سياسة القواعد العامة للخصوصية عبر الحدود

تاريخ المُراجعة:01 سبتمبر 2023
تاريخ السريان:01 سبتمبر 2023

نحن نسعى سعيًا حثيثًا لممارسة أعمالنا وفقًا لقيم الخصوصية لدينا ذلك لأننا نؤمن أنها تؤكد التزامنا الراسخ بالممارسات الأخلاقية والجديرة بالثقة. نحن ندرك أن الابتكار والتكنولوجيا الجديدة يحدثان تغييرًا مستمرًا في المخاطر والتوقعات والقوانين، لذلك نتبع معايير المساءلة المتعلقة بالخصوصية ونهدف إلى التكييف السريع لكيفية تطبيقها استجابة إلى هذه التغييرات.

تحدد هذه السياسة معاييرنا العالمية المتعلقة بإدارة المعلومات الشخصية وحمايتها من قبل شركتنا أو طرف آخر بالنيابة عن شركتنا، وذلك بغض النظر عن البلد الذي تم إدخال البيانات الشخصية فيه أو نقلها اليه. تصف هذه السياسة أساس التزاماتنا الداعمة للامتثال لمصادقة قواعد الخصوصية عبر الحدود الخاصة ب – APEC، وقواعد الشركة الملزمة (“BCRs”)، والتي تمت الموافقة عليها من قبل الاتحاد الأوروبي، بالإضافة إلى مصادقتنا لدرع الخصوصية الأوروبي-الأمريكي. برنامج إطار خصوصية البيانات (DPF)، امتداد المملكة المتحدة لإطار عمل خصوصية البيانات (DPF) في المملكة المتحدة، وبرنامج إطار خصوصية البيانات السويسري الأمريكي.

تلتزم شركتنا ببرنامج إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة (إطار عمل خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة (DPF)) و امتداد المملكة المتحدة لإطار عمل خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة (DPF) وبرنامج إطار خصوصية البيانات السويسري الأمريكي (DPF)) كما هو منصوص عليه من قبل وزارة التجارة الأمريكية. لقد حصلنا على شهادة من وزارة التجارة الأمريكية بأننا نلتزم بمبادئ إطار عمل خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة (مبادئ إطار عمل سياسات حماية البيانات بين الاتحاد الأوروبي والولايات المتحدة) فيما يتعلق بمعالجة البيانات الشخصية الواردة من الاتحاد الأوروبي بالاعتماد على إطار عمل خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة ومن المملكة المتحدة (وجبل طارق) اعتمادًا على ملحق المملكة المتحدة لاتفاقية إطار عمل خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة. لقد حصلنا على شهادة من وزارة التجارة الأمريكية بأننا نلتزم بمبادئ برنامج إطار خصوصية البيانات السويسرية الأمريكية (مبادئ سياسات إطار خصوصية البيانات السويسرية الأمريكية) فيما يتعلق بمعالجة البيانات الشخصية الواردة من سويسرا بالاعتماد على إطار عمل خصوصية البيانات السويسرية الأمريكية. إذا كان هناك أي تعارض بين الشروط الواردة في هذه السياسة ومبادئ إطار عمل خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة و/أو مبادئ إطار عمل خصوصية البيانات بين سويسرا والولايات المتحدة، فإنه يتم تطبيق المبادئ. لمعرفة المزيد حول برنامج ”إطار عمل خصوصية البيانات“ (DPF)، والاطلاع على شهادتنا، تفضل بزيارة

تنطبق هذه السياسة على عملياتنا في كل بلد، وعلى كل نشاط يتضمن البيانات الشخصية المتعلقة بالأشخاص الذين نقوم بمعالجتها في كل فرع وكل قسم (بما في ذلك أي خلفاء لأعمالنا)، بما في ذلك، على سبيل المثال لا الحصر، أنشطتنا البحثية، التصنيعية، التجارية، الدعم المؤسسي وعمليات نقل البيانات اللازمة لتنفيذ تلك الأنشطة، بما في ذلك على سبيل المثال لا الحصر:

• البحث والتصنيع: تقييم احتياجات وفرص للابتكار الطبي والصحي؛ الشروع في الدراسات البحثية، إدارتها وتمويلها؛ تقييم وإشراك الباحثين، أعضاء لجنة الأخلاقيات والعلوم وشركاء الأعمال لدعم دراساتنا البحثية وتطوير منتجاتنا؛ تعيين دراسات البحث خاصتنا؛ تقييم سلامة، فعالية وجودة منتجاتنا البحثية والتسويقية؛ الوفاء بالتزاماتنا المتعلقة بجودة المنتج وسلامته، بما في ذلك التعامل مع الأحداث العكسية وشكاوى جودة المنتج والإبلاغ عنها؛ تقديم طلب الموافقة وتسجيل منتجاتنا لدى السلطات التنظيمية الصحية؛ والامتثال للمتطلبات القانونية، التنظيمية أو الأخلاقية المرتبطة بها؛
• النشاط التجاري: تقييم الأسواق لمنتجاتنا؛ الدعاية، الإعلان، تسويق، بيع وتوزيع وتقديم منتجاتنا؛ التواصل والتعاون مع العملاء المتخصصين في الرعاية الصحية، ممولي الرعاية الصحية/ المرضى والمستخدمين الآخرين لمنتجاتنا، بالإضافة إلى مقدمي الرعاية ممن يستخدمون منتجاتنا؛ رعاية وتنظيم الفعاليات؛ تقييم وإشراك شركاء الأعمال لدعم أنشطتنا التجارية؛ والامتثال للمتطلبات القانونية، التنظيمية أو الأخلاقية المرتبطة بها؛
• الدعم المؤسسي: توظيف،، تعيين، إدارة، تطوير، التواصل مع، وتعويض الموظفين؛ إدارة استحقاقات الموظفين ومعاليهم وإجراء مراجعات لأداء الموظفين ومواهبهم؛ توفير التدريب وبرامج التعلم والتطوير الأخرى؛ تنفيذ الإجراءات التأديبية وإجراءات الشكاوى للموظفين؛ إدارة الأخلاقيات ومخاوف الخصوصية وإجراء التحقيقات؛ إدارة وتأمين الأصول والبنى التحتية المادية والافتراضية الخاصة بنا؛ تزويد السلع والخدمات والدفع مقابلها؛ الوفاء بالتزاماتنا المتعلقة بالبيئة، الصحة والسلامة والتزامات مسؤولية الشركة الأخرى؛ التعامل مع وسائل الإعلام؛ والامتثال للمتطلبات القانونية، التنظيمية أو الأخلاقية المرتبطة بها.

تنطبق هذه السياسة أيضًا على جميع الأشخاص الذين نقوم بمعالجة بياناتهم الشخصية، بما في ذلك بدون الحصر، المتخصصين في الرعاية الصحية والعملاء الآخرين؛ الموظفين المحتملين، الحاليين والسابقين ومعاليهم، المرضى، مقدمي الرعاية، الباحثين والمشاركين في الدراسة البحثية وأعضاء لجنة الأخلاقيات والعلوم وشركاء الأعمال والمستثمرين والمساهمين والمسؤولين الحكوميين وغيرهم من أصحاب المصلحة.

يتحمل جميع موظفي الشركة وكبار القادة مسؤوليات الخصوصية الأساسية التي يجب عليهم الالتزام بها.

