Chính sách Quy tắc Quyền riêng tư Xuyên biên giới Toàn cầu

Ngày phê duyệt: Ngày 1 tháng 5 năm 2022
Ngày hiệu lực: Ngày 1 tháng 5 năm 2022

Chúng ta nỗ lực hoạt động kinh doanh theo các giá trị quyền riêng tư của mình vì chúng ta tin rằng các giá trị đó thể hiện sự cam kết kiên định của chúng ta đối với thực hành đạo đức và có trách nhiệm. Chúng ta nhận thấy rằng sự đổi mới và công nghệ tiên tiến thúc đẩy sự thay đổi liên tục đối với các rủi ro, kỳ vọng và luật pháp, vì thế chúng ta tuân thủ các tiêu chuẩn trách nhiệm về quyền riêng tư, đồng thời nhằm mục đích điều chỉnh kịp thời cách chúng ta áp dụng chúng để đáp ứng với những thay đổi đó.

Chính sách này xác định các tiêu chuẩn toàn cầu của chúng ta trong quản lý và bảo vệ Thông tin Cá nhân của hoặc đại diện cho công ty chúng ta, trực tiếp hoặc gián tiếp phát sinh từ bất kỳ quốc gia nào trong Khu vực kinh tế châu Âu (European Economic Area, “EEA”), Thụy Sỹ hoặc từ các nền kinh tế thành viên Khối hợp tác Kinh tế Châu Á Thái Bình Dương (Asia Pacific Economic Cooperation, “APEC”) và được chuyển đến bất kỳ quốc gia nào khác, bao gồm những sự chuyển giao giữa EEA và APEC. Chính sách mô tả các cam kết cốt lõi của chúng ta hỗ trợ cho sự tuân thủ chứng nhận Quy tắc Quyền riêng tư Xuyên biên giới APEC, Quy tắc Ràng buộc Doanh nghiệp (Binding Corporate Rules, “BCR”) của chúng ta, đã được phê duyệt tại Liên minh Châu Âu, và chứng nhận của chính chúng ta đối với Khuôn khổ Bảo vệ Quyền riêng tư Châu Âu-Hoa Kỳ Chính sách này được áp dụng trong các hoạt động của chúng ta ở mọi quốc gia, cho mọi hoạt động liên quan đến thông tin về những người mà chúng ta tiếp xúc tại mọi công ty con và mọi bộ phận (bao gồm bất kỳ đơn vị kế nhiệm nào của doanh nghiệp chúng ta), bao gồm, nhưng không giới hạn trong các hoạt động nghiên cứu, sản xuất, thương mại, hỗ trợ doanh nghiệp của chúng ta cùng các dịch vụ và giải pháp chăm sóc sức khỏe và chuyển giao dữ liệu cần thiết để thực hiện các hoạt động đó, bao gồm, nhưng không giới hạn ở:

• Nghiên cứu và Sản xuất: đánh giá nhu cầu và cơ hội đổi mới trong y tế và sức khỏe; khởi xướng, quản lý và tài trợ cho các nghiên cứu khoa học; đánh giá và thu hút các nhà nghiên cứu, các thành viên ủy ban khoa học và đạo đức cùng với các đối tác kinh doanh để hỗ trợ các nghiên cứu khoa học của chúng ta và phát triển các sản phẩm của chúng ta; tuyển dụng nghiên cứu khoa học; đánh giá sự an toàn, hiệu quả và chất lượng của các sản phẩm nghiên cứu và tiếp thị của chúng ta; đáp ứng các nghĩa vụ về chất lượng sản phẩm và an toàn sản phẩm của chúng ta, bao gồm việc xử lý và báo cáo các sự kiện bất lợi cũng như khiếu nại về chất lượng sản phẩm; nộp đơn xin phê duyệt và đăng ký sản phẩm của chúng ta tới các cơ quan quản lý y tế; và tuân thủ các yêu cầu pháp lý, quy định hoặc đạo đức có liên quan;
• Thương mại: thực hiện đánh giá thị trường cho các sản phẩm của chúng ta; quảng cáo, tiếp thị, bán, phân phối và chuyển giao các sản phẩm của chúng ta; giao tiếp và thu hút các khách hàng là chuyên gia chăm sóc sức khỏe, người trả tiền cho dịch vụ chăm sóc sức khỏe, bệnh nhân và những người dùng cuối khác đối với các sản phẩm của chúng ta, cũng như người chăm sóc cho người sử dụng sản phẩm của chúng ta; tài trợ và tiến hành các sự kiện; đánh giá và thu hút các đối tác kinh doanh để hỗ trợ cho các hoạt động thương mại của chúng ta; và tuân thủ các yêu cầu pháp lý, quy định hoặc đạo đức có liên quan;
• Hỗ trợ Doanh nghiệp: tuyển dụng, thuê, quản lý, phát triển, giao tiếp và trả công cho nhân viên; quản lý lợi ích cho nhân viên và những người phụ thuộc vào họ; thực hiện đánh giá hiệu suất và tài năng của nhân viên; cung cấp đào tạo và các chương trình học tập và phát triển khác; thực thi các thủ tục kỷ luật và khiếu nại của nhân viên; quản lý các quan ngại đạo đức và quyền riêng tư và tiến hành điều tra; quản lý và bảo đảm an toàn cho các tài sản hữu hình và vô hình cũng như cơ sở hạ tầng của chúng ta; mua sắm và thanh toán cho hàng hóa và dịch vụ; đáp ứng các cam kết về môi trường, sức khỏe và an toàn và các cam kết trách nhiệm doanh nghiệp khác của chúng ta; thu hút các phương tiện truyền thông; và tuân thủ các yêu cầu pháp lý, quy định hoặc đạo đức có liên quan;
• Các dịch vụ và Giải pháp Chăm sóc sức khỏe: cải thiện giá trị chăm sóc cung cấp cho bệnh nhân trên toàn thế giới thông qua các dịch vụ và giải pháp thực chứng tập trung vào các dịch vụ lâm sàng, giải pháp tham gia và phân tích sức khỏe.

Chính sách này cũng được áp dụng cho tất cả những người mà chúng ta có xử lý thông tin, bao gồm nhưng không giới hạn ở chuyên gia chăm sóc sức khỏe và các khách hàng khác của chúng ta; nhân viên tiềm năng, hiện tại và trước đây cùng những người phụ thuộc vào họ, bệnh nhân, người chăm sóc, nhà nghiên cứu và những người tham gia vào nghiên cứu, thành viên ủy ban khoa học và đạo đức, đối tác kinh doanh, nhà đầu tư và cổ đông, quan chức chính phủ cùng với các bên liên quan khác.

Tất cả Nhân viên Công ty và Lãnh đạo Cấp cao đều phải duy trì các trách nhiệm về quyền riêng tư cốt lõi.

Chúng ta nhận thấy rằng các lỗi vô ý và đánh giá sai liên quan đến việc bảo vệ thông tin của mọi người có thể tạo ra rủi ro về quyền riêng tư cho các cá nhân cùng với các rủi ro về uy tín, hoạt động, tài chính và tuân thủ đối với Công ty chúng ta. Chúng ta sẽ thực hiện đào tạo đầy đủ Chính sách này cho tất cả các nhân viên và nhân sự khác, là người có quyền truy cập lâu dài hoặc thường xuyên vào Thông tin Cá nhân, những người có liên quan đến việc thu thập dữ liệu hoặc phát triển các công cụ được dùng để xử lý Thông tin cá nhân. Mọi nhân viên trong công ty chúng ta, và những người khác xử lý thông tin về con người cho công ty chúng ta, đều có trách nhiệm hiểu rõ và duy trì nghĩa vụ của họ tuân theo Chính sách này và Luật pháp hiện hành.

