בחברת Organon, המשימה שלנו לספק פתרונות בריאות יצירתיים המאפשרים לאנשים לחיות את החיים בצורה הטובה ביותר משתרעת על כיבוד הפרטיות של אנשים ועל ההגנה על מידע אישי.

תאריך סקירה: 01 בפברואר 2021
תקף החל מתאריך: 01 ביוני 2021

אנו שואפים לנהל את העסקים שלנו בהתאם לעקרונות הפרטיות שלנו, משום שאנו מאמינים כי הם ממחישים את מחויבותנו הבלתי מתפשרת לפרקטיקות עיבוד נתונים אתיות ואחראיות. אנו מודעים לכך שחדשנות וטכנולוגיה חדשה גורמות לשינוי מתמיד ולכן אנו שואפים להתאים במהירות את האופן שבו אנו מיישמים את עקרונות הפרטיות שלנו בתגובה לאותם השינויים.

מדיניות זו מגדירה את הסטנדרטים הבינלאומיים שלנו לניהול והגנה על מידע אישי כאשר הוא חוצה גבולות של מדינות על ידי או מטעמה של החברה שלנו, ללא קשר למדינה שממנה הגיע המידע האישי או שאליה הוא עשוי להיות מועבר. מדיניות זו מתארת את התחייבויות הליבה שלנו, המאפשרות לנו לקבל את ההסכמה של כללי הפרטיות חוצי-הגבולות של APEC, חלה על הפעילות של החברה בכל מדינה, כולל על העברות המידע הנדרשות לביצוע פעילויות אלה. מדיניות זו חלה גם על כל מי שאודותיו אנו מעבדים מידע, לרבות, על אנשי מקצועות הבריאות ולקוחות נוספים; על עובדינו לשעבר, בהווה ובעתיד והתלויים בהם; על מטופלים; מטפלים; חוקרים ומשתתפים במחקרים; חברי ועדות האתיקה והוועדות המדעיות; שותפים עסקיים; משקיעים ובעלי מניות; נציגי ממשל ובעלי עניין אחרים.

כל עובדי החברה והמנהלים הבכירים שותפים לאחריות הליבה לגבי פרטיות שעליהם לקיים.

אנו מכירים בכך שטעויות שאינן מכוונות וטעויות הנובעות משיקול דעת מוטעה בנוגע להגנה על מידע אודות אנשים יכולות לסכן פוטנציאלית אתהפרטיות של האנשים הללו, לצד סיכוני מוניטין וסיכונים תפעוליים, פיננסיים, וסיכון של אי-ציות לדין לחברה. אנו מספקים הדרכה מתאימה באשר למדיניות זו לעובדים ואנשי צוות אחרים בעלי גישה קבועה או שוטפת למידע אישי, המעורבים באיסוף מידע או מסייעים בפיתוח כלים המשמשים לעיבוד מידע אישי. כל עובד של החברה שלנו ואחרים המעבדים מידע על אנשים עבור החברה שלנו, נושאים באחריות להבנת ולקיום המחויבויות שלהם על פי מדיניות זו ועל פי הדין.

ערכי הפרטיות והסטנדרטים שלנו

אנו שומרים על ערכי הפרטיות שלנו בכל דבר שאנו עושים. ארבעת ערכי הפרטיות שלנו הם:

כבוד

אמון

מניעת נזק

ציות לדין

אנו מכירים בכך שלעתים קרובות אמונות בנוגע לפרטיות קשורים למהות שלנו ואופן השקפתנו על העולם ולדרך בה אנו מגדירים את עצמנו, לכן אנו שואפים לכבד את השקפות העולם ותחומי העניין של יחידים וקהילות, ולהיות הוגנים ושקופים בנוגע לאופן שבו אנו משתמשים וחולקים מידע לגביהם.ידוע לנו כי אמון הוא גורם חיוני להצלחה שלנו, לכן אנו שואפים לבנות ולשמר את האמון של הלקוחות, העובדים, הנבדקים במחקרים שלנו ובעלי עניין נוספים, באופן שבו אנו מכבדים פרטיות ומגנים על מידע אודות אנשים.אנו מבינים כי שימוש לרעה במידע אודות אנשים עלול לגרום להם לנזקים מוחשיים ובלתי מוחשיים, ולכן אנו מנסים למנוע סיכון לפגיעה בבטיחות פיזית, פגיעה כספית, פגיעה במוניטין, או כל פגיעה אחרת בפרטיות.

למדנו כי חוקים ותקנות אינם תמיד עומדים בקצב השינויים הטכנולוגיים, זרימת הנתונים, ובשינויים הנלווים בסיכוני הפרטיות והצפיות, לכן אנו שואפים לציית הן ברוח והן בכתב לחוקי ותקנות הגנת הפרטיות ואבטחת המידע, באופן המביא לעקביות ויעילות תפעולית של פעולותינו העסקיות הבינלאומיות.

  1. אנו מטמיעים את סטנדרט הפרטיות שלנו בפעילויות, תהליכים, טכנולוגיות והתקשרויות עם צדדים שלישיים שעושים שימוש במידע אישי. אנו משלבים אמצעי בקרת פרטיות  בתהליכים והטכנולוגיות שלנו, שעולים בקנה אחד עם ערכי הפרטיות והסטנדרטים שלנו ועם הדין. שמונה (8) עקרונות הפרטיות שלנו המפורטים להלן מתמצתים את סטנדרט הפרטיות ודרישות הבסיס שלנו לתהליכים ולפעילויות ואת הטכנולוגיות התומכות בהם ברמה גבוהה.

