Глобальне забезпечення конфіденційності під час транскордонної передачі даних

Дата перегляду: 1 вересня 2023 р.
Дата набрання чинності: 1 вересня 2023 р.

Ми прагнемо працювати відповідно до наших принципів забезпечення конфіденційності даних, оскільки так ми можемо продемонструвати, що завжди дотримуємося корпоративних стандартів ділової етики та соціальної відповідальності. Ми визнаємо, що інновації й нові технології призводять до постійної зміни ризиків, очікувань і законів, тому дотримуємося стандартів відповідальності за конфіденційність даних та прагнемо швидко адаптувати те, як ми застосуємо їх у відповідь на ці зміни.

У цій політиці визначено наші глобальні стандарти щодо захисту персональних даних і керування ними, що здійснює наша компанія або інші сторони від її імені, незалежно від того, з якої країни надходять персональні дані або куди їх буде передано. У ній описано наші основні зобов’язання, які підтверджують, що ми дотримуємося Системи правил АТЕС щодо забезпечення конфіденційності даних під час транскордонної передачі, Обов’язкових корпоративних правил (Binding Corporate rules, BCR), які було схвалено в Європейському Союзі, а також вимог самостійної сертифікації відповідно до рамкової програми щодо захисту даних між США та ЄС (Data Privacy Framework, DPF), додаткових положень Об’єднаного Королівства до програми DPF і рамкової програми щодо захисту даних між Швейцарією та США.

Наша компанія дотримується положень рамкової програми щодо захисту даних між США та ЄС (Data Privacy Framework, DPF), додаткових положень Об’єднаного Королівства до програми DPF між ЄС і США, а також рамкової програми щодо захисту даних між Швейцарією та США (DPF між Швейцарією та США), як це встановлено Міністерством торгівлі США. Ми отримали сертифікат від Міністерства торгівлі США, який підтверджує, що ми дотримуємося принципів рамкової програми щодо захисту даних між США та ЄС (принципів DPF) стосовно обробки персональних даних, отриманих від держав-членів Європейського Союзу в межах програми DPF між ЄС і США та з території Сполученого Королівства (і Гібралтара) у межах додаткових положень Об’єднаного Королівства до програми DPF між ЄС і США. Ми отримали сертифікат від Міністерства торгівлі США, який підтверджує, що ми дотримуємося принципів рамкової програми щодо захисту даних між Швейцарією та США (принципи DPF між Швейцарією та США) стосовно обробки персональних даних, отриманих із території Швейцарії в межах програми DPF між ЄС і США. У разі виникнення протиріч між умовами цієї політики й принципами DPF між ЄС і США та (або) принципів DPF між Швейцарією та США, положення таких принципів мають перевагу. Щоб дізнатися більше про програму щодо захисту даних DPF і переглянути наші сертифікати, відвідайте веб-сайт https://www.dataprivacyframework.gov/.

Ця політика стосується нашої діяльності в кожній країні, а також усіх видів діяльності, пов’язаних з інформацією про людей, які ми здійснюємо в кожній дочірній компанії та кожному підрозділі (це, зокрема, стосується правонаступників нашої компанії), включно з дослідженнями, виробництвом, торгівлею та корпоративною підтримкою, а також передачею даних, необхідною для здійснення цих видів діяльності, зокрема наведених нижче. Перелік не є вичерпним.

• Дослідження та виробництво. Оцінка потреб і можливостей для медичних інновацій; ініціювання й фінансування наукових досліджень, а також керування ними; оцінка та залучення дослідників, членів комітету з питань науки й етики та ділових партнерів для підтримки досліджень і розробки продукції; набір учасників досліджень; оцінка безпечності, ефективності й якості досліджуваних продуктів і продуктів на продаж; дотримання вимог щодо безпечності та якості продукції, включно з розглядом і повідомленням про небажані явища та скарги на якість продукції; подання документів до органів охорони здоров’я для затвердження та реєстрації продукції; дотримання відповідних юридичних, нормативних або етичних вимог.
• Торгівля. Оцінка ринків для продукції; реклама, маркетинг, продаж, розповсюдження та доставка продукції; спілкування та взаємодія з клієнтами-медичними працівниками, платниками зі сфери охорони здоров’я, пацієнтами й іншими кінцевими користувачами продукції, а також піклувальниками осіб, які користуються продукцією; спонсорування та проведення заходів; оцінка та залучення ділових партнерів для підтримки комерційної діяльності; дотримання відповідних юридичних, нормативних або етичних вимог.
• Корпоративна підтримка. Підбір персоналу, працевлаштування, керування, розвиток, спілкування зі співробітниками та виплата їм компенсацій; надання пільг співробітникам та їхнім утриманцям; оцінка результатів праці співробітників і їхніх здібностей; проведення освітніх та інших програм навчання та розвитку; проведення дисциплінарних проваджень і розгляд скарг співробітників; розгляд питань можливого порушення етичних норм і конфіденційності, проведення розслідувань; керування нашими фізичними й віртуальними активами та інфраструктурою, а також їх захист; закупівля й оплата товарів і послуг; дотримання вимог щодо охорони довкілля, охорони здоров’я та безпеки й інших корпоративних зобов’язань; взаємодія зі ЗМІ; дотримання відповідних юридичних, нормативних або етичних вимог.

Ця політика також застосовується до всіх людей, чиї персональні дані ми обробляємо, зокрема фахівців сфери охорони здоров’я й інших клієнтів, майбутніх і колишніх працівників і їхніх утриманців, пацієнтів, опікунів, дослідників і учасників досліджень, членів науково-етичних комітетів, ділових партнерів, інвесторів і акціонерів, державних службовців та інших зацікавлених сторін. Перелік не є вичерпним.

Усі співробітники та вищі керівники компанії мають основні обов’язки щодо конфіденційності, яких вони мусять дотримуватися.

