POLITICA GLOBALĂ PRIVIND REGULILE DE CONFIDENŢIALITATE TRANSFRONTALIERĂ

În cadrul Merck & Co., Inc., Kenilworth, NJ, SUA, a carei denumire comerciala este MSD inafara teritoriului SUA si al Canadei, misiunea noastră de a salva și îmbunătăți vieți se extinde la respectarea confidențialității și protecția datelor cu caracter personal.

Ne străduim să ne desfășurăm activitatea în conformitate cu valorile noastre în ceea ce privește confidențialitatea deoarece considerăm că acestea sunt o dovadă a angajamentului nostru ferm față de practicile etice și responsabile. Admitem că inovația și noua tehnologie implică evoluții permanente în materie de riscuri, așteptări și legislație, context în care respectăm standardele de responsabilitate în ceea ce privește confidențialitatea și avem drept scop adaptarea cu promptitudine a modului de aplicare a acestor standarde ca răspuns la schimbările menționate.

Prezenta politică definește standardele noastre globale pentru gestionarea și protecția de către sau în numele companiei noastre a datelor cu caracter personal provenite direct sau indirect din orice țară din Spațiul Economic European („SEE”), din Elveția sau din economiile membre ale Cooperării Economice Asia-Pacific („APEC”), și care sunt transferate în orice altă țară, inclusiv transferurile între SEE și APEC. Ea descrie angajamentele noastre esențiale care susțin conformitatea cu certificarea APEC privind regulile de confidențialitate transfrontalieră, regulile noastre corporative obligatorii („BCRs”) care au fost aprobate în cadrul Uniunii Europene și propria noastră certificare în cadrul Scutului de confidențialitate UE-SUA. Acesta se aplică operațiunilor noastre din fiecare țară, oricăror activități care implică informații despre persoane și pe care le derulăm în fiecare filială și în fiecare divizie (chiar și prin orice succesori ai afacerii noastre), inclusiv, dar fără a se limita la activitățile de cercetare, producție, comerciale, de sprijin corporativ și la servicii și soluții de asistență medicală, precum și transferurile de date necesare pentru a efectua aceste activități, inclusiv, dar fără a se limita la:

  • Cercetare și producție evaluarea nevoilor și oportunităților de inovare în domeniul medical și al sănătății; inițierea, gestionarea și finanțarea studiilor de cercetare; evaluarea și implicarea cercetătorilor, a membrilor comitetelor științifice și de etică și a partenerilor de afaceri pentru a sprijini studiile noastre de cercetare și dezvoltarea produselor noastre; recrutarea pentru studiile de cercetare; evaluarea siguranței, eficacității și calității produselor noastre experimentale și comercializate; respectarea obligațiilor privind siguranța și calitatea produselor, inclusiv manipularea și raportarea reacțiilor adverse și a reclamațiilor privind calitatea produselor; depunerea pentru aprobare și înregistrare a produselor noastre la autoritățile de reglementare din domeniul sănătății și respectarea cerințelor legale, de reglementare sau etice asociate;
  • Activități comerciale: analiza piețelor pentru produsele noastre; publicitatea, marketingul, vânzarea, distribuirea și livrarea produselor noastre; comunicarea și relaționarea cu clienții cadre medicale, cu plătitorii de servicii medicale, cu pacienții și alți utilizatori finali ai produselor noastre, precum și cu persoanele care îi îngrijesc pe cei care folosesc produsele noastre; sponsorizarea și organizarea de evenimente; evaluarea și implicarea partenerilor de afaceri în sprijinirea activităților noastre comerciale și respectarea cerințelor legale, de reglementare sau etice asociate;
  • Sprijin corporativ: recrutarea, angajarea, gestionarea, dezvoltarea, comunicarea cu angajații, precum și compensarea acestora; administrarea de beneficii pentru angajați și pentru persoanele aflate în întreținerea lor; efectuarea de analize de performanță și talent în rândul angajaților; furnizarea de servicii de formare și alte programe de învățare și dezvoltare; derularea de proceduri disciplinare și revendicative în ceea ce îi privește pe angajați; gestionarea eticii și a preocupărilor legate de confidențialitate și efectuarea de investigații; gestionarea și securizarea activelor noastre fizice și virtuale și a infrastructurii; procurarea și plata bunurilor și serviciilor; respectarea angajamentelor noastre în domeniul protecției mediului, al sănătății și siguranței, precum și al celor de responsabilitate corporativă; relaționarea cu mass-media și respectarea cerințelor legale, de reglementare sau etice asociate.
  • Servicii și soluții de asistență medicală: îmbunătățirea valorii serviciilor de îngrijire furnizate pacienților din întreaga lume prin servicii și soluții bazate pe dovezi și axate pe servicii clinice, soluții de implicare și analize în domeniul sănătății.

Prezenta politică se aplică, totodată, tuturor persoanelor ale căror informații le prelucrăm, inclusiv, dar fără a se limita la cadre medicale și alți clienți pe care îi avem; potențiali, actuali și foști angajați, precum și persoanele aflate în întreținerea lor, pacienți, îngrijitori, cercetători și participanți la studii de cercetare, membri ai comitetelor științifice și de etică, parteneri de afaceri, investitori și acționari, oficiali guvernamentali și alte părți interesate.



Toți angajații companiei și managerii de top au responsabilități de bază în ceea ce privește confidențialitatea, pe care trebuie să le respecte.

Admitem faptul că erorile involuntare și judecățile greșite legate de protecția informațiilor despre persoane pot genera riscuri de confidențialitate pentru persoane fizice și riscuri reputaționale, operaționale, financiare și de conformitate pentru compania noastră. Vom instrui corespunzător, cu privire la această politică, toti angajații noștri, precum și alți membri ai personalului care au acces permanent sau regulat la datele cu caracter personal, care sunt implicați în colectarea datelor sau în dezvoltarea instrumentelor utilizate pentru a prelucra datele cu caracter personal. Toți angajații noştri, precum și terții care prelucrează informații despre persoane pentru compania noastră, sunt responsabili pentru înțelegerea și respectarea obligațiilor care le revin în temeiul prezentei politici și al legislației aplicabile.



