V spoločnosti Merck & Co., Inc., Rahway, NJ, USA, ktorá má mimo USA a Kanady obchodný názov MSD a okrem iného zahŕňa kryté subjekty: Merck Sharp & Dohme LLC a Intervet, Inc.; máme poslanie zachraňovať a zlepšovať životy, ktoré sa rozširuje aj na rešpektovanie súkromia a ochranu Osobných údajov.
Dátum kontroly: 1. septembra 2023
Dátum účinnosti: 1. septembra 2023
Snažíme sa podnikať v súlade s našimi hodnotami ochrany súkromia, pretože podľa nás preukazujú náš neochvejný záväzok postupovať eticky a zodpovedne. Uznávame, že inovácie a nové technológie prinášajú neustálu zmenu rizík, očakávaní a právnych predpisov, takže dodržiavame štandardy zodpovednosti v oblasti ochrany Osobných údajov a v reakcii na tieto zmeny sa snažíme promptne prispôsobiť ich používanie.
Tieto Zásady definujú naše globálne štandardy na riadenie a ochranu Osobných údajov spracúvaných našou spoločnosťou alebo v jej mene, bez ohľadu na to, z ktorej krajiny pochádzajú a do ktorého štátu sa osobné údaje prenášajú. Tieto Zásady opisujú náš kľúčový záväzok dodržiavať naše Pravidlá cezhraničnej ochrany Osobných údajov pre štáty APEC, naše Záväzné vnútropodnikové pravidlá (ďalej len „BCR“), ktoré boli schválené v Európskej únii, a našu vlastnú certifikáciu Štítu na ochranu Osobných údajov medzi EÚ a USA. Rámec ochrany Osobných údajov (DPF), rozšírenie DPF týkajúce sa Spojeného kráľovstva a rozšírenie Štítu na ochranu Osobných údajov medzi EÚ a USA a medzi Švajčiarskom a USA. Rámec ochrany Osobných údajov.
Naša spoločnosť je v súlade s Rámcom na ochranu osobných údajov EU-USA (DPF medzi EÚ a USA), britského rozšírenia EU-USA a švajčiarsko-amerického Rámca ochrany Osobných údajov (DPF medzi Švajčiarskom a USA), ako stanovilo Ministerstvo obchodu USA. Ministerstvu obchodu USA sme potvrdili, že dodržiavame Zásady rámca ochrany Osobných údajov EÚ-USA (Zásady DPF medzi EÚ a USA), pokiaľ ide o spracúvanie Osobných údajov prijatých z Európskej únie, v súlade s programom EÚ-USA DPF, a zo Spojeného kráľovstva (a Gibraltáru) na základe rozšírenia programu EÚ-USA DPF. Ministerstvu obchodu USA sme potvrdili, že dodržiavame Zásady švajčiarsko-amerického Rámca ochrany Osobných údajov (Zásady DPF medzi Švajčiarskom a USA), pokiaľ ide o spracúvanie Osobných údajov prijatých zo Švajčiarska v súlade so švajčiarsko-americkým DPF. Ak dôjde k rozporu medzi podmienkami v tejto politike a zásadami DPF medzi EÚ a USA a/alebo medzi Švajčiarskom a USA, budú platiť zásady. Ak sa chcete dozvedieť viac o Rámci ochrany Osobných údajov (DPF) a zobraziť našu certifikáciu, navštívte webovú stránku https://www.dataprivacyframework.gov/.
Tieto zásady sa vzťahujú na naše prevádzky v každom štáte, na každú činnosť zahŕňajúcu informácie o jednotlivcoch realizovanú každou pobočkou alebo divíziou (vrátane akýchkoľvek právnych nástupcov nášho podnikania), vrátane, ale nie výlučne, na náš výskum, výrobu, obchodovanie, podnikové podporné činnosti a prenosy Osobných údajov potrebných na výkon týchto činností, vrátane, ale nie výlučne, na:
- Výskum a výrobu: vyhodnotenie potrieb a príležitostí na inovácie v oblasti liekov a zdravia; iniciovanie, riadenie a financovanie výskumov; vyhodnotenie a zapojenie výskumníkov, členov vedeckých a etických komisií a obchodných partnerov na podporu našich výskumov a vývoja našich produktov; nábor do výskumov; vyhodnotenie bezpečnosti, účinnosti a kvality našich skúmaných produktov a produktov uvedených na trh; splnenie povinností ohľadne bezpečnosti a kvality produktov vrátane manipulácie s nimi, nahlasovania nežiaducich účinkov a sťažností na kvalitu produktov; predkladanie žiadostí o schválenie a registráciu našich produktov u zdravotníckych regulačných úradov a dodržiavanie súvisiacich právnych, regulačných alebo etických požiadaviek;
- Obchod: vyhodnotenie trhov pre naše produkty; reklama, marketing, predaj, distribúcia a dodávka našich produktov; informovanie a zapájanie zákazníkov, ktorí sú zdravotníckymi pracovníkmi, platcov zdravotnej starostlivosti, pacientov a iných koncových používateľov našich produktov, ako aj poskytovateľov starostlivosti pre používateľov našich produktov; sponzorovanie a organizovanie podujatí; vyhodnotenie a zapájanie obchodných partnerov do podpory našich komerčných činností a dodržiavanie príslušných právnych, regulačných a etických požiadaviek;
- Podniková podpora: nábor, zamestnanie, riadenie, rozvoj, odmeňovanie zamestnancov a komunikácia s nimi; poskytovanie benefitov zamestnancom a ich vyživovaným osobám; vykonávanie hodnotení výkonnosti a talentov zamestnancov; poskytovanie školení a iných programov na vzdelávanie a rozvoj; vedenie disciplinárnych konaní a postupov pri podaní sťažnosti; riešenie podnetov týkajúcich sa etiky a ochrany Osobných údajov a vedenie prešetrovaní; riadenie a zabezpečovanie nášho hmotného a nehmotného majetku a infraštruktúry; obstarávanie tovaru a služieb a platba za ne; plnenie našich záväzkov podnikovej zodpovednosti v oblasti životného prostredia, zdravia a bezpečnosti a iných záväzkov; komunikácia s médiami a dodržiavanie príslušných právnych, regulačných a etických požiadaviek;
Tieto Zásady sa tiež vzťahujú na všetkých ľudí, ktorých údaje spracovávame, okrem iného aj našich zákazníkov vrátane zdravotníckych pracovníkov; perspektívnych, aktuálnych aj bývalých zamestnancov a nimi vyživované osoby, pacientov, poskytovateľov zdravotnej starostlivosti, riešiteľov a účastníkov výskumu, členov vedeckých a etických komisií, obchodných partnerov, investorov a akcionárov, štátnych úradníkov a iné zúčastnené strany.
Všetci zamestnanci spoločnosti a Senior Leaders majú kľúčové povinnosti týkajúce sa ochrany Osobných údajov, ktoré musia dodržiavať.
