ABD ve Kanada dışında MSD ticari adıyla faaliyet gösteren ve merkezi Merck & Co., Inc. Rahway, NJ, ABD’de bulunmaktadır ve bunlarla sınırlı olmamak kaydıyla kapsam dahilindeki kuruluşları içerir: Merck Sharp & Dohme LLC ve Intervet, Inc.; hayat kurtarma ve iyileştirme misyonumuz, gizliliğe saygı duymayı ve kişisel bilgileri korumayı da içermektedir.
İncelenme Tarihi: 1 Eylül 2023
Geçerlilik Tarihi: 1 Eylül 2023
İşimizi gizlilik değerlerimize uygun şekilde yürütmeye çalışırız çünkü bunların etik ve sorumlu uygulamalara sarsılmaz bağlılığımızı gösterdiğine inanırız. Yenilikçiliğin ve yeni teknolojinin risklerde, beklentilerde ve yasalarda sürekli değişikliğe neden olduğunu anlıyoruz ve bu nedenle gizlilik sorumluluğu standartlarını izliyoruz ve bu değişiklikler karşısında bunları uygulama şeklimizi hızla uyarlamayı hedefliyoruz.
Bu politika, Kişisel Bilgilerin hangi ülkeden geldiğine veya hangi ülkelere aktarılacağına bakılmaksızın, Kişisel Bilgilerin şirketimiz tarafından veya onun adına yönetilmesi ve korunması için küresel standartlarımızı tanımlamaktadır. Burada, APEC Sınır Ötesi Gizlilik Kuralları sertifikasyonumuza, Avrupa Birliği’nce onaylanmış olan Bağlayıcı Kurumsal Kurallarımız’a (“BCR’ler”) ve AB-ABD Veri Gizliliği Çerçeve (DPF) Programı’na, DPF’nin İngiltere Eki’ne ve İsviçre-ABD Veri Gizliliği Çerçeve Programı’na uyumluluğumuzu destekleyen temel taahhütlerimiz açıklanmaktadır.
Şirketimiz, ABD Ticaret Bakanlığı tarafından belirtilen, AB-ABD Veri Gizliliği Çerçeve Programı’yla (AB-ABD DPF), AB-ABD DPF’nin İngiltere Eki’yle ve İsviçre-ABD Veri Gizliliği Çerçeve Programı’yla (İsviçre-ABD DPF) uyumludur. Avrupa Birliği’nden alınan kişisel verilerin AB-ABD Veri Gizliliği Çerçeve (AB-ABD DPF) İlkeleri’ne uygun şekilde işlenmesi ile ilgili olarak AB-ABD Veri Gizliliği Çerçeve İlkelerine (AB-ABD DPF İlkeleri) ve İngiltere’den (ve Cebelitarık’tan) alınanlarla ilgili olarak AB-ABD DPF’nin İngiltere Eki’ne uyduğumuzu ABD Ticaret Bakanlığı’na belgeledik. İsviçre-ABD DPF’i esas olmak kaydıyla, İsviçre’den alınan kişisel verilerin işlenmesi ile ilgili olarak İsviçre-ABD Veri Gizliliği Çerçeve programı İlkeleri’ne (İsviçre ABD DPF İlkeleri) uyduğumuzu ABD Ticaret Bakanlığı’na belgeledik. Bu politikanın koşulları ile AB-ABD DPF İlkeleri ve/veya İsviçre-ABD DPF İlkeleri arasında herhangi bir çelişkinin olması halinde İlkeler geçerli olacaktır. Veri Gizliliği Çerçevesi (DPF) programı hakkında daha fazla bilgi edinmek ve sertifikasyonumuzu görüntülemek için lütfen şu adresi ziyaret edin: https://www.dataprivacyframework.gov/.
Bu Politika, aşağıdakiler dahil olmak üzere ancak onlarla sınırlı olmaksızın, araştırma, üretim, ticari, kurumsal destek faaliyetlerimiz dahil olmak üzere ancak bunlarla sınırlı olmaksızın her ülkedeki işletmelerimiz, her iştirak ve her bölüm (şirketimizin tüm ardılları tarafından yapılacak olanlar da dahil olmak üzere) tarafından yürüttüğümüz ve insanlar hakkında bilgi içeren her faaliyet ve bu faaliyetleri yürütmek için gerekli olan veri aktarma işlemleri için geçerlidir:
- Araştırma ve Üretim: Tıpta ve sağlıkta yenilikçilik ihtiyaçlarını ve fırsatlarını değerlendirmek; araştırma çalışmaları başlatmak, yönetmek ve finanse etmek; araştırma çalışmalarımızın desteklenmesi ve ürünlerimizin geliştirilmesi için araştırmacıları, bilim ve etik komitesi üyelerini ve iş ortaklarını değerlendirmek ve görevlendirmek; araştırma çalışması için personel almak; araştırma aşamasındaki ve pazarlanan ürünlerimizin güvenliğini, etki düzeyini ve kalitesini değerlendirmek; advers olayların ve ürün kalitesi şikayetlerinin ele alınması ve rapor edilmesi dahil olmak üzere ürün güvenliği ve ürün kalitesi yükümlülüklerimizi yerine getirmek; ürünlerimizin onaylanması ve tescil edilmesi için idari sağlık makamlarına başvuruda bulunmak ve ilgili yasal, idari ve etik gereklere uymak.
- Ticari: Ürünlerimiz için pazarları değerlendirmek; ürünlerimizin reklamını yapmak, onları pazarlamak, satmak, dağıtmak ve teslim etmek; sağlık hizmeti uzmanı müşterilerimiz, sağlık hizmeti ödemesi yapanlar, hastalar ve ürünlerimizin diğer son kullanıcıları ve ayrıca ürünlerimizi kullanan hastabakıcılar ile iletişim kurmak ve onların katılımını sağlamak; etkinliklere sponsorluk yapmak ve bunları gerçekleştirmek; ticari faaliyetlerimizin desteklenmesi için iş ortaklarımızı değerlendirmek ve katılmalarını sağlamak ve ilgili yasal, idari ve etik gereklere uymak.
- Kurumsal Destek: Çalışanları işe almak, istihdam etmek, yönetmek, geliştirmek, onlar ile iletişim kurmak ve onları tazmin etmek; çalışanlar ve bakmakla yükümlü oldukları kişiler için sosyal yardımları yönetmek; çalışan performans ve beceri incelemeleri yapmak; eğitim ve daha başka öğrenme ve geliştirme programları sağlamak; çalışan disiplin ve şikayet işlemlerini yürütmek; etik ve gizlilik endişelerini yönetmek ve soruşturmalar yürütmek; fiziksel ve sanal kıymetlerimizi ve altyapımızı yönetmek ve korumak; mallar ve hizmetler tedarik etmek ve bunların ödemesini yapmak; çevre, sağlık ve güvenlik ile ilgili ve diğer kurumsal sorumluluk taahhütlerimizi yerine getirmek; medya ile iletişim kurmak ve ilgili yasal, idari ve etik gerekliliklere uymak.
Bu Politika aynı zamanda, sağlık hizmeti uzmanı ve diğer müşterilerimiz; müstakbel, mevcut ve eski çalışanlarımız ve bakmakla yükümlü oldukları kişiler, hastalar, hastabakıcılar, araştırmacılar ve araştırma çalışmasına katılanlar, bilim ve etik komitesi üyeleri, iş ortakları, yatırımcılar ve hissedarlar, devlet görevlileri ve diğer paydaşlar dahil olmak üzere ancak bunlarla sınırlı olmaksızın, hakkında bilgi işlediğimiz tüm kişiler için geçerlidir.
Tüm Şirket Çalışanları ve Kıdemli Liderler önem vermeleri gereken temel gizlilik sorumluluklarına sahiptir.