Valorile și standardele noastre în ceea ce privește confidențialitatea

Respectăm valorile noastre privind confidențialitatea în toate activitățile care implică oameni, inclusiv în modul de aplicare a standardelor noastre în domeniul confidențialității. Cele patru valori ale noastre privind confidențialitatea sunt:

Respect Încredere Prevenirea prejudiciilor Conformitate
Admitem faptul că preocupările legate de confidențialitate se referă adesea la cine suntem noi în esență, la modul în care privim lumea și la modul în care ne definim, motiv pentru care ne străduim să respectăm perspectivele și interesele indivizilor și comunităților și să fim corecți și transparenți în utilizarea și schimbul de informații despre aceștia. Suntem conștienți că încrederea este vitală pentru succesul nostru și de aceea ne străduim să construim și să menținem încrederea clienților, a angajaților și a pacienților noștri, precum și a altor părți interesate, în ceea ce privește modul în care le respectăm dreptul la confidenţialitate și le protejăm informațiile personale. Înțelegem că utilizarea abuzivă a informațiilor personale poate genera prejudicii, atât tangibile, cât și intangibile, pentru persoanele fizice, motiv pentru care vom încerca să prevenim prejudiciile de ordin fizic, financiar, reputațional sau de altă natură pentru cei în cauză. În timp am învățat că legile și reglementările nu pot ține întotdeauna pasul cu schimbările rapide în ceea ce privește tehnologia, fluxurile de date și schimburile asociate în raport cu riscurile și așteptările privind confidențialitatea, de aceea ne străduim să respectăm spiritul și litera legilor și reglementărilor privind confidențialitatea și protecția informațiilor, într-o manieră care să determine coerență și eficiență operațională pentru activitatea noastră comercială la nivel mondial.


1. Integrăm standardele noastre privind confidențialitatea în toate activitățile, procesele, tehnologiile și relațiile cu terții care utilizează date cu caracter personal. Proiectăm controale privind confidențialitatea în cadrul proceselor și tehnologiilor noastre, controale care sunt în concordanță cu valorile și standardele noastre privind confidențialitatea, precum și cu legislația aplicabilă în domeniu. Cele 8 principii ale noastre privind confidențialitatea prezentate mai jos rezumă standardele noastre de confidențialitate și cerințele de bază pentru procesele, activitățile și tehnologiile de asistență la un nivel ridicat.