Các Giá trị và Tiêu chuẩn của Chúng ta

Chúng ta duy trì các giá trị quyền riêng tư của mình trong mọi hoạt động liên quan đến con người, kể cả cách chúng ta áp dụng các tiêu chuẩn quyền riêng tư của mình. Bốn giá trị quyền riêng tư của chúng ta là:

1. Chúng ta áp dụng các tiêu chuẩn bảo mậtvào tất cả các hoạt động, quy trình, công nghệ và các mối quan hệ với bên thứ ba có sử dụng Thông tin Cá nhân. Chúng ta thiết kế các quy định kiểm soát quyền riêng tư trong các quy trình và công nghệ phù hợp với các giá trị và các tiêu chuẩn của chúng ta cũng như luật hiện hành về quyền riêng tư. Tám nguyên tắc về quyền riêng tư của chúng ta được nêu dưới đây sẽ tóm tắt các tiêu chuẩn của chúng ta về quyền riêng tư và những yêu cầu cốt lõi cho các quy trình, hoạt động và các công nghệ hỗ trợ ở mức độ cao.

   Nguyên tắc về Quyền riêng tư	Các cam kết Cốt lõi của chúng ta
   1. Tính cần thiết –Trước khi thu thập, sử dụng hoặc chia sẻ Thông tin Cá nhân, chúng ta xác định và ghi chép mục đích kinh doanh cụ thể, hợp pháp cần đến những thông tin đó.	Chúng ta xác định và ghi lại thời gian tồn tại cần thiết của Thông tin Cá nhân cho những mục đích kinh doanh được xác định và các yêu cầu pháp lý hiện hành. Chúng ta không thu thập, sử dụng hoặc chia sẻ nhiều Thông tin Cá nhân hơn mức cần thiết hoặc lưu giữ dưới định dạng nhận diện được lâu hơn mức cần thiết cho các mục đích kinh doanh được xác định và các yêu cầu pháp lý hiện hành. Chúng ta ẩn danh dữ liệu khi các yêu cầu kinh doanh đòi hỏi thông tin về hoạt động hoặc quy trình phải được lưu giữ trong một khoảng thời gian dài hơn. Chúng ta đảm bảo rằng các yêu cầu cần thiết này sẽ được thiết kế thành bất kỳ công nghệ hỗ trợ nào và chúng phải được truyền đạt tới các bên thứ ba hỗ trợ hoạt động hoặc quy trình đó.
   2. Sự công bằng – Chúng ta không xử lý Thông tin Cá nhân theo cách thức không công bằng với những người có liên quan đến dữ liệu đó.	Chúng ta xác định liệu rằng việc thu thập, sử dụng hoặc cách xử lý khác đối với Thông tin Cá nhân được đề xuất có tạo ra rủi ro tiềm tàng và/hoặc nghiêm trọng gây tổn hại vô hình hoặc hữu hình đối với các cá nhân theo giá trị quyền riêng tư của chúng ta nhằm Tránh gây Tổn hại hay không. Nếu bản chất của dữ liệu, thể loại người hoặc hoạt động có tạo ra rủi ro tiềm tàng và/hoặc nghiêm trọng gây tổn hại vô hình hoặc hữu hình đối với các cá nhân, chúng ta đảm bảo rằng nguy cơ tổn hại đó sẽ không vượt qua lợi ích tương ứng cho các cá nhân đó hoặc nhiệm vụ của chúng ta là bảo vệ và cải thiện cuộc sống, cũng như được giảm bớt bằng các biện pháp bảo đảm, biện pháp bảo vệ và cơ chế mà chúng ta đã đưa ra. Trong trường hợp rủi ro có vẻ lớn hơn lợi ích cho cá nhân, chúng ta chỉ xử lý Thông tin Nhạy cảm hoặc Thông tin Cá nhân với sự cho phép rõ ràng của cá nhân đó, được luật pháp hiện hành yêu cầu hoặc cho phép một cách rõ ràng, hoặc được cho phép một cách rõ ràng bởi cơ quan quản lý có thẩm quyền. Chúng ta ghi lại kết quả phân tích rủi ro và thiết lập bất kỳ cơ chế cần thiết nào để có được và ghi lại bằng chứng về sự đồng ý bằng các công nghệ hỗ trợ.
   3. Tính minh bạch – Chúng ta không xử lý Thông tin Cá nhân theo cách thức hoặc với các mục đích không minh bạch.	Tất cả các cá nhân có Thông tin Cá nhân được xử lý theo Chính sách này sẽ có quyền sao chép lại Chính sách này. Chúng ta sẽ cung cấp các bản sao trực tuyến của Chính sách này tại https://www.msdprivacy.com/. Văn phòng Quyền riêng tư Toàn cầu của MSD sẽ cung cấp các bản sao điện tử và/hoặc bản giấy của Chính sách này theo yêu cầu tới các địa chỉ được liệt kê trong Phần 3.a. dưới đây. Khi thu thập Thông tin Cá nhân trực tiếp từ các cá nhân, chúng ta thông báo cho họ, trước khi thu thập thông tin và thông qua một thông báo về quyền riêng tư rõ ràng, dễ thấy và dễ truy cập hoặc bằng các phương tiện tương tự, về (1) đơn vị của công ty hoặc các đơn vị chịu trách nhiệm xử lý, (2) chi tiết liên hệ của Giám đốc Quyền riêng tư của chúng ta và/hoặc Cán bộ Quyền riêng tư Dữ liệu tại khu vực/địa phương, (3) những thông tin nào sẽ được thu thập, (4) các mục đích sử dụng, (5) cơ sở pháp lý để chúng ta xử lý, (6) sẽ được chia sẻ với ai, bao gồm mọi yêu cầu tiết lộ Thông tin Cá nhân để đáp ứng các yêu cầu hợp pháp của cơ quan chính phủ, (7) khả năng và cách thức chúng ta sẽ chuyển Thông tin Cá nhân sang các quốc gia khác, kể cả các quốc gia có liên quan nếu khả thi, (8) thời gian lưu giữ hoặc các tiêu chí làm cơ sở cho chúng ta đưa ra quyết định đó, (9) cách thức để họ có thể đặt câu hỏi, nêu lên quan ngại hoặc thực hiện các quyền của họ liên quan đến Thông tin Cá nhân của mình, (10) làm thế nào để họ có thể thu hồi lại bất kỳ sự chấp thuận nào họ đã đưa ra, (11) quyền khiếu nại của họ lên cơ quan giám sát, (12) bất kỳ nghĩa vụ cung cấp Thông tin Cá nhân nào và hậu quả của việc không làm như vậy, (13) mọi quyết định thực hiện tự động, bao gồm cả việc lập hồ sơ, mà chúng ta sẽ thực hiện, và (14) một liên kết tới Chính sách này, khi có thể và phù hợp. Toàn bộ thông báo quyền riêng tư của chúng ta tới nhiều bên liên quan của chúng ta có sẵn trực tuyến tại http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html Khi Thông tin Cá nhân có được thông qua việc giám sát, cảm biến hoặc bằng các phương tiện gián tiếp khác, việc cung cấp thông báo quyền riêng tư trực tiếp tới cá nhân có thể sẽ không thực hiện được tại thời điểm thông tin được thu thập. Trong các trường hợp đó, chúng ta đảm bảo tính minh bạch cho cá nhân thông qua các phương tiện khác, chẳng hạn như được đăng tải hoặc in ấn trên thiết bị hoặc các tài liệu có liên quan đến thiết bị sẽ nhận được thông tin đó. Khi thu thập Thông tin Cá nhân thông qua trang web, ứng dụng di động hoặc tài nguyên hay ứng dụng trực tuyến khác, chúng ta áp dụng các tiêu chuẩn dành riêng cho công nghệ được quy định trong Chính sách Quyền riêng tư Internet của chúng ta và Cam kết Quyền riêng tư Cookie để đảm bảo đáp ứng được các yêu cầu về tính minh bạch theo Chính sách này. Khi thu thập Thông tin Cá nhân từ các nguồn khác và không cụ thể theo hướng dẫn của công ty chúng ta, trước khi có được thông tin, chúng ta sẽ xác minh bằng văn bản rằng nhà cung cấp thông tin đã thông báo cho cá nhân về các cách thức và mục đích mà công ty chúng ta dự định cho việc sử dụng thông tin. Nếu không thể có được xác minh bằng văn bản từ nhà cung cấp thông tin, chúng ta chỉ sử dụng thông tin ẩn danh hoặc trước khi sử dụng Thông tin Cá nhân, chúng ta sẽ thông báo cho các cá nhân bị ảnh hưởng thông qua thông báo về quyền riêng tư rõ ràng, dễ thấy và dễ truy cập hoặc bằng các phương tiện tương tự, về (1) đơn vị hoặc các đơn vị thuộc công ty chúng ta chịu