עיקרון הפרטיות

מחויבויות הליבה שלנו

1. נחיצות – לפני איסוף, שימוש או שיתוף מידע אישי, אנו מגדירים ומתעדים את המטרות העסקיות הספציפיות והלגיטימיות עבורן המידע נחוץ.
  • אנו קובעים איזה מידע אישי נדרש, ולמשך כמה זמן, לצורך המטרות העסקיות המוגדרות ובהתאם לדרישות הדין. אנו מתעדים את ההחלטות שלנו.
  • אנו לא אוספים, משתמשים או משתפים מידע אישי מעבר לנדרש, או שומרים אותו באופן שניתן לזיהוי מעבר לנדרש עבור המטרות העסקיות המוגדרות ובהתאם לדרישות הדין.
  • אנו מבצעים אנונימיזציה למידע האישי או מסירים פרטים מזהים מהמידע האישי כאשר צרכים עסקיים דורשים כי נתונים על פעילות או תהליך המערבים מידע אישי יישמרו לתקופה ארוכה יותר.
  • אנו מבטיחים שדרישות הנחיצות הללו משולבות בכל טכנולוגיה תומכת וכי הן מועברות לצדדים שלישיים התומכים בפעילות או בתהליך.
2. הוגנות – אנו מעבדים מידע אישי בדרכים הוגנות כלפי מושאי המידע
  • אנו קובעים האם האיסוף, השימוש או כל אופן עיבוד אחר של המידע האישי מהווים סיכון צפוי או חמור במידה סבירה לנזק מוחשי או בלתי מוחשי לאנשים בהתאם לערך הפרטיות שלנו של מניעת נזק.
  • במידה ואופי המידע, סוג האנשים, או הפעילות מהווים סיכון צפוי ו/או חמור במידה סבירה לנזק מוחשי או בלתי מוחשי לאנשים, אנו נוודא כי על סיכון הפגיעה גוברת התועלת לאנשים הללו או למטרתנו לשפר ולהציל חיים, וכי הסיכונים מופחתים על ידי צעדים, אמצעי הגנה ומנגנונים שיישמנו.
  • כאשר נראה כי הסיכון עולה על התועלת עבור יחידים, אנו מיישמים את אמצעי האבטחה והזהירות הרלוונטיים ביותר, מודיעים ליחידים שאנו עושים זאת, ומתייעצים עם רשות רגולטורית מוסמכת, כנדרש.
  • אנו מעבדים מידע רגיש אך ורק בהסכמה מפורשת של אנשים, כפי שנדרש או הותר באופן מפורש על ידי הדין.
  • כאשר נראה כי הסיכון עולה על התועלת עבור יחידים, אנו מתעדים את ניתוח הסיכונים ומיישמים אמצעי הגנה כדי לצמצם את הסיכון ככל הניתן.
3. שקיפות – אנו מעבדים מידע אישי בדרכים שקופות או למטרות
שקופות באופן מיידי לאנשים שאליהם המידע קשור.
  • כל האנשים שמידע אישי אודותיהם מעובד על פי מדיניות זו זכאים לקבל עותק ממדיניות זו. אנו נדאג כי עותק של מדיניות זו יהיה זמינים באופן מקוון בכתובת https://www.organon.com/privacy, ונספק עותקים אלקטרונים ו/או עותקי נייר של מדיניות זו על פי בקשה שתופנה לכתובת המפורטת להלן.
  • כאשר מידע אישי נאסף ישירות מאנשים, אנו מודיעים להם, טרם איסוף המידע באמצעות הודעת פרטיות נגישה, בולטת לעין, ברורה ומובנת, על (1) ישות או ישויות האחראיות על העיבוד; (2) דרכי ההתקשרות עם ממונה הפרטיות הראשי (CPO) ו/או ממונה הפרטיות המקומי/האזורי; (3) איזה מידע ייאסף; (4) המטרה שלשמה יעשה שימוש במידע; (5) הבסיס המשפטי לעיבוד הנתונים; (6) עם מי המידע ישותף, לרבות כל דרישה לגילוי מידע אישי בתגובה לבקשות חוקיות ע”י רשויות ממשלתיות; (7) האם וכיצד אנו נעביר את המידע האישי למדינות אחרות, לרבות זיהוי המדינות הרלוונטיות כאשר הדבר אפשרי; (8) כמה זמן המידע יישמר, או מה הם הקריטריונים שלפיהם אנו נקבל החלטה זו; (9) איך האנשים יכולים לשאול שאלה, להעלות חשש או לממש זכויות בנוגע למידע האישי שלהם; (10) כיצד הם יכולים לחזור בהם מהסכמה שנתנו; (11) זכותם להגיש תלונה לרשות המפקחת; (12) כל חובה למסור מידע אישי וההשלכות של ההימנעות מלפעול לפיה; (13) כל קבלת החלטות באופן אוטומטי, לרבות אפיון, שעשוי להתבצע; וכן (14) קישור למדיניות זו, כאשר הדבר אפשרי ומתאים. הודעות הפרטיות המקיפות שלנו עבור רבים מבעלי העניין שלנו זמינות באופן מקוון בכתובת https://www.organon.com/privacy/contact/
  • כאשר מידע אישי נאסף באמצעות תצפיות, חיישנים או אמצעים עקיפים אחרים מעין אלה, אנו מבטיחים שקיפות לאותו אדם באמצעות אמצעים אחרים, כמו הצגת ההודעה או הדפסתה על גבי המכשיר או החומרים המשויכים למכשיר שבאמצעותו יושג המידע., זה עלול להיות בלתי אפשרי למסור הודעת פרטיות ישירות לנושא המידע בזמן שהמידע נאסף. במקרים
  • כאשר מידע אישי נאסף דרך אתר אינטרנט, אפליקציית סלולר, או יישום או משאב מקוון אחר, אנו נחיל סטנדרטים ספציפיים לאותה הטכנולוגיה כקבוע במדיניות הפרטיות באינטרנט שלנו ובמדיניות המעקב המקוון הבינלאומית שלנו, כדי להבטיח עמידה בדרישות השקיפות על פי מדיניות זו.
