, управління, розвиток, спілкування та виплата компенсації співробітникам; надання пільг співробітникам та їхнім утриманцям; проведення оцінки результатів роботи та співробітників і кадрового резерву; проведення освітніх та інших програм навчання та розвитку; накладення дисциплінарних стягнень на співробітників і розгляд скарг; розгляд питань можливого порушення етичних норм і конфіденційності, проведення розслідувань; надання та захист фізичних і віртуальних активів та інфраструктури; закупівля та оплата товарів й послуг; дотримання вимог щодо охорони навколишнього середовища, охорони здоров’я та безпеки та інших корпоративних зобов’язань; взаємодія зі ЗМІ; дотримання відповідних юридичних, нормативних або етичних вимог.

Ця політика також застосовується до всіх людей, чиї персональні дані ми обробляємо, включаючи фахівців з охорони здоров’я та інших клієнтів, майбутніх і колишніх працівників і їхніх утриманців, пацієнтів, опікунів, дослідників та учасників досліджень, членів науково-етичних комітетів, ділових партнерів, інвесторів і акціонерів, державних службовців та інші зацікавлені сторони.

Усі співробітники та вищі керівники компанії мають основні обов’язки щодо конфіденційності, яких вони повинні дотримуватися.

Ми усвідомлюємо, що навіть ненавмисні помилки та неправильне судження, пов’язані із захистом інформації про людей, можуть створювати ризики порушення конфіденційності для фізичних осіб, а також репутаційні, операційні, фінансові та нормативно-правові ризики для нашої компанії. Ми проводимо відповідне навчання з цієї політики для всіх співробітників та інших осіб, які мають постійний або регулярний доступ до персональних даних, які беруть участь у зборі даних або в розробці інструментів, що використовуються для обробки персональних даних. Кожен співробітник нашої компанії та інші особи, які обробляють інформацію про людей від імені нашої компанії, несуть відповідальність за розуміння та виконання своїх зобов’язань відповідно до цієї політики та застосовних законів.

Наші принципи та стандарти забезпечення конфіденційності

Ми дотримуємося прийнятих нашою компанією принципів забезпечення конфіденційності в усьому, що стосується взаємодії з іншими, зокрема в застосуванні наших стандартів конфіденційності. Наші чотири принципи забезпечення конфіденційності:

1. Ми включили наші стандарти забезпечення конфіденційності даних у всі види діяльності, процеси, технології та відносини з третіми особами, які використовують персональні дані. Ми застосовуємо засоби контролю конфіденційності у наших процесах і технологіях, що відповідають нашим принципам і стандартам забезпечення конфіденційності даних, а також чинному законодавству. Наведені нижче 8 принципів забезпечення конфіденційності даних узагальнюють наші стандарти конфіденційності та основні вимоги до процесів, діяльності та технологій у загальних рисах.