trách nhiệm xử lý thông tin, (2) chi tiết liên hệ của Tổng giám đốc Quyền riêng tư của chúng ta và/hoặc Cán bộ Quyền riêng tư Dữ liệu tại khu vực/địa phương, (3) những thông tin nào mà công ty chúng ta dự định sẽ sử dụng, (4) các mục đích theo đó công ty chúng ta dự định sử dụng thông tin, (5) cơ sở pháp lý cho việc xử lý, (6) công ty chúng ta sẽ chia sẻ thông tin đó với ai, (7) khả năng và cách thức chúng ta sẽ chuyển Thông tin Cá nhân sang các quốc gia khác, kể cả các quốc gia có liên quan nếu khả thi, (8) công ty chúng ta sẽ lưu trữ thông tin trong bao lâu hoặc các tiêu chí làm cơ sở cho chúng ta đưa ra quyết định đó, (9) cách thức để họ có thể đặt câu hỏi, nêu lên quan ngại hoặc thực hiện các quyền của họ liên quan đến Thông tin Cá nhân của mình, (10) làm thế nào để họ có thể thu hồi lại bất kỳ sự chấp thuận nào họ đã đưa ra, (11) quyền khiếu nại của họ lên cơ quan giám sát, (12) bất kỳ nghĩa vụ cung cấp Thông tin Cá nhân nào và hậu quả của việc không làm như vậy, (13) mọi quyết định thực hiện tự động, bao gồm cả việc lập hồ sơ, mà chúng ta sẽ thực hiện, và (14) một liên kết tới Chính sách này, khi có thể và phù hợp. Chúng ta đảm bảo rằng các cơ chế minh bạch cần thiết, nếu có thể sẽ bao gồm các cơ chế hỗ trợ yêu cầu quyền cá nhân, được thiết kế thành các công nghệ hỗ trợ, và rằng các bên thứ ba hỗ trợ hoạt động hoặc quy trình sẽ không xử lý thông tin về con người theo cách thức không phù hợp với những gì cá nhân đó đã được biết thông qua một thông báo về quyền riêng tư hoặc các phương tiện có thể kiểm chứng khác mà chúng ta và những người khác làm việc cho chúng ta sẽ thực hiện đối với thông tin đó.
   4. Giới hạn Mục đích – Chúng ta chỉ sử dụng Thông tin Cá nhân phù hợp với các nguyên tắc về Tính Cần thiết và Tính Minh bạch.	Khi có các mục đích kinh doanh hợp pháp mới được xác định đối với Thông tin Cá nhân đã được thu thập trước đó, chúng ta sẽ phải có được sự chấp thuận của cá nhân đối với việc sử dụng mới đối với Thông tin Cá nhân đó, hoặc chúng ta sẽ đảm bảo rằng mục đích kinh doanh mới phải tương thích, bao gồm cả sự tương tự chủ chốt, với các mục đích được mô tả trong thông báo quyền riêng tư hoặc cơ chế minh bạch khác mà trước đây đã được thông báo cho cá nhân đó. Chúng ta sẽ xác định khả năng tương thích dựa trên (1) bất kỳ liên kết nào giữa mục đích ban đầu với mục đích mới được đề xuất, (2) các kỳ vọng hợp lý của cá nhân, (3) bản chất của Thông tin Cá nhân, (4) hậu quả của việc xử lý tiếp theo đối với cá nhân và (5) các biện pháp bảo vệ mà chúng ta đã áp dụng. Chúng ta không áp dụng nguyên tắc này cho thông tin ẩn danh hoặc khi chúng ta sử dụng Thông tin Cá nhân chỉ cho mục đích nghiên cứu khoa học và lịch sử, và (1) một Ủy ban Đánh giá Đạo đức hoặc người đánh giá có thẩm quyền khác, đã xác định rằng rủi ro của việc sử dụng đó đối với quyền riêng tư và các quyền khác của cá nhân là ở mức có thể chấp nhận được, (2) chúng ta đã đưa ra các biện pháp bảo vệ phù hợp nhằm đảm bảo dữ liệu ở mức tối thiểu, chẳng hạn như dùng tên giả, và (3) phải tôn trọng tất cả các Luật hiện hành khác. Chúng ta đảm bảo rằng các hạn chế giới hạn mục đích phải được thiết kế thành bất kỳ công nghệ hỗ trợ nào, bao gồm bất kỳ khả năng báo cáo và chia sẻ dữ liệu tiếp theo nào.
   5. Chất lượng Dữ liệu – Chúng ta duy trì Thông tin Cá nhân phải chính xác, đầy đủ và cập nhật phù hợp với mục đích sử dụng.	Chúng ta đảm bảo rằng các cơ chế xem xét dữ liệu định kỳ phải được thiết kế thành các công nghệ hỗ trợ để xác thực tính chính xác của dữ liệu đối với các hệ thống nguồn và nguồn tiếp theo. Chúng ta đảm bảo rằng Thông tin Nhạy cảm phải được xác thực là chính xác và cập nhật trước khi sử dụng, đánh giá, phân tích, báo cáo hoặc cách xử lý khác mà gây ra nguy cơ thiếu công bằng cho mọi người nếu sử dụng dữ liệu không chính xác hoặc lỗi thời. Khi công ty chúng ta hoặc các bên thứ ba làm việc cho công ty chúng ta thực hiện các thay đổi đối với Thông tin Cá nhân, chúng ta đảm bảo rằng những thay đổi đó phải được truyền đạt tới các cá nhân có liên quan một cách kịp thời ngay khi có thể.
   6. Bảo mật – Chúng ta thực thi các biện pháp bảo vệ Thông tin Cá nhân và Thông tin Nhạy cảm để không bị mất, bị sử dụng sai mục đích và truy cập trái phép, tiết lộ, thay đổi hoặc phá huỷ.	Chúng ta đã triển khai một chương trình bảo mật thông tin toàn diện và chúng ta sẽ áp dụng các biện pháp kiểm soát bảo mật dựa trên mức độ nhạy cảm của thông tin cũng như mức độ rủi ro của hoạt động đó, có tính đến các thực hành tốt nhất về công nghệ hiện tại và chi phí thực hiện. Các chính sách bảo mật chức năng của chúng ta bao gồm, nhưng không giới hạn ở các tiêu chuẩn về tính liên tục trong kinh doanh và việc khắc phục thảm họa, mã hóa, quản lý truy cập và nhận diện, phân loại thông tin, quản lý sự cố bảo mật thông tin, kiểm soát truy cập mạng, bảo mật vật lý và quản lý rủi ro.
   7. Chuyển giao Dữ liệu – Chúng ta chịu trách nhiệm và chúng ta có các biện pháp bảo vệ quyền riêng tư đối với Thông tin Cá nhân khi được chuyển đến hoặc từ các tổ chức khác hoặc qua biên giới quốc gia.	(1) Chúng ta được chuyển giao Thông tin Cá nhân trong nội bộ công ty nếu đáp ứng các yêu cầu sau: (1) việc chia sẻ là cần thiết để đạt được mục đích thu thập Thông tin Cá nhân từ ban đầu hoặc vì lợi ích hợp pháp khác của công ty, và (2) vì mục đích cho việc chia sẻ thông tin, với thực tế là thông tin sẽ được chia sẻ, phù hợp với thông báo quyền riêng tư hoặc cơ chế minh bạch khác đã được thông báo trước đây cho cá nhân tại thời điểm thu thập Thông tin Cá nhân ban đầu và cá nhân đã đồng ý nếu cần. (3) khi một trong các chi nhánh của công ty chúng ta hoạt động đơn thuần thay mặt cho một chi nhánh khác của công ty chúng ta để xử lý Thông tin Cá nhân, (4) theo yêu cầu của Pháp luật, các chi nhánh đó của công ty chúng ta sẽ phải ký thỏa thuận xử lý dữ liệu nội bộ theo Nguyên tắc 8 của Chính sách này. (2) Chúng ta chỉ chuyển Thông tin Cá nhân đến hoặc cho phép bên thứ ba xử lý nếu các yêu cầu sau được đáp ứng và chúng ta phải chịu trách nhiệm đảm bảo rằng các bên thứ ba chúng ta thuê sẽ đáp ứng được các yêu cầu này: Nếu vai trò của bên thứ ba là xử lý Thông tin Cá nhân cho hoặc thay mặt cho công ty chúng ta, trước khi cung cấp Thông tin Cá nhân cho bên thứ ba hoặc thuê bên thứ ba đó, chúng ta phải: (1) hoàn thành việc điều tra chi tiết quyền riêng tư để đánh giá các thực tiễn và rủi ro về quyền riêng tư liên quan đến các bên thứ ba đó, (2) có được sự đảm bảo theo hợp đồng từ các bên thứ ba rằng họ sẽ xử lý Thông tin Cá nhân tuân theo hướng dẫn của công ty chúng ta và theo Chính sách này, bao gồm nhưng không giới hạn tất cả 8 Nguyên tắc Quyền