İnsanlar hakkındaki bilgilerin korunması ile ilgili kasıtsız hataların ve yanlış değerlendirmelerin bireyler için gizlilik risklerine ve Şirket için itibar, faaliyet, mali ve uyumluluk risklerine yol açabileceğini anlıyoruz. Kişisel Bilgilere sürekli veya düzenli şekilde erişimi olan, verilerin toplanmasına veya Kişisel Bilgileri işlemede kullanılan araçların geliştirilmesine katılan tüm çalışanlara ve diğer personele bu Politika hakkında gerekli eğitimi sağlayacağız. Şirketimizin tüm çalışanları ve şirketimiz için insanlar hakkında bilgi işleyen diğerleri, Politika ve geçerlerli Yasalar altında sorumluluklarını anlama ve yerine getirme konusunda yükümlüdür.
Gizlilik Değerlerimiz ve Standartlarımız
Gizlilik standartlarımızı nasıl uyguladığımız da dahil olmak üzere insanları içeren her işimizde gizlilik değerlerimizi önde tutmaktayız.
Saygı | Güven | Zararı Önleme | Uyumlu Ol |
---|---|---|---|
Gizlilik konularının çoğunlukla özde kim olduğumuz, dünyayı nasıl gördüğümüz ve kendimizi nasıl tanımladığımız ile ilgili olduğunu biliyoruz ve bu nedenle bireylerin ve toplumların bakış açılarına saygı göstermek ve onlar hakkındaki bilgileri kullanma ve paylaşma konusunda adil ve şeffaf olmaya çalışmaktayız. | Güvenin başarımızın kaçınılmaz bir parçası olduğunu biliyoruz ve bu nedenle gizliliğe saygı duymamız ve insanlar hakkındaki bilgileri korumamız konusunda müşterilerimizin, çalışanlarımızın, hastalarımızın ve diğer paydaşlarımızın güvenini kazanmaya ve elde tutmaya çalışmaktayız. | İnsanlar hakkındaki bilgilerin bireylere hem somut hem soyut zararlar verebileceğini anlıyoruz ve bu nedenle bireylerin fiziksel, mali, itibara dayalı ve diğer türlü gizlilik zararları görmesini önlemeye çalışmaktayız. | Yasaların ve düzenlemelerin teknolojideki ve veri akışlarındaki hızlı değişikliklere ve gizlilik risklerindeki ve beklentilerindeki ilgili değişmelere her zaman ayak uyduramadığını öğrenmiş bulunuyoruz ve bu nedenle küresel iş faaliyetlerimize tutarlılık ve faaliyet verimliliği getirecek şekilde gizlilik ve veri koruma yasalarının ve düzenlemelerinin lafzına ve ruhuna uymaya çalışırız. |
- Kişisel Bilgi kullanan tüm faaliyetlere, süreçlere, teknolojilere ve üçüncü taraflar ile ilişkilere gizlilik standartlarımızı dahil etmekteyiz. Süreçlerimizin ve teknolojilerimizin içinde gizlilik değerlerimiz ve standartlarımız ve geçerli yasa ile tutarlı olan gizlilik denetlemeleri tasarlamaktayız. Aşağıda açıklanan 8 gizlilik ilkemiz süreçler, faaliyetler ve bunların destekleyici teknolojileri için gizlilik standartlarımızı ve temel gerekliliklerimizi yüksek bir düzeyde özetlemektedir.
Gizlilik İlkesi
Temel Taahhütlerimiz
1. Zorunluluk – Kişisel Bilgiler’i toplamadan, kullanmadan veya paylaşmadan önce bunlara ihtiyaç duyulmasının özgün, meşru iş amaçlarını tanımlamakta ve belgelendirmekteyiz.
- Tanımlanmış olan bu iş amaçları ve geçerli yasal gereklilikler için Kişisel Bilgiler’e ne kadar süre ihtiyaç olduğunu belirlemekte ve belgelendirmekteyiz.
- İhtiyaç olandan fazla Kişisel Bilgi toplamamaktayız, kullanmamaktayız veya paylaşmamaktayız ve tanımlanmış olan bu iş amaçları ve geçerli yasal gereklilikler için ihtiyaç olandan uzun süre tanımlanabilir bir şekilde elde tutmamaktayız.
- İş gereklilikleri faaliyet veya süreç hakkındaki bilgilerin uzun bir süre elde tutulmasını zorunlu kıldığı zaman verileri anonim hale getirmekteyiz.
- Bu ihtiyaç koşullarının herhangi bir destekleyici teknolojiye tasarlanmış olduğundan ve bunların faaliyet ya da süreci destekleyen üçüncü taraflara iletildiğinden emin oluruz.
2. Adil Olmak – Kişisel Bilgileri bu verilerin ilgili olduğu kişiler için adil olmayan şekillerde işlememekteyiz.
- Kişisel Bilgi toplama, kullanma veya başka bir şekilde işleme hakkındaki bir önerinin Zararı Önle gizlilik değerimize göre bireyler için muhtemel ve/veya ağır bir maddi veya manevi zarar riskine yol açıp açmayacağını belirlemekteyiz.
- Verilerin özelliği, insanların türleri veya faaliyet, bireyler için muhtemel ve/veya ağır bir maddi veya manevi zarar riskine yol açtığı zaman, zarar riskinin bu bireyler için veya yaşamları kurtarma ve iyileştirme misyonumuz tarafından fazlasıyla karşılandığını ve kullanmakta olduğumuz önlemler, koruma tedbirleri ve mekanizmalar tarafından hafifletildiğini garanti etmekteyiz.
- Riskin bireylerin göreceği faydayı aşacağı durumlarda en ilgili güvenlik ve koruma önlemlerini almakta, bireyleri bu gerçek konusunda bilgilendirmekte ve gerektiğinde yetkili düzenleyici makamın tavsiyelerini almaktayız.
- Hassas Bilgileri geçerli yasa tarafından kesinlikle gerekli tutulan veya kesinlikle izin verilen şekilde, yalnızca bireylerin açık onayı ile işleriz.
- Riskin bireylerin göreceği faydayı aşacağı durumlarda riskleri mümkün olduğunca en aza indirmek için risk analizini belgelendirmekte ve gerekli olabilecek tüm mekanizmaları tasarlamaktayız.
3. Şeffaflık – Kişisel Bilgileri şeffaf olmayan şekillerde veya amaçlar için işlememekteyiz.
- Bu Politika uyarınca, hakkında Kişisel Veriler’i işlenen tüm bireyler bu Politika’nın bir kopyasını alma hakkına sahip olacaktır. Bu Politika’nın kopyalarını çevrimiçi olarak şu adresten erişilebilir hale getireceğiz: https://www.msdprivacy.com/index.html Gönderilen istek üzerine aşağıda belirtilen adreslere Global Gizlilik Ofisi bu Politika’nın elektronik ve/veya kağıt kopyalarını sağlayacaktır.
