A Merck & Co., Inc. (Rahway, NJ, Amerikai Egyesült Államok) vállalatnál – mely az Amerikai Egyesült Államokon és Kanadán kívül az MSD kereskedelmi nevet használja, és melyhez különösen (de nem kizárólag) a Merck Sharp & Dohme LLC, és az Intervet, Inc. társaságok tartoznak – az életek megmentésére és az életminőség javítására vonatkozó küldetésünk egyben kiterjed a személyek magánéletének a tiszteletben tartására és a személyes adatok védelmére is.
Utolsó felülvizsgálat időpontja: 2023. szeptember 1.
Hatálybalépés dátuma: 2023. szeptember 1.
Arra törekszünk, hogy üzletmenetünket adatvédelmi értékeinkkel összhangban folytassuk, mert hiszünk abban, hogy ezek képviselik megingathatatlan elkötelezettségünket az etikus és felelősségteljes gyakorlatok iránt. Felismertük, hogy az innováció és újabb technológiák folyamatos kihívást jelentenek a kockázatok, az elvárások és a jogszabályi környezet szempontjából, ezért követjük az adatvédelmi felelősségre vonhatóság gyakorlatát, és tűztük ki célul, hogy a változásokra reagálva azonnal végrehajtjuk az e téren szükséges módosításokat.
A jelen Szabályzat meghatározza a vállalatunk által vagy annak nevében használt olyan Személyes Adatok kezelésére és védelmére vonatkozó világszintű szabályokat, függetlenül attól, hogy a Személyes Adatok mely országból származnak vagy mely országba kerülnek továbbításra. Leírja alapvető kötelezettségvállalásainkat, amelyek elősegítik az APEC határokon átívelő adatvédelmi szabályrendszere szerinti tanúsítványunknak,valamint az Európai Unióban jóváhagyott Kötelező erejű vállalati szabályainknak (BCR) való megfelelésünket, továbbá az EU és az Egyesült Államok közötti Adatvédelmi Keretrendszer (DPF), a DPF brit kiterjesztésének és a svájci-amerikai Adatvédelmi Keretrendszer szerinti öntanúsításunkat.
Vállalatunk megfelel az EU és az Egyesült Államok közötti Adatvédelmi Keretrendszernek (EU-U.S. DPF), az EU-U.S. DPF brit kiterjesztésének és a svájci-amerikai Adatvédelmi Keretrendszernek (Swiss-U.S. DPF), ahogyan azt az Egyesült Államok Kereskedelmi Minisztériuma meghatározta. Igazoltuk az Egyesült Államok Kereskedelmi Minisztériuma felé, hogy betartjuk az EU és az Egyesült Államok közötti adatvédelmi keretrendszer elveit (EU-U.S. DPF alapelvek) az Európai Unióból az EU-U.S. DPF-re támaszkodva, valamint az Egyesült Királyságból (és Gibraltárról) az EU-U.S. DPF brit kiterjesztésére támaszkodva kapott személyes adatok kezelése tekintetében. Igazoltuk az Egyesült Államok Kereskedelmi Minisztériuma felé, hogy betartjuk a svájci-amerikai Adatvédelmi keretrendszer elveit (Swiss-U.S. DPF alapelvek) a Svájcból a Swiss-U.S. DPF-re támaszkodva kapott személyes adatok kezelése tekintetében. Amennyiben a jelen szabályzatban foglalt feltételek és az EU-U.S. DPF alapelvek és/vagy a Swiss-U.S. DPF alapelvek között ellentmondás van, az adott alapelvek az irányadóak. Ha többet szeretne megtudni az Adatvédelmi Keretrendszerről (DPF), és megtekintené a tanúsítványunkat, kérjük, látogasson el a https://www.dataprivacyframework.gov/ weboldalra.
Jelen Szabályzat vonatkozik működésünkre minden olyan országban, ahol valamely kapcsolt vállalkozásunk vagy részlegünk (beleértve üzleti tevékenységünk jogutódjait is) tevékenységének részeként emberekre vonatkozó adatokkal foglalkozunk. Ide tartozik többek között a kutatás, gyártás, kereskedelem, vállalati támogató tevékenységek, valamint az ezekhez a tevékenységekhez szükséges adattovábbítás, beleértve, de nem kizárólagosan a következőket:
- Kutatás és gyártás: orvosi és egészségügyi innováció igényének és lehetőségeinek felmérése; kutatási tanulmányok kezdeményezése, kezelése és finanszírozása; kutatók, tudományos és etikai bizottsági tagok és üzleti partnerek felmérése és foglalkoztatása, akik a kutatási tanulmányaink és termékeink fejlesztésének a támogatását végzik; toborzási tevékenység kutatásokhoz; a fejlesztés alatt álló vagy már piacra dobott termékeink biztonságosságának, hatásosságának és minőségének az értékelése; a termékbiztonsági és termékminőségi kötelezettségeinknek való megfelelés – beleértve a mellékhatás jelentések és termékminőségi panaszok kezelését és bejelentését; termékeink jóváhagyásának és regisztrálásának a kezdeményezését az egészségügyi hatóságoknál; valamint a vonatkozó jogi, hatósági és etikai előírásoknak való megfelelést;
- Kereskedelem: termékeinkre vonatkozó piacfelmérés; termékeink hirdetése, marketinge, értékesítése, forgalmazása és szállítása; egészségügyi szakemberekkel, egészségügyi kifizetőkkel, betegekkel és termékeink egyéb végfelhasználóival, valamint a termékeinket használók gondozóival való kommunikáció és kapcsolódás; események szponzorálása és lebonyolítása; üzleti partnerek értékelése és bevonása kereskedelmi tevékenységeink támogatására; valamint a vonatkozó jogi, hatósági és etikai előírásoknak való megfelelés;
- Vállalati támogatás: alkalmazottak toborzása, felvétele, kezelése, fejlesztése, kifizetése és a velük való kommunikáció; alkalmazottak és hozzátartozóik juttatásainak kezelése; alkalmazotti teljesítmény- és tehetségértékelések lebonyolítása; oktatási és egyéb tanulmányi illetve fejlesztési programok biztosítása; alkalmazottak fegyelmi eljárása és panaszaik kezelése; etikai és adatvédelmi aggályok kezelése és vizsgálatok lefolytatása; fizikai és virtuális vagyontárgyaink és infrastruktúránk kezelése és megőrzése; áruk és szolgáltatások beszerzése és kifizetése; környezetvédelmi, egészségügyi, munkavédelmi és más vállalati kötelezettségeinknek való megfelelés; érintkezés a sajtóval; valamint a vonatkozó jogi, hatósági és etikai előírásoknak való megfelelés.
Jelen Szabályzat vonatkozik azokra is, akikkel kapcsolatban adatokat kezelünk, beleértve, de nem kizárólagosan az egészségügyi szakembereket és más ügyfeleket; a potenciális, meglévő és korábbi alkalmazottakat, azok hozzátartozóit, betegeket, gondozókat, kutatókat és kutatások résztvevőit, a tudományos és etikai bizottságok tagjait, üzleti partnereket, befektetőket és részvényeseket, a hatóságok képviselőit és további érdekelteket.
Minden vállalati alkalmazottnak és felsővezetőnek meg kell felelnie az alapvető adatvédelmi kötelezettségeinek.