riêng tư và các tiêu chuẩn khác được quy định trong Chính sách này cũng như theo Luật áp dụng, rằng họ sẽ thông báo kịp thời cho Công ty chúng ta về bất kỳ Sự cố Quyền riêng tư nào, bao gồm mọi trường hợp bất tuân thủ các tiêu chuẩn được quy định trong Chính sách này và Luật áp dụng, hoặc Sự cố Bảo mật, và phải hợp tác để khắc phục kịp thời mọi Sự cố đã được chứng minh cũng như đáp ứng các quyền cá nhân được nêu trong Phần 2 dưới đây, và rằng họ sẽ không cho phép công ty khác xử lý Thông tin Cá nhân khi không có sự cho phép bằng văn bản của chúng ta và không đưa ra thỏa thuận áp dụng dữ liệu có các nghĩa vụ bảo vệ tuwong đương, rằng họ sẽ phải xóa hoặc trả lại cho chúng ta tất cả Thông tin Cá nhân sau khi họ đã hoàn thành việc cung cấp dịch vụ cho chúng ta hoặc theo yêu cầu của chúng ta, và rằng họ sẽ cho phép công ty chúng ta kiểm toán cũng như giám sát các hoạt động của họ trong suốt thời gian xử lý để tuân thủ các yêu cầu này. Ngoài ra, nếu bên thứ ba xử lý Thông tin Cá nhân có nguồn gốc từ một quốc gia hoặc vùng lãnh thổ có điều luật hạn chế chuyển giao Thông tin Cá nhân, chúng ta sẽ phải đảm bảo rằng việc chuyển giao cho bên thứ ba đáp ứng được các yêu cầu về chuyển giao dữ liệu xuyên biên giới như được mô tả trong mục (3) dưới đây. Nếu vai trò của bên thứ ba là cung cấp Thông tin Cá nhân cho công ty chúng ta, trước khi lấy Thông tin Cá nhân từ bên thứ ba, chúng ta phải đảm bảo đáp ứng được các yêu cầu về Tính minh bạch trong thu thập Thông tin Cá nhân từ các nguồn khác và không cụ thể theo hướng của công ty chúng ta, và chúng ta phải có được sự cam kết bằng hợp đồng từ bên thứ ba rằng họ sẽ không vi phạm bất kỳ Luật hoặc quyền của bất kỳ bên thứ ba nào khi cung cấp Thông tin Cá nhân cho công ty chúng ta. Nếu vai trò của bên thứ ba là nhận thông tin từ công ty chúng ta để xử lý không theo hướng cụ thể của công ty chúng ta, trước khi cung cấp thông tin cho bên thứ ba, chúng ta phải đảm bảo rằng thông tin đó đã được ẩn danh, và chúng ta phải có được sự đảm bảo bằng văn bản từ bên thứ ba rằng họ sẽ chỉ sử dụng thông tin cho các mục đích công việc như được đề ra trong thỏa thuận cũng như theo luật pháp hiện hành, và rằng họ sẽ không cố gắng định nghĩa lại thông tin. Nếu việc chuyển giao cho bên thứ ba là bắt buộc để bảo vệ lợi ích hợp pháp của cá nhân hoặc của công ty, chúng ta có thể chuyển thông tin: (1) cho mục đích phòng chống gian lận hoặc để thực thi hay bảo vệ các quyền và tài sản của công ty, (2) nhằm bảo vệ sự an toàn cá nhân của nhân viên hoặc bên thứ ba tại địa bàn của chúng ta, và (3) để bảo vệ tài sản của chúng ta bằng cách thực hiện các biện pháp bảo mật khắc phục nếu chúng ta có sự nghi ngờ hợp lý rằng đã xảy ra hoạt động bất hợp pháp hoặc hành vi sai trái nghiêm trọng. Nếu bên thứ ba là mục tiêu bị công ty chúng ta mua lại hoặc kiểm soát lợi ích, (1) trước khi ký kết thỏa thuận mua lại bên thứ ba đó hoặc có được quyền lợi kiểm soát đối với bên thứ ba đó, chúng ta phải hoàn thành việc điều tra chi tiết quyền riêng tư để đánh giá các thực hành và rủi ro về quyền riêng tư liên quan đến việc mua lại bên thứ ba đó hoặc kiểm soát lợi ích của bên thứ ba đó, và (2) chúng ta phải ký kết một thỏa thuận chuyển giao dữ liệu có nêu rõ các điều khoản và điều kiện mà theo đó Thông tin Cá nhân có thể được tiết lộ cùng với các nghĩa vụ tương ứng của công ty chúng ta và bên thứ ba đó. Nếu vai trò của bên thứ ba là mua lại toàn bộ hoặc một phần hoạt động kinh doanh của công ty chúng ta, trước khi chia sẻ bất kỳ Thông tin Cá nhân nào liên quan đến việc thoái vốn bất kỳ phần nào trong hoạt động kinh doanh của công ty, chúng ta phải (1) ký kết thỏa thuận chuyển giao dữ liệu có nêu rõ các điều khoản và điều kiện để Thông tin Cá nhân có thể được tiết lộ cho người mua, bao gồm các giới hạn phù hợp cho việc được phép sử dụng Thông tin Cá nhân, cũng như việc tuân thủ tiêu chuẩn được nêu trong Chính sách này cũng như Luật pháp hiện hành, (2) xem xét tất cả các yếu tố dữ liệu về con người trước khi chia sẻ để đánh giá các yêu cầu chia sẻ, (3) có được sự chấp thuận chia sẻ Thông tin Cá nhân hoặc Thông tin Nhạy cảm theo các nguyên tắc Tính minh bạch và Giới hạn Mục đích trong Chính sách này và (4) yêu cầu bên thứ ba phải thông báo kịp thời cho công ty chúng ta về bất kỳ Sự cố Quyền riêng tư hiện hành nào, bao gồm mọi trường hợp bất tuân thủ các tiêu chuẩn được quy định trong Chính sách này cũng như Luật pháp hiện hành, và phải hợp tác để khắc phục kịp thời mọi Sự cố đã được chứng minh hoặc ngừng việc Xử lý Thông tin Cá nhân có liên quan. (3) Chúng ta chuyển giao Thông tin Cá nhân qua biên giới quốc gia, bao gồm cả Hoa Kỳ, bởi hoặc thay mặt công ty chúng ta theo Chính sách này. Chúng ta sẽ áp dụng Chính sách này để chuyển giao Thông tin Cá nhân từ bất kỳ quốc gia hoặc vùng lãnh thổ nào khác có điều luật hạn chế chuyển giao Thông tin Cá nhân, ngoài việc tuân thủ mọi yêu cầu của Luật áp dụng đó (bao gồm cả việc sử dụng bất kỳ cơ chế nào cần thiết cho việc chuyển giao xuyên biên giới).
   8. Được phép Pháp lý – Chúng ta chỉ xử lý Thông tin Cá nhân nếu đã đáp ứng được các yêu cầu của luật pháp hiện hành.	Mặc dù có 7 nguyên tắc bảo mật khác, cũng như các yêu cầu của Quyền cá nhân được mô tả dưới đây, nhằm để đảm bảo đáp ứng được các yêu cầu của hầu hết các luật bảo vệ dữ liệu và quyền riêng tư áp dụng cho doanh nghiệp của chúng ta trên toàn thế giới, chúng ta cần phải đáp ứng đáp ứng thêm các yêu cầu bổ sung, bao gồm nhưng không giới hạn ở những điều sau đây: 1) Nếu cần thiết, chúng ta sẽ phải có được các mẫu chấp thuận cụ thể cho việc xử lý Thông tin Cá nhân nhất định, bao gồm nhưng không giới hạn ở sự phê duyệt việc xử lý bởi các hội đồng công xưởng và các công đoàn lao động khác; 2) Nếu cần thiết, chúng ta sẽ đăng ký việc xử lý Thông tin Cá nhân thông qua hoặc tìm kiếm sự chấp thuận của cơ quan quản lý bảo mật dữ liệu hay quyền riêng tư hiện hành; 3) Nếu cần thiết, chúng ta sẽ cung cấp các quyền phạm vi rộng hơn (ví dụ như quyền truy cập và chỉnh sửa) so với quy định trong Chính sách này; 4) Nếu cần thiết, chúng ta sẽ giới hạn hơn nữa thời gian lưu trữ dữ liệu Thông tin Cá nhân; 5) Nếu cần thiết, chúng ta sẽ ký kết các thỏa thuận có các điều khoản hợp đồng, bao gồm các thỏa thuận cho việc chuyển giao dữ liệu xuyên quốc gia cho bên thứ ba; 6) Nếu cần thiết, chúng ta sẽ tiết lộ thông tin cá nhân để đáp ứng yêu cầu hợp pháp của các cơ quan công quyền, bao gồm việc đáp ứng các yêu cầu về an ninh quốc gia hoặc thực thi pháp luật. Trong trường hợp có xung đột giữa Chính sách này và luật pháp hiện hành, thì tiêu chuẩn nào mang lại khả năng bảo vệ cao hơn cho các cá nhân sẽ được áp dụng.