- Doğrudan bireylerden Kişisel Bilgi toplandığı zaman, bilgileri toplamadan önce ve anlaşılır, kolayca görünen ve kolayca erişilebilen bir gizlilik bildirimi veya benzer yollar ile kendilerine şu bilgileri veririz: (1) işlemeden sorumlu olan şirket kuruluşu veya kuruluşları, (2) Gizlilik Yetkilimizin ve/veya bölgesel/yerel Veri Gizliliği Yetkilimizin iletişim bilgileri, (3) hangi bilgilerin toplanacağı, (4) bunların hangi amaçlar için kullanılacağı, (5) işleme için yasal temelimiz, (6) devlet makamlarını yasal taleplerine yanıt olarak Kişisel Bilgileri açıklamak için her türlü gereklilik dahil olmak üzere bunların kimler ile paylaşılacağı, (7) olanaklı olduğu zaman ilgili ülkeler dahil olmak üzere Kişisel Bilgileri başka ülkelere aktarıp aktarmayacağımız ve nasıl aktaracağımız, (8) bunların ne süre elde tutulacağı veya bu belirlemeyi hangi kıstaslara göre yaptığımız, (9) kendi Kişisel Bilgileri ile ilgili olarak nasıl soru sorabilecekleri, bir endişelerini dile getirebilecekleri veya haklarını kullanabilecekleri, (10) verdikleri herhangi bir onayı nasıl geri çekebilecekleri, (11) bir denetleme makamına şikayet etme hakları, (12) Kişisel Bilgi sağlamak için herhangi bir yükümlülükleri ve bunun yapmamanın sonuçları, (13) profil çıkarma dahil olmak üzere gerçekleştireceğimiz tüm otomatik karar verme yolları ve (14) olanaklı ve uygun olduğu zaman bu Politikaya bir bağlantı. Birçok paydaşımız için geniş kapsamlı gizlilik bildirimlerimiz şu adreste çevirim içi şekilde bulunmaktadır: http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html
- Kişisel Bilgiler gözlem, sensörler veya başka dolaylı yollar ile elde edildiği zaman, bilgiler toplandığı sırada doğrudan bireye bir gizlilik bildirimi sağlamak olanaklı olmayabilir. Bu gibi durumlarda, örneğin bilgiyi elde edecek olan cihazın veya cihaz ile ilişkili materyalin üzerine asmak veya yazmak gibi başka yollar vasıtası ile birey için şeffaflık sağlamaktayız.
- Kişisel Bilgiler bir web sitesi, mobil uygulama veya başka bir çevirim içi uygulama veya kaynak vasıtası ile toplandığı zaman, bu Politikaya uygun şekilde şeffaf olmak gereklerinin yerine getirilmesini sağlamak için İnternet Gizlilik Politikamızda ve Çerez Gizlilik Taahhüdümüz’de belirtilen teknolojiye özgü standartları uygularız.
- Kişisel Bilgiler başka kaynaklardan toplandığı ve özel şekilde şirketimizin talimatı altında olmadığı zaman, bilgileri elde etmeden önce bilgileri sağlayan tarafın şirketimizin bu bilgileri kullanmayı düşündüğü yollar ve amaçlar hakkında bireylere bilgi vermiş olduğunu yazılı şekilde teyit ederiz. Bilgileri sağlayan taraftan yazılı teyit alınamadığı zaman yalnızca isimsiz duruma getirilmiş bilgiler kullanırız veya Kişisel Bilgileri kullanmadan önce etkilenmiş bireylere bir gizlilik bildirimi veya benzer yollar ile şu bilgileri veririz: (1) şirketimizin bilgileri işlemekten sorumlu olan kuruluşu veya kuruluşları, (2) Gizlilik Yetkilimizin ve/veya bölgesel/yerel Veri Koruma Yetkilimizin iletişim bilgileri, (3) şirketimizin hangi bilgileri kullanmayı planladığı, (4) şirketimizin bunları kullanmayı planladığı amaçlar, (5) işlemenin yasal temeli, (6) şirketimizin bunları kimler ile paylaşacağı, (7) olanaklı olduğu zaman Kişisel Bilgileri ilgili ülkeler dahil olmak üzere başka ülkelere aktarıp aktarmayacağımız ve nasıl aktaracağımız, (8) bunları şirketimizin ne süre elde tutmayı planladığı veya bu belirlemeyi hangi kıstaslara göre yaptığımız, (9) kendi Kişisel Bilgileri ile ilgili olarak nasıl soru sorabilecekleri, bir endişelerini dile getirebilecekleri veya haklarını kullanabilecekleri, (10) verdikleri herhangi bir onayı nasıl geri çekebilecekleri, (11) bir denetleme makamına şikayet etme hakları, (12) Kişisel Bilgi sağlamak için herhangi bir yükümlülükleri ve bunun yapmamanın sonuçları, (13) profil çıkarma dahil olmak üzere gerçekleştireceğimiz tüm otomatik karar verme yolları ve (14) olanaklı ve uygun olduğu zaman bu Politikaya bir bağlantı.
- İmkan dahilinde olduğunda bireysel hak taleplerini destekleyen mekanizmalar dahil olmak üzere gerekli şeffaflık mekanizmalarının destekleyici teknolojilerin içinde tasarlanmış olmasını ve bu faaliyete veya sürece destek sağlayan üçüncü tarafların insanlar hakkındaki bilgileri bir gizlilik bildirimi veya teyit edilebilecek başka yollar vasıtası ile, bireylere bizim ve bizim için çalışan başka kişilerin bilgiler ile ne yapacağı hakkında söylenmiş olan şeyler ile tutarsız şekilde işlememesini sağlamaktayız.
- onay istediğimizde, onayı alır ve iznin kanıtını destekleyici teknolojilerimizde belgelendiririz.
4. Amaç Sınırlandırma – Kişisel Bilgileri yalnız Zorunluluk ve Şeffaflık ilkelerine uygun şekilde kullanmaktayız.
- Daha önce toplanmış olan Kişisel Bilgiler için yeni meşru iş amaçları belirlenmesi halinde ya Kişisel Bilgilerin yeni kullanımı için bireyin onayını alırız veya yeni iş amacının bireye daha önce sağlanmış olan bir gizlilik bildiriminde veya başka şeffaflık mekanizmalarında açıklanan amaçlara maddi şekilde benzer olması dahil olmak üzere onlara uygun olmasını sağlamaktayız. Uyumluluğu, (1) baştaki amaçlar ile önerilen yeni amaç arasında varsa bağlantı, (2) bireyin makul beklentileri, (3) Kişisel Bilgilerin doğası, (4) ek işlemenin birey için sonuçları ve (5) uygulamaya koyduğumuz güvenlik önlemlerini dikkate alarak belirleyeceğiz.
- Anonim duruma getirilmiş bilgiler için veya Kişisel Bilgileri yalnız tarihi ve bilimsel araştırma amaçları ile kullandığımız zaman veya şu durumlarda bu ilkeyi uygulamayız: (1) bir Etik İnceleme komitesi veya başka bir yetkin inceleme görevlisi söz konusu kullanımın riskinin bireylerin gizlilik ve başka hakları bakımından kabul edilebilir olduğunu belirlediği zaman, (2) veri minimizasyonu sağlamak için uygun koruma önlemleri kullandığımız zaman, (3) kişisel verilerde takma ad kullanıldığı zaman ve (4) geçerli diğer tüm Yasalara saygı gösterildiği zaman.
- Amaç sınırlandırma kısıtlamalarının, rapor etme yetenekleri ve akış yönündeki veri paylaşımı dahil olmak üzere tüm destekleyici teknolojiler içinde tasarlanmış olmasını sağlamaktayız.
5. Veri Kalitesi – Kişisel Bilgileri bunların kullanım amacı ile tutarlı şekilde doğru, tam ve güncel halde tutmaktayız.
- Veri doğruluğunu kaynak ve veri girişi sistemleri karşısında doğrulamak için destekleyici teknolojilerde düzenli veri inceleme mekanizmalarının tasarlanış olduğundan emin oluruz.
- Hatalı ya da geçerliliğini yitirmiş veriler kullanıldığında kişiler için adil olmama riski oluşturan kullanım, değerlendirme, analiz, raporlama ya da diğer işleme faaliyetlerinden önce Hassas Bilgilerin doğru ve güncel olduğunu doğrularız.
- Şirketimiz veya şirketimiz için çalışan üçüncü taraflar tarafından Kişisel Bilgilerde değişiklikler yapıldığı zaman, bu değişikliklerin makul şekilde olanaklı olduğu takdirde ilgili bireylere zamanlı bir şekilde haber verilmesini sağlamaktayız.
6. Güvenlik – Kişisel Bilgiler’i ve Hassas Bilgiler’i kaybolma, suiistimal ve yetkisiz erişim, ifşa, değiştirme veya imha karşısında korumak için koruma önlemleri uygulamaktayız.
