Chính sách Quy tắc Quyền riêng tư Xuyên biên giới Toàn cầu

Ngày xem xét: Ngày 1 tháng 9 năm 2023
Ngày xem xét: Ngày 1 tháng 9 năm 2023

Chúng tôi nỗ lực hoạt động kinh doanh theo các giá trị quyền riêng tư của mình vì chúng tôi tin rằng các giá trị đó thể hiện sự cam kết kiên định của chúng tôi đối với thực hành đạo đức và trách nhiệm. Chúng tôi nhận thấy rằng sự đổi mới và công nghệ tiên tiến đã góp phần khiến cho các rủi ro, kỳ vọng và luật pháp liên tục thay đổi. Vì thế, chúng tôi tuân thủ các tiêu chuẩn trách nhiệm về quyền riêng tư và mong muốn điều chỉnh kịp thời cách chúng tôi áp dụng những tiêu chuẩn này để thích nghi với những thay đổi đó.

Chính sách này xác định các tiêu chuẩn toàn cầu của chúng tôi trong quản lý và bảo vệ Thông tin cá nhân của hoặc đại diện cho công ty chúng tôi, bất kể là quốc gia xuất phát hay quốc gia nhận được Thông tin cá nhân. Chính sách này mô tả các cam kết chặt chẽ ủng hộ việc tuân thủ chứng nhận Quy tắc quyền riêng tư xuyên biên giới của APEC, Quy tắc ràng buộc doanh nghiệp (“BCR”) của chúng tôi đã được phê duyệt tại Liên minh Châu Âu, và chứng nhận của chính chúng tôi đối với chương trình Khung bảo vệ quyền riêng tư trong dữ liệu (DPF) giữa Liên minh Châu Âu và Hoa Kỳ, Phần mở rộng đối với DPF của Vương quốc Anh và chương trình Khung bảo vệ quyền riêng tư trong dữ liệu giữa Thụy Sĩ và Hoa Kỳ.

Công ty chúng tôi tuân thủ chương trình Khung bảo vệ quyền riêng tư trong dữ liệu giữa Liên minh Châu Âu và Hoa Kỳ (DPF EU-U.S.), Phần mở rộng đối với DPF EU-U.S. của Vương quốc Anh, và chương trình Khung bảo vệ quyền riêng tư trong dữ liệu giữa Thụy Sĩ và Hoa Kỳ (DPF Thụy Sĩ-U.S.) theo quy định của Bộ Thương mại Hoa Kỳ. Chúng tôi đã chứng nhận với Bộ Thương mại Hoa Kỳ rằng chúng tôi tuân thủ Nguyên tắc trong Khung bảo vệ quyền riêng tư trong dữ liệu giữa Liên minh Châu Âu và Hoa Kỳ (Nguyên tắc DPF EU-U.S.) liên quan đến việc xử lý dữ liệu cá nhân nhận được từ Liên minh Châu Âu thuộc phạm vi áp dụng của DPF EU-U.S. và từ Vương quốc Anh (và Gibraltar) thuộc phạm vi áp dụng của Phần mở rộng đối với DPF EU-U.S. của Vương quốc Anh. Chúng tôi đã chứng nhận với Bộ Thương mại Hoa Kỳ rằng chúng tôi tuân thủ Nguyên tắc chương trình Khung bảo vệ quyền riêng tư trong dữ liệu giữa Thụy Sĩ và Hoa Kỳ (Nguyên tắc DPF Thụy Sĩ-U.S.) liên quan đến việc xử lý dữ liệu cá nhân nhận được từ Thụy Sĩ thuộc phạm vi của DPF Thụy Sĩ-U.S. Nếu có bất kỳ xung đột nào giữa những điều khoản trong chính sách này và Nguyên tắc DPF EU-U.S. và/hoặc Nguyên tắc DPF Thụy Sĩ-U.S., thì các Nguyên tắc sẽ chi phối. Để tìm hiểu thêm về chương trình Khung bảo vệ quyền riêng tư trong dữ liệu (DPF) và xem chứng nhận của chúng tôi, vui lòng truy cập https://www.dataprivacyframework.gov/.

Chính sách này được áp dụng trong các hoạt động của chúng tôi ở mọi quốc gia, cho mọi hoạt động liên quan đến thông tin về những người mà chúng tôi tiếp xúc tại mọi công ty con và mọi bộ phận (bao gồm bất kỳ đơn vị kế nhiệm nào của doanh nghiệp chúng tôi), bao gồm, nhưng không giới hạn trong các hoạt động nghiên cứu, sản xuất, thương mại, các hoạt động hỗ trợ doanh nghiệp và chuyển dữ liệu cần thiết để thực hiện các hoạt động đó, bao gồm, nhưng không giới hạn ở:

• Nghiên cứu và sản xuất: đánh giá nhu cầu và cơ hội đổi mới trong y tế và sức khỏe; khởi xướng, quản lý và tài trợ cho các nghiên cứu khoa học; đánh giá và thu hút các nhà nghiên cứu, các thành viên ủy ban khoa học và đạo đức cùng với các đối tác kinh doanh để hỗ trợ các nghiên cứu khoa học của chúng tôi và phát triển các sản phẩm của chúng tôi; công tác thu tuyển tình nguyện viên tham gia nghiên cứu khoa học; đánh giá sự an toàn, hiệu quả và chất lượng của các sản phẩm nghiên cứu và tiếp thị của chúng tôi; đáp ứng các nghĩa vụ về chất lượng sản phẩm và an toàn sản phẩm của chúng tôi, bao gồm việc xử lý và báo cáo các biến cố bất lợi cũng như khiếu nại về chất lượng sản phẩm; nộp đơn xin phê duyệt và đăng ký sản phẩm tới các cơ quan quản lý y tế; và tuân thủ các yêu cầu pháp lý, luật định hoặc đạo đức có liên quan;
• Thương mại: thực hiện đánh giá thị trường cho các sản phẩm của chúng tôi; quảng cáo, tiếp thị, bán, phân phối và chuyển giao các sản phẩm của chúng tôi; giao tiếp và thu hút các khách hàng là chuyên gia y tế, người trả tiền cho dịch vụ chăm sóc sức khỏe, bệnh nhân và người tiêu dùng khác đối với các sản phẩm của chúng tôi, cũng như người chăm sóc cho người sử dụng sản phẩm của chúng tôi; tài trợ và tiến hành các sự kiện; đánh giá và thu hút các đối tác kinh doanh để hỗ trợ cho các hoạt động thương mại của chúng tôi; và tuân thủ các yêu cầu pháp lý, quy định hoặc đạo đức có liên quan;
• Hỗ trợ doanh nghiệp: tuyển dụng, thuê, quản lý, phát triển, giao tiếp và trả công cho nhân viên; quản lý lợi ích cho nhân viên và những người phụ thuộc vào họ; thực hiện đánh giá hiệu suất và tài năng của nhân viên; cung cấp đào tạo và các chương trình học tập và phát triển khác; thực thi các thủ tục kỷ luật và khiếu nại của nhân viên; quản lý các mối quan ngại đạo đức và quyền riêng tư và tiến hành điều tra; quản lý và bảo đảm an toàn cho các tài sản hữu hình và vô hình cũng như cơ sở hạ tầng của chúng tôi; mua sắm và thanh toán cho hàng hóa và dịch vụ; đáp ứng các cam kết về môi trường, sức khỏe và an toàn cùng các cam kết trách nhiệm doanh nghiệp khác của chúng tôi; thu hút các phương tiện truyền thông; và tuân thủ các yêu cầu pháp lý, quy định hoặc đạo đức có liên quan.

Chính sách này cũng được áp dụng cho tất cả những người mà chúng tôi có xử lý thông tin, bao gồm nhưng không giới hạn ở chuyên gia y tế và các khách hàng khác của chúng tôi; nhân viên tiềm năng, hiện tại và trước đây cùng những người phụ thuộc vào họ, bệnh nhân, người chăm sóc, nhà nghiên cứu và những người tham gia vào nghiên cứu, thành viên ủy ban khoa học và đạo đức, đối tác kinh doanh, nhà đầu tư và cổ đông, quan chức chính phủ cùng với các bên liên quan khác.

Tất cả Nhân viên công ty và Lãnh đạo cấp cao đều phải duy trì các trách nhiệm về quyền riêng tư cốt lõi.