Uznávame, že neúmyselné chyby a nesprávne posúdenia ochrany údajov o jednotlivcoch môžu týchto jednotlivcov vystaviť rizikám narušenia súkromia a našu spoločnosť rizikám straty dobrého mena, prevádzkovým a finančným rizikám a rizikám v oblasti compliance. Poskytneme náležité školenie o týchto Zásadách všetkým zamestnancom a inému personálu, ktorí majú stály alebo pravidelný prístup k Osobným údajom a ktorí sa zapájajú do získavania údajov alebo vývoja nástrojov používaných na spracovanie Osobných údajov. Každý zamestnanec našej spoločnosti a iná osoba, ktorá pre nás spracováva informácie o jednotlivcoch, je zodpovedná za pochopenie a dodržiavanie jej povinností vyplývajúcich z týchto Zásad a príslušných právnych predpisov.
Naše hodnoty a štandardy ochrany Osobných údajov
Uplatňujeme naše hodnoty ochrany Osobných údajov vo všetkom, čo robíme a čo sa týka ľudí, vrátane toho, ako používame naše štandardy ochrany Osobných údajov. Naše štyri hodnoty ochrany Osobných údajov sú:
Rešpekt | Dôvera | Predchádzanie škodám | Dodržiavanie predpisov |
---|---|---|---|
Uznávame, že obavy súvisiace s ochranou Osobných údajov sa často týkajú podstaty toho, kto sme, ako vnímame svet a ako sami seba definujeme, takže sa snažíme rešpektovať pohľad a záujmy jednotlivcov a komunít, a byť spravodliví a transparentní v tom, ako používame a sprístupňujeme informácie o nich. | Vieme, že dôvera je pre náš úspech zásadná, a preto sa snažíme vybudovať a chrániť dôveru našich zákazníkov, zamestnancov, pacientov a iných zúčastnených strán v tom, ako rešpektujeme súkromie a chránime údaje o jednotlivcoch. | Chápeme, že zneužitie údajov o jednotlivcoch môže jednotlivcom spôsobiť hmotné aj nehmotné škody, a preto sa snažíme predchádzať materiálnym, finančným škodám, poškodeniu dobrého mena a iným typom škôd súvisiacim s ochranou Osobných údajov. | Naučili sme sa, že právne predpisy a nariadenia nemôžu vždy udržiavať tempo s rýchlymi zmenami v technológiách, s tokom údajov a so súvisiacimi zmenami rizík a očakávaní ohľadom ochrany Osobných údajov, a preto sa snažíme konať v súlade s duchom aj literou zákonov a nariadení na ochranu súkromia a Osobných údajov spôsobom, ktorý vedie ku konzistentnosti a efektívnosti prevádzky našich globálnych obchodných činností. |
- Štandardy na ochranu Osobných údajov zahŕňame do všetkých činností, postupov, technológií a vzťahov s tretími stranami, ktoré používajú Osobné údaje. Vytvorili sme systém kontroly ochrany Osobných údajov pre naše procesy a technológie, ktorý je v súlade s našimi hodnotami a štandardmi ochrany Osobných údajov a platnými Právnymi predpismi. Našich 8 princípov ochrany Osobných údajov uvedených nižšie predstavuje krátke zhrnutie našich štandardov ochrany Osobných údajov a kľúčových požiadaviek na procesy, činnosti a ich podporné technológie na vysokej úrovni.
Princíp ochrany Osobných údajov
Naše kľúčové záväzky
1. Nevyhnutnosť – pred získaním, použitím alebo sprístupňovaním Osobných údajov definujeme a dokumentujeme konkrétne určené a legitímne obchodné účely, na ktoré sú potrebné.
- Stanovujeme a dokumentujeme, ako dlho sú Osobné údaje potrebné na tieto definované obchodné účely a plnenie príslušných zákonných povinností.
- Nezískavame, nepoužívame ani nesprístupňujeme viac Osobných údajov ako je potrebné, ani ich neuchovávame v identifikovateľnej forme dlhšie ako je potrebné na tieto definované obchodné účely a plnenie príslušných zákonných povinností.
- Údaje anonymizujeme, keď obchodné potreby vyžadujú, aby sa tieto informácie o aktivite alebo procese uchovávali dlhšie.
- Zabezpečujeme, aby tieto požiadavky nevyhnutnosti boli zahrnuté do akejkoľvek podpornej technológie, a aby boli oznámené tretím stranám, ktoré podporujú danú aktivitu alebo proces.
2. Spravodlivosť – nespracovávame Osobné údaje spôsobom, ktorý je nespravodlivý voči osobám, ktorých sa tieto údaje týkajú.
- Stanovujeme, či navrhované získavanie, využívanie alebo iné spracovanie Osobných údajov predstavuje pravdepodobné a/alebo závažné riziko hmotnej alebo nehmotnej škody pre jednotlivcov v súlade s našou hodnotou na ochranu Osobných údajov Predchádzanie škodám.
- Ak povaha údajov, typ osôb alebo aktivity predstavuje pravdepodobné a/alebo závažné riziko hmotnej či nehmotnej škody pre jednotlivcov, zabezpečujeme, aby riziko škody bolo vyvážené zodpovedajúcimi prínosmi pre týchto jednotlivcov alebo naším poslaním zachraňovať a zlepšovať životy a zmiernené opatreniami, bezpečnostnými prvkami a mechanizmami, ktoré sme zaviedli.
- Ak sa javí, že riziko prevyšuje prínosy pre jednotlivcov, používame najrelevantnejšie opatrenia na zabezpečenie bezpečnosti a ochrany, jednotlivcov o tomto informujeme a v prípade potreby požiadame o radu kompetentné regulačné orgány.
- Citlivé informácie spracúvame iba s výslovným súhlasom jednotlivcov, ako to výslovne vyžaduje alebo výslovne povoľuje príslušný zákon.
- Ak sa javí, že riziko prevyšuje prínosy pre jednotlivcov, vypracujeme analýzu rizika a navrhneme všetky mechanizmy potrebné na čo najväčšiu minimalizáciu rizík.
3. Transparentnosť – nespracovávame Osobné údaje spôsobom ani na účely, ktoré nie sú transparentné.
- Všetci jednotlivci, o ktorých spracovávame Osobné údaje na základe týchto Zásad, budú mať právo na kópiu týchto Zásad. Kópie týchto zásad sprístupníme online na webovej stránke https://www.msdprivacy.com/index.html. Global Privacy Office poskytne elektronické a/alebo vytlačené kópie týchto Zásad na požiadanie na adresy uvedené nižšie.
- Keď sa Osobné údaje získavajú priamo od jednotlivcov, informujeme ich pred získaním týchto informácií jasným, zrejmým a jednoducho prístupným oznámením o ochrane Osobných údajov alebo podobnými prostriedkami (1) o subjekte alebo subjektoch našej spoločnosti zodpovedných za spracovanie, (2) o kontaktných údajoch nášho vedúceho úradníka pre ochranu Osobných údajov a/alebo regionálneho/miestneho úradníka pre ochranu údajov, (3) o tom, aké údaje sa budú získavať, (4) o účeloch, na ktoré sa budú používať, (5) o právnych základoch pre naše spracovanie, (6) o tom, komu budú poskytnuté, vrátane akýchkoľvek požiadaviek poskytnúť Osobné údaje na základe zákonných požiadaviek štátnych úradov, (7) o tom, či, a ako budú Osobné údaje prenesené do iných krajín vrátane príslušných krajín, ak je to možné, (8) o tom, ako dlho budú uchovávané alebo o kritériách, na základe ktorých o tom rozhodneme, (9) o spôsobe, ako možno položiť otázku týkajúcu sa ochrany Osobných údajov, podať podnety alebo uplatňovať svoje práva týkajúce sa ich Osobných údajov, (10) o tom, ako môžu odvolať súhlas, ktorý poskytli, (11) o ich práve podať sťažnosť dozornému orgánu, (12) o akejkoľvek povinnosti poskytnúť Osobné údaje a o následkoch ich neposkytnutia, (13) o akomkoľvek automatizovanom rozhodovaní vrátane profilovania, ktoré vykonáme a (14) o odkaze na tieto Zásady, pokiaľ je to možné a primerané. Naše komplexné oznámenia o ochrane osobných údajov pre mnohé z našich zainteresovaných strán sú k dispozícii online na webovej stránke http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html .
