Ve společnosti Merck & Co., Inc., Rahway, NJ, USA, která mimo USA a Kanadu nese obchodní název MSD a zahrnuje mimo jiné následující subjekty: Merck Sharp & Dohme LLC a Intervet, Inc. máme poslání zachraňovat a zlepšovat životy včetně respektování soukromí a ochrany osobních údajů.
Datum revize: 1. září 2023
Datum účinnosti: 1. září 2023
Snažíme se podnikat v souladu s našimi hodnotami ochrany osobních údajů, protože věříme, že jsou projevem našeho pevného závazku etických a zodpovědných postupů. Uvědomujeme si, že inovace a nové technologie vyvolávají neustálé změny rizik, očekávání a právních předpisů, a proto sledujeme standardy odpovědnosti v oblasti ochrany osobních údajů a v reakci na tyto změny se snažíme rychle přizpůsobit to, jak osobní údaje používáme.
Tato směrnice („směrnice“) definuje naše globální standardy pro zpracování a ochranu osobních údajů naší společností nebo jejím jménem, ať osobní údaje pocházejí přímo či nepřímo z kterékoli oblasti v Evropském hospodářském prostoru (EHP), Švýcarska nebo z členských zemí Asijsko-pacifického hospodářského společenství (APEC) a jsou přenášeny do kterékoli země včetně přenosů mezi EHP a APEC. Směrnice popisuje naše stěžejní závazky, které podporují dodržování pravidel certifikace pro přeshraniční ochranu osobních údajů (Cross-Border Privacy Rules) Asijsko-pacifického hospodářského společenství (APEC) (dále jen „pravidla CBPR“), naše Závazná podniková pravidla („BCR“), která byla schválena příslušným dozorovým orgánem členského státu EU, a naši současnou certifikaci pro Program DPF (Data Privacy Framework) EU-USA, britské rozšíření DPF a švýcarsko-americký rámcový program ochrany osobních údajů.
Naše společnost je v souladu s rámcovým programem ochrany osobních údajů EU-USA (EU-USA DPF), britského rozšíření EU-USA DPF a švýcarsko-amerického rámcového programu ochrany osobních údajů (švýcarsko-americký DPF), jak je stanovilo Ministerstvo obchodu USA. Ministerstvu obchodu USA jsme potvrdili, že dodržujeme principy rámcového programu ochrany osobních údajů EU-USA (principy EU USA DPF) týkající se zpracování osobních údajů získaných z Evropské unie, v souladu s programem EU-USA DPF, a ze Spojeného království (a Gibraltaru) v souladu s britským rozšířením programu EU-USA DPF. Ministerstvu obchodu USA jsme potvrdili, že dodržujeme principy švýcarsko-amerického rámcového programu ochrany osobních údajů (principy švýcarsko-amerického DPF) týkající se zpracování osobních údajů získaných ze Švýcarska v souladu se švýcarsko-americkým programem DPF. Pokud dojde k rozporu mezi podmínkami v této směrnici a podmínkami principů EU-USA DPF nebo principy švýcarsko-amerického programu DPF, mají přednost principy. Chcete-li se dozvědět více o rámcovém programu ochrany osobních údajů (DPF) a prohlédnout si naši certifikaci DPF, navštivte stránku https://www.dataprivacyframework.gov/.
Tato směrnice se vztahuje na naše provozní činnosti ve všech zemích, a na každé zpracování osobních údajů a dalších dat o fyzických osobách, které jsou subjekty údajů („jednotlivci“), které provádíme v každé dceřiné společnosti a každém oddělení (včetně veškerých právních nástupců naší společnosti) mimo jiné včetně našich výzkumných, výrobních, obchodních činností, činností administrativní podpory a služeb a řešení v oblasti zdravotní péče a přenosů dat, které jsou k provádění těchto činností nezbytné, mimo jiné včetně následujících:
- výzkum a výroba: vyhodnocování potřeb a příležitostí pro inovace v oblasti lékařské a zdravotní péče; iniciování, řízení a financování výzkumných studií; hodnocení a najímání výzkumných pracovníků, členů vědeckých a etických komisí a obchodních partnerů poskytujících podporu pro naše výzkumné studie a vývoj našich produktů; nábor pro výzkumné studie; hodnocení bezpečnosti, účinnosti a kvality našich hodnocených produktů a produktů uváděných na trh; dodržování našich povinností v oblasti bezpečnosti a kvality produktů, včetně zvládání a hlášení nežádoucích příhod a stížností na kvalitu produktů; podávání žádostí o schválení a registraci našich produktů u zdravotnických regulačních úřadů; a dodržování souvisejících právních, regulačních nebo etických požadavků;
- obchodní činnosti: hodnocení trhů pro naše produkty; reklama, marketing, prodej, distribuce a dodávky našich produktů; komunikace se zákazníky z řad zdravotnických pracovníků, plátců zdravotní péče, pacientů a jiných koncových uživatelů našich produktů, jakož i pečovatelů těch, kteří naše produkty používají, a jejich zapojení; sponzorování a provádění akcí; vyhodnocování a najímání obchodních partnerů na podporu našich komerčních aktivit; a dodržování souvisejících právních, regulačních nebo etických požadavků;
- podpora společnosti: nábor, najímání, řízení, rozvoj zaměstnanců, komunikace s nimi a jejich odměňování; správa výhod pro zaměstnance a jimi vyživované osoby; provádění hodnocení výkonnosti a talentu zaměstnanců; poskytování školení a jiných vzdělávacích a rozvojových programů; provádění disciplinárních řízení se zaměstnanci a řešení jejich stížností; řešení obav v oblasti etiky a ochrany osobních údajů a provádění vyšetřování; správa a zabezpečení našich fyzických a virtuálních aktiv a infrastruktury; pořizování zboží a služeb a platba za ně; dodržování našich závazků v oblasti životního prostředí, ochrany zdraví a bezpečnosti a dalších závazků v oblasti firemní odpovědnosti; zapojení médií; a dodržování souvisejících právních, regulačních nebo etických požadavků.
Tato směrnice se rovněž týká všech jednotlivců, o kterých informace zpracováváme, mimo jiné včetně našich zákazníků z řad zdravotnických pracovníků a jiných zákazníků; potenciálních, stávajících a bývalých zaměstnanců a jimi vyživovaných osob, pacientů, pečovatelů, výzkumných pracovníků a účastníků výzkumných studií, členů vědeckých a etických komisí, obchodních partnerů, investorů a akcionářů, státních úředníků a jiných zainteresovaných osob.
Všichni řadoví zaměstnanci i vrcholoví vedoucí pracovníci společnosti mají v oblasti ochrany osobních údajů základní povinnosti, které musí dodržovat.