Principiu privind confidențialitatea Angajamentele noastre de bază
Necesitatea – înainte de colectarea, utilizarea sau schimbul de date cu caracter personal, vom defini și documenta scopurile de afaceri specifice, legitime, pentru care aceste informații sunt necesare.
  • Determinăm și documentăm cât timp sunt necesare datele cu caracter personal pentru scopurile de afaceri definite și pentru cerințele legale aplicabile.
  • Nu colectăm, nu utilizăm și nu partajăm mai multe date cu caracter personal decât este necesar și nici nu le păstrăm într-o formă identificabilă mai mult timp decât este nevoie pentru scopurile de afaceri definite și pentru cerințele legale aplicabile
  • Depersonalizăm informațiile atunci când cerințele de afaceri impun ca datele despre activități sau procese să fie păstrate pentru o perioadă mai lungă de timp.
  • Ne asigurăm că aceste cerințe de necesitate sunt incluse în orice tehnologie de asistență și că ele sunt comunicate terților care susțin activitatea sau procesul.
Corectitudinea – nu prelucrăm date cu caracter personal în moduri care ar putea fi considerate incorecte față de persoanele la care se referă aceste informații.
  • Stabilim dacă propunerile privind colectarea, utilizarea sau alt tip de prelucrare a datelor cu caracter personal prezintă unrisc probabil și/sau grav de prejudiciere tangibilă sau intangibilă a persoanelor fizice, în conformitate cu valoarea noastră privind confidențialitatea de Prevenire a prejudiciilor.
  • Stabilim dacă propunerile privind colectarea, utilizarea sau alt tip de prelucrare a datelor cu caracter personal prezintă unrisc probabil și/sau grav de prejudiciere tangibilă sau intangibilă a persoanelor fizice, în conformitate cu valoarea noastră privind confidențialitatea de Prevenire a prejudiciilor.
  • Acolo unde riscul pare să depășească beneficiile oferite persoanelor fizice, vom prelucra informațiile sensibile sau datele cu caracter personal doar cu consimțământul explicit al celor în cauză,așa cum este cerut sau permis în mod expres de legislația aplicabilăsau după cum este aprobat în mod expres de o autoritate competentă de reglementare.
  • Documentăm analiza de risc și proiectăm în cadrul tehnologiilor de asistență orice mecanisme necesare pentru obținerea și documentarea dovezilor consimțământului respectiv.
Transparența – nu prelucrăm date cu caracter personal în moduri sau în scopuri care nu sunt transparente.
  • Toate persoanele ale căror date cu caracter personal sunt prelucrate în conformitate cu prezenta politică au dreptul la o copie a prezentului document. Copii ale prezentei politici vor fi disponibile online la adresa Angajamentul nostru privind confidențialitatea. Biroul global de Confidențialitate MSD va furniza, la cerere, copii electronice și/sau pe suport de hârtie ale prezentei politici, la adresele enumerate în Secțiunea 3.a. de mai jos.
  • În situația în care datele cu caracter personal sunt colectate direct de la persoane fizice, anterior colectării informațiilor, printr-o notificare de confidențialitate clară, vizibilă și ușor accesibilă sau prin mijloace similare, acestea sunt informate, cu privire la (1) entitatea sau entitățile responsabile cu prelucrarea, (2) datele de contact ale Responsabilului principal pentru protecția datelor și/sau ale responsabilului regional/local cu protecția datelor, (3) ce date vor fi colectate, (4) scopurile în care vor fi utilizate, (5) temeiul legal pentru prelucrarea noastră, (6) cu cine vor fi partajate, inclusiv orice cerere de dezvăluire a unor date cu caracter personal ca răspuns la solicitările legale ale autorităților guvernamentale, (7) dacă și cum va transfera MSD datele cu caracter personal în alte țări, inclusiv țările relevante în care pot fi transferate, (8) perioada în care vor fi păstrate, sau criteriile în baza cărora am luat această hotărâre, (9) modul în care poate fi adresată o întrebare, ridicată o problemă sau în care pot fi exercitate drepturile legate de datele lor cu caracter personal, (10) cum pot retrage consimțământul acordat, (11) dreptul lor de a înainta o plângere la autoritatea de supraveghere, (12) orice obligație de a furniza datele cu caracter personal și consecințele nerespectării unei astfel de obligații, (13) orice proces decizional automatizat, inclusiv crearea de profiluri, pe care îl vom desfășura și (14) un link către prezenta politică, acolo unde acest lucru este posibil și oportun. Notificările noastre detaliate privind confidențialitatea pentru majoritatea părților interesate sunt disponibile online la adresa Angajamentul nostru privind confidențialitatea
  • În situația în care datele cu caracter personal sunt obținute prin observare, senzori sau alte mijloace indirecte, ar putea să nu fie posibilă furnizarea unei notificări privind confidențialitatea direct către individ, în momentul colectării informațiilor. În astfel de cazuri, asigurăm transparența pentru persoanele fizice prin alte mijloace, cum ar fi postarea sau imprimarea pe dispozitivul sau materialele asociate cu dispozitivul care obține informațiile.
  • În situația în care datele cu caracter personal sunt colectate prin intermediul unui site web, al unei aplicații mobile sau al altor aplicații sau resurse online, aplicăm standardele tehnologice specifice stabilite în Politica noastră privind confidențialitatea pe internet și în Angajamentul nostru privind confidențialitatea în cazul utilizării de cookies, pentru a asigura faptul că cerințele de a fi transparenți, în conformitate cu prezenta politică, au fost îndeplinite
  • În situația în care datele cu caracter personal sunt colectate din alte surse și nu în mod specific sub îndrumarea companiei noastre, anterior obținerii informațiilor, vom verifica în scris că furnizorul lor a informat persoanele fizice cu privire la modalităţile și scopurile în care compania noastră intenționează să utilizeze datele respective. Dacă verificarea scrisă nu poate fi obținută de la furnizor, folosim doar informații depersonalizate sau, înainte de utilizarea datelor cu caracter personal, printr-o notificare de confidențialitate sau alte mijloace similare, vom informa persoanele vizate cu privire la (1) entitatea sau entitățile companiei noastre responsabile cu prelucrarea informației, (2) datele de contact ale Responsabilului principal pentru protecția datelor și/sau ale responsabilului regional/local cu protecția datelor, (3) ce informații intenționează să utilizeze compania noastră, (4) scopurile în care intenționăm să le folosim, (5) temeiul legal pentru prelucrarea noastră, (6) cu cine vor fi partajate, (7) dacă și cum va transfera MSD datele cu caracter personal în alte țări, inclusiv țările relevante în care pot fi transferate, (8) cât timp intenționează compania noastră să le păstreze și criteriile în baza cărora vom lua această hotărâre, (9) modul în care poate fi adresată o întrebare, ridicată o problemă sau în care pot fi exercitate drepturile legate de datele lor cu caracter personal, (10) cum pot retrage consimțământul acordat, (11) dreptul lor de a înainta o plângere la autoritatea de supraveghere, (12) orice obligație de a furniza datele cu caracter personal și consecințele nerespectării unei astfel de obligații, (13) orice proces decizional automatizat, inclusiv crearea de profiluri, pe care îl vom desfășura și (14) un link către prezenta politică, acolo unde acest lucru este posibil și oportun.
  • Ne asigurăm că mecanismele de transparență necesare, inclusiv, acolo unde este posibil, mecanismele care susțin cererile privind drepturile individuale, sunt proiectate în cadrul tehnologiilor de asistență și că terții care susțin activitatea sau procesele noastre nu prelucrează informații despre persoane în moduri care sunt incompatibile cu ceea ce li s-a comunicat acestor persoane, printr-o notificare de confidențialitate sau alte mijloace verificabile, că de informații ne ocupăm noi și alte persoane care lucrează pentru noi.
Limitarea scopului – utilizăm datele cu caracter personal doar în conformitate cu principiile de transparență și necesitate.
  • În cazul în care sunt identificate noi scopuri legitime de afaceri pentru datele cu caracter personal colectate anterior, fie obținem consimțământul persoanei fizice pentru noua utilizarea a datelor cu caracter personal sau ne asigurăm că noul scop de afaceri este compatibil, inclusiv similar din punct de vedere material, cu un scopurile descrise într-o notificare de confidențialitate sau printr-un alt mecanism de transparență care a fost furnizat anterior persoanei fizice. Compatibilitatea se va baze pe (1) orice legătură între scopurile principale și scopurile nou propuse, (2) așteptările rezonabile ale persoanei fizice, (3) tipul de date cu caracter personal, (4) consecințele prelucrării ulterioare pentru persoana fizică și (5) măsurile de protecție pe care le-am implementat.
  • Nu aplicăm acest principiu informațiilor depersonalizate sau atunci când utilizăm datele cu caracter personal doar în scopuri de cercetare istorică și științifică, iar (1) un comitet de revizuire etică sau un alt examinator competent a stabilit că riscul unei astfel de utilizări în ceea ce privește confidențialitatea și alte drepturi ale persoanelor fizice este acceptabil (2) am pus în aplicare măsuri de protecție adecvate pentru a minimiza datele, precum pseudonimizarea și (3) sunt respectate toate celelalte legi aplicabile
  • Ne asigurăm că restricțiile privind limitarea scopului sunt proiectate în cadrul tuturor tehnologiilor de asistență, incluzând orice posibilități de raportare și partajare a datelor prin descărcare.
Calitatea informațiilor – păstrăm datele cu caracter personal exacte, complete și actualizate, în concordanță cu scopul pentru care au fost colectate.
  • Ne asigurăm că mecanismele de revizuire periodică a datelor sunt proiectate în cadrul tehnologiilor de asistență pentru a valida acuratețea informațiilor față de sursă și sistemele transfer prin descărcare.
  • Ne vom asigura că informațiile sensibile sunt validate ca fiind exacte și actuale, înainte de utilizarea, evaluarea, analiza, raportarea sau alt tip de prelucrare a lor care prezintă un risc de abuz față de persoanele de la care provin în cazul în care sunt utilizate date inexacte sau depășite.
  • În situația în care compania noastră sau terți care lucrează pentru noi aduc modificări datelor cu caracter personal, ne asigurăm că aceste modificări sunt comunicate persoanelor relevante în timp util în cazul în care acest lucru este posibil în mod rezonabil.
