Місія компанії Organon полягає у створенні нових лікарських засобів і схем лікування для покращення якості життя людей і при цьому передбачає забезпечення конфіденційності та захисту персональних даних.

Дата перегляду: 1 лютого 2021 р.
Дата набрання чинності: 01 лютого 2021 р.

Ми прагнемо здійснювати діяльність відповідно до наших принципів забезпечення конфіденційності даних,оскільки так ми можемо продемонструвати, що ми завжди дотримуємося корпоративних стандартів ділової етики та принципів відповідальності за забезпечення належного захисту при обробці даних. Ми визнаємо, що інновації та нові технології призводять до постійних змін, тому ми прагнемо швидко адаптувати те, як ми застосуємо принципи збереження конфіденційності у відповідь на ці зміни.

У цій політиці визначені наші глобальні стандарти щодо захисту персональних даних і управління персональними даними під час транскордонної передачі, що здійснюються нашою Компанією або від її імені, незалежно від того, з якої країни надходять персональні дані або куди вони будуть передані. У ній описані наші основні зобов’язання, які підтверджують дотримання нами.

Системи правил АТЕС щодо конфіденційності даних під час транскордонної передачі. Вона стосується нашої діяльності в кожній країні, включаючи передачу даних, необхідну для здійснення цих видів діяльності. Ця політика також застосовується до всіх людей, чиї персональні дані ми обробляємо, включаючи фахівців з охорони здоров’я та інших клієнтів; майбутніх і колишніх працівників і їхніх утриманців; пацієнтів; опікунів; дослідників та учасників досліджень; членів науково-етичних комітетів; ділових партнерів; інвесторів і акціонерів; державних службовців; та інші зацікавлені сторони.

Усі співробітники та вищі керівники компанії мають основні обов’язки щодо конфіденційності, яких вони повинні дотримуватися.

Ми усвідомлюємо, що навіть ненавмисні помилки та неправильне судження, пов’язані із захистом інформації про людей, можуть створювати потенційні ризики порушення конфіденційності для фізичних осіб, а також репутаційні, операційні, фінансові та нормативно-правові ризики для нашої Компанії. Ми проводимо відповідне навчання з цієї політики для співробітників та інших осіб, які мають постійний або регулярний доступ до персональних даних, беруть участь у зборі даних або допомагають у розробці інструментів, що використовуються для обробки персональних даних. Кожен співробітник нашої Компанії та інші особи, які обробляють інформацію про людей від імені нашої Компанії, несуть відповідальність за розуміння та виконання своїх зобов’язань відповідно до цієї політики та застосовних законів.

Наші принципи та стандарти забезпечення конфіденційності

Ми дотримуємося прийнятих нашою компанією принципів забезпечення конфіденційності в усій своїй роботі. Наші чотири принципи забезпечення конфіденційності:

Повага

Довіра

Запобігання шкоди

Дотримання вимог

Ми усвідомлюємо, що конфіденційність часто стосується того, хто ми є, як ми дивимось на світ і як ми визначаємо себе, тому ми прагнемо поважати точки зору та інтереси людей і громад, а також чесно й прозоро використовувати інформацію про них і обмінюватися нею.

Ми знаємо, що довіра є життєво важливою для нашого успіху, тому ми прагнемо будувати та зберігати довіру наших клієнтів, співробітників, учасників досліджень та інших зацікавлених осіб, захищаючи конфіденційність їхніх даних та особисту інформацію.

Ми розуміємо, що неправильне використання інформації людей може призвести як до матеріальної, так і моральної шкоди для людей, тому ми прагнемо запобігти загрозам їхній фізичній безпеці, ризикам заподіяння їм фізичної, фінансової, репутаційної та іншої шкоди через порушення конфіденційності їхніх даних.

Ми дізналися, що закони й норми не завжди можуть враховувати швидку зміну технологій, потоків даних і відповідні зрушення в ризиках і очікуваннях щодо конфіденційності даних, тому ми прагнемо дотримуватися духу й букви законів і норм щодо конфіденційності та захисту даних у спосіб, який забезпечує узгодженість та ефективність нашої міжнародної діяльності.

  1. Ми включили наші стандарти забезпечення конфіденційності даних у види діяльності, процеси, технології та відносини з третіми особами, які використовують персональні дані. Ми застосовуємо засоби контролю конфіденційності у наших процесах і технологіях, що відповідають нашим принципам і стандартам забезпечення конфіденційності даних, а також чинному законодавству. Наведені нижче 8  (вісім) принципів забезпечення конфіденційності даних узагальнюють наші стандарти конфіденційності та основні вимоги до процесів, діяльності та технологій у загальних рисах.

    Принцип конфіденційності

    Наші основні зобов’язання

    1. Необхідність: перед збором, використанням чи обміном персональними даними ми визначаємо та документуємо конкретні, законні комерційні цілі, для яких вони необхідні.

    • Ми визначаємо, які персональні дані та протягом якого часу будуть потрібні для таких визначених комерційних цілей і для виконання вимог застосовного законодавства. Ми оформлюємо результати визначення документально.
    • Ми не збираємо, не використовуємо та не передаємо більше персональних даних, ніж це потрібно, і не зберігаємо їх у формі, що дозволяє ідентифікувати особу, довше, ніж це потрібно для таких визначених комерційних цілей і для виконання вимог застосовного законодавства.
    • Ми знеособлюємо або деідентифікуємо персональні дані, якщо є виробнича необхідність зберігати такі дані про діяльність або процес, в яких містяться персональні дані, протягом тривалого періоду часу.
    • Ми обов’язково включаємо ці зобов’язальні вимоги в усі забезпечувальні технології та повідомляємо про них третіх осіб, які підтримують діяльність або процес.

    2. Чесність: ми обробляємо персональні дані чесним способом щодо людей, чиї дані ми обробляємо.