  • כאשר מידע אישי נאסף ממקורות אחרים ולא באופן ספציפי בהוראת החברה שלנו, אנו מוודאים בכתב, טרם קבלת המידע, כי ספק המידע הודיע לאנשים על הדרכים שבהן החברה שלנו מתכוונת להשתמש במידע ובדבר מטרות השימוש. אם לא ניתן להשיג אישור בכתב מספק המידע, אנו נשתמש רק במידע שעבר אנונימיזציה או שהוסרו הפרטים המזהים שלו, לחלופין, לפני שנשתמש במידע אישי אנו נודיע לאנשים המושפעים מכך באמצעות הודעת פרטיות או אמצעים דומים על (1) גורמים או גורמים בחברה שלנו האחראים לעיבוד המידע, (2) פרטי יצירת הקשר עם ממונה הפרטיות הראשי שלנו ו/או עם ממונה הגנת המידע האזורי/המקומי, (3) באיזה מידע מתכננת החברה שלנו להשתמש, (4) המטרות עבורן מתכננת החברה שלנו להשתמש במידע, (5) הבסיס המשפטי לעיבוד על ידינו, (6) עם מי החברה שלנו תשתף את המידע, (7) אם וכיצד נעביר את המידע האישי למדינות אחרות, כולל זיהוי המדינות הרלוונטיות כאשר הדבר סביר, (8) משך הזמן שבו החברה שלנו מתכננת לשמור את המידע או הקריטריונים על פיהם אנו קובעים זאת, (9) כיצד הם יכולים לשאול שאלה, להעלות חשש או למצות את זכויותיהם הנוגעים למידע האישי שלהם, (10) כיצד הם יכולים לבטל כל הסכמה שסיפקו בעבר, (11) הזכות שלהם להגיש תלונה לרשות מפקחת, (12) מחויבות כלשהי לספק מידע אישי וההשלכות אם לא יעשו זאת, (13) כל קבלת החלטות אוטומטית, כולל אפיון, אשר ייתכן שתתבצע, וכן (14) קישור למדיניות זו, היכן שרלוונטי והולם.
  • אנו מבטיחים כי מנגנוני השקיפות הנחוצים, כולל, כאשר הדבר אפשרי, מנגנונים שיטפלו בבקשות של אנשים בעניין זכויותיהם, ישולבו בתוך טכנולוגיות תומכות, וכי צדדים שלישיים המסייעים בקיום הפעילות או התהליכים  יעבדו מידע על אנשים רק באופן התואם את האמור בהודעת הפרטיות.
  • כאשר אנו מבקשים הסכמה, אנו משיגים ומתעדים ראיות למתן ההסכמה בטכנולוגיות התומכות שלנו.
4. הגבלת מטרה –אנו נשתמש במידע האישי רק בהתאם לעקרונות הנחיצות והשקיפות.
  • אם נוספת מטרה עסקית מקובלת חדשה למידע אישי שנאסף בעבר, אנו משיגים את הסכמתו של האדם שאודותיו המידע לשימוש החדש במידע האישי, או מוודאים שהמטרה העסקית החדשה תואמת, את מטרות המתוארות בהודעת הפרטיות שמסרנו בעבר לאותו אדם וכי היא דומה להן באופן מהותי. רמת התאימות תיקבע בהתבסס על (1) כל קשר בין המטרה המקורית לבין המטרה המוצעת החדשה, (2) ציפיותיו הסבירות של האדם, (3) טיבו של המידע האישי, (4) ההשלכות של עיבוד המידע למטרה החדשה עבור האדם, ו (5) מנגנוני ההגנה שהתקנו.
  • אנו לא מחילים עיקרון זה על מידע שבוצעה בו אנונימיזציה או הסרת פרטים מזהים, או כאשר אנו משתמשים במידע אישי אך ורק למטרת מחקר היסטורי ומדעי, כמו גם כאשר (1) ועדה אתית, או כל מבקר מוסמך, קבעו שהסיכון של שימוש כזה לפרטיות ולזכויות אחרות של אנשים הוא בגדר הסביר, (2) התקנו מנגנוני הגנה מתאימים על מנת להבטיח צמצום המידע על ידי שימוש במידע ה מינימלי למטרה הנדרשת בלבד, (3) המידע האישי עובר פסאודונימיזציה (pseudonymization), ובנוסף (4) אנו מצייתים לכל דין  אחר שחל.
  • אנו מוודאים שהגבלת מטרות השימוש מוטמעות לכל טכנולוגיה תומכת, לרבות יכולות דיווח ושיתוף נתונים.
5. איכות מידע – אנו שואפים לשמור על מידע אישי מדויק, שלם ועדכני, ובהתאם למטרה שלשמה מתוכנן לעשות בו שימוש.
  • אנו מוודאים שמנגנוני ביקורת מידע תקופתיים יוטמעו בטכנולוגיות התומכות כדי לאמת את דיוק הנתונים מול המקור ומול מערכות של שיתוף נתונים.
  • אנו מוודאים שמידע רגיש אומת כמדויק ועדכני, לפני שימוש, הערכה, ניתוח, דיווח או כל עיבוד אחר שמקים סיכון לחוסר הוגנות כלפי אנשים אם נעשה שימוש בנתונים לא מדויקים או לא מעודכנים.
  • כל אימת שמבוצעים שינויים במידע האישי על ידי החברה או צדדים שלישיים שעובדים עבור החברה, אנו מוודאים כי השינויים הללו מדווחים לאנשים הרלוונטיים במועד מוקדם ככל הניתן.
6. אבטחה – אנו מיישמים מנגנוני הגנה על מנת להגן על מידע אישי ומידע רגיש, מפני אובדן, שימוש, לרעה, ומפני גישה, גילוי, שינוי
או השמדה לא מורשים.
  • יישמנו תוכנית מקיפה לאבטחת מידע ואנו מיישמים מנגנוני אבטחה ואמצעי הגנה שמבוססים על הסוג ועל רמת הרגישות של המידע ורמות הסיכון של הפעילות, תוך התחשבות בטכנולוגיות העדכניות, הפרקטיקות המובילות ועלות יישומן. מדיניות האבטחה התפקודית שלנו כוללת, אבל לא מוגבלת לסטנדרטים של המשכיות עסקית ותכנית התאוששות מאסון, הצפנה, ניהול זיהוי וגישה, סיווג מידע, ניהול תקריות אבטחת מידע, שליטה על גישה לרשת, אבטחה פיזית וניהול סיכונים.