Ми усвідомлюємо, що навіть ненавмисні помилки та неправильне судження, пов’язані із захистом інформації про людей, можуть створювати ризики порушення конфіденційності для фізичних осіб, а також репутаційні, операційні, фінансові та нормативно-правові ризики для нашої компанії. Ми проводимо відповідне навчання з цієї політики для всіх співробітників та інших осіб, які мають постійний або регулярний доступ до персональних даних, які беруть участь у зборі даних або в розробці інструментів, що використовуються для обробки персональних даних. Кожен співробітник нашої компанії та інші особи, які обробляють інформацію про людей від імені нашої компанії, несуть відповідальність за розуміння та виконання своїх зобов’язань відповідно до цієї політики та застосовних законів.

Наші принципи та стандарти забезпечення конфіденційності

Ми підтримуємо наші цінності конфіденційності в усьому, що ми робимо за участю людей, зокрема в тому, як ми застосовуємо наші стандарти конфіденційності. У таблиці нижче наведено наші чотири принципи забезпечення конфіденційності.

Повага	Довіра	Запобігання шкоди	Дотримання вимог
Ми усвідомлюємо, що занепокоєння щодо конфіденційності часто стосується того, хто ми є, як ми дивимось на світ і як ми визначаємо себе, тому ми прагнемо поважати точки зору й інтереси людей і громад, а також чесно й прозоро використовувати інформацію про них і обмінюватися нею.	Ми знаємо, що довіра є життєво важливою для нашого успіху, тому прагнемо будувати щирі взаємини з нашими клієнтами, співробітниками, пацієнтами та іншими зацікавленими особами, захищаючи конфіденційність їхніх даних і особисту інформацію. інформацію.	Ми розуміємо, що неправильне використання інформації про людей може завдати як матеріальної, так і моральної шкоди особам, тому ми прагнемо запобігти фізичній, фінансовій, репутаційній й іншим видам шкоди через порушення конфіденційності їхніх даних.	Ми виявили, що закони й нормативні акти не завжди встигають за швидкою зміною технологій, потоків даних і відповідними змінами в ризиках і очікуваннях щодо конфіденційності даних, тому прагнемо дотримуватися як духу, так і букви законів і норм щодо конфіденційності та захисту даних у спосіб, який забезпечує узгодженість і ефективність наших глобальних бізнес-операцій.

1. Ми включили наші стандарти забезпечення конфіденційності даних в усі види діяльності, процеси, технології та відносини з третіми особами, які використовують персональні дані. Ми застосовуємо засоби контролю конфіденційності в наших процесах і технологіях, що відповідають нашим принципам і стандартам забезпечення конфіденційності даних, а також чинному законодавству. Наведені нижче 8 принципів забезпечення конфіденційності даних коротко узагальнюють наші стандарти конфіденційності й основні вимоги до процесів, діяльності та технологій.