    • Ми визначаємо, чи запропонований збір, використання чи інша обробка персональних даних створює достатньо високу ймовірність або суттєвий ризик завдання матеріальної чи моральної шкоди фізичним особам у відповідності до нашого принципу «Запобігання шкоди».
    • Якщо характер даних, типи осіб або діяльності створює достатньо високу ймовірність та (або) суттєвий ризик завдання матеріальної чи моральної шкоди фізичним особам, переконайтеся, що ризик шкоди є більшим за відповідну користь для цих осіб або нашої місії щодо збереження та покращення життя, а також пом’якшений за допомогою заходів, засобів і механізмів, які ми встановили.
    • Якщо ризик перевищує користь для фізичних осіб, ми вживаємо найбільш відповідних заходів безпеки та захисту, повідомляємо відповідних осіб про це і у встановленому порядку звертаємось за консультацією до компетентних органів державного регулювання.
    • Ми обробляємо конфіденційну інформацію виключно з явної згоди осіб, як це прямо вимагається чи явно дозволено згідно із застосовним законодавством.
    • Якщо ризик перевищує користь для фізичних осіб, ми документуємо аналіз ризиків і вживаємо заходи для зниження ризиків до якнайменшого рівня.

    3. Прозорість: ми обробляємо персональні дані в спосіб або для цілей, які є прозорими для людей, кого ці дані стосуються.

    • Усі особи, чиї персональні дані ми обробляємо відповідно до цієї політики, мають право отримати копію цієї політики. Ця політика доступна в Інтернеті за адресою www.organon.com/privacy. Ми надаватимемо електронні та (або) паперові копії цієї політики, якщо на адресу зазначеного нижче одержувача надійде відповідний запит.
    • У разі отримання персональних даних безпосередньо від фізичних осіб, перед тим, як збирати інформацію, повідомте їм за допомогою чіткого, помітного та легкодоступного повідомлення про конфіденційність або подібних заходів: 1) дані організації або організацій, відповідальних за обробку; 2) контактну інформацію Директора з питань конфіденційності даних і (або) регіонального чи місцевого керівника служби забезпечення конфіденційності даних; 3) яку інформацію ви збиратимете; 4) цілі, для яких вона буде використовуватися; 5) юридичні підстави для обробки даних; 6) кому вона надаватиметься, зокрема будь-які вимоги щодо розголошення персональних даних у відповідь на законні запити органів державної влади; 7) чи будемо і яким чином ми будемо передавати персональні дані до інших країн, включно зі встановленням відповідних країн, якщо це можливо; 8) скільки часу зберігатимуться дані, або критерії, за якими ми визначаємо цей час; 9) яким чином фізичні особи можуть задавати питання, виказувати занепокоєння або застосовувати права, пов’язані з їхніми персональними даними; 10) як вони можуть відкликати надану згоду; 11) що вони мають право подати скаргу до органу державного регулювання; 12) про будь-які зобов’язання надати персональні дані та наслідки їхнього невиконання; 13) про будь-який процес автоматичного ухвалення рішень, включно з профілюванням, що здійснюватиметься нами; 14) посилання на цю політику, якщо це можливо і доречно. Наші загальні повідомлення про конфіденційність для багатьох наших зацікавлених сторін доступні в Інтернеті за адресою: https://www.organon.com/privacy/contact/.
    • Якщо персональні дані отримують за допомогою спостереження, датчиків чи інших непрямих засобів, безпосереднє надання особі повідомлення про конфіденційність під час збирання інформації може бути неможливим. У таких випадках ми забезпечуємо прозорість за допомогою інших засобів, як-от розміщення або друк інформації на пристрої, або за допомогою матеріалів, пов’язаних із пристроєм, який отримує інформацію.
    • Якщо персональні дані збирають за допомогою вебсайту, мобільного додатка або іншої онлайнової програми чи ресурсу, ми застосовуємо стандарти залежно від застосовуваної технології, викладені в нашій Політиці конфіденційності даних в Інтернеті і Глобальній політиці відстеження за допомогою файлів cookie для виконання вимог про прозорість відповідно до цієї політики.
    • Якщо персональні дані збирають з інших джерел і не за спеціальною вказівкою нашої Компанії, то перед отриманням інформації ми повинні мати письмове підтвердження того, що постачальник інформації поінформував людей про способи та цілі, для яких наша Компанія має намір використати цю інформацію. У разі неможливості отримання письмового підтвердження від постачальника інформації ми використовуємо лише знеособлені або деідентифіковані дані або перед використанням персональних даних повідомляємо відповідним особам за допомогою повідомлення про конфіденційність або подібних заходів: 1) дані організації або організацій нашої Компанії, відповідальних за обробку інформації; 2) контактну інформацію Директора з питань конфіденційності даних і (або) регіонального чи місцевого керівника служби забезпечення захисту даних; 3) яку інформацію наша Компанія планує використовувати; 4) цілі, для яких наша компанія буде використовувати її; 5) юридичні підстави для обробки інформації нашою Компанією; 6) кому наша Компанія надаватиме її; 7) чи буде наша Компанія передавати персональні дані до інших країн, включно з визначенням відповідних країн, якщо це можливо; 8) скільки часу інформація зберігатиметься, або критерії, за якими наша Компанія визначає цей час; 9) як вони можуть задавати питання, виказувати занепокоєння або застосовувати права, пов’язані з їхніми персональними даними; 10) як вони можуть відкликати надану згоду; 11) що вони мають право подати скаргу до органу державного регулювання; 12) про будь-які зобов’язання надати персональні дані та наслідки їхнього невиконання; 13) про будь-який процес автоматичного ухвалення рішень, включно з профілюванням, що здійснюватиметься нашою Компанією; 14) посилання на цю політику, якщо це можливо і доречно.
    • Ми переконуємося в тому, що необхідні механізми забезпечення прозорості, включно з (якщо це можливо) механізмами, що підтримують запити щодо особистих прав, передбачені в будь-яких забезпечувальних технологіях і що сторонні особи, які підтримують діяльність чи процес, не обробляють інформацію про людей у такий спосіб, що суперечить тим способам, які були повідомлені особі за допомогою повідомлення про конфіденційність або інших перевірених засобів і які наша компанія та інші особи, що працюють на нашу компанію, використовуватимуть для обробки інформації.
    • Коли ми запитуємо згоду, ми отримуємо та документуємо підтвердження згоди засобами наших забезпечувальних технологій.

    4. Обмеження мети: ми використовуємо персональні дані лише відповідно до принципів необхідності та прозорості.