- Kapsamlı bir bilgi güvenliği programı uyguladık ve en iyi geçerli teknoloji uygulamalarını ve uygulama maliyetlerini dikkate alarak, bilginin hassaslığını ve etkinliğin risk düzeyini temel alarak güvenlik denetimleri uygulamaktayız. İşlevsel güvenlik politikalarımız arasında iş devamlılığı ve afet kurtarma standartları, şifreleme, kimlik ve erişim yönetimi, bilgi sınıflandırma, bilgi güvenliği olay yönetimi, ağ erişimi kontrolü, fiziksel güvenlik ve risk yönetimi yer alır ancak bunlarla sınırlı değildir.
7. Veri Aktarma – Kişisel Bilgiler başka kuruluşlara veya başka kuruluşlardan veya ülke sınırları üzerinden aktarıldığı zaman biz bunlardan sorumlu oluruz ve Kişisel Bilgiler için gizlilik koruma önlemleri barındırırız.
(1) Kişisel Bilgileri aşağıdaki gereklilikler yerine getirildiği takdirde şirketimizin içinde aktarırız:
- (1) Kişisel Bilgilerin ilk toplanma amacı veya şirketin başka bir meşru çıkarını yerine getirmek için paylaşım zorunludur ve (2) bunların paylaşılmasının amacı ve paylaşılacağı daha önce Kişisel Bilgiler ilk olarak toplanırken bireye sağlanmış olan ve gerekli olan yerde bireyin onay verdiği gizlilik bildirimi veya başka şeffaflık mekanizmaları ile tutarlıdır. (3) şirketimizin iştiraklerinden birisi Kişisel Bilgilerin işlenmesinde yalnızca şirketimizin bağlı şirketlerinden başka birisi adına hareket ettiği zaman, (4) Yasa gereğince şirketimizin o iştirakleri işbu Politikanın 8. İlkesi uyarınca bir dahili veri işleme sözleşmesi düzenleyecektir. (5) BT altyapısının bu tür bir aktarımı gerektirmesi durumunda, bu tür bir aktarımı uyumlu hale getirmek için tüm uygun güvenlik ve organizasyon önlemlerinin mevcut olması halinde.
(2) Yalnızca aşağıdaki koşullar sağlandığı zaman üçüncü taraflara Kişisel Bilgi aktarmaktayız veya onlar tarafından işlenmesine izin vermekteyiz ve görevlendirdiğimiz üçüncü tarafların bu gereklilikleri karşılamasını sağlamaktan sorumluyuz:
- Üçüncü tarafın rolü şirketimiz adına Kişisel Bilgi işlemek olduğu zaman, üçüncü tarafa Kişisel Bilgi sağlamadan veya üçüncü tarafı görevlendirmeden önce şunları yaparız: (1) bu üçüncü taraflar ile ilişkili gizlilik uygulamalarını ve riskleri değerlendirmek için gizlilik ayrıntılı incelemesini tamamlamak, (2) şu konularda bu üçüncü taraflardan sözleşmeye dayalı güvenceler elde etmek: Kişisel Bilgileri bir sınırlandırma olmaksızın 8 Gizlilik İlkesi’nin hepsi ve bu Politika’da belirtilen standartlar ve geçerli Yasalar dahil olmak üzere yalnızca şirketimizin talimatlarına göre ve bu Politika’ya uygun şekilde işleyeceklerdir, bu Politikada belirtilen standartlara ve geçerli Yasalara herhangi bir şekilde uyulamaması dahil olmak üzere herhangi bir Gizlilik Vakası’nı veya Güvenlik Vakası’nı hemen şirketimize bildirecek ve doğrulanmış herhangi bir Vakayı hızla gidermek ve aşağıda Bölüm 2’de belirtilen bireysel hakları çözümlemek için işbirliği yapacaklardır, Kişisel Veriler’i işlemek için bizim yazılı iznimiz olmadan ve eşdeğer veri koruma yükümlülükleri getiren bir sözleşme yapmadan başka bir şirketi görevlendirmeyeceklerdir, bize hizmet vermeyi tamamlandıktan sonra veya bizim isteğimiz üzerine tüm Kişisel Bilgileri silecek veya bize iade edeceklerdir ve bu gerekliliklere uygunluk sağlamak için işleme boyunca şirketimizin onların uygulamalarını denetlemesine ve gözlemlemesine izin vereceklerdir. Ayrıca, bu üçüncü taraf Kişisel Bilgilerin aktarılmasını kısıtlayan bir yasa bulunan bir ülkeden veya bölgeden kaynaklanan Kişisel Bilgiler işlediği takdirde üçüncü tarafa yapılan aktarma işleminin aşağıda (3) içinde açıklanan sınır ötesi veri aktarma işleminin gerekliliklerini karşılamasını sağlayacağız.
- Üçüncü tarafın rolü şirketimize Kişisel Bilgi sağlamak olduğu zaman, üçüncü taraftan Kişisel Bilgiler elde etmeden önce, başka kaynaklardan toplanan ve özel şekilde şirketimizin talimatı altında olmayan Kişisel Bilgiler toplamak için Şeffaflık gereklerinin karşılanmasını sağlarız ve üçüncü taraftan şirketimize Kişisel Bilgi sağlamakla hiçbir Yasayı veya hiçbir üçüncü tarafın haklarını çiğnemediği bakımından sözleşmeye dayalı taahhütler alırız.
- Üçüncü tarafın rolü şirketimizden işlemek üzere özel şekilde şirketimizin talimatı altında olmayan bilgiler almak olduğu zaman, üçüncü tarafa bilgi sağlamadan önce bilgilerin anonim duruma getirilmesini sağlarız ve üçüncü taraftan bunları yalnızca sözleşmede tanımlanan iş amaçları için ve geçerli yasalara uygun şekilde kullanacağı ve bilgileri tekrar tanımlanmış duruma getirmeye çalışmayacağı hakkında yazılı güvenceler alırız.
- Üçüncü bir tarafa aktarma yapmak bireyin veya şirketin meşru çıkarlarını korumak için gerekli olduğu zaman, bilgileri şu şekilde aktarabiliriz: (1) yolsuzluk önleme amaçları ile veya şirketin haklarını ve mallarını uygulatmak veya korumak için, (2) çalışanlarımızın veya mülklerimiz üzerinde bulunan üçüncü tarafların kişisel güvenliğini korumak için ve (3) yasaya aykırı faaliyet veya ağır suiistimal meydana gelmiş olduğundan makul şekilde kuşkulandığımız zaman düzeltici güvenlik önlemleri alarak kıymetlerimizi korumak için.
- Üçüncü taraf bizim için satın alınacak veya çoğunluk hissesi elde edilecek bir hedef ise, (1) üçüncü tarafı satın almak veya üçüncü tarafta bir çoğunluk hissesi elde etmek için bir sözleşme yapmadan önce bu üçüncü tarafın satın alınması veya üçüncü tarafta bir çoğunluk hissesi elde edilmesi ile ilişkili gizlilik uygulamalarını ve riskleri değerlendirmek için gizlilik ayrıntılı incelemesini tamamlarız ve (2) Kişisel Bilgilerin açıklanabilmesine dayanak oluşturacak hükümleri ve koşulları ve şirketimizin ve üçüncü tarafın kendi yükümlülüklerini belirten bir veri aktarma sözleşmesi yaparız.