Securitatea – punem în aplicare măsuri de siguranță pentru a preveni pierderea, utilizarea abuzivă, accesul neautorizat, divulgarea, modificarea sau distrugerea datelor cu caracter personal și a informațiilor sensibile.
  • Am implementat un program complet de securitate a informațiilor și aplicăm controale de securitate care se bazează pe sensibilitatea informațiilor și nivelul de risc al activității, luând în considerare cele mai bune practici ale tehnologiei actuale și costurile de punere în aplicare. Politicile noastre de securitate funcționale includ, dar nu se limitează la acestea, standardele privind continuitatea în afaceri și recuperarea în caz de dezastru, criptarea, managementul identității și accesului, clasificarea informațiilor, managementul incidentelor de securitate a informațiilor, controlul accesului la rețea, securitatea fizică și gestionarea riscului.
Transferul de date – suntem responsabili de și menținem măsurile de protecție a confidențialității datelor cu caracter personal atunci când acestea sunt transferate către sau de la alte organizații sau în afara granițelor țării.
  • Noi transferăm date cu caracter personal în cadrul companiei dacă sunt îndeplinite următoarele cerințe:
    • (1) Noi transferăm date cu caracter personal în cadrul companiei dacă sunt îndeplinite următoarele cerințe: (1) partajarea este necesară pentru îndeplinirea scopului pentru care au fost colectate sau a altui interes legitim al companiei, și (2) scopul pentru care vor fi partajate și partajarea datelor sunt în conformitate cu notificarea privind confidențialitatea sau alt mecanism de transparență care a fost furnizat anterior persoanei fizice, în momentul în care datele cu caracter personal au fost colectate pentru prima dată, iar persoana fizică și-a dat consimțământul când a fost necesar, (3) atunci când una din filialele companiei noastre acționează exclusiv în numele unei alte filiale a companiei noastre pentru prelucrarea datelor cu caracter personal, (4) în cazul în care este prevăzut de lege, acele filiale ale companiei noastre vor executa un contract intern privind prelucrarea datelor, în conformitate cu Principiul 8 al acestei politici.
  • (2) Transferăm datele cu caracter personal către terți sau permitem prelucrarea lor de către aceștia doar în situația în care sunt îndeplinite următoarele cerințe și avem obligația să ne asigurăm că terții pe care îi angajăm vor respecta aceste cerințe:
    • În cazul în care rolul terțului este de a prelucra date cu caracter personal pentru sau în numele companiei noastre,înainte de a furniza date cu caracter personal către terți sau de a implica un terț, noi: (1) vom realiza o verificare prealabilă a confidențialității pentru a evalua practicile de confidențialitate și riscurile asociate cu acești terți, (2) vom obține din partea terților respectivi asigurări contractuale că vor prelucra datele cu caracter personal doar conform instrucțiunilor companiei noastre și în conformitate cu prezenta politică, inclusiv, dar fără limitare la toate cele 8 principii privind confidențialitatea și celelalte standarde stabilite în prezenta politică și legislația aplicabilă, că vor notifica compania noastră cu promptitudine cu privire la orice incident privind confidențialitatea, inclusiv orice incapacitate de a se conforma cu standardele stabilite în această politică și cu legislația aplicabilă, sau incident de securitate, că vor coopera pentru remedierea promptă a oricărui incident materializat și pentru abordarea drepturilor individuale prevăzute în Secțiunea 2 de mai jos, că nu vor angaja altă companie pentru a prelucra datele cu caracter personal, fără autorizația scrisă din partea noastră sau fără a implementa un acord care să impună obligații echivalente privind protecția datelor, că vor șterge sau ne vor returna toate datele cu caracter personal, după ce au încheiat furnizarea de servicii către noi sau la cererea noastră și că vor permite companiei noastre să verifice și să monitorizeze practicile lor pentru durata prelucrării, în scopul respectării acestor cerințe. În plus, în cazul în care terțul prelucrează date cu caracter personal care provin dintr-o țară sau un teritoriu cu o lege care limitează comunicarea unor astfel de date, ne vom asigura că transmiterea către terț îndeplinește cerințele pentru transferul transfrontalier de informații descris la punctul (3) de mai jos.
    • În situația în care rolul terțului este de a furniza companiei noastre date cu caracter personal, înainte de a obține astfel de date de la terțul în cauză, ne vom asigura că sunt îndeplinite cerințele de transparență pentru colectarea datelor cu caracter personal din alte surse și nu în mod specific sub îndrumarea companiei noastre și vom obține declarații contractuale din partea terțului că nu încalcă nicio lege sau drepturile oricărei terțe părți prin furnizarea către compania noastră a unor date cu caracter personal.
    • Dacă rolul terțului este de a primi de la noi informații pentru prelucrare care nu se realizează în mod specific sub îndrumarea companiei noastre,, înainte de a furniza informații terțului, ne vom asigura că informațiile au fost depersonalizate și vom obține garanții scrise din partea terțului că le va folosi numai în scopuri comerciale definite în acord și în conformitate cu legislația aplicabilă și că nu va încerca să reidentifice informațiile.
    • Dacă transferul către o terță parte este necesar pentru a proteja interesele legitime ale persoanei fizice sau ale companiei, informațiile pot fi transferate: (1) pentru a preveni frauda sau pentru a aplica sau proteja drepturile și proprietățile companiei, (2) pentru protejarea siguranței personale a angajaților noștri sau părților terțe, pe proprietatea noastră și (3) pentru a proteja activele noastre prin adoptarea de măsuri corective de securitate, dacă suspectăm, în mod rezonabil, că au avut loc activități ilegale sau abateri grave.
    • În cazul în care terțul este o țintă pentru achiziția totală sau a pachetului de control de către compania noastră,, (1) înainte de a încheia un acord pentru achiziția totală sau a pachetului de control al unui terț, vom realiza o verificare prealabilă privind confidențialitatea pentru a evalua practicile de confidențialitate și riscurile asociate cu achiziția totală sau a pachetului de control al terțului menționat și (2) vom încheia un acord de transfer de date care specifică termenii și condițiile în care datele cu caracter personal pot fi dezvăluite și obligațiile pe care le au în acest sens compania noastră și terțul în cauză.
    • Dacă rolul terțului este de a achiziționa toate sau o parte a activităților companiei noastre, înainte de partajarea oricăror date cu caracter personal în legătură cu cesiunea oricărei părți a activității companiei noastre, (1) vom încheia un acord de transfer de date care specifică termenii și condițiile în care datele cu caracter personal pot fi dezvăluite cumpărătorului, inclusiv limitările corespunzătoare în ceea ce privește utilizările permise ale acestora și conformitatea cu standardul stabilit prin această politică și cu legislația aplicabilă, (2) vom revizui, înainte de partajare, toate elementele informațiilor despre persoane în scopul evaluării cerințelor de partajare, (3) vom obține consimțământul pentru partajarea datelor cu caracter personal sau a informațiilor sensibile, în conformitate cu principiile prezentei politici în materie de transparență și limitare a scopului și (4) vom solicita terților să notifice compania noastră cu promptitudine privind orice incident de confidențialitate apărut, inclusiv incapacitatea de conformare cu standardele stabilite în această politică și cu legislația aplicabilă și să coopereze pentru remedierea promptă a oricărui incident materializat sau pentru stoparea prelucrării datelor cu caracter personal relevante.
  • (3) Transferăm date cu caracter personal în afara granițelor țării, inclusiv în Statele Unite ale Americii, prin intermediul sau în numele companiei noastre, în conformitate cu prezenta politică. Vom aplica prezenta politică transferurilor de date cu caracter personal provenite din orice altă țară sau teritoriu cu o legislație care limitează transferul unor astfel de date în plus față de respectarea tuturor cerințelor impuse de astfel de legi (inclusiv utilizarea oricăror mecanisme necesare pentru transferurile transfrontaliere).
Permis conform legii – prelucrăm date cu caracter personal doar în cazul în care au fost îndeplinite cerințele impuse de legislația aplicabilă.
  • În timp ce celelalte 7 principii privind confidențialitatea, precum și cerințele referitoare la drepturile individuale descrise mai jos, au menirea de a asigura faptul că majoritatea reglementărilor legislației privind confidențialitatea și protecția datelor care se aplică activității noastre din întreaga lume au fost îndeplinite, în unele țări, trebuie să îndeplinim cerințe suplimentare, printre care, fără limitare:
    • 1) Vom obține forme specifice de consimțământ pentru anumite prelucrări de date cu caracter personal, inclusiv, dar fără limitare la aprobarea prelucrării de către comitetele de întreprindere și alte sindicate, în situația în care acest lucru este necesar
    • 2) Vom înregistra prelucrarea de date cu caracter personal la și vom solicita aprobarea autorității de reglementare în domeniul legislației aplicabile privind confidențialitatea și protecția datelor, acolo unde acest lucru este solicitat;
    • 3) Vom oferi drepturi mai largi (de exemplu, de acces și de corecție) decât cele prevăzute în prezenta politică, în cazul în care acest lucru este impus;
    • 4) Vom limita și mai mult perioadele de păstrare a datelor cu caracter personal, acolo unde acest lucru este cerut;
    • 5) Vom încheia acorduri care conțin clauze contractuale specifice, inclusiv acorduri de transfer transfrontalier de date către terți, dacă acest lucru este necesar și
    • 6) Dacă este necesar, vom dezvălui informațiile cu caracter personal ca răspuns la solicitările transmise de autoritățile publice, conform legii, inclusiv pentru îndeplinirea cerințelor naționale privind securitatea sau aplicarea legii.
  • În cazul unui conflict între prezenta politică și o lege aplicabilă, va prevala acel standard care oferă o mai bună protecție a persoanelor fizice.