نحن ندرك أن الأخطاء غير المقصودة وسوء التقدير فينما يتعلق بحماية المعلومات عن الأشخاص يمكن أن تسبب مخاطر على مستوى خصوصية الأفراد ومخاطر المتعلقة بالسمعة، التشغيل، التمويل والامتثال لقواعد شركتنا. سنقدم التدريب المناسب على هذه السياسة لجميع الموظفين والموظفين الآخرين الذين لديهم إمكانية الوصول الدائم أو المنتظم إلى المعلومات الشخصية، أو الذين يشاركون في جمع البيانات أو تطوير الأدوات المستخدمة لمعالجة المعلومات الشخصية. كل موظف في شركتنا، وغيره ممن يقومون بمعالجة المعلومات عن الأشخاص لشركتنا، هم مسؤولون عن فهم التزاماتهم والوفاء بها بموجب هذه السياسة والقوانين المعمول بها.

قيم ومعايير الخصوصية لدينا

نحن نتمسك بقيم الخصوصية لدينا في كل عمل نقوم به يتضمن الأشخاص بما في ذلك كيفية تطبيق معايير الخصوصية الخاصة بنا. قيم الخصوصية الأربعة لدينا:

الاحترام	الثقة	منع الضرر	الامتثال
نحن ندرك أن مسائل الخصوصية تتعلق في كثير من الأحيان بجوهر تعريفنا لأنفسنا، وكيف ننظر للعالم، لذلك نحن نسعى جاهدين لاحترام وجهات نظر ومصالح الأفراد والمجتمعات وأن نتسم بالإنصاف والشفافية في كيفية استخدامنا وتبادلنا المعلومات عنهم.	نحن نعلم أن الثقة أمر ضروري لنجاحنا، لذلك نسعى جاهدين لبناء ثقة عملائنا والموظفين والمرضى وأصحاب المصلحة الآخرين والحفاظ على تلك الثقة من خلال احترامنا لخصوصية وحماية المعلومات حول الأشخاص.	نحن ندرك أن إساءة استخدام المعلومات عن الأشخاص قد تؤدي إلى التسبب في أضرار ملموسة وغير ملموسة للأفراد، لذا نسعى إلى منع الأضرار البدنية، والمالية والمتعلقة بالسمعة وأنواع أخرى من أضرار الخصوصية التي قد تلحق بالأفراد.	لقد تعلمنا أن القوانين واللوائح لا تستطيع دائمًا مواكبة التغير السريع في التقنيات وتدفق البيانات والتغيرات المصاحبة في مخاطر وتوقعات الخصوصية، لذا نسعى جاهدين للالتزام بروح ونص القوانين ولوائح الخصوصية وحماية البيانات على حد سواء بطريقة تحقق الاتساق وكفاءة التشغيل لعملياتنا التجارية العالمية.

1. نحن نضمن معايير الخصوصية لشركة MSD في جميع الأنشطة والعمليات والتقنيات والعلاقات مع الطرف الثالث التي تستخدم المعلومات الشخصية. نحن نصمم ضوابط الخصوصية في العمليات والتقنيات التي تتوافق مع قيم ومعايير الخصوصية لدينا والقانون المعمول به. تلخص مبادئ الخصوصية الثمانية لدينا والموضحة أدناه معايير الخصوصية والمتطلبات الأساسية للعمليات والأنشطة والتقنيات الداعمة لها على مستوى عالٍ.