   Принцип конфіденційності	Наші основні зобов’язання
   1. Необхідність –перед збором, використанням чи обміном персональними даними ми визначаємо та документуємо конкретні, законні комерційні цілі, для яких вони необхідні.	Ми визначаємо та документуємо, як довго персональні дані потрібні для таких визначених комерційних цілей і для виконання вимог застосовного законодавства. Ми не збираємо, не використовуємо та не передаємо більше персональних даних, ніж це потрібно, і не зберігаємо їх у формі, що дозволяє ідентифікувати особу, довше, ніж це потрібно для таких визначених комерційних цілей і для виконання вимог застосовного законодавства. Ми знеособлюємо дані, якщо згідно з бізнес-процесами інформацію про діяльність або процес необхідно зберігати протягом тривалого періоду часу. Ми обов’язково включаємо ці зобов’язальні вимоги в усі забезпечувальні технології та повідомляємо про них третіх осіб, які підтримують діяльність або процес.
   2. Чесність – ми не обробляємо персональні дані в спосіб, що є нечесним для людей, чиї дані ми обробляємо.	Ми визначаємо, чи запропонований збір, використання чи інша обробка персональних даних створює ймовірний та (або) суттєвий ризик завдання матеріальної чи моральної шкоди фізичним особам у відповідності до нашого принципу «Запобігання шкоди». Якщо характер даних, типи осіб або діяльності створює ймовірний та (або) суттєвий ризик завдання матеріальної чи моральної шкоди фізичним особам, переконайтеся, що ризик шкоди є більшим за відповідну користь для цих осіб або нашої місії щодо збереження та покращення життя, а також пом’якшений за допомогою заходів, засобів і механізмів, які ми встановили. Якщо ризик перевищує користь для фізичних осіб, ми вживаємо найбільш відповідних заходів безпеки та захисту, повідомляємо відповідних осіб про це і, коли це можливо, звертаємось за консультацією до компетентних органів державного регулювання. Ми обробляємо конфіденційну інформацію виключно з явної згоди осіб, як це прямо вимагається чи явно дозволено згідно із застосовним законодавством. Якщо ризик перевищує користь для фізичних осіб, ми документуємо аналіз ризиків і розробляємо всі механізми, необхідні для зниження ризиків до якнайменшого рівня.
   3. Прозорість – ми не обробляємо персональні дані в спосіб або для цілей, які не є прозорими.	Усі особи, чиї персональні дані ми обробляємо відповідно до цієї політики, мають право отримати копію цієї політики. Ця політика доступна в Інтернеті за адресою https://www.msdprivacy.com/index.html. Глобальна служба з питань конфіденційності надасть електронні та (або) паперові копії цієї політики, якщо надіслати запит за адресами, зазначеними нижче. У разі отримання персональних даних безпосередньо від фізичних осіб, перед тим, як збирати інформацію, повідомте їм за допомогою чіткого, помітного та легкодоступного повідомлення про конфіденційність або подібних заходів: 1) дані організації або організацій, відповідальних за обробку; 2) контактну інформацію Директора з питань конфіденційності даних і (або) регіонального чи місцевого керівника служби забезпечення конфіденційності даних; 3) яку інформацію ви збиратимете; 4) цілі, для яких вона буде використовуватися; 5) юридичні підстави для обробки інформації; 6) кому вона надаватиметься, зокрема будь-які вимоги щодо розголошення персональних даних у відповідь на законні запити органів державної влади; 7) чи будемо ми передавати персональні дані до інших країн, включно з відповідними країнами, якщо це можливо; 8) скільки часу інформація зберігатиметься, або критерії, за якими ми визначаємо цей час; 9) як вони можуть задавати питання, виказувати занепокоєння або застосовувати права, пов’язані з їхніми персональними даними; 10) як вони можуть відкликати надану згоду; 11) що вони мають право подати скаргу до органу державного регулювання; 12) про будь-які зобов’язання надати персональні дані та наслідки їхнього невиконання; 13) про будь-який процес автоматичного ухвалення рішень, включно з профілюванням; 14) посилання на цю політику, якщо це можливо і доречно. Наші загальні повідомлення про конфіденційність для багатьох наших зацікавлених сторін доступні в Інтернеті за адресою: http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html Якщо персональні дані отримують за допомогою спостереження, датчиків чи інших непрямих засобів, безпосереднє надання особі повідомлення про конфіденційність під час збирання інформації може бути неможливим. У таких випадках ми забезпечуємо прозорість за допомогою інших засобів, як-от розміщення або друк інформації на пристрої, або за допомогою матеріалів, пов’язаних із пристроєм, який отримує інформацію. Якщо персональні дані збирають за допомогою вебсайту, мобільного додатка або іншої онлайнової програми чи ресурсу, ми застосовуємо стандарти залежно від застосовуваної технології, викладені в нашій «Політиці конфіденційності даних в Інтернеті» i Глобальна політика відстеження в інтернеті, для виконання вимог про прозорість відповідно до цієї політики. Якщо персональні дані збирають з інших джерел і не за спеціальною вказівкою нашої компанії, то перед отриманням інформації ми повинні мати письмове підтвердження того, що постачальник інформації поінформував людей про способи та цілі, для яких наша компанія має намір використати цю інформацію. У разі неможливості отримання письмового підтвердження від постачальника інформації ми використовуємо лише знеособлені дані або перед використанням персональних даних повідомляємо відповідним особам за допомогою повідомлення про конфіденційність або подібних заходів: 1) дані організації або організацій, відповідальних за обробку інформації; 2) контактну інформацію Директора з питань конфіденційності даних і (або) регіонального чи місцевого керівника служби забезпечення захисту даних; 3) яку інформацію наша компанія планує використовувати; 4) цілі, для яких наша компанія буде використовувати її; 5) юридичні підстави для обробки інформації нашою компанією; 6) кому наша компанія надаватиме її; 7) чи буде наша компанія передавати персональні дані до інших країн, включно з відповідними країнами, якщо це можливо; 8) скільки часу інформація