    • Якщо для персональних даних, що були зібрані раніше, визначені нові законні комерційні цілі, ми або отримуємо згоду особи на нове використання персональних даних, або ми забезпечуємо, щоб нова комерційна ціль була сумісною із цілями та суттєво подібною до цілей, описаних у повідомленні про конфіденційність або іншому механізмі забезпечення прозорості, який був наданий особі раніше. Ми визначаємо сумісність, виходячи зі: 1) зв’язків між початковими цілями та запропонованою новою метою; 2) розумних очікувань особи; 3) характеру персональних даних; 4) наслідків подальшої обробки для особи; 5) заходів безпеки, запроваджених нашою компанією.
    • Ми не застосовуємо цей принцип до знеособленої або деідентифікованої інформації або якщо ми використовуємо персональні дані виключно для архівних цілей і проведення наукових досліджень і якщо: 1) Комітет з етики або інший контрольний орган встановив, що ризик такого використання для конфіденційності та інших прав фізичних осіб є прийнятним; 2) ми запровадили відповідні заходи безпеки для забезпечення мінімізації даних; 3) персональні дані псевдонімізуються; та 4) дотримуються всі інші застосовні закони.
    • Ми обов’язково передбачаємо обмеження мети в усіх забезпечувальних технологіях, включаючи всі засоби повідомлення та подальший обмін даними.

    5. Якість даних: ми прагнемо забезпечувати точність, повноту та актуальність персональних даних залежно від передбаченого застосування.

    • Ми обов’язково передбачаємо наявність в усіх забезпечувальних технологіях механізмів періодичного перегляду даних для перевірки вірності даних у системах подальшої обробки відповідно до даних вихідних систем.
    • Ми переконуємося, що конфіденційна інформація є точною та актуальною, перед її використанням, оцінкою, аналізом, повідомленням чи іншим видом обробки, якщо використання неточних чи застарілих даних створює ризик необ’єктивності.
    • Якщо ми або треті особи, що працюють на нашу Компанію, вносять зміни до персональних даних, ми повідомляємо про зміни відповідних осіб в установлені строки, якщо це можливо.

    6. Безпека: ми захищаємо персональні дані та конфіденційну інформацію від втрати, неправильного використання та несанкціонованого доступу, розкриття, зміни чи знищення.

    • Ми впровадили комплексну програму захисту інформації, а також застосовуємо засоби контролю безпеки та запобіжні заходи відповідно до характеру та ступеня конфіденційності інформації та ступеня ризику від провадження діяльності, з урахуванням успішного досвіду застосування сучасних технологій і вартості впровадження. Наша політика функціональної безпеки включає стандарти забезпечення безперервності діяльності та аварійного відновлення, шифрування, управління ідентифікацією та доступом, класифікацію інформації, управління порушеннями інформаційної безпеки, контролю доступу до мережі, фізичної безпеки та управління ризиками.

    7. Передача даних: ми відповідаємо за підтримку засобів захисту конфіденційності персональних даних під час їхньої передачі до інших організацій або в інші країни.

    (1) Ми передаємо персональні дані в межах Компанії в описаних нижче випадках:

    (a) надання необхідне для досягнення цілей, для яких персональні дані збиралися із самого початку, або в інших законних інтересах Компанії; (b) мета та факт їхньої передачі відповідають повідомленню про конфіденційність або іншим механізмам забезпечення прозорості, які раніше були надані фізичній особі під час первинного збирання персональних даних, і фізична особа надала свою згоду, якщо це необхідно; (c) якщо одне дочірнє підприємство нашої Компанії діє виключно від імені інших дочірніх підприємств нашої Компанії під час обробки персональних даних; (d) якщо це вимагається згідно із законом, дочірні підприємства нашої Компанії укладають внутрішню угоду про обробку даних відповідно до принципу 8 цієї політики або; (e) якщо такої передачі вимагає ІТ-інфраструктура, за умови, що вжито всіх необхідних заходів безпеки та організаційних заходів для дотримання застосовних вимог під час передачі.

    (2) Ми передаємо персональні дані третім особам або дозволяємо третім особам обробляти персональні дані лише у випадку виконання зазначених нижче вимог. Ми підтверджуємо, що треті особи дотримуватимуться таких вимог:

    • Якщо роль третьої особи полягає в обробці персональних даних для або від імені нашої компанії, перш ніж надавати персональні дані третім особам або залучати їх, ми: 1) проводимо повну оцінку методів збереження конфіденційності та ризиків, пов’язаних із такою третьою особою; 2) отримуємо від цих третіх осіб договірні гарантії того, що вони (і) оброблятимуть персональні дані лише відповідно до інструкцій нашої Компанії та цієї політики, включно з усіма 8-ма (вісьмома) принципами конфіденційності та іншими стандартами, викладеними в цій політиці та відповідних законах; (іі) що вони негайно повідомлятимуть нашу Компанію про будь-яке порушення конфіденційності, включно з недотриманням стандартів, викладених у цій політиці та чинних законах, або порушенням безпеки, та співпрацюватимуть, аби негайно усунути будь-яке обґрунтоване порушення та відновити права осіб, викладені в розділі 2 нижче; (ііі) що вони не залучатимуть іншу компанію для обробки персональних даних без письмового дозволу та без укладання угоди, що передбачає еквівалентні зобов’язання щодо захисту даних; (іv) що вони надійно вилучатимуть або повертатимуть нашій Компанії усі персональні дані після завершення надання послуг нашій Компанії або за запитом або розпорядженням нашої Компанії; (v) що вони дозволятимуть нашій Компанії перевіряти й контролювати їхні методи для дотримання цих вимог протягом періоду обробки. Окрім того, якщо третя особа обробляє персональні дані, які походять із країни чи території, законодавство якої обмежує передачу персональних даних, ми гарантуємо, що передача третій особі відповідатиме вимогам щодо передачі даних, описаним у пункті 3) нижче.
    • Якщо роль третьої особи полягає в наданні персональних даних нашій Компанії, то перш ніж отримувати персональні дані від третьої особи, ми переконуємося в дотриманні вимоги щодо прозорості під час збирання персональних даних з інших джерел, а не за дорученням нашої Компанії, а також отримуємо від третьої особи договірні запевнення в тому, що вона не порушує жодного закону чи прав будь-якої третьої особи через надання персональних даних нашій компанії.
    • Якщо роль третьої особи полягає в тому, щоб отримувати персональні дані від нашої компанії для обробки не за дорученням нашої компанії, то перед наданням персональних даних третій особі ми переконуємося в тому, що інформація була знеособлена або деідентифікована, а також отримуємо письмові гарантії від третьої особи щодо того, що вона використовуватиме інформацію лише для конкретних комерційних цілей, визначених в угоді, та відповідно до початкового повідомлення та чинного законодавства і що вона не намагатиметься повторно ідентифікувати інформацію.
    • Якщо передача третій особі потрібна для захисту законних інтересів особи чи Компанії, ми можемо передавати інформацію: 1) з метою запобігання шахрайству або дотримання чи захисту прав і майна компанії; 2) для захисту особистої безпеки наших працівників або третіх осіб, що перебувають у нашій Компанії; 3) для захисту наших активів шляхом вжиття коригувальних заходів, якщо ми маємо підстави підозрювати, що відбулася неправомірна діяльність або серйозне порушення правил.
    • Якщо наша Компанія зацікавлена в придбанні третьої особи або контрольного пакету її акцій:, 1) перш ніж укладати угоду про придбання третьої особи або контрольного пакету акцій третьої особи, ми проводимо повну оцінку методів збереження конфіденційності та ризиків, пов’язаних із придбанням цієї третьої особи або контрольного пакету акцій цієї особи; 2) ми укладаємо угоду про передачу персональних даних, у якій зазначені умови, за якими дозволяється розкрити персональні дані, а також відповідні зобов’язання нашої компанії та третьої особи.
    • Якщо роль третьої особи полягає в придбанні всієї або частини бізнесу нашої Компанії, перед тим, як надавати будь-які персональні дані у зв’язку з відчуженням будь-якої частини бізнесу нашої Компанії, ми: 1) укладаємо угоду про передачу даних, в якій визначені умови, за якими покупцеві можна розкрити персональні дані, включно з відповідними обмеженнями щодо дозволеного використання персональних даних та дотримання стандарту, встановленого цією політикою та відповідними законами; 2) обмежуємо передачу елементів даних лише тим обсягу, в якому такі дані є необхідними; 3) отримуємо згоду на передачу персональних даних або конфіденційної інформації відповідно до принципів прозорості та обмеження мети цієї політики; 4) вимагаємо від третьої особи негайно повідомити нашу Компанію про будь-яке порушення конфіденційності, включно з будь-яким недотриманням стандартів, викладених у цій політиці та застосовних законах, а також співпрацювати, щоб негайно усунути будь-яке обґрунтоване порушення або припинити обробку відповідних персональних даних.