- Ak sa Osobné údaje získavajú pozorovaním, snímaním alebo inými nepriamymi prostriedkami, nemusí byť možné poskytnúť oznámenie o ochrane Osobných údajov priamo jednotlivcovi v čase ich získania. V takýchto prípadoch zabezpečujeme transparentnosť voči jednotlivcovi prostredníctvom iných prostriedkov, tým, že sú zverejnené alebo vytlačené na príslušnom zariadení či v materiáloch spojených so zariadením, pomocou ktorého budú informácie získavané.
- Keď sa Osobné údaje získavajú prostredníctvom webových stránok, mobilnej aplikácie alebo inou on-line aplikáciou alebo zdrojom, dodržiavame štandardy špecifické pre danú technológiu stanovené v našich Zásadách na ochranu Osobných údajov pri používaní internetu a v našom záväzku ochrany Osobných údajov pri používaní súborov cookie na zabezpečenie splnenia požiadavky transparentnosti v súlade s týmito Zásadami.
- Keď sa Osobné údaje získavajú z iných zdrojov a nie na pokyn našej spoločnosti, pred ich získaním si písomne overíme, že poskytovateľ údajov informoval jednotlivcov o spôsoboch a účeloch, na ktoré spoločnosť plánuje údaje použiť. Ak písomné overenie nemožno od poskytovateľa údajov získať, použijeme len anonymizované údaje, alebo pred použitím Osobných údajov informujeme dotknuté osoby prostredníctvom oznámenia o ochrane Osobných údajov alebo podobných prostriedkov (1) o subjekte alebo subjektoch našej spoločnosti zodpovedných za spracovanie, (2) o kontaktných údajoch nášho vedúceho úradníka pre ochranu Osobných údajov a/alebo regionálneho/miestneho úradníka pre ochranu údajov, (3) o tom, aké údaje budeme používať, (4) o účeloch, na ktoré sa budú používať, (5) o právnych základoch pre naše spracovanie, (6) o tom, komu budú poskytnuté, (7) o tom, či, a ako budú Osobné údaje prenesené do iných krajín vrátane príslušných krajín, ak je to možné, (8) o tom, ako dlho budú uchovávané alebo o kritériách na základe ktorých o tom rozhodneme, (9) o spôsobe, ako možno položiť otázku týkajúcu sa ochrany Osobných údajov, podať podnety alebo uplatňovať svoje práva týkajúce sa ich Osobných údajov, (10) o tom, ako môžu odvolať súhlas, ktorý poskytli, (11) o ich práve podať sťažnosť dozornému orgánu, (12) o akejkoľvek povinnosti poskytnúť Osobné údaje a o následkoch ich neposkytnutia, (13) o akomkoľvek automatizovanom rozhodovaní vrátane profilovania, ktoré vykonáme a (14) o odkaze na tieto Zásady, pokiaľ je to možné a primerané.
- Zabezpečujeme, aby nevyhnutné mechanizmy transparentnosti vrátane nástrojov na podporu žiadostí týkajúcich sa práv jednotlivca boli zapracované do podporných technológií, a aby tretie strany, ktoré podporujú príslušnú aktivitu alebo proces, nespracovávali informácie o jednotlivcoch spôsobom, ktorý nie je v súlade s tým, čo sa jednotlivci dozvedeli prostredníctvom oznámenia o ochrane Osobných údajov alebo prostredníctvom ďalších overiteľných prostriedkov, o tom čo my alebo iné subjekty pracujúce pre nás budeme s týmito informáciami robiť.
- Keď žiadame o súhlas, získame a zdokumentujeme dôkaz o súhlase v našich podporných technológiách.
4. Obmedzenie účelu – Osobné údaje používame len v súlade s princípmi Nevyhnutnosti a Transparentnosti.
- Ak sa pre Osobné údaje, ktoré boli získané predtým, stanovia nové legitímne obchodné účely, získame súhlas jednotlivca na nové použitie Osobných údajov alebo zabezpečíme, aby bol tento nový obchodný účel v súlade s účelom opísaným v oznámení o ochrane Osobných údajov alebo iným mechanizmom transparentnosti, ktorý bol predtým jednotlivcovi poskytnutý, a tiež mu bol obsahovo podobný. Zlučiteľnosť stanovíme na základe (1) akéhokoľvek prepojenia medzi pôvodnými účelmi a navrhovaným novým účelom, (2) odôvodnených očakávaní jednotlivca, (3) povahy Osobných údajov, (4) následkoch ďalšieho spracovania pre jednotlivca a (5) bezpečnostných opatrení, ktoré sme zaviedli.
- Tento princíp neuplatňujeme na anonymizované údaje, alebo ak používame Osobné údaje výlučne na účely historického alebo vedeckého výskumu a (1) Etická komisia alebo iný príslušný subjekt stanovili, že riziká pre ochranu Osobných údajov a pre iné práva jednotlivcov pri použití týchto údajov sú prijateľné, (2) zaviedli sme vhodné bezpečnostné opatrenia na zabezpečenie minimalizácie údajov, (3) osobné údaje sú
- Zabezpečujeme, aby obmedzenie účelu bolo zapracované do akejkoľvek podpornej technológie vrátane akýchkoľvek možností nahlasovania a zdieľania údajov smerom nadol.
5. Kvalita údajov – budeme uchovávať správne, úplné a aktuálne Osobné údaje v súlade s ich plánovaným použitím.
- Zabezpečujeme, aby boli do podporných technológií zapracované mechanizmy na pravidelné hodnotenie údajov, na potvrdenie správnosti údajov voči ich zdrojom a downstream systémom.
- Zabezpečujeme, aby bola správnosť a aktuálnosť Citlivých údajov overovaná pred ich použitím, vyhodnotením, analýzou, nahlásením alebo iným spracovaním, ktoré predstavuje riziko nespravodlivého postupu vo vzťahu k jednotlivcom, ak by sa použili nesprávne alebo neaktuálne údaje.
- V prípade, že naša spoločnosť alebo tretie strany pracujúce pre našu spoločnosť vykonajú zmeny v Osobných údajoch, zabezpečíme, aby tieto zmeny boli oznámené príslušným jednotlivcom včas, ak je to primerane možné.
6. Bezpečnosť – zavádzame bezpečnostné opatrenia na ochranu Osobných údajov a Citlivých údajov pred stratou, zneužitím a neoprávneným prístupom, zverejnením, zmenou alebo zničením.