зберігатиметься, або критерії, за якими наша компанія визначає цей час; 9) як вони можуть задавати питання, виказувати занепокоєння або застосовувати права, пов’язані з їхніми персональними даними; 10) як вони можуть відкликати надану згоду; 11) що вони мають право подати скаргу до органу державного регулювання; 12) про будь-які зобов’язання надати персональні дані та наслідки їхнього невиконання; 13) про будь-який процес автоматичного ухвалення рішень, включно з профілюванням; 14) посилання на цю політику, якщо це можливо і доречно. Ми переконуємося в тому, що необхідні механізми забезпечення прозорості, включно з (якщо це можливо) механізмами, що підтримують запити щодо особистих прав, передбачені в будь-яких забезпечувальних технологіях і що сторонні особи, які підтримують діяльність чи процес, не обробляють інформацію про людей у такий спосіб, що суперечить тим способам, які були повідомлені особі за допомогою повідомлення про конфіденційність або інших перевірених засобів і які наша компанія та інші особи, що працюють на нашу компанію, використовуватимуть для обробки інформації. Коли ми запитуємо згоду, ми отримуємо та документуємо підтвердження згоди засобами наших забезпечувальних технологій.
   4. Обмеження мети – ми використовуємо персональні дані лише відповідно до принципів необхідності та прозорості.	Якщо для персональних даних, що були зібрані раніше, визначені нові законні комерційні цілі, ми або отримуємо згоду особи на нове використання персональних даних, або ми забезпечуємо, щоб нова комерційна ціль була сумісною із цілями та суттєво подібною до цілей, описаних у повідомленні про конфіденційність або іншому механізмі забезпечення прозорості, який був наданий особі раніше. Ми визначаємо сумісність, виходячи зі: 1) зв’язків між початковими цілями та запропонованою новою метою; 2) розумних очікувань особи; 3) характеру персональних даних; 4) наслідків подальшої обробки для особи; 5) заходів безпеки, запроваджених нашою компанією. Ми не застосовуємо цей принцип до знеособленої інформації або якщо ми використовуємо персональні дані виключно для архівних цілей і проведення наукових досліджень і якщо: 1) Комітет з етики або інший контрольний орган встановив, що ризик такого використання для конфіденційності та інших прав фізичних осіб є прийнятним; 2) ми запровадили відповідні заходи безпеки для забезпечення мінімізації даних, як-от знеособлення; 3) персональні дані псевдонімізуються; та 4) дотримуються всі інші застосовні закони. Ми обов’язково передбачаємо обмеження мети в усіх забезпечувальних технологіях, включаючи всі засоби повідомлення та подальший обмін даними.
   5. Якість даних – ми забезпечуємо точність, повноту та актуальність персональних даних залежно від передбаченого застосування.	Ми обов’язково передбачаємо наявність в усіх забезпечувальних технологіях механізмів періодичного перегляду даних для перевірки вірності даних у системах подальшої обробки відповідно до даних вихідних систем. Ми переконуємося, що конфіденційна інформація є точною та актуальною, перед її використанням, оцінкою, аналізом, повідомленням чи іншим видом обробки, якщо використання неточних чи застарілих даних створює ризик необ’єктивності. Якщо ми або треті особи, що працюють на нашу компанію, вносять зміни до персональних даних, ми повідомляємо про зміни відповідних осіб в установлені строки, якщо це можливо.
   6. Безпека – ми захищаємо персональні дані та конфіденційну інформацію від втрати, неправильного використання та несанкціонованого доступу, розкриття, зміни чи знищення.	Ми впровадили комплексну програму захисту інформації, а також застосовуємо засоби контролю безпеки відповідно до ступеня конфіденційності інформації та ступеня ризику від провадження діяльності, з урахуванням успішного досвіду застосування сучасних технологій і вартості впровадження. Наша політика функціональної безпеки включає стандарти забезпечення безперервності діяльності та аварійного відновлення, шифрування, управління ідентифікацією та доступом, класифікацію інформації, управління порушеннями інформаційної безпеки, контролю доступу до мережі, фізичної безпеки та управління ризиками.
   7. Передача даних – ми відповідаємо за наявність і підтримуємо засоби захисту конфіденційності персональних даних під час їхньої передачі до інших організацій або в інші країни.	(1) Ми передаємо персональні дані в межах компанії в описаних нижче випадках: (1) надання необхідне для досягнення цілей, для яких персональні дані збиралися із самого початку, або в інших законних інтересах компанії; 2) мета та факт їхньої передачі відповідають повідомленню про конфіденційність або іншим механізмам забезпечення прозорості, які раніше були надані фізичній особі під час первинного збирання персональних даних, і фізична особа надала свою згоду, якщо це необхідно; 3) якщо одне дочірнє підприємство нашої компанії діє виключно від імені інших дочірніх підприємств нашої компанії під час обробки персональних даних; 4) якщо це вимагається згідно із законом, дочірні підприємства нашої компанії укладають внутрішню угоду про обробку даних відповідно до принципу 8 цієї політики. 5) якщо такої передачі вимагає ІТ-інфраструктура, за умови, що вжито всіх необхідних заходів безпеки та організаційних заходів для дотримання застосовних вимог під час передачі. (2) Ми передаємо персональні дані третім особам або дозволяємо третім особам обробляти персональні дані лише у випадку виконання зазначених нижче вимог. Ми несемо відповідальність за те, аби треті особи, яких ми залучили, дотримувалися таких вимог: Якщо роль третьої особи полягає в обробці персональних даних для або від імені нашої компанії, перш ніж надавати персональні дані третім особам або залучати їх, ми: 1) проводимо повну оцінку методів збереження конфіденційності та ризиків, пов’язаних із цими третіми особами; 2) отримуємо від цих третіх осіб договірні гарантії того: що вони оброблятимуть персональні дані лише відповідно до інструкцій нашої компанії та цієї політики, включно з усіма 8-ма принципами конфіденційності та іншими стандартами, викладеними в цій політиці та відповідних законах; що вони негайно