Tisztában vagyunk vele, hogy az adatvédelemmel kapcsolatos akaratlan hibák és félreértések adatvédelmi kockázatot jelentenek a magánszemélyeknek, és hírnévbeli, működési, anyagi és jogi megfelelőségi kockázatot jelentenek Vállalatunknak. Megfelelő képzést biztosítunk a jelen Szabályzattal kapcsolatban minden alkalmazottnak és más személyzetnek, akik állandó vagy rendszeres hozzáféréssel rendelkeznek személyes adatokhoz, akik részt vesznek adatok gyűjtésében vagy Személyes Adatok kezelésére használt eszközök fejlesztésében. A vállalatunk minden alkalmazottja és mindenki más, aki a vállalatunk számára személyes adatot kezel, felelős azért, hogy megértse és teljesítse a jelen Szabályzat és az irányadó Jogszabályok szerinti kötelezettségeit.
Adatvédelmi értékeink és alapelveink
Érvényre juttatjuk adatvédelmi értékeinket minden, az emberekkel kapcsolatos tevékenységünk során, és ebbe beletartozik az is, ahogy az adatvédelmi alapelveinket alkalmazzuk. Négy adatvédelmi értékünk a következő:
Tisztelet | Bizalom | Károkozás megelőzése | Előírások betartása |
---|---|---|---|
Tisztában vagyunk azzal, hogy az adatvédelemmel kapcsolatos aggodalmak gyakran lételemünk részeihez tartoznak, ahhoz, hogy hogyan tekintünk a világra és miként határozzuk meg önmagunkat, ennek megfelelően arra törekszünk, hogy tiszteletben tartsuk a magánszemélyek és közösségek véleményét és érdekeit, és hogy igazságosak és átláthatóak legyünk a személyes adataik felhasználása és megosztása során. | Tudjuk, hogy a bizalom elengedhetetlen a sikerünkhöz, így azon dolgozunk, hogy kiépítsük és megőrizzük ügyfeleink, alkalmazottaink, betegeink és más érdekelt felek abban vetett bizalmát, hogy tiszteletben tartjuk a magánéletüket és megóvjuk a velük kapcsolatos adatokat. | Tudjuk, hogy az adatokkal való visszaélés materiális és immateriális károkat okozhat az embereknek, ezért arra törekszünk, hogy megelőzzük a fizikai, pénzügyi, hírnévben esett és a magánélet egyéb vonatkozásait érintő károkozást. | Megtanultuk, hogy a törvények és jogszabályok nem mindig tudnak lépést tartani a technológiában, adatáramlásban és a hozzájuk kapcsolódó adatvédelmi kockázatokban és elvárásokban bekövetkező gyors változásokkal, ezért arra törekszünk, hogy megfeleljünk mind az adatvédelmi törvények és jogszabályok betűjének, mind azok szellemének, ami következetes és hatékony működést jelent globális üzleti műveleteink során. |
- Adatvédelmi rendelkezéseinket beágyazzuk minden olyan tevékenységünkbe, folyamatunkba, technológiánkba és harmadik féllel folytatott kapcsolatunkba, ahol személyes adatokat használunk fel. Úgy építjük be adatvédelmi rendelkezéseinket a folyamatokba és technológiákba, hogy azok megfeleljenek adatvédelmi értékeinknek, szabályzatainknak és a vonatkozó jogszabályoknak. Az alábbiakban meghatározott 8 adatvédelmi alapelv összegzi a folyamataink, tevékenységünk és az ezeket támogató technológiára érvényes adatvédelmi szabványainkat és alapvető követelményeinket.
Adatvédelmi alapelvek
Alapvető kötelezettségeink
1. Szükségesség – A személyes adatok gyűjtését, felhasználását és megosztását megelőzően meghatározzuk és dokumentáljuk azokat az egyedi és jogszerű üzleti célokat, melyek indokolják azokat.
- Meghatározzuk és dokumentáljuk, hogy az adott üzleti célok érdekében és a vonatkozó jogszabályi követelmények alapján mennyi ideig van szükség a személyes adatokra.
- Nem gyűjtünk, használunk és osztunk meg a szükségesnél több személyes adatot, illetve nem őrizzük meg azokat a meghatározott üzleti célokhoz és a vonatkozó jogszabályi követelmények alapján szükséges időnél tovább.
- Amennyiben az üzleti okokból szükséges, hogy a tevékenység vagy folyamat adatait hosszabb ideig őrizzük meg, az adatokat anonimizáljuk.
- Biztosítjuk, hogy ezek a szükséges követelmények beépülnek minden támogató technológiába és hogy azokat a folyamatban vagy tevékenységben közreműködő harmadik felek is megismerjék.
2. Igazságosság – Nem kezelünk személyes adatot az adattulajdonosra nézve igazságtalan módon.
- Meghatározzuk, hogy a személyes adat tervezett gyűjtése, felhasználása vagy egyéb kezelése jelentheti-e materiális vagy immateriális sérelem valószínű és/vagy jelentős kockázatát a magánszemélyekre nézve, a Károkozás elkerülése adatvédelmi értékünk értelmében.
- Ha az adatok természete, az emberek típusa vagy a tevékenység materiális vagy immateriális sérelem valószínű és/vagy jelentős kockázatát jelenti a magánszemélyekre nézve, biztosítjuk, hogy a kockázatot a magánszemélynek biztosított megfelelő juttatások, illetve az életek megmentésére és javítására irányuló küldetésünk ellensúlyozza, illetve az általunk bevezetett intézkedések, védőintézkedések és mechanizmusok mérséklik.
- Ahol úgy tűnik, hogy a kockázat meghaladja a magánszemélyeknek biztosított előnyöket, a legalkalmasabb biztonsági és védelmi mechanizmusokat alkalmazzuk, tájékoztatjuk az érintetteket erről és ha lehetséges, az illetékes hatóság iránymutatását is kikérjük
- Érzékeny Adatokat kizárólag az érintettek kifejezett hozzájárulásával, az irányadó jogszabályok kifejezett előírása vagy engedélye mellett kezelünk.
- Ha a kockázat látszólag meghaladja a magánszemélyeknek biztosított előnyöket, dokumentáljuk a kockázatelemzést, és megtervezünk minden szükséges mechanizmust a kockázatok lehető legnagyobb mértékű csökkentésére.
3. Átláthatóság – Nem kezelünk személyes adatot ok nélkül vagy át nem látható módon.
- Mindenkinek, akinek Személyes Adatait jelen Szabályzat alapján kezeljük, joga van a jelen Szabályzat másolatára. A jelen Szabályzat másolatát online elérhetővé tesszük a következő címen: https://www.msdprivacy.com/index.html. Az alábbi címekre érkező kérés esetén a MSD Globális Adatvédelmi Irodája elektronikus és/vagy papír alapú másolatokat küld a jelen Szabályzatról.