Uvědomujeme si, že neúmyslné chyby a nesprávné posouzení týkající se ochrany osobních údajů mohou pro jednotlivce způsobit ohrožení soukromí a pro naši společnost riziko pro dobrou pověst, provozní, finanční rizika a rizika v oblasti dodržování předpisů. Všem zaměstnancům a dalšímu personálu, který má trvalý nebo pravidelný přístup k osobním údajům, který je zapojen do sběru dat nebo do vývoje nástrojů používaných pro zpracování osobních údajů, zajistíme odpovídající školení týkající se této směrnice. Každý zaměstnanec naší společnosti i ostatní, kteří pro naši společnost zpracovávají informace o lidech, zodpovídají za porozumění svým povinnostem dle této směrnice a platných právních předpisů a za jejich dodržování.
Naše hodnoty a standardy ochrany osobních údajů
Naše hodnoty ochrany osobních údajů dodržujeme ve všem, co děláme a co zahrnuje lidi, včetně toho, jak naše standardy ochrany osobních údajů používáme. nNašeimi čtyřmi hodnoty hodnotami ochrany osobních údajů jsou:
Respekt | Důvěra | Předcházení škodám | Dodržování předpisů |
---|---|---|---|
Uvědomujeme si, že jednotlivci se obávají zásahů do soukromí, neboť ochrana osobních údajů se často týká podstaty toho, kým jsme, jak pohlížíme na svět a jak sami sebe definujeme, takže se snažíme respektovat názory a zájmy jednotlivců a komunit a jednat férově a transparentně v tom, jaké informace o nich používáme a sdílíme. | Víme, že důvěra je pro náš úspěch zásadní, a proto se snažíme budovat a udržet si důvěru svých zákazníků, zaměstnanců, pacientů a jiných zainteresovaných osob v to, jak respektujeme soukromí a chráníme osobní údaje. | Chápeme, že zneužití osobních údajů může jednotlivcům způsobit jak hmotné, tak i nehmotné škody, a proto se fyzickým a finančním škodám, poškození pověsti a jiným typům narušení soukromí jednotlivce snažíme předcházet. | Zjistili jsme, že právní předpisy a nařízení nedokáží vždy držet krok s rychlými změnami technologií, toků dat a souvisejícími změnami rizik a očekávání v oblasti ochrany osobních údajů, takže se snažíme dodržovat jak ducha, tak literu zákonů a předpisů o ochraně osobních údajů takovým způsobem, který podporuje konzistentnost a efektivitu našich globálních obchodních aktivit. |
- Naše standardy ochrany osobních údajů začleňujeme do všech činností, procesů, technologií a vztahů se třetími stranami, které osobní údaje používají. Do svých procesů a technologií navrhujeme kontrolní opatření na ochranu osobních údajů, která jsou v souladu s našimi hodnotami a standardy ochrany osobních údajů a platnými právními předpisy. Naše standardy ochrany osobních údajů a základní požadavky na procesy, činnosti a jejich podpůrné technologie obecně shrnuje našich 8 principů ochrany osobních údajů níže („Standardy“).
Princip ochrany osobních údajů
Naše základní závazky
1. Nezbytnost – před shromažďováním, zpracováním nebo sdílením osobních údajů posoudíme nezbytnost osobních údajů pro dané účely.
- Stanovíme a určíme si, jak dlouho jsou pro definované účely a platné zákonné požadavky osobní údaje zapotřebí.
- Neshromažďujeme, nezpracováváme ani nesdílíme více osobních údajů, než je zapotřebí, ani je neuchováváme v identifikovatelné podobě déle, než je podle definovaného účelu a platných zákonných požadavků zapotřebí.
- Když obchodní požadavky vyžadují, aby byly informace o činnosti nebo procesu uchovávány po delší dobu, údaje anonymizujeme.
- Snažíme se, aby byly tyto požadavky nezbytnosti zahrnuty do veškeré podpůrné technologie a aby byly sděleny třetím stranám, které k dané činnosti nebo procesu poskytují podporu.
2. Férovost – nezpracováváme osobní údaje takovými způsoby, které nejsou poctivé vůči lidem, jichž se údaje týkají.
- Zjišťujeme, zda navrhované shromažďování, použití nebo jiné zpracování osobních údajů představuje pravděpodobné a/nebo závažné riziko hmotné nebo nehmotné škody jednotlivcům v souladu s naší hodnotou ochrany osobních údajů Předcházení škodám.
- Pokud povaha osobních údajů, typů jednotlivců nebo činnosti představuje neoddělitelně spjaté pravděpodobné a/nebo závažné riziko hmotné nebo nehmotné škody jednotlivcům, zajistíme, aby toto riziko bylo vyváženo odpovídajícím přínosem pro tyto jednotlivce nebo pro naše poslání ochraňovat a zlepšovat životy lidí a aby toto riziko bylo zmírněno opatřeními, bezpečnostními opatřeními a mechanismy, které jsme zavedli.
- Tam, kde se zdá, že riziko převáží nad prospěchem pro jednotlivce, zpracováváme citlivé nebo osobní údaje pouze s výslovným souhlasem jednotlivců, jak je výslovně požadováno nebo povoleno platnými právními předpisy či jak výslovně povoluje příslušný regulační orgán.
- Citlivé údaje zpracováváme pouze s výslovným souhlasem jednotlivců, pokud to výslovně vyžadují nebo výslovně povolují platné právní předpisy.
- Tam, kde se zdá, že riziko převáží nad prospěchem pro jednotlivce, zpracováváme citlivé nebo osobní údaje pouze s výslovným souhlasem jednotlivců, jak je výslovně požadováno nebo povoleno platnými právními předpisy či jak výslovně povoluje příslušný regulační orgán.
3. Transparentnost – osobní údaje nezpracováváme způsoby nebo pro účely, které nejsou transparentní.
- Všichni jednotlivci, o kterých jsou osobní údaje podle této směrnice zpracovávány, budou mít právo obdržet kopii této směrnice. Kopie této směrnice zpřístupníme online na adrese https://www.msdprivacy.com/index.html. Centrální útvar pro ochranu osobních údajů poskytne na vyžádání tuto směrnici v elektronické nebo papírové podobě na níže uvedené adresy.