Chúng tôi nhận thấy rằng các lỗi vô ý và đánh giá sai liên quan đến việc bảo vệ thông tin của mọi người có thể tạo ra rủi ro về quyền riêng tư cho các cá nhân cùng với các rủi ro về uy tín, hoạt động, tài chính và tuân thủ đối với Công ty chúng tôi. Chúng tôi sẽ thực hiện đào tạo đầy đủ Chính sách này cho tất cả các nhân viên và nhân sự khác, là người có quyền truy cập lâu dài hoặc thường xuyên vào Thông tin cá nhân, những người có liên quan đến việc thu thập dữ liệu hoặc phát triển các công cụ được dùng để xử lý Thông tin cá nhân. Mọi nhân viên trong công ty chúng tôi, và những người khác xử lý thông tin về con người cho công ty chúng tôi, đều có trách nhiệm hiểu rõ và duy trì nghĩa vụ của họ tuân theo Chính sách này và Luật pháp hiện hành.

Các giá trị và tiêu chuẩn của chúng tôi

Chúng tôi duy trì các giá trị quyền riêng tư của mình trong mọi hoạt động liên quan đến con người, kể cả cách chúng tôi áp dụng các tiêu chuẩn quyền riêng tư của mình. Bốn giá trị về quyền riêng tư của chúng tôi là:

Tôn trọng	Tin tưởng	Tránh gây Tổn hại	Tuân thủ
Chúng tôi nhận ra rằng mối quan ngại về quyền riêng tư thường liên quan đến bản chất chúng tôi là ai, quan điểm của chúng tôi về thế giới ra sao và cách chúng tôi xác định bản thân, do đó chúng tôi cố gắng tôn trọng quan điểm và lợi ích của các cá nhân cũng như cộng đồng, và duy trì tính công bằng và minh bạch trong cách chúng tôi sử dụng và chia sẻ thông tin về họ.	Chúng tôi biết rằng lòng tin rất quan trọng cho sự thành công của mình, vì vậy chúng tôi cố gắng xây dựng và duy trì lòng tin của khách hàng, nhân viên, bệnh nhân và các bên liên quan khác theo cách chúng tôi tôn trọng quyền riêng tư và bảo vệ thông tin về con người.	Chúng tôi hiểu rằng việc lạm dụng thông tin về con người có thể gây tổn hại cả hữu hình và vô hình cho các cá nhân, do đó chúng tôi cố gắng ngăn chặn tổn hại về thể chất, tài chính, danh tiếng và các loại tổn hại về quyền riêng tư khác cho cá nhân.	Chúng tôi biết được rằng luật pháp và các quy định không thể luôn theo kịp với những thay đổi nhanh chóng về công nghệ, các luồng dữ liệu và thay đổi đi kèm về rủi ro cũng như kỳ vọng về quyền riêng tư, vì vậy chúng tôi cố gắng tuân thủ cả tinh thần và câu chữ của các luật và quy định về quyền riêng tư và bảo mật dữ liệu theo cách duy trì tính nhất quán và hiệu quả cho các hoạt động kinh doanh toàn cầu của mình.

1. Chúng tôi áp dụng các tiêu chuẩn bảo mật vào tất cả các hoạt động, quy trình, công nghệ và các mối quan hệ với bên thứ ba có sử dụng Thông tin cá nhân. Chúng tôi thiết kế các quy định kiểm soát quyền riêng tư trong các quy trình và công nghệ phù hợp với các giá trị và các tiêu chuẩn của mình cũng như luật hiện hành về quyền riêng tư. 8 nguyên tắc về quyền riêng tư được nêu dưới đây sẽ tóm tắt các tiêu chuẩn của chúng tôi về quyền riêng tư và những yêu cầu cốt lõi cho các quy trình, hoạt động và các công nghệ hỗ trợ ở mức độ cao.