- Amikor a Személyes Adatot közvetlenül az érintettől gyűjtjük be, akkor az adatgyűjtés előtt érthető, nyilvánvaló és könnyen hozzáférhető adatvédelmi tájékoztatóval vagy más hasonló formában tájékoztatjuk őket a következőkről: (1) az adatkezelésért felelős vállalatról vagy vállalatokról, (2) a vezető adatvédelmi tisztviselőnk és/vagy a regionális/helyi adatvédelmi tisztviselőnk elérhetőségéről, (3) a gyűjtött adatokról, (4) az adatkezelés céljairól, (5) az adatkezelés jogalapjáról, (6) az adattovábbítás címzettjeiről, ideértve az állami hatóságok jogszerű kérelme alapján megosztandó Személyes Adatokra vonatkozó bármely követelményt, (7) hogy továbbítjuk-e, és hogyan továbbítjuk a Személyes Adatokat külföldre, beleértve az érintett országokat, ha ez lehetséges (8) mennyi ideig őrizzük meg ad adatokat, vagy hogy ez milyen feltételektől függ, (9) hogyan tehetnek fel kérdéseket, jelezhetik aggályaikat, vagy gyakorolhatják a Személyes Adataikhoz fűződő jogaikat, (10) hogyan vonhatnak vissza bármely általuk megadott hozzájárulást, (11) a felügyeleti hatóságnál való panasztételi jogukról, (12) a Személyes Adatok megadására vonatkozó bármely kötelezettségről, és a nemteljesítés következményeiről, (13) bármely automatizált döntéshozatalról, beleértve a profilalkotást, melyet végzünk, és (14) a jelen Szabályzatra mutató hivatkozásról, ha lehetséges és célszerű. A számos érdekelt félre vonatkozó átfogó adatvédelmi tájékoztatónk online elérhető a következő címen: http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html
- Amikor a Személyes Adatot megfigyelés, érzékelők vagy más közvetett módon szerezzük meg, nem mindig van lehetőség közvetlenül tájékoztatni az érintettet az adat összegyűjtésével egyidejűleg. Ezekben az esetekben más módon biztosítjuk a érintettek az átláthatóságot, mint például a készüléken megjelenített vagy nyomtatott formában, illetve az adatot összegyűjtő készülékhez kapcsolódó anyagokban.
- Amikor a Személyes Adatot weboldalon, mobil alkalmazásból vagy más online applikációból vagy eszközből gyűjtjük össze, azokat a technológia-specifikus irányelveket alkalmazzuk, amelyeket az Internetes Adatvédelmi Szabályzat és az Online Nyomonkövetési Szabályzat tartalmaz, hogy biztosítsuk a jelen Szabályzat átláthatóságra vonatkozó követelményeinek betartását.
- Amikor a Személyes Adatot más forrásokból és nem kimondottan a vállalatunknak címezve gyűjtjük össze, az adatok átvétele előtt írásban meggyőződünk róla, hogy az adatot átadó személy tájékoztatta az érintetteket a vállalatunk általi adatkezelés módjáról és céljáról. Ha az adatot átadó személytől nem lehet írásos igazolást beszerezni, kizárólag anonimizált adatot használunk, vagy a személyes adatok felhasználása előtt adatvédelmi tájékoztatóval vagy más hasonló módon tájékoztatjuk az érintetteket a következőkről: (1) az adatkezelésért felelős vállalatról vagy vállalatokról (2) a vezető adatvédelmi tisztviselőnk és/vagy a regionális/helyi adatvédelmi tisztviselőnk elérhetőségéről, (3) milyen adatokat tervez a vállalatunk használni, (4) az adatkezelés céljairól, (5) az adatkezelés jogalapjáról, (6)az adattovábbítás címzettjeiről, (7) hogy továbbítjuk-e, és hogyan továbbítjuk a Személyes Adatokat külföldre, beleértve az érintett országokat, ha ez lehetséges (8) mennyi ideig őrizzük meg az adatokat, vagy hogy ez milyen feltételektől függ, (9) hogyan tehetnek fel kérdéseket, jelezhetik aggályaikat vagy gyakorolhatják a Személyes Adataikhoz fűződő jogaikat, (10) hogyan vonhatnak vissza bármely általuk megadott hozzájárulást, (11) a felügyeleti hatóságnál való panasztételi jogukról, (12) a Személyes Adatok megadására vonatkozó bármely kötelezettségről, és a nemteljesítés következményeiről, (13) bármely automatizált döntéshozatalról, beleértve a profilalkotást, melyet végezünk, és (14) a jelen Szabályzatra mutató hivatkozásról, ha lehetséges és célszerű.
- Biztosítjuk, hogy a szükséges átláthatósági mechanizmusok, beleértve, ahol lehetséges, az érintetti jogok gyakorlását támogató mechanizmusokat, beépüljenek a támogató technológiákba, és a folyamatot vagy tevékenységet támogató harmadik felek nem kezelnek adatot az adatvédelmi tájékoztatóban vagy más igazolható módon megadottaktól eltérően.
- Amikor hozzájárulást kérünk, beszerezzük és támogató technológiánkban dokumentáljuk a hozzájárulás megtörténtének a bizonyítékát.
4. Célok korlátozása– Személyes Adatot kizárólag a Szükségesség és Átláthatóság alapelveknek megfelelőn használunk.
- Ha a korábban gyűjtött Személyes Adatokkal kapcsolatban új, jogszerű üzleti cél merül fel, vagy megszerezzük az érintett hozzájárulását a Személyes Adatok új módon történő használatához, vagy biztosítjuk, hogy az új üzleti cél megfelel, illetve jelentős mértékben megegyezik az érintettnek korábban átadott adatvédelmi tájékoztatóban vagy más átláthatóságot célzó mechanizmusban leírt célokkal. Az egyezőséget a következők alapján fogjuk megítélni: (1) az eredeti célok és a tervezett új cél közötti bármely kapcsolat, (2) az érintett észszerű elvárásai, (3) a Személyes Adatok jellege, (4) a további adatkezelés következményei az érintettre nézve, és (5) az általunk bevezetett védelmi intézkedések.
- Ezt az alapelvet nem alkalmazzuk anonimizált adatok esetén, illetve akkor, ha Személyes Adatot történelmi vagy tudományos kutatási célokra használjuk, és (1) az Etikai Bizottság vagy más kompetens felülvizsgálati szerv megállapította, hogy az adatok ilyen jellegű felhasználásával járó, az érintettek magánéletét és egyéb jogait érintő kockázatok elfogadhatóak, (2) megfelelő védelmi intézkedéseket vezettünk be az adattakarékosság érdekében, (3) megtörtént a Személyes Adatok álnevesítése, és (4) minden más irányadó Jogszabályt tiszteletben tartunk.
- Gondoskodunk róla, hogy a célhoz kötöttséget biztosító korlátozásokat beépítsük minden támogató technológiába, beleértve a jelentéstételi funkciókat és a lefelé irányuló adatmegosztást.
5. Adatminőség – Gondoskodunk a Személyes Adatok pontosságáról, teljeskörűségéről és naprakészségéről a felhasználás céljával összhangban.
- Gondoskodunk róla, hogy időszakos átvizsgálási mechanizmusokat építsünk a támogató technológiákba, melyek validálják az adatok pontosságát a forráshoz és a lemenő rendszerekhez képest.
- Biztosítjuk, hogy az Érzékeny Adatok pontosságáról és naprakészségéről meggyőződünk a felhasználás, értékelés, elemzés, jelentés vagy más olyan adatkezelés előtt, mely esetén a pontatlan vagy idejétmúlt adatok használata méltánytalan lenne az érintettekre nézve.
- Ha vállalatunk vagy a vállalatunknak dolgozó harmadik felek módosítják a Személyes Adatokat, biztosítjuk, hogy ezeket a módosításokat – amennyiben lehetséges – időben közöljük az érintettekkel.
6. Biztonság – Biztonsági intézkedéseket vezetünk be a személyes, illetve az érzékeny adatok elvesztésének, szabálytalan felhasználásának, az azokhoz való jogosulatlan hozzáférésnek, nyilvánosságra kerülésüknek, módosításuknak vagy megsemmisülésüknek megelőzése érdekében.