   Принцип конфіденційності	Наші основні зобов’язання
   1. Необхідність: перед збором, використанням чи обміном персональними даними ми визначаємо та документуємо конкретні, законні комерційні цілі, для яких потрібні дані.	Ми визначаємо та документуємо, як довго персональні дані потрібні для таких визначених комерційних цілей і виконання вимог застосовного законодавства. Ми не збираємо, не використовуємо та не передаємо більше персональних даних, ніж це потрібно, і не зберігаємо їх у формі, що дозволяє ідентифікувати особу, довше, ніж це вимагається для таких визначених комерційних цілей і виконання вимог застосовного законодавства. Ми знеособлюємо дані, якщо згідно з бізнес-процесами інформацію про діяльність або процес необхідно зберігати протягом тривалого періоду часу. Ми обов’язково включаємо ці зобов’язальні вимоги в усі технології з підтримки та повідомляємо про них третіх осіб, які підтримують діяльність або процес.
   2. Чесність: ми не обробляємо персональні дані в спосіб, що є нечесним для людей, чиї дані ми обробляємо.	Ми визначаємо, чи запропонований збір, використання чи інша обробка персональних даних створює ймовірний та/або суттєвий ризик завдання матеріальної чи моральної шкоди фізичним особам у відповідності до нашого принципу Запобігання шкоди. Якщо характер даних, типи осіб або діяльності створює ймовірний та/або суттєвий ризик завдання матеріальної чи моральної шкоди фізичним особам, переконайтеся, що ризик шкоди є меншим за відповідну користь для цих осіб або нашої місії щодо збереження та покращення життя, а також що ризики пом’якшено за допомогою заходів, засобів і механізмів, які ми встановили. Якщо ризик перевищує користь для фізичних осіб, ми вживаємо найбільш відповідних заходів безпеки та захисту, повідомляємо відповідних осіб про це і, коли це можливо, звертаємося за консультацією до компетентних органів державного регулювання. Ми обробляємо конфіденційну інформацію винятково за наявності чіткої згоди осіб, як цього чітко вимагає застосоване законодавство чи явно дозволено згідно із таким законодавством. Якщо ризик перевищує користь для фізичних осіб, ми документуємо аналіз ризиків і розробляємо всі механізми, необхідні для зниження ризиків до якнайменшого рівня.
   3. Прозорість: ми не обробляємо персональні дані в спосіб або для цілей, які не є прозорими.	Усі особи, чиї персональні дані ми обробляємо відповідно до цієї політики, мають право отримати копію цієї політики. Ми опублікуємо копії цієї Політики тут: https://www.msdprivacy.com/index.html. Глобальна служба з питань конфіденційності надасть електронні та (або) паперові копії цієї політики, якщо надіслати запит за адресами, зазначеними нижче. У разі отримання персональних даних безпосередньо від фізичних осіб, перш ніж збирати інформацію, ми повідомляємо їх за допомогою чіткого, помітного та легкодоступного повідомлення про конфіденційність або подібних заходів: 1) дані організації або організацій, відповідальних за обробку; 2) контактну інформацію Директора з питань конфіденційності даних і/або регіонального чи місцевого керівника служби забезпечення конфіденційності даних; 3) яку інформацію ви збиратимете; 4) цілі, для яких вона буде використовуватися; 5) юридичні підстави для обробки інформації; 6) кому вона надаватиметься, зокрема будь-які вимоги щодо розголошення персональних даних у відповідь на законні запити органів державної влади; 7) чи будемо ми передавати персональні дані до інших країн, включно з відповідними країнами, де це можливо; 8) скільки часу інформація зберігатиметься, або критерії, за якими ми визначаємо цей час; 9) як вони можуть задавати запитання, виражати занепокоєння або реалізувати права, пов’язані з їхніми персональними даними; 10) як вони можуть відкликати надану згоду; 11) що вони мають право подати скаргу до органу державного регулювання; 12) про будь-які зобов’язання надати персональні дані та наслідки, якщо цього не робити; 13) про будь-який процес автоматичного ухвалення рішень, включно з профілюванням; 14) посилання на цю політику, якщо це можливо і доречно. Наші вичерпні повідомлення про конфіденційність для багатьох наших зацікавлених сторін викладено тут: http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html. Коли персональні дані отримують за допомогою спостереження, датчиків чи інших непрямих засобів, може бути неможливо надати безпосередньо особі повідомлення про конфіденційність під час збирання інформації. У таких випадках ми забезпечуємо прозорість за допомогою інших засобів, як-от розміщення або друк інформації на пристрої або за допомогою матеріалів, пов’язаних із пристроєм, який отримує інформацію. Коли персональні дані збирають через веб-сайт, мобільний додаток або інші онлайн-програми чи ресурси, ми застосовуємо специфічні для технології стандарти, викладені в Політиці конфіденційності даних в Інтернеті й Зобов’язанні із забезпечення конфіденційності під час роботи з файлами cookie, щоб дотримуватися вимог про прозорість відповідно до цієї політики. Коли персональні дані збирають з інших джерел і не за спеціальною вказівкою нашої компанії, то перед отриманням інформації ми повинні мати письмове підтвердження того, що постачальник інформації поінформував людей про способи та цілі, для яких наша компанія має намір використати цю інформацію. У разі неможливості отримання письмового підтвердження від постачальника інформації ми використовуємо лише знеособлені дані або перед використанням персональних даних повідомляємо відповідним особам за допомогою повідомлення про конфіденційність або подібних заходів: 1) дані організації або організацій, відповідальних за обробку інформації; 2) контактну інформацію Директора з питань конфіденційності даних і /або регіонального чи місцевого керівника служби захисту даних; 3) яку інформацію наша компанія планує використовувати; 4) цілі, для яких наша компанія буде використовувати її; 5) юридичні підстави для обробки інформації нашою компанією; 6) кому наша компанія надаватиме її; 7) чи буде наша компанія передавати персональні дані до інших країн, включно з відповідними країнами, якщо це можливо; 8) скільки часу інформація зберігатиметься, або критерії, за якими наша компанія визначає цей час; 9) як вони можуть задавати запитання, виражати занепокоєння або реалізувати свої права, пов’язані з їхніми персональними даними; 10) як вони можуть відкликати надану згоду; 11) що вони мають право подати скаргу до органу державного регулювання; 12) про будь-які зобов’язання надати персональні дані та наслідки їхнього невиконання; 13) про будь-який процес автоматичного ухвалення рішень, включно з профілюванням; 14) посилання на цю політику, якщо це можливо і доречно. Ми переконуємося в тому, що необхідні механізми забезпечення прозорості, включно з (якщо це можливо) механізмами, що підтримують запити щодо особистих прав, передбачені в будь-яких забезпечувальних технологіях і що сторонні особи, які підтримують діяльність чи процес, не обробляють інформацію про людей у такий спосіб, що суперечить тим способам, про які ми повідомили особу за допомогою повідомлення про конфіденційність або інших перевірених засобів і які наша компанія й інші особи, що працюють на нашу компанію, використовуватимуть для обробки інформації. Коли ми запитуємо згоду, ми отримуємо та документуємо докази згоди в наших допоміжних технологіях.
   4. Обмеження мети: ми використовуємо персональні дані лише відповідно до принципів необхідності та прозорості.	Якщо для персональних даних, які було зібрано раніше, визначено нові законні комерційні цілі, ми або отримуємо згоду особи на нове використання персональних даних, або забезпечуємо, щоб нова комерційна ціль була сумісною з цілями та суттєво подібною до цілей, описаних у повідомленні про конфіденційність або іншому механізмі забезпечення прозорості, який було надано особі раніше. Ми визначаємо сумісність, виходячи зі: 1) зв’язків між початковими цілями та запропонованою новою метою; 2) розумних очікувань особи; 3) характеру персональних даних; 4) наслідків подальшої обробки для особи; 5) заходів безпеки, запроваджених нашою компанією. Ми не застосовуємо цей принцип до знеособленої інформації або якщо ми використовуємо персональні дані винятково для архівних цілей і проведення наукових досліджень і якщо: 1) Комітет з етики або інший контрольний орган встановив, що ризик такого використання для конфіденційності й інших прав фізичних осіб є прийнятним; 2) ми запровадили відповідні заходи безпеки для забезпечення мінімізації даних, як-от знеособлення; 3) персональні дані псевдонімізують; і 4) дотримано всіх інших застосовних законів. Ми забезпечуємо обмеження мети в усіх допоміжних технологіях, включаючи всі можливості звітування та подальший обмін даними.
   5. Якість даних: ми зберігаємо Персональну інформацію точною, повною та актуальною відповідно до її цільового використання.	Ми забезпечуємо, наявність в усіх допоміжних технологіях механізмів періодичного перегляду даних для перевірки вірності даних у порівнянні з джерелом і системами подальшої обробки. Ми забезпечуємо, що конфіденційна інформація є точною та актуальною, перед її використанням, оцінкою, аналізом, звітуванням чи іншим видом обробки, що становить ризик несправедливості в разі використання неточних чи застарілих даних. Якщо ми або треті особи, що працюють на нашу компанію, вносять зміни до персональних даних, ми забезпечуємо, що про зміни повідомлено відповідних осіб в установлені строки, якщо це розумно можливо.