    (3) Ми передаємо персональні дані через кордони країни, зокрема до Сполучених Штатів Америки (США) — місцезнаходження головного офісу нашої Компанії, від імені нашої Компанії відповідно до цієї політики. Ми також застосовуємо цю політику до передачі персональних даних із будь-якої іншої країни чи території, законодавство якої обмежує передачу персональних даних, і виконуємо всі вимоги, встановлені цими законами (включно з використанням будь-яких механізмів, необхідних для транскордонної передачі даних у країни, в яких не запроваджені такі самі стандарти захисту даних, як у країні, з якої дані передаються).

    8. Дозволеність за законодавством: ми ніколи не обробляємо персональні дані, якщо не дотримані вимоги чинного законодавства.

    • Незважаючи на те, що інші 7 (сім) принципів конфіденційності даних, а також вимоги щодо прав фізичних осіб, описані нижче, призначені для того, аби забезпечити дотримання багатьох законів про конфіденційність і захист даних, які застосовуються до нашої компанії в усьому світі, у деяких країнах може знадобитися виконати додаткові вимоги, зокрема такі:

      1) якщо необхідно, ми отримуємо спеціальні форми згоди на певну обробку персональних даних, включно зі схваленням обробки радами робітників та іншими профспілками;

      2) якщо необхідно, ми реєструємо обробку персональних даних у відповідному контрольному органі у сфері забезпечення конфіденційності чи захисту даних або отримуємо від нього дозвіл на обробку;

      3) якщо необхідно, ми надаємо ширші права (наприклад, доступу та виправлення), ніж зазначені в цій політиці;

      4) якщо необхідно, ми додатково обмежуємо строк зберігання персональних даних;

      5) якщо необхідно, ми укладаємо угоди, що містять спеціальні положення, включно з угодами про транскордонну передачу даних третім особам; i

      6) якщо необхідно, ми розкриваємо персональні дані у відповідь на законні запити органів державної влади, зокрема для виконання вимог органів державної безпеки чи правоохоронних органів.

      У разі виникнення протиріч між цією політикою та чинним законодавством перевагу має норма, що забезпечує більший захист фізичних осіб.