- Zaviedli sme komplexný bezpečnostný systém a používame bezpečnostné kontroly, ktoré sú založené na citlivosti údajov a úrovni rizika aktivity po zohľadnení osvedčených postupov týkajúcich sa aktuálnej technológie a nákladov na ich vykonanie. Súčasťou našich funkčných bezpečnostných Zásad sú, okrem iného, aj štandardy obchodnej kontinuity a obnovy po katastrofe, šifrovanie, identita a riadenie prístupu, klasifikácii údajov, riadenie incidentov porušenia ochrany, kontrola prístupu k sieti, fyzické zabezpečenie a riadenie rizík.
7. Prenos údajov – sme zodpovední a zachovávame ochranné opatrenia pre Osobné údaje pri ich prenose do alebo z iných organizácií alebo pri cezhraničných prenosoch
(1) Osobné údaje prenášame v rámci našej spoločnosti, ak sú splnené nasledujúce požiadavky:
- (1) zdieľanie je nevyhnutné na splnenie účelu, na ktorý boli Osobné údaje pôvodne získané, alebo na iný oprávnený záujem spoločnosti, a (2) účel, na ktorý majú byť zdieľané, a skutočnosť, že budú zdieľané je v súlade s oznámením o ochrane Osobných údajov alebo iným mechanizmom transparentnosti, ktorý bol predtým poskytnutý jednotlivcovi v čase, keď boli Osobné údaje pôvodne získané, a jednotlivec v prípade potreby poskytol svoj súhlas, (3) keď jedna z pobočiek našej spoločnosti koná pri spracovaní Osobných údajov výlučne v mene inej pobočky našej spoločnosti, (4) ak to vyžadujú právne predpisy, tieto pobočky našej spoločnosti uzatvoria interné zmluvy o spracovaní Osobných údajov v súlade s Princípom č. 8 týchto Zásad. (5) ak si IT infraštruktúra vyžaduje takýto prenos, za predpokladu, že sú zavedené všetky vhodné bezpečnostné a organizačné opatrenia, aby bol takýto prenos v súlade s pravidlami.
(2) Osobné informácie prenášame tretím stranám alebo umožňujeme, aby ich mohli spracovávať, ak sú splnené nasledujúce požiadavky, a taktiež sme povinní zabezpečiť, že tretie strany, s ktorými spolupracujeme, splnili tieto požiadavky:
- Ak je úlohou tretej strany spracovávať Osobné údaje pre našu spoločnosť alebo v jej mene, pred poskytnutím Osobných údajov tretej strane alebo zapojením tretej strany: (1) vykonáme náležitú analýzu ochrany Osobných údajov na vyhodnotenie postupov a rizík ochrany Osobných údajov súvisiacich s týmito tretími stranami, (2) získame zmluvné záruky od týchto tretích strán, že budú Osobné údaje spracovávať len v súlade s pokynmi našej spoločnosti a v súlade s týmito Zásadami, okrem iného aj vrátane 8 princípov ochrany Osobných údajov a iných štandardov uvedených v týchto Zásadách a platných právnych predpisoch, a že včas oznámia našej spoločnosti akýkoľvek Incident týkajúci sa Osobných údajov vrátane akejkoľvek nemožnosti dodržať štandardy stanovené v týchto Zásadách a platných právnych predpisoch alebo Incidentu týkajúceho bezpečnosti a budú spolupracovať na promptnej náprave akéhokoľvek podstatného incidentu a na riešení individuálnych práv uvedených v Časti 2 nižšie, a že nebudú zapájať inú spoločnosť do spracovania Osobných údajov bez nášho písomného súhlasu a bez uzavretia zmluvy ukladajúcej obdobné povinnosti týkajúce sa ochrany Osobných údajov, a že vymažú alebo nám vrátia všetky Osobné údaje po ukončení poskytovania služieb alebo na základe našej žiadosti, a že našej spoločnosti umožnia audit a monitorovanie ich postupov počas trvania spracovania za účelom preverenia dodržiavania týchto požiadaviek. Navyše, ak tretia strana spracováva Osobné údaje, ktoré pochádzajú z krajiny alebo územia s právnymi predpismi obmedzujúcimi prenos Osobných údajov, zabezpečíme, aby prenos tretím stranám spĺňal požiadavky na cezhraničný prenos údajov uvedené v bode (3) nižšie.
- Ak je úlohou tretej strany poskytnúť Osobné údaje našej spoločnosti, pred získaním Osobných údajov od tretej strany zabezpečíme, aby boli dodržané požiadavky na Transparentnosť pri získavaní Osobných údajov z iných zdrojov, a nie nevyhnutne na základe pokynu našej spoločnosti, a získame zmluvné vyhlásenia tretej strany, že poskytnutím Osobných údajov našej spoločnosti nedochádza k porušeniu žiadnych právnych predpisov ani práv iných tretích strán.
- Ak je úlohou tretej strany prijať údaje od našej spoločnosti na spracovanie, ktoré nie je na pokyn našej spoločnosti, pred poskytnutím údajov tretej strane zabezpečíme, aby boli údaje anonymizované a od tejto tretej strany získame písomné záruky, že Osobné údaje sa použijú len na obchodné účely stanovené v písomnej zmluve a v súlade s platnými právnymi predpismi, a že sa tretia strana nebude pokúšať o spätnú identifikáciu údajov.
- Ak sa prenos tretej strane vyžaduje na ochranu oprávnených záujmov jednotlivca alebo našej spoločnosti, môžeme preniesť údaje: (1) na účely prevencie voči podvodom alebo presadzovania a ochrany práv a majetku spoločnosti, (2) na ochranu Osobnej bezpečnosti našich zamestnancov alebo tretích osôb v našich priestoroch a (3) na ochranu našich aktív prijatím nápravných bezpečnostných opatrení, ak máme dôvodné podozrenie, že došlo k nezákonnej činnosti alebo závažnému pochybeniu.
- Ak je tretia strana cieľom akvizície alebo ovládnutia našou spoločnosťou, (1) pred uzavretím zmluvy o nadobudnutí tretej strany alebo nadobudnutí riadiaceho podielu v tretej strane vykonávame hĺbkovú analýzu na hodnotenie postupov a rizík ochrany Osobných údajov spojených s predmetnou transakciou a (2) uzatvoríme zmluvu o prenose údajov, ktorá stanovuje podmienky, za ktorých možno Osobné údaje sprístupniť a príslušné povinnosti našej spoločnosti a tretej strany.
- Ak je úlohou tretej strany nadobudnúť celé podnikanie spoločnosti alebo jeho časť, pred zdieľaním Osobných údajov v súvislosti s prevodom akejkoľvek časti podnikania našej spoločnosti (1) uzatvoríme s treťou stranou zmluvu o prenose údajov, ktorá stanovuje podmienky, za ktorých možno Osobné údaje sprístupniť kupujúcemu, vrátane primeraných obmedzení týkajúcich sa prípustného použitia Osobných údajov a dodržania štandardov stanovených v týchto Zásadách a platných právnych predpisoch, (2) pred zdieľaním vyhodnotíme všetky elementy údajov o jednotlivcoch za účelom vyhodnotenia požiadavky zdieľania, (3) získame súhlas na poskytnutie Osobných údajov alebo Citlivých údajov v súlade s princípom Transparentnosti a Obmedzenia účelu podľa týchto Zásad a (4) budeme požadovať, aby tretia strana našej spoločnosti okamžite oznámila akýkoľvek Incident týkajúci sa ochrany Osobných údajov vrátane nemožnosti dodržať štandardy stanovené v týchto Zásadách a v platných právnych predpisoch, a aby tretia strana spolupracovala na promptnej náprave akéhokoľvek závažného Incidentu alebo upustila od spracovania relevantných Osobných údajov.