- Üçüncü tarafın rolü şirketimizin işini tamamen veya kısmen satın almak olduğu zaman, şirketimizin işinin herhangi bir parçasının elde çıkarılması ile ilgili herhangi bir Kişisel Bilgi paylaşmadan önce, (1) Kişisel Bilgilerin izin verilen kullanımları ve bu Politika’daki standartlara ve geçerli Yasa’ya uygunluk bakımından uygun sınırlandırmalar dahil olmak üzere müşteriye Kişisel Bilgilerin açıklanabilmesine dayanak oluşturacak hükümleri ve koşulları belirten bir veri aktarma sözleşmesi yaparız, (2) paylaşma gerekliliklerini değerlendirmek için paylaşmadan önce insanlar hakkındaki tüm veri unsurlarını inceleriz, (3) bu Politikanın Şeffaflık ve Amaç Sınırlandırma ilkelerine uygun şekilde Kişisel Bilgileri veya Hassas Bilgileri paylaşmak için onay alırız ve (4) üçüncü tarafın bu Politika’da belirtilen standartlara ve geçerli Yasalar’a herhangi bir şekilde uyulamaması dahil olmak üzere herhangi bir geçerli Gizlilik Vakası’nı hemen şirketimize bildirmesini ve doğrulanan herhangi bir Vaka’yı hızla gidermek için işbirliği yapmasını veya ilgili Kişisel Veriler’i İşlemeyi durdurmasını şart koşarız.
(3) Kişisel Verileri şirketimiz adına bu Politikaya uygun şekilde Amerika Birleşik Devletleri dahil olmak üzere ülke sınırlarının ötesine aktarırız. Kişisel Bilgilerin aktarılmasını kısıtlandıran bir yasa bulunan başka bir ülkeden veya bölgeden yapılan Kişisel Bilgi aktarma işlemleri bakımından söz konusu Yasaların getirdiği tüm gerekliliklere ek olarak bu Politikayı uygulayacağız (geldiği ülke ile aynı veri koruma standartlarına sahip olmayan ülkelere sınır ötesi aktarma işlemleri için gereken tüm mekanizmaların kullanımına ek olarak).” to “(3) Kişisel Veriler’i şirketimiz adına bu Politika’ya uygun şekilde Amerika Birleşik Devletleri dahil olmak üzere ülke sınırlarının ötesine aktarırız. Kişisel Bilgilerin aktarılmasını sınırlandıran bir yasa bulunan başka bir ülkeden veya bölgeden yapılan Kişisel Bilgi aktarma işlemleri bakımından söz konusu Yasaların getirdiği tüm gerekliliklere ek olarak bu Politika’yı uygulayacağız (kaynaklandığı ülke ile aynı veri koruma standartlarına sahip olmayan ülkelere sınır ötesi aktarma işlemleri için gereken tüm mekanizmaların kullanımı da dahil olmak üzere).
8. Yasal Olarak İzin Verilebilir – Kişisel Bilgileri yalnızca geçerli yasaların gereklilikleri yerine getirildiği zaman işlemekteyiz.
- Aşağıda açıklanan Bireysel Hakların gerekliliklerinin yanı sıra diğer 7 gizlilik ilkesinin amacı dünyanın çeşitli yerlerindeki işlerimiz için geçerli olan gizlilik ve veri koruma yasalarının çoğunun gerekliliklerini sağlamak olmasına rağmen bazı ülkelere bir sınırlandırma olmaksızın aşağıdakiler dahil olmak üzere ilave gereklilikleri sağlamamız gerekmektedir:” to “Aşağıda açıklanan Bireysel Hakların gerekliliklerinin yanı sıra diğer 7 gizlilik ilkesinin amacı dünyanın çeşitli yerlerindeki işlerimiz için geçerli olan gizlilik ve veri koruma yasalarının çoğunun gerekliliklerini sağlamak olmasına rağmen bazı ülkelerde aşağıdakiler dahil olmak ancak bunlarla sınırlı olmaksızın ilave gereklilikleri karşılamamız gerekmektedir:
- 1) Gerektiği yerlerde, Kişisel Bilgilerin bazı işleme işlemleri için bir işçi komitelerinin ve diğer sendikaların işleme onayını almak dahil olmak üzere ancak bununla sınırlı olmaksızın spesifik şekillerde onay alacağız;
- 2) Gerektiği yerlerde, Kişisel Bilgilerin işlenmesini geçerli gizlilik veya veri koruma düzenleme makamına tescil ettireceğiz veya onun onayını isteyeceğiz;
- 3) Gerektiği yerlerde, bu Politika’da belirtilenlerden daha geniş haklar sağlayacağız (örnek olarak erişim ve düzeltme için);
- 4) Gerektiği yerlerde, Kişisel Bilgiler için veri elde tutma sürelerini daha çok sınırlandıracağız; ve
- 5) Gerektiği yerlerde, üçüncü taraflara sınır ötesi veri aktarımlarına ilişkin sözleşmeler de dahil olmak üzere özel sözleşme maddeleri içeren sözleşmeler düzenleyeceğiz.
- 6) Gerektiği yerlerde, ulusal güvenlik veya yasal yaptırım gerekliliklerinin sağlanması dahil olmak üzere kamu makamlarının yasal taleplerine yanıt olarak kişisel bilgileri açıklayacağız.
Bu Politika ile geçerli yasa arasında bir çelişki olması durumunda bireylere daha fazla koruma sağlayan standart üstün olacaktır.
- Bireylerin Kişisel Bilgilere erişme, onları değiştirme, düzeltme veya silme, kendileri hakkındaki Kişisel Bilgilerin işlenmesine itiraz etme veya kendi Kişisel Bilgileri bakımından başka hakları kullanma hakkı taleplerini hemen ele alacağız.
- Erişme, Düzeltme, Silme ve diğer haklar – Faaliyet gösterdiğimiz birçok ülkenin yasalarına göre bireylerin kendileri hakkındaki Kişisel Bilgilere erişme ve yanlış, eksik veya eski olan Kişisel Bilgileri değiştirme, düzeltme veya silme hakkı vardır. Aşağıdaki Bölüm 3a’ya uygun şekilde, tüm bireylerden gelen Kişisel Bilgileri değiştirme, düzeltme veya silme taleplerine saygı göstereceğiz. Bir değiştirme, düzeltme veya silme talebi bireylere daha fazla koruma sağlayan geçerli bir Yasa tarafından düzenlendiği zaman o Yasanın ilave gereklerinin yerine getirilmesini sağlayacağız.
Bazı ülkelerde bireylerin kendileri hakkındaki Kişisel Bilgiler bakımından işlemeyi sınırlandırma, işlemeye itiraz etme (ayrıca aşağıdaki Bölüm 2b’ye bakın) ve verilerinin başka bir hizmet tedarikçisine aktarılmasını sağlama hakkı gibi başka hakları bulunabilir. Veri haklarının geçerli Yasalara uygun şekilde kullanılmasına saygı göstereceğiz. Silme gibi bazı haklar, diğer düzenleyici gerekliliklere veya yerel uyum raporlamasına uyma gerekliliğine göre sınırlandırılmış olabilir, böyle bir durumda sizi bu sınırlamalar ile ilgili olarak uygun şekilde bilgilendireceğiz.
-
Seçim – Saygı” ve “Güven” gizlilik değerlerimiz ile tutarlı şekilde, bireylerin, bir sınırlandırma olmaksızın, daha önce katılmayı kabul etmiş oldukları programları veya faaliyetleri, kendileri hakkındaki Kişisel Bilgilerin doğrudan pazarlama iletişimleri için kullanılmasını, kendileri hakkındaki Kişisel Bilgilere dayalı olarak hedef gözeten iletişimleri ve kendilerini önemli ölçüde etkileme potansiyeline sahip olan şekilde otomasyon veya algoritmalar kullanılarak elde edilen kendileri hakkındaki herhangi bir değerlendirmeyi veya kararı tercih dışı bırakmak dahil olmak üzere Kişisel Bilgilerin işlenmesine itiraz etme taleplerine saygı gösteririz.