   Nguyên tắc về Quyền riêng tư	Cam kết cốt lõi của chúng tôi
   1. Tính cần thiết – Trước khi thu thập, sử dụng hoặc chia sẻ Thông tin cá nhân, chúng tôi xác định và ghi chép mục đích kinh doanh cụ thể, hợp pháp cần đến những thông tin đó.	Chúng tôi xác định và ghi lại thời gian tồn tại cần thiết của Thông tin cá nhân cho những mục đích kinh doanh được xác định và các yêu cầu pháp lý hiện hành. Chúng tôi không thu thập, sử dụng hoặc chia sẻ nhiều Thông tin cá nhân hơn mức cần thiết hoặc lưu giữ dưới định dạng nhận diện được lâu hơn mức cần thiết cho các mục đích kinh doanh được xác định và các yêu cầu của luật pháp hiện hành. Chúng tôi ẩn danh dữ liệu khi các yêu cầu kinh doanh đòi hỏi thông tin về hoạt động hoặc quy trình phải được lưu giữ trong một khoảng thời gian dài hơn. Chúng tôi đảm bảo rằng các yêu cầu cần thiết này sẽ được thiết kế thành bất kỳ công nghệ hỗ trợ nào và chúng phải được truyền đạt tới các bên thứ ba hỗ trợ hoạt động hoặc quy trình đó.
   2. Sự công bằng – Chúng tôi không xử lý Thông tin cá nhân theo cách thức không công bằng với những người có liên quan đến dữ liệu đó.	Chúng tôi xác định liệu rằng việc thu thập, sử dụng hoặc cách xử lý khác đối với Thông tin cá nhân được đề xuất có tạo ra rủi ro tiềm tàng và/hoặc nghiêm trọng gây tổn hại vô hình hoặc hữu hình đối với các cá nhân theo giá trị quyền riêng tư của chúng tôi nhằm Tránh gây tổn hại hay không. Nếu bản chất của dữ liệu, nhóm người hoặc hoạt động có tạo ra rủi ro tiềm tàng và/hoặc nghiêm trọng gây tổn hại vô hình hoặc hữu hình đối với các cá nhân, chúng tôi đảm bảo rằng nguy cơ tổn hại đó sẽ không vượt qua lợi ích tương ứng cho các cá nhân đó hoặc nhiệm vụ của chúng tôi là bảo vệ và cải thiện cuộc sống, cũng như được giảm bớt bằng các biện pháp bảo đảm, biện pháp bảo vệ và cơ chế mà chúng tôi đã đưa ra. Trong trường hợp rủi ro có vẻ lớn hơn lợi ích cho cá nhân, chúng tôi áp dụng biện pháp bảo mật và bảo vệ phù hợp nhất, thông báo cho các cá nhân về sự việc này, đồng thời xin ý kiến tư vấn của cơ quan quản lý có thẩm quyền khi có thể. Chúng tôi chỉ xử lý Thông tin nhạy cảm khi có sự cho phép rõ ràng của các cá nhân, được pháp luật hiện hành yêu cầu hoặc cho phép một cách rõ ràng. Trong trường hợp rủi ro có vẻ lớn hơn lợi ích cho cá nhân, chúng tôi ghi lại kết quả phân tích rủi ro và thiết lập bất kỳ cơ chế cần thiết nào để giảm thiểu rủi ro nhiều nhất có thể.
   3. Tính minh bạch – Chúng tôi không xử lý Thông tin cá nhân theo cách thức hoặc với các mục đích không minh bạch.	Tất cả các cá nhân có Thông tin cá nhân được xử lý theo Chính sách này sẽ có quyền sao chép lại Chính sách này. Chúng tôi sẽ cung cấp các bản sao của Chính sách này trực tuyến tại https://www.msdprivacy.com/index.html. Văn phòng Quyền riêng tư Toàn cầu sẽ cung cấp các bản sao điện tử và/hoặc bản giấy của Chính sách này theo yêu cầu tới các địa chỉ được nêu dưới đây. Khi thu thập Thông tin cá nhân trực tiếp từ các cá nhân, chúng tôi thông báo cho họ, trước khi thu thập thông tin và thông qua một thông báo về quyền riêng tư rõ ràng, dễ thấy và dễ truy cập hoặc bằng các phương tiện tương tự, về (1) đơn vị của công ty hoặc các đơn vị chịu trách nhiệm xử lý, (2) chi tiết liên hệ của Giám đốc Quyền riêng tư của chúng tôi và/hoặc Cán bộ Quyền riêng tư tại khu vực/địa phương, (3) những thông tin nào sẽ được thu thập, (4) các mục đích sử dụng, (5) cơ sở pháp lý để chúng tôi xử lý, (6) sẽ được chia sẻ với ai, bao gồm mọi yêu cầu tiết lộ Thông tin cá nhân để đáp ứng các yêu cầu hợp pháp của cơ quan chính phủ, (7) khả năng và cách thức chúng tôi sẽ chuyển Thông tin cá nhân sang các quốc gia khác, kể cả các quốc gia có liên quan nếu khả thi, (8) thời gian lưu giữ hoặc các tiêu chí làm cơ sở cho chúng tôi đưa ra quyết định đó, (9) cách thức để họ có thể đặt câu hỏi, nêu lên quan ngại hoặc thực hiện các quyền của họ liên quan đến Thông tin cá nhân của mình, (10) làm thế nào để họ có thể thu hồi lại bất kỳ sự chấp thuận nào họ đã đưa ra, (11) quyền khiếu nại của họ lên cơ quan giám sát, (12) bất kỳ nghĩa vụ cung cấp Thông tin cá nhân nào và hậu quả của việc không làm như vậy, (13) mọi quyết định thực hiện tự động, bao gồm cả việc lập hồ sơ, mà chúng tôi sẽ thực hiện, và (14) một liên kết tới Chính sách này, khi có thể và phù hợp. Toàn bộ các thông báo về quyền riêng tư của chúng tôi cho nhiều bên liên quan được cung cấp trực tuyến tại http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html Khi Thông tin cá nhân có được thông qua việc giám sát, cảm biến hoặc bằng các phương tiện gián tiếp khác, việc cung cấp thông báo quyền riêng tư trực tiếp tới cá nhân có thể sẽ không thực hiện được tại thời điểm thông tin được thu thập. Trong các trường hợp đó, chúng tôi đảm bảo tính minh bạch cho cá nhân thông qua các phương tiện khác, chẳng hạn như được đăng tải hoặc in ấn trên thiết bị hoặc các tài liệu có liên quan đến thiết bị sẽ nhận được thông tin đó. Khi thu thập Thông tin cá nhân thông qua trang web, ứng dụng di động hoặc tài nguyên hay ứng dụng trực tuyến khác, chúng tôi áp dụng các tiêu chuẩn dành riêng cho công nghệ được quy định trong Chính sách quyền riêng tư Internet và Cam kết Quyền riêng tư Cookie của chúng tôi để đảm bảo đáp ứng được các yêu cầu về tính minh bạch theo Chính sách này. Khi thu thập Thông tin cá nhân từ các nguồn khác và không cụ thể theo hướng dẫn của công ty chúng tôi, trước khi có được thông tin, chúng tôi sẽ xác minh bằng văn bản rằng nhà cung cấp thông tin đã thông báo cho cá nhân về các cách thức và mục đích mà công ty chúng tôi dự định cho việc sử dụng thông tin. Nếu không thể có được xác minh bằng văn bản từ nhà cung cấp thông tin, chúng ta chỉ sử dụng thông tin ẩn danh hoặc trước khi sử dụng Thông tin cá nhân, chúng ta sẽ thông báo cho các cá nhân bị ảnh hưởng thông qua thông báo về quyền riêng tư rõ ràng, dễ thấy và dễ truy cập hoặc bằng các phương tiện tương tự, về (1) đơn vị hoặc các đơn vị thuộc công ty chúng ta chịu trách nhiệm xử lý thông tin, (2) chi tiết liên hệ của Tổng giám đốc Quyền riêng tư của chúng ta và/hoặc Chuyên viên bảo vệ dữ liệu tại khu vực/địa phương, (3) những thông tin nào mà công ty chúng ta dự định sẽ sử dụng, (4) các mục đích theo đó công ty chúng ta dự định sử dụng thông tin, (5) cơ sở pháp lý cho việc xử lý, (6) công ty chúng ta sẽ chia sẻ thông tin đó với ai, (7) khả năng và cách thức chúng ta sẽ chuyển Thông tin cá nhân sang các quốc gia khác, kể cả các quốc gia có liên quan nếu khả thi, (8) công ty chúng ta sẽ lưu trữ thông tin trong bao lâu hoặc các tiêu chí làm cơ sở cho chúng ta đưa ra