   6. Безпека: ми захищаємо персональні дані та конфіденційну інформацію від втрати, неправильного використання та несанкціонованого доступу, розкриття, зміни чи знищення.	Ми впровадили комплексну програму захисту інформації, а також застосовуємо засоби контролю безпеки відповідно до ступеня конфіденційності інформації та ступеня ризику від провадження діяльності, з урахуванням успішного досвіду застосування сучасних технологій і вартості впровадження. Наша політика функціональної безпеки включає стандарти забезпечення безперервності діяльності та аварійного відновлення, шифрування, управління ідентифікацією та доступом, класифікацію інформації, управління порушеннями інформаційної безпеки, контролю доступу до мережі, фізичної безпеки та управління ризиками.
   7. Передача даних: ми несемо відповідальність і підтримуємо засоби захисту конфіденційності персональних даних під час їхньої передачі до інших організацій або в інші країни.	(1) Ми передаємо персональні дані в межах компанії в описаних нижче випадках: 1) передавання необхідне для досягнення цілей, для яких персональні дані збиралися із самого початку, або в інших законних інтересах компанії; 2) мета та факт їхньої передачі відповідають повідомленню про конфіденційність або іншим механізмам забезпечення прозорості, які раніше було надано фізичній особі під час первинного збирання персональних даних, і фізична особа надала свою згоду, якщо це необхідно; 3) якщо одне дочірнє підприємство нашої компанії діє винятково від імені інших дочірніх підприємств нашої компанії під час обробки персональних даних; 4) якщо це вимагається згідно із законом, дочірні підприємства нашої компанії укладають внутрішню угоду про обробку даних відповідно до принципу 8 цієї політики. 5) якщо такої передачі вимагає ІТ-інфраструктура, за умови, що вжито всіх необхідних заходів безпеки й організаційних заходів для дотримання чинних вимог під час передачі. (2) Ми передаємо персональні дані третім особам або дозволяємо третім особам обробляти персональні дані лише у випадку виконання зазначених нижче вимог. Ми несемо відповідальність за те, щоб треті особи, яких ми залучили, дотримувалися наведених нижче вимог. Якщо роль третьої особи полягає в обробці персональних даних для або від імені нашої компанії, перш ніж надавати персональні дані третім особам або залучати їх, ми: 1) проводимо повну оцінку методів збереження конфіденційності та ризиків, пов’язаних із цими третіми особами; 2) отримуємо від цих третіх осіб договірні гарантії того: що вони оброблятимуть персональні дані лише відповідно до інструкцій нашої компанії та цієї політики, включно з усіма 8-ма принципами конфіденційності й іншими стандартами, викладеними в цій політиці та відповідних законах; що вони негайно повідомлятимуть нашу компанію про будь-яке порушення конфіденційності, включно з недотриманням стандартів, викладених у цій політиці та застосовних законах, або порушенням безпеки; і співпрацюватимуть, щоб негайно усунути будь-яке обґрунтоване порушення та відновити права осіб, викладені в розділі 2 нижче; що вони не залучатимуть іншу компанію для обробки персональних даних без письмового дозволу та без укладання угоди, що передбачає еквівалентні зобов’язання щодо захисту даних; що вони вилучатимуть або повертатимуть нашій компанії всі персональні дані після завершення надання послуг нашій компанії або за нашим запитом; що протягом періоду обробки вони дозволятимуть нашій компанії перевіряти й контролювати їхні методи з метою дотримання цих вимог. Крім того, якщо третя особа обробляє персональні дані, які походять із країни чи території, законодавство якої обмежує передачу персональних даних, ми гарантуємо, що передача третій особі відповідатиме вимогам щодо передачі даних, описаним у пункті 3) нижче. Якщо роль третьої особи полягає в наданні персональних даних нашій компанії, то перш ніж отримувати персональні дані від третьої особи, ми переконуємося в дотриманні вимоги щодо прозорості під час збирання персональних даних з інших джерел, а не за дорученням нашої компанії, а також отримуємо від третьої особи договірні запевнення в тому, що вона не порушує жодного закону чи прав будь-якої третьої особи через надання персональних даних нашій компанії. Якщо роль третьої особи полягає в тому, щоб отримувати персональні дані від нашої компанії для обробки не за дорученням нашої компанії, то перед наданням персональних даних третій особі ми переконуємося в тому, що інформація була знеособлена, а також отримуємо письмові гарантії від третьої особи щодо того, що вона використовуватиме інформацію лише для комерційних цілей, визначених в угоді, і відповідно до початкового повідомлення та чинного законодавства й що вона не намагатиметься повторно ідентифікувати інформацію. Якщо передача третій особі потрібна для захисту законних інтересів особи чи компанії, ми можемо передавати інформацію: 1) з метою запобігання шахрайству або дотримання чи захисту прав і майна компанії; 2) для захисту особистої безпеки наших працівників або третіх осіб, що перебувають у нашій компанії; 3) для захисту наших активів шляхом вжиття коригувальних заходів, якщо ми маємо підстави підозрювати, що відбулася неправомірна діяльність або серйозне порушення правил. Якщо наша компанія зацікавлена в придбанні третьої особи або контрольного пакету її акцій, 1) перш ніж укладати угоду про придбання третьої особи або контрольного пакету акцій третьої особи, ми проводимо повну оцінку методів збереження конфіденційності та ризиків, пов’язаних із придбанням цієї третьої особи або її контрольного пакету акцій; 2) ми укладаємо угоду про передачу персональних даних, у якій зазначені умови, за яких дозволено розкрити персональні дані, а також відповідні зобов’язання нашої компанії та третьої особи. Якщо роль третьої особи полягає в придбанні всієї або частини бізнесу нашої компанії, перед тим, як надавати будь-які персональні дані у зв’язку з відчуженням будь-якої частини бізнесу нашої компанії, ми: 1) укладаємо угоду про передачу даних, в якій визначені умови, за якими покупцеві можна розкрити персональні дані, включно з відповідними обмеженнями щодо дозволеного використання персональних даних та дотримання стандарту, встановленого цією політикою та відповідними законами; 2) переглядаємо всі елементи даних про людей перед тим, як надавати їх, щоб оцінити вимоги щодо надання; 3) отримуємо згоду на передачу персональних даних або конфіденційної інформації відповідно до принципів прозорості та обмеження мети цієї політики; 4) вимагаємо від третьої особи негайно повідомити нашу компанію про будь-яке порушення конфіденційності, включно з будь-яким недотриманням стандартів, викладених у цій політиці та застосовних законах, а також співпрацювати, щоб негайно усунути будь-яке обґрунтоване порушення або припинити обробку відповідних персональних даних. (3) Ми передаємо персональні дані через кордони країни, зокрема до Сполучених Штатів Америки, від імені нашої компанії відповідно до цієї політики. Ми також застосовуємо цю політику до передачі персональних даних із будь-якої іншої країни чи території, законодавство якої обмежує передачу персональних даних, і виконуємо всі вимоги, установлені цими законами (включно з використанням будь-яких механізмів, необхідних для транскордонної передачі даних у країни, в яких не запроваджені такі самі стандарти захисту даних, як у країні, з якої дані передаються).
   8. Законодавчо дозволено: ми обробляємо персональну інформацію лише за умови дотримання вимог чинного законодавства.	Попри те, що інші 7 принципів конфіденційності даних, а також вимоги щодо прав фізичних осіб, описані нижче, призначені для того, щоб забезпечити дотримання багатьох законів про конфіденційність і захист даних, які застосовуються до нашої компанії в усьому світі, у деяких країнах може знадобитися виконати додаткові вимоги, зокрема наведені нижче. 1) Якщо необхідно, ми отримуємо спеціальні форми згоди на певну обробку персональних даних, включно зі схваленням обробки радами робітників та іншими профспілками. 2) Якщо необхідно, ми реєструємо обробку персональних даних у відповідному контрольному органі у сфері забезпечення конфіденційності чи захисту даних або отримуємо від нього дозвіл на обробку. 3) Якщо необхідно, ми надаємо ширші права (наприклад, доступу та виправлення), ніж зазначені в цій політиці. 4) Якщо необхідно, ми додатково обмежуємо строк зберігання персональних даних. 5) Якщо необхідно, ми укладаємо угоди, що містять спеціальні положення, включно з угодами про транскордонну передачу даних третім особам. 6) Якщо необхідно, ми розкриваємо персональні дані у відповідь на законні запити органів державної влади, зокрема для виконання вимог органів державної безпеки чи правоохоронних органів. У разі виникнення протиріч між цією політикою та чинним законодавством перевагу має норма, що забезпечує більший захист фізичних осіб.