  2. Ми негайно розглядаємо запити фізичних осіб щодо доступу, редагування, виправлення чи видалення персональних даних, щодо заперечення проти обробки персональних даних або щодо здійснення інших прав стосовно їхніх персональних даних.
    1. Доступ, виправлення, видалення та інші права. За законами більшості країн, в яких ми здійснюємо діяльність, особи мають право на доступ до своїх персональних даних, а також право редагувати, виправляти або подавати запити на те, щоб Компанія видалила неточні, неповні або застарілі персональні дані. Ми виконуємо всі запити щодо доступу, виправлення та видалення персональних даних усіх осіб відповідно до розділу 3а нижче і в порядку, передбаченому чинним законодавством. Якщо запит щодо доступу, виправлення та видалення персональних даних регулюється чинним законодавством, яке передбачає більший захист фізичних осіб, ми забезпечуємо виконання додаткових вимог законодавства.
      У деяких країнах фізичні особи можуть мати інші права щодо своїх персональних даних, наприклад, право обмежувати обробку, заперечувати проти обробки (див. також розділ 2b нижче) і передачі їхніх даних іншому постачальнику послуг. Ми забезпечуємо реалізацію прав щодо даних відповідно до чинного законодавства. Деякі права, наприклад право видалення даних, можуть бути обмежені через інші вимоги органів регулювання або встановлені на законодавчому рівні вимоги, або необхідність виконання місцевих вимог щодо обов’язкової звітності. У цьому разі ми повідомимо вас про такі обмеження відповідним чином.
    2. Вибір. Відповідно до наших принципів поваги та довіри, ми виконуємо окремі запити на заперечення проти обробки персональних даних, включно з відмовою від участі у програмах чи заходах, у яких особи раніше погодилися брати участь, обробкою персональних даних для прямого маркетингу, надсилання повідомлень, націлених на осіб на основі їхніх персональних даних, а також оцінки або ухвалення рішень щодо них, які можуть суттєво вплинути на них, за допомогою засобів автоматизації чи алгоритмів.
      1. За винятком тих випадків, коли це заборонено згідно із законодавством, ми маємо право відмовити у наданні можливості, якщо конкретний запит перешкоджатиме нашій Компанії: 1) дотримуватися законодавства або етичних зобов’язань, зокрема якщо ми зобов’язані розкривати персональні дані у відповідь на законні запити органів державної влади, зокрема для виконання вимог органів державної безпеки чи правоохоронних органів; 2) розслідувати, подавати чи оскаржувати юридичні позови; 3) виконувати договори, керувати відносинами або займатися іншими дозволеними видами комерційної діяльності, що відповідають принципам прозорості та обмеження мети і були укладені з використанням інформації відповідних людей. Ми документуємо та повідомляємо рішення ініціаторові запиту протягом 15 (п’ятнадцяти) робочих днів із дати ухвалення рішення про відхилення запиту відповідно до цієї політики, якщо чинним законодавством не передбачено інше.
  3. Ми швидко відповідаємо на всі запитання, скарги та занепокоєння, пов’язані з конфіденційністю даних, і реагуємо на будь-які потенційні порушення конфіденційності та безпеки даних, а також передаємо їх на розгляд керівництву.
    1. Будь-яка особа, чиї персональні дані ми обробляємо відповідно до цієї політики, має право будь-коли задати питання, подати скаргу чи висловити занепокоєння нашій Компанії, включно із запитами на надання переліку всіх дочірніх підприємств нашої Компанії, на які розповсюджується дія цієї політики. Ми очікуємо, що наші співробітники та інші особи, які працюють від імені нашої Компанії, оперативно повідомлять нас, якщо вони матимуть підстави вважати, що чинне законодавство може перешкоджати їм дотримуватися цієї політики. Співробітники або будь-які інші особи, які працюють від імені нашої компанії, мають спрямовувати будь-які питання, скарги чи занепокоєння або будь-які повідомлення до Глобальної служби з питань конфіденційності:
      1. Для осіб-резидентів країн Європейської економічної зони (ЄЕЗ) — електронною поштою на адресу: euprivacydpo@organon.com
      2. Для інших осіб — електронною поштою на адресу: privacyoffice@organon.com
    2. Поштою на адресу: Chief Privacy Officer, Organon & Co., 30 Hudson Street, Jersey City, NJ 07302, США. Співробітники та підрядники повинні швидко інформувати Глобальну службу з питань конфіденційності або керівника з практики ведення бізнесу їхнього підрозділу про будь-які питання, скарги або побоювання, пов’язані з методами нашої Компанії щодо збереження конфіденційності даних.
    3. Глобальна служба з питань конфіденційності самостійно або разом із колегами з відділу з питань етики, юридичного відділу та відділу дотримання законодавства розглядають і розслідують усі питання, скарги чи занепокоєння, пов’язані з методами нашої Компанії щодо збереження конфіденційності даних, незалежно від того, чи вони отримані від співробітників, інших осіб або третіх сторін, включно з органами державного регулювання, органами нагляду та іншими державними органами. Ми відповідаємо на питання, скаргу чи занепокоєння фізичної чи юридичної особи протягом 30 (тридцяти) календарних днів, якщо законодавство або третя особа, яка подає запит, не вимагає відповіді в коротший період часу, або якщо обставини, як-от державне розслідування, не вимагають більш тривалого періоду часу; у цьому випадку фізична особа або третя особа, яка подає запит, буде в письмовій формі повідомлена про загальних характер обставин, що спричиняють затримку.
    4. Глобальна служба з питань конфіденційності у співпраці з колегами з юридичного відділу та відділу з питань дотримання законодавства разом реагуватимуть на будь-який запит, перевірку чи розслідування з боку органу захисту конфіденційних даних.
    5. Усі особи, що проживають в ЄЕЗ, або особи, чиї персональні дані підпадають під дію законодавства про захист даних ЄЕЗ та передаються за межі ЄЕЗ, чиї персональні дані обробляються відповідно до цієї політики, мають право, якщо передача їхніх персональних даних регулюється Стандартними договірними положеннями ЄС, в будь-який час забезпечити виконання вимог Стандартних договірних положень в якості сторонніх бенефіціарів, включно з правом подавати судові позови для застосування засобів правового захисту в разі порушення прав відповідно до Стандартних договірних положень, і правом на відшкодування збитків, спричинених таким порушенням. Усі особи, що проживають в ЄЕЗ, або особи, чиї персональні дані підпадають під дію законодавства про захист даних ЄЕЗ та передаються за межі ЄЕЗ (зокрема до США), мають право подати скаргу чи претензію відповідно до Стандартних договірних положень проти Компанії до:
      компетентних органів із захисту даних (зокрема в країні-учасниці за місцем їхнього звичайного проживання, місцем роботи або місцем нібито скоєного порушення). Контактна інформація органів із захисту даних наведена тут: Країни-члени | Європейська рада захисту даних (europa.eu)
    6. Наша Компанія відповідає на питання, скаргу чи занепокоєння фізичної чи юридичної особи в строки, встановлені чинним законодавством, якщо третя особа, яка подає запит, не вимагає відповіді у коротший період часу, або якщо обставини не вимагають більш тривалого періоду часу, про що фізична особа або третя особа, яка подає запит, буде повідомлена в письмовій формі.
  4. Ми відповідаємо за дотримання наших принципів і стандартів забезпечення конфіденційності.
    1. Дочірнє підприємство нашої Компанії, відповідальне за дію, що призводить до підтвердженого доказами порушення конфіденційності або безпеки, несе фінансову відповідальність за сплату суми відшкодування збитків за будь-яким позовом або сплату штрафу або пені, що виникли внаслідок порушення конфіденційності або безпеки.
      1. Разом із Глобальною службою з питань конфіденційності та за її вказівкою директор із питань захисту даних в Європі відповідає за забезпечення необхідних дій для усунення будь-яких заявлених порушень цієї політики дочірніми підприємствами нашої Компанії поза межами ЄЕЗ, що стосуються осіб, які проживають в ЄЕЗ, або осіб, чиї персональні дані підпадають під дію законодавства ЄЕЗ про захист даних і передаються за межі ЄЕЗ.