   مبدأ الخصوصية	التزاماتنا الأساسية
   1. الضرورة – نقوم بتعريف وتوثيق أغراض تجارية محددة ومشروعة تكون مطلوبة قبل جمع المعلومات الشخصية واستخدامها أو مشاركتها.	نحن نحدد ونوثق المدة التي نحتاج فيها للمعلومات الشخصية لتلك الأغراض التجارية المحددة والمتطلبات القانونية المعمول بها. نحن لا نجمع معلومات شخصية أكثر من تلك المطلوبة، ولا نستخدمها أو نتبادلها أو نحتفظ بها أكثر مما يلزم لتلك الأغراض التجارية المحددة والمتطلبات القانونية المعمول بها. نقوم بحذف البيانات عندما تحتم متطلبات العمل الاحتفاظ بالمعلومات حول النشاط أو العملية لفترة أطول من الزمن. ونضمن دمج مُتطلبات الضرورة هذه في أي تقنية داعمة، وأن يُبلغ بها الجهات الخارجية التي تدعم النشاط، أو العملية.
   2. الإنصاف – لا نستخدم المعلومات الشخصية المتعلقة بالأشخاص بطرق غير منصفة لهم.	نحدد ما إذا كان الجمع المقترح للمعلومات حول الأشخاص والاستخدام أو المعالجة الأخرى لتلك المعلومات يمثل خطر حدوث ضررا محتملا أو ضررا شديدا سواء كان ضررا ماديا أو غير مادي على الأفراد وفقًا لقيم منع الضرر عن الخصوصية الخاص بشركتنا. إذا كانت طبيعة البيانات أو أنواع الأشخاص أو النشاط تمثل خطر حدوث ضرر مادي أو غير مادي محتمل أو مؤكد للأفراد، فيجب التأكد من أن خطر حدوث الضرر تفوقه فائدة تعود على هؤلاء الأفراد أو على مهمة شركتنا المتمثلة في إنقاذ حياة الأشخاص وتحسينها، وأن يتم التخفيف من هذا الخطر عن طريق الإجراءات والضمانات والآليات التي قد وضعتها شركتنا. عندما يبدو أن المخاطر تفوق الفوائد التي تعود على الأفراد، نقوم بتطبيق تدابير الأمن والحماية الأكثر صلة، وإبلاغ الأفراد بهذه الحقيقة ونطلب مشورة السلطة التنظيمية المختصة عندما يكون ذلك ممكنًا. نحن نستخدم المعلومات الحساسة أو المعلومات الشخصية فقط بعد الحصول على موافقة صريحة من الأفراد، كما هو مطلوب صراحة أو مسموح به صراحة بموجب القانون المعمول به، عندما يبدو أن المخاطر تفوق الفوائد التي تعود على الأفراد، نقوم بتوثيق تحليل المخاطر وتصميم أي آليات مطلوبة لتقليل المخاطر قدر الإمكان.
   3. الشفافية – لا نقوم بمعالجة المعلومات الشخصية بطرق أو لأغراض غير شفافة.	يحق لجميع الأفراد الذين تتم معالجة معلوماتهم الشخصية بموجب هذه السياسة الحصول على نسخة من هذه السياسة. سنقوم بتوفير نُسخ من هذه السياسة عبر الإنترنت على https://www.msdprivacy.com/index.html. سيوفر مكتب الخصوصية العالمي نسخًا إلكترونية و/أو نسخًا ورقية من هذه السياسة عند الطلب إلى العناوين المدرجة أدناه. عندما يتم جمع المعلومات الشخصية مباشرة من الأفراد, نقوم بإبلاغهم قبل جمع المعلومات ومن خلال إشعار خصوصية واضح وصريح يمكن الوصول إليه بسهولة أو وسائل مشابهة، بـ (1) كيان الشركة أو الكيانات المسؤولة عن المعالجة، (2) تفاصيل الاتصال بمسؤول الخصوصية الرئيسي و/أو مسؤول خصوصية البيانات الإقليمي/المحلي، (3) ماهية المعلومات التي سيتم جمعها، (4) الأغراض التي سيتم استخدامها من أجله، (5) الأساس القانوني لمعالجتنا، (6) مع من سيتم مشاركتها، ، بما في ذلك أي متطلبات للكشف عن المعلومات الشخصية استجابة للطلبات القانونية من السلطات الحكومية،(‏7) ما إذا كنا سننقل المعلومات الشخصية إلى دول أخرى وكيفية نقلها، بما في ذلك دول ذات الصلة، حيثما كان ذلك ممكنًا (8) إلى متى سيتم الاحتفاظ بها أو المعايير التي نقرر بها ذلك القرار، (9) كيف يمكنهم طرح سؤال أو إثارة مخاوف أو ممارسة حقوقهم المتعلقة بمعلوماتهم الشخصية، (10) كيف يمكنهم سحب أي موافقة قد قدموها، (11) حقهم في تقديم شكوى لدى سلطة إشرافية، (12) أي التزام بتقديم معلومات شخصية وعواقب عدم القيام بذلك، (13) أي عملية صنع قرارات آلية، بما في ذلك التصنيف، سنقوم بتنفيذها، و(14) رابط موقع إلى هذه السياسة، حيثما كان ذلك ممكنًا ومناسبًا. تتوفر إشعارات الخصوصية الشاملة الخاصة بنا للعديد من أصحاب المصلحة عبر الإنترنت على http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html عندما يتم الحصول على معلومات شخصية من خلال المراقبة أو أجهزة الاستشعار أو الوسائل الأخرى غير المباشرة،، قد لا يكون من الممكن تقديم إشعار خصوصية مباشرة للفرد في وقت جمع المعلومات. في مثل هذه الحالات، نضمن الشفافية للفرد من خلال وسائل أخرى، مثل نشرها أو طباعتها على الجهاز أو المواد المرتبطة بالجهاز الذي سيحصل على المعلومات. عندما يتم جمع معلومات شخصية عن طريق موقع ويب أو تطبيق جوال أو أي تطبيق أو مورد آخر عبر الإنترنت, نحن نطبق المعايير الخاصة بالتكنولوجيا الواردة في سياسة الخصوصية عبر الإنترنت والتزام خصوصية ملفات تعريف الارتباط لدينا لضمان تلبية متطلبات الشفافية وفقًا لهذه السياسة. عندما يتم جمع معلومات عن الأشخاص من مصادر أخرى وليس بناءً على توجيه من شركة MSD على وجه التحديد يتحققكتابيًا، قبل الحصول على المعلومات، من أن مقدم المعلومات قد أبلغ الأفراد بالطرق والأغراض التي تعتزم من أجلها شركتنا استخدام المعلومات. إذا تعذر الحصول على المصادقة المكتوبة من مقدم المعلومات، استخدم معلومات المجردة فقط، الشخصية، أو أبلغ الأفراد المتضررين، قبل استخدام المعلومات من خلال إشعار خصوصية أو وسائل مشابهة، من (1) اسم شركة أو شركات MSD المسؤولة عن معالجة المعلومات، (2) بيانات الاتصال بالمسؤول الرئيسي عن الخصوصية و/ أو مسؤول حماية البيانات الإقليمي/ المحلي، (3) ما هي المعلومات التي تنوي شركتنا استخدامها، (4) الأغراض التي من أجلها تنوي شركتنا استخدامها للمعلومات، (5) الأساس القانوني لمعالجة البيانات من قبل شركتنا، (6) مع من ستتبادل شركتنا البيانات، (7) ما إذا كانت شركتنا ستنقل المعلومات الشخصية إلى بلدان أخرى وكيف ذلك، بما في ذلك البلدان ذات الصلة، حيثما كان ذلك ممكنًا (8) المدة التي تخطط MSD للاحتفاظ بها أو المعايير التي تقرر بها شركتنا ذلك القرار، (9) كيف يمكنهم طرح سؤال أو إثارة مخاوف أو ممارسة حقوقهم المتعلقة بمعلوماتهم الشخصية، (10) كيف يمكنهم سحب أي موافقة قد قدموها، (11) حقهم في تقديم شكوى لدى سلطة إشرافية، (12) أي التزام بتقديم معلومات شخصية وعواقب عدم القيام بذلك، (13) أي قرارات الكترونية، بما في ذلك تحديد الأنماط، ستنفذها شركتنا، و(14) وروابط إلى أي سياسات عن الخصوصية أو بيانات الخصوصية المعمول بها لدى شركتنا والتي تظهر خارجيًا، حيثما كان ذلك ممكنًا ومناسبًا. التأكد من أن آليات الشفافية الضرورية، بما في ذلك الآليات التي تدعم حق الفرد، مدموجة في تكنولوجيا الدعم، كلما أمكن، وأن الشركات الأخرى التي تدعم النشاط أو العملية لا تستخدم المعلومات عن الأشخاص بطرق تخالف ما قد تم به إبلاغ الأفراد من خلال إشعار الخصوصية أو وسائل أخرى يمكن التحقق من صحتها تفيد بأن شركتنا والآخرون الذين يعملون لأجل شركتنا سوف يتعاملون مع المعلومات. عندما نسعى للحصول على الموافقة، نحصل على أدلة الموافقة ونوثقها في تقنياتنا الداعمة.
   4. تقييد الغرض – نحن نستخدم المعلومات الشخصية فقط وفقًا لمبادئ الضرورة والشفافية.	إذا تم تحديد أغراض تجارية مشروعة جديدة للمعلومات الشخصية التي تم جمعها من قبل، فإننا إما أن نحصل على موافقة الفرد للاستخدام الجديد للمعلومات الشخصية، أو نضمن أن الغرض التجاري الجديد متوافق مع، بما في ذلك الأغراض المماثلة من الناحية المادية، الأغراض الموصوفة في إشعار الخصوصية أو آلية الشفافية الأخرى التي سبق تقديمها للفرد. سنحدد التوافق على أساس (1) أي ارتباط بين الأغراض الأصلية والغرض الجديد المقترح، (2) التوقعات المعقولة للفرد، (3) طبيعة المعلومات الشخصية، (4) عواقب المعالجة الإضافية للفرد، و(5) الضمانات التي وضعتها. نحن لا نطبق هذا المبدأ على المعلومات مجهولة المصدر أو حيثما نستخدم المعلومات الشخصية فقط لأغراض البحث العلمي والتاريخي و(1) إذا ما قررت لجنة مراجعة الأخلاقيات، أو المراجع المختص الآخر أن خطورة هذا الاستخدام على الخصوصية والحقوق الأخرى للأفراد مقبولة، (2) ولقد وضعنا ضمانات مناسبة لضمان تقليل البيانات إلى الحد الأدنى، (3) والبيانات الشخصية تُعطى اسمًا مستعارًا و(4) يتم احترام جميع القوانين الأخرى المعمول بها. نحن نضمن أن قيود تقييد الغرض مصممة لأي تقنية داعمة، بما في ذلك أي قدرات الإبلاغ والمشاركة النهائية للبيانات.
   5. جودة البيانات – نحافظ على المعلومات الشخصية دقيقة وكاملة وحديثة بما يتفق مع الاستخدام المقصود.	ونضمن تصميم آليات مُراجعة البيانات الدورية في التقنيات الداعمة من أجل التحقق من صحة دقة البيانات بناءً على أنظمة المصدر والمراحل النهائية. نضمن التحقق من صحة دقة المعلومات الحسّاسة وحداثتها قبل استِخدامها، أو تقييمها، أو تحليلها، أو إعداد تقارير عنها، أو المُعالجة الأُخرى التي تُشكل خطر عدم إنصاف على الناس في حالة استِخدام بيانات غير دقيقة، أو قديمة. عندما يتم إجراء تغييرات على المعلومات الشخصية من قبل شركتنا أو أطراف ثالثة تعمل لصالح شركتنا، فإننا نتأكد من إرسال هذه التغييرات إلى الأفراد المعنيين في الوقت المناسب عندما يكون ذلك ممكنًا بشكل معقول.