2. Ми негайно розглядаємо запити фізичних осіб щодо доступу, редагування, виправлення чи видалення персональних даних, щодо заперечення проти обробки персональних даних або щодо здійснення інших прав стосовно їхніх персональних даних.
   1. Доступ, виправлення, видалення та інші права: за законами більшості країн, в яких ми здійснюємо діяльність, особи мають право на доступ до своїх персональних даних, а також право редагувати, виправляти або видаляти неточні, неповні або застарілі персональні дані. Ми виконуємо всі запити щодо доступу, виправлення та видалення персональних даних усіх осіб відповідно до розділу 3а нижче. Якщо запит щодо доступу, виправлення та видалення персональних даних регулюється чинним законодавством, яке передбачає більший захист фізичних осіб, ми забезпечуємо виконання додаткових вимог законодавства.

      У деяких країнах фізичні особи можуть мати інші права щодо своїх персональних даних, наприклад право обмежувати обробку, заперечувати проти обробки (див. також розділ 2b нижче) і передачі їхніх даних іншому постачальнику послуг. Ми забезпечуємо реалізацію прав щодо даних відповідно до чинного законодавства. Деякі права, наприклад право видалення даних, можуть бути обмежені через інші вимоги органів регулювання або необхідність виконання місцевих вимог щодо обов’язкової звітності. У цьому разі ми повідомимо вас про такі обмеження відповідним чином.