2. Vom aborda cu promptitudine cererile privind drepturile persoanelor fizice de a accesa, modifica, corecta sau șterge datele cu caracter personal, de a se opune prelucrării acelor date care le privesc sau de a exercita alte drepturi cu privire la datele lor cu caracter personal.

  • a. Accesul, corectarea, ștergerea și alte drepturi – În conformitate cu legislația din majoritatea țărilor în care ne desfășurăm activitatea, persoanele fizice au dreptul de a accesa datele cu caracter personal care se referă la ele și de a le modifica, a le corecta sau șterge pe cele care sunt inexacte, incomplete sau neactualizate. Vom onora toate cererile de a accesa, corecta și șterge datele cu caracter personal, provenite de la persoanele fizice, în conformitate cu secțiunea 3a de mai jos. În cazul în care o cerere de acces, corectare sau ștergere este reglementată printr-o lege aplicabilă, care oferă o mai mare protecție persoanelor fizice, ne vom asigura că sunt îndeplinite cerințele suplimentare ale legii respective.
    In unele țări, persoanele fizice pot avea alte drepturi cu privire la datele lor cu caracter personal, cum ar fi dreptul la restricționarea prelucrării, dreptul la opoziție (vezi, de asemenea, Secțiunea 2b de mai jos) și dreptul de a transfera datele unui alt furnizor de servicii (dreptul la portabilitatea datelor). Vom onora exercitarea drepturilor privind datele în conformitate cu legislația aplicabilă
  • b. Alegerea – În acord cu valorile noastre „Respect” și „Încredere” privind confidențialitatea, onorăm cererile individuale de respingere a prelucrării datelor cu caracter personal, inclusiv, dar fără limitare la renunțarea la programe sau activități la care au fost anterior de acord să participe, prelucrarea datelor cu caracter personal care îi privesc pentru comunicațiile prin marketing direct, comunicații care se bazează pe date cu caracter personal care îi privesc și care sunt transmise către ei, precum și orice evaluare sau decizii cu privire la acestea, care le pot afecta în mod semnificativ, prin utilizarea automatizării sau algoritmilor.
    • i. Cu excepția cazului în care este interzis prin lege, putem refuza cererea de alegere dacă o anumită cerere ar împiedica compania noastră în capacitatea sa de: (1) a respecta o lege sau o obligație de natură etică, ceea ce include situația în care ni se impune să dezvăluim informațiile cu caracter personal ca răspuns la solicitarea autorităților publice, inclusiv pentru îndeplinirea cerințelor naționale privind securitatea sau aplicarea legii, (2) a investiga, formula sau combate pretenții de natură juridică și (3) a pune în aplicare contracte, a gestiona relații sau a se angaja în alte activități economice permise, care sunt în conformitate cu principiile privind transparența și limitarea scopului și au fost puse în practică pe baza informațiilor despre persoanele în cauză. Vom documenta și comunica decizia solicitantului în termen de cincisprezece zile lucrătoare de la orice decizie de a refuza o cerere de alegere, în conformitate cu prezenta politică.