Нагляд і контроль

Для запевнення органів державного регулювання та інших зацікавлених осіб у тому, що наша Компанія несе відповідальність за виконання своїх зобов’язань щодо дотримання корпоративних стандартів ділової етики та відповідального ведення бізнесу, Компанія створила групу з нагляду й контролю під головуванням директора з питань конфіденційності даних разом із Глобальною службою з питань конфіденційності (ГСПК); спостереження за роботою групи здійснює Рада із забезпечення конфіденційності та захисту даних, призначений начальник служби з питань конфіденційності в ЄС, начальник служби з питань конфіденційності в певній країні, якщо це потрібно згідно із законодавством або вимогами місцевих органів влади, керівники з практики ведення бізнесу, яких призначає вище керівництво та які виконують функції проміжної ланки між Глобальною службою з питань конфіденційності та підрозділами організації, в яких вони працюють.

Терміни, які потрібно знати

  • Деідентифікація. Видалення явних і прихованих персональних ідентифікаторів. У багатьох випадках вихідні дані, що ідентифікують особу, зберігаються окремо.
  • Знеособлений. Зміна, скорочення, знищення або інше редагування чи зміна персональних даних, аби унеможливити їхнє використання окремо або в поєднанні з іншою інформацією для ідентифікації, пошуку або зв’язку з особою.
  • Законодавство. Усі відповідні закони, норми, положення та постанови, що мають силу закону в будь-якій країні, в якій наша Компанія здійснює діяльність або в якій наша Компанія або інші особи обробляють персональні дані від імені нашої компанії. Включає в себе всі програми конфіденційності, згідно з якими наша компанія була сертифікована, включно із Системою правил забезпечення конфіденційності даних під час транскордонної передачі («ПКДТП») Азіатсько-Тихоокеанського економічного співробітництва («АТЕС»).
  • Інцидент безпеки. Інцидент інформаційної безпеки складається з однієї або декількох небажаних або неочікуваних подій інформаційної безпеки, які можуть порушити безпеку інформації та послабити або погіршити ділові операції.
  • Компанія. Organon & Co., її правонаступники, дочірні підприємства та підрозділи в усьому світі, за винятком спільних підприємств, учасником яких є наша компанія.
  • Персональні дані. Будь-які дані, що стосуються ідентифікованої особи чи особи, яку можна ідентифікувати, включно з даними, які ідентифікують особу або які можуть використовуватися для ідентифікації, пошуку, відстеження або зв’язку з особою. Персональні дані включають у себе як інформацію, що дозволяє безпосередньо ідентифікувати особу, як-от ім’я, ідентифікаційний номер або унікальна назва посади, так і інформацію, що дозволяє опосередковано ідентифікувати особу, як-от дата народження, унікальний ідентифікатор мобільного або портативного пристрою, номер телефону, а також кодовані дані, онлайн-ідентифікатори, як-от IP-адреси, або особиста діяльність, поведінка або уподобання, які можуть збиратися для надання послуг або продуктів.
  • Порушення конфіденційності. Порушення цієї Політики або законодавства про конфіденційність і захист даних; також включає в себе порушення безпеки. Визначення того, чи сталося порушення конфіденційності та чи потрібно підняти його пріоритет до витоку персональних даних, робить Глобальна служба з питань конфіденційності, відділ управління ризиками бізнес-технологій (ВУРБТ), а також юридичний відділ.
  • Обробка. Виконання будь-якої операції або набору операцій з інформацією про людей з використанням автоматичних або неавтоматичних засобів, зокрема збирання, запис, організація, зберігання, доступ, адаптація, зміна, пошук, надання, використання, оцінювання, аналіз, повідомлення, обмін, розкриття, розповсюдження, передача, узгодження, об’єднання, блокування, видалення, стирання або знищення.
  • Порушення правил захисту персональних даних. Порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних, або обґрунтоване припущення нашої Компанії про те, що така дія мала місце. Доступ до персональних даних із боку нашої Компанії або від її імені без наміру порушувати цю політику не є порушенням правил захисту персональних даних за умови, що доступ до персональних даних, їхнє подальше використання та розкриття відповідають цій політиці.
  • Конфіденційна інформація. Будь-яка інформація про людей, яка несе в собі ризик потенційної шкоди фізичним особам, включно з інформацією, визначеною законодавством як конфіденційна, зокрема інформація, що стосується здоров’я, генетична інформація, біометрія, расова чи етнічна приналежність, релігійні, політичні або філософські думки чи переконання, судимості, інформація про точне географічне розташування, номери банківських чи інших фінансових рахунків, державні ідентифікаційні номери, інформація неповнолітніх дітей, сексуальне життя, сексуальна орієнтація, приналежність до профспілок, інформація про страхування, соціальне забезпечення та інші пільги, надані роботодавцем або урядом.
  • Третя особа. Будь-яка юридична особа, об’єднання чи фізична особа, яка не належить нашій Компанії або в якій наша Компанія не має контрольного пакета акцій, або яка не є працівником нашої Компанії. Афілійовані особи нашої Компанії не вважаються третіми особами.

Зміна політики

До цієї політики можуть періодично вноситися зміни відповідно до вимог чинного законодавства. Якщо ця політика буде змінена суттєво, на вебсторінці нашої компанії про конфіденційність (https://www.organon.com/privacy) буде опубліковане повідомлення протягом 60 (шістдесяти) календарних днів.

Bei Organon erstreckt sich unsere Mission, einen Beitrag für ein gesünderes Leben zu leisten, auch auf die Wahrung der Privatsphäre und den Schutz personenbezogener Daten.

Revisionsdatum: 01. Februar 2021
Gültig ab: 01. Juni 2021

Wir sind stets bestrebt, unsere Geschäftstätigkeit im Einklang mit unseren Datenschutzgrundsätzen auszuüben, da wir der festen Überzeugung sind, dass diese Werte unsere unerschütterliche Verpflichtung zu ethischen und verantwortungsvollen Datenverarbeitungspraktiken demonstrieren.

Wir sind uns bewusst, dass Innovation und neue Technologien einen kontinuierlichen Wandel vorantreiben. Daher sind wir bestrebt, die Anwendung unserer Datenschutzgrundsätze als Reaktion auf diese Veränderungen regelmäßig anzupassen.