(3) Osobné údaje prenášame cez hranice štátov vrátane prenosu do Spojených štátov amerických alebo sú takto prenášané v mene našej spoločnosti v súlade s týmito Zásadami. Na prenos Osobných údajov z krajiny alebo územia s právnymi predpismi obmedzujúcimi prenos Osobných údajov, budeme tieto Zásady uplatňovať popri dodržaní akýchkoľvek požiadaviek stanovených týmito právnymi predpismi (vrátane použitia akýchkoľvek mechanizmov požadovaných pre cezhraničné prenosy).
8. Právna prípustnosť – Osobné údaje spracovávame, len ak boli splnené požiadavky stanovené platnými právnymi predpismi.
- Zatiaľ čo ostatných sedem princípov ochrany Osobných údajov ako aj Práva jednotlivca popísané nižšie slúžia na zabezpečenie splnenia požiadaviek väčšiny právnych predpisov na ochranu súkromia a Osobných údajov, ktoré sa vzťahujú na naše podnikanie po celom svete, v niektorých krajinách je potrebné splniť ďalšie požiadavky, okrem iného vrátane nasledujúcich:
- 1) ak sa to vyžaduje, získame osobitnú formu súhlasu na určité spracovanie Osobných údajov, okrem iného aj súhlas zamestnaneckej rady alebo inými zástupcov zamestnancov;
- 2) ak sa to vyžaduje, zaregistrujeme spracovanie Osobných údajov na príslušnom regulačnom úrade na ochranu súkromia alebo na ochranu Osobných údajov alebo ho požiadame o udelenie súhlas s týmto spracovaním;
- 3) ak sa to vyžaduje, poskytneme širšie práva (napríklad práva prístupu a opravy), ako sú stanovené v týchto Zásadách;
- 4) ak sa to vyžaduje, ďalej obmedzíme dobu uchovávania Osobných údajov a
- 5) ak sa to vyžaduje, uzavrieme zmluvy s osobitnými zmluvnými ustanoveniami vrátane zmlúv na cezhraničný prenos Osobných údajov tretím stranám,
- 6) ak sa to vyžaduje, sprístupníme Osobné údaje na základe zákonnej žiadosti verejných orgánov, ako aj na účely národnej bezpečnosti alebo žiadosti orgánov činných v trestnom konaní.
V prípade konfliktu medzi týmito Zásadami a príslušnými právnymi predpismi bude rozhodujúci štandard, ktorý poskytuje jednotlivcovi vyššiu mieru ochrany.
- Bezodkladne budeme riešiť žiadosti pri výkone práv jednotlivcov na prístup k Osobným údajom, ich doplnenie, opravu alebo vymazanie, námietky voči spracovaniu ich Osobných údajov alebo uplatnenia iných práv týkajúcich sa Osobných údajov.
- Prístup, oprava, vymazanie a iné práva – Na základe Právnych predpisov väčšiny krajín, v ktorých pôsobíme, majú jednotlivci právo na prístup k ich Osobným údajom a na doplnenie, opravu alebo vymazanie tých údajov, ktoré sú nesprávne, neúplné alebo neaktuálne. Vyhovieme všetkým žiadostiam jednotlivcov na prístup, opravu a odstránenie Osobných údajov v súlade s Časťou 3a nižšie. Ak sa žiadosť na prístup, opravu alebo vymazanie spravuje Právnymi predpismi, ktoré poskytujú jednotlivcom väčšiu mieru ochranu, zabezpečíme, aby boli splnené aj tieto ďalšie požiadavky týchto Právnych predpisov.
V niektorých krajinách majú jednotlivci v súvislosti s ich Osobnými údajmi aj iné práva, ako napríklad právo na obmedzenie spracovania, namietanie voči spracovaniu (pozrite si tiež časť 2b nižšie) a právo na prenos ich údajov inému poskytovateľovi služieb. Budeme rešpektovať práva týkajúce sa údajov v súlade s príslušnými Právnymi predpismi. Niektoré práva, ako je právo na vymazanie, môžu byť obmedzené v súlade s inými regulačnými požiadavkami alebo nevyhnutnosťou dodržiavať miestnu povinnosť nahlasovania. V takom prípade vás budeme o týchto obmedzeniach podľa potreby informovať.
- Voľba – V súlade s našimi hodnotami, ktorými sú „Rešpekt“ a „Dôvera“, si ctíme námietky jednotlivcov voči spracovaniu Osobných údajov, okrem iného aj odhlásenia sa z programov alebo aktivít, do ktorých sa predtým prihlásili, námietky voči spracovaniu ich Osobných údajov na priamu marketingovú komunikáciu, komunikáciu zacielenú na nich na základe ich Osobných údajov a akéhokoľvek vyhodnotenie alebo rozhodnutia o nich, ktoré ich môžu významne ovplyvniť, využívaním automatického rozhodovania, vrátane profilovania alebo využitia algoritmov.
- Okrem prípadov, keď to zakazujú Právne predpisy, môžeme odmietnuť takúto voľbu, v prípade, že by voľbu bránila našej spoločnosti pri: (1) dodržiavaní Právnych predpisov alebo etickej povinnosti vrátane prípadov, keď sme povinní sprístupniť Osobné údaje na základe zákonnej žiadosti verejných orgánov, ako aj na účely národnej bezpečnosti alebo žiadosti orgánov činných v trestnom konaní, (2) prešetrení, uplatňovaní a obhajovaní právnych nárokov a (3) plnení zmluvy, riadení vzťahov alebo zapájaní sa do iných prípustných obchodných činností, ktoré sú v súlade s princípmi Transparentnosti a Obmedzenia účelu a boli uzavreté v závislosti na údajoch o dotknutých osobách. Do pätnástich pracovných dní od akéhokoľvek rozhodnutia o odmietnutí voľby v súlade s týmito Zásadami toto rozhodnutie zdokumentujeme a oznámime žiadateľovi.
- Prístup, oprava, vymazanie a iné práva – Na základe Právnych predpisov väčšiny krajín, v ktorých pôsobíme, majú jednotlivci právo na prístup k ich Osobným údajom a na doplnenie, opravu alebo vymazanie tých údajov, ktoré sú nesprávne, neúplné alebo neaktuálne. Vyhovieme všetkým žiadostiam jednotlivcov na prístup, opravu a odstránenie Osobných údajov v súlade s Časťou 3a nižšie. Ak sa žiadosť na prístup, opravu alebo vymazanie spravuje Právnymi predpismi, ktoré poskytujú jednotlivcom väčšiu mieru ochranu, zabezpečíme, aby boli splnené aj tieto ďalšie požiadavky týchto Právnych predpisov.
- Bezodkladne odpovieme na všetky otázky, sťažnosti a podnety ohľadne ochrany Osobných údajov a budeme reagovať na akékoľvek potenciálne Incidenty týkajúce sa Osobných údajov alebo Incidenty týkajúce sa bezpečnosti a postúpime ich ďalej.