2. 2. Chúng ta sẽ giải quyết kịp thời các yêu cầu theo quyền cá nhân cho việc truy cập, sửa đổi, chỉnh sửa hoặc xóa Thông tin Cá nhân, phản đối việc xử lý Thông tin Cá nhân của họ hoặc thực hiện các quyền khác về Thông tin Cá nhân của họ.
   1. Truy cập, Sửa chữa, Xóa và các quyền khác – Theo Pháp luật tại hầu hết các quốc gia, các cá nhân có quyền truy cập vào Thông tin Cá nhân của bản thân để sửa đổi, chỉnh sửa, hoặc xóa Thông tin Cá nhân không chính xác, không đầy đủ hay chưa cập nhật. Chúng ta sẽ tôn trọng tất cả các yêu cầu truy cập, chỉnh sửa và xóa Thông tin Cá nhân từ tất cả các cá nhân theo Mục 3a dưới đây. Nếu có yêu cầu truy cập, chỉnh sửa hoặc xóa được điều chỉnh bởi Luật pháp hiện hành mà có sự bảo vệ tốt hơn cho các cá nhân, chúng ta sẽ đảm bảo rằng các yêu cầu bổ sung theo Luật pháp đó sẽ được đáp ứng.
      Ở một số quốc gia, các cá nhân có thể được hưởng các quyền khác đối với Thông tin Cá nhân của bản thân họ, chẳng hạn như quyền hạn chế xử lý, phản đối việc xử lý (xem thêm Phần 2b bên dưới) và việc chuyển giao dữ liệu của họ sang một nhà cung cấp dịch vụ khác. Chúng ta sẽ tôn trọng việc thực thi các quyền dữ liệu phù hợp với Luật pháp hiện hành.
   2. Lựa chọn – Để phù hợp với các giá trị quyền riêng tư của chúng ta về “Tôn trọng” và “Tin tưởng”, chúng ta tôn trọng các yêu cầu của cá nhân khi phản đối việc xử lý Thông tin Cá nhân, bao gồm, nhưng không giới hạn ở việc từ chối các chương trình hoặc hoạt động mà trước đó họ đồng ý tham gia, việc xử lý Thông tin Cá nhân của họ cho việc truyền thông tiếp thị trực tiếp, truyền thông hướng đến họ dựa trên Thông tin Cá nhân của họ, và mọi đánh giá hoặc quyết định về họ, mà có khả năng ảnh hưởng đáng kể đến họ, được thực hiện bằng cách ứng dụng tự động hóa hoặc thuật toán.
      1. Ngoại trừ trường hợp bị Luật pháp cấm, chúng ta có thể từ chối lựa chọn khi có một yêu cầu lựa chọn cụ thể gây cản trở công ty chúng ta không thể: (1) tuân thủ Luật pháp hoặc một nghĩa vụ đạo đức, bao gồm cả khi chúng ta được yêu cầu tiết lộ thông tin cá nhân để đáp ứng các yêu cầu hợp pháp của cơ quan công quyền, bao gồm việc đáp ứng các yêu cầu về an ninh quốc gia hoặc thực thi pháp luật, (2) điều tra, đưa ra hoặc bào chữa cho các khiếu nại pháp lý, và (3) thực hiện hợp đồng, quản trị các mối quan hệ hoặc tham gia vào các hoạt động kinh doanh được phép khác phù hợp với các nguyên tắc Tính minh bạch và Giới hạn Mục đích và được ký kết dựa trên thông tin về con người đang bị nghi vấn. Trong vòng mười lăm ngày làm việc kể từ khi có bất kỳ quyết định từ chối yêu cầu lựa chọn nào theo Chính sách này, chúng ta sẽ lập văn bản và truyền đạt quyết định đó tới người yêu cầu.
3. 3. Chúng ta sẽ đáp ứng kịp thời và giải quyết mở rộng tất cả các thắc mắc, khiếu nại, quan ngại liên quan đến quyền riêng tư cũng như bất kỳ Sự cố Quyền riêng tư hoặc Sự cố Bảo mật nào.
   1. Bất kỳ cá nhân nào mà chúng ta có xử lý Thông tin Cá nhân của họ trong phạm vi Chính sách này có thể đưa ra thắc mắc, khiếu nại hoặc quan ngại về công ty chúng ta tại mọi thời điểm, bao gồm việc yêu cầu một danh sách các chi nhánh của công ty chúng ta phải tuân theo Chính sách này. Chúng ta kỳ vọng rằng các nhân viên chúng ta, cũng như những người khác làm việc thay mặt cho công ty chúng ta, phải thông báo kịp thời khi họ có lý do để tin rằng Luật pháp hiện hành có thể ngăn cấm họ tuân thủ theo Chính sách này. Bất kỳ thắc mắc, khiếu nại hoặc quan ngại nào được một Cá nhân đưa ra, hoặc bất kỳ thông báo nào do nhân viên hay bất kỳ người nào khác làm việc thay mặt cho công ty chúng ta, đều được chuyển đến Văn phòng Quyền riêng tư Toàn cầu của MSD:
      1. Bằng cách gửi email đến: msd_privacy_office@msd.com
      2. Bằng cách gửi thư tay đến: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
   2. Các nhân viên và nhà thầu được yêu cầu phải thông báo kịp thời cho Văn phòng Quyền riêng tư Toàn cầu của MSD, hoặc tới Giám đốc Quyền riêng tư tại khu vực kinh doanh của họ, khi có bất kỳ thắc mắc, khiếu nại hoặc quan ngại liên quan đến thực hành quyền riêng tư của công ty chúng ta.
   3. Văn phòng Quyền riêng tư Toàn cầu của MSD sẽ xem xét và điều tra, hoặc sẽ làm việc với Văn phòng Đạo đức, Pháp lý và/hoặc Tuân thủ để điều tra tất cả các thắc mắc, khiếu nại hoặc quan ngại liên quan đến thực hành quyền riêng tư của công ty chúng ta, cho dù tiếp nhận trực tiếp từ nhân viên hoặc cá nhân khác hoặc thông qua bên thứ ba, bao gồm, nhưng không giới hạn ở các cơ quan quản lý, đại diện có trách nhiệm và các cơ quan chính phủ khác. Chúng ta sẽ phản hồi lại cho cá nhân hoặc pháp nhân đặt ra thắc mắc, khiếu nại hoặc quan ngại tới công ty chúng ta trong vòng ba mươi (30) ngày dương lịch, trừ khi Luật pháp hoặc người yêu cầu bên thứ ba đòi hỏi phải trả lời trong một khoảng thời gian ngắn hơn hoặc trừ các trường hợp như khi có sự điều tra cùng thời điểm của chính phủ yêu cầu một khoảng thời gian dài hơn, trong trường hợp đó, người yêu cầu cá nhân hoặc bên thứ ba sẽ được thông báo bằng văn bản sớm nhất có thể theo bản chất chung của các trường hợp góp phần gây ra sự chậm trễ.
   4. Văn phòng Quyền riêng tư Toàn cầu của MSD, phối hợp với bộ phận Pháp lý và Tuân thủ, sẽ hợp tác để đáp ứng với bất kỳ yêu cầu, kiểm tra hoặc điều tra nào từ cơ quan quản lý quyền riêng tư.
   5. Đối với các khiếu nại không thể giải quyết giữa công ty chúng ta và cá nhân khiếu nại, công ty chúng ta đã đồng ý tham gia các thủ tục giải quyết tranh chấp như sau đây trong quá trình điều tra và giải pháp khiếu nại để giải quyết tranh chấp theo Chính sách này, tuy nhiên, tại bất cứ thời điểm nào, các cá nhân cư trú trong EEA hoặc cá nhân có Thông tin Cá nhân tuân theo Luật bảo vệ dữ liệu của EEA và được chuyển giao ra ngoài EEA, cũng có thể dựa theo tiêu chuẩn 3.f. bên dưới:
      1. đối với các tranh chấp liên quan đến tất cả Thông tin Cá nhân mà công ty chúng ta nhận được từ Thụy Sĩ, công ty chúng ta đã đồng ý hợp tác với FDPIC của Thụy Sĩ;
      2. đối với các tranh chấp liên quan đến việc chuyển giao Thông tin Cá nhân tới Hoa Kỳ liên quan đến các hoạt động nhân sự và được thu thập trong bối cảnh mối quan hệ công việc trong EEA, công ty chúng ta cũng cam kết hợp tác với hội đồng thẩm quyền bảo vệ dữ liệu phù hợp của EU.