- Pokud jsou osobní údaje shromažďovány přímo od jednotlivců, před shromažďováním informací je informujeme jasným, srozumitelným a snadno přístupným oznámením o ochraně osobních údajů nebo podobnými prostředky (1) o subjektu nebo subjektech společnosti zodpovědných za zpracování, (2) o kontaktních údajích našeho ředitele pro ochranu osobních údajů a/nebo regionálního/místního pracovníka odpovědného za ochranu osobních údajů, (3) jaké osobní údaje budou shromažďovány, (4) o účelech zpracování osobních údajů, (5) o právním základu pro zpracování osobních údajů, (6) s kým budou sdíleny, což se také týká jakéhokoli právního požadavku vládních úřadů, aby byly osobní údaje poskytnuty, (7) zda a jak budeme předávat osobní údaje do jiných zemí, je-li to proveditelné, pak včetně příslušných zemí, (8) jak dlouho budou uchovávány nebo o kritériích, podle nichž toto stanovení provádíme, (9), jak jednotlivci mohou položit dotaz, vznést obavu nebo uplatnit svá práva související s jejich osobními údaji, (10) jak jednotlivci mohou odvolat jakýkoli souhlas, který poskytli, (11) o jejich právu podat stížnost u dozorového úřadu, (12) o veškerých povinnostech osobní údaje poskytnout a o důsledcích nedodržení této povinnosti, (13) o veškerém automatizovaném rozhodování, včetně profilování, které provádíme, a (14) o odkazu na tuto směrnici (je-li to možné a vhodné). Naše úplná oznámení o ochraně osobních údajů pro řadu našich zúčastněných stran jsou k dispozici online na adrese http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html
- Když jsou osobní údaje získány prostřednictvím pozorování, čidel nebo jiných nepřímých prostředků, nemusí být možné poskytnout oznámení o ochraně osobních údajů přímo jednotlivci v čase, kdy jsou takovéto informace shromažďovány. V takových případech zajišťujeme transparentnost vůči jednotlivci jinými způsoby, jako je zveřejnění nebo vytištění upozornění na zařízení nebo připojení v materiálech souvisejících se zařízením, které bude informace obsahovat.
- Při shromažďování osobních údajů prostřednictvím webových stránek, mobilní aplikace nebo jiné online aplikace či jiného online zdroje, používáme standardy specifické pro danou technologii stanovené v Zásadách ochrany osobních údajů na internetu a v Závazku o ochraně osobních údajů v souvislosti se soubory cookie, aby jsme zajistili, že byly splněny požadavky na transparentnost stanovené touto směrnicí.
- Když jsou osobní údaje shromažďovány z jiných zdrojů, a nikoli výslovně na příkaz naší společnosti, ověřujeme písemně před získáním osobních údajů a dalších dat, zda poskytovatel osobních údajů informoval jednotlivce o způsobech a účelech, k nimž naše společnost zamýšlí osobní údaje používat. Pokud od poskytovatele osobních údajů nelze získat písemné potvrzení, použijeme pouze anonymizované informace nebo budeme před použitím osobních údajů informovat dotyčné jednotlivce pomocí oznámení o ochraně osobních údajů nebo podobnými prostředky (1) o subjektu nebo subjektech naší společnosti odpovědných za zpracování osobních údajů, (2) o kontaktních údajích našeho ředitele pro ochranu osobních údajů nebo regionálního/místního pracovníka odpovědného za ochranu osobních údajů, (3) jaké osobní údaje má společnost v plánu použít, (4) o účelech, k nimž je má společnost v plánu použít, (5) o právním základu pro zpracování z naší strany, (6) s kým bude osobní údaje společnost sdílet, (7) zda a jak budeme přenášet osobní údaje do jiných zemí, je-li to proveditelné, pak včetně příslušných zemí, (8) jak dlouho je má společnost v plánu uchovávat nebo o kritériích, podle nichž toto stanovení provádíme, (9) jak lze položit dotaz, vznést obavu nebo uplatnit práva týkající se osobních údajů, (10) jak lze odvolat jakýkoli poskytnutý souhlas, (11) o právu podat stížnost u dozorového úřadu, (12) o veškerých povinnostech osobní údaje poskytnout a o důsledcích nedodržení této povinnosti, (13) o veškerém automatizovaném rozhodování, včetně profilování, které budeme provádět, a (14) o odkazu na tuto směrnici (je-li to možné a vhodné).
- Zajišťujeme, aby byly do podpůrných technologií začleněny nezbytné mechanismy transparentnosti (je-li to možné), a to včetně mechanismů, které podporují požadavky na práva jednotlivců, a aby třetí strany, které pro činnost nebo proces poskytují podporu, nezpracovávaly informace o lidech způsoby, které nejsou v souladu s tím, co bylo jednotlivcům sděleno prostřednictvím oznámení o ochraně osobních údajů nebo jiných ověřitelných prostředků ohledně toho, co my nebo jiní, kteří pro nás pracují, budeme s informacemi dělat.
- Pokud žádáme o souhlas, získáváme a dokládáme jej v našich podpůrných technologiích.
4. Omezení účelu – osobní údaje používáme pouze v souladu s principy nezbytnosti a transparentnosti.
- Pokud budou zjištěny nové legitimní obchodní účely pro osobní údaje, které byly shromážděny dříve, buď získáme souhlas fyzické osoby s novým použitím osobních údajů, nebo zajistíme, aby byl nový obchodní účel, včetně významně podobných účelů, slučitelný s účely popsanými v oznámení o ochraně osobních údajů nebo v jiném mechanismu pro zajištění transparentnosti, který byl jednotlivci poskytnut dříve. Slučitelnost stanovíme na základě (1) jakékoli souvislosti mezi původními účely a navrhovaným novým účelem, (2) přiměřených očekáváních fyzické osoby, (3) povaze osobních údajů, (4) důsledcích dalšího zpracování pro fyzickou osobu a (5) bezpečnostních opatřeních, která jsme zavedli.
- Tuto zásadu neuplatňujeme na anonymizované informace nebo v případech, kdy osobní údaje používáme výhradně pro účely historického a vědeckého výzkumu a (1) etická hodnotící komise nebo jiný příslušný posuzovatel rozhodl, že riziko takového použití pro soukromí a další práva jednotlivců je přijatelné, (2) zavedli jsme vhodná ochranná opatření k zajištění minimalizace údajů, (3) osobní údaje jsou pseudoanonymizované a (4) jsou dodrženy všechny ostatní platné právní předpisy.
- Zajišťujeme, aby do veškeré podpůrné technologie (včetně jakýchkoli možností vytváření zpráv a sdílení podřízených dat) byla začleněna omezení účelu.
5. Kvalita dat – osobní údaje uchováváme přesné, úplné a aktuální a v souladu s jejich zamýšleným účelem použití.
- Zajišťujeme, aby byly do podpůrných technologií začleněny mechanismy, které data pravidelně kontrolují, aby byla ověřena přesnost dat oproti zdrojovým a podřízeným systémům.
- Zajišťujeme, aby byly citlivé osobní údaje ověřeny jako přesné a aktuální před jejich použitím, vyhodnocením, analýzou, vykazováním nebo jiným zpracováním, které představuje riziko neférovosti vůči lidem, pokud by byly použity osobní údaje nepřesné nebo zastaralé.