quyết định đó, (9) cách thức để họ có thể đặt câu hỏi, nêu lên quan ngại hoặc thực hiện các quyền của họ liên quan đến Thông tin cá nhân của mình, (10) làm thế nào để họ có thể thu hồi lại bất kỳ sự chấp thuận nào họ đã đưa ra, (11) quyền khiếu nại của họ lên cơ quan giám sát, (12) bất kỳ nghĩa vụ cung cấp Thông tin cá nhân nào và hậu quả của việc không làm như vậy, (13) mọi quyết định thực hiện tự động, bao gồm cả việc lập hồ sơ, mà chúng ta sẽ thực hiện, và (14) một liên kết tới Chính sách này, khi có thể và phù hợp. Chúng tôi đảm bảo rằng các cơ chế minh bạch cần thiết, nếu có thể sẽ bao gồm các cơ chế hỗ trợ yêu cầu quyền cá nhân, được thiết kế thành các công nghệ hỗ trợ, và rằng các bên thứ ba hỗ trợ hoạt động hoặc quy trình sẽ không xử lý thông tin về con người theo cách thức không phù hợp với những gì cá nhân đó đã được biết thông qua một thông báo về quyền riêng tư hoặc các phương tiện có thể kiểm chứng khác mà chúng tôi và những người khác làm việc cho chúng tôi sẽ thực hiện đối với thông tin đó. Khi lấy sự đồng ý, chúng tôi thu thập và ghi lại bằng chứng về sự đồng ý bằng các công nghệ hỗ trợ.
   4. Giới hạn Mục đích – Chúng tôi chỉ sử dụng Thông tin cá nhân phù hợp với các nguyên tắc về Tính cần thiết và Tính minh bạch.	Khi có các mục đích kinh doanh hợp pháp mới được xác định đối với Thông tin cá nhân đã được thu thập trước đó, chúng tôi sẽ phải có được sự chấp thuận của cá nhân đối với việc sử dụng mới đối với Thông tin cá nhân đó, hoặc chúng tôi sẽ đảm bảo rằng mục đích kinh doanh mới phải tương thích, bao gồm cả sự tương tự chủ chốt, với các mục đích được mô tả trong thông báo quyền riêng tư hoặc cơ chế minh bạch khác mà trước đây đã được thông báo cho cá nhân đó. Chúng tôi sẽ xác định khả năng tương thích dựa trên (1) bất kỳ liên kết nào giữa mục đích ban đầu với mục đích mới được đề xuất, (2) các kỳ vọng hợp lý của cá nhân, (3) bản chất của Thông tin cá nhân, (4) hậu quả của việc xử lý tiếp theo đối với cá nhân và (5) các biện pháp bảo vệ mà chúng tôi đã áp dụng. Chúng tôi không áp dụng nguyên tắc này cho thông tin ẩn danh hoặc khi chúng tôi sử dụng Thông tin cá nhân chỉ cho mục đích nghiên cứu khoa học và lịch sử, và (1) một Ủy ban Đánh giá Đạo đức hoặc người đánh giá có thẩm quyền khác, đã xác định rằng rủi ro của việc sử dụng đó đối với quyền riêng tư và các quyền khác của cá nhân là ở mức có thể chấp nhận được, (2) chúng tôi đã đưa ra các biện pháp bảo vệ phù hợp nhằm đảm bảo dữ liệu ở mức tối thiểu, (3) dữ liệu cá nhân phải được ẩn danh và (4) phải tôn trọng pháp Luật hiện hành. Chúng tôi đảm bảo rằng các hạn chế giới hạn mục đích phải được thiết kế thành bất kỳ công nghệ hỗ trợ nào, bao gồm bất kỳ khả năng báo cáo và chia sẻ dữ liệu tiếp theo nào.
   5. Chất lượng Dữ liệu – Chúng tôi duy trì Thông tin cá nhân phải chính xác, đầy đủ và cập nhật phù hợp với mục đích sử dụng.	Chúng tôi đảm bảo rằng các cơ chế xem xét dữ liệu định kỳ phải được thiết kế thành các công nghệ hỗ trợ để xác thực tính chính xác của dữ liệu so với các hệ thống nguồn và nguồn tiếp theo. Chúng tôi đảm bảo rằng Thông tin Nhạy cảm phải được xác thực là chính xác và cập nhật trước khi sử dụng, đánh giá, phân tích, báo cáo hoặc cách xử lý khác mà gây ra nguy cơ thiếu công bằng cho mọi người nếu sử dụng dữ liệu không chính xác hoặc lỗi thời. Khi công ty chúng tôi hoặc các bên thứ ba làm việc cho công ty chúng tôi thực hiện các thay đổi đối với Thông tin cá nhân, chúng tôi đảm bảo rằng những thay đổi đó phải được truyền đạt tới các cá nhân có liên quan một cách kịp thời ngay khi có thể.
   6. Tính bảo mật – Chúng tôi thực thi các biện pháp bảo vệ Thông tin cá nhân và Thông tin nhạy cảm để không bị mất, bị sử dụng sai mục đích và truy cập trái phép, tiết lộ, thay đổi hoặc phá hủy.	Chúng tôi đã triển khai một chương trình bảo mật thông tin toàn diện và chúng tôi sẽ áp dụng các biện pháp kiểm soát bảo mật dựa trên mức độ nhạy cảm của thông tin cũng như mức độ rủi ro của hoạt động đó, có tính đến các thực tiễn tốt nhất về công nghệ hiện tại và chi phí thực hiện. Các chính sách bảo mật chức năng của chúng tôi bao gồm, nhưng không giới hạn ở các tiêu chuẩn về tính liên tục trong kinh doanh và việc khắc phục thảm họa, mã hóa, quản lý truy cập và nhận diện, phân loại thông tin, quản lý sự cố bảo mật thông tin, kiểm soát truy cập mạng, bảo mật vật lý và quản lý rủi ro.
   7. Chuyển giao dữ liệu – Chúng tôi chịu trách nhiệm và có các biện pháp bảo vệ quyền riêng tư đối với Thông tin cá nhân khi được chuyển đến hoặc từ các tổ chức khác hoặc qua biên giới quốc gia.	(1) Chúng tôi được chuyển giao Thông tin cá nhân trong nội bộ công ty nếu đáp ứng các yêu cầu sau: (1) việc chia sẻ là cần thiết để đạt được mục đích thu thập Thông tin cá nhân từ ban đầu hoặc vì lợi ích hợp pháp khác của công ty và (2) vì mục đích cho việc chia sẻ thông tin, với thực tế là thông tin sẽ được chia sẻ, phù hợp với thông báo quyền riêng tư hoặc cơ chế minh bạch khác đã được thông báo trước đây cho cá nhân tại thời điểm thu thập Thông tin cá nhân ban đầu và cá nhân đã đồng ý nếu cần. (3) khi một trong các chi nhánh của công ty chúng tôi hoạt động đơn thuần thay mặt cho một chi nhánh khác của công ty chúng tôi để xử lý Thông tin cá nhân, (4) theo yêu cầu của Pháp luật, các chi nhánh đó của công ty chúng tôi sẽ phải ký thỏa thuận xử lý dữ liệu nội bộ theo Nguyên tắc 8 của Chính sách này. (5) khi việc chuyển giao đó là cần thiết cho cơ sở hạ tầng CNTT, với điều kiện là áp dụng mọi biện pháp bảo mật và sắp xếp phù hợp để đảm bảo hoạt động chuyển giao tuân thủ. (2) Chúng tôi chỉ chuyển Thông tin cá nhân đến hoặc cho phép bên thứ ba xử lý nếu các yêu cầu sau được đáp ứng và chúng tôi phải chịu trách nhiệm đảm bảo rằng các bên thứ ba chúng tôi thuê sẽ đáp ứng được các yêu cầu này: Nếu vai trò của bên thứ ba là xử lý Thông tin cá nhân cho hoặc thay mặt cho công ty chúng tôi, trước khi cung cấp Thông tin cá nhân cho bên thứ ba hoặc thuê bên thứ ba đó, chúng tôi phải: (1) hoàn thành việc điều tra chi tiết quyền riêng tư để đánh giá các thực tiễn và rủi ro về quyền riêng tư liên quan đến các bên thứ ba đó, (2) có được sự đảm bảo bằng hợp đồng từ các bên thứ ba rằng họ sẽ xử lý Thông tin cá nhân tuân theo hướng dẫn của công ty chúng tôi và theo Chính sách này, bao gồm nhưng không giới hạn tất cả 8 Nguyên tắc về quyền riêng tư và các tiêu chuẩn khác được quy định trong Chính sách này cũng như theo Luật hiện hành, rằng họ sẽ thông báo kịp thời cho Công ty chúng tôi về bất kỳ Sự cố quyền riêng tư nào (bao gồm mọi trường hợp bất tuân thủ các tiêu chuẩn được