- Yasa tarafından yasaklanmış olması dışında, belli bir seçim talebi şirketimizin şunları yapmasını engelleyecek olduğu zaman bu seçimi reddedebiliriz: (1) ulusal güvenlik ve yasal yaptırım gerekliliklerinin sağlanması dahil kamu makamlarını yasal taleplerine yanıt olarak kişisel bilgileri açıklamamız gerekmesi dahil olmak üzere bir Yasaya veya etik yükümlülüğe uymak, (2) hukuki iddiaları araştırmak, hukuki iddialarda bulunmak ve bunlar için savunma yapmak ve (3) Şeffaflık ve Amaç Sınırlandırma ilkeleri ile tutarlı şekilde ve söz konusu insanlar hakkındaki bilgilere güvenilerek gerçekleştirilen sözleşmeler yapmak, ilişkileri yönetmek veya izin verilen başka iş faaliyetlerine girişmek. Bu Politikaya uygun şekilde, bir seçim talebinin ret edilmesi kararından sonra on beş gün içinde bu kararı belgelendirecek ve talep sahibine göndereceğiz.
- Erişme, Düzeltme, Silme ve diğer haklar – Faaliyet gösterdiğimiz birçok ülkenin yasalarına göre bireylerin kendileri hakkındaki Kişisel Bilgilere erişme ve yanlış, eksik veya eski olan Kişisel Bilgileri değiştirme, düzeltme veya silme hakkı vardır. Aşağıdaki Bölüm 3a’ya uygun şekilde, tüm bireylerden gelen Kişisel Bilgileri değiştirme, düzeltme veya silme taleplerine saygı göstereceğiz. Bir değiştirme, düzeltme veya silme talebi bireylere daha fazla koruma sağlayan geçerli bir Yasa tarafından düzenlendiği zaman o Yasanın ilave gereklerinin yerine getirilmesini sağlayacağız.
- Gizlilik ile ilgili tüm sorulara, şikayetlere, endişelere ve herhangi bir potansiyel Gizlilik Vakasına veya Güvenlik Vakasına hemen yanıt vereceğiz ve ilgili yetkiliye ileteceğiz.
-
Şirketimizin bu Politikaya tabi olan tüm iştiraklerinin listesini talep etmek dahil olmak üzere bu Politika kapsamı içinde hakkında Kişisel Veri işlediğimiz herhangi bir birey şirketimize her an bir soru, şikayet veya endişe iletebilir. Çalışanlarımızın ve şirketimiz adına çalışan başka kişilerin geçerli bir Yasanın kendilerinin bu Politikaya uymasını engellediğine inanması için bir nedenleri olduğu zaman hemen bildirimde bulunmasını bekleriz. Bir birey tarafından yönetilen bir soru, şikayet veya endişe veya bir çalışan veya şirketimiz adına çalışan başka bir kişi tarafından gönderilen bir bildirim Global Gizlilik Ofisine gönderilmelidir:
- Avrupa Ekonomik Alanı (EEA) içerisinde yaşayan bireyler e-posta ile şu adrese: euprivacydpo@msd.com
- Bunun dışında: e-posya yoluyla şuraya:msd_privacy_office@msd.com
- Posta mektubu ile şuraya: Gizlilik Ofisi, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, ABD 19454.
- Çalışanların ve yüklenicilerin, şirketimizin gizlilik uygulamaları ile ilgili sorular, şikayetler ve endişeler hakkında hemen Global Gizlilik Ofisine veya kendi iş alanları için belirlenmiş olan Gizlilik Yöneticisine bildirimde bulunması gerekmektedir.
- Global Gizlilik Ofisi, ister doğrudan çalışanlardan alınmış olsun ister düzenleyici kuruluşlar, hesap sorulabilirlik ajansları ve diğer devlet makamları dahil olmak üzere ancak bunlarla sınırlı olmaksızın başka bireylerden alınmış olsun, şirketimizin gizlilik uygulamaları ile ilgili soruları, şikayetleri ve endişeleri inceleyecek ve soruşturacak veya soruşturmak için Etik, Hukuk ve/veya Uyum Ofisi ile birlikte çalışacaktır. Bir Yasa veya üçüncü taraf başvuru sahibi daha kısa bir süre içinde karşılık talep etmediği sürece veya aynı sırada devam etmekte olan bir devlet soruşturması gibi koşulların daha uzun bir süre gerektirmemesi halinde, şirketimize soru, şikayet veya endişe bildiren birey veya kuruluşa otuz (30) takvim günü içinde yanıt vereceğiz ve diğer durumda ise bireye veya üçüncü taraf başvuru sahibine olanaklı olan en kısa sürede gecikmeye neden olan koşulların genel özelliği hakkında yazılı olarak bildirimde bulunacağız.
- Bir gizlilik düzenleyici makamının tüm sorgularında, denetlemelerinde veya soruşturmalarında Global Gizlilik Ofisi, Hukuk veya Uygunluk bölümü ile koordinasyon içinde iş birliği gösterecektir.
-
Şirketimiz ile şikayette bulunan kişi arasında çözümlenemeyen şikayetler için şirketimiz anlaşmazlıkların bu Politika uyarınca çözümlenmesi için şikayetlerin soruşturulmasında ve çözümlenmesinde aşağıdaki anlaşmazlık çözümleme prosedürlerine katılmayı kabul etmiştir ancak, her an, EEA’da ikamet eden bireyler veya Kişisel Bilgileri EEA’nın veri koruma Yasasına tabi olan ve EEA’nın dışına aktarılmış olan bireyler aynı zamanda aşağıdaki 3.f standardını da kullanabilir:
- Şirketimiz, insan kaynakları faaliyetleri ile ilgili olan ve EEA ve Birleşik Krallık’tan A.B.D.’ye bir istihdam ilişkisi kapsamında aktarılan Kişisel Bilgiler ile ilgili anlaşmazlıklar için yine ilgili AB veri koruma makamı paneli ile iş birliği yapmayı taahhüt etmektedir.
- İsviçre’den ABD’ye bir istihdam ilişkisi bağlamında insan kaynakları faaliyetleri ile ilgili Kişisel Bilgilerin aktarımını içeren anlaşmazlıklar için, şirketimiz İsviçre FDPIC ile iş birliği yapmayı taahhüt etmektedir.
- Şirketimizin Asya Pasifik Ekonomik iş birliği (“APEC”) Sınır Ötesi Gizlilik Kuralları (“CBPR’ler”) ile uyumu uyarınca Kişisel Bilgilerin APEC Ekonomileri arasındaki aktarımı ile ilgili anlaşmazlıklar için, şirketimiz anlaşmazlıkların Hesap Verebilirlik Temsilcimiz, BBB Ulusal Programları tarafından çözümlenmesini kabul etmiştir. Katılımımızın kapsamı hakkında daha fazla bilgi almak veya BBB Ulusal Programları aracılığıyla bir gizlilik talebi göndermek için lütfen bu sayfanın altında bulunan resmi mührü tıklayın.
- İnsan dışı kaynak faaliyetleriyle ilgili Kişisel Bilgilerin AB-ABD Veri Gizliliği Çerçeve (DPF) programı, DPF’nin İngiltere Eki ve İsviçre-ABD Veri Gizliliği Çerçeve programı üzerinden aktarımını içeren anlaşmazlıklar için şirketimiz, bağımsız bir uzlaştırma mekanizması olan ve BBB National Programs’ın işlettiği Veri Gizliliği Çerçeve Hizmetleri tarafından (ücretsiz olarak) anlaşmazlık çözümünü kabul etmiştir. Şikayetinizin alındığı hakkında zamanında bilgilendirme almazsanız veya şikayetinizin memnun edici bir şekilde çözülmemesi halinde daha fazla bilgi edinmek ve şikayette bulunmak için lütfen https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers adresini ziyaret edin.