- Pokud jsou prováděny změny osobních údajů ze strany naší společnosti nebo třetích stran, které pro naši společnost pracují, je-li to přiměřeně možné, zajišťujeme, aby tyto změny byly příslušným fyzickým osobám sděleny včas.
6. Zabezpečení – zavádíme bezpečnostní opatření k ochraně osobních údajů a citlivých informací před ztrátou, zneužitím a neoprávněným přístupem, zpřístupněním, pozměněním nebo zničením.
- Zavedli jsme komplexní program zabezpečení informací a používáme bezpečnostní kontrolní opatření, která jsou založena na citlivosti informací a úrovni rizika činnosti, přičemž bereme v úvahu aktuální osvědčené postupy v oblasti technologií a náklady na jejich zavedení. Naše zásady funkčního zabezpečení mimo jiné zahrnují standardy pro zachování kontinuity obchodních aktivit a zotavení po havárii, šifrování, správu totožnosti a přístupu, klasifikaci informací, zvládání incidentů v oblasti zabezpečení informací, řízení přístupu k síti, fyzické zabezpečení a řízení rizik.
7. Přenos dat – jsme odpovědní a chráníme osobní údaje, když jsou přenášeny do jiných organizací nebo z nich nebo přes státní hranice.
(1) K předávání osobních údajů v rámci společnosti dochází, pakliže jsou splněny následující požadavky:
- (1) předání je nezbytné k plnění účelu, k němuž byly osobní údaje původně shromážděny, nebo v jiném legitimním zájmu společnosti a (2) účel, za nímž mají být předány, a skutečnost, že budou předány, je v souladu s oznámením o ochraně osobních údajů nebo s jiným mechanismem pro zajištění transparentnosti, který byl fyzické osobě poskytnut nejpozději v okamžiku, kdy byly osobní údaje původně shromážděny, a je-li to nezbytné, poskytla k tomu fyzická osoba svůj souhlas, (3) tam, kde některá naše dceřiná společnost jedná při zpracování osobních údajů výhradně jménem jiné dceřiné společnosti naší společnosti, a (4) pokud to předpisy vyžadují, tyto dceřiné společnosti naší společnosti uzavřou interní dohodu o zpracování dat v souladu s principem 8 této směrnice, (5) pokud infrastruktura IT takový přenos vyžaduje, za předpokladu, že jsou zavedena všechna vhodná bezpečnostní a organizační opatření, aby byl takový přenos v souladu s předpisy.
(2) Třetím stranám osobní údaje předáváme nebo umožňujeme, aby je tyto zpracovávaly, pouze tehdy, pokud jsou splněny následující požadavky a odpovídáme za zajištění, aby třetí strany, které najímáme, splňovaly tyto požadavky:
- Pokud je rolí třetí strany zpracovávat osobní údaje pro naši společnost nebo jejím jménem, před poskytnutím osobních údajů třetí straně nebo před jejím najmutím: (1) dokončíme proces náležité péče v oblasti ochrany osobních údajů, abychom vyhodnotili postupy v oblasti ochrany osobních údajů a rizika spojená s těmito třetími stranami, (2) získáme od těchto třetích stran smluvní ujištění, že osobní údaje budou zpracovávat pouze v souladu s pokyny naší společnosti a v souladu s touto směrnicí, mimo jiné včetně 8 principů ochrany osobních údajů a dalších standardů uvedených v této směrnici a platných právních předpisech, že okamžitě oznámí naší společnosti jakýkoli incident v oblasti ochrany osobních údajů nebo bezpečnostní incident, což se také týká neschopnosti dodržet standardy stanovené touto směrnicí a platnými předpisy, a že bude spolupracovat při řešení jednotlivých práv stanovených v části 2 níže, že bez našeho písemného povolení a bez toho, aniž by měly uzavřenu smlouvu, která ukládá ekvivalentní povinnosti v oblasti ochrany údajů, nenajmou za účelem zpracování osobních údajů další společnost, že vymažou nebo nám vrátí veškeré osobní údaje poté, co poskytování služeb dokončí, nebo na naši žádost, a že umožní naší společnosti kontrolovat a sledovat jejich postupy po dobu trvání zpracování, co se týče dodržování těchto požadavků. Dále pokud třetí strana zpracovává osobní údaje, které pocházejí ze země nebo oblasti, kde právní předpisy omezují přenos osobních údajů, zajistíme, aby přenos třetí straně splňoval požadavky na přeshraniční přenosy dat popsané v čl. 3. Vyřízení žádosti jednotlivců níže.
- Pokud je rolí třetí strany poskytovat naší společnosti osobní údaje, zajistíme před získáním osobních údajů od třetí strany, aby byly splněny požadavky na transparentnost pro shromažďování osobních údajů z jiných zdrojů, a nikoli výslovně na příkaz naší společnosti, a získáme od třetí strany smluvní prohlášení, že poskytnutím osobních údajů naší společnosti neporušuje žádné právní předpisy ani práva žádné třetí strany.
- Pokud je rolí třetí strany získat od naší společnosti informace pro zpracování, které není výslovně na příkaz naší společnosti, zajistíme před poskytnutím informací třetí straně, aby byly tyto informace anonymizovány, a získáme od třetí strany písemné ujištění, že je použije pouze pro obchodní účely definované ve smlouvě a v souladu s platnými právními předpisy a že se nebude snažit informace znovu přiřadit ke konkrétnímu jednotlivci, případně se nepokusí o jeho identifikaci.
- Pokud je předání třetí osobě vyžadováno za účelem ochrany legitimních zájmů fyzické osoby nebo společnosti, můžeme informace předávat: (1) pro účely předcházení podvodům nebo uplatnění či ochrany práv a majetku společnosti, (2) za účelem ochrany osobní bezpečnosti našich zaměstnanců či třetích osob v našich prostorách a (3) za účelem ochrany našeho majetku přijetím nápravných bezpečnostních opatření, jestliže máme důvodné podezření, že došlo k nezákonné činnosti nebo k závažnému nesprávnému počínání.
- Pokud je třetí strana cílem akvizice nebo získání kontrolního balíku akcií ze strany naší společnosti, (1) před uzavřením smlouvy o akvizici třetí strany nebo o získání kontrolního balíku akcií třetí strany dokončíme proces náležité péče v oblasti ochrany osobních údajů, abychom vyhodnotili postupy v oblasti ochrany osobních údajů a rizika spojená s akvizicí dané třetí strany nebo získáním kontrolního balíku akcií třetí strany, a (2) uzavřeme dohodu o předání údajů, která stanoví podmínky, za nichž mohou být sděleny osobní údaje, a příslušné povinnosti naší společnosti a třetí strany.