повідомлятимуть нашу компанію про будь-яке порушення конфіденційності, включно з недотриманням стандартів, викладених у цій політиці та чинних законах, або порушенням безпеки, та співпрацюватимуть, аби негайно усунути будь-яке обґрунтоване порушення та відновити права осіб, викладені в розділі 2 нижче; що вони не залучатимуть іншу компанію для обробки персональних даних без письмового дозволу та без укладання угоди, що передбачає еквівалентні зобов’язання щодо захисту даних; що вони вилучатимуть або повертатимуть нашій компанії усі персональні дані після завершення надання послуг нашій компанії або за запитом нашої компанії; що протягом періоду обробки вони дозволятимуть нашій компанії перевіряти й контролювати їхні методи для дотримання цих вимог. Окрім того, якщо третя особа обробляє персональні дані, які походять із країни чи території, законодавство якої обмежує передачу персональних даних, ми гарантуємо, що передача третій особі відповідатиме вимогам щодо передачі даних, описаним у пункті 3) нижче. Якщо роль третьої особи полягає в наданні персональних даних нашій компанії, то перш ніж отримувати персональні дані від третьої особи, ми переконуємося в дотриманні вимоги щодо прозорості під час збирання персональних даних з інших джерел, а не за дорученням нашої компанії, а також отримуємо від третьої особи договірні запевнення в тому, що вона не порушує жодного закону чи прав будь-якої третьої особи через надання персональних даних нашій компанії. Якщо роль третьої особи полягає в тому, щоб отримувати персональні дані від нашої компанії для обробки не за дорученням нашої компанії, то перед наданням персональних даних третій особі ми переконуємося в тому, що інформація була знеособлена, а також отримуємо письмові гарантії від третьої особи щодо того, що вона використовуватиме інформацію лише для комерційних цілей, визначених в угоді, та відповідно до початкового повідомлення та чинного законодавства і що вона не намагатиметься повторно ідентифікувати інформацію. Якщо передача третій особі потрібна для захисту законних інтересів особи чи компанії, ми можемо передавати інформацію: 1) з метою запобігання шахрайству або дотримання чи захисту прав і майна компанії; 2) для захисту особистої безпеки наших працівників або третіх осіб, що перебувають у нашій компанії; 3) для захисту наших активів шляхом вжиття коригувальних заходів, якщо ми маємо підстави підозрювати, що відбулася неправомірна діяльність або серйозне порушення правил. Якщо наша компанія зацікавлена в придбанні третьої особи або контрольного пакету її акцій, 1) перш ніж укладати угоду про придбання третьої особи або контрольного пакету акцій третьої особи, ми проводимо повну оцінку методів збереження конфіденційності та ризиків, пов’язаних із придбанням цієї третьої особи або контрольного пакету акцій цієї особи; 2) ми укладаємо угоду про передачу персональних даних, у якій зазначені умови, за якими дозволяється розкрити персональні дані, а також відповідні зобов’язання нашої компанії та третьої особи. Якщо роль третьої особи полягає в придбанні всієї або частини бізнесу нашої компанії, перед тим, як надавати будь-які персональні дані у зв’язку з відчуженням будь-якої частини бізнесу нашої компанії, ми: 1) укладаємо угоду про передачу даних, в якій визначені умови, за якими покупцеві можна розкрити персональні дані, включно з відповідними обмеженнями щодо дозволеного використання персональних даних та дотримання стандарту, встановленого цією політикою та відповідними законами; 2) переглядаємо всі елементи даних про людей перед тим, як надавати їх, щоб оцінити вимоги щодо надання; 3) отримуємо згоду на передачу персональних даних або конфіденційної інформації відповідно до принципів прозорості та обмеження мети цієї політики; 4) вимагаємо від третьої особи негайно повідомити нашу компанію про будь-яке порушення конфіденційності, включно з будь-яким недотриманням стандартів, викладених у цій політиці та застосовних законах, а також співпрацювати, щоб негайно усунути будь-яке обґрунтоване порушення або припинити обробку відповідних персональних даних. (3) Ми передаємо персональні дані через кордони країни, зокрема до Сполучених Штатів Америки, від імені нашої компанії відповідно до цієї політики. Ми також застосовуємо цю політику до передачі персональних даних із будь-якої іншої країни чи території, законодавство якої обмежує передачу персональних даних, і виконуємо всі вимоги, встановлені цими законами (включно з використанням будь-яких механізмів, необхідних для транскордонної передачі даних у країни, в яких не запроваджені такі самі стандарти захисту даних, як у країні, з якої дані передаються).
   8. Дозволеність за законодавством – ми ніколи не обробляємо персональні дані, якщо не дотримані вимоги чинного законодавства.	Незважаючи на те, що інші 7 принципів конфіденційності даних, а також вимоги щодо прав фізичних осіб, описані нижче, призначені для того, аби забезпечити дотримання багатьох законів про конфіденційність і захист даних, які застосовуються до нашої компанії в усьому світі, у деяких країнах може знадобитися виконати додаткові вимоги, зокрема такі: 1) якщо необхідно, ми отримуємо спеціальні форми згоди на певну обробку персональних даних, включно зі схваленням обробки радами робітників та іншими профспілками; 2) якщо необхідно, ми реєструємо обробку персональних даних у відповідному контрольному органі у сфері забезпечення конфіденційності чи захисту даних або отримуємо від нього дозвіл на обробку; 3) якщо необхідно, ми надаємо ширші права (наприклад, доступу та виправлення), ніж зазначені в цій політиці; 4) якщо необхідно, ми додатково обмежуємо строк зберігання персональних даних 5) якщо необхідно, ми укладаємо угоди, що містять спеціальні положення, включно з угодами про транскордонну передачу даних третім особам; i 6) якщо необхідно, ми розкриваємо персональні дані у відповідь на законні запити органів державної влади, зокрема для виконання вимог органів державної безпеки чи правоохоронних органів. У разі виникнення протиріч між цією політикою та чинним законодавством перевагу має норма, що забезпечує більший захист фізичних осіб.