- Átfogó adatbiztonsági programot vezettünk be és olyan biztonsági szabályozást alkalmazunk, mely az adatok érzékenységén és a tevékenység kockázati szintjén alapszik, és figyelembe veszi a elérhető „best Practice”-nek („legjobb gyakorlatnak”) számító technológiákat és a bevezetés költségeit is. Funkcionális biztonsági szabályzataink között található témakörök többek között az üzletmenet folytonosságát és veszélyhelyzeti helyreállítását célzó előírások, titkosítás, személyazonosság és hozzáférések kezelése, adatok osztályozása, adatbiztonsági események kezelése, hálózati hozzáférések korlátozása, fizikális biztonsági intézkedések és kockázatkezelés.
7. Adattovábbítás -Felelősséggel tartozunk azért, és gondoskodunk róla, hogy fenntartsuk a Személyes Adatok védelmét a más szervezettől vagy más szervezethez történő, vagy országhatárokon átívelő továbbítások esetén.
(1) Személyes Adatokat a vállalatunkon belül csak akkor továbbítunk, ha az alábbi követelmények teljesülnek:
- (1) a megosztás szükséges abból a célból, amelyre a Személyes Adatokat eredetileg gyűjtöttük, vagy a vállalat más jogos érdekéből, és (2) a cél, amely miatt meg kell osztani, és a tény, hogy megosztásra kerül, megfelel az adatvédelmi tájékoztatónak vagy más átláthatóságot biztosító mechanizmusnak, amelynek keretében az érintettet a Személyes Adatok eredeti gyűjtésének időpontjában tájékoztattuk, és – amennyiben szükséges – az érintett a hozzájárulását adta, amennyiben szükséges, (3) ha egy kapcsolt vállalkozásunk kizárólag egy másik kapcsolt vállalkozásunk nevében jár el a Személyes Adatok kezelése során, (4) ahol azt a Jogszabályok megkövetelik, az érintett kapcsolt vállalkozásaink belső adatkezelési megállapodást kötnek a jelen Szabályzat 8. Alapelvével összhangban, (5) ha az informatikai infrastruktúra szükségessé teszi az ilyen adattovábbítást, feltéve, hogy minden szükséges biztonsági és szervezeti intézkedés érvényben van ahhoz, hogy az adattovábbítás jogszerű legyen.
(2) Harmadik félnek Személyes Adatot csak akkor továbbítunk vagy tesszük lehetővé számukra az adatkezelést, ha az alábbi követelményeknek megfelelnek, és vállaljuk, hogy ezeket a követelményeket betartatjuk az általunk igénybe vett harmadik felekkel:
- Ha a harmadik félnek az a szerepe, hogy személyes adatot dolgozzon fe a vállalat részére vagy annak a nevében, , még mielőtt a személyes adatot átadjuk a harmadik félnek, vagy bevonjuk a harmadik felet: (1)elvégezzük az adatvédelmi átvilágítást, hogy megállapítsuk a harmadik fél adatvédelmi gyakorlatát és a hozzájuk tartozó kockázatokat, (2) megszerezzük a harmadik fél szerződéses felelősségvállalását a személyes adatoknak kizárólag a vállalatunk utasításai és jelen Szabályzattal összhangban történő kezelésére, beleértve, korlátozás nélkül, mind a 8 adatvédelmi alapelvet és a Szabályzatban meghatározott egyéb szabványokat, a vonatkozó törvényeket, azt, hogy azonnal értesítik a vállalatunkat az adatvédelmi eseményekről, ideértve azt az esetet, ha nem képesek megfelelni a Szabályzatban és a vonatkozó jogszabályokban foglalt rendelkezéseknek, vagy biztonsági eseményekről, továbbá együttműködnek bármely indokolt esemény azonnali elhárításában és az alábbi 2. bekezdésben foglalt egyedi jogosultságok kezelésében, nem fognak más vállalatot szerződtetni a személyes adatok kezelésére a mi írásbeli felhatalmazásunk nélkül és egyenértékű adatvédelmi kötelezettségeket előíró megállapodás megkötése nélkül, törlik vagy visszajuttatják részünkre az összes személyes adatot a részünkre történő szolgáltatásnyújtás befejezését követően vagy a mi kérésünkre, valamint engedélyezik vállalatunknak, hogy auditálják és monitorozzák működésüket az adatkezelés időtartama alatt, a jelen követelményekkel összhangban. Ezenfelül, ha a harmadik fél olyan országból vagy területről kezel személyes adatot, ahol a törvény tiltja vagy korlátozza a személyes adatok továbbítását, biztosítjuk, hogy a harmadik félnek történő továbbítás megfelel a határokon átívelő adattovábbítási, az alábbi (3). pontban leírt követelményeknek.
- Ha a harmadik fél szerepe, hogy Személyes Adatokkal lássa el a vállalatunkat, akkor még a Személyes Adatok harmadik féltől való átvételét megelőzően biztosítjuk, hogy a más forrásból származó, nem kimondottan a vállalatunknak szánt Személyes Adatok gyűjtésére irányuló Átláthatósági követelmények teljesülnek, és szerződéses kötelezettséget kérünk a harmadik féltől arra vonatkozóan, hogy a Személyes Adatok részünkre történő átadása nem sért Jogszabályt vagy bármely harmadik fél jogát.
- Ha a harmadik fél szerepe, hogy vállalatunktól olyan adatot kapjon adatkezelésre, amit nem kimondottan a vállalatunknak szántak, akkor még az adatot harmadik félnek való átadását megelőzően gondoskodunk az információ anonimizálásáról, és írásos garanciát kérünk a harmadik féltől arra vonatkozóan, hogy kizárólag a megállapodásban meghatározott üzleti célokra és az irányadó jogszabályokkal összhangban használja azt fel, és nem kísérli meg beazonosítani az érintettet.
- Ha a harmadik fél részére történő továbbítás az érintett vagy a vállalat jogos érdekének védelme érdekében szükséges, az adatokat továbbíthatjuk: (1) csalások megelőzésének céljából, vagy a vállalat jogainak és tulajdonjogának érvényesítése vagy védelme érdekében, (2) alkalmazottaink vagy telephelyünkön tartózkodó harmadik személyek személyes biztonságának védelme érdekében, vagy (3) eszközeink védelme érdekében korrekciós biztonsági intézkedések tételével, ha alappal gyanítjuk, hogy jogszerűtlen tevékenység vagy súlyos visszaélés történt.
- Ha a harmadik fél vállalatunk általi akvizíciónak vagy irányítást biztosító részesedésszerzésének potenciális célpontja, (1) az akvizíció vagy irányítást biztosító részesedésszerzési megállapodás megkötése előtt adatvédelmi átvilágítást folytatunk le, hogy felmérjük az adott harmadik fél akvizíciójával vagy irányítást biztosító részesedésszerzésével járó adatvédelmi gyakorlatokat és kockázatokat, és (2) adattovábbítási megállapodást kötünk, mely meghatározza a Személyes Adatok átadására vonatkozó feltételeket és a mi, illetve a harmadik fél kötelezettségeit.