7. העברת מידע – אנו אחראיים לשמירה על הגנת הפרטיות של מידע אישי כאשר הוא מועבר מארגונים אחרים או אליהם או מעבר לגבולות המדינה. (1) אנו מעבירים מידע אישי בתוך החברה שלנו אם מתקיימות הדרישות הבאות:
(א) השיתוף נחוץ כדי לממש את המטרה שלשמה המידע האישי נאסף מלכתחילה או לאינטרס לגיטימי אחר של החברה; ו-(ב) המטרה שלשמה יש לשתף את המידע, ועצם שיתופו, תואמים את הודעת הפרטיות שסיפקנו בעבר לנושא המידע בזמן שהמידע האישי נאסף לראשונה והוא נתן את הסכמתו ככל שהיה בה צורך; (ג) כאשר אחת מחברות הבת שלנו פועלת אך ורק מטעמה של חברת בת אחרת של החברה שלנו בעיבוד המידע האישי; (ד) כאשר הדבר נדרש על פי דין, חברות הבת הללו יוציאו אל הפועל הסכם פנימי לעיבוד מידע בהתאם לעקרון 8 של מדיניות זו, או; (ה) היכן שתשתית טכנולוגיות המידע דורשת העברה מעין זו, כל עוד ננקטים כל אמצעי האבטחה והאמצעים הארגוניים הנחוצים כדי להבטיח שהעברה זו תבוצע תוך ציות לדרישות.
(2) אנו מעבירים מידע אישי לצדדים שלישיים, או מתירים להם לעבד מידע אישי, אך ורק אם הדרישות הבאות מתקיימות, ואנו מאשרים שהצדדים השלישיים עונים על הדרישות הללו:
  • אם התפקיד של הצד השלישי הוא לעבד מידע אישי עבור או מטעמה של החברה שלנו, לפני אספקת מידע אישי לצד השלישי או לפני התקשרות עם הצד השלישי, אנו: (1) עורכים בדיקת נאותות על פרטיות כדי להעריך את פרקטיקות הפרטיות והסיכונים הקשורים לצד שלישי מסוג זה,
    (2) מקבלים הבטחות חוזיות מהצדדים השלישיים הללו לכך שהם (i) יעבדו את המידע האישי אך ורק בהתאם להנחיות החברה, ובהתאם למדיניות זו, לרבות לכל שמונה (8) עקרונות הפרטיות ולשאר הסטנדרטים שנקבעו במדיניות זו ולדין; (ii) יודיעו לנו במהירות על כל תקרית פרטיות, כולל העדר יכולת כלשהו לעמוד בסטנדרטים שנקבעו במדיניות זו ובדין, או תקרית אבטחה, וישתפו פעולה כדי לתקן במהירות כל תקרית וכדי לתת מענה לזכויות האישיות המפורטות בסעיף 2 שלהלן; (iii) לא יתקשרו עם חברה אחרת לצורך עיבוד מידע האישי ללא אישור בכתב מאיתנו ומבלי לחתום על הסכם שיכפה חובות הגנת פרטיות זהות בדבר הגנת מידע; (iv) ימחקו או ישיבו לנו כל מידע אישי באופן מאובטח לאחר שיסיימו לספק לנו שירותים או על פי בקשה או הנחיה שלנו; וכן (v) יאפשרו לחברה שלנו לבקר ולפקח על הפרקטיקות שלהם כדי לוודא ציות לדרישות הללו במשך הזמן שעיבוד המידע מתרחש. בנוסף, אם צד שלישי מעבד מידע אישי שמקורו במדינה או טריטוריה שבה יש חוק המגביל העברה של מידע אישי, אנו נוודא שהעברת המידע לצד השלישי תעמוד בדרישות של העברת מידע בין מדינות כמתואר בסעיף (3) להלן.
  • אם תפקידו של הצד השלישי הוא לספק מידע אישי לחברה שלנו, לפני קבלת המידע האישי, אנו נבטיח את התקיימות דרישות השקיפות הרלוונטיות לאיסוף מידע אישי ממקורות אחרים ולא במיוחד על פי הנחיות החברה שלנו, ואנו נקבל מצגים חוזיים מהצד השלישי שהוא אינו מפר כל חוק או זכויות של כל צד שלישי אחר, על-ידי מתן מידע אישי לחברה שלנו.
  • אם תפקיד הצד השלישי הוא לקבל מידע מהחברה שלנו כדי לעבד מידע שלא מתבצע בהנחית החברה שלנו, לפני אספקת המידע לצד השלישי, אנו מוודאים שנעשתה למידע אנונימיזציה או הסרת פרטים מזהים, ואנו מקבלים התחייבות בכתב מהצד השלישי שהוא ישתמש במידע אך ורק למטרות העסקיות הספציפיות המוגדרות בהסכם ובהתאם לדין, שלא ינסה להפוך את המידע לבר זיהוי.
  • אם ההעברה לצד שלישי נדרשת כדי להגן על אינטרס לגיטימי של הפרט או של החברה, אנו עשויים להעביר את המידע: (1) למטרת מניעת הונאה או כדי לאכוף או להגן על הזכויות והרכוש של החברה, (2) כדי להגן על הביטחון האישי של העובדים שלנו או של צדדים שלישיים הנמצאים בשטחנו, ו(3) כדי להגן על הנכסים שלנו על ידי נקיטה באמצעי אבטחה מתקנים אם יש לנו חשד סביר שהתרחשה פעילות בלתי חוקית או בלתי הולמת באופן חמור.
  • אם הצד השלישי הוא יעד לרכישה או לרכישת השליטה על ידי החברה שלנו, (1) לפני התקשרות בהסכם לרכישת הצד השלישי או לרכישת השליטה בצד השלישי, אנו מבצעים בדיקת נאותות לפרטיות על מנת להעריך את פרקטיקות הפרטיות ואת הסיכונים הקשורים לרכישה של הצד השלישי או לרכישת השליטה בצד השלישי, ו(2) אנו נתקשר בהסכם להעברת מידע שיפרט את התנאים לגילוי מידע אישי, כמו גם את המחויבויות של החברה שלנו ושל הצד השלישי.