2. Ми негайно розглядаємо запити фізичних осіб щодо доступу, редагування, виправлення чи видалення персональних даних, щодо заперечення проти обробки персональних даних або щодо здійснення інших прав стосовно їхніх персональних даних.
   1. Доступ, виправлення, видалення та інші права – За законами більшості країн, в яких ми здійснюємо діяльність, особи мають право на доступ до своїх персональних даних, а також право редагувати, виправляти або видаляти неточні, неповні або застарілі персональні дані. Ми виконуємо всі запити щодо доступу, виправлення та видалення персональних даних усіх осіб відповідно до розділу 3а нижче. Якщо запит щодо доступу, виправлення та видалення персональних даних регулюється чинним законодавством, яке передбачає більший захист фізичних осіб, ми забезпечуємо виконання додаткових вимог законодавства.
      У деяких країнах фізичні особи можуть мати інші права щодо своїх персональних даних, наприклад, право обмежувати обробку, заперечувати проти обробки (див. також розділ 2b нижче) і передачі їхніх даних іншому постачальнику послуг. Ми забезпечуємо реалізацію прав щодо даних відповідно до чинного законодавства. Деякі права, наприклад право видалення даних, можуть бути обмежені через інші вимоги органів регулювання або необхідність виконання місцевих вимог щодо обов’язкової звітності. У цьому разі ми повідомимо вас про такі обмеження відповідним чином.
   2. Вибір – Відповідно до наших принципів поваги та довіри, ми виконуємо окремі запити на заперечення проти обробки персональних даних, включно з відмовою від участі у програмах чи заходах, у яких особи раніше погодилися брати участь, обробкою персональних даних для прямого маркетингу, надсилання повідомлень, націлених на осіб на основі їхніх персональних даних, а також оцінки або ухвалення рішень щодо них, які можуть суттєво вплинути на них, за допомогою засобів автоматизації чи алгоритмів.
      1. За винятком тих випадків, коли це заборонено згідно із законодавством, ми маємо право відмовити у наданні вибраної можливості, якщо конкретний запит перешкоджатиме нашій компанії: 1) дотримуватися законодавства або етичних зобов’язань, зокрема якщо ми зобов’язані розкривати персональні дані у відповідь на законні запити органів державної влади, зокрема для виконання вимог органів державної безпеки чи правоохоронних органів; 2) розслідувати, подавати чи оскаржувати юридичні позови; 3) виконувати договори, керувати відносинами або займатися іншими дозволеними видами комерційної діяльності, що відповідають принципам прозорості та обмеження мети і були укладені з використанням інформації відповідних людей. Ми документуємо та повідомляємо рішення ініціаторові запиту протягом п’ятнадцяти робочих днів із дати ухвалення рішення про відхилення запиту відповідно до цієї політики.
3. Ми швидко відповідаємо на всі запитання, скарги та занепокоєння, пов’язані з конфіденційністю даних, і реагуємо на будь-які потенційні порушення конфіденційності та безпеки даних, а також передаємо їх на розгляд керівництву.
   1. Будь-яка особа, чиї персональні дані ми обробляємо відповідно до цієї політики, має право будь-коли задати питання, подати скаргу чи висловити занепокоєння нашій компанії, включно із запитами на надання переліку всіх дочірніх підприємств нашої компанії, на які розповсюджується дія цієї політики. Ми очікуємо, що наші співробітники та інші особи, які працюють від імені нашої компанії, оперативно повідомлять нас, якщо вони матимуть підстави вважати, що чинне законодавство може перешкоджати їм дотримуватися цієї політики. Співробітники або будь-які інші особи, які працюють від імені нашої компанії, мають спрямовувати будь-які питання, скарги чи занепокоєння або будь-які повідомлення до Глобальної служби з питань конфіденційності:
      1. Для осіб-резидентів країн Європейської економічної зони (ЄЕЗ) — електронною поштою на адресу: euprivacydpo@msd.com
      2. Для інших осіб — електронною поштою на адресу: msd_privacy_office@msd.com
      3. Поштою на адресу: Privacy Office (Служба з питань конфіденційності), Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, США 19454.
   2. Співробітники та підрядники повинні швидко інформувати Глобальну службу з питань конфіденційності або фахівця з питань конфіденційності даних їхнього підрозділу про будь-які питання, скарги або побоювання, пов’язані з методами нашої компанії щодо збереження конфіденційності даних.
   3. Глобальна служба з питань конфіденційності самостійно або разом із відділом із питань етики, юридичним відділом та (або) відділом дотримання законодавства розглядають і розслідують усі питання, скарги чи занепокоєння, пов’язані з методами нашої компанії щодо збереження конфіденційності даних, незалежно від того, чи вони отримані від співробітників, інших осіб або третіх сторін, включно з органами державного регулювання, органами нагляду та іншими державними органами. Ми відповідаємо на питання, скаргу чи занепокоєння фізичної чи юридичної особи протягом 30 (тридцяти) календарних днів, якщо законодавство або третя особа, яка подає запит, не вимагає відповіді в коротший період часу, або якщо обставини, як-от державне розслідування, не вимагають більш тривалого періоду часу; у цьому випадку фізична особа або третя особа, яка подає запит, буде в письмовій формі повідомлена про загальних характер обставин, що спричиняють затримку.
   4. Глобальна служба з питань конфіденційності, юридичний відділ та відділ із питань дотримання законодавства разом реагуватимуть на будь-який запит, перевірку чи розслідування з боку органу захисту конфіденційних даних.
   5. Щодо скарг, які неможливо вирішити між нашою компанією та особою, яка подала скаргу, наша компанія погодилася брати участь у зазначених нижче процедурах вирішення спорів при розслідуванні та розгляді скарг відповідно до цієї політики. Незважаючи на це, в будь-який час фізичні особи, що проживають в ЄЕЗ, або особи, чиї персональні дані підпадають під дію законодавства про захист даних ЄЕЗ та передаються за межі ЄЕЗ, також можуть застосовувати стандарт, зазначений у розділі 3.f нижче:
      1. щодо спорів, пов’язаних із передачею персональних даних, що стосуються діяльності з питань людських ресурсів та зібраних у контексті трудових відносин, із країн ЄЕЗ і Сполученого Королівства в США, наша компанія зобов’язується співпрацювати з відповідною радою ЄС із захисту даних;