- Bu bölümde açıklanan adımlar yoluyla çözülemeyen AB-ABD Veri Gizliliği Çerçeve (DPF) programı, DPF’nin İngiltere Eki ve İsviçre-ABD Veri Gizliliği Çerçeve programı kapsamında ortaya çıkan her türlü anlaşmazlık için bazı koşullar altında bireyler, diğer çözüm mekanizmalarının çözemediği kalan taleplerinden bazıları için bağlayıcı tahkim başlatabilir. Bkz. https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2.
-
EEA’da ikamet eden tüm bireyler veya Kişisel Bilgileri EEA’nın veri koruma Yasası’na tabi olan ve EEA’nın dışına aktarılmış olan ve bilgileri bu Politika uyarınca işlenen bireyler, bu politika uyarınca haklarının ihlal edilmesi karşısında çözüm bulmak için hukuki işlem başlatma hakkı (yukarıda Bölüm 2’de belirtildiği gibi) ve söz konusu ihlalden ortaya çıkan zarar için tazminat alma hakkı dahil olmak üzere bu Politika uyarınca her an bu politikanın gerekliliklerini üçüncü taraf lehtarlar olarak uygulatma hakkına sahiptir. EEA’da ikamet eden bireyler veya Kişisel Bilgileri EEA’nın veri koruma Yasası’na tabi olan ve EEA’nın dışına aktarılmış olan bireyler (açıklık sağlamak amacı ile ABD’ye de dahil) bu Politika uyarınca Kişisel Bilgileri EEA’dan dışarıya aktarmaktan sorumlu olan Şirket yan kuruluşuna karşı aşağıdaki makamların nezdinde dava açabilir veya şikayette bulunabilir: şurada:
- EEA’da bulunan Verileri Dışa Aktaran’ın yargı yetkisi, veya
- Avrupa Veri Koruma Görevlimizin bulunduğu ülkenin yargı yetkisi veya,
- Avrupa Veri Koruma Görevlimizin bulunduğu ülkenin yargı yetkisi veya
- BCR’miz konusunda talimat veren Baş Veri Koruma Yetkililerimiz: Fransız CNIL.
- Bir Yasa veya üçüncü taraf başvuru sahibi daha kısa bir süre içinde karşılık talep etmediği sürece veya koşulların daha uzun bir süre gerektirmemesi halinde, şirketimize soru, şikayet veya endişe bildiren kişiye veya kuruluşa şirketimiz otuz (30) takvim günü içinde yanıt verecektir ve diğer durumda ise bireye veya üçüncü taraf başvuru sahibine yazılı olarak bildirimde bulunulacaktır
-
Şirketimizin bu Politikaya tabi olan tüm iştiraklerinin listesini talep etmek dahil olmak üzere bu Politika kapsamı içinde hakkında Kişisel Veri işlediğimiz herhangi bir birey şirketimize her an bir soru, şikayet veya endişe iletebilir. Çalışanlarımızın ve şirketimiz adına çalışan başka kişilerin geçerli bir Yasanın kendilerinin bu Politikaya uymasını engellediğine inanması için bir nedenleri olduğu zaman hemen bildirimde bulunmasını bekleriz. Bir birey tarafından yönetilen bir soru, şikayet veya endişe veya bir çalışan veya şirketimiz adına çalışan başka bir kişi tarafından gönderilen bir bildirim Global Gizlilik Ofisine gönderilmelidir:
- Gizlilik değerlerimizi ve standartlarımızı ön planda tutmaktan sorumluyuz.
-
Doğrulanmış bir Gizlilik Vakası’na veya Güvenlik Vakası’na yol açan bir hareketten sorumlu olan Şirketimizin iştiraki Gizlilik Vakası’ndan veya Güvenlik Vakası’ndan ortaya çıkan herhangi bir tazminat talebinin tutarından veya para cezasından veya cezadan mali olarak sorumludur.
- Global Gizlilik Ofisinin koordinasyonu ile ve onun talimatı altında, Avrupa Veri Koruma Görevlisi, bu Politikanın EEA’da ikamet eden bireyleri veya Kişisel Bilgileri EEA’nın veri koruma Yasasına tabi olan ve EEA’nın dışına aktarılmış olan bireyleri etkileyecek şekilde şirketimizin EEA dışındaki iştirakleri tarafından ihlal edildiği iddialarını ele almak üzere gerekli önlemlerin alınmasını sağlamaktan sorumludur. Gerekli olduğu zaman, Merck, Sharp & Dohme (Europe) Inc., A.B.D -Belçika Şubesi (“MSD Europe”) bu Politikanın EEA’da ikamet eden bireyleri veya Kişisel Bilgileri EEA’nın veri koruma Yasasına tabi olan ve EEA’nın dışına aktarılmış olan bireyleri etkileyecek şekilde ihlal edilmesi yüzünden verilen para cezalarını, cezaları veya tazminatları ödemekten sorumludur. MSD Global Gizlilik Ofisinin ve şirketimizin iddia edilen ihlalden sorumlu olan EEA dışındaki iştirakinin desteği ile, Avrupa Veri Koruma Görevlisi, şirketimizin iddia edilen ihlalden sorumlu olmadığını ortaya koymaktan sorumlu olacaktır. Para cezasını, cezayı veya tazminatı gerektiren davranış için şirketimizin başka bir iştiraki sorumlu olduğu zaman söz konusu iştirakin MSD Europe tarafından ödenen tüm tutarı MSD Europe’a hemen geri ödemesi istenebilir. Şirketimizin EEA dışındaki bir iştiraki bu Politikayı ihlal ettiği takdirde EEA’daki mahkemeler veya veri koruma makamları yargı yetkisine sahip olacaktır ve etkilenen bireyler Kişisel Bilgileri EEA’dan dışarıya aktarmaktan sorumlu Şirket yan kuruluşu karşısında yukarıda Bölüm 3.f.’de belirtilen haklara ve çözümlere sahip olacaktır.
- Global Gizlilik Ofisinin koordinasyonu ile ve onun talimatı altında, Merck Sharp & Dohme LLC. bu Politikanın EEA dışında ikamet eden bireyleri etkileyecek şekilde ihlal edildiği iddialarını ele almak üzere gerekli önlemlerin alınmasını sağlamaktan ve, gerekli olduğu zaman, bu Politikanın EEA dışında ikamet eden bireyleri veya Kişisel Bilgileri EEA’nın veri koruma Yasasına tabi olmayan bireyleri etkileyecek şekilde ihlal edilmesi yüzünden verilen para cezalarını, cezaları veya tazminatları ödemekten sorumludur. Para cezasını, cezayı veya tazminatı gerektiren davranış için şirketimizin başka bir iştiraki sorumlu olduğu zaman söz konusu iştirakin Merck Sharp & Dohme LLC. tarafından ödenen tüm tutarı Merck Sharp & Dohme LLC.’a hemen geri ödemesi istenebilir.
-
Doğrulanmış bir Gizlilik Vakası’na veya Güvenlik Vakası’na yol açan bir hareketten sorumlu olan Şirketimizin iştiraki Gizlilik Vakası’ndan veya Güvenlik Vakası’ndan ortaya çıkan herhangi bir tazminat talebinin tutarından veya para cezasından veya cezadan mali olarak sorumludur.
Nezaret Etme ve İzleme
Düzenleme makamlarına ve diğer paydaşlara şirketimizin etik ve sorumlu gizlilik uygulamalarına bağlı kalma sorumluluğu bulunduğu güvencesini vermek için şirket bir Gizlilik Yetkilisi başkanlığında ve belirlenmiş bir Global Gizlilik Ofisi (GPO), atanmış bir AB DPO, yasa veya yerel makamlar tarafından gerekli görüldüğü zaman Ülke DPO’ları ve Gizlilik Yöneticileri içeren geniş ölçekli bir nezaret ve izleme gurubu bulundurmaktadır ve bu kişiler Kıdemli Liderler tarafından atanmakta olup Global Gizlilik Ofisi ile kendi çalıştıkları kuruluş alanı arasında irtibat görevlileri olarak hareket etmektedir.