- Pokud je rolí třetí strany získat celý podnik naší společnosti nebo jeho část, pak před sdělením jakýchkoli osobních údajů v souvislosti s odprodejem jakékoli části podniku naší společnosti (1) uzavřeme dohodu o předání údajů, která stanoví podmínky, za nichž mohou být osobní údaje sděleny kupujícímu, včetně příslušných omezení týkajících se povoleného použití osobních údajů a dodržování standardů stanovených touto směrnicí a platnými předpisy. (2) zkontrolujeme veškeré datové prvky o lidech před jejich sdílením, abychom vyhodnotili požadavky na sdílení, a (3) získáme souhlas se sdílením osobních údajů nebo citlivých informací v souladu s principy transparentnosti a omezení účelu podle této směrnice a (4) od třetí strany požadujeme, aby okamžitě uvědomila naši společnost o jakémkoli incidentu, týkajícímu se platné směrnice o ochraně osobních údajů, což se také týká neschopnosti dodržet standardy stanovené touto směrnicí a platnými předpisy, a aby spolupracovala při nápravě jakéhokoliv podloženého incidentu nebo přestala zpracovávat relevantní osobní údaje.
(3) Osobní údaje jsou předávány do zahraničí, včetně do Spojených států amerických, naší společností nebo jejím jménem v souladu s touto směrnicí. Tuto směrnici budeme používat pro přenosy osobních údajů z jakékoli země nebo oblasti, kde právní předpisy omezují přenos osobních údajů, a to navíc k dodržování veškerých požadavků takovýchto předpisů (včetně použití veškerých mechanismů vyžadovaných pro přeshraniční předání).
8. Právně přípustné – osobní údaje zpracováváme pouze tehdy, pokud byly splněny požadavky platných právních předpisů.
- Zatímco ostatních 7 principů ochrany osobních údajů, jakož i níže popsané požadavky na práva jednotlivce, jsou určeny k tomu, aby byly splněny požadavky většiny právních předpisů o ochraně osobních údajů a o ochraně dat, které platí pro naše podniky po celém světě, musíme v některých zemích dodržovat další požadavky, mimo jiné včetně následujících:
- 1) Tam, kde to je vyžadováno, získáme pro určité zpracování osobních údajů konkrétní formy souhlasu, mimo jiné včetně schválení zpracování radami zaměstnanců a dalšími odborovými svazy.
- 2) Tam, kde to je vyžadováno, zaregistrujeme zpracování osobních údajů u příslušného regulačního orgánu pro ochranu osobních údajů nebo dat nebo si vyžádáme schválení z jeho strany.
- 3) Tam, kde to je vyžadováno, poskytneme rozsáhlejší práva (například na přístup a ochranu), než je uvedeno v této směrnici.
- 4) Tam, kde to je vyžadováno, omezíme dále lhůty uchovávání osobních údajů.
- 5) Tam, kde to je vyžadováno, uzavřeme smlouvy obsahující konkrétní smluvní doložky, včetně dohod o přeshraničním přenosu dat třetím stranám.
- 6) Tam, kde je to vyžadováno, osobní údaje zveřejníme v reakci na zákonné požadavky orgánů státní správy včetně případů, kdy je to třeba ke splnění vnitrostátních požadavků na zabezpečení nebo prosazování práva.
V případě rozporu mezi touto směrnicí a platnými právními předpisy bude mít přednost ta norma, která jednotlivcům zajišťuje vyšší ochranu.
- Bezodkladně se budeme zabývat právy jednotlivce na přístup k jejich osobním údajům, jejich pozměnění, opravu nebo vymazání, na námitku vůči jejich zpracování nebo dalšími právy týkajícími se jejich osobních údajů.
- Přístup, oprava, vymazání, přenos, vznesení námitky a další práva – podle právních předpisů ve většině zemí, kde působíme, mají jednotlivci právo na přístup k osobním údajům o své osobě a na pozměnění, opravu nebo vymazání osobních údajů, které jsou nepřesné, neúplné nebo zastaralé. Budeme ctít všechny požadavky na přístup, opravu a vymazání osobních údajů od všech jednotlivců v souladu s bodem 3a níže. Pokud se požadavek na přístup, opravu nebo vymazání osobních údajů řídí platným právním předpisem, který zajišťuje jednotlivcům vyšší úroveň ochrany, zajistíme, aby byly dodatečné požadavky tohoto právního předpisu splněny.
V některých zemích mohou mít fyzické osoby v souvislosti s osobními údaji o nich samotných nárok na další práva, jako je právo na omezení zpracování, vznesení námitky proti zpracování (viz také bod 2b) a přenos svých údajů k jinému poskytovateli služeb. Ctíme uplatnění práv týkajících se údajů v souladu s platnými předpisy. Některá práva, jako je právo na vymazání, mohou být omezena v souladu s dalšími regulačními požadavky nebo nutností splnit místní požadavky na podávání zpráv o dodržování předpisů; v takovém případě vás budeme o těchto omezeních informovat.
- Volba – v souladu s našimi hodnotami ochrany osobních údajů, jimiž jsou „respekt“ a „důvěra“, ctíme požadavky jednotlivců vznést námitku vůči zpracování osobních údajů, mimo jiné včetně možnosti neúčastnit se programů nebo činností, s účastí v nichž dříve souhlasili, zpracování jejich osobních údajů pro sdělení přímého marketingu, sdělení, která jsou na ně zacílená na základě jejich osobních údajů, a jakéhokoli vyhodnocení nebo rozhodování o jejich osobě prováděného s využitím automatizace nebo algoritmů, kde existuje potenciální možnost je významně ovlivnit.
- i. Vyjma toho, kdy je to zákonem zakázáno, můžeme tuto volbu odepřít, pokud by určitý požadavek volby bránil naší společnosti, aby mohla: (1) dodržet zákonné nebo etické závazky včetně případů, kdy jsme povinni osobní údaje zveřejnit v reakci na zákonné požadavky orgánů státní správy, a včetně nutnosti dodržovat vnitrostátní požadavky na zabezpečení nebo prosazování práva, (2) vyšetřovat, uplatnit nebo obhajovat právní nároky a (3) uzavírat smlouvy, spravovat vztahy nebo vstupovat do dalších povolených obchodních aktivit, které jsou v souladu s principy transparentnosti a omezení účelu a byly uzavřeny při spoléhání se na informace o dotyčných lidech. Do patnácti pracovních dní od jakéhokoli rozhodnutí odmítnout požadavek volby v souladu s touto směrnicí, toto rozhodnutí zdokumentujeme a sdělíme žadateli.