   2. Вибір: відповідно до наших принципів поваги та довіри, ми виконуємо окремі запити на заперечення проти обробки персональних даних, включно з відмовою від участі у програмах чи заходах, у яких особи раніше погодилися брати участь, обробкою персональних даних для прямого маркетингу, надсилання повідомлень, націлених на осіб на основі їхніх персональних даних, а також оцінки або ухвалення рішень щодо них, які можуть суттєво вплинути на них, за допомогою засобів автоматизації чи алгоритмів.
      1. За винятком тих випадків, коли це заборонено згідно із законодавством, ми маємо право не надати вибрану можливість, якщо конкретний запит перешкоджатиме нашій компанії: 1) дотримуватися законодавства або етичних зобов’язань, зокрема якщо ми зобов’язані розкривати персональні дані у відповідь на законні запити органів державної влади, зокрема для виконання вимог органів державної безпеки чи правоохоронних органів; 2) розслідувати, подавати чи оскаржувати юридичні позови; 3) виконувати договори, керувати відносинами або займатися іншими дозволеними видами комерційної діяльності, що відповідають принципам прозорості й обмеження мети та були укладені з використанням інформації відповідних людей. Ми документуємо та повідомляємо рішення ініціаторові запиту протягом п’ятнадцяти робочих днів із дати ухвалення рішення про відхилення запиту відповідно до цієї політики.
3. Ми швидко відповідаємо на всі запитання, скарги та занепокоєння, пов’язані з конфіденційністю даних, і реагуємо на будь-які потенційні порушення конфіденційності та безпеки даних, а також передаємо їх на розгляд керівництву.
   1. Будь-яка особа, чиї персональні дані ми обробляємо відповідно до цієї політики, має право будь-коли задати запитання, подати скаргу чи висловити занепокоєння нашій компанії, включно із запитами на надання переліку всіх дочірніх підприємств нашої компанії, на які розповсюджується дія цієї політики. Ми очікуємо, що наші співробітники й інші особи, які працюють від імені нашої компанії, оперативно повідомлять нас, якщо вони матимуть підстави вважати, що чинне законодавство може перешкоджати їм дотримуватися цієї політики. Співробітники або будь-які інші особи, які працюють від імені нашої компанії, мають спрямовувати будь-які запитання, скарги чи занепокоєння або будь-які повідомлення до Глобальної служби з питань конфіденційності:
      1. Для осіб-резидентів країн Європейської економічної зони (ЄЕЗ) — електронною поштою на адресу: euprivacydpo@msd.com
      2. Для інших осіб — електронною поштою на адресу: msd_privacy_office@msd.com
      3. Поштою на адресу: Privacy Office (Служба з питань конфіденційності), Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, США 19454.
   2. Співробітники та підрядники повинні швидко інформувати Глобальну службу з питань конфіденційності або фахівця з питань конфіденційності даних їхнього підрозділу про будь-які запитання, скарги або побоювання, пов’язані з методами нашої компанії щодо збереження конфіденційності даних.
   3. Глобальна служба з питань конфіденційності самостійно або разом із відділом із питань етики, юридичним відділом і (або) відділом із дотримання законодавства розглядають і розслідують усі питання, скарги чи занепокоєння, пов’язані з методами нашої компанії щодо збереження конфіденційності даних, незалежно від того, чи вони отримані від співробітників, інших осіб або третіх сторін, включно з органами державного регулювання, органами нагляду й іншими державними органами. Ми відповідаємо на запитання, скаргу чи занепокоєння фізичної чи юридичної особи протягом 30 (тридцяти) календарних днів, якщо законодавство або третя особа, яка подає запит, не вимагає відповіді в коротший період часу, або якщо обставини, як-от державне розслідування, не вимагають більш тривалого періоду часу; у цьому випадку фізична особа або третя особа, яка подає запит, буде в письмовій формі повідомлена про загальний характер обставин, що спричиняють затримку.
   4. Глобальна служба з питань конфіденційності, юридичний відділ і відділ із питань дотримання законодавства разом реагуватимуть на будь-який запит, перевірку чи розслідування з боку органу захисту конфіденційних даних.
   5. Щодо скарг, які неможливо вирішити між нашою компанією й особою, яка подала скаргу, наша компанія погодилася брати участь у зазначених нижче процедурах вирішення спорів при розслідуванні та розгляді скарг відповідно до цієї політики. Незважаючи на це, в будь-який час фізичні особи, що проживають в ЄЕЗ, або особи, чиї персональні дані підпадають під дію законодавства про захист даних ЄЕЗ і передаються за межі ЄЕЗ, також можуть застосовувати стандарт, зазначений у розділі 3.f нижче:
      1. Щодо спорів, пов’язаних із передачею персональних даних, що стосуються діяльності з питань людських ресурсів і зібраних у контексті трудових відносин, з країн ЄЕЗ та Сполученого Королівства в США, наша компанія зобов’язується співпрацювати з відповідною радами ЄС і Об’єднаного Королівства із захисту даних.
      2. Щодо спорів, пов’язаних із передачею персональних даних, що стосуються діяльності з питань людських ресурсів у контексті трудових відносин, зі Швейцарії в США, наша компанія зобов’язується співпрацювати з Федеральним комісаром Швейцарії із захисту даних та інформації (FDPIC).
      3. Щодо спорів, пов’язаних із передачею персональних даних за умови виконання нашою компанією Систем правил забезпечення конфіденційності даних під час транскордонної передачі (CBPRs) Азіатсько-Тихоокеанського економічного співробітництва (АТЕС) між країнами та територіями АТЕС, наша компанія погодилася на вирішення спорів нашим агентом із перевірки дотримання законодавства за національною програмою BBB. Щоб отримати додаткову інформацію про обсяг нашої участі чи подати запит щодо конфіденційності через національну програму BBB, натисніть офіційну печатку, розташовану внизу цієї сторінки.