quy định trong Chính sách này và pháp luật hiện hành) hoặc Sự cố bảo mật, đồng thời phải hợp tác để khắc phục kịp thời mọi Sự cố đã được chứng minh cũng như đáp ứng các quyền cá nhân được nêu trong Phần 2 dưới đây, và rằng họ sẽ không cho phép công ty khác xử lý Thông tin cá nhân khi không có sự cho phép bằng văn bản của chúng tôi và không đưa ra thỏa thuận áp dụng dữ liệu có các nghĩa vụ bảo vệ tương đương, rằng họ sẽ phải xóa hoặc trả lại cho chúng tôi tất cả Thông tin cá nhân sau khi họ đã hoàn thành việc cung cấp dịch vụ cho chúng tôi hoặc theo yêu cầu của chúng tôi, và rằng họ sẽ cho phép công ty chúng tôi kiểm toán cũng như giám sát các hoạt động của họ trong suốt thời gian xử lý để tuân thủ các yêu cầu này. Ngoài ra, nếu bên thứ ba xử lý Thông tin cá nhân có nguồn gốc từ một quốc gia hoặc vùng lãnh thổ có điều luật hạn chế chuyển giao Thông tin cá nhân, chúng tôi sẽ phải đảm bảo rằng việc chuyển giao cho bên thứ ba đáp ứng được các yêu cầu về chuyển giao dữ liệu xuyên biên giới như được mô tả trong mục (3) dưới đây. Nếu vai trò của bên thứ ba là cung cấp Thông tin cá nhân cho công ty chúng tôi, trước khi lấy Thông tin cá nhân từ bên thứ ba, chúng tôi phải đảm bảo đáp ứng được các yêu cầu về Tính minh bạch trong thu thập Thông tin cá nhân từ các nguồn khác và không theo chỉ đạo cụ thể của công ty chúng tôi, và chúng tôi phải có được sự cam kết bằng hợp đồng từ bên thứ ba rằng họ sẽ không vi phạm bất kỳ quy định pháp luật hoặc quyền của bất kỳ bên thứ ba nào khi cung cấp Thông tin cá nhân cho công ty chúng tôi. Nếu vai trò của bên thứ ba là nhận thông tin từ công ty chúng tôi để xử lý không theo chỉ đạo cụ thể của công ty chúng tôi, trước khi cung cấp thông tin cho bên thứ ba, chúng tôi phải đảm bảo rằng thông tin đó đã được ẩn danh, và chúng tôi phải có được sự đảm bảo bằng văn bản từ bên thứ ba rằng họ sẽ chỉ sử dụng thông tin cho các mục đích công việc được đề ra trong thỏa thuận cũng như theo luật pháp hiện hành, và rằng họ sẽ không cố gắng định danh lại thông tin. Nếu việc chuyển giao cho bên thứ ba là bắt buộc để bảo vệ lợi ích hợp pháp của cá nhân hoặc của công ty, chúng tôi có thể chuyển thông tin: (1) cho mục đích phòng chống gian lận hoặc để thực thi hay bảo vệ các quyền và tài sản của công ty, (2) nhằm bảo vệ sự an toàn cá nhân của nhân viên hoặc bên thứ ba tại địa bàn của chúng tôi, và (3) để bảo vệ tài sản của chúng tôi bằng cách thực hiện các biện pháp bảo mật khắc phục nếu chúng tôi có sự nghi ngờ hợp lý rằng đã xảy ra hoạt động bất hợp pháp hoặc hành vi sai trái nghiêm trọng. Nếu bên thứ ba là mục tiêu bị công ty chúng tôi mua lại hoặc kiểm soát lợi ích, (1) trước khi ký kết thỏa thuận mua lại bên thứ ba đó hoặc có được quyền lợi kiểm soát đối với bên thứ ba đó, chúng tôi phải hoàn thành việc điều tra chi tiết quyền riêng tư để đánh giá các thực tiễn và rủi ro về quyền riêng tư liên quan đến việc mua lại bên thứ ba đó hoặc kiểm soát lợi ích của bên thứ ba đó, và (2) chúng tôi phải ký kết một thỏa thuận chuyển giao dữ liệu có nêu rõ các điều khoản và điều kiện mà theo đó Thông tin cá nhân có thể được tiết lộ cùng với các nghĩa vụ tương ứng của công ty chúng tôi và bên thứ ba đó. Nếu vai trò của bên thứ ba là mua lại toàn bộ hoặc một phần hoạt động kinh doanh của công ty chúng tôi, trước khi chia sẻ bất kỳ Thông tin cá nhân nào liên quan đến việc thoái vốn bất kỳ phần nào trong hoạt động kinh doanh của công ty, chúng tôi phải (1) ký kết thỏa thuận chuyển giao dữ liệu có nêu rõ các điều khoản và điều kiện để Thông tin cá nhân có thể được tiết lộ cho người mua, bao gồm các giới hạn phù hợp cho việc được phép sử dụng Thông tin cá nhân, cũng như việc tuân thủ tiêu chuẩn được nêu trong Chính sách này cũng như Luật pháp hiện hành, (2) xem xét tất cả các yếu tố dữ liệu về con người trước khi chia sẻ để đánh giá các yêu cầu chia sẻ, (3) có được sự chấp thuận chia sẻ Thông tin cá nhân hoặc Thông tin nhạy cảm theo các nguyên tắc Tính minh bạch và Giới hạn mục đích trong Chính sách này và (4) yêu cầu bên thứ ba phải thông báo kịp thời cho công ty chúng tôi về bất kỳ Sự cố quyền riêng tư hiện hành nào, bao gồm mọi trường hợp bất tuân thủ các tiêu chuẩn được quy định trong Chính sách này cũng như Luật pháp hiện hành, và phải hợp tác để khắc phục kịp thời mọi Sự cố đã được chứng minh hoặc ngừng việc Xử lý Thông tin cá nhân có liên quan. (3) Chúng tôi chuyển giao Thông tin cá nhân qua biên giới quốc gia, bao gồm cả Hoa Kỳ, bởi hoặc thay mặt công ty chúng tôi theo Chính sách này. Chúng tôi sẽ áp dụng Chính sách này để chuyển giao Thông tin cá nhân từ bất kỳ quốc gia hoặc vùng lãnh thổ nào khác có điều luật hạn chế chuyển giao Thông tin cá nhân, ngoài việc tuân thủ mọi yêu cầu của pháp luật hiện hành đó (bao gồm cả việc sử dụng bất kỳ cơ chế nào cần thiết cho việc chuyển giao xuyên biên giới đến những quốc gia không có cùng tiêu chuẩn bảo vệ dữ liệu với quốc gia chuyển giao thông tin).
   8. Luật pháp cho phép – Chúng tôi chỉ xử lý Thông tin cá nhân nếu đã đáp ứng được các yêu cầu của luật hiện hành.	Mặc dù có 7 nguyên tắc khác về quyền riêng tư, cũng như các yêu cầu của Quyền cá nhân được mô tả dưới đây, nhằm để đảm bảo đáp ứng được các yêu cầu của hầu hết các luật bảo vệ dữ liệu và quyền riêng tư áp dụng cho doanh nghiệp của chúng tôi trên toàn thế giới, chúng tôi cần phải đáp ứng thêm các yêu cầu bổ sung, bao gồm nhưng không giới hạn ở những điều sau đây: 1) Nếu cần thiết, chúng tôi sẽ phải có được các mẫu chấp thuận cụ thể cho việc xử lý Thông tin cá nhân nhất định, bao gồm nhưng không giới hạn ở sự phê duyệt việc xử lý bởi các hội đồng công xưởng và các công đoàn lao động khác; 2) Nếu cần thiết, chúng tôi sẽ đăng ký việc xử lý Thông tin cá nhân thông qua hoặc tìm kiếm sự chấp thuận của cơ quan quản lý bảo mật dữ liệu hay quyền riêng tư hiện hành; 3) Nếu cần thiết, chúng tôi sẽ cung cấp các quyền phạm vi rộng hơn (ví dụ như quyền truy cập và chỉnh sửa) so với quy định trong Chính sách này; 4) Nếu cần thiết, chúng tôi sẽ giới hạn hơn nữa thời gian lưu trữ dữ liệu Thông tin cá nhân; và 5) Nếu cần thiết, chúng tôi sẽ ký kết các thỏa thuận có các điều khoản ràng buộc, bao gồm các thỏa thuận cho việc chuyển giao dữ liệu xuyên quốc gia cho bên thứ ba. 6) Nếu cần thiết, chúng tôi sẽ tiết lộ thông tin cá nhân để đáp ứng yêu cầu hợp pháp của các cơ quan có thẩm quyền, bao gồm việc đáp ứng các yêu cầu về an ninh quốc gia hoặc thực thi pháp luật. Trong trường hợp có xung đột giữa Chính sách này và luật hiện hành, tiêu chuẩn nào mang lại khả năng bảo vệ cao hơn cho các cá nhân sẽ được áp dụng.