- Přístup, oprava, vymazání, přenos, vznesení námitky a další práva – podle právních předpisů ve většině zemí, kde působíme, mají jednotlivci právo na přístup k osobním údajům o své osobě a na pozměnění, opravu nebo vymazání osobních údajů, které jsou nepřesné, neúplné nebo zastaralé. Budeme ctít všechny požadavky na přístup, opravu a vymazání osobních údajů od všech jednotlivců v souladu s bodem 3a níže. Pokud se požadavek na přístup, opravu nebo vymazání osobních údajů řídí platným právním předpisem, který zajišťuje jednotlivcům vyšší úroveň ochrany, zajistíme, aby byly dodatečné požadavky tohoto právního předpisu splněny.
- Budeme bezodkladně reagovat na jakékoli dotazy, stížnosti a obavy související s ochranou osobních údajů a jakýkoli potenciální incident v oblasti ochrany osobních údajů nebo bezpečnostní incident a postoupíme je výše.
-
Kterýkoli jednotlivec, o němž v rámci působnosti této směrnice zpracováváme osobní údaje, může kdykoli na naši společnost vznést dotaz, stížnost nebo obavu, včetně žádosti o seznam všech našich dceřiných společností, jichž se tato směrnice týká. Od našich zaměstnanců i od ostatních, kteří pracují jménem naší společnosti, očekáváme, že nás budou bezodkladně informovat, pokud budou mít důvod domnívat se, že jim platné zákony mohou bránit dodržovat tuto směrnici. Jakýkoli dotaz, stížnost nebo obava vznesená jednotlivcem nebo jakékoli oznámení poskytované zaměstnancem nebo kteroukoli jinou osobou, která pracuje jménem naší společnosti, by měly být směrovány na centrální útvar pro ochranu osobních údajů:
- e-mailem pro osoby s bydlištěm v Evropském hospodářském prostoru (EHP) na adresu:euprivacydpo@msd.com
- v ostatních případech e-mailem na adresu: msd_privacy_office@msd.com
- poštou na adresu: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
- Od zaměstnanců a smluvních partnerů vyžadujeme, aby bezodkladně informovali centrální útvar pro ochranu osobních údajů nebo jmenovaného správce pro ochranu osobních údajů pro jejich podnikovou oblast o veškerých dotazech, stížnostech nebo obavách souvisejících s postupy naší společnosti v oblasti ochrany osobních údajů.
- Tyto záležitosti prověří a vyšetří centrální útvar pro ochranu osobních údajů, případně bude spolupracovat s kanceláří pro etiku, právním oddělením a/nebo s oddělením pro dodržování předpisů při vyšetřování všech dotazů, stížností nebo obav týkajících se postupů naší společnosti v oblasti ochrany osobních údajů, ať již je obdržela přímo od zaměstnanců či jiných jednotlivců nebo prostřednictvím třetích stran, mimo jiné včetně regulačních agentur, zástupců pro oblast odpovědnosti a dalších orgánů státní správy. Fyzické nebo právnické osobě, která vznesla otázku, stížnost či obavy, odpovíme do třiceti (30) kalendářních dnů, pokud zákon nebo třetí strana žadatele nevyžaduje reakci v kratší době nebo pokud okolnosti, jako je například souběžně probíhající vládní vyšetřování, nevyžadují delší časové období, přičemž v takovém případě budou žádající jednotlivec nebo třetí strana písemně vyrozuměni co nejdříve vzhledem k obecné povaze okolností, které ke zdržení vedly.
- Centrální útvar pro ochranu osobních údajů, v koordinaci s právním oddělením a s oddělením pro dodržování předpisů, bude spolupracovat při reakci na jakýkoli dotaz, kontrolu nebo vyšetřování regulačního orgánu v oblasti ochrany osobních údajů.
-
U stížností, které nelze vyřešit přímo mezi naší společností a jednotlivcem, který stížnost vznesl, naše společnost souhlasila, že se zúčastní následujících postupů arbitráže sporů při vyšetřování a řešení stížností na základě této směrnice, avšak jednotlivci s trvalým pobytem v EHP nebo jednotlivci, jejichž osobní údaje podléhají právním předpisům EHP o ochraně údajů a tyto jsou přenášeny mimo EHP, se mohou rovněž kdykoli opřít o standard 3.f. níže:
- U sporů týkajících se přenosu osobních údajů u personálních záležitostí v kontextu pracovního vztahu z EHS a Spojeného království do USA společnost souhlasila, že bude spolupracovat s příslušným orgánem pro ochranu osobních údajů v EU a Spojeném království.
- co se týče sporů ohledně přenosu osobních údajů spojených s personalistickými aktivitami a shromážděných v rámci zaměstnaneckého poměru v EHP do Spojených států, se naše společnost rovněž zavazuje spolupracovat s příslušnou komisí orgánu EU pro ochranu údajů;
- U sporů týkajících se přenosu osobních údajů podle pokynů, které se týkají dodržování podmínek systému Asijsko-pacifického hospodářského společenství (APEC), pravidel pro přeshraniční ochranu osobních údajů (CBPR) mezi zeměmi APEC, společnost souhlasila s řešením sporů prostřednictvím odpovědného zástupce, organizace BBB National Programs. Chcete-li získat další informace o rozsahu naší účasti nebo odeslat dotaz na ochranu osobních údajů prostřednictvím organizace BBB National Programs, klikněte na oficiální pečeť umístěnou v dolní části této stránky.
- V případě sporů týkajících se přenosu osobních údajů v souvislosti s činnostmi, které se netýkají personálních záležitostí, prostřednictvím rámcového programu Program DPF (Data Privacy Framework) EU-USA, britské rozšíření DPF a švýcarsko-americký ochrany osobních údajů EU-USA společnost souhlasila s řešením sporů (bezplatně) prostřednictvím nezávislého mechanismu pro odvolání, označovaného jako Rámcové služby ochrany osobních údajů, který provozuje organizace BBB National Programs. Pokud neobdržíte včasné potvrzení o přijetí stížnosti nebo pokud stížnost není uspokojivě vyřízena, navštivte stránku https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers, kde získáte další informace a můžete podat stížnost.
- V případě jakéhokoli sporu vzniklého v souvislosti s rámcovým programem Program DPF (Data Privacy Framework) EU-USA, britské rozšíření DPF a švýcarsko-americký ochrany osobních údajů EU-USA, který není vyřešen podle kroků popsaných v této části, mohou fyzické osoby za určitých podmínek vyvolat závazné rozhodčí řízení ohledně zbývajících nároků, které nebyly vyřešeny jinými mechanismy nápravy. Viz https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2.