Şirketimiz bu Politikanın ve APEC CPBR’ler dahil söz konusu Yasaların gerekliliklerine uygunluğunun periyodik şekilde doğrulanması için, Yasalar uyarınca kendisine karşı sorumlu olduğu Gizlilik Hesap Sorulabilirlik Ajanslarına güvenecektir.
Şirketin bu Politikaya tabi olan tüm politikalar, prosedürler, standartlar ve rehberler dahil olmak üzere bu Politikaya uyduğunun doğrulanması için Global Gizlilik Ofisi tarafından yönetilen güvence incelemelerine ek olarak iç ve dış denetleme ve güvence ekipleri uygunluk incelemeleri yapacaktır. Denetleme ve güvence ekipleri tarafından gözlemlenen açıkları çözümlemek için düzeltici ve önleyici eylem planları geliştirilecek ve uygulanacaktır. Denetleme Programının sonuçları, bunları bu Politikada açıklanan şekilde rapor etmekten sorumlu olan Gizlilik Yetkilisine, ilgili DPO’ya ve Gizlilik ve Veri Koruma Kuruluna iletilecektir.
Bu Politikayı onaylamış olan veya bu Politika uyarınca şirketin uygulamaları üzerinde yargı yetkisine sahip olan Gizlilik ve Veri Koruma Makamları bizim ona uygunluğumuzu doğrulama hakkına sahiptir. Bu yetkili makamların bu Politikanın yorumlanması ve uygulanması ile ilgili öğütlerine uyacağız.
Bilmeniz Gereken Terimler
- Anonimleştirilmiş. Kişisel Bilgilerin tek başına veya beraberce bir bireyi tanımlamak, yerini belirlemek veya iletişim kurmak için geri çevrilemez şekilde kullanılamaz duruma getirilmesi amacı ile değiştirilmesi, kısaltılması, bozulması veya başka şekilde redakte edilmesi veya tadil edilmesi.
- Yasa. Şirketimizin faaliyet gösterdiği veya Kişisel Bilgilerin şirketimiz tarafından veya onun adına işlendiği herhangi bir ülkedeki geçerli tüm yasalar, kurallar, düzenlemeler ve yasa gücünde olan mahkeme emirleri veya görüşler. AB Bağlayıcı Kurumsal Kuralları (“BCR”), Asya Pasifik Ekonomik İşbirliği (“APEC”) Sınır Ötesi Gizlilik Kuralları (“CBPR’ler”), ABD Federal Ticaret Komisyonunun soruşturma ve yaptırım uygulama yetkileri kapsamındaki AB-ABD Veri Gizliliği Çerçeve (DPF) programı, DPF’nin İngiltere Eki ve İsviçre-ABD Gizlilik Veri Gizliliği Çerçeve programı dahil olmak üzere şirketimizin kendisi kapsamında onaylandığı ve belgelendirildiği tüm gizlilik çerçeveleri buna dahildir.
- Şirketimiz. Şirketimizin taraf olduğu ortak girişimler hariç olmak üzere Rahway, NJ, ABD’deki Merck & Co., Inc., ve onun dünya genelindeki ardılları, iştirakleri ve bölümleri.
- Kişisel Bilgiler. Bir bireyin kimliğini tespit eden ya da kimliğini tespit etmek, konumunu belirlemek, izlemek ya da iletişim kurmak için kullanılabilecek veriler de dahil olmak üzere kimliği tespit edilmiş ya da tespit edilebilir bir birey ile ilgili her türlü veri. Kişisel bilgiler hem ad, kimlik numarası ya da benzersiz iş unvanı gibi doğrudan kimlik tespit edilebilir verileri hem de doğum tarihi, benzersiz cep telefonu ya da giyilebilir cihaz tanımlayıcı, telefon numarası ve ayrıca anahtar ile şifrelenmiş veriler, IP adresi ya da hizmetler veya ürünleri sunmak için toplanabilecek herhangi bir kişisel faaliyet, davranış ya da tercih gibi dolaylı kimlik tespit edilebilir verileri içerir.
- Gizlilik Vakası. Bu Politika’nın veya bir gizlilik veya veri koruma yasasının bir ihlalidir ve bir Güvenlik Vakası’nı içerir. Bir gizlilik vakası meydana gelip gelmediği ve bunun Kişisel Veri İhlali konumuna yükseltilmesi ile ilgili kararlar Global Gizlilik Ofisi, Bilgi Teknolojisi Risk Yönetimi ve Güvenliği (ITRMS) ve Genel Hukuk Danışmanı Ofisi tarafından alınacaktır.
- İşleme. Toplama, kaydetme, düzenleme, depolama, erişme, uyarlama, değiştirme, ulaşma, başvurma, kullanma, değerlendirme, analiz etme, raporlama, paylaşma, ifşa etme, yayma, aktarma, kullanıma sunma, eşleştirme, birleştirme, engelleme, silme, kaldırma ya da imha etme dahil ancak bunlarla sınırlı olmamak üzere otomatik olarak ya da otomatik olmadan kişiler hakkındaki bilgiler üzerinde gerçekleştirilen her türlü işlem ya da işlem seti.
- Kişisel Veri İhlali. Kişisel Bilgilerin kaza sonucu veya yasa dışı şekilde imha edilmesi, kaybolması, değiştirilmesi, yetkisiz şekilde açıklanması veya onlara erişilmesi sonucunu veren bir güvenlik ihlali veya şirketimizin bunların olduğuna makul şekilde inanması. Bu Politika’yı ihlal etme amacı olmadan şirketimiz tarafından veya şirketimiz adına Kişisel Bilgiler’e erişilmesi, erişilen Kişisel Bilgilerin daha sonra yalnızca bu Politika’nın izin verdiği ölçüde kullanılması ve açıklanması, bir Kişisel Veri İhlali oluşturmaz.
- Hassas Bilgiler. Kişiler hakkında sağlık, genetik, biyometrik, ırk, etnik köken, din, politik ya da felsefi fikirler ya da inançlar, adli geçmiş, hassas coğrafi konum bilgileri, banka ya da diğer finansal hesap numaraları, devlet tarafından düzenlenmiş kimlik numaraları, erişkin olmayan çocuklar, cinsel yaşam, cinsel yönelim, sendika üyeliği, sigorta, sosyal güvenlik ve iş veren ya da devlet tarafından düzenlenen diğer sosyal yardımlar dahil olmak ancak bunlarla sınırlı olmamak üzere yasa tarafından hassas olarak tanımlanan bilgiler dahil doğal olarak bireylerin potansiyel zarar görme riskini taşıyan her türlü bilgi.
- Üçüncü taraf. Şirketimizin sahip olmadığı veya şirketimizin çoğunluk hissesine sahip olmadığı veya şirketimiz tarafından istihdam edilmiş olmayan herhangi bir tüzel kişilik, birlik veya kişi. İşleme sırasında şirketimizin bir iştirakinin şirketimizin bir veya daha çok iştirakine destek sağladığı koşullar dahil olmak üzere, bu Politika’da başka türlü belirtilmediği sürece, şirketimizin hiçbir iştirakinin veya bölümünün bu politika uyarınca üçüncü bir tarafın gerekliliklerini yerine getirmesi gerekmeyecektir çünkü tüm iştiraklerin veya bölümlerin insanlar hakkındaki bilgileri bu Politika uyarınca işlemesi gerekmektedir.
Bu Politikadaki Değişiklikler
Bu Politika geçerli Yasa’nın gerekleri ile tutarlı şekilde zaman zaman değiştirilebilir. Bu Politika önemli bir şekilde değiştirildiğinde, 60 gün boyunca şirketimizin gizlilik web sayfasında (https:/www.msdprivacy.com/) bir bildirim ilan edilecektir.