2. Chúng tôi sẽ giải quyết kịp thời các yêu cầu theo quyền cá nhân cho việc truy cập, sửa đổi, chỉnh sửa hoặc xóa Thông tin cá nhân, phản đối việc xử lý Thông tin cá nhân của họ hoặc thực hiện các quyền khác về Thông tin cá nhân của họ.
   1. Truy cập, Sửa chữa, Xóa và các quyền khác – Theo Luật tại hầu hết các quốc gia, các cá nhân có quyền truy cập vào Thông tin cá nhân của bản thân để sửa đổi, chỉnh sửa, hoặc xóa Thông tin cá nhân không chính xác, không đầy đủ hay chưa cập nhật. Chúng tôi sẽ tôn trọng tất cả các yêu cầu truy cập, chỉnh sửa và xóa Thông tin cá nhân từ mọi cá nhân theo Mục 3a dưới đây. Nếu có yêu cầu truy cập, chỉnh sửa hoặc xóa được điều chỉnh theo Luật hiện hành mà có sự bảo vệ tốt hơn cho các cá nhân, chúng tôi sẽ đảm bảo rằng các yêu cầu bổ sung theo Luật đó sẽ được đáp ứng.

      Ở một số quốc gia, các cá nhân có thể được hưởng các quyền khác đối với Thông tin cá nhân của bản thân họ, chẳng hạn như quyền hạn chế xử lý, phản đối việc xử lý (xem thêm Phần 2b bên dưới) và việc chuyển giao dữ liệu của họ sang một nhà cung cấp dịch vụ khác. Chúng tôi sẽ tôn trọng việc thực thi các quyền dữ liệu theo pháp luật hiện hành. Một số quyền như xóa có thể bị hạn chế theo các yêu cầu quy định khác hoặc cần phải tuân thủ quy trình báo cáo tuân thủ của địa phương, trong trường hợp đó, chúng tôi sẽ thông báo cho bạn về những hạn chế này (nếu có).