  • Diese Richtlinie definiert unsere globalen Standards für den Umgang mit und den Schutz von personenbezogenen Daten, wenn diese im Namen unseres Unternehmens über Ländergrenzen hinweg übertragen werden, unabhängig von dem Land, aus dem sie stammen oder in das die personenbezogenen Daten möglicherweise übertragen werden. Sie beschreibt unsere Kernverpflichtungen, die die Einhaltung unserer Zertifizierung nach den APEC Cross-Border Privacy Rules Certification (Bestimmungen für die grenzüberschreitende Datenübermittlung) unterstützen. Diese Richtlinie gilt auch für alle Personen, über die wir Daten verarbeiten, einschließlich, aber nicht beschränkt auf medizinisches Fachpersonal und Kunden, potenzielle, derzeitige und frühere Mitarbeiter und ihre Angehörigen, Patienten, Pflegepersonal, Wissenschaftler und Studienteilnehmer, Mitglieder von Wissenschafts- und Ethikkomitees, Geschäftspartner, Investoren und Aktionäre, Regierungs- und Verwaltungsangehörige und sonstige Interessengruppen.

Alle Mitarbeiter und leitenden Führungskräfte des Unternehmens haben eine zentrale Verantwortung für den Datenschutz, die unbedingt einzuhalten ist.

Wir sind uns bewusst, dass unabsichtliche Fehler und Fehleinschätzungen beim Schutz personenbezogener Daten zu möglichen Datenschutzrisiken für Personen führen sowie unsere Reputation, Betriebstätigkeit, Finanzen und Compliance gefährden können. Wir bieten allen Beschäftigten und anderen Mitarbeitern, die ständigen oder regelmäßigen Zugang zu personenbezogenen Daten haben, die in die Datenerfassung einbezogen sind oder bei der Entwicklung von Arbeitsmitteln zur Verarbeitung von personenbezogenen Daten helfen, entsprechende Schulungen zu dieser Richtlinie an. Alle Mitarbeiter unseres Unternehmens und andere, die für unser Unternehmen personenbezogene Daten verarbeiten, müssen ihre Verpflichtungen gemäß der vorliegenden Richtlinie und geltender Gesetze kennen, verstehen und sie einhalten.

Unsere Datenschutzwerte und -standards

Unsere Datenschutzwerte sind die Grundlage all unserer Aktivitäten. Unsere vier Datenschutzwerte sind:

Respekt

Vertrauen

Vermeidung von Schäden

Einhaltung

Wir sind uns bewusst, dass die Einstellung zum Thema Datenschutz häufig im Wesentlichen damit zusammenhängt, wer wir sind, wie wir die Welt betrachten und wie wir uns selbst definieren. Daher sind wir bestrebt, die Perspektiven und Interessen von Einzelpersonen und Gemeinschaften zu respektieren und bei der Verwendung und Weitergabe von Informationen über diese fair und transparent zu sein.

Wir wissen, dass Vertrauen von entscheidender Bedeutung für unseren Erfolg ist. Deshalb bemühen wir uns, das Vertrauen unserer Kunden, Mitarbeiter, Studienteilnehmer und anderer Interessengruppen in die Art und Weise, wie wir die Privatsphäre respektieren und Informationen über Menschen schützen, aufzubauen und zu erhalten.

Wir sind uns bewusst, dass der Missbrauch personenbezogener Daten sowohl zu materiellen als auch zu immateriellen Schäden für Personen führen kann. Daher tun wir alles, um das Risiko physischer, finanzieller, reputationsbezogener und anderer Arten von Schäden für Personen zu vermeiden, die aufgrund von Datenschutzproblemen entstehen könnten.

Wir wissen, dass Gesetze und Vorschriften nicht immer mit den rasanten technologischen Veränderungen, Datenströmen und den einhergehenden Verlagerungen von Datenschutzrisiken und den damit verbundenen Erwartungen Schritt halten können. Aus diesem Grund tun wir alles, um sowohl Ihre Privatsphäre zu wahren als auch Ihre personenbezogenen Daten zu schützen und dabei eine konsistente und effiziente Betriebstätigkeit unserer globalen Geschäftsniederlassungen zu ermöglichen.
  1. Wir verankern unsere Datenschutzstandards in Aktivitäten, Prozessen, Technologien und Beziehungen mit Dritten, die personenbezogene Daten verarbeiten. Wir integrieren Datenschutzkontrollen in unsere Prozesse und Technologien, die im Einklang mit unseren Datenschutzwerten und -standards und geltenden Gesetzen stehen. Unsere nachstehend aufgeführten acht (8) Datenschutzprinzipien geben eine Zusammenfassung unserer hohen Datenschutzstandards und der zentralen Anforderungen für Prozesse, Aktivitäten und deren jeweiligen unterstützenden Technologien wieder.

    Datenschutzprinzipien

    Unsere zentralen Verpflichtungen

    1. Notwendigkeit – Vor der Erfassung und Verarbeitung personenbezogener Daten definieren und dokumentieren wir die konkreten und rechtmäßigen Geschäftszwecke, für die diese Daten benötigt werden.

    • Wir ermitteln, welche personenbezogenen Daten wie lange für die jeweils definierten Geschäftszwecke und für die anwendbaren gesetzliche Bestimmungen benötigt werden. Wir dokumentieren unsere Entscheidung.
    • Es erfolgt keine Erfassung, Verwendung und Weitergabe personenbezogener Daten in einem größeren Umfang als erforderlich. Die Daten werden auch nicht länger, als dies für die definierten Geschäftszwecke und für anwendbare gesetzliche Bestimmungen nötig ist, in identifizierbarer Form gespeichert.
    • Wir anonymisieren die Daten, wenn die Geschäftsanforderungen bezüglich der Aktivität oder des Prozesses eine Speicherung der jeweiligen Daten über einen längeren Zeitraum hinweg bedingen.
    • Wir stellen sicher, dass diese Erfordernisse in sämtliche unterstützenden Technologien integriert und Dritten mitgeteilt werden, die die Aktivität oder den Prozess unterstützen.

    2. Fairness – Wir verarbeiten personenbezogene Daten in einer Weise, die gegenüber den Personen, auf die sich diese Daten beziehen, fair ist.