-
Ktorýkoľvek jednotlivec, o ktorom spracovávame Osobné údaje v rozsahu týchto Zásad, môže kedykoľvek položiť otázku, podať sťažnosť alebo vzniesť podnet našej spoločnosti vrátane žiadosti o zoznam všetkých pobočiek našej spoločnosti, ktoré podliehajú týmto Zásadám. Od svojich zamestnancov a všetkých, čo konajú v mene alebo za našu spoločnosť, očakávame, že bezodkladne oznámia, ak majú dôvod domnievať sa, že platné Právne predpisy im môžu brániť dodržiavať tieto Zásady. Akákoľvek otázka, sťažnosť alebo podnet vznesený jednotlivcom alebo akékoľvek oznámenie zamestnanca alebo inej osoby, ktorá koná v mene alebo za našu spoločnosť, má byť adresované na Global Privacy Office:
- V prípade jednotlivcov s pobytom v Európskom hospodárskom priestore (EHP) e-mailom na adresu: euprivacydpo@msd.com
- Ostatní jednotlivci e-mailom na adresu: msd_privacy_office@msd.com
- Poštou na adresu: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
- Od zamestnancov a dodávateľov sa očakáva, že budú bezodkladne informovať Global Privacy Office alebo povereného Privacy Stewarda pre príslušnú oblasť o akýchkoľvek otázkach, sťažnostiach alebo podnetoch týkajúcich sa postupov ochrany Osobných údajov našej spoločnosti.
- Global Privacy Office posúdi a prešetrí alebo bude spolupracovať s Oddelením pre etické, právne otázky a/alebo otázky dodržiavania predpisov, aby sa prešetrili všetky otázky, sťažnosti alebo podnety týkajúce sa postupov ochrany Osobných údajov našej spoločnosti, či už ich dostane priamo od zamestnancov alebo iných osôb, či prostredníctvom tretích strán, okrem iného vrátane regulačných úradov, orgánov dohľadu a iných verejných orgánov. Jednotlivcovi alebo subjektu, ktorý našej spoločnosti položí otázku, predloží sťažnosť alebo podá podnet, odpovieme do tridsiatich (30) kalendárnych dní, ak Právne predpisy alebo žiadosť tretej strany nevyžadujú odpoveď v kratšej lehote alebo ak okolnosti, ako napríklad súbežne prebiehajúce vyšetrovanie verejnými orgánmi, nevyžadujú dlhšiu lehotu, v tomto prípade bude jednotlivec alebo iný žiadateľ písomne informovaný čo možno najskôr o všeobecnej povahe okolností vedúcich k zdržaniu.
- Global Privacy Office spolu s Právnym oddelením a Oddelením pre dodržiavanie predpisov bude spolupracovať v nadväznosti na dopyt, kontrolu alebo vyšetrovanie dozorného orgánu na ochranu Osobných údajov.
-
V prípade sťažností, ktoré nemožno vyriešiť medzi našou spoločnosťou a jednotlivcom, ktorý podal sťažnosť, naša spoločnosť súhlasí s tým, že sa zúčastní nasledujúcich konaní na riešenie sporov pri prešetrovaní a riešení sťažností na vyriešenie sporov v súlade s týmito Zásadami, v každom prípade sa však na jednotlivcov so sídlom v EHP alebo jednotlivcov, ktorých Osobné údaje spadajú pod ochranu Právnych predpisov na ochranu Osobných údajov krajiny EHP a sú prenášané mimo EHP, sa vzťahujú ustanovenia Časti 3.f. týchto Zásad uvedené nižšie:
- V prípade sporov týkajúcich sa prenosu Osobných údajov súvisiacich s činnosťami v oblasti ľudských zdrojov v kontexte zamestnaneckého vzťahu z EHP a Spojeného kráľovstva do USA sa naša spoločnosť zaväzuje spolupracovať s príslušným panelom úradu EÚ a Spojeného kráľovstva na ochranu údajov;
- v prípade sporov týkajúcich sa prenosu Osobných údajov súvisiacich s činnosťami v oblasti ľudských zdrojov v kontexte zamestnaneckého vzťahu zo Švajčiarska do USA naša spoločnosť súhlasí, že bude spolupracovať so švajčiarskym úradom FDPIC;
- V prípade sporov týkajúcich sa prenosu Osobných údajov, ktoré sa týkajú dodržiavania pravidiel pre cezhraničnú spoluprácu v oblasti ochrany Osobných údajov ďalej len „CBPR“) v rámci Ázijsko-tichomorskej hospodárskej spolupráce (ďalej len „APEC“) medzi krajinami APEC, naša spoločnosť súhlasí s riešením sporov prostredníctvom orgánu dohľadu, BBB National Programs. Ak chcete získať viac informácií o rozsahu našej účasti, alebo poslať otázku týkajúcu sa ochrany Osobných údajov prostredníctvom organizácie BBB National Programs, kliknite na oficiálnu pečať v spodnej časti tejto stránky.
- V prípade sporov týkajúcich sa prenosu Osobných údajov súvisiacich s aktivitami, ktoré nesúvisia s ľudskými zdrojmi, prostredníctvom Rámca ochrany Osobných údajov (DPF), rozšírenie DPF týkajúce sa Spojeného kráľovstva a rozšírenie Štítu na ochranu Osobných údajov medzi EÚ a USA a medzi Švajčiarskom a USA, naša spoločnosť súhlasila s riešením sporov (bezplatne) prostredníctvom nezávislého mechanizmu nápravy, označovaného ako služby Rámca ochrany osobných údajov, ktorý prevádzkuje organizácia BBB National Programs. Ak nedostanete včasné potvrdenie vašej sťažnosti alebo ak vaša sťažnosť nebude vyriešená uspokojivým spôsobom, navštívte webovú stránku https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers, kde nájdete viac informácií a budete môcť podať sťažnosť.
- V prípade akéhokoľvek sporu vyplývajúceho z Rámca ochrany Osobných údajov (DPF), rozšírenie DPF týkajúce sa Spojeného kráľovstva a rozšírenie Štítu na ochranu Osobných údajov medzi EÚ a USA a medzi Švajčiarskom a USA, ktoré sa nevyriešia pomocou krokov opísaných v tejto časti, môžu jednotlivci za určitých podmienok v prípade niektorých zvyškových nárokov, ktoré neboli vyriešené inými mechanizmami nápravy, uplatniť záväzné rozhodcovské konanie. Navštívte webovú stránku https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2.