      3. đối với các tranh chấp liên quan đến tất cả Thông tin Cá nhân khác trong Chính sách này, bao gồm nhưng không giới hạn ở những vấn đề liên quan đến việc tuân thủ Quy tắc Quyền riêng tư Xuyên biên giới (“CBPRs”) của Khối hợp tác Kinh tế Châu Á Thái Bình Dương (“APEC”), Khuôn khổ Bảo vệ Quyền riêng tư Châu Âu-Hoa Kỳ và Thụy Sĩ-Hoa Kỳ công ty chúng ta đã đồng ý giải quyết tranh chấp theo TRUSTe, một nhà cung cấp giải pháp cho tranh chấp tại Hoa Kỳ. Các cá nhân gửi thắc mắc hoặc quan ngại đến công ty chúng ta và những người không nhận được sự xác nhận từ công ty chúng ta về cuộc điều tra, hoặc những người nghĩ rằng thắc mắc hay quan ngại của họ không được giải quyết thỏa đáng nên liên hệ Chương trình Giải quyết Tranh chấp TRUSTe thông qua Internet, qua thư hoặc fax. Các câu hỏi qua thư hoặc fax phải ghi rõ Merck & Co., Inc. hoặc MSD là công ty đã liên quan đến thắc mắc hoặc quan ngại đã gửi, và phải bao gồm một tài liệu mô tả về quan ngại quyền riêng tư, tên của cá nhân gửi yêu cầu và liệu TRUSTe có thể được chia sẻ các chi tiết của cuộc điều tra với công ty chúng ta hay không. TRUSTe sẽ đóng vai trò là người liên lạc cho công ty chúng ta để giải quyết các tranh chấp này.
         1. Mạng trực tuyến
         2. Fax: +1-415-520-3420
         3. Gửi thư: Watchdog Complaints, TRUSTe, 835 Market Street, Suite 800, Box 137 San Francisco, CA, USA 94103-1905
      4. Để biết thêm thông tin về TRUSTe hoặc hoạt động của quy trình giải quyết tranh chấp của TRUSTe, hãy truy cập trang TRUSTe trên Internet hoặc yêu cầu thông tin này từ TRUSTe qua thư tay hay fax sử dụng thông tin liên hệ được nêu trên. Quá trình giải quyết tranh chấp của TRUSTe sẽ được thực hiện bằng Tiếng Anh.
      5. Đối với mọi tranh chấp phát sinh theo Khuôn khổ Bảo vệ Quyền riêng tư Châu Âu-Hoa Kỳ và Thụy Sỹ-Hoa Kỳ mà không được giải quyết theo các bước được mô tả trong phần này, các cá nhân có thể lựa chọn mời trọng tài phân xử theo quy trình của Hội đồng Khuôn khổ Bảo vệ Quyền riêng tư được thành lập theo Khuôn khổ Bảo vệ Quyền riêng tư Châu Âu-Hoa Kỳ/Thụy Sỹ-Hoa Kỳ.
   6. Tất cả các cá nhân cư trú trong EEA hoặc cá nhân có Thông tin Cá nhân tuân theo Luật bảo vệ dữ liệu của EEA và được chuyển giao ra bên ngoài EEA, những người có thông tin được xử lý theo Chính sách này sẽ có quyền theo Chính sách này, tại bất cứ thời điểm nào, để thực thi các yêu cầu theo Chính sách này với tư cách là người thụ hưởng bên thứ ba, bao gồm quyền tiến hành khiếu kiện tư pháp để tìm kiếm biện pháp khắc phục đối với sự vi phạm các quyền của mình theo Chính sách này (như đã nêu trong Phần 2 ở trên) và có quyền nhận được bồi thường cho những thiệt hại do vi phạm đó. Các cá nhân cư trú trong EEA hoặc cá nhân có Thông tin Cá nhân tuân theo Luật bảo vệ dữ liệu của EEA và được chuyển giao ra bên ngoài EEA (vì mục đích rõ ràng, bao gồm cả ở Hoa Kỳ) có thể đưa ra khiếu nại hoặc khiếu kiện theo Chính sách này để chống lại Merck Sharp & Dohme (Europe) Inc. -Chi nhánh tại Bỉ (“MSD Europe”):
      1. Tại các tòa án hoặc với cơ quan bảo vệ dữ liệu tại quốc gia EEA nơi Thông tin Cá nhân của họ được chuyển đến,
      2. Tại các tòa án hoặc với cơ quan bảo vệ dữ liệu tại quốc gia EEA nơi cư trú thường xuyên của họ, hoặc,
      3. Tại các tòa án của Bỉ hoặc với Ủy ban Quyền riêng tư của Bỉ.
   7. Công ty chúng ta sẽ phản hồi lại cá nhân hoặc pháp nhân đặt ra thắc mắc, khiếu nại hoặc quan ngại trong vòng ba mươi (30) ngày trừ trường hợp Luật hoặc người yêu cầu, là bên thứ ba, yêu cầu phải có phản hồi trong kỳ hạn nhanh hơn hoặc trừ trường hợp yêu cầu phải có kỳ hạn lâu hơn, khi đó sẽ có thông báo bằng văn bản gửi tới cá nhân hoặc bên thứ ba đó.
4. Chúng ta sẽ chịu trách nhiệm duy trì các giá trị và tiêu chuẩn quyền riêng tư của mình.
   1. Chi nhánh của công ty chúng ta chịu trách nhiệm trong một vụ kiện phát sinh từ Sự cố Quyền riêng tư hoặc Sự cố Bảo mật đã được chứng minh sẽ phải chịu trách nhiệm tài chính đối với số tiền trả cho bất kỳ yêu cầu bồi thường thiệt hại nào hoặc tiền phạt hoặc hình phạt phát sinh từ Sự cố Quyền riêng tư hay Sự cố Bảo mật đó.
      1. Trong sự phối hợp và theo chỉ đạo của Văn phòng Quyền riêng tư Toàn cầu của MSD, MSD Europe chịu trách nhiệm đảm bảo rằng các hành động cần thiết sẽ được thực hiện để giải quyết mọi cáo buộc vi phạm đối với Chính sách này của các công ty con của chúng ta bên ngoài EEA gây ảnh hưởng đến các cá nhân cư trú trong EEA hoặc các cá nhân có Thông tin Cá nhân tuân theo Luật bảo vệ dữ liệu của EEA và được chuyển giao ra bên ngoài EEA, đồng thời, nếu cần sẽ phải trả tiền phạt, chịu hình phạt hoặc bồi thường thiệt hại do việc vi phạm Chính sách này gây ảnh hưởng đến các cá nhân cư trú trong EEA hoặc các cá nhân có Thông tin Cá nhân tuân theo Luật bảo vệ dữ liệu của EEA và được chuyển giao ra bên ngoài EEA. Với sự hỗ trợ của Văn phòng Quyền riêng tư Toàn cầu của MSD và chi nhánh của công ty chúng ta ngoài EEA chịu trách nhiệm về cáo buộc vi phạm, MSD Europe sẽ có trách nhiệm chứng minh rằng công ty chúng ta không phải chịu trách nhiệm về cáo buộc vi phạm đó. Trong trường hợp một chi nhánh khác của công ty chúng ta chịu trách nhiệm cho vụ kiện có yêu cầu phạt tiền, chịu hình phạt hoặc bồi thường thiệt hại, chi nhánh đó có thể bị yêu cầu phải bồi hoàn kịp thời cho MSD Europe cho bất kỳ khoản tiền nào mà MSD Europe đã phải chi trả. Nếu một chi nhánh của công ty chúng ta nằm ngoài EEA vi phạm Chính sách này, các tòa án hoặc cơ quan bảo vệ dữ liệu thuộc EEA sẽ có quyền xét xử và cá nhân bị ảnh hưởng sẽ có quyền cũng như được hưởng biện pháp khắc phục chống lại MSD Europe như đã nêu trong Phần 3.f. ở trên.
      2. Trong sự phối hợp và theo chỉ đạo của Văn phòng Quyền riêng tư Toàn cầu của MSD, Merck Sharp & Dohme Corp. chịu trách nhiệm đảm bảo rằng các hành động cần thiết sẽ được thực hiện để giải quyết mọi cáo buộc vi phạm đối với Chính sách này gây ảnh hưởng đến các cá nhân định cư ngoài EEA, đồng thời, nếu cần sẽ phải trả tiền phạt, chịu hình phạt hoặc bồi thường thiệt hại do việc vi phạm Chính sách này gây ảnh hưởng đến các cá nhân cư trú ngoài EEA hoặc các cá nhân có Thông tin Cá nhân không tuân theo Luật bảo vệ dữ liệu của EEA. Trong trường hợp một chi nhánh khác của công ty chúng ta chịu trách nhiệm cho vụ kiện có yêu cầu phạt tiền, chịu hình phạt hoặc bồi thường thiệt hại, chi nhánh đó có thể bị yêu cầu phải bồi hoàn kịp thời cho Merck Sharp & Dohme Corp. cho bất kỳ khoản tiền nào mà Merck Sharp & Dohme Corp. đã phải chi trả.