    • Wir ermitteln, ob die beabsichtigte Erfassung, Verwendung oder sonstige Verarbeitung personenbezogener Daten ein relativ wahrscheinliches bzw. ernstes Risiko eines materiellen oder immateriellen Schadens für Personen darstellt und mit unserem Datenschutzwert Schäden zu vermeiden, vereinbar ist.
    • Falls das Art der Daten, die Gruppen von Personen oder die Aktivität das relativ wahrscheinliche bzw. ernste Risiko eines materiellen oder immateriellen Schadens für Personen darstellt, stellen wir sicher, dass das Risiko des Schadens durch einen entsprechenden Nutzen für die betroffenen Personen überwogen und durch unsere Maßnahmen, Sicherheitsmaßnahmen und Prozesse abgeschwächt wird.
    • Wir verarbeiten vertrauliche Daten nur mit der ausdrücklichen Zustimmung der Personen, soweit dies ausdrücklich erforderlich oder nach geltendem Recht zulässig ist.
    • Sofern das Risiko den Nutzen für Personen überwiegt, wenden wir die relevantesten Sicherheits- und Schutzmaßnahmen an, informieren Einzelpersonen über diese Tatsache und suchen, wenn erforderlich, den Rat der zuständigen Aufsichtsbehörde.
    • Sofern das Risiko den Nutzen für Personen überwiegt, dokumentieren wir die Risikoanalyse und implementieren Sicherheitsvorkehrungen, um die Risiken so weit wie möglich zu minimieren.

    3. Transparenz – Wir verarbeiten personenbezogene Daten auf eine Art und Weise oder für Zwecke, die für Personen, auf die sich die Daten beziehen, ohne weiteres transparent sind.

    • Alle Personen, deren personenbezogenen Daten gemäß dieser Richtlinie verarbeitet werden, haben das Recht, eine Kopie dieser Richtlinie zu erhalten. Kopien der Richtlinie sind online unter www.organon.com/privacy verfügbar und wir stellen auf Anfrage elektronische Versionen und/oder Kopien dieser Richtlinie in Papierform zur Verfügung. Die Anfragen sind an die unten aufgeführten Anschriften zu richten.
    • Bei der direkten Erfassung personenbezogener Daten von Personen informieren wir diese vor der Erfassung der Daten und durch einen eindeutigen, klar erkennbaren und leicht zugänglichen Datenschutzhinweis oder vergleichbare Methoden (1) über die für die Verarbeitung zuständige/n Unternehmenseinheit oder -einheiten, (2) über die Kontaktdaten unseres leitenden Datenschutzbeauftragten bzw. des regionalen/örtlichen Datenschutzbeauftragten, (3) über die Art der erfassten Daten, (4) über den Verwendungszweck, (5) über die rechtliche Grundlage für unsere Verarbeitung der Daten, (6) an wen die Daten weitergegeben werden, einschließlich aller Anforderungen zur Offenlegung personenbezogener Daten aufgrund von rechtlichen Anfragen durch Behörden, (7) ob und wie wir die personenbezogenen Daten in andere Länder übermitteln, einschließlich der Angabe der betreffenden Länder, sofern dies möglich ist, (8) wie lange wir die Daten speichern oder die Kriterien, nach denen wir dies festlegen, (9) wie Personen eine Frage stellen, ein Anliegen vorbringen oder ihre Rechte hinsichtlich ihrer personenbezogenen Daten wahrnehmen können, (10) wie sie jedwede Einwilligung, die sie gegeben haben, widerrufen können, (11) über ihr Recht, eine Beschwerde bei der zuständigen Behörde einzureichen, (12) über jedwede Verpflichtung zur Bereitstellung personenbezogener Daten und die Folgen einer Unterlassung dessen, (13) über jedwede automatisierte Entscheidungsfindung, einschließlich Profiling, die möglicherweise ausgeführt wird, und (14) einen Link zu dieser Richtlinie, sofern möglich und angemessen. Die umfangreichen Datenschutzhinweise für viele unserer Stakeholder sind online unter https://www.organon.com/privacy/contact/ verfügbar.
    • Wenn personenbezogene Daten durch Beobachtung, Messung oder andere indirekte Mittel erhoben werden, ist es unter Umständen nicht möglich, der Person zum Zeitpunkt der Datenerhebung direkt einen Datenschutzhinweis zu geben. In solchen Fällen stellen wir die Transparenz für die Person auf andere Weise sicher, z. B. durch einen Hinweis auf dem Gerät oder auf Materialien, die mit dem Gerät in Verbindung stehen, das die Daten erfasst.
    • Bei der Erfassung personenbezogener Daten über eine Website, mobile App oder sonstige Online-Anwendung oder -Ressourcen wenden wir die in unserer Internet-Datenschutzrichtlinie und unserer globalen Online-Tracking-Richtlinie dargelegten technologiespezifischen Standards an, um sicherzustellen, dass die Anforderungen in puncto Transparenz nach Maßgabe dieser Richtlinie erfüllt werden.
    • Bei der Erfassung personenbezogener Daten aus anderen Quellen und nicht auf konkrete Anweisung unseres Unternehmens überprüfen wir vor der Datenerfassung schriftlich, dass der Datenanbieter die betroffenen Personen darüber in Kenntnis gesetzt hat, wie und für welche Zwecke unser Unternehmen die Daten zu verarbeiten plant. Falls vom Datenanbieter keine schriftliche Verifizierung eingeholt werden kann, verwenden wir ausschließlich anonymisierte oder deidentifizierte Daten oder informieren vor der Verwendung personenbezogener Daten die betroffenen Personen mittels Datenschutzhinweis oder vergleichbaren Methoden (1) über die für die Datenverarbeitung zuständige/n Unternehmenseinheit oder -einheiten, (2) über die Kontaktdaten unseres leitenden Datenschutzbeauftragten bzw. des regionalen/örtlichen Datenschutzbeauftragten, (3) welche Daten unser Unternehmen zu verarbeiten beabsichtigt, (4) über die Zwecke der Datenverwendung durch unser Unternehmen, (5) über die rechtliche Grundlage für unsere Verarbeitung, (6) an wen die Daten von uns weitergegeben werden, (7) ob und wie wir die personenbezogenen Daten in andere Länder übermitteln, einschließlich der Angabe der betreffenden Länder, sofern dies möglich ist, (8) wie lange unser Unternehmen beabsichtigt, sie zu speichern oder die Kriterien, nach denen wir dies festlegen, (9) wie Betroffene eine Frage stellen, ein Anliegen vorbringen oder ihre Rechte hinsichtlich ihrer personenbezogenen Daten wahrnehmen können, (10) wie sie jedwede Einwilligung, die sie gegeben haben, widerrufen können, (11) über ihr Recht, eine Beschwerde bei der zuständigen Behörde einzureichen, (12) über jedwede Verpflichtung zur Bereitstellung personenbezogener Daten und die Folgen einer Unterlassung dessen, (13) über jedwede automatisierte Entscheidungsfindung, einschließlich Profiling, die möglicherweise ausgeführt wird und (14) einen