      2. щодо спорів, пов’язаних із передачею персональних даних, що стосуються діяльності з питань людських ресурсів у контексті трудових відносин, зі Швейцарії в США, наша компанія зобов’язується співпрацювати з Федеральним комісаром Швейцарії із захисту даних та інформації (FDPIC);
      3. щодо спорів, пов’язаних із передачею персональних даних за умови виконання нашою компанією правил забезпечення конфіденційності даних під час транскордонної передачі («ПКДТП») Азіатсько-Тихоокеанського економічного співробітництва («АТЕС») між країнами та територіями АТЕС,передачею персональних даних, не пов’язаних із діяльністю з питань людських ресурсів, відповідно до рамкових угод про правила передачі персональних даних між ЄС і США й між Швейцарією та США Privacy Shield , наша компанія погодилася на процедуру вирішення спорів через стороннього постачальника послуг із вирішення спорів, що здійснює діяльність на території США (безоплатно), за посиланням https://feedback-form.truste.com/watchdog/request
      4. Щодо будь-якого спору, який виникає відповідно до умов рамкової угоди між ЄС і США й Швейцарії та США Privacy Shield та який не був вирішений за допомогою кроків, описаних у цьому розділі, особи мають право ініціювати арбітражний розгляд відповідно до регламенту колегії арбітрів Privacy Shield, яка створюється відповідно дорамкових угод між ЄС і США/Швейцарії та СШA Privacy Shield.
   6. Усі особи, що проживають в ЄЕЗ, або особи, чиї персональні дані підпадають під дію законодавства про захист даних ЄЕЗ та передаються за межі ЄЕЗ, чиї персональні дані обробляються відповідно до цієї політики, мають право в будь-який час відповідно до цієї політики забезпечити виконання вимог цієї політики в якості сторонніх бенефіціарів, включно з правом подавати судові позови для застосування засобів правового захисту в разі порушення прав відповідно до цієї політики (див. розділ 2 вище), та правом на відшкодування збитків, спричинених таким порушенням. Усі особи, що проживають в ЄЕЗ, або особи, чиї персональні дані підпадають під дію законодавства про захист даних ЄЕЗ та передаються за межі ЄЕЗ (зокрема до США (заради ясності)), мають право подати скаргу чи претензію відповідно до цієї політики проти дочірнього підприємства Компанії, відповідального за передачу персональних даних за межі ЄЕЗ до:
      1. юрисдикції експортера даних, що знаходиться на території ЄЕЗ, або
      2. юрисдикції країни, де знаходиться наш диретор із питань захисту даних в Європі, або
      3. компетентних органів із захисту даних (зокрема в країні-учасниці за місцем їхнього звичайного проживання, місцем роботи або місцем нібито скоєного порушення), або
      4. наших провідних органів із захисту даних, за розпорядженням яких були створені наші зобов’язальні корпоративні правила (ЗКП): Національної комісії з питань інформаційних прав і свобод Франції (CNIL).
   7. Наша компанія відповідає на питання, скаргу чи занепокоєння фізичної чи юридичної особи протягом 30 (тридцяти) календарних днів, якщо законодавство або третя особа, яка подає запит, не вимагає відповіді у коротший період часу, або якщо обставини не вимагають більш тривалого періоду часу, про що фізична особа або третя особа, яка подає запит, буде повідомлена в письмовій формі.
4. Ми відповідаємо за дотримання наших принципів і стандартів забезпечення конфіденційності.
   1. Дочірнє підприємство нашої компанії, відповідальне за дію, що призводить до підтвердженого доказами порушення конфіденційності або безпеки, несе фінансову відповідальність за сплату суми відшкодування збитків за будь-яким позовом або сплату штрафу або пені, що виникли внаслідок порушення конфіденційності або безпеки.
      1. Разом із Глобальною службою з питань конфіденційності та за її вказівкою компанія директор із питань захисту даних в Європі відповідає за забезпечення необхідних дій для усунення будь-яких заявлених порушень цієї політики дочірніми підприємствами нашої компанії поза межами ЄЕЗ, що стосуються осіб, які проживають в ЄЕЗ, або осіб, чиї персональні дані підпадають під дію законодавства ЄЕЗ про захист даних і передаються за межі ЄЕЗ. У разі необхідності компанія Merck, її філія в США-Бельгії Sharp & Dohme (Europe) Inc. («MSD Europe») сплачує штрафи, пеню або збитки, присуджені за порушення цієї політики, що стосуються осіб, які проживають в ЄЕЗ, або осіб, чиї персональні дані підпадають під дію законодавства ЄЕЗ про захист даних і передаються за межі ЄЕЗ. За підтримки Глобальної служби з питань конфіденційності та дочірнього підприємства нашої компанії, розташованого за межами ЄЕЗ і відповідального за заявлене порушення, директор із питань захисту даних в Європі несе відповідальність за підтвердження того, що наша компанія не несе відповідальності за заявлене порушення. Якщо відповідальність за дію, яка призводить до сплати штрафу, пені або збитків, несе інше дочірнє підприємство нашої компанії, це дочірнє підприємство повинне негайно відшкодувати компанії MSD Europe будь-яку суму, сплачену компанією MSD Europe. Якщо дочірнє підприємство нашої компанії за межами ЄЕЗ порушує цю політику, суди або органи захисту даних в ЄЕЗ мають юрисдикцію, а особи, що постраждали, мають права та засоби правового захисту проти дочірнього підприємства Компанії, відповідального за передачу персональних даних за межі ЄЕЗ, зазначені в розділі 3.f вище.
      2. Разом із Глобальною службою з питань конфіденційності та за її вказівкою компанія Merck Sharp & Dohme Corp. . відповідає за забезпечення необхідних дій для усунення будь-яких заявлених порушень цієї політики, що стосуються осіб, які проживають за межами ЄЕЗ, і в разі необхідності сплачує штрафи, пеню або збитки, присуджені за порушення цієї політики, що стосуються осіб, які проживають за межами ЄЕЗ, або осіб, чиї персональні дані не підпадають під дію законодавства ЄЕЗ про захист даних. Якщо відповідальність за дію, яка призводить до спали штрафу, пені або збитків, несе інше дочірнє підприємство нашої компанії, таке дочірнє підприємство компанії MSD повинне негайно відшкодувати компанії Merck Sharp & Dohme Corp. будь-яку суму, сплачену компанією Merck Sharp & Dohme Corp.