   2. Lựa chọn- Để phù hợp với các giá trị quyền riêng tư của chúng tôi về “Tôn trọng” và “Tin tưởng”, chúng tôi tôn trọng các yêu cầu của cá nhân khi phản đối việc xử lý Thông tin cá nhân, bao gồm, nhưng không giới hạn ở việc từ chối các chương trình hoặc hoạt động mà trước đó họ đồng ý tham gia, việc xử lý Thông tin cá nhân của họ cho việc truyền thông tiếp thị trực tiếp, truyền thông hướng đến họ dựa trên Thông tin cá nhân của họ, và mọi đánh giá hoặc quyết định về họ, mà có khả năng ảnh hưởng đáng kể đến họ, được thực hiện bằng cách ứng dụng tự động hóa hoặc thuật toán.
      1. Ngoại trừ trường hợp bị pháp luật cấm, chúng tôi có thể từ chối lựa chọn khi có một yêu cầu lựa chọn cụ thể gây cản trở công ty chúng tôi không thể: (1) tuân thủ pháp luật hoặc một nghĩa vụ đạo đức, bao gồm cả khi chúng tôi được yêu cầu tiết lộ thông tin cá nhân để đáp ứng các yêu cầu hợp pháp của cơ quan công quyền, bao gồm việc đáp ứng các yêu cầu về an ninh quốc gia hoặc thực thi pháp luật, (2) điều tra, đưa ra hoặc bào chữa cho các tranh chấp pháp lý, và (3) thực hiện hợp đồng, quản trị các mối quan hệ hoặc tham gia vào các hoạt động kinh doanh được phép khác phù hợp với các nguyên tắc Tính minh bạch và Giới hạn mục đích và được ký kết dựa trên thông tin về người đang được đề cập. Trong vòng mười lăm ngày làm việc kể từ khi có bất kỳ quyết định từ chối yêu cầu lựa chọn nào theo Chính sách này, chúng tôi sẽ lập văn bản và truyền đạt quyết định đó tới người yêu cầu.
3. Chúng tôi sẽ đáp ứng kịp thời và báo cáo lên trên tất cả các thắc mắc, khiếu nại, quan ngại liên quan đến quyền riêng tư cũng như bất kỳ Sự cố quyền riêng tư hoặc Sự cố bảo mật nào.
   1. Bất kỳ cá nhân nào mà chúng tôi có xử lý Thông tin cá nhân của họ trong phạm vi Chính sách này có thể đưa ra thắc mắc, khiếu nại hoặc quan ngại đối với công ty chúng tôi tại mọi thời điểm, bao gồm việc yêu cầu một danh sách các chi nhánh của công ty chúng tôi phải tuân theo Chính sách này. Chúng tôi kỳ vọng rằng các nhân viên chúng tôi, cũng như những người khác làm việc thay mặt cho công ty chúng tôi, phải thông báo kịp thời khi họ có lý do để tin rằng pháp luật hiện hành có thể ngăn cấm họ tuân thủ theo Chính sách này. Bất kỳ thắc mắc, khiếu nại hoặc quan ngại nào được một cá nhân đưa ra, hoặc bất kỳ thông báo nào do nhân viên hay bất kỳ người nào khác làm việc thay mặt cho công ty chúng tôi, đều được chuyển đến Văn phòng Quyền riêng tư Toàn cầu:
      1. Bằng cách gửi email đến địa chỉ sau đây đối với những cá nhân cư trú ở Khu vực Kinh tế Châu Âu (EEA): euprivacydpo@msd.com
      2. Bằng cách gửi email đến địa chỉ sau đây đối với những cá nhân không cư trú ở Khu vực Kinh tế Châu Âu (EEA): msd_privacy_office@msd.com
      3. Bằng cách gửi thư qua đường bưu điện đến địa chỉ: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
   2. Các nhân viên và nhà thầu được yêu cầu phải thông báo kịp thời cho Văn phòng Quyền riêng tư Toàn cầu hoặc tới Giám đốc Quyền riêng tư tại khu vực kinh doanh của họ khi có bất kỳ thắc mắc, khiếu nại hoặc quan ngại liên quan đến thực tiễn về quyền riêng tư của công ty chúng tôi.
   3. Văn phòng Quyền riêng tư Toàn cầu sẽ xem xét và điều tra, hoặc sẽ làm việc với Văn phòng Đạo đức, Pháp lý và Tuân thủ để điều tra tất cả các thắc mắc, khiếu nại hoặc quan ngại liên quan đến thực tiễn về quyền riêng tư của công ty chúng tôi, cho dù tiếp nhận trực tiếp từ nhân viên hoặc cá nhân khác hoặc thông qua bên thứ ba, bao gồm, nhưng không giới hạn ở các cơ quan quản lý, đại diện có trách nhiệm và các cơ quan chính phủ khác. Chúng tôi sẽ phản hồi lại cho cá nhân hoặc pháp nhân đặt ra thắc mắc, khiếu nại hoặc quan ngại tới công ty chúng tôi trong vòng ba mươi (30) ngày dương lịch, trừ khi Luật pháp hoặc người yêu cầu bên thứ ba đòi hỏi phải trả lời trong một khoảng thời gian ngắn hơn hoặc trừ các trường hợp như khi có sự điều tra cùng thời điểm của chính phủ yêu cầu một khoảng thời gian dài hơn, trong trường hợp đó, người yêu cầu cá nhân hoặc bên thứ ba sẽ được thông báo bằng văn bản sớm nhất có thể theo bản chất chung của các trường hợp góp phần gây ra sự chậm trễ.
   4. Văn phòng Quyền riêng tư Toàn cầu, phối hợp với bộ phận Pháp lý và Tuân thủ, sẽ hợp tác để đáp ứng với bất kỳ yêu cầu, kiểm tra hoặc điều tra nào từ cơ quan quản lý quyền riêng tư.
   5. Đối với các khiếu nại không thể giải quyết giữa công ty chúng tôi và cá nhân khiếu nại, công ty chúng tôi đã đồng ý tham gia các thủ tục giải quyết tranh chấp như sau đây trong quá trình điều tra và giải pháp khiếu nại để giải quyết tranh chấp theo Chính sách này, tuy nhiên, tại bất cứ thời điểm nào, các cá nhân cư trú trong EEA hoặc cá nhân có Thông tin cá nhân tuân theo Luật bảo vệ dữ liệu của EEA và được chuyển giao ra bên ngoài EEA, cũng có thể dựa theo tiêu chuẩn 3.f. bên dưới:
      1. Đối với những tranh chấp liên quan đến việc chuyển giao Thông tin cá nhân từ EEA và Vương quốc Anh tới Hoa Kỳ cho các hoạt động nhân sự trong bối cảnh mối quan hệ công việc, công ty chúng tôi cam kết hợp tác với hội đồng thẩm quyền bảo vệ dữ liệu phù hợp của EU và Vương quốc Anh.
      2. Đối với những tranh chấp liên quan đến việc chuyển giao Thông tin cá nhân từ Thụy Sĩ tới Hoa Kỳ cho các hoạt động nhân sự trong bối cảnh mối quan hệ công việc, công ty chúng tôi cam kết hợp tác với FDPIC của Thụy Sĩ.
      3. Đối với những tranh chấp liên quan đến việc chuyển giao Thông tin cá nhân để Công ty chúng tôi tuân thủ Quy tắc quyền riêng tư xuyên biên giới (“CBPR”) của Diễn đàn Hợp tác Kinh tế Châu Á Thái Bình Dương (“APEC”) giữa các Nền kinh tế APEC, công ty chúng tôi đã đồng ý để Đại diện có trách nhiệm (Chương trình quốc gia BBB) giải quyết tranh chấp. Để biết thêm thông tin về phạm vi tham gia của chúng tôi hoặc để gửi câu hỏi về quyền riêng tư thông qua Chương trình quốc gia BBB, vui lòng nhấp vào con dấu chính thức nằm ở cuối trang này.
      4. Đối với những tranh chấp liên quan đến việc chuyển Thông tin cá nhân cho các hoạt động không phải hoạt động nhân sự thông qua chương trình Khung bảo vệ quyền riêng tư trong dữ liệu (DPF) giữa Liên minh Châu Âu và Hoa Kỳ, Phần mở rộng đối với DPF của Vương quốc Anh và chương trình Khung bảo vệ quyền riêng tư trong dữ liệu giữa EU-U.S., công ty chúng tôi đã đồng ý giải quyết tranh chấp (miễn phí) bằng cơ chế truy đòi độc lập, Dịch vụ khung bảo vệ quyền riêng tư trong dữ liệu, do Chương trình quốc gia BBB điều hành. Nếu bạn không nhận được xác nhận kịp thời về khiếu nại của mình, hoặc nếu khiếu nại của bạn không được giải quyết thỏa đáng, vui lòng truy cập https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers để biết thêm thông tin và nộp đơn khiếu nại.
      5. Đối với bất kỳ tranh chấp nào phát sinh theo chương trình Khung bảo vệ quyền riêng tư trong dữ liệu (DPF) giữa Liên minh Châu Âu và Hoa Kỳ, Phần mở rộng đối với DPF của Vương quốc Anh và chương trình Khung bảo vệ quyền riêng tư trong dữ liệu giữa EU-U.S. mà không được giải quyết thông qua các bước được mô tả trong phần này, trong một số điều kiện nhất định, các cá nhân có thể yêu cầu xét xử qua trọng tài ràng buộc đối với một số khiếu nại còn lại không được giải quyết bằng các cơ chế khắc phục khác. Xem https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2.
   6. Tất cả các cá nhân cư trú trong EEA hoặc cá nhân có Thông tin cá nhân tuân theo Luật bảo vệ dữ liệu của EEA và được chuyển giao ra bên ngoài EEA, những người có thông tin được xử lý theo Chính sách này sẽ có quyền theo Chính sách này, tại bất cứ thời điểm nào, để thực thi các yêu cầu theo Chính sách này với tư cách là người thụ hưởng bên thứ ba, bao gồm quyền tiến hành khiếu kiện tư pháp để tìm kiếm biện pháp khắc phục đối với sự vi phạm các quyền của mình theo Chính sách này (như đã nêu trong Phần 2 ở trên) và có quyền nhận được bồi thường cho những thiệt hại do vi phạm đó. Các cá nhân cư trú tại EEA hoặc các cá nhân có Thông tin cá nhân tuân theo Luật bảo vệ dữ liệu của EEA và được chuyển giao ra bên ngoài EEA (vì mục đích rõ ràng, bao gồm cả ở Hoa Kỳ) có thể đưa ra khiếu nại hoặc khiếu kiện theo Chính sách này để chống lại chi nhánh của Công ty chịu trách nhiệm xuất Thông tin cá nhân ra bên ngoài EEA: trước:
      1. Khu vực tài phán của Đơn vị xuất dữ liệu ở EEA, hoặc
      2. Khu vực tài phán của quốc gia mà Chuyên viên bảo vệ dữ liệu châu Âu của chúng tôi đặt trụ sở, hoặc
      3. Cơ quan bảo vệ dữ liệu có thẩm quyền (đặc biệt là tại Quốc gia thành viên nơi cá nhân đó thường trú, làm việc hoặc nơi xảy ra hành vi vi phạm bị cáo buộc), hoặc
      4. Cơ quan bảo vệ dữ liệu chính của chúng tôi đã hướng dẫn BCR: CNIL của Pháp.
   7. Công ty chúng tôi sẽ phản hồi lại cá nhân hoặc pháp nhân đặt ra thắc mắc, khiếu nại hoặc quan ngại trong vòng ba mươi (30) ngày trừ trường hợp Luật hoặc người yêu cầu bên thứ ba yêu cầu phải có phản hồi trong kỳ hạn nhanh hơn hoặc trừ trường hợp yêu cầu phải có kỳ hạn lâu hơn, khi đó sẽ có thông báo bằng văn bản gửi tới cá nhân hoặc bên thứ ba đó.
4. Chúng tôi sẽ chịu trách nhiệm duy trì các giá trị và tiêu chuẩn quyền riêng tư của mình.
   1. Chi nhánh của công ty chúng tôi chịu trách nhiệm trong một vụ kiện phát sinh từ Sự cố quyền riêng tư/Sự cố bảo mật đã được chứng minh sẽ phải chịu trách nhiệm tài chính đối với số tiền trả cho bất kỳ yêu cầu bồi thường thiệt hại nào hoặc tiền phạt hoặc hình phạt phát sinh từ Sự cố quyền riêng tư/Sự cố bảo mật đó.
      1. Trong sự phối hợp và theo chỉ đạo của Văn phòng Quyền riêng tư Toàn cầu, Chuyên viên bảo vệ dữ liệu châu Âu chịu trách nhiệm đảm bảo rằng các hành động cần thiết sẽ được thực hiện để giải quyết mọi cáo buộc vi phạm đối với Chính sách này của các chi nhánh của chúng tôi bên ngoài EEA gây ảnh hưởng đến các cá nhân cư trú tại EEA hoặc các cá nhân có Thông tin cá nhân tuân theo Luật bảo vệ dữ liệu của EEA và được chuyển giao ra bên ngoài EEA. Khi được yêu cầu, Merck, Sharp & Dohme (Europe) Inc., USA – Belgium Branch (“MSD Europe”) sẽ phải trả tiền phạt, chịu hình phạt hoặc bồi thường thiệt hại do việc vi phạm Chính sách này gây ảnh hưởng đến các cá nhân cư trú tại EEA hoặc các cá nhân có Thông tin cá nhân tuân theo Luật bảo vệ dữ liệu của EEA và được chuyển giao ra bên ngoài EEA. Với sự hỗ trợ của Văn phòng Quyền riêng tư Toàn cầu và chi nhánh của công ty chúng tôi bên ngoài EEA chịu trách nhiệm về cáo buộc vi phạm, Chuyên viên bảo vệ dữ liệu châu Âu sẽ có trách nhiệm chứng minh rằng công ty chúng tôi không phải chịu trách nhiệm về cáo buộc vi phạm đó. Trong trường hợp một chi nhánh khác của công ty chúng tôi chịu trách nhiệm cho vụ kiện có yêu cầu phạt tiền, chịu hình phạt hoặc bồi thường thiệt hại, chi nhánh đó có thể bị yêu cầu phải bồi hoàn kịp thời cho MSD Europe cho bất kỳ khoản tiền nào mà MSD Europe đã phải chi trả. Nếu một chi nhánh của công ty chúng tôi ở bên ngoài EEA vi phạm Chính sách này, các tòa án hoặc cơ quan bảo vệ dữ liệu thuộc EEA sẽ có quyền xét xử và cá nhân bị ảnh hưởng sẽ có quyền cũng như được hưởng biện pháp khắc phục chống lại chi nhánh của Công ty chịu trách nhiệm xuất Thông tin cá nhân ra bên ngoài EEA như đã nêu trong Phần 3.f. ở trên.
      2. Trong sự phối hợp và theo chỉ đạo của Văn phòng Quyền riêng tư Toàn cầu, Merck Sharp & Dohme LLC chịu trách nhiệm đảm bảo rằng các hành động cần thiết sẽ được thực hiện để giải quyết mọi cáo buộc vi phạm đối với Chính sách này gây ảnh hưởng đến các cá nhân định cư ngoài EEA, đồng thời sẽ phải trả tiền phạt, chịu hình phạt hoặc bồi thường thiệt hại do việc vi phạm Chính sách này gây ảnh hưởng đến các cá nhân cư trú bên ngoài EEA hoặc các cá nhân có Thông tin cá nhân không tuân theo Luật bảo vệ dữ liệu của EEA, khi được yêu cầu. Trong trường hợp một chi nhánh khác của công ty chúng tôi chịu trách nhiệm cho vụ kiện có yêu cầu phạt tiền, án phạt hoặc bồi thường thiệt hại, chi nhánh đó có thể bị yêu cầu phải bồi hoàn kịp thời cho Merck Sharp & Dohme LLC cho bất kỳ khoản tiền nào mà Merck Sharp & Dohme LLC đã phải chi trả.