   6. الأمن – ننفذ ضمانات لحماية المعلومات الشخصية والمعلومات الحساسة من الفقدان وسوء الاستخدام والوصول غير المصرح به أو الكشف أو التغيير أو الإتلاف.	لقد قمنا بتنفيذ برنامج شامل لأمن المعلومات ونطبق ضوابط الأمن التي تستند إلى حساسية المعلومات ومستوى مخاطر النشاط، مع الأخذ في الاعتبار لأفضل الممارسات التكنولوجية الحالية وتكلفة التنفيذ. تتضمن سياسات الأمان الوظيفية التي ننتهجها، على سبيل المثال لا الحصر، معايير بشأن استمرارية الأعمال، والتعافي من الكوارث، والتشفير، وإِدارة الهوية والوصول، وتصنيف المعلومات، وإِدارة حوادث أمن المعلومات، والتحكم في الوصول إلى الشبكة، والأمن المادي، وإِدارة المخاطر.
   7. نقل البيانات – نحن مسؤولون عن حماية الخصوصية للمعلومات الشخصية والحفاظ عليها عندما يتم نقلها إلى أو من منظمات أخرى أو عبر حدود البلدان.	(1) نقوم بنقل المعلومات الشخصية داخل شركتنا إذا تم استيفاء المتطلبات التالية: (1) المشاركة ضرورية لتحقيق الغرض الذي تم من أجله جمع المعلومات الشخصية في الأصل أو أي مصلحة مشروعة أخرى للشركة، و(2) الغرض الذي ستتم مشاركتها من أجله، وحقيقة أنه سيتم مشاركتها، يتوافق مع إشعار الخصوصية أو آلية الشفافية الأخرى التي تم تقديمها سابقًا للفرد في وقت جمع المعلومات الشخصية في الأصل وتم إعطاء الشخص موافقته عند الضرورة. (3) حيثما تعمل إحدى الشركات التابعة لشركتنا فقط نيابة عن شركة أخرى تابعة لشركتنا في معالجة المعلومات الشخصية، (4) حيثما يقتضي القانون، ستقوم هذه الشركات التابعة لشركتنا بتنفيذ اتفاقية معالجة البيانات الداخلية وفقًا للمبدأ 8 من هذه السياسة. (5) عندما تتطلب البنية التحتية لتكنولوجيا المعلومات مثل هذا النقل، بشرط أن تكون جميع التدابير الأمنية والتنظيمية المناسبة في مكانها الصحيح لجعل هذا النقل متوافقًا. . (2) ننقل فقط المعلومات الشخصية إلى أو نسمح بمعالجتها من قبل أطراف ثالثة إذا تم استيفاء المتطلبات التالية ونتحمل مسؤولية ضمان تلبية الطرف الثالث الذي نتعامل معه لهذه المتطلبات: إذا كان دور الطرف الثالث هو معالجة المعلومات الشخصية لصالح أو نيابة عن شركتنا، ، قبل تقديم المعلومات الشخصية إلى الطرف الثالث أو إشراك الطرف الثالث، فإننا: (1) نستكمل العناية الواجبة على الخصوصية لتقييم ممارسات الخصوصية والمخاطر المرتبطة بهذه الأطراف الثالثة، (2) الحصول على ضمانات تعاقدية من هذه الأطراف الثالثة بأنهم سيقومون بمعالجة المعلومات الشخصية وفقًا لتعليمات شركتنا فقط، ووفقًا لهذه السياسة، بما في ذلك على سبيل المثال لا الحصر، جميع مبادئ الخصوصية الثمانية والمعايير الأخرى المنصوص عليها في هذه السياسة والقوانين المعمول بها، والتي ستقوم بإخطار شركتنا على الفور بأي حادث خصوصية، بما في ذلك عدم القدرة على الامتثال للمعايير المنصوص عليها في هذه السياسة والقوانين المعمول بها، أو حادث أمني، والتعاون في معالجة أي حادث موثق على وجه السرعة والنظر في الحقوق الفردية المنصوص عليها في القسم 2 أدناه، بأنهم لن يشركوا شركة أخرى لمعالجة المعلومات الشخصية دون تصريح كتابي منا ودون إبرام اتفاقية تفرض التزامات مكافئة لحماية البيانات، وأنهم سوف يقومون بحذف أو إعادة جميع المعلومات الشخصية إلينا بعد الانتهاء من تقديم الخدمات لنا أو بناءً على طلبنا، وأنهم سوف يسمحون لشركتنا بمراجعة ومراقبة ممارساتهم طوال مدة المعالجة للامتثال لهذه المتطلبات. بالإضافة إلى ذلك، إذا قام الطرف الثالث بمعالجة المعلومات الشخصية التي تنشأ في بلد أو إقليم مع قانون يقيد نقل المعلومات الشخصية، فسوف نضمن أن نقل المعلومات إلى الطرف الثالث يفي بمتطلبات نقل البيانات عبر الحدود الموضحة في (3) أدناه. إذا كان دور الطرف الثالث هو توفير المعلومات الشخصية لشركتنا، قبل الحصول على المعلومات الشخصية من الطرف الثالث، نحن نضمن تلبية متطلبات الشفافية الخاصة بجمع المعلومات الشخصية من مصادر أخرى وليس بناءً على توجيه شركتنا على وجه التحديد، ونحصل على إقرارات تعاقدية من الطرف الثالث بأنها لا تنتهك أي قانون أو حقوق أي طرف ثالث عن طريق توفير المعلومات الشخصية لشركتنا. إذا كان دور الطرف الثالث هو الحصول على المعلومات من شركتنا للمعالجة التي ليست بناءً على توجيه من شركتنا على وجه التحديد، قبل تقديم المعلومات إلى الطرف الثالث، نحن نضمن أن المعلومات قد كانت مجهولة المصدر، ونحصل على تأكيدات مكتوبة من الطرف الثالث أنه لن يستخدمها إلا للأغراض التجارية المحددة في الاتفاقية ووفقًا للقوانين المعمول بها، وأنه لن يحاول إعادة تعريف المعلومات. إذا كان النقل إلى طرف الثالث مطلوبًا لحماية المصالح الشخصية المشروعة للفرد أو حماية تلك المصالح للشركة، يجوز لنا نقل المعلومات: (1) لأغراض منع الاحتيال أو إنفاذ أو حماية حقوق وممتلكات الشركة، (2) لحماية السلامة الشخصية لموظفينا أو أطراف ثالثة على ممتلكاتنا، و(3) لحماية أصولنا من خلال اتخاذ تدابير أمنية تصحيحية إذا ساورنا شك مبرر أن نشاطًا غير قانوني أو سوء سلوك جسيم قد حدث. إذا كان الطرف الثالث هو هدف للاستحواذ أو حصة مسيطرة من قبل شركتنا،‏ (1) قبل إبرام اتفاقية للاستحواذ على الطرف الثالث أو الاستحواذ على الحصة المسيطرة من الطرف الثالث، فإننا نكمل الحرص الواجب المتعلق بالخصوصية لتقييم ممارسات الخصوصية والمخاطر المرتبطة بالاستحواذ على الطرف الثالث أو الاستحواذ على الحصة المسيطرة في ذلك الطرف الثالث. إذا كان دور الطرف الثالث هو الاستحواذ على كل أو جزء من أعمال شركتنا، قبل مشاركة أي معلومات شخصية تتعلق بتصفية أي جزء من أعمال شركتنا، نحن نبرم اتفاقية نقل البيانات التي تحدد الشروط والأحكام التي بموجبها قد يتم الكشف عن المعلومات الشخصية للمشتري، بما في ذلك القيود المناسبة فيما يتعلق بالاستخدامات المسموح بها للمعلومات الشخصية والامتثال للمعيار المنصوص عليه في هذه السياسة والقانون المعمول به، (2) مراجعة جميع عناصر البيانات حول الأشخاص قبل مشاركة المعلومات لتقييم متطلبات المشاركة، (3) الحصول على موافقة لمشاركة المعلومات الشخصية أو المعلومات الحساسة وفقًا لمبادئ الشفافية ومبادئ تقييد الغرض من هذه السياسة، و(4) مطالبة الطرف الثالث بإبلاغ شركتنا على الفور بأي حادث متعلق بالخصوصية القابلة للتطبيق، بما في ذلك عدم القدرة على الامتثال للمعايير المنصوص عليها في هذه السياسة والقوانين المعمول بها، والتعاون على الفور لعلاج أي حادث موثق أو التوقف عن معالجة المعلومات الشخصية ذات الصلة. (‏3)‏ نقوم بنقل المعلومات الشخصية عبر حدود الدول، بما في ذلك إلى الولايات المتحدة الأمريكية، بواسطة أو بالنيابة عن شركتنا وفقًا لهذه السياسة. سنطبق هذه السياسة على عمليات نقل المعلومات الشخصية من أي بلد أو إقليم آخر بقانون يقيد نقل المعلومات الشخصية، بالإضافة إلى الالتزام بأي متطلبات تفرضها هذه القوانين (بما في ذلك استخدام أي آليات مطلوبة لعمليات النقل عبر الحدود إلى البلدان التي ليس لديها نفس معايير حماية البيانات من بلد المنشأ.
   8. مسموح قانونًا – نقوم بمعالجة المعلومات الشخصية فقط إذا تم استيفاء متطلبات القوانين المعمول بها.	في حين أن مبادئ الخصوصية السبعة الأخرى، بالإضافة إلى متطلبات حقوق الأفراد الموضحة أدناه، تهدف إلى ضمان تلبية متطلبات معظم قوانين حماية الخصوصية وحماية البيانات التي تنطبق على أعمالنا في جميع أنحاء العالم، في بعض البلدان، نحتاج إلى تلبية متطلبات إضافية، بما في ذلك على سبيل المثال لا الحصر ما يلي: 1) عند الاقتضاء، سنحصل على أشكال محددة من الموافقة على معالجة معينة للمعلومات الشخصية، بما في ذلك على سبيل المثال لا الحصر، الموافقة على المعالجة من قبل مجالس العمل والنقابات العمالية الأخرى؛ 2) عند الاقتضاء، سوف نسجل معالجة المعلومات الشخصية مع أو نحصل على موافقة السلطة التنظيمية للخصوصية أو حماية البيانات المعمول بها؛ 3) عند الاقتضاء، سنوفر حقوقًا أوسع (على سبيل المثال، إمكانية الوصول والتصحيح) غير المنصوص عليها في هذه السياسة؛ 4) عند الاقتضاء، سنقنن كذلك فترات الاحتفاظ بالبيانات للمعلومات الشخصية 5) وعند الاقتضاء، سنبرم اتفاقيات تتضمن بنود تعاقدية محددة، بما في ذلك اتفاقيات لنقل البيانات عبر الحدود إلى أطراف ثالثة. 6) عند الاقتضاء، سوف نفصح عن المعلومات الشخصية استجابةً لطلبات قانونية من قبل السلطات العامة، بما في ذلك الوفاء بمتطلبات الأمن الوطني أو متطلبات إنفاذ القانون. في حالة وجود تعارض بين هذه السياسة والقانون المعمول به، فإنه سوف يسود المعيار الذي يوفر حماية أكبر للأفراد.