Нагляд і контроль

Для запевнення органів державного регулювання та інших зацікавлених осіб у тому, що наша компанія несе відповідальність за виконання своїх зобов’язань щодо дотримання корпоративних стандартів ділової етики та відповідального ведення бізнесу, компанія створила групу з нагляду й контролю, до складу якої входять: директор із питань конфіденційності даних разом із Глобальною службою з питань конфіденційності (ГСПК), заступник начальника служби з питань конфіденційності в ЄС або певній країні, якщо це потрібно згідно із законодавством або вимогами місцевих органів влади, a також фахівці з питань конфіденційності, яких призначає вище керівництво та які виконують функції проміжної ланки між Глобальною службою з питань конфіденційності та підрозділами організації, в яких вони працюють.

Наша компанія використовує агентів із перевірки дотримання законодавства щодо конфіденційності аби періодично перевіряти дотримання вимог цього законодавства, зокрема Системи правил конфіденційності даних під час транскордонної передачі АТЕС.

Додатково до перевірок, які проводить Глобальна служба з питань конфіденційності, внутрішні та зовнішні ревізійні групи перевіряють дотримання вимог, аби переконатися, що Компанія дотримується цієї політики, включно з будь-якою політикою, процедурами, стандартами та інструкціями, що створені відповідно до цієї політики. Для усунення недоліків, виявлених ревізійними групами, складаються та впроваджуються плани коригувальних і профілактичних заходів. Результати програми перевірки надаються директору з питань конфіденційності, відповідному директору з питань захисту даних і Раді з питань конфіденційності та захисту даних, які несуть відповідальність за їхнє повідомлення згідно з цією політикою.