3. Vom răspunde prompt și escalada toate întrebările, reclamațiile, preocupările și orice incident potențial privind confidențialitatea sau securitatea

  • a. Orice persoană fizică ale cărei date cu caracter personal le prelucrăm în contextul aplicabilității prezentei politici poate adresa companiei noastre o întrebare, reclamație sau ne poate comunica o preocupare în orice moment, inclusiv solicitarea listei tuturor filialelor companiei noastre, care fac obiectul prezentei politici. Așteptăm ca angajații noștri și cei care lucrează în numele companiei noastre să transmită o notificare promptă în cazul în care au motive să creadă că o lege aplicabilă îi poate împiedica să respecte prezenta politică. Orice întrebare, reclamație sau preocupare semnalată de o persoană fizică sau orice notificare transmisă de către un angajat sau orice altă persoană care lucrează în numele companiei noastre, trebuie să fie adresate Biroului global de confidențialitate MSD:
    • i. Prin e-mail la adresa: euprivacydpo@msd.com
    • ii. Prin poștă la adresa: Biroul de confidențialitate, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, SUA 19454.
  • b. Angajații și contractorii sunt obligați să informeze cu promptitudine Biroul global de confidențialitate MSD sau responsabilul de confidențialitate desemnat pentru zona lor de activitate, cu privire la orice întrebări, reclamații sau preocupări legate de practicile de confidențialitate ale companiei noastre.
  • c. Biroul global de confidențialitate MSD va analiza și investiga sau va lucra cu Biroul de etică, Departamentul juridic și/sau Biroul de conformitate pentru a investiga toate întrebările, reclamațiile sau preocupările legate de practicile companiei noastre privind confidențialitatea, indiferent dacă sunt primite direct din partea angajaților sau a altor persoane sau dacă sunt primite prin terți, inclusiv, dar fără limitare la agențiile de reglementare, instituțiile responsabile și alte autorități guvernamentale. Vom răspunde persoanei fizice sau entității care a transmis o întrebare, reclamație sau preocupare, în termen de 30 (treizeci) de zile calendaristice, cu excepția situațiilor în care legea impune sau un terț solicită un răspuns într-o perioadă de timp mai scurtă sau dacă circumstanțele, cum ar fi o anchetă guvernamentală concomitentă, nu impun o perioadă de timp mai lungă, situație în care persoana sau solicitantul terț va primi o notificare scrisă cât mai curând posibil, luând în considerare caracterul general al circumstanțelor care contribuie la întârziere.
  • d. Biroul global de confidențialitate MSD va coopera cu Departamentul juridic și Biroul de conformitate în oferirea răspunsului la orice solicitare, inspecție sau investigație a unei autorități de reglementare în domeniul confidențialității.
  • e. Pentru reclamațiile care nu pot fi rezolvate între compania noastră și persoana care a transmis plângerea, am fost de acord să participăm la următoarele proceduri de soluționare în sensul investigării și clarificării reclamațiilor pentru soluționarea litigiilor în acord cu prezenta politică; cu toate acestea, în orice moment, persoanele fizice rezidente în SEE sau cei ale căror date cu caracter personal sunt supuse legii SEE privind protecția datelor și sunt transferate în afara SEE, pot, de asemenea, să se bazeze pe standardul 3.f. de mai jos:
    • i. pentru litigiile care implică toate datele cu caracter personal primite din Elveția de către noi, compania noastră a fost de acord să coopereze cu FDPIC din Elveția;
    • ii. pentru litigiile care implică transferul către SUA a datelor cu caracter personal legate de activitățile de resurse umane și colectate în contextul unui raport de muncă în cadrul SEE, compania noastră se angajează, de asemenea, să coopereze cu Comitetul autorității corespondente din UE cu atribuții de protecție a datelor;
    • iii. pentru litigiile care implică toate celelalte date cu caracter personal la care face referire prezenta politică, inclusiv, dar fără limitare, cele referitoare la conformitatea companiei noastre cu Cooperarea economică Asia-Pacific („APEC”), Regulile de confidențialitate transfrontalieră („CBPRs”), Scutul de confidențialitate UE-SUA și Elveția-SUA, compania noastră a fost de acord cu soluționarea litigiilor prin TRUSTe, un furnizor de astfel de servicii care are sediul în SUA. Persoanele fizice care transmit o întrebare sau preocupare către compania noastră și care nu primesc confirmarea solicitării de informații sau care cred că întrebarea sau preocuparea lor nu a fost tratată în mod satisfăcător, trebuie să contacteze online, prin e-mail sau fax, programul TRUSTe de soluționare a litigiilor TRUSTe. Solicitările prin e-mail sau fax ar trebui să identifice Merck & Co., Inc. sau MSD drept compania către care a fost transmisă o preocupare sau întrebare și să includă o descriere a problemei legate de confidențialitate, numele persoanei care înaintează solicitarea și dacă TRUSTe poate partaja detaliile anchetei cu compania noastră. TRUSTe va acționa ca un intermediar pentru compania noastră în scopul soluționării acestor litigii.
      • 1. Online
      • 2. Fax: +1-415-520-3420
      • 3. Adresă poștală: Watchdog Complaints, TRUSTe, 835 Market Street, Suite 800, Box 137 San Francisco, CA, SUA 94103-1905
    • iv. Pentru mai multe informații despre TRUSTe sau funcționarea acestui proces de soluționare a litigiilor vizitaţi TRUSTe pe internet sau solicitați aceste informații de la TRUSTe, prin e-mail sau fax, folosind datele de contact menționate mai sus. Procesul TRUSTe de soluționare a litigiilor se va desfășura în limba engleză.
    • v. Pentru orice diferend apărut în cadrul Scutului de confidențialitate UE-SUA și Elveția-USA, care nu se rezolvă prin pașii descriși în această secțiune, persoanele fizice au posibilitatea de a invoca arbitrajul obligatoriu, în conformitate cu procedurile Comitetului Scutului de confidențialitate înființat în cadrul Scutului de confidenţialitate UE-SUA și Elveția-SUA
  • f. Toți rezidenții SEE sau persoanele ale căror date cu caracter personal sunt supuse legii SEE privind protecția datelor, sunt transferate în afara SEE și sunt prelucrate în conformitate cu prezenta politică, au dreptul în orice moment, conform prezentei politici, să pună în aplicare cerințele prezentului document în calitate de beneficiari terți, inclusiv dreptul de a introduce o acțiune judiciară pentru a căuta soluții împotriva încălcării drepturilor lor prevăzute în cadrul prezentei politici (după cum este stabilit în Secțiunea 2, de mai sus) și dreptul de a primi despăgubiri pentru daunele rezultate dintr-o astfel de încălcare. Persoanele fizice care au reședința în SEE sau ale căror date cu caracter personal sunt supuse legii SEE privind protecția datelor și sunt transferate în afara SEE (din motive de transparență, inclusiv în SUA), pot face, în baza prezentei politici, o reclamație sau o plângere împotriva Merck, Sharp & Dohme (Europa) Inc. - filiala din Belgia („MSD Europa”), după cum urmează:
    • i. În instanțele de judecată sau la autoritatea de protecție a datelor din țara SEE din care au fost transferate date cu caracter personal despre ei,
    • ii. În instanțele de judecată sau la autoritatea de protecție a datelor din țara SEE în care au reședința obișnuită, sau
    • iii. În instanțele de judecată din Belgia sau la Comisia belgiană de confidențialitate.
  • g. Compania noastră va răspunde persoanei fizice sau entității care a transmis o întrebare, reclamație sau preocupare, în termen de 30 (treizeci) de zile calendaristice, cu excepția situațiilor în care legea impune sau un terț solicită un răspuns într-o perioadă de timp mai scurtă sau dacă circumstanțele nu impun o perioadă de timp mai lungă, situație în care persoana sau solicitantul terț va primi o notificare scrisă.