-
Všetci jednotlivci s pobytom v EHP alebo jednotlivci, ktorých Osobné údaje spadajú pod ochranu Právnych predpisov na ochranu Osobných údajov krajiny EHP a sú prenášané mimo EHP, a ktorých Osobné údaje sú spracovávané podľa týchto Zásad, majú na základe týchto Zásad právo kedykoľvek uplatniť požiadavky týchto Zásad ako oprávnená tretia strana, vrátane práva podať žalobu na súd, ktorou môžu žiadať nápravy za porušenie práv jednotlivca vyplývajúcich z týchto Zásad (ako je uvedené v Časti 2 vyššie) a práva na náhradu škody spôsobenej takýmto porušením. Jednotlivci s pobytom v EHP alebo jednotlivci, ktorých Osobné údaje spadajú pod ochranu Právnych predpisov na ochranu Osobných údajov krajiny EHP a sú prenášané mimo EHP (na účely objasnenia vrátane USA), môžu na základe týchto Zásad vzniesť nárok alebo podať sťažnosť voči pobočke spoločnosti zodpovednej za prenos Osobných údajov mimo EHP:
- na súdoch alebo na úrade na ochranu Osobných údajov v príslušnej krajine EHP, z ktorej boli ich Osobné údaje prenesené, alebo
- na súdoch alebo na úrade na ochranu Osobných údajov v krajine EHP ich obvyklého pobytu, alebo
- u príslušných orgánov na ochranu Osobných údajov (najmä v členskom štáte jeho/jej obvyklého pobytu, miesta výkonu práce alebo miesta údajného porušenia), alebo
- u našich vedúcich orgánov na ochranu Osobných údajov, ktoré dali pokyn nášmu BCR: francúzsky CNIL.
- Naša spoločnosť odpovie jednotlivcovi alebo subjektu, ktorý našej spoločnosti položí otázku, podá sťažnosť alebo podnet, do tridsiatich (30) kalendárnych dní, ak Právne predpisy alebo žiadosť tretej strany nevyžadujú odpoveď v kratšej lehote alebo ak si okolnosti vyžadujú dlhšie lehotu, pričom v takom prípade bude o tom žiadateľ písomne informovaný.
-
Ktorýkoľvek jednotlivec, o ktorom spracovávame Osobné údaje v rozsahu týchto Zásad, môže kedykoľvek položiť otázku, podať sťažnosť alebo vzniesť podnet našej spoločnosti vrátane žiadosti o zoznam všetkých pobočiek našej spoločnosti, ktoré podliehajú týmto Zásadám. Od svojich zamestnancov a všetkých, čo konajú v mene alebo za našu spoločnosť, očakávame, že bezodkladne oznámia, ak majú dôvod domnievať sa, že platné Právne predpisy im môžu brániť dodržiavať tieto Zásady. Akákoľvek otázka, sťažnosť alebo podnet vznesený jednotlivcom alebo akékoľvek oznámenie zamestnanca alebo inej osoby, ktorá koná v mene alebo za našu spoločnosť, má byť adresované na Global Privacy Office:
- Sme zodpovední za dodržiavanie našich hodnôt a štandardov ochrany Osobných údajov.
-
Pobočka našej spoločnosti zodpovedná za kroky, ktoré vedú k závažnému Incidentu týkajúcemu sa Osobných údajov alebo Incidentu týkajúcemu sa bezpečnosti, je finančne zodpovedná za akékoľvek nároky na odškodnenie alebo pokutu či inú sankciu vyplývajúcu z Incidentu týkajúceho sa Osobných údajov alebo Incidentu týkajúceho sa bezpečnosti.
- i. V spolupráci s Global Privacy Office a pod jeho vedením je Európsky úradník pre ochranu údajov (European Data Protection Officer) zodpovedný za zabezpečenie toho, aby sa podnikli potrebné kroky na riešenie akýchkoľvek údajných porušení týchto Zásad pobočkami našej spoločnosti mimo EHP, týkajúcich sa jednotlivcov s pobytom v EHP alebo jednotlivcov, ktorých Osobné údaje spadajú pod ochranu Právnych predpisov na ochranu Osobných údajov krajiny EHP a sú prenášané mimo EHP. Ak je to potrebné, Merck, Sharp & Dohme (Europe) Inc., USA – belgická pobočka („MSD Europe“) je zodpovedná za zaplatenie pokút alebo iných sankcií alebo náhradu škody za porušenie týchto Zásad týkajúcich sa jednotlivcov s pobytom v EHP alebo jednotlivcov, ktorých Osobné údaje spadajú pod ochranu Právnych predpisov na ochranu Osobných údajov krajiny EHP a sú prenášané mimo EHP. S podporou Global Privacy Office a pobočky našej spoločnosti mimo EHP zodpovednej za údajné porušenie, bude European Data Protection Officer zodpovedný za preukázanie toho, že naša spoločnosť nie je zodpovedná za údajné porušenie. Ak bude za krok, za ktorý bola udelená pokuta, iná sankcia alebo priznaná náhrada škody, zodpovedná iná pobočka našej spoločnosti, takáto pobočka môže byť povinná okamžite nahradiť MSD Europe ňou uhradené sumy. Ak pobočka našej spoločnosti mimo EHP poruší tieto Zásady, súdnu právomoc budú mať súdy alebo orgány na ochranu Osobných údajov v EHP a dotknutý jednotlivec bude mať práva a nároky voči pobočke spoločnosti zodpovednej za prenos Osobných údajov mimo EHP, ako je uvedené v Časti 3.f. týchto Zásad vyššie.
- V spolupráci a na pokyn Global Privacy Office je Merck Sharp & Dohme LLC zodpovedná za zabezpečenie podniknutia primeraných krokov na riešenie údajných porušení týchto Zásad, ktoré majú vplyv na jednotlivcov s pobytom mimo EHP, a ak je to potrebné, za zaplatenie pokút, či iných sankcií alebo náhrady škody za porušenia týchto Zásad týkajúcich sa jednotlivcov s pobytom mimo EHP alebo jednotlivcov, ktorých Osobné údaje nespadajú pod Právne predpisy na ochranu údajov krajín EHP. Ak bude za krok, za ktorý bola udelená pokuta, iná sankcia alebo poskytnuté priznaná náhrada škody, zodpovedná iná pobočka, takáto pobočka môže byť povinná okamžite nahradiť Merck Sharp & Dohme LLC. ňou uhradené sumy.
-
Pobočka našej spoločnosti zodpovedná za kroky, ktoré vedú k závažnému Incidentu týkajúcemu sa Osobných údajov alebo Incidentu týkajúcemu sa bezpečnosti, je finančne zodpovedná za akékoľvek nároky na odškodnenie alebo pokutu či inú sankciu vyplývajúcu z Incidentu týkajúceho sa Osobných údajov alebo Incidentu týkajúceho sa bezpečnosti.
Dohľad a monitorovanie
Aby bolo možné poskytnúť záruky regulačným úradom a iným zainteresovaným osobám, že naša spoločnosť prijíma zodpovednosť za dodržiavanie etických a zodpovedných postupov na ochranu Osobných údajov, spoločnosť stanovila skupinu ľudí, ktorá zabezpečuje dohľad. Skupinu riadi vedúci úradník na ochranu osobných údajov, jej súčasťou sú špecializované oddelenie Global Privacy Office (GPO), pridelený úradník pre ochranu údajov pre EÚ, úradník pre ochranu údajov príslušnej krajiny v prípade, že to požadujú zákony alebo miestne orgány, a Privacy Stewardovia, ktorých vymenovávajú hlavní predstavitelia spoločnosti a ktorí slúžia ako prostredníci medzi Global Privacy Office a organizačnými jednotkami, v ktorých pracujú.
Naša spoločnosť sa bude spoliehať na Agentov pre zodpovednosť za ochranu Osobných údajov, ktorým je podľa zákonov zodpovedná, aby pravidelne overovali, či dodržiava požiadavky týchto Zásad a príslušných zákonov, vrátane APEC CPBR.