2. سننظر على الفور في طلبات الحقوق المتعلقة بالأفراد للوصول إلى المعلومات الشخصية وتعديلها وتصحيحها أو حذفها، أو الاعتراض على معالجة المعلومات الشخصية المتعلقة بهم، أو ممارسة حقوق أخرى بخصوص معلوماتهم الشخصية.
   1. إمكانية الوصول والتصحيح والحذف والحقوق الأخرى – القوانين المعمول بها في معظم الدول التي نعمل فيها، يحق للأفراد الوصول إلى المعلومات الشخصية الخاصة بهم، وتعديل وتصحيح أو حذف المعلومات الشخصية غير الدقيقة أو غير المكتملة أو القديمة. سنحترم جميع الطلبات للوصول إلى المعلومات الشخصية وتصحيحها وحذفها من جميع الأفراد وفقًا للقسم 3أ أدناه. إذا كان طلب إمكانية الوصول، التصحيح أو الحذف يخضع إلى قانون معمول به يوفر حماية أكبر للأفراد، فسوف نضمن استيفاء المتطلبات الإضافية لهذا القانون.

      في بعض الدول، قد يكون من حق الأفراد الحصول على حقوق أخرى فيما يتعلق بالمعلومات الشخصية عن أنفسهم، مثل الحق في تقييد المعالجة، والاعتراض على المعالجة (انظر أيضًا القسم 2ب أدناه)، ونقل بياناتهم إلى مزود خدمة آخر. سنحترم ممارسة حقوق البيانات وفقًا للقوانين المعمول بها. قد تكون بعض الحقوق، مثل الحذف، مقيدة وفقًا للمتطلبات التنظيمية الأخرى أو ضرورة الامتثال لتقارير الامتثال المحلية، في هذه الحالة سنبلغك بهذه القيود حسب الاقتضاء.