-
Všichni jednotlivci žijící v EHP nebo jednotlivci, jejichž osobní údaje podléhají právním předpisům EHP o ochraně údajů a tyto jsou přenášeny mimo EHP, o nichž jsou informace zpracovávány podle této směrnice, mají podle této směrnice kdykoli právo vymáhat požadavky této směrnice jako oprávněné třetí strany včetně práva podat soudní žalobu a domáhat se nápravy z důvodu porušení svých práv podle této směrnice (jak je stanoveno v odstavci 2 výše) a práva získat přiznání náhrady škod vzniklých z důvodu takového porušení. Jednotlivci žijící v EHP nebo jednotlivci, jejichž osobní údaje podléhají právním předpisům EHP o ochraně údajů a tyto jsou přenášeny mimo EHP (v zájmu jasnosti, včetně do USA), mohou podle této směrnice podat žalobu nebo stížnost vůči dceřiné společnosti firmy odpovědné za vývoz osobních údajů z EHP:
- u soudů nebo orgánu pro ochranu údajů v zemi EHP, odkud byly jejich osobní údaje přeneseny, nebo
- u soudů nebo orgánu pro ochranu údajů v zemi EHP svého obvyklého bydliště, nebo
- u příslušných orgánů pro ochranu osobních údajů (zejména v členském státě obvyklého bydliště, místa výkonu práce nebo místa údajného porušení), nebo
- u našeho hlavního orgánu pro ochranu údajů, které daly pokyn našemu BCR: francouzský úřad CNIL.
- Fyzické nebo právnické osobě, která vznesla otázku, stížnost nebo obavy, naše společnost odpoví do třiceti (30) kalendářních dnů, pokud zákon nebo třetí strana žadatele nevyžaduje reakci v kratší době nebo pokud okolnosti nevyžadují delší časové období, přičemž v takovém případě budou žádající jednotlivec nebo třetí strana vyrozuměni písemně.
-
Kterýkoli jednotlivec, o němž v rámci působnosti této směrnice zpracováváme osobní údaje, může kdykoli na naši společnost vznést dotaz, stížnost nebo obavu, včetně žádosti o seznam všech našich dceřiných společností, jichž se tato směrnice týká. Od našich zaměstnanců i od ostatních, kteří pracují jménem naší společnosti, očekáváme, že nás budou bezodkladně informovat, pokud budou mít důvod domnívat se, že jim platné zákony mohou bránit dodržovat tuto směrnici. Jakýkoli dotaz, stížnost nebo obava vznesená jednotlivcem nebo jakékoli oznámení poskytované zaměstnancem nebo kteroukoli jinou osobou, která pracuje jménem naší společnosti, by měly být směrovány na centrální útvar pro ochranu osobních údajů:
- Jsme zodpovědní za dodržování našich hodnot a standardů ochrany osobních údajů.
-
Naše dceřiná společnost, která je zodpovědná za doložený incident v oblasti ochrany osobních údajů nebo bezpečnostní incident, je finančně zodpovědná za výši jakéhokoli nároku na náhradu škod nebo pokuty či penále vzniklé na základě incidentu v oblasti ochrany osobních údajů nebo bezpečnostního incidentu.
- V koordinaci s centrálním útvarem pro ochranu osobních údajů a na jeho příkaz je evropský pověřenec pro ochranu údajů odpovědný za zajištění toho, aby byla přijata nezbytná opatření, která se budou zabývat jakýmikoli domnělými porušeními této směrnice našimi dceřinými společnostmi mimo EHP postihujícími jednotlivce žijící v EHP nebo jednotlivce, jejichž osobní údaje podléhají právním předpisům EHP o ochraně údajů a tyto jsou přenášeny mimo EHP, a bude-li to zapotřebí, aby byly zaplaceny pokuty, penále či přiznané náhrady škod za porušení této směrnice postihující jednotlivce žijící v EHP nebo jednotlivce, jejichž osobní údaje podléhají právním předpisům EHP o ochraně údajů a tyto jsou přenášeny mimo EHP. V případě potřeby je společnost Merck, Sharp & Dohme (Europe) Inc., USA – pobočka Belgie (MSD Europe) odpovědná za zaplacení pokut, penále nebo přiznané udělené za porušení této směrnice, které se týkají osob s bydlištěm v EHP nebo osob, jejichž osobní údaje podléhají zákonu o ochraně údajů v EHP a jsou předávány mimo EHP. S podporou od centrálního útvaru pro ochranu osobních údajů společnosti MSD a naší dceřiné společnosti mimo EHP zodpovědné za domnělé porušení bude MSD Europe zodpovědná za prokázání toho, že naše společnost není za domnělé porušení odpovědná. Tam, kde je jiná naše dceřiná společnost zodpovědná za žalobu, která si vyžádala pokutu, penále nebo přiznání náhrady škody, může být od této dceřiné společnosti vyžadováno, aby okamžitě uhradila společnosti MSD Europe jakoukoli částku, kterou tato zaplatila. Pokud tuto směrnici poruší dceřiná společnost firmy mimo EHP, budou mít soudní příslušnost soudy či úřady pro ochranu osobních údajů v EHP a dotyčná fyzická osoba bude mít práva a ochranné prostředky vůči společnosti MSD Europe, jak je stanoveno v bodu 3.f výše.
- V koordinaci s centrálním útvarem pro ochranu osobních údajů a na jeho příkaz je společnost Merck Sharp & Dohme LLC odpovědná za zajištění toho, aby byla přijata nezbytná opatření, která se budou zabývat jakýmikoli domnělými porušeními této směrnice postihujícími jednotlivce žijící mimo EHP, a bude-li to zapotřebí, aby byly zaplaceny pokuty, penále či přiznané náhrady škod za porušení této směrnice postihující jednotlivce žijící mimo EHP nebo jednotlivce, jejichž osobní údaje nepodléhají právním předpisům EHP o ochraně údajů. Tam, kde je jiná naše dceřiná společnost zodpovědná za žalobu, která si vyžádala pokutu, penále nebo přiznání náhrady škody, může být od této dceřiné společnosti vyžadováno, aby okamžitě uhradila společnosti Merck Sharp & Dohme LLC jakoukoli částku, kterou tato zaplatila.
-
Naše dceřiná společnost, která je zodpovědná za doložený incident v oblasti ochrany osobních údajů nebo bezpečnostní incident, je finančně zodpovědná za výši jakéhokoli nároku na náhradu škod nebo pokuty či penále vzniklé na základě incidentu v oblasti ochrany osobních údajů nebo bezpečnostního incidentu.