Giám sát và Theo dõi

Để đảm bảo cho các cơ quan quản lý và các bên liên quan khác rằng công ty chúng ta có chịu trách nhiệm với cam kết thực hành quyền riêng tư có đạo đức và có trách nhiệm, công ty sẽ duy trì một nhóm giám sát và theo dõi rộng rãi, đứng đầu là Tổng giám đốc Quyền riêng tư cùng với Văn phòng Quyền riêng tư Toàn cầu (Global Privacy Office, GPO) chuyên trách, Nhân viên Bảo vệ Dữ liệu (Data Protection Officer, DPO) Châu Âu được chỉ định, DPO Quốc gia theo yêu cầu của luật pháp hoặc chính quyền địa phương , và Giám đốc Quyền riêng tư, được bổ nhiệm bởi các Lãnh đạo Cấp cao và phục vụ với tư cách là đầu mối liên lạc giữa Văn phòng Quyền riêng tư Toàn cầu của MSD với các khu vực tổ chức mà họ làm việc.

Công ty chúng ta sẽ dựa vào các Đại diện có Trách nhiệm về Quyền riêng tư, là người chịu trách nhiệm theo Luật pháp để định kỳ xác minh việc tuân thủ các yêu cầu của Chính sách này cùng các Điều luật đó, bao gồm cả các CPBR của APEC.