   2. الاختيار – تماشيًا مع قيم الخصوصية لدينا ”الاحترام“ و”الثقة“، فإننا نحترم الطلبات الفردية للاعتراض على معالجة المعلومات الشخصية، بما في ذلك، على سبيل المثال لا الحصر، إلغاء الاشتراك في البرامج أو الأنشطة التي وافقوا مسبقًا على المشاركة فيها، معالجة المعلومات الشخصية عنهم من أجل الاتصالات التسويقية المباشرة، والاتصالات التي تستهدفهم استنادًا إلى معلومات شخصية عنهم، وأي تقييم أو قرارات بشأنهم، والتي من المحتمل أن تؤثر عليهم بشكل كبير، وذلك باستخدام التشغيل الآلي أو الخوارزميات.
      1. باستثناء الحالات التي يحظرها القانون، قد نرفض الاختيار عندما يعيق طلب الاختيار الخاص شركتنا في قدرتها على: (1) الامتثال لقانون أو التزام أخلاقي، بما في ذلك حيثما يُطلب منا الإفصاح عن المعلومات الشخصية استجابةً للطلبات القانونية من السلطات العامة، بما في ذلك تلبية متطلبات الأمن القومي أو متطلبات إنفاذ القانون، (2) التحقيق في المطالبات القانونية أو تقديمها أو الدفاع عنها، و(3) تنفيذ العقود وإدارة العلاقات أو المشاركة في الأنشطة التجارية المسموح بها الأخرى التي تتسق مع مبادئ تقييد الشفافية ومبادئ تقييد الغرض المبرمة استنادًا على المعلومات حول الأشخاص المعنيين. في غضون خمسة عشر يوم عمل من أي قرار لرفض طلب الاختيار وفقًا لهذه السياسة، سنقوم بتوثيق القرار وإبلاغه إلى مقدم الطلب.
3. سنرد على الفور على جميع الأسئلة، الشكاوى والمخاوف المتعلقة بالخصوصية وتصعيدها وأي حادث خصوصية محتمل أو حادث أمني.
   1. يمكن لأي فرد نعالج بشأنه معلومات شخصية في نطاق هذه السياسة أن يثير سؤالًا أو شكوى أو قلقًا لشركتنا في أي وقت، بما في ذلك طلب للحصول على قائمة بجميع الشركات التابعة لشركتنا التي تخضع لهذه السياسة. نتوقع أن يقدم موظفونا والأخرون الذين يعملون نيابة عن شركتنا إشعارًا فوريًا إذا كان لديهم سبب للاعتقاد بأن القانون المعمول به قد يمنعهم من الالتزام بهذه السياسة. يجب توجيه أي سؤال أو شكوى أو قلق يثيره فرد، أو أي إشعار يقدمه موظف أو أي شخص آخر يعمل بالنيابة عن شركتنا، إلى مكتب الخصوصية العالمي:
      1. عن طريق البريد الإلكتروني بالنسبة للأشخاص المقيمين في المنطقة الاقتصادية الأوروبية (EEA) إلى: euprivacydpo@msd.com
      2. خلاف ذلك، عن طريق البريد الإلكتروني إلى: msd_privacy_office@msd.com
      3. عن طريق البريد العادي إلى: مكتب الخصوصية، Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales,، بنسلفانيا، الولايات المتحدة الأمريكية 19454.
   2. يتعين على الموظفين والمقاولين إبلاغ مكتب الخصوصية العالمي على وجه السرعة، أو وكيل الخصوصية المخصص لمنطقتهم الأعمال الخاصة بهم، بأي أسئلة أو شكاوى أو مخاوف تتعلق بممارسات الخصوصية الخاصة بشركتنا.
   3. سيقوم مكتب الخصوصية العالمي بمراجعة وتحقيق أو التعاون مع مكتب الأخلاقيات و/أو الامتثال القانوني لبحث جميع الأسئلة، والشكاوى أو المخاوف المتعلقة بممارسات الخصوصية الخاصة بشركتنا، سواء تم استلامها مباشرة من الموظفين أو الأفراد الآخرين أو من خلال أطراف ثالثة، بما في ذلك، على سبيل المثال لا الحصر، الهيئات التنظيمية ووكلاء المساءلة والسلطات الحكومية الأخرى. سنقوم بالرد على الفرد أو الكيان الذي أثار السؤال، الشكوى أو قدم ما يساوره من شواغل لشركتنا في غضون ثلاثين (30) يومًا تقويميًا ما لم يتطلب القانون أو مقدم الطلب لدى الطرف الثالث ردًا في فترة زمنية أقصر أو ما لم تكن هناك ظروف، مثل إجراء تحقيق حكومي متزامن، يتطلب فترة زمنية أطول، وفي هذه الحالة، سيتم إبلاغ مقدم الطلب سواء الفرد أو الطرف الثالث كتابيًا في أقرب وقت ممكن عمليًا تبعًا للطبيعة العامة للظروف التي تسهم في التأخير.
   4. سيتعاون مكتب الخصوصية العالمي، بالتنسيق مع المكتب القانوني والامتثال، في الرد على أي استفسار، تفتيش أو تحقيق يتعلق بخصوصية سلطة تنظيمية.
   5. بالنسبة للشكاوى التي لا يمكن حلها بين شركتنا والفرد الذي رفع الشكوى، فقد وافقت شركتنا على المشاركة في إجراءات تسوية النزاعات التالية في التحقيق وحل الشكاوى لتسوية النزاعات وفقًا لهذه السياسة، ومع ذلك، في أي وقت، الأفراد المقيمين في المنطقة الاقتصادية الأوروبية أو الأفراد الذين تخضع بشأنهم المعلومات الشخصية لقانون حماية البيانات في المنطقة الاقتصادية الأوروبية وتُنقل خارج المنطقة الاقتصادية الأوروبية، قد يعتمدون أيضًا على معيار 3 أدناه:
      1. بالنسبة للمنازعات التي تنطوي على نقل المعلومات الشخصية المتعلقة بأنشطة الموارد البشرية في إطار علاقة توظيف من المنطقة الاقتصادية الأوروبية والمملكة المتحدة إلى الولايات المتحدة الأمريكية، تلتزم شركتنا بالتعاون مع الفريق المناسب في هيئة حماية البيانات للاتحاد الأوروبي والمملكة المتحدة.
      2. بالنسبة للنزاعات التي تنطوي على نقل المعلومات الشخصية المتعلقة بأنشطة الموارد البشرية في سياق علاقة عمل من سويسرا إلى الولايات المتحدة الأمريكية، تلتزم شركتنا بالتعاون مع FDPIC السويسري.
      3. بالنسبة إلى النزاعات التي تتضمن نقل المعلومات الشخصية بموجب امتثال شركتنا بالقواعد العامة للخصوصية عبر الحدود ‏ (“CBPRs”) الخاصة بمنتدى التعاون الاقتصادي لدول آسيا والمحيط الهادئ (‏”APEC“) بين اقتصادات APEC، فقد وافقت شركتنا على تسوية النزاع بواسطة وكيل المساءلة،BBB National Programs. لمزيد من المعلومات حول نطاق مشاركتنا، أو لأجل إرسال استعلام عن الخصوصية من خلال BBB National Programs، يرجى النقر فوق الختم الرسمي الموجود في أسفل هذه الصفحة.
      4. بالنسبة إلى النزاعات التي تتضمن نقل المعلومات الشخصية المرتبطة بالموارد غير البشرية بموجب امتثال شركتنا للبرنامج بين الاتحاد الأوروبي والولايات المتحدة والمعروف باسم برنامج إطار خصوصية البيانات (DPF)، وملحق المملكة المتحدة لإطار عمل خصوصية البيانات (DPF) في المملكة المتحدة، وبرنامج إطار عمل خصوصية البيانات، فقد وافقت شركتنا على تسوية هذه النزاعات (مجانًا) من قبل آلية مستقلة، خدمات إطار عمل خصوصية البيانات، المشغلة بواسطة BBB National Programs. إذا لم تتلقَ إقرارًا بشكواك في الوقت المناسب، أو إذا لم تتم معالجة شكواك بشكل مرضٍ، فيرجى زيارة https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers للحصول على المزيد من المعلومات وتقديم شكوى.
      5. في حال عدم التوصل الى تسوية النزاعات التي تظهر بموجب البرنامج الأوروبي الأمريكي المعروف باسم برنامج إطار خصوصية البيانات (DPF)، وملحق المملكة المتحدة لإطار عمل خصوصية البيانات (DPF) في المملكة المتحدة، وبرنامج إطار عمل خصوصية البيانات التي لم يتم حلها من خلال الخطوات الموضحة في هذا القسم، في ظل ظروف معينة، يجوز للأفراد اللجوء إلى التحكيم الملزم لبعض المطالبات المتبقية التي لم يتم حلها بواسطة آليات الإنصاف الأخرى. راجع https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2.
   6. جميع الأفراد المقيمين في المنطقة الاقتصادية الأوروبية، أو الأفراد الذين تخضع بشأنهم المعلومات الشخصية لقانون حماية البيانات في المنطقة الاقتصادية الأوروبية وتُنقل خارج المنطقة الاقتصادية الأوروبية، والذين تتم معالجة المعلومات الخاصة بهم وفقًا لهذه السياسة يحق لهم بموجب هذه السياسة، في أي وقت، إنفاذ متطلبات هذه السياسة كأطراف ثالثة مستفيدين، بما في ذلك الحق في رفع دعوى قضائية للحصول على تعويضات عن انتهاك حقوقهم بموجب هذه السياسة (كما هو موضح في القسم 2 أعلاه) والحق في الحصول على تعويض عن الأضرار الناتجة عن هذا الخرق. الأفراد المقيمين في المنطقة الاقتصادية الأوروبية أو الأفراد الذين تخضع بشأنهم المعلومات الشخصية لقانون حماية البيانات في المنطقة الاقتصادية الأوروبية وتُنقل خارج المنطقة الاقتصادية الأوروبية (توخيًا للوضوح، بما في ذلك إلى الولايات المتحدة الأمريكية)، يمكنهم رفع دعوى أو تقديم شكوى بموجب هذه السياسة ضد الشركة الفرعية المسؤولة عن تصدير المعلومات الشخصية خارج المنطقة الاقتصادية الأوروبية: قبل:
      1. الاختصاص القضائي لجهة تصدير البيانات الموجود في المنطقة الاقتصادية الأوروبية، أو
      2. الاختصاص القضائي للبلد الذي يقع فيه مسؤول حماية البيانات الأوروبي الخاص بنا، أو
      3. سلطات حماية البيانات المختصة (خاصةً في الدولة العضو التابعة لمحل إقامته المعتاد أو مكان عمله أو مكان الانتهاك المزعوم)، أو
      4. سلطات حماية البيانات الرئيسية الخاصة بنا التي أصدرت تعليماتها إلى BCR: CNIL الفرنسية.
   7. ستقوم شركتنا بالرد على الفرد أو الكيان الذي أثار السؤال، وقدم الشكوى أو ساوره شواغل لشركتنا في غضون ثلاثين (30) يومًا تقويميًا ما لم يتطلب القانون أو مقدم الطلب لدى الطرف الثالث ردًا في فترة زمنية أقصر أو ما لم تكن هناك ظروف تتطلب فترة زمنية أطول، وفي هذه الحالة، سيتم إبلاغ مقدم الطلب سواء الفرد أو الطرف الثالث كتابيًا.
4. نحن مسؤولون عن التمسك بقيم ومعايير الخصوصية الخاصة بنا.
   1. بالتنسيق مع وبناءً على توجيه مكتب الخصوصية العالمي، يعتبر مسؤول حماية البيانات الأوروبي مسؤولًا عن ضمان اتخاذ الإجراءات اللازمة لمعالجة أي انتهاكات مزعومة لهذه السياسة من قبل شركات تابعة لشركتنا خارج المنطقة الاقتصادية الأوروبية التي تلحق الضرر بالأفراد المقيمين في المنطقة الاقتصادية الأوروبية أو الأفراد الذين تخضع بشأنهم المعلومات الشخصية لقانون حماية البيانات في المنطقة الاقتصادية الأوروبية وتُنقل خارج المنطقة الاقتصادية الأوروبية. عند الاقتضاء، تتحمل شركة ”Sharp & Dohme (Europe) Inc. & Merck“، فرع الولايات المتحدة-بلجيكا “MSD Europe” المسؤولية لدفع الغرامات أو العقوبات أو التعويض عن الأضرار بسبب انتهاكات هذه السياسة التي تلحق الضرر بالأفراد المقيمين في المنطقة الاقتصادية الأوروبية أو الأفراد الذين تخضع بشأنهم المعلومات الشخصية لقانون حماية البيانات في المنطقة الاقتصادية الأوروبية وتُنقل خارج من المنطقة الاقتصادية الأوروبية. وبدعم من مكتب الخصوصية العالمي والشركة التابعة لشركتنا خارج المنطقة الاقتصادية الأوروبية المسؤولة عن الانتهاك المزعوم، سيكون مسؤول حماية البيانات الأوروبي مسؤولًا عن إثبات أن شركتنا غير مسؤولة عن الانتهاك المزعوم. عندما تكون شركة تابعة أخرى لشركتنا مسؤولة عن دعوى تستلزم الغرامة أو العقوبة أو التعويض عن الأضرار، قد يُطلب من هذه الشركة الفرعية أن تعوض شركة MSD أوروبا فورًا عن أي مبلغ تدفعه شركة MSD أوروبا. إذا انتهكت إحدى الشركات التابعة لشركتنا خارج المنطقة الاقتصادية الأوروبية هذه السياسة، فإن المحاكم أو سلطات حماية البيانات في المنطقة الاقتصادية الأوروبية سيكون لها الاختصاص القضائي وسيحصل الشخص المتضرر على الحقوق والتعويضات ضد الشركة التابعة المسؤولة عن تصدير المعلومات الشخصية خارج المنطقة الاقتصادية الأوروبية كما هو موضح في القسم 3.و أعلاه.
   2. بالتنسيق مع وبناءً على توجيه مكتب الخصوصية العالمي، تعتبر شركة Merck Sharp & Dohme LLC مسؤولة عن ضمان اتخاذ الإجراءات اللازمة للنظر في أي انتهاكات مزعومة لهذه السياسة تلحق الضرر بالأفراد المقيمين خارج المنطقة الاقتصادية الأوروبية، وعند الاقتضاء، لدفع الغرامات أو العقوبات أو التعويض عن الأضرار بسبب انتهاكات هذه السياسة التي تلحق الضرر بالأفراد المقيمين خارج المنطقة الاقتصادية الأوروبية أو الأفراد الذين لا تخضع بشأنهم المعلومات الشخصية لقانون حماية البيانات في المنطقة الاقتصادية الأوروبية. عندما تكون شركة تابعة أخرى لشركتنا مسؤولة عن دعوى تستلزم الغرامة أو العقوبة أو التعويض عن الأضرار، قد يُطلب من هذه الشركة الفرعية أن تعوض شركة Merck Sharp & Dohme فورًا عن أي مبلغ تدفعه شركة Merck Sharp & Dohme LLC.