  • אם המטרה של הצד השלישי היא לרכוש את כל או חלק מעסקי החברה שלנו, לפני שיתוף כל מידע אישי בהקשר למכירת/העברת חלק כלשהו מעסקי החברה, אנו (1) נתקשר בהסכם להעברת מידע שמפרט את התנאים שבכפוף להם ניתן לגלות מידע אישי לרוכש, לרבות מגבלות מתאימות בנוגע לשימושים המותרים במידע האישי וציות לסטנדרטים שנקבעו במדיניות זו ולדין, (2) נצמצם שיתוף של רכיבי מידע רק לאלו הנחוצים (3) נשיג הסכמה לשיתוף המידע האישי או הרגיש בהתאם לעקרונות השקיפות והגבלת המטרות של מדיניות זו וכן (4) נדרוש מהצד השלישי להודיע לחברה שלנו ללא דיחוי על כל תקרית פרטיות, לרבות היעדר יכולת לעמוד בסטנדרטים שנקבעו במדיניות זו ובדין, ולשתף פעולה כדי לתקן ללא דיחוי כל תקרית מוכחת או להפסיק לעבד את המידע האישי הרלוונטי.
(3) אנו מעבירים מידע אישי בין גבולות של מדינות, לרבות לארה”ב (USA), שם ממוקם מטה החברה שלנו, על ידי החברה או מטעמה, בהתאם למדיניות זו. אנו נחיל מדיניות זו על העברות מידע אישי מכל מדינה או טריטוריה עם דין שמגביל העברת מידע אישי, בנוסף לציות לכל דרישה המוטלת על ידי אותו דין (לרבות שימוש בכל מנגנון הנדרש לצורך העברות חוצות גבולות למדינות שאינן מחזיקות באותן אמות מידה להגנת נתונים כמו אלה שבשימוש במדינת המקור).
8. אפשרי מבחינה משפטית – אנו מעבדים מידע אישי רק אם התקיימו דרישות חוק.
  • בעוד ששבעת (7) עקרונות הפרטיות האחרים, כמו גם הדרישות של הזכויות האישיות המפורטות בהמשך, נועדו להבטיח שתתקיים עמידה בדרישות של רוב חוקי הגנת הפרטיות שחלים על העסקים שלנו ברחבי העולם, במדינות מסוימות, אנו נדרשים לעמוד בדרישות נוספות, לרבות, הדרישות שלהלן:
    1. כאשר נדרש, אנו נשיג טפסי הסכמה ספציפיים בנוגע לעיבוד מסוים של מידע אישי, לרבות אישור לעיבוד מידע ממועצות עובדים ואירגוני עובדים אחרים;
    2. כאשר נדרש, אנו נרשום עיבוד של מידע אישי ברשות הרגולטורית להגנה על פרטיות או מידע, או נבקש את אישורה;
    3. כאשר נדרש, אנו נספק זכויות רחבות יותר (לדוגמא, זכויות גישה ותיקון) מעבר למה שנקבע במדיניות זו;
    4. כאשר נדרש, נגביל עוד יותר את תקופות שמירת הנתונים של מידע אישי; ו
    5. כאשר נדרש, אנו נתקשר בהסכמים המכילים סעיפים חוזיים ספציפיים, לרבות הסכמים להעברת מידע בין-גבולות לצדדים שלישיים.
    6. כאשר נדרש, אנו נגלה מידע אישי בתגובה לבקשה מכוח הדין של רשות ציבורית, לרבות כדי לעמוד בדרישות אכיפת הדין או של ביטחון לאומי.
במקרה של סתירה בין מדיניות זו לבין הדין, יחול הסטנדרט שיספק יותר הגנה לפרט.
  1. אנו נטפל במהירות בבקשות הנוגעות לזכויות גישה, תיקון, שינוי או מחיקת מידע אישי, להתנגדות לעיבוד מידע אישי אודותיהם, ולמימוש זכויות אחרות לגבי המידע האישי.
    1. גישה, תיקון, מחיקה וזכויות אחרות – בהתאם לדין ברוב המדינות שאנו פועלים בהן, לאנשים קיימת הזכות לגשת למידע אישי אודותיהם ולשנות, לתקן או לבקש מחיקה של מידע אישי שאינו מדויק, אינו שלם או אינו מעודכן. אנו נכבד כל בקשה לגשת, לתקן או למחוק מידע אישי מכל אדם בהתאם לסעיף 3(א) להלן, ובמידה המותרת על פיהחוק החל. אם בקשה לגישה, תיקון או מחיקה כפופה לדין שמספק הגנה גדולה יותר לפרט, אנו נוודא כי הדרישות הנוספות של הדין יקוימו.
      במדינות מסוימות, אנשים עשויים להיות זכאים לזכויות אחרות ביחס למידע אישי אודותיהם, כמו הזכות להגביל את עיבוד המידע, להתנגד לעיבודו (ראה גם סעיף 2(ב) להלן) ולבקש כי המידע שלהם יועבר לספק שירותים אחר. אנו נכבד את מימוש הזכויות בהתאם לדין החל. זכויות מסוימות, כמו הזכות למחיקה, עשויות להיות מוגבלות על ידי דרישות רגולטוריות או משפטיות אחרות, או הצורך לציית לחובות דיווח מקומיות בנושאי ציות. במקרים כאלה, נודיע לך על מגבלות אלה, בהתאם לנסיבות המקרה.
    2. בחירה – בהתאם לערכי הפרטיות שלנו של “כבוד” ו”אמון,” אנו מכבדים כל בקשה של אדם להתנגד לעיבוד מידע אישי, לרבות חזרה מהסכמה שניתנה בעבר להשתתף בתוכניות או בפעילויות, עיבוד מידע אישי אודותיו לצרכי שיווק ישיר, תקשורת המיועדת אליו והמבוססת על המידע האישי אודותיו, וכל הערכה או החלטה לגביהם, שיש לה פוטנציאל להשפיע באופן משמעותי עליהם, שנעשו באמצעות שימוש באוטומציה או באלגוריתמים.