- Ha a harmadik fél szerepe, hogy felvásárolja vállalatunk valamely üzletágának részét vagy egészét, akkor még a vállalat üzletágai bármely részének az értékesítésével kapcsolatos bármely Személyes Adatnak a megosztását megelőzően (1) adattovábbítási megállapodást írunk alá, amely meghatározza a Személyes Adatoknak a felvásárló részére való átadásra vonatkozó feltételeket, ideértve a Személyes Adatok felhasználására vonatkozó korlátozásokat, valamint a jelen Szabályzatban és az irányadó Jogszabályokban foglalt rendelkezéseknek való megfelelést, (2) még a megosztás előtt áttekintjük az adatok részleteit, hogy felmérjük a megosztásra vonatkozó feltételek teljesülését, (3) megszerezzük a Személyes Adatok vagy Érzékeny Adatok megosztásához szóló hozzájárulást a jelen Szabályzatnak az Átláthatóságra és Célhoz-kötöttségre vonatkozó alapelveivel összhangban, továbbá (4) megköveteljük az érintett harmadik féltől, hogy bármely esetleges Adatvédelmi Eseményről haladéktalanul értesítsen minket, ideértve azt, ha nem képes eleget tenni a jelen Szabályzatban, illetve az irányadó Jogszabályokban foglalt rendelkezéseknek, továbbá hogy együttműködjön bármely verifikált Esemény azonnali elhárításában, illetve megszüntesse az érintett Személyes Adatok kezelését.
(3) Vállalatunk vagy az annak nevében eljárók Személyes Adatokat a jelen Szabályzattal összhangban továbbítanak országhatárokon át, többek között az Amerikai Egyesült Államokba is. A jelen Szabályzatot alkalmazzuk Személyes Adatok továbbítására azokban az esetekben, amikor a Személyes Adatok olyan országból vagy területről kerülnek továbbításra, ahol ezt jogszabályok korlátozzák, az ilyen Jogszabályok által támasztott követelményeknek való megfelelésen túl (beleértve az olyan mechanizmusok használatát, melyek határon átnyúló továbbítások esetén irányadók olyan országok tekintetében, melyek nem biztosítják a származási országgal azonos szintű adatvédelmet).
8. Jogilag megengedett – Csak akkor kezelünk Személyes Adatokat, ha ez megfelel az irányadó jogszabályok előírásainak.
- Míg a többi 7 adatvédelmi alapelv és az alábbiakban leírt Egyéni Jogokra vonatkozó követelmények azt hivatottak biztosítani, hogy a vállalatunk világkörüli működésére vonatkozó legtöbb adatvédelmi jogszabály követelményeinek eleget tegyünk, néhány országban további előírásoknak is meg kell felelnünk. Ezek közé tartoznak különösen, de nem kizárólagosan, a következők:
- 1) Ahol ezt megkövetelik, a személyes adatok bizonyos kezelésére egyedi beleegyező nyilatkozatot kell megszereznünk, beleértve, de nem kizárólagosan, a munkástanácsnak vagy más dolgozói szakszervezeteknek az adatkezelésre szóló jóváhagyását;
- 2) Ahol ez szükséges, regisztráljuk a Személyes Adatok kezelését, vagy beszerezzük az illetékes adatvédelmi hatóság engedélyét;
- 3) Ahol ez szükséges, a jelen Szabályzatban foglaltaknál szélesebb körű jogokat biztosítunk (például hozzáférési és kijavítási jogokat);
- 4) Ahol ez szükséges, tovább korlátozzuk a Személyes Adatok megőrzésének idejét; és
- 5) Ahol ezt megkövetelik, egyedi szerződéses záradékokat tartalmazó megállapodásokat írunk alá, melyek tartalmazhatják a harmadik félnek szóló, határokon átívelő adattovábbítási megállapodásokat.
- 6) Ahol ez szükséges, a hatóságok jogszerű kérésére megosztunk személyes adatokat, ideértve a nemzetbiztonsági vagy végrehajtási előírások teljesítését
Amennyiben ellentmondás áll fenn a jelen Szabályzat és az irányadó jogszabály között, az érintetteknek magasabb szintű védelmet biztosító előírás érvényesül.
- Azonnal foglalkozunk a magánszemélynek a személyes adatokhoz való hozzáférésre, módosításra, javításra vagy törlésre vonatkozó kérelmével, a személyes adataik kezelésére vonatkozó kifogásaival, illetve a személyes adataikkal kapcsolatos más jogaik gyakorlására vonatkozó kéréseivel.
- Hozzáférés, javítás, törlés és más jogok – Működési területünk legtöbb országában a Jogszabályok előírják, hogy az érintettek jogosultak hozzáférni a saját Személyes Adataikhoz, valamint jogosultak a hibás, nem teljes vagy idejétmúlt Személyes Adataik módosítására, helyesbítésére vagy törlésére. Eleget teszünk az érintettől érkező, Személyes Adatokhoz való hozzáférésre, helyesbítésre vagy törlésre irányuló kérelemnek az alábbi 3.a Szakasznak megfelelően. Ha a hozzáférésre, helyesbítésre vagy törlésre irányuló kérelmet olyan irányadó Jogszabály szabályozza, amely szélesebb körű védelmet biztosít az érintettnek, gondoskodunk arról, hogy megfeleljünk a Jogszabály többlet előírásainak.
Egyes országokban az érintettek más jogokkal is rendelkezhetnek a saját Személyes Adataik tekintetében, mint például az adatkezelés korlátozásának joga, az adatkezelés elleni tiltakozás joga (lásd még az alábbi 2b Szakaszt) és adataik más szolgáltatóhoz való továbbításának joga. Lehetővé tesszük az érintetti jogok gyakorlását az irányadó Jogszabályokkal összhangban. Bizonyos jogokat (például a törlési jogot) korlátozhatnak egyéb szabályozási követelmények vagy a helyi megfelelőségi jelentéstételi kötelezettség betartásának szükségessége; mely esetben tájékoztatni fogjuk Önt az irányadó korlátozásokról.
- Választási lehetőségek – A „Tisztelet” és „Bizalom” adatvédelmi értékeinkkel összhangban tiszteletben tartjuk az érintetteknek a Személyes Adatok kezelése elleni tiltakozását, beleértve, de nem kizárólagosan az olyan programjainkból vagy tevékenységeinkből való kilépést, melyek esetében korábban a részvétel mellett döntöttek; a Személyes Adatoknak direkt marketing célú felhasználása esetén, vagy a Személyes Adataikon alapuló célzott kommunikáció esetén; és bármely, az érintettekre vonatkozó értékelés vagy döntés tekintetében, mely akár jelentős mértékben is érintheti az adott személyt és mely értékelést vagy döntést automatizált módon vagy valamilyen algoritmus felhasználásával hoznak.
- Ha a törvény nem tiltja, megtagadhatjuk a választás lehetőségét abban az esetben, amikor egy bizonyos választás akadályozhatja vállalatunk alábbi képességeit: (1) a jogszabályoknak vagy etikai kötelezettségeknek való megfelelést, ideértve azt az esetet, amikor a hatóságok jogszerű kérésére, beleértve a nemzetbiztonsági vagy jogérvényesítési előírások teljesítését, kell közölnünk a személyes adatokat, (2) jogi követelés kivizsgálását, alátámasztását vagy megvédését, illetve (3) olyan szerződések végrehajtását, kapcsolatok kialakítását vagy más, megengedett üzleti tevékenységben való részvételt, melyek összhangban állnak az Átláthatóság és Célok korlátozása alapelvekkel, és amelyeket a szóban forgó személy adataira hagyatkozva kötöttünk meg. A jelen Szabályzattal összhangban, a választási kérvényre vonatkozó döntést követő tizenöt munkanapon belül dokumentáljuk a döntést és tájékoztatjuk arról a kérvényezőt.