4. Suntem responsabili pentru susținerea valorilor și standardelor noastre privind confidențialitatea.

  • a. Filiala companiei noastre care este responsabilă pentru o acțiune ce generează un incident confirmat de confidențialitate sau de securitate răspunde financiar pentru valoarea oricăror cereri de daune, amenzi sau penalități care decurg din respectivul incident.
    • i. În coordonare cu și sub îndrumarea Biroului global de confidențialitate MSD, MSD Europa este responsabilă pentru asigurarea faptului că sunt întreprinse acțiunile necesare pentru verificarea presupuselor încălcări ale prezentei politici de către filialele companiei noastre din afara SEE, care afectează persoanele cu reședința în SEE sau persoanele ale căror date cu caracter personal sunt supuse legii SEE privind protecția datelor și sunt transferate în afara SEE, iar, în cazul în care este necesar, pentru plata amenzilor, penalităților sau despăgubirilor acordate pentru încălcări ale prezentei politici care afectează persoane care locuiesc în SEE sau persoane ale căror date cu caracter personal sunt supuse legii SEE privind protecția datelor și sunt transferate în afara SEE. Cu sprijinul Biroului global de confidențialitate MSD și a filialei noastre din afara SEE responsabile pentru presupusa încălcare, MSD Europa va fi responsabilă pentru demonstrarea faptului că firma noastră nu este răspunzătoare pentru pretinsa încălcare. În cazul în care o altă filială a companiei noastre este responsabilă pentru acțiunea care a impus amenda, penalizarea sau acordarea de despăgubiri, filiala în cauză poate fi obligată să ramburseze fără întârziere către MSD Europa orice sumă suportată de către aceasta din urmă. Dacă o filială a companiei noastre din afara SEE încalcă această politică, instanțele de judecată sau autoritățile responsabile de protecția datelor din SEE vor avea jurisdicție, iar persoana fizică afectată va avea drepturi și măsuri corective împotriva MSD Europa, după cum este stabilit în Secțiunea 3.f de mai sus.
    • ii. În coordonare cu și sub îndrumarea Biroului global de confidențialitate MSD, Merck Sharp & Dohme Corp. este responsabilă pentru asigurarea faptului că sunt întreprinse acțiunile necesare pentru verificarea presupuselor încălcări ale prezentei politici care afectează persoanele rezidente în afara SEE și, în cazul în care este necesar, pentru plata amenzilor, penalităților sau despăgubirilor acordate pentru încălcări ale prezentei politici care afectează persoane rezidente în afara SEE sau persoane ale căror date cu caracter personal nu sunt supuse legii SEE privind protecția datelor. În cazul în care o altă filială a companiei noastre este responsabilă pentru acțiunea care a impus amenda, penalizarea sau acordarea de despăgubiri, filiala în cauză poate fi obligată să ramburseze fără întârziere către Merck Sharp & Dohme Corp. orice sumă suportată de către aceasta din urmă.


Supervizarea și monitorizarea

Pentru a furniza garanții către autoritățile de reglementare și alte părți interesate față de care compania noastră este responsabilă pentru angajamentul său privind practicile etice și responsabile de confidențialitate, compania menține un grup administrativ extins pentru supraveghere și monitorizare, condus de un Responsabilul principal pentru protecția datelor cu Birou global de confidențialitate (GPO) un Responsabil cu protecția datelor desemnat pentru UE, Responsabilul cu protecția datelor din țara în care este solicitat de lege sau autoritățile locale și de Responsabilii de confidențialitate, care sunt numiți de către managerii de top și servesc drept puncte de legătură Biroul global de confidențialitate MSD și zonele de organizare în care lucrează.

Compania noastră se bazează pe instituțiile responsabile din domeniul confidențialității, cărora, conform legislației, le raportează periodic; se verifică respectarea cerințelor prezentei politici și a legislației respective, inclusiv a regulilor de confidențialitate transfrontalieră în cadrul APEC.