      1. למעט כאשר הדבר אסור על פי דין, אנו רשאים למנוע את הבחירות האמורות כאשר בקשה מסוימת תפגע ביכולת החברה : (1) לציית לדין או לחובה אתית, לרבות כאשר אנו נדרשים לחשוף מידע אישי בתגובה לבקשה מכוח הדין של רשות ציבורית, לרבות עמידה בדרישות ביטחון לאומי או אכיפת הדין (2) לחקור, לתבוע או להתגונן מפני תביעה, ו(3) לערוך חוזים, לנהל קשרי גומלין, או לערוך פעילויות עסקיות מותרות אחרות העולות בקנה אחד עם עקרונות השקיפות והגבלת המטרה, כאשר אלה מתבססים על המידע אודות האנשים המדוברים. תוך חמישה עשר (15) ימי עסקים מקבלת החלטה לדחות בקשה בהתאם למדיניות זו, אנו נתעד ונמסור את ההחלטה למבקש, אלא אם כן חלה עלינו דרישה אחרת על פי החוק החל.
  2. אנו נגיב במהירות ונעביר לגורמים הדרושים כל שאלה הקשורה לפרטיות, כמו גם כל תלונה, חשש, וכל תקרית פרטיות או תקרית אבטחה פוטנציאלית.
    1. כל אדם שאנו מעבדים מידע אישי אודותיו במסגרת מדיניות זו רשאי להעלות שאלה, להגיש תלונה או להעביר את חששותיו לחברה שלנו בכל עת, כולל בקשה לקבלת רשימה של כל חברות הבת שלנו הכפופות למדיניות זו. אנו מצפים כי העובדים שלנו, ואחרים שעובדים מטעם החברה שלנו, ימסרו במהירות הודעה אם יש להם כל סיבה להאמין כי הוראות של דין רלוונטי עלולות למנוע מהם לציית למדיניות זו. כל שאלה, תלונה או דאגה המועלית על ידי אדם, או כל הודעה של עובד או כל אדם אחר שעובד מטעם החברה שלנו, יש להפנות למחלקת הפרטיות הבינלאומית
      1. בדואר אלקטרוני עבור עובדים השוהים באזור הכלכלי האירופי (EEA), לכתובת: euprivacydpo@organon.com
      2. כל אדם אחר, בדואר אלקטרוני לכתובת: privacyoffice@organon.com
    2. בדואר: Chief Privacy Officer, Organon & Co., 30 Hudson Street, Jersey City, NJ, 07302. עובדים וקבלנים נדרשים להודיע ללא דיחוי למחלקת הפרטיות הבינלאומית או לממונה על פרקטיקות עסקיות המיועד באזור העסקים שלהם, על כל שאלה, תלונה או דאגה הקשורות לפרקטיקות הפרטיות של החברה.
    3. מחלקת הפרטיות הבינלאומית תבדוק ותחקור, או יעבוד עם לשכת האתיקה, הלשכה המשפטית ועם עמיתי ציות כדי לחקור את כל השאלות, התלונות או הדאגות הקשורות לפרקטיקות הפרטיות של החברה, בין אם התקבלו ישירות מעובדים או מאנשים אחרים, או דרך צדדים שלישיים, לרבות מרשויות רגולטוריות, ומרשויות ממשלתיות אחרות. אנו נשיב לפונה שהעלה את השאלה, התלונה או החששות תוך שלושים (30) ימים קלנדרים, למעט אם הדין הצד השלישי דורש תגובה בפרק זמן קצר יותר, או אם הנסיבות, כגון חקירה ממשלתית שמתרחשת באותה עת, דורשות פרק זמן ארוך יותר, ובמקרה זה, האדם או הצד השלישי שהעלה את השאלה יעודכן בכתב בהקדם האפשרי, על טיבן הכללי של הנסיבות המביאות לעיכוב.
    4. מחלקת הפרטיות הבינלאומית, בתאום עם המחלקה המשפטית ועם עמיתי ציות, ישתפו פעולה בתגובה לכל שאלה, בדיקה או חקירה של רשות פרטיות רגולטורית.
    5. כל אדם המתגורר ב-EEA או אנשים שהמידע האישי אודותיהם כפוף לדיני הגנת המידע של ה-EEA ומועבר מחוץ ל-EEA, ואשר המידע אודותיהם מעובד בהתאם למדיניות זו, זכאים, במקרים שבהם העברת המידע האישי שלהם מתבצעת על פי סעיפים חוזיים סטנדרטיים של האיחוד האירופי, בכל עת, לאכוף את הדרישות של הסעיפים החוזיים הסטנדרטיים כמוטבי צד שלישי, לרבות הזכות לפתוח בהליך משפטי כדי לבקש סעדים בגין הפרה של זכויותיו על פי הסעיפים החוזיים הסטנדרטיים ולקבל פיצוי בגין הנזקים שנבעו מהפרה זו. אנשים המתגוררים ב-EEA או אנשים שהמידע האישי אודותיהם כפוף לדיני הגנת המידע של ה-EEA והמידע מועבר מחוץ ל-EEA (כולל לארה”ב), רשאים להגיש תביעה או להגיש תלונה על פי הסעיפים החוזיים הסטנדרטיים, נגד החברה, אל רשויות הגנת המידע המוסמכות (ופרט, במדינה החברה שבה הוא יושב, שבה הוא עובד או שבה אירעה ההפרה לכאורה). ניתן למצוא את הפרטים ליצירת קשר עם רשויות הגנת המידע כאן: חברים | הוועד האירופי להגנת מידע (europa.eu).
    6. החברה שלנו תשיב לפונה שהעלה את השאלה, התלונה או החשש בפני החברה שלנו בפרק הזמן שהוקצה לכך בחוק החל, אלא אם הצד שלישי דורש תגובה בפרק זמן קצר יותר, או אם הנסיבות דורשות פרק זמן ארוך יותר – ובמקרה זה, האדם או הצד השלישי יקבל על כך הודעה בכתב.
  3. אנו נושאים באחריות להקפדה על הערכים והסטנדרטים שלנו בנושא פרטיות.
    1. חברת הבת של החברה שלנו, הנושאת באחריות לפעולה שגרמה לתקרית פרטיות או לתקרית אבטחה מוכחת, היא האחראית מבחינה כספית לכל תביעה לתשלום פיצויים או לקנס או עונש הנגזרים כתוצאה מתקרית הפרטיות או האבטחה.