Dohled a monitorování
Abychom ujistili regulační orgány a další zainteresované strany, že je naše společnost zodpovědná za svůj závazek etických a zodpovědných postupů v oblasti ochrany osobních údajů, udržuje společnost rozsáhlý dohled a monitorovací řídicí skupinu vedenou ředitelem pro ochranu údajů se specializovaným centrálním útvarem pro ochranu osobních údajů (Global Privacy Office, GPO), přidělenými pověřenci pro ochranu osobních údajů pro EU, pověřenci pro ochranu osobních údajů zemí tam, kde to vyžadují právní předpisy nebo místní orgány, a správci pro ochranu osobních údajů, kteří jsou jmenováni vrcholovými vedoucími pracovníky a slouží jako prostředníci mezi centrálním útvarem pro ochranu osobních údajů a oblastmi organizace, v nichž pracují.
Naše společnost se bude opírat o zástupce pro oblast odpovědnosti při ochraně osobních údajů, jimž se podle právních předpisů pravidelně, a bude si ověřovat své dodržování požadavků této směrnice a těchto právních předpisů (včetně systému APEC CBPR).
Kromě kontrol řízených centrálním útvarem pro ochranu osobních údajů MSD budou provádět kontroly dodržování předpisů týmy interních a externích auditů a kontrolní týmy s cílem ověřit, že společnost MSD dodržuje tuto směrnici včetně všech dalších směrnic, postupů, standardů a pokynů, které jsou této směrnici podřízeny. Budou vytvořeny a zavedeny nápravné a preventivní akční plány k řešení nedostatků zjištěných týmy auditu a kontrolními týmy. Budou vytvořeny a zavedeny nápravné a preventivní akční plány k řešení nedostatků zjištěných týmy auditu a kontrolními týmy. Výsledky programu auditu budou sděleny řediteli pro ochranu osobních údajů, který je odpovědný za jejich vykazování tak, jak je popsáno v této směrnici.
Orgány působící v oblasti ochrany osobních údajů a ochrany dat, které tuto směrnici schválily nebo pod jejichž jurisdikci postupy naší společnosti podle této směrnice spadají, mají právo prověřovat její dodržování. Budeme respektovat rady těchto kompetentních orgánů ohledně interpretace a používání této směrnice.
Pojmy, které musíte znát
- Anonymizovaný. Pozměnění, zkrácení, smazání nebo jiná úprava nebo změna osobních údajů tak, aby je nevratně nebylo možné použít k identifikaci, vyhledání nebo kontaktování jednotlivce, a to buď samostatně, nebo v kombinaci s dalšími informacemi.
- Právní předpisy. Veškeré platné zákony, pravidla, předpisy a stanoviska, která mají účinnost zákona v kterékoli zemi, v níž naše společnost působí nebo v níž jsou osobní údaje naší společností nebo jejím jménem zpracovávány. To zahrnuje všechny rámce ochrany osobních údajů, podle kterých byla naše společnost schválena nebo certifikována, včetně závazných pravidel EU (BCR) pravidel přeshraniční ochrany osobních údajů (CBPR) Asijsko-pacifického hospodářského společenství (APEC), rámcového programu Program DPF (Data Privacy Framework) EU-USA, britské rozšíření DPF a švýcarsko-americký ochrany osobních údajů EU-USA v rámci vyšetřovacích a donucovacích pravomocí Federální obchodní komise USA.
- Naše společnost. Merck & Co., Inc. (Rahway, NJ, USA), její právní nástupci, dceřiné společnosti a divize po celém světě, s výjimkou společných podniků, v nichž je společnost smluvní stranou.
- Osobní údaje. Veškeré údaje týkající se osoby, jejíž totožnost je nebo může být identifikována, a to včetně údajů, které osobu identifikují nebo by mohly být použity k identifikaci, lokalizaci, sledování nebo kontaktování dané osoby. Do osobních údajů patří jak údaje umožňující přímou identifikaci (například jméno, identifikační číslo nebo jedinečný název pracovní pozice), tak i údaje umožňující nepřímou identifikaci (například datum narození, jedinečný identifikátor mobilního nebo nositelného zařízení, telefonní číslo nebo údaje vyjádřené formou kódu a online identifikátory, jako jsou IP adresy).
- Incident v oblasti ochrany osobních údajů. Porušení této směrnice nebo zákona o ochraně osobních údajů nebo dat, zahrnuje bezpečnostní incident. Stanovení toho, zda k incidentu v oblasti ochrany osobních údajů došlo a zda se jedná o podstatné porušení, provádí centrální útvar pro ochranu osobních údajů, oddělení zabezpečení a řízení rizik informačních technologií (Information Technology Risk Management and Security, ITRMS) a kancelář hlavního právníka.
- Zpracování. Provedení jakéhokoli úkonu nebo souboru úkonů s informacemi o lidech, ať už pomocí automatizovaných nástrojů, nebo bez nich, mimo jiné včetně shromažďování, zaznamenávání, uspořádávání, uchovávání, přístupu, úpravy, pozměňování, vyhledávání, konzultace, použití, vyhodnocení, analýzy, podávání zpráv, sdílení, zveřejňování, šíření, přenosu, zpřístupnění, srovnávání, kombinování, blokování, zrušení, vymazání nebo zničení.
- Bezpečnostní incident. Porušení zabezpečení vedoucí k náhodnému nebo nezákonnému zničení, ztrátě, pozměnění, neoprávněnému zveřejnění nebo přístupu k osobním údajům nebo naše důvodné podezření, že k tomuto došlo. Přístup k osobním údajům ze strany naší společnosti nebo jejím jménem bez záměru porušit tuto směrnici nepředstavuje bezpečnostní incident za předpokladu, že osobní údaje, ke kterým je přistupováno, jsou dále používány a zveřejňovány výhradně tak, jak povoluje tato směrnice.
- Citlivé informace. Jakýkoli typ informací o lidech, který s sebou nese neoddělitelně spjaté riziko potenciální škody jednotlivcům, včetně informací, které jsou právními předpisy definovány jako citlivé, mimo jiné včetně informací týkajících se zdravotního stavu, genetiky, biometrie, rasy, etnického původu, náboženství, politických či filozofických názorů nebo přesvědčení, případné dřívější trestné činnosti, přesných informací o zeměpisné poloze, čísel bankovních nebo jiných finančních účtů, státem vydaných identifikačních čísel, dětí, které jsou nezletilé, sexuálního života, sexuální orientace, členství v odborech, pojištění, sociálního zabezpečení a dalších výhod poskytovaných zaměstnavatelem nebo státem.
Změny této směrnice
Tato směrnice může být příležitostně novelizována v souladu s požadavky platných právních předpisů. Kdykoli bude tato směrnice podstatným způsobem pozměněna, bude na webových stránkách společnosti věnovaných ochraně osobních údajů (https://www.msdprivacy.com) vyvěšeno po dobu 60 dní příslušné oznámení.