Ngoài các đánh giá đảm bảo do Văn phòng Quyền riêng tư Toàn cầu của MSD điều hành, các nhóm đảm bảo và kiểm toán nội bộ cũng như bên ngoài sẽ tiến hành đánh giá tuân thủ nhằm xác minh rằng MSD có tuân thủ Chính sách này, bao gồm mọi chính sách, quy trình, tiêu chuẩn và hướng dẫn phụ thuộc vào Chính sách này. Các kế hoạch hành động khắc phục và phòng ngừa sẽ được xây dựng và triển khai nhằm giải quyết các lỗ hổng được các nhóm kiểm toán và đảm bảo tìm ra. Kết quả của Chương trình Kiểm toán sẽ được thông báo cho Tổng giám đốc Quyền riêng tư và Ban bảo vệ dữ liệu và Quyền riêng tư, là những bên chịu trách nhiệm báo cáo như được mô tả trong Chính sách này.

Cơ quan Bảo vệ dữ liệu và Quyền riêng tư đã phê duyệt Chính sách này hoặc người có thẩm quyền đối với các hoạt động của công ty chúng ta theo Chính sách này sẽ có quyền xác minh sự tuân thủ của chúng ta. Chúng ta sẽ tuân theo lời khuyên của các cơ quan có thẩm quyền này đối với việc giải thích cũng như áp dụng Chính sách này.

Các Thuật Ngữ Bạn Cần Biết

• Ẩn danh. Là sự thay đổi, lược bỏ, xóa bỏ hoặc biên soạn hoặc sửa đổi khác đối với Thông Tin Cá Nhân khiến cho nó không thể nhận biết, định vị hay liên hệ tới một cá nhân, dù sử dụng một mình hay kết hợp với thông tin khác.
• Bên thứ ba. Bất kỳ pháp nhân, hiệp hội hoặc cá nhân nào không thuộc sở hữu của công ty chúng ta hoặc công ty chúng ta không kiểm soát lợi ích hay một người không được công ty chúng ta tuyển dụng. Trừ khi được quy định rõ ràng trong Chính sách này, không một chi nhánh hoặc bộ phận nào của công ty chúng ta phải đáp ứng các yêu cầu của bên thứ ba theo chính sách này vì tất cả các chi nhánh hoặc bộ phận được yêu cầu phải xử lý thông tin về con người tuân theo Chính sách này, kể cả trong trường hợp có một trong những chi nhánh của công ty chúng ta hỗ trợ một hoặc nhiều chi nhánh khác của công ty chúng ta trong quá trình xử lý.
• Công ty chúng ta. Merck & Co., Inc. (Rahway, NJ, USA), các đơn vị kế nhiệm, các chi nhánh và phòng ban trực thuộc trên toàn thế giới, không bao gồm các liên doanh mà công ty chúng ta là một bên đối tác.
• Luật pháp. Tất cả các luật, quy tắc, quy định và các lệnh nêu ý kiến hiện hành có hiệu lực pháp luật ở bất kỳ quốc gia nào mà công ty chúng ta hoạt động hoặc tại nơi đó Thông tin Cá nhân được xử lý bởi hoặc thay mặt cho công ty chúng ta. Điều này bao gồm tất cả các khuôn khổ quyền riêng tư mà công ty chúng ta đã được phê duyệt hoặc chứng nhận, bao gồmQuy tắc Quyền riêng tư Xuyên biên giới(“CBPRs”) của Khối hợp tác Kinh tế Châu Á Thái Bình Dương (“APEC”),Khuôn khổ Bảo vệ Quyền riêng tư Châu Âu-Hoa Kỳ và Thụy Sĩ-Hoa Kỳ– thuộc thẩm quyền điều tra và thực thi của Ủy ban Thương mại Liên bang Hoa Kỳ.
• Sự cố Bảo mật. Một sự vi phạm bảo mật dẫn đến việc phá hủy vô tình hay bất hợp pháp, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập vào Thông tin Cá nhân hoặc theo sự tin tưởng hợp lý của công ty chúng ta là có việc đó. Việc truy cập vào Thông tin Cá nhân bởi hoặc thay mặt cho công ty chúng ta mà không chủ ý vi phạm Chính Sách này không cấu thành nên Sự cố Bảo mật, với điều kiện Thông tin Cá nhân bị truy cập được tiếp tục sử dụng và tiết lộ theo sự cho phép của Chính Sách này.
• Sự cố Quyền riêng tư. Sự vi phạm hoặc xâm phạm Chính sách này hay Luật bảo vệ dữ liệu hoặc quyền riêng tư và bao gồm một Sự cố Bảo mật. Các quyết định về việc có xảy ra sự cố quyền riêng tư hay không và liệu việc đó có nghiêm trọng hay không là do Văn phòng Quyền riêng tư Toàn cầu của MSD, bộ phận Quản lý rủi ro và Bảo mật Công nghệ Thông tin (Information Technology Risk Management and Security, ITRMS) cùng với Văn phòng Luật sư trưởng.
• Thông Tin Cá Nhân. Mọi dữ liệu liên quan đến một cá nhân đã xác định danh tính hoặc có thể xác định danh tính, bao gồm dữ liệu để nhận dạng một cá nhân hoặc có thể được sử dụng để nhận dạng, định vị, theo dõi hay liên hệ với một cá nhân. Thông tin Cá nhân bao gồm cả thông tin có thể xác định danh tính một cách trực tiếp như tên, mã số nhận dạng hoặc chức danh công việc riêng, và thông tin có thể xác định danh tính một cách gián tiếp như ngày sinh, mã nhận dạng thiết bị đeo hay di động riêng, số điện thoại, cũng như dữ liệu được mã hoá và các số nhận dạng trực tuyến chẳng hạn như địa chỉ IP.
• Thông Tin Nhạy Cảm. Bất kỳ loại thông tin nào về con người mang nguy cơ tiềm ẩn gây hại cho cá nhân, bao gồm thông tin được xác định theo luật là nhạy cảm, bao gồm, nhưng không giới hạn thông tin liên quan đến sức khỏe, di truyền, sinh trắc học, chủng tộc, nguồn gốc dân tộc, tôn giáo, quan điểm hoặc niềm tin chính trị hay triết học, lịch sử phạm tội, thông tin vị trí địa lý chính xác, ngân hàng hoặc số tài khoản tài chính khác, số nhận dạng do chính phủ cấp, trẻ em vị thành niên, đời sống tình dục, khuynh hướng tình dục, thành viên công đoàn, bảo hiểm, an sinh xã hội cùng với các quyền lợi chủ lao động hoặc được chính phủ ban hành khác.
• Xử lý. Thực hiện bất kỳ hành động nào hoặc một tập hợp các hành động đối với thông tin về con người, bằng phương pháp điện tử hoặc bằng phương pháp khác, bao gồm, nhưng không giới hạn trong việc thu thập, ghi chép, tổ chức, lưu trữ, truy cập, tiếp nhận, sửa đổi, phục hồi, tư vấn, sử dụng, đánh giá, phân tích, báo cáo, chia sẻ, tiết lộ, phổ biến, truyền đạt, sắp xếp, kết hợp, phong tỏa, xóa hoặc hủy bỏ.

Các thay đổi trong Chính sách này

Chính sách này có thể được sửa đổi tùy thời điểm, để phù hợp với các yêu cầu của Luật pháp hiện hành. Thông báo sẽ được đăng tải lên trang web công ty chúng ta (https://www.msd.com/privacy) trong 60 ngày ngay khi Chính sách này có sự thay đổi quan trọng.