Органи захисту конфіденційності та даних які затвердили цю політику або контролюють методи нашої компанії відповідно до цієї політики, мають право перевіряти її дотримання. Ми дотримуємося рекомендацій цих компетентних органів стосовно тлумачення та застосування цієї політики.

Терміни, які потрібно знати

• Знеособлений. Зміна, скорочення, знищення або інше редагування чи зміна персональних даних, аби унеможливити їхнє використання окремо або в поєднанні з іншою інформацією для ідентифікації, пошуку або зв’язку з особою.
• Законодавство. Усі відповідні закони, норми, положення та постанови, що мають силу закону в будь-якій країні, в якій наша компанія здійснює діяльність або в якій наша компанія або інші особи обробляють персональні дані від імені нашої компанії. Включає в себе всі програми конфіденційності, згідно з якими наша компанія була сертифікована, включно із Зобов’язальними корпоративними правилами ЄС («ЗКП»), Системою правил забезпечення конфіденційності даних під час транскордонної передачі («ПКДТП») Азіатсько-Тихоокеанського економічного співробітництва («АТЕС»), програмою Privacy Shield, що діє між ЄС і США, ЄС і Швейцарією, згідно зі слідчими та виконавчими повноваженнями Федеральної торгової комісії США.
• Наша компанія. Компанія Merck & Co., Inc. зі штаб-квартирою в м. Кенілворт, штат Нью-Джерсі, США, її правонаступники, дочірні підприємства та підрозділи в усьому світі, за винятком спільних підприємств, учасником яких є наша компанія.
• Персональні дані. Будь-які дані, що стосуються ідентифікованої особи чи особи, яку можна ідентифікувати, включно з даними, які ідентифікують особу або які можуть використовуватися для ідентифікації, пошуку, відстеження або зв’язку з особою. Персональні дані включають у себе як інформацію, що дозволяє безпосередньо ідентифікувати особу, як-от ім’я, ідентифікаційний номер або унікальна назва посади, так і інформацію, що дозволяє опосередковано ідентифікувати особу, як-от дата народження, унікальний ідентифікатор мобільного або портативного пристрою, номер телефону, а також кодовані дані, онлайн-ідентифікатори, як-от IP-адреси, або особиста діяльність, поведінка або уподобання, які можуть збиратися для надання послуг або продуктів.
• Порушення конфіденційності. Порушення цієї Політики або законодавства про конфіденційність і захист даних; також включає в себе порушення безпеки. Визначення того, чи сталося порушення конфіденційності та чи потрібно підняти його пріоритет до витоку персональних даних, робить Глобальна служба з питань конфіденційності, відділ безпеки та управління інформаційними ризиками (ВБУІР), а також відділ генерального юрисконсульта.
• Обробка. Виконання будь-якої операції або набору операцій з інформацією про людей з використанням автоматичних або неавтоматичних засобів, зокрема збирання, запис, організація, зберігання, доступ, адаптація, зміна, пошук, надання, використання, оцінювання, аналіз, повідомлення, обмін, розкриття, розповсюдження, передача, узгодження, об’єднання, блокування, видалення, стирання або знищення.
• Порушення правил захисту персональних даних. Порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних, або обґрунтоване припущення нашої компанії про те, що така дія мала місце. Доступ до персональних даних із боку нашої компанії або від її імені без наміру порушувати цю політику не є порушенням правил захисту персональних даних за умови, що доступ до персональних даних, їхнє подальше використання та розкриття відповідають цій політиці.
• Конфіденційна інформація. Будь-яка інформація про людей, яка несе в собі ризик потенційної шкоди фізичним особам, включно з інформацією, визначеною законодавством як конфіденційна, зокрема інформація, що стосується здоров’я, генетична інформація, біометрія, расова чи етнічна приналежність, релігійні, політичні або філософські думки чи переконання, судимості, інформація про точне географічне розташування, номери банківських чи інших фінансових рахунків, державні ідентифікаційні номери, інформація неповнолітніх дітей, сексуальне життя, сексуальна орієнтація, приналежність до профспілок, інформація про страхування, соціальне забезпечення та інші пільги, надані роботодавцем або урядом.
• Третя особа. Будь-яка юридична особа, об’єднання чи фізична особа, яка не належить нашій компанії або в якій наша компанія не має контрольного пакета акцій, або яка не є працівником нашої компанії. За винятком прямо вказаних у цій політиці випадків, будь-яке дочірнє підприємство або підрозділ нашої компанії зобов’язані дотримуватися вимог для третіх осіб згідно з цією політикою, оскільки всі дочірні підприємства або підрозділи зобов’язані обробляти інформацію про людей відповідно до цієї політики, зокрема в обставинах, коли одне з дочірніх підприємств нашої компанії підтримує одне або декілька інших дочірніх підприємств нашої компанії під час обробки.

Зміна політики

До цієї політики можуть періодично вноситися зміни відповідно до вимог чинного законодавства. Якщо ця політика буде змінена суттєво, на вебсторінці нашої компанії про конфіденційність (https://www.msdprivacy.com/) буде опубліковане повідомлення протягом 60 днів.