الإشراف والمراقبة

الخصوصية العالمي المختص وهو مسؤول حماية البيانات DPO المعين من الاتحاد الأوروبي، ومسؤولي حماية البيانات الخاصين بالدولة حيثما يقتضي القانون أو السلطات المحلية، ووكلاء الخصوصية، الذين يتم تعيينهم من قبل كبار القادة ويعملون كموظفين اتصال بين مكتب الخصوصية العالمي والمجالات التنظيمية التي يعملون فيها.

ستعتمد شركتنا على وكلاء مساءلة الخصوصية التي تتولى المسؤولية من خلالهم بموجب القوانين للتحقق دوريًا من امتثالها لمتطلبات هذه السياسة وهذه القوانين، بما في ذلك APEC CPBRs.

بالإضافة إلى تأكيد المراجعات التي يديرها مكتب الخصوصية العالمي التابع لشركة MSD، ستجري فرق التدقيق والتأكيد الداخلي والخارجي مراجعات الامتثال للتحقق من التزام شركة MSD بهذه السياسة، بما في ذلك أي سياسات وإجراءات ومعايير وإرشادات ملحقة بهذه السياسة. سيتم وضع خطط عمل تصحيحية ووقائية وتنفيذها لمعالجة الفجوات التي لاحظتها فرق التدقيق والتأكيد. سيتم إرسال نتائج برنامج التدقيق إلى كبير مسؤولي الخصوصية وإلى مجلس حماية الخصوصية والبيانات، المسؤول عن الإبلاغ عنها كما هو موضح في هذه السياسة.