Okrem kontrol zabezpečenia, ktoré riadi Global Privacy Office, budú tímy interného a externého auditu a tímy zabezpečenia vykonávať kontroly súladu s cieľom overiť, či spoločnosť dodržiava tieto Zásady, vrátane všetkých zásad, postupov, noriem a usmernení podriadených týmto Zásadám. Vypracujú sa a implementujú plány nápravných a preventívnych opatrení na riešenie nedostatkov, ktoré zaznamenali audítorské a zabezpečovacie tímy. Výsledky programu auditu budú oznámené vedúcemu úradníkovi na ochranu Osobných údajov, príslušnému DPO a výboru pre ochranu súkromia a údajov, ktorí sú zodpovední za ich nahlásenie, ako je opísané v týchto Zásadách.
Orgány na ochranu súkromia a údajov, ktoré schválili tieto Zásady, alebo ktoré majú jurisdikciu nad postupmi našej spoločnosti podľa týchto Zásad, majú právo overiť, či tieto Zásady dodržiavame. Pri výklade a uplatňovaní týchto Zásad sa budeme riadiť radami týchto príslušných orgánov.
Užitočné pojmy
- Anonymizácia. Úprava, skracovanie, vynechávanie alebo iné úpravy či zmeny Osobných údajov, aby ich natrvalo nebolo možné použiť na zistenie totožnosti, vyhľadanie alebo kontaktovanie jednotlivca, buď samostatne alebo spolu s ostatnými údajmi.
- Zákon. Všetky príslušné zákony, pravidlá, nariadenia a príkazy stanovísk, ktoré sú platné v ktorejkoľvek krajine, v ktorej naša spoločnosť pôsobí alebo v ktorej sa spracúvajú Osobné údaje našou spoločnosťou alebo v jej mene. To zahŕňa všetky rámce ochrany Osobných údajov, na základe ktorých bola naša spoločnosť schválená alebo certifikovaná, vrátane Záväzných podnikových pravidiel EÚ („BCR“), Ázijsko-tichomorskej hospodárskej spolupráce („APEC“), Cezhraničnej spolupráce v oblasti ochrany Osobných údajov („CBPR”), Rámca ochrany Osobných údajov (DPF), rozšírenie DPF týkajúce sa Spojeného kráľovstva a rozšírenie Štítu na ochranu Osobných údajov medzi EÚ a USA a medzi Švajčiarskom a USA – v rámci vyšetrovacích a vynucovacích právomocí Federálnej obchodnej komisie USA.
- Naša spoločnosť. Spoločnosť Merck & Co., Inc. (Rahway, NJ, USA), jej právni nástupcovia, pobočky a divízie na celom svete, okrem spoločných podnikov, ktorých je naša spoločnosť súčasťou.
- Osobné údaje. Akékoľvek údaje týkajúce sa identifikovaného alebo identifikovateľného jednotlivca vrátane údajov, ktoré identifikujú jednotlivca, alebo ktoré možno použiť na jeho identifikáciu, lokalizáciu, sledovanie alebo kontaktovanie. Medzi Osobné údaje patria jednak informácie, na základe ktorých možno jednotlivca priamo identifikovať, ako je jeho meno, identifikačné číslo alebo jedinečný názov pracovnej pozície, ale aj informácie, na základe ktorých možno jednotlivca identifikovať nepriamo, ako je dátum narodenia, jedinečné mobilné telefónne číslo alebo identifikátor prenosného zariadenia, telefónne číslo, kódované údaje a on-line identifikátory, ako je napríklad IP adresa, alebo akékoľvek osobné aktivity, správanie alebo preferencie, ktoré môžu byť zhromažďované na poskytovanie služieb alebo produktov.
- Incident týkajúci sa Osobných údajov. Porušenie týchto Zásad alebo Právnych predpisov na ochranu súkromia a na ochranu Osobných údajov a zahŕňajúci aj Incident týkajúci sa bezpečnosti. Šetrenie a rozhodnutie, či došlo k Incidentu týkajúceho sa Osobných údajov a či by malo byť vyhodnotené ako Porušenie ochrany Osobných údajov, vykoná Global Privacy Office, Riadenie rizík a bezpečnosti informačných technológií (ďalej len „ITRMS“) a Kancelária vedúceho právneho oddelenia.
- Spracovanie. Vykonanie akejkoľvek operácie alebo súboru operácií s údajmi o jednotlivcoch automatizovanými alebo inými prostriedkami, vrátane, ale nie výlučne len na, získavanie, zaznamenávanie, usporadúvanie, uchovávanie, prístupu, prepracúvanie, zmeny, vyhľadávanie, prehliadanie, využívanie, vyhodnocovanie, analýzy, nahlasovanie, oznamovanie, zdieľanie, poskytovanie, šírenie, prenos, sprístupnenie, preskupovanie, kombinovanie, zablokovanie, odstránenie, vymazanie alebo zničenie.
- Porušenie ochrany Osobných údajov. Porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu Osobných údajov alebo prístupu k nim, alebo odôvodnené presvedčenie našej spoločnosti o týchto prípadoch. Prístup k Osobným informáciám našou spoločnosťou alebo v jej mene bez úmyslu porušiť tieto Zásady nepredstavuje porušenie ochrany Osobných údajov, ak sprístupnené Osobné údaje budú ďalej použité a zdieľané výlučne tak, ako to povoľujú tieto Zásady.
- Citlivé údaje. Akýkoľvek druh údajov o jednotlivcovi, ktorý v sebe nesie riziko potenciálneho poškodenia jednotlivcov, vrátane údajov definovaných Právnymi predpismi ako citlivé, vrátane, ale nie výlučne len, údajov týkajúcich sa zdravia, genetických, biometrických údajov, rasy, etnického pôvodu, vyznania, politického alebo filozofického názoru či presvedčenia, záznamoch o kriminálnej minulosti, presných informácií o geografickej lokalite, bankových a iných čísiel účtu, identifikačných čísel vydaných štátom, maloletých deťoch, sexuálneho života, sexuálnej orientácie, členstva v odboroch, poistenia, sociálneho poistenia a iných benefitov poskytovaných zamestnávateľom či štátom.
- Tretia strana. Akýkoľvek právny subjekt, združenie alebo osoba, ktorú naša spoločnosť nevlastní, ani nad ňou nemá kontrolu, ani nie je zamestnaná našou spoločnosťou. Pokiaľ nie je výslovne uvedené inak v týchto Zásadách, žiadna pobočka ani divízia našej spoločnosti nebude povinná splniť požiadavky tretej strany vyplývajúce jej z týchto Zásad, pretože všetky pobočky alebo divízie sú povinné spracovávať údaje o jednotlivcoch v súlade s týmito Zásadami vrátane prípadov, keď jedna z pobočiek našej spoločnosti bude podporovať jednu alebo viaceré pobočky našej spoločnosti pri Spracovaní.
Zmeny týchto Zásad.
Tieto Zásady možno priebežne meniť a dopĺňať v súlade s požiadavkami platných Právnych predpisov. Oznámenie bude zverejnené na webovej stránke našej spoločnosti ohľadom ochrany Osobných údajov (https://www.msdprivacy.com) 60 dní pri všetkých podstatných zmenách týchto Zásad.