În plus față de verificările de asigurare gestionate de Biroul global de confidențialitate MSD, auditul intern sau extern și echipele de asigurare vor efectua analize de conformitate pentru a verifica dacă MSD respectă această politică, inclusiv orice politici, proceduri, standarde și recomandări subordonate acestei politici. Planurile pentru măsurile corective și preventive vor fi dezvoltate și implementate pentru a remedia lacunele observate de către audit și echipele de asigurare. Rezultatele Programului de audit vor fi comunicate Responsabilului principal privind protecția datelor și Comitetului privind confidențialitatea și protecția datelor, care sunt responsabili pentru raportarea lor, așa cum este descris în această politică.

Autoritățile de reglementare din domeniul confidențialității și protecției datelor, care au aprobat prezenta politică sau care au jurisdicție asupra practicilor companiei noastre prevăzute în cadrul prezentei politici au dreptul de a verifica respectarea ei de către noi. Vom respecta recomandările acestor autorități competente cu privire la interpretarea și aplicarea prezentei politici.



Termeni pe care trebuie să îi cunoașteți

  • Depersonalizare. Schimbarea, trunchierea, ștergerea sau o altă formă de editare ori de modificare a datelor cu caracter personal, pentru a le face imposibil de utilizat, în mod ireversibil, pentru identificarea, localizarea sau contactarea unei persoane, atât individual cât și în combinație cu alte informații.

  • Legislație. Toate legile, reglementările, regulamentele și ordinele sau hotărârile cu putere de lege din orice țară în care compania noastră își desfășoară activitatea sau în care datele cu caracter personal sunt prelucrate de către sau în numele companiei noastre. Aceasta include toate contextele privind confidențialitatea în conformitate cu care compania noastră a fost acreditată sau certificată, inclusiv Cooperarea economică Asia-Pacific („APEC”), Regulile de confidențialitate transfrontalieră („CBPRs”), Scutul de confidențialitate UE-SUA și Elveția-SUA în cadrul competențelor de investigare și de executare ale Comisiei Federale pentru Comerț din SUA.

  • Compania noastră. Merck & Co., Inc. (Kenilworth, NJ, SUA), succesorii, filialele și diviziile acesteia din întreaga lume, cu excepția asocierilor în participațiune la care compania noastră este parte.

  • Date cu caracter personal. Orice informații referitoare la o persoană fizică identificată sau identificabilă, inclusiv datele care identifică o persoană sau care ar putea fi folosite pentru a identifica, localiza, urmări sau contacta un individ. Datele cu caracter personal includ atât informații direct identificabile, cum ar fi un nume, număr de identificare sau funcție unică deținută, cât și informații identificabile indirect, cum ar fi data nașterii, codul unic de identificare al dispozitivelor mobile sau ușor de purtat, numărul de telefon, precum și date codificate cu cheie și identificatori online, cum ar fi adresele IP.

  • Incident privind confidențialitatea. Violarea sau încălcarea prezentei politici sau a unei legi privind confidențialitatea sau protecția datelor, care include și un incident de securitate. Biroul global de confidențialitate MSD, Departamentului privind Securitatea Informației și Managementul riscului in tehnologia informației (ITRSM) și Biroul consilierului general stabilesc dacă s-a produs un incident privind confidențialitatea și dacă acesta are caracter concret.

  • Prelucrare. Realizarea oricăror operațiuni sau seturi de operațiuni asupra informațiilor despre persoane, indiferent dacă pentru aceasta sunt folosite mijloace automate sau nu, inclusiv colectarea, înregistrarea, organizarea, stocarea, accesarea, adaptarea, modificarea, descărcarea, consultarea, utilizarea, evaluarea, analiza, raportarea, partajarea, divulgarea, diseminarea, transmiterea, punerea la dispoziție, alinierea, combinarea, blocarea, eliminarea, ștergerea sau distrugerea, fără însă a se limita la acestea.

  • Incident de securitate. O încălcare a securității care duce la distrugerea, pierderea sau modificarea accidentală sau ilegală, dezvăluirea neautorizată a datelor, sau accesul la datele cu caracter personal sau la convingerea întemeiată a MSD că aceasta a avut loc. Accesarea de către compania noastră sau în numele acesteia a unor date cu caracter personal, fără intenția de a încălca prevederile prezentei politici nu constituie un incident de securitate, cu condiția ca datele cu caracter personal accesate să fie mai departe utilizate și divulgate exclusiv în conformitate cu modalitățile permise de prezenta politică.

  • Informații sensibile. Orice tip de informații despre persoane fizice care pot genera un risc inerent de potențiale prejudicii aduse acestora, inclusiv informații definite prin lege ca fiind sensibile, inclusiv, dar fără limitare, informații legate de sănătate, genetică, biometrie, rasă, origine etnică, religie, opinii sau convingeri politice sau filozofice, cazier, informații precise privind geo-locația, numere de coduri bancare sau alte conturi financiare, numere de identificare emise de guvern, copiii minori, viața sexuală, orientare sexuală, apartenență sindicală, polițe de asigurări, asigurări sociale și alte beneficii oferite de angajator sau de guvern.

  • Terț. Orice entitate juridică sau asociație care nu este deținută de compania noastră sau în care nu avem un interes privind controlul sau orice persoană care nu este angajată în cadrul companiei noastre. Cu excepția cazurilor stipulate în mod expres în prezenta politică, nicio filială sau divizie a companiei noastre nu trebuie să îndeplinească cerințele unui terț în cadrul prezentei politici, deoarece toate filialele sau diviziile trebuie să prelucreze informații despre persoane fizice, în conformitate cu prezentul document, inclusiv în cazul în care una dintre filialele companiei noastre sprijină una sau mai multe dintre filialele noastre în procesul de prelucrare.


Modificarea prezentei politici

Prezenta politică poate fi amendată periodic, în concordanță cu cerințele legislației aplicabile. De fiecare dată când prezenta politică este modificată substanțial, o notificare va fi postată, timp de 60 de zile, pe pagina web privind confidențialitatea deținută de compania noastră (www.msd.com/privacy).

Data intrării în vigoare 5 iunie 2018