يحق لسلطات الخصوصية وحماية البيانات الذين وافقوا على هذه السياسة أو الذين لديهم سلطة قضائية على ممارسات شركتنا بموجب هذه السياسة التحقق من التزامنا به. سوف نلتزم بنصائح السلطات المعنية هذه فيما يتعلق بتفسير وتطبيق هذه السياسة.

مصطلحات يتعين عليك معرفتها

• مجهولة المصدر. التغيير أو الاقتطاع أو الطمس أو أي تنقيح أو تعديل آخر للمعلومات الشخصية لجعلها مستبعدة الاستخدام بشكل نهائي للتعرف على أو تحديد مكان أو الاتصال بفرد، إما بمفرده أو بالاقتران مع معلومات أخرى.
• القانون. ميع القوانين والقواعد واللوائح والأوامر المعمول بها والتي لها قوة القانون في أي دولة تعمل فيه شركتنا أو التي تتم فيها معالجة المعلومات الشخصية بواسطة أو بالنيابة عن شركتنا. يتضمن ذلك جميع أطر الخصوصية التي تم بموجبها اعتماد شركتنا أو حصولها على شهادة، بما في ذلك قواعد الاتحاد الأوروبي الملزمة للشركات (“BCR”)، وقواعد الخصوصية عبر الحدود (“CBPRs”) لمنتدى التعاون الاقتصادي لدول آسيا والمحيط الهادئ (‏“APEC”)، والبرنامج الأوروبي الأمريكي المعروف باسم برنامج إطار خصوصية البيانات (DPF)، وملحق المملكة المتحدة لإطار عمل خصوصية البيانات (DPF) في المملكة المتحدة، وبرنامج إطار عمل خصوصية البيانات- بموجب صلاحيات التحقيق والإنفاذ التي تتمتع بها لجنة التجارة الفيدرالية الأمريكية.
• شركتنا. شركة Merck & Co. Rahway، NJ، الولايات المتحدة الأمريكية، وخلفاؤها، والشركات التابعة لها، والأقسام في جميع أنحاء العالم، باستثناء المشاريع المشتركة التي تكون شركتنا طرفًا فيها.
• المعلومات الشخصية. أي بيانات تتعلق بفرد مُحدد أو يُمكن تحديده، ويشمل ذلك البيانات المحددة لهوية أحد الأفراد أو التي يُمكن استِخدامها من أجل تحديد هوية فرد أو تحديد موقعه أو الاتصال به. تشمل المعلومات الشخصية كلاً من المعلومات القابلة للتحديد على نحو مُباشر، مثل الاسم، أو رقم التعريف، أو المسمى الوظيفي الفريد، والمعلومات القابلة للتحديد على نحو غير مُباشر مثل تاريخ الميلاد، ومعرّف الأجهزة المحمولة أو القابلة للارتداء الفريدة، ورقم الهاتف، فضلاً عن البيانات المُشفرة بالمفتاح، والمعرفات عبر الإنترنت مثل عناوين بروتوكول الإنترنت، أو أي أنشطة، أو سلوك، أو تفضيلات شخصية قد يتمّ جمعها من أجل تقديم الخدمات، أو المُنتجات.
• حادث الخصوصية. انتهاك هذه السياسة أو قانون حماية الخصوصية أو البيانات، ويتضمن حادثًا أمنيًا. تحديد ما إذا كان قد حدث حادث خصوصية وما إذا كان يجب أن يرفع إلى مستوى خرق البيانات الشخصية يجب أن يصدر عن مكتب الخصوصية العالمي، إدارة مخاطر تكنولوجيا المعلومات والأمن (ITRMS)، ومكتب المستشار القانوني العام.
• المُعالجة. أداء أي عملية أو مجموعة عمليات على المعلومات بشأن الأشخاص؛ سواء بالوسائل الآلية أم لا، ويشمل ذلك على سبيل المثال لا الحصر، التجميع، أو التسجيل، أو التنظيم، أو التخزين، أو الوصول، أو التكييف، أو التعديل، أو الاسترجاع، أو الاستشارة، أو الاستخدام، أو التقييم، أو التحليل، أو الإبلاغ، أو المُشاركة، أو الإفصاح، أو النشر، أو النقل، أو الإتاحة، أو الاتساق، أو الجمع، أو الحجب، أو الحذف، أو المحو، أو الإتلاف.
• خرق البيانات الشخصية. خرق للأمن الذي يؤدي إلى الإتلاف العرضي أو غير القانوني، الفقدان، التغيير، الإفصاح غير المصرح به أو إمكانية الوصول إلى المعلومات الشخصية أو اعتقاد شركتنا المعقول بالمثل. لا تشكل إمكانية الوصول إلى المعلومات الشخصية من قبل أو بالنيابة عن شركتنا بدون قصد انتهاك هذه السياسة خرقًا للبيانات الشخصية، شريطة أن يتم استخدام المعلومات الشخصية التي يتم الوصول إليها بشكل إضافي والكشف عنها وفقًا لما تسمح به هذه السياسة فقط.
• المعلومات الحسّاسة. أي نوع معلومات بشأن الأشخاص ينطوي على مخاطر مُتأصلة لإلحاق ضرر مُحتمل بالأفراد، ويشمل ذلك المعلومات التي يُحددها القانون على أنها حسّاسة، بما في ذلك على سبيل المثال لا الحصر، المعلومات ذات الصلة بالصحة، أو التركيب الوراثي، أو القياسات الحيوية، أو العرق، أو الأصل العرقي، أو الدين، أو الآراء أو المعتقدات السياسية أو الفلسفية، أو التاريخ الإجرامي، أو معلومات تحديد الموقع الجغرافي بدقة، أو أرقام الحسابات المصرفية أو الحسابات المالية الأُخرى، أو أرقام الهوية الصادرة عن الحكومة، أو الأطفال القصر، أو الحياة الجنسية، أو التوجه الجنسي، أو الانتماء النقابي، أو التأمين، أو الضمان الاجتماعي، أو الفوائد الصادرة عن الحكومة أو أصحاب الأعمال الآخرين.
• الطرف الثالث. أي كيان قانوني أو جمعية أو شخص لا يخضع لملكية شركتنا، أو الكيان الذي لا تمتلك الشركة فيه حصة مسيطرة، أو الشخص الذي لم يُوظف من قبل شركتنا. باستثناء ما هو منصوص عليه صراحةً في هذه السياسة، لن تكون هناك حاجة لأي شركة تابعة أو قسم في شركتنا الوفاء بمتطلبات طرف ثالث بموجب هذه السياسة حيث أن جميع الشركات التابعة أو الأقسام مطالبة بمعالجة المعلومات حول الأشخاص وفقًا لهذه السياسة، بما في ذلك الحالات التي تدعم فيها إحدى الشركات التابعة لشركتنا واحدة أو أكثر من الشركات التابعة لشركتنا في المعالجة.

التغييرات على هذه السياسة

يجوز تعديل هذه السياسة من وقت لآخر، بما يتفق مع متطلبات القانون المعمول به. سيتم نشر إشعار على صفحة ويب الخصوصية الخاصة بشركتنا (https://www.msdprivacy.com/) لمدة 60 يومًا عندما يتم تغيير هذه السياسة بطريقة مادية.