      4. Щодо спорів, пов’язаних із передачею персональних даних, не пов’язаних із діяльністю з питань людських ресурсів, відповідно до рамкової програми щодо захисту даних між ЄС і США рамкової програми щодо захисту даних між США та ЄС (Data Privacy Framework, DPF), додаткових положень Об’єднаного Королівства до програми DPF і рамкової програми щодо захисту даних між , наша компанія погодилася на вирішення спорів (безкоштовно) за допомогою незалежного механізму звернення, служб рамкової програми щодо захисту даних, якими керує організація BBB National Programs. Якщо ви своєчасно не отримали підтвердження своєї скарги або її не було належно розглянуто, відвідайте сторінку https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers, щоб отримати додаткову інформацію та подати скаргу.
      5. Щодо будь-якого спору, який виникає відповідно до умов рамкової програми щодо захисту даних між ЄС і США (Data Privacy Framework, DPF), додаткових положень Об’єднаного Королівства до програми DPF і рамкової програми щодо захисту даних між Швейцарією та США, який не вдалося вирішити за допомогою кроків, описаних у цьому розділі, за певних умов особи можуть звернутися до арбітражу для деяких залишкових претензій, які не було вирішено за допомогою інших механізмів врегулювання. Рішення арбітражу є обов’язковим для виконання. Див. https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2.
   6. Усі особи, що проживають в ЄЕЗ, або особи, чиї персональні дані підпадають під дію законодавства про захист даних ЄЕЗ і передаються за межі ЄЕЗ, чиї персональні дані обробляються відповідно до цієї політики, мають право в будь-який час відповідно до цієї політики забезпечити виконання вимог цієї політики в якості сторонніх бенефіціарів, включно з правом подавати судові позови для застосування засобів правового захисту в разі порушення прав відповідно до цієї політики (див. розділ 2 вище) і правом на відшкодування збитків, спричинених таким порушенням. Усі особи, що проживають в ЄЕЗ, або особи, чиї персональні дані підпадають під дію законодавства про захист даних ЄЕЗ і передаються за межі ЄЕЗ (заради ясності, зокрема до США), мають право подати скаргу чи претензію відповідно до цієї політики проти дочірнього підприємства компанії, відповідального за передачу персональних даних за межі ЄЕЗ до:
      1. юрисдикції експортера даних, що знаходиться на території ЄЕЗ, або
      2. юрисдикції країни, де знаходиться наш диретор із питань захисту даних в Європі, або
      3. компетентних органів із захисту даних (зокрема в країні-учасниці за місцем їхнього звичайного проживання, місцем роботи або місцем нібито скоєного порушення), або
      4. наших провідних органів із захисту даних, за розпорядженням яких були створені наші зобов’язальні корпоративні правила (ЗКП): Національної комісії з питань інформаційних прав і свобод Франції (CNIL).
   7. Наша компанія відповідає на питання, скаргу чи занепокоєння фізичної чи юридичної особи протягом 30 (тридцяти) календарних днів, якщо законодавство або третя особа, яка подає запит, не вимагає відповіді у коротший період часу, або якщо обставини не вимагають більш тривалого періоду часу, про що фізична особа або третя особа, яка подає запит, буде повідомлена в письмовій формі.
4. Ми відповідаємо за дотримання наших принципів і стандартів забезпечення конфіденційності.
   1. Дочірнє підприємство нашої компанії, відповідальне за дію, що призводить до підтвердженого доказами порушення конфіденційності або безпеки, несе фінансову відповідальність за сплату суми відшкодування збитків за будь-яким позовом або сплату штрафу або пені, що виникли внаслідок порушення конфіденційності або безпеки.
      1. Разом із Глобальною службою з питань конфіденційності та за її вказівкою директор із питань захисту даних в Європі відповідає за забезпечення необхідних дій для усунення будь-яких заявлених порушень цієї політики дочірніми підприємствами нашої компанії поза межами ЄЕЗ, що стосуються осіб, які проживають в ЄЕЗ, або осіб, чиї персональні дані підпадають під дію законодавства ЄЕЗ про захист даних і передаються за межі ЄЕЗ. У разі необхідності компанія Merck, її філія Sharp & Dohme (Europe) Inc. («MSD Europe») у США-Бельгії сплачує штрафи, пеню або збитки, присуджені за порушення цієї політики, що стосуються осіб, які проживають в ЄЕЗ, або осіб, чиї персональні дані підпадають під дію законодавства ЄЕЗ про захист даних і передаються за межі ЄЕЗ. За підтримки Глобальної служби з питань конфіденційності та дочірнього підприємства нашої компанії, розташованого за межами ЄЕЗ і відповідального за заявлене порушення, директор із питань захисту даних в Європі несе відповідальність за підтвердження того, що наша компанія не несе відповідальності за заявлене порушення. Якщо відповідальність за дію, яка призводить до сплати штрафу, пені або збитків, несе інше дочірнє підприємство нашої компанії, це дочірнє підприємство повинне негайно відшкодувати компанії MSD Europe будь-яку суму, сплачену компанією MSD Europe. Якщо дочірнє підприємство нашої компанії за межами ЄЕЗ порушує цю політику, суди або органи захисту даних в ЄЕЗ мають юрисдикцію, а особи, що постраждали, мають права та засоби правового захисту проти дочірнього підприємства компанії, відповідального за передачу персональних даних за межі ЄЕЗ, зазначені в розділі 3.f вище.
      2. Разом із Глобальною службою з питань конфіденційності та за її вказівкою компанія Merck Sharp & Dohme LLC відповідає за забезпечення необхідних дій для усунення будь-яких заявлених порушень цієї політики, що стосуються осіб, які проживають за межами ЄЕЗ, і в разі необхідності сплачує штрафи, пеню або збитки, присуджені за порушення цієї політики, що стосуються осіб, які проживають за межами ЄЕЗ, або осіб, чиї персональні дані не підпадають під дію законодавства ЄЕЗ про захист даних. Якщо відповідальність за дію, яка призводить до сплати штрафу, пені або збитків, несе інше дочірнє підприємство нашої компанії, таке дочірнє підприємство компанії MSD повинне негайно відшкодувати компанії Merck Sharp & Dohme LLC будь-яку суму, сплачену компанією Merck Sharp & Dohme LLC.