- Hozzáférés, javítás, törlés és más jogok – Működési területünk legtöbb országában a Jogszabályok előírják, hogy az érintettek jogosultak hozzáférni a saját Személyes Adataikhoz, valamint jogosultak a hibás, nem teljes vagy idejétmúlt Személyes Adataik módosítására, helyesbítésére vagy törlésére. Eleget teszünk az érintettől érkező, Személyes Adatokhoz való hozzáférésre, helyesbítésre vagy törlésre irányuló kérelemnek az alábbi 3.a Szakasznak megfelelően. Ha a hozzáférésre, helyesbítésre vagy törlésre irányuló kérelmet olyan irányadó Jogszabály szabályozza, amely szélesebb körű védelmet biztosít az érintettnek, gondoskodunk arról, hogy megfeleljünk a Jogszabály többlet előírásainak.
- Azonnal megválaszolunk és felterjesztünk minden adatvédelemmel kapcsolatos kérdést, panaszt, aggályt, illetve bármely potenciális Adatvédelmi vagy Biztonsági Eseményt.
-
Minden érintett, akinek Személyes Adatait a jelen Szabályzat hatálya alatt kezeljük, bármikor intézhet a vállalatunkhoz kérdést, panaszt vagy jelezheti aggályát, beleértve a jelen Szabályzat hatálya alá tartozó kapcsolt vállalkozásaink listája iránti igényt. Elvárjuk, hogy alkalmazottaink és a vállalatunk nevében dolgozók azonnal jelezzék, ha okuk van feltételezni, hogy egy irányadó Jogszabály korlátozza őket a jelen Szabályzat betartásában. Az érintettől érkező bármely kérdést, panaszt vagy aggályt az MSD Globális Adatvédelmi Irodájának kell címezni:
- Az Európai Gazdasági Térségben (EGT) lakó magánszemélyek esetében e-mailben:euprivacydpo@msd.com
- Egyébként e-mailben: msd_privacy_office@msd.com
- Postai úton: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
- Az alkalmazottaknak és szolgáltatóknak azonnal tájékoztatniuk kell a Globális Adatvédelmi Irodát vagy az üzleti területükön megbízott Adatvédelmi gondnokot bármilyen, a vállalati adatvédelmi gyakorlatot érintő kérdésről, panaszról vagy aggályról.
- A Globális Adatvédelmi Iroda áttekinti és kivizsgálja, vagy az Etikai, Jogi és Megfelelőségi Irodával együttműködve vizsgálja ki a vállalatunk adatvédelmi gyakorlatát érintő kérdéseket, panaszokat és aggályokat, függetlenül attól, hogy az közvetlenül egy alkalmazottól, más magánszemélytől vagy harmadik félen keresztül kaptuk, amibe beletartoznak a hatóságok, elszámoltathatósági ügynökök vagy más kormányzati szervek. Harminc (30) naptári napon belül válaszolunk annak a személynek vagy szervnek, aki/amely a kérdést, panaszt vagy az aggályt megfogalmazta, hacsak valamely Jogszabály rövidebb határidőt nem ír elő, vagy egy harmadik fél nem nyújt be olyan kérést, amelyre rövidebb időn belül szükséges válaszolni, vagy ha a körülmények, például párhuzamos hatósági ellenőrzések, hosszabb időt nem tesznek szükségessé, amely esetben a magánszemély vagy a harmadik fél kérelmezőt a lehető leghamarabb írásban tájékoztatjuk a késlekedéshez hozzájáruló tényezők általános természetéről.
- A Globális Adatvédelmi Iroda, a Jogi és Megfelelőségi osztállyal egyeztetve, együttműködik az adatvédelmi szabályozó hatóságokkal azok kérdéseik, ellenőrzéseik vagy vizsgálataik során.
-
Olyan panaszok esetén, melyeket nem lehet a vállalatunk és a panaszt előterjesztő magánszemély között megoldani, vállalatunk vállalja, hogy az alábbi vitarendezési eljárásokban vesz részt a panaszok kivizsgálása és megoldása tekintetében annak érdekében, hogy a vitás kérdéseket a jelen Szabályzatnak megfelelően lehessen elrendezni, azonban, azok a magánszemélyek, akik az EGT lakosai vagy akiknek a Személyes Adatai az EGT adatvédelmi joga alapján részesülnek védelemben és Személyes Adatukat az EGT területén kívülre továbbítják, az alábbi, 3.f. szerinti előírásokra is bármikor támaszkodhatnak:
- Az emberi erőforrásokkal kapcsolatos tevékenységekhez kapcsolódó, munkaviszonyt érintő Személyes Adatoknak az EGT és az Egyesült Királyság területéről az USA-ba történő továbbítását érintő jogviták esetén vállalatunk vállalja, hogy együttműködik a z illetékes EU-s adatvédelmi hatósággal.
- Az emberi erőforrásokkal kapcsolatos tevékenységekhez kapcsolódó, munkaviszonyt érintő személyes adatoknak Svájcból az USA-ba történő továbbítását érintő jogviták esetén vállalatunk vállalja, hogy együttműködik a svájci FDPIC-kel.
- A Személyes Adatoknak az Ázsiai és Csendes-óceáni Gazdasági Együttműködés (APEC) Határokon Átívelő Adatvédelmi Szabályrendszerének (CBPR-k) megfelelő, APEC-országok közötti adattovábbításával kapcsolatos vitás kérdések esetén vállalatunk elfogadja az elszámoltathatósági ügynökünk, a BBB National Programs általi vitarendezését. Ha többet szeretne megtudni a részvételünk mértékéről, vagy ha adatvédelemre vonatkozó kérdést szeretne benyújtani a BBB National Programs-on keresztül, kattintson az oldal alján található hivatalos pecsétre.
- A nem emberi erőforrással kapcsolatos tevékenységeket érintő Személyes Adatoknak az EU és az Egyesült Államok közötti Adatvédelmi Keretrendszeren (DPF), a DPF brit kiterjesztésén és a svájci-amerikai Adatvédelmi Keretrendszeren keresztül történő továbbításához kapcsolódó jogviták tekintetében vállalatunk alávetette magát egy független jogorvoslati mechanizmus, az Adatvédelmi Keretrendszer Szolgáltatások (Data Privacy Framework Services) keretében a BBB National Programs által (díjmentesen) nyújtott vitarendezési eljárásnak. Ha nem kap időben visszaigazolást panaszáról, vagy ha panaszát nem kezelik megfelelően, kérjük, látogasson el a https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers weboldalra további információért és panasz benyújtásához.
- Az EU és az Egyesült Államok közötti Adatvédelmi Keretrendszer (DPF), az EU-U.S. DPF brit kiterjesztése és a svájci-amerikai Adatvédelmi Keretrendszer keretében felmerült bármely jogvita esetén, amelyet nem sikerül megoldani a jelen szakaszban ismertetett lépések útján, az érintettek bizonyos feltételek mellett kötelező érvényű választottbírósági eljárást kezdeményezhetnek a más jogorvoslati mechanizmusok útján nem megoldott, fennmaradó követelések tekintetében. Lásd: https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2.