בתאום עם מחלקת הפרטיות הבינלאומית ועל פי הנחיותיו, ממונה הגנת המידע באירופה אחראי לוודא כי יינקטו הפעולות הנדרשות כדי לתת מענה לכל הפרה לכאורה של מדיניות זו על ידי חברות בנות של החברה מחוץ לאזור EEA, המשפיעה על אנשים המתגוררים ב-EEA או על אנשים שהמידע האישי אודותיהם כפוף לחוק הגנת המידע של ה-EEA ומועבר מחוץ ל-EEA.

בקרה ופיקוח

על-מנת לספק ביטחון לרגולטורים ולבעלי עניין אחרים בהיות החברה שלנו אחראית למחויבותה לפרקטיקות פרטיות אתיות ואחראיות, החברה מפעילה קבוצת ניהול רחבת היקף לפיקוח ובקרה, בראשות ממונה הפרטיות הראשי, עם מחלקת פרטיות בינלאומית (GPO) ייעודית, הכוללת בקרה של ועדת פרטיות והגנת מידע, ממונה על פרטיות המידע של האיחוד האירופי, ממונה על פרטיות מידע במדינות שבהן משרה זו נדרשת על פי דין או על ידי רשויות החוק המקומיות, וממונים על פרקטיקות עסקיות, הממונים לתפקידיהם על ידי המנהלים הבכירים ומשמשים כאנשי קשר בין מחלקת הפרטיות הבינלאומית לבין האזורים הארגוניים שבהם הם עובדים.