Нагляд і контроль

Для запевнення органів державного регулювання та інших зацікавлених осіб у тому, що наша компанія несе відповідальність за виконання своїх зобов’язань щодо дотримання корпоративних стандартів ділової етики та відповідального ведення бізнесу, компанія створила групу з нагляду й контролю, до складу якої входять: директор із питань конфіденційності даних разом із Глобальною службою з питань конфіденційності (ГСПК), заступник начальника служби з питань конфіденційності в ЄС або певній країні, якщо це потрібно згідно із законодавством або вимогами місцевих органів влади, a також фахівці з питань конфіденційності, яких призначає вище керівництво та які виконують функції проміжної ланки між Глобальною службою з питань конфіденційності та підрозділами організації, в яких вони працюють.

Наша компанія використовує агентів із перевірки дотримання законодавства щодо конфіденційності аби періодично перевіряти дотримання вимог цього законодавства, зокрема Системи правил конфіденційності даних під час транскордонної передачі АТЕС.

Додатково до перевірок, які проводить Глобальна служба з питань конфіденційності, внутрішні та зовнішні ревізійні групи перевіряють дотримання вимог, аби переконатися, що Компанія дотримується цієї політики, включно з будь-якою політикою, процедурами, стандартами та інструкціями, що створені відповідно до цієї політики. Для усунення недоліків, виявлених ревізійними групами, складаються та впроваджуються плани коригувальних і профілактичних заходів. Результати програми перевірки надаються директору з питань конфіденційності, відповідному директору з питань захисту даних і Раді з питань конфіденційності та захисту даних, які несуть відповідальність за їхнє повідомлення згідно з цією політикою.

Органи захисту конфіденційності та даних які затвердили цю політику або контролюють методи нашої компанії відповідно до цієї політики, мають право перевіряти її дотримання. Ми дотримуємося рекомендацій цих компетентних органів стосовно тлумачення та застосування цієї політики.

Терміни, які потрібно знати

• Знеособлення. Зміна, скорочення, знищення або інше редагування чи зміна персональних даних із метою унеможливити їхнє використання окремо або в поєднанні з іншою інформацією для ідентифікації, пошуку або зв’язку з особою.
• Законодавство. Усі відповідні закони, норми, положення та постанови, що мають силу закону в будь-якій країні, в якій наша компанія веде діяльність або в якій наша компанія або інші особи обробляють персональні дані від імені нашої компанії. Уключає всі програми конфіденційності, згідно з якими діяльність компанії було схвалено або сертифіковано, включно з Обов’язковими корпоративними правилами ЄС (BCR), Системою правил забезпечення конфіденційності даних під час транскордонної передачі Азіатсько-Тихоокеанського економічного співробітництва (АТЕС), положеннями рамкової програми щодо захисту даних між США та ЄС (Data Privacy Framework, DPF), додаткових положень Об’єднаного Королівства до програми DPF і рамкової програми щодо захисту даних між США та ЄС згідно зі слідчими та виконавчими повноваженнями Федеральної торгової комісії США.
• Наша компанія. Компанія Merck & Co., Inc., Rahway, NJ, США, її правонаступники, дочірні підприємства та підрозділи в усьому світі, за винятком спільних підприємств, учасником яких є наша компанія.
• Персональні дані. Будь-які дані, що стосуються ідентифікованої особи чи особи, яку можна ідентифікувати, включно з даними, які ідентифікують особу або які можуть використовуватися для ідентифікації, пошуку, відстеження або зв’язку з особою. Персональні дані включають відомості, які прямо ідентифікують особу, як-от ім’я, ідентифікаційний номер або унікальна назва посади, і відомості, за якими особу можна ідентифікувати опосередковано, як-от дата народження, унікальний ідентифікатор мобільного чи портативного пристрою, номер телефону, а також закодовані дані, онлайн-ідентифікатори, як-от IP-адреси або відомості про дії, поведінку чи уподобання, які збираються для надання послуг або продуктів.
• Порушення конфіденційності. Порушення цієї Політики або законодавства про конфіденційність і захист даних; також включає в себе порушення безпеки. Визначення того, чи сталося порушення конфіденційності та чи потрібно підняти його пріоритет до витоку персональних даних, робить Глобальна служба з питань конфіденційності, відділ безпеки та управління інформаційними ризиками (Information Technology Risk Management and Security, ITRMS), а також відділ генерального юрисконсульта.
• Обробка. Виконання будь-якої операції або набору операцій з інформацією про людей з використанням автоматичних або неавтоматичних засобів, зокрема збирання, запис, організація, зберігання, доступ, адаптація, зміна, пошук, надання, використання, оцінювання, аналіз, повідомлення, обмін, розкриття, розповсюдження, передача, узгодження, об’єднання, блокування, видалення, стирання або знищення.
• Порушення правил захисту персональних даних. Порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних, або обґрунтоване припущення нашої компанії про те, що така дія мала місце. Доступ до персональних даних із боку нашої компанії або від її імені без наміру порушувати цю політику не є порушенням правил захисту персональних даних за умови, що доступ до персональних даних, їхнє подальше використання та розкриття відповідають цій політиці.
• Конфіденційна інформація. Будь-яка інформація про людей, яка несе в собі ризик потенційної шкоди фізичним особам, включно з інформацією, визначеною законодавством як конфіденційна, зокрема інформація, що стосується здоров’я, генетична інформація, біометрія, расова чи етнічна приналежність, релігійні, політичні або філософські думки чи переконання, судимості, інформація про точне географічне розташування, номери банківських чи інших фінансових рахунків, державні ідентифікаційні номери, інформація неповнолітніх дітей, сексуальне життя, сексуальна орієнтація, приналежність до профспілок, інформація про страхування, соціальне забезпечення та інші пільги, надані роботодавцем або урядом.
• Третя особа. Будь-яка юридична особа, об’єднання чи фізична особа, яка не належить нашій компанії або в якій наша компанія не має контрольного пакета акцій, або яка не є працівником нашої компанії. За винятком прямо вказаних у цій політиці випадків, будь-яке дочірнє підприємство або підрозділ нашої компанії зобов’язані дотримуватися вимог для третіх осіб згідно з цією політикою, оскільки всі дочірні підприємства або підрозділи зобов’язані обробляти інформацію про людей відповідно до цієї політики, зокрема в обставинах, коли одне з дочірніх підприємств нашої компанії підтримує одне або декілька інших дочірніх підприємств нашої компанії під час обробки.

Зміна політики

До цієї політики можуть періодично вноситися зміни відповідно до вимог чинного законодавства. У разі внесення суттєвих змін протягом 60 днів на веб-сторінці конфіденційності нашої компанії (https://www.msdprivacy.com/) буде розміщено повідомлення.