-
Az EGT területén élő magánszemélyeknek, vagy azoknak a magánszemélyeknek, akiknek a Személyes Adatai az EGT adatvédelmi Jogszabályok hatálya alá tartoznak és azokat az EGT területén kívülre továbbítják, és akiknek adatainak a kezelésére kiterjed a jelen Szabályzat hatálya, a jelen Szabályzat értelmében bármikor joguk van kedvezményezett harmadik félként érvényesíteni a jelen Szabályzat előírásait, beleértve a bírósági eljárás kezdeményezésének a jogát a jelen Szabályzat alapján őket megillető jogok megsértésével kapcsolatos jogorvoslat érdekében (a fenti 2. szakaszban leírtak szerint), illetve hogy kártérítésben részesüljenek az ilyen jogsértésből eredő káraik vonatkozásában. Az EGT területén élő magánszemélyek, vagy azok a magánszemélyek, akiknek a Személyes Adatai az EGT adatvédelmi Jogszabályok hatálya alá tartoznak és azokat az EGT területén kívülre továbbítják, (az egyértelműség kedvéért: ide tartozik az USA is), a jelen Szabályzat értelmében igényt támaszthatnak vagy panaszt tehetnek a Vállalatunknak a Személyes Adatok EGT térségen kívülire történő továbbításáért felelős kapcsolt vállalkozásával szemben, az alábbiak előtt:
- az EGT-ben található Adatátadóállama szerinti igazságszolgáltatás keretein belül, vagy
- azon ország igazságszolgáltatásának a keretin belül, amelyben az Európai Adatvédelmi Tisztviselőnk található, vagy
- az illetékes Adatvédelmi Hatóságoknál (különösen az adott magánszemély életvitelszerű tartózkodási helye, munkahelye vagy az állítólagos jogsértés helye szerinti tagállamban), vagy
- A Fő Adatvédelmi Hatóságunknál, mely a BCR-unkhoz is útmutatást nyújtott, azaz a francia CNIL-nél.
- Vállalatunk harminc (30) naptári napon belül válaszol annak a személynek vagy szervnek, aki/amely kérdést vagy aggályt terjeszt elő, hacsak valamely Jogszabály rövidebb határidőt nem ír elő, vagy egy harmadik fél nyújt be olyan kérést, amelyre rövidebb időn belül szükséges válaszolni, vagy ha a körülmények hosszabb időt nem tesznek szükségessé, amely esetben az egyén vagy a harmadik fél kérelmező írásbeli tájékoztatást kap.
-
Minden érintett, akinek Személyes Adatait a jelen Szabályzat hatálya alatt kezeljük, bármikor intézhet a vállalatunkhoz kérdést, panaszt vagy jelezheti aggályát, beleértve a jelen Szabályzat hatálya alá tartozó kapcsolt vállalkozásaink listája iránti igényt. Elvárjuk, hogy alkalmazottaink és a vállalatunk nevében dolgozók azonnal jelezzék, ha okuk van feltételezni, hogy egy irányadó Jogszabály korlátozza őket a jelen Szabályzat betartásában. Az érintettől érkező bármely kérdést, panaszt vagy aggályt az MSD Globális Adatvédelmi Irodájának kell címezni:
- Felelősek vagyunk az adatvédelmi értékeink és rendelkezéseink fenntartásáért.
-
Vállalatunk azon kapcsolt vállalkozása, mely felelős a verifikált Adatvédelmi vagy Biztonsági Eseményt előidéző tevékenységért, pénzügyileg felelős az előbbiekkel összefüggő kártérítési követelések, bírságok vagy büntetések megfizetéséért.
- A Globális Adatvédelmi Irodával együttműködve és annak utasításait követve az Európai Adatvédelmi Tisztviselő köteles biztosítani, hogy megtörténtek a megfelelő lépések a Szabályzatnak a vállalatunk EGT-n kívüli kapcsolt vállalkozása általi állítólagos megsértésének kezelésére, amennyiben az az EGT-n belül tartózkodó magánszemélyeket, vagy olyan magánszemélyeket érintik, akiknek a Személyes Adatai az EGT adatvédelmi Jogszabályainak a hatálya alá tartoznak, de azokat az EGT-n kívülre továbbítják. Ha szükséges, a Merck, Sharp & Dohme (Europe) Inc., USA – Belgiumi Fióktelep („MSD Europe”) gondoskodik azoknak a büntetéseknek, bírságoknak és károknak a megtérítését, melyek a Szabályzat megsértéséből erednek és olyan magánszemélyeket érintenek, akik az EGT-n belül tartózkodnak vagy akiknek a Személyes Adataik az EGT adatvédelmi Jogszabályainak a hatálya alá esnek, de azokat az EGT-n kívülre továbbítják. A Globális Adatvédelmi Iroda és az EGT-n kívüli, az állítólagos szabálysértésért felelős kapcsolt vállalkozás támogatásával az Európai Adatvédelmi Tisztviselőnek a feladata bizonyítani, hogy a vállalatunk nem felelős az állítólagos jogsértésért. Ha a bírságot, büntetést vagy kártérítési kötelezettséget eredményező tevékenységért egy másik kapcsolt vállalkozásunk a felelős, az adott kapcsolt vállalkozás kötelezhető az MSD Europe által kifizetett bármely összeg azonnali megtérítésére. Ha a vállalatunk EGT-n kívüli kapcsolt vállalkozása megsérti a jelen Szabályzatot, az EGT területén működő bíróságok és adatvédelmi hatóságok rendelkeznek joghatósággal, az érintett személyt pedig a fenti 3.f. Szakaszban rögzített jogok és jogorvoslati lehetőségekkel illetik meg a Vállalatnak a Személyes Adatok EGT-n kívülre történő továbbításáért felelős kapcsolt vállalkozásával szemben.
- A Globális Adatvédelmi Irodával együttműködve és annak utasításait követve a Merck Sharp & Dohme LLC. köteles biztosítani, hogy megtörténjenek a megfelelő lépések a Szabályzat állítólagos megsértésének kezelésére, amennyiben az az EGT-n kívül tartózkodó magánszemélyeket érint, és ahol ez szükséges, gondoskodik a büntetéseknek, bírságoknak és károknak a megtérítéséről, melyek a Szabályzat megsértéséből erednek és olyan magánszemélyeket érintenek, akik az EGT-n kívül tartózkodnak és Személyes Adataik nem tartoznak az EGT adatvédelmi Jogszabályainak a hatálya alá. Ha a bírságot, büntetést vagy kártérítési kötelezettséget eredményező tevékenységért egy másik kapcsolt vállalkozásunk a felelős, az adott kapcsolt vállalkozás kötelezhető a Merck Sharp & Dohme LLC. által kifizetett bármely összeg azonnali megtérítésére.
-
Vállalatunk azon kapcsolt vállalkozása, mely felelős a verifikált Adatvédelmi vagy Biztonsági Eseményt előidéző tevékenységért, pénzügyileg felelős az előbbiekkel összefüggő kártérítési követelések, bírságok vagy büntetések megfizetéséért.
Ellenőrzés és felügyelet
Annak érdekében, hogy biztosítékot szolgáltassunk a hatóságoknak és más érdekelteknek arra vonatkozóan, hogy vállalatunk számon kérhetőaz etikus és felelősségteljes adatvédelmi gyakorlat kialakítása érdekében vállalt elkötelezettsége tekintetében, a vállalat széleskörű ellenőrzési és felügyeleti irányítói csoportot tart fenn, melyet a Vezető Adatvédelmi Tisztviselő irányít az dedikált Globális Adatvédelmi irodával (GPO), egy kijelölt EU adatvédelmi tisztviselővel, országos adatvédelmi tisztviselőkkel, ahol ezt a jogszabály vagy a helyi hatóságok előírják, és az Adatvédelmi gondnokkal közösen, akiket a rangidős vezetők jelölnek ki, és összekötőként működnek a Globális Adatvédelmi Iroda és az őket foglalkoztató szervezeti terület között.
Vállalatunk az Adatvédelmi elszámoltatási ügynökökre támaszkodik, akik a jogszabály értelmében időszakosan felelősek ellenőrizni a jelen Szabályzatnak, a jogszabályoknak, többek között az APEC CBPR-nek való megfelelőséget.