מונחים שעליך להכיר

  • הפיכה לאנונימי. תיקון, קיצור, מחיקה, עיבוד או שינוי אחר של מידע אישי, המבטיח באופן בלתי הפיך כי שלא ניתן יהיה להשתמש בו כדי לזהות אדם ולאתר אותו או ליצור אִתו קשר, בין אם באמצעות שימוש במידע זה בלבד ובין אם תוך שילוב בין המידע לבין מידע אחר.
  • החברה. Organon & Co., יורשי זכויותיה, חברות הבת שלה וחטיבותיה ברחבי העולם, למעט יוזמות משותפות שהחברה היא צד בהן.
  • הסרת פרטים מזהים. הסרה של אמצעי זיהוי אישיים ישירים ועקיפים, בדרך כלל כאשר המידע המזהה המקורי נשמר בנפרד.
  • חוק. כל החוקים, הכללים, התקנות והנחיות בעלות תוקף חוקי בכל מדינה שבה החברה שלנו פועלת, או שבה מעובד מידע אישי על ידי החברה שלנו או מטעמה. האמור לעיל כולל כל מסגרת פרטיות במסגרתן החברה שלנו אושרה או הוסמכה, לרבות כללי הפרטיות חוציהגבולות (“CBPRs”) של הפורום לשיתוף פעולה כלכלי באזור אסיה והאוקיינוס השקט (“APEC”).
  • מידע אישי. כל מידע הנוגע לאדם מסוים, מזוהה או הניתן לזיהוי, ובכלל זה מידע המזהה אדם או שניתן לעשות בו שימוש לשם זיהוי או איתור אדם, למעקב אחריו או ליצירת קשר עמו. מידע אישי כולל מידע המאפשר זיהוי ישיר, כגון שם, מספר זיהוי, או הגדרת תפקיד ייחודית, ומידע המאפשר זיהוי עקיף, כגון תאריך לידה, מזהה ייחודי של מכשיר נייד/לביש, מספר טלפון וכן מידע מקודד, מזהים מקוונים כמו כתובות IP או כל פעילות אישית, התנהגות, או העדפה שניתנות לאיסוף לשם מתן שירות או אספקת מוצרים.
  • תקרית פרטיות. הפרה של מדיניות זו או של דיני הגנת פרטיות או אבטחת מידע, לרבות תקרית אבטחה. הקביעה האם תקרית אבטחה אירעה והאם יש להסלימה לדרגת פריצה למידע אישי תתבצע על ידי מחלקת הפרטיות הבינלאומית, ניהול סיכונים ואבטחה של טכנולוגיה עסקית (BTRM), והמחלקה המשפטית.
  • עיבוד. ביצוע כל פעולה או סדרת פעולות במידע על אנשים, באמצעים אוטומטיים או ידניים, לרבות איסוף, הקלטה, ארגון, אחסון, גישה, התאמה, תיקון, אחזור, התייעצות, שימוש, הערכה, ניתוח, דיווח, שיתוף, גילוי, הפצה, שידור, הפיכה לזמין, , שילוב, חסימה, מחיקה, הסרה או השמדה.
  • פריצה למידע אישי. פריצת אבטחה המובילה, שלא במתכוון או בניגוד לדין, להרס, אבדן, שינוי, גילוי או גישה לא מורשים למידע אישי, או המובילה את חברתנו למסקנה הסבירה שדבר מה מן האמורים לעיל התרחש. גישה למידע אישי על ידי החברה שלנו, או בשמה, ללא כוונה להפר מדיניות זו אינה מהווה פריצה למידע אישי, בתנאי שכל עיבוד של המידע האישי שאליו ניתנה גישה ייעשה אך ורק בהתאם למותר במדיניות זו.
  • תקרית אבטחה. תקרית אבטחת מידע מורכבת מאירוע אבטחת מידע בלתי-רצוי אחד או ממספר אירועים כאלה, העלולים לסכן את אבטחת המידע ולהחליש את התפקוד העסקי או לפגוע בו.
  • מידע רגיש. כל סוג של מידע על אנשים המגלם בתוכו סיכון לנזק פוטנציאלי לאנשים, כולל מידע המוגדר על פי דין כמידע רגיש, לרבות מידע הקשור לבריאות, גנטיקה, ביומטריה, גזע, מקור אתני, דת, דעות או אמונות פוליטיות או פילוסופיות, עבר פלילי, מידע על מיקום גאוגרפי מדויק, מספר חשבון בנק או מספר חשבון פיננסי אחר, מספרי זיהוי שהונפקו על ידי הממשלה, ילדים שהם קטינים, חיי מין, נטייה מינית, שיוך לאיגוד מקצועי, ביטוח, הטבות של המוסד לביטוח לאומי והטבות אחרות של מעסיק או מטעם הממשלה.
  • צד שלישי. כל ישות משפטית, התאגדות או אדם, שהחברה שלנו אינה הבעלים שלה, או שאין לחברה שלנו שליטה בה, או שאינה מועסקת על ידי החברה. אף שותפה של החברה לא תיחשב לצד שלישי.

שינויים למדיניות זו

מדיניות זו ניתנת לשינוי מעת לעת בהתאם לדרישות החוק הרלוונטיות. הודעה תפורסם בדף הפרטיות של החברה (https://www.organon.com/privacy) למשך שישים (60) ימים קלנדריים בכל פעם שמדיניות זו תשתנה באופן מהותי.