Giám sát và Theo dõi

Để đảm bảo cho các cơ quan quản lý và các bên liên quan khác rằng công ty chúng ta có chịu trách nhiệm với cam kết thực hành quyền riêng tư có đạo đức và có trách nhiệm, công ty sẽ duy trì một nhóm giám sát và theo dõi rộng rãi, đứng đầu là Tổng giám đốc Quyền riêng tư cùng với Văn phòng Quyền riêng tư Toàn cầu (Global Privacy Office, GPO) chuyên trách, Nhân viên Bảo vệ Dữ liệu (Data Protection Officer, DPO) Châu Âu được chỉ định, DPO Quốc gia theo yêu cầu của luật pháp hoặc chính quyền địa phương , và Giám đốc Quyền riêng tư, được bổ nhiệm bởi các Lãnh đạo Cấp cao và phục vụ với tư cách là đầu mối liên lạc giữa Văn phòng Quyền riêng tư Toàn cầu của MSD với các khu vực tổ chức mà họ làm việc.

Công ty chúng ta sẽ dựa vào các Đại diện có Trách nhiệm về Quyền riêng tư, là người chịu trách nhiệm theo Luật pháp để định kỳ xác minh việc tuân thủ các yêu cầu của Chính sách này cùng các Điều luật đó, bao gồm cả các CPBR của APEC.

Ngoài các đánh giá đảm bảo do Văn phòng Quyền riêng tư Toàn cầu của MSD điều hành, các nhóm đảm bảo và kiểm toán nội bộ cũng như bên ngoài sẽ tiến hành đánh giá tuân thủ nhằm xác minh rằng MSD có tuân thủ Chính sách này, bao gồm mọi chính sách, quy trình, tiêu chuẩn và hướng dẫn phụ thuộc vào Chính sách này. Các kế hoạch hành động khắc phục và phòng ngừa sẽ được xây dựng và triển khai nhằm giải quyết các lỗ hổng được các nhóm kiểm toán và đảm bảo tìm ra. Kết quả của Chương trình Kiểm toán sẽ được thông báo cho Tổng giám đốc Quyền riêng tư và Ban bảo vệ dữ liệu và Quyền riêng tư, là những bên chịu trách nhiệm báo cáo như được mô tả trong Chính sách này.

Cơ quan Bảo vệ dữ liệu và Quyền riêng tư đã phê duyệt Chính sách này hoặc người có thẩm quyền đối với các hoạt động của công ty chúng ta theo Chính sách này sẽ có quyền xác minh sự tuân thủ của chúng ta. Chúng ta sẽ tuân theo lời khuyên của các cơ quan có thẩm quyền này đối với việc giải thích cũng như áp dụng Chính sách này.

Các Thuật Ngữ Bạn Cần Biết

• Ẩn danh. Là sự thay đổi, lược bỏ, xóa bỏ hoặc biên soạn hoặc sửa đổi khác đối với Thông Tin cá Nhân khiến cho nó không thể nhận biết, định vị hay liên hệ tới một cá nhân, dù sử dụng một mình hay kết hợp với thông tin khác.
• Luật pháp. Tất cả luật, quy tắc, quy định và quyết định hiện hành có hiệu lực pháp luật ở bất kỳ quốc gia nào mà công ty chúng tôi hoạt động hoặc tại nơi đó Thông tin cá nhân được xử lý bởi hoặc thay mặt cho công ty chúng tôi. Điều này bao gồm tất cả các khung bảo vệ quyền riêng tư mà công ty chúng tôi đã được phê duyệt hoặc chứng nhận, bao gồm Quy tắc ràng buộc doanh nghiệp của Liên minh Châu Âu (“BCR”), Quy tắc quyền riêng tư xuyên biên giới (“CBPR) của Diễn đàn Hợp tác Kinh tế Châu Á Thái Bình Dương (“APEC”), chương trình Khung bảo vệ quyền riêng tư trong dữ liệu (DPF) giữa Liên minh Châu Âu và Hoa Kỳ, Phần mở rộng đối với DPF của Vương quốc Anh và chương trình Khung bảo vệ quyền riêng tư trong dữ liệu giữa EU-U.S. – thuộc thẩm quyền điều tra và thực thi của Ủy ban Thương mại Liên bang Hoa Kỳ.
• Công ty chúng tôi. Merck & Co., Inc., Rahway, NJ, USA, cùng các đơn vị kế nhiệm, chi nhánh và phòng ban trực thuộc trên toàn thế giới, không bao gồm các liên doanh mà công ty chúng tôi là một bên đối tác.
• Thông tin cá nhân. Mọi dữ liệu liên quan đến một cá nhân đã xác định danh tính hoặc có thể xác định danh tính, bao gồm dữ liệu để nhận dạng một cá nhân hoặc có thể được sử dụng để nhận dạng, định vị, theo dõi hay liên hệ với một cá nhân. Thông tin cá nhân bao gồm cả thông tin có thể nhận dạng trực tiếp như tên, mã số nhận dạng hoặc chức danh công việc duy nhất và thông tin có thể nhận dạng gián tiếp như: ngày sinh, mã định danh thiết bị di động hoặc thiết bị nhận dạng đeo trên người, số điện thoại, cũng như dữ liệu được mã hóa chính, mã định danh trực tuyến như: địa chỉ IP hoặc mọi hoạt động, hành vi hoặc sở thích cá nhân có thể được thu thập để cung cấp dịch vụ hoặc sản phẩm.
• Sự cố quyền riêng tư. Hành vi vi phạm Chính sách này hay Luật bảo vệ dữ liệu/quyền riêng tư và bao gồm Sự cố bảo mật. Văn phòng Quyền riêng tư Toàn cầu, bộ phận Quản lý rủi ro và Bảo mật Công nghệ Thông tin (Information Technology Risk Management and Security, ITRMS) cùng với Văn phòng Luật sư trưởng sẽ xác định xem có xảy ra sự cố quyền riêng tư hay không và có cần nâng sự cố đó lên thành sự cố Rò rỉ dữ liệu cá nhân hay không.
• Xử lý. Thực hiện bất kỳ hành động nào hoặc một tập hợp các hành động đối với thông tin về con người, bằng phương pháp điện tử hoặc bằng phương pháp khác, bao gồm, nhưng không giới hạn trong việc thu thập, ghi chép, tổ chức, lưu trữ, truy cập, tiếp nhận, sửa đổi, phục hồi, tư vấn, sử dụng, đánh giá, phân tích, báo cáo, chia sẻ, tiết lộ, phổ biến, truyền đạt, sắp xếp, kết hợp, phong tỏa, xóa hoặc hủy bỏ.
• Rò rỉ dữ liệu cá nhân. Hành vi xâm phạm bảo mật dẫn đến việc phá hủy, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập vào Thông tin cá nhân một cách vô tình hoặc trái pháp luật hay công ty chúng tôi có lý do hợp lý để cho rằng như vậy. Việc truy cập Thông tin cá nhân của hoặc thay mặt cho công ty chúng tôi mà không có ý định vi phạm Chính sách này không cấu thành sự cố Rò rỉ dữ liệu cá nhân, với điều kiện là Thông tin cá nhân được truy cập chỉ được sử dụng và tiết lộ thêm khi được Chính sách này cho phép.
• Thông tin nhạy cảm. Bất kỳ loại thông tin nào về con người mang nguy cơ tiềm ẩn gây hại cho cá nhân, bao gồm thông tin được xác định theo luật là nhạy cảm, bao gồm, nhưng không giới hạn ở thông tin liên quan đến sức khỏe, di truyền, sinh trắc học, chủng tộc, nguồn gốc dân tộc, tôn giáo, quan điểm hoặc niềm tin chính trị hay triết học, lịch sử phạm tội, thông tin vị trí địa lý chính xác, ngân hàng hoặc số tài khoản tài chính khác, số nhận dạng do chính phủ cấp, trẻ em vị thành niên, đời sống tình dục, khuynh hướng tình dục, thành viên công đoàn, bảo hiểm, an sinh xã hội cùng với các quyền lợi chủ lao động hoặc được chính phủ ban hành khác.
• Bên thứ ba. Bất kỳ pháp nhân, hiệp hội hoặc cá nhân nào không thuộc sở hữu của công ty chúng tôi hoặc công ty chúng tôi không kiểm soát lợi ích hay một người không được công ty chúng tôi tuyển dụng. Trừ khi được quy định rõ ràng trong Chính sách này, không một chi nhánh hoặc bộ phận nào của công ty chúng tôi phải đáp ứng các yêu cầu của bên thứ ba theo chính sách này vì tất cả các chi nhánh hoặc bộ phận được yêu cầu phải xử lý thông tin về con người tuân theo Chính sách này, kể cả trong trường hợp có một trong những chi nhánh của công ty chúng tôi hỗ trợ một hoặc nhiều chi nhánh khác của công ty chúng tôi trong quá trình xử lý.

Các thay đổi đối với Chính sách này

Chính sách này có thể được sửa đổi tùy thời điểm, để phù hợp với các yêu cầu của Luật hiện hành. Chúng tôi sẽ đăng thông báo trên trang web về quyền riêng tư của công ty (https://www.msd.com/privacy) trong vòng 60 ngày bất cứ khi nào Chính sách này có những thay đổi đáng kể.