A Globális Adatvédelmi Iroda által kezelt ellenőrző felülvizsgálatokon kívül belső és külső audit és ellenőrzési csapatok megfelelési felülvizsgálatokat végeznek annak ellenőrzése érdekében, hogy a Vállalat betartja-e a jelen Szabályzatot, beleértve a jelen Szabályzat alá rendelt minden szabályzatot, eljárást, normát és iránymutatást is. Az audit és ellenőrzési csapatok által észlelt hiányosságok orvoslására helyreigazító és megelőző intézkedési tervek kerülnek kidolgozásra és bevezetésre. Az Audit Program eredményeiről tájékoztatást kap a Vezető Adatvédelmi Tisztviselő, az érintett adatvédelmi tisztviselő és az Adatvédelmi Testület, akik felelősek a vonatkozó jelentéstételért a jelen Szabályzatban foglaltak szerint.
Azoknak az Adatvédelmi Hatóságoknak, amelyek jóváhagyták jelen Szabályzatot vagy amelyeknek fennhatósága alá esik vállalatunk Szabályzat szerinti gyakorlata, joguk van ellenőrizni a Szabályzatnak való megfelelést. Elfogadjuk ezeknek az illetékes hatóságoknak a jelen Szabályzat értelmezésével és alkalmazásával kapcsolatos tanácsait is.
Hasznos kifejezések
- Anonimizálás. Személyes Adatok módosítása, megcsonkítása, kitörlése vagy más módon való szerkesztése, illetve átdolgozása azon célból, hogy visszafordíthatatlanul alkalmatlanná váljanak személyek azonosítására, megtalálására, vagy a velük való kapcsolatfelvételre, akár önmagukban, akár más adatokkal együttesen.
- Jogszabály. Minden vonatkozó jogszabály, szabály, előírás és kötőerővel rendelkező állásfoglalás bármely országban, ahol vállalatunk működik, vagy ahol a vállalat által vagy annak nevében Személyes Adatok kerülnek feldolgozásra. Ide tartozik az összes olyan adatvédelmi keretrendszer, amely alapján vállalatunkat jóváhagyták vagy tanúsították, beleértve az EU Kötelező Erejű Vállalati Szabályait („BCR”), az Ázsiai Csendes-óceáni Gazdasági Együttműködés („APEC”) határokon átnyúló adatvédelmi szabályait („CBPR-ok”), az EU és az Egyesült Államok közötti Adatvédelmi Keretrendszert (DPF), a DPF brit kiterjesztését és a svájci-amerikai Adatvédelmi Keretrendszert – az Egyesült Államok Szövetségi Kereskedelmi Minisztériumának vizsgálati és végrehajtási hatásköre mellett.
- Vállalatunk. Merck & Co., Inc. (Rahway, NJ, USA), annak jogutódai, kapcsolt vállalkozásai és részlegei világszerte, kivéve azon vegyes vállalatokat, amelyekben vállalatunk partneri szerepet tölt be.
- Személyes Adatok. Azonosított vagy azonosítható természetes személyre vonatkozó adatok, beleértve a természetes személy azonosító adatait, vagy azokat, amelyek alkalmasak lehetnek a természetes személy azonosítására, tartózkodási helyének megállapítására, követésére vagy vee való kapcsolatfelvételre. Személyes Adatnak minősülnek a közvetlen azonosításra alkalmas adatok, például név, azonosító szám vagy egyedi beosztás, de a közvetett azonosításra alkalmas adatok is, például születési dátum, egyedi mobil vagy viselhető készülék azonosítója, telefonszám illetve kulcs-kódolt adatok és online azonosítók, mint például az IP-címek, illetve bármely személyes tevékenység, viselkedés vagy preferencia mely gyűjtésre kerülhet szolgáltatások és áruk biztosításának céljából.
- Adatvédelmi Esemény. A jelen Szabályzat vagy az adatvédelmi Jogszabályok megsértése, beleértve a Biztonsági Eseményeket. Azt, hogy adatvédelmi esemény történt-e, és hogy Személyes Adatokkal kapcsolatos Adatvédelmi Incidensnek minősül-e, a Globális Adatvédelmi Iroda, az Informatikai Kockázatkezelési és Biztonsági Csapat (ITRMS), valamint a Jogi Iroda állapítja meg.
- Adatkezelés. Bármely magánszemélyekre vonatkozó adatokon elvégzett művelet vagy műveletcsoport, akár automatizált, akár nem automatizált módon történik, beleértve különösen, de nem kizárólagosa az adatok gyűjtését, rögzítését, rendszerezését, tárolását, az adatokhoz való hozzáférést, átalakítását, megváltoztatását, lekérdezését, betekintést, felhasználását, kiértékelését, elemzését, jelentéstételt, megosztását, közzétételét, terjesztését, továbbítását, rendelkezésre bocsátását, kiigazítását, összekapcsolását, zárolását, törlését vagy megsemmisítését.
- Adatvédelmi Incidens. A biztonság olyan sérülése, amely Személyes Adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését, vagy az azokhoz való jogosulatlan hozzáférést eredményezi, vagy ahhoz vezet, hogy vállalatunk ezt okkal feltételezi. Személyes Adatokhoz vállalatunk által vagy nevében történő, a jelen Szabályzat megsértésének szándéka nélküli hozzáférés nem minősül Adatvédelmi Incidensnek, feltéve, hogy az elért Személyes Adatokat további használata és megosztása megfelel a jelen Szabályzat rendelkezéseinek.
- Érzékeny Adatok. Minden olyan, magánszemélyre vonatkozó adat, amely az érintettre nézve potenciális veszélyt jelent, beleértve a jogszabály által ilyennek tekintett adatot, beleértve, de nem kizárólagosan az egészségügyi, genetikai, biometrikus, fajra, etnikai hovatartozásra, vallásra, politikai vagy filozófiai véleményre vagy hitre, bűnügyi előéletre, pontos földrajzi helyzetre, banki és más pénzintézeti számlaszámokra, kormány által kiállított azonosítószámokra, kiskorú gyermekekre, szexuális életre, szexuális irányultságra, szakszervezeti tagságra, biztosításra, társadalombiztosításra egyedi azonosítószámra és más, a munkáltató vagy állam által biztosított juttatásokra vonatkozó információt.
- Harmadik fél. Bármely jogi személy, szervezet vagy természetes személy, aki/ami nem áll vállalatunk tulajdonában, vagy melyben a vállalatunknak nincs ellenőrzési jogot biztosító érdekeltsége, vagy aki nem áll vállalatunk alkalmazásában. A jelen Szabályzat kifejezett eltérő rendelkezése hiányában, sem kapcsolt vállalkozásainktól, sem vállalati részlegeinktől nem várható el, hogy megfeleljenek a jelen szabályzat szerinti harmadik fél által támasztott bármely követelménynek, mivel minden kaocsolt vállalkozás vagy részleg köteles a jelen Szabályzattal összhangban kezelni a magánszemélyekre vonatkozó adatokat, beleértve azt az esetet is, amikor az egyik kapcsolt vállalkozás egy vagy több másik kapcsolt vállalkozást támogat az adatkezelésben.
A Szabályzat módosítása
A jelen Szabályzat a vonatkozó jogszabályi előírásoknak megfelelően időről időre módosítható. Lényeges változtatásokról 60 napig tájékoztatót teszünk közzé a vállalat adatvédelmi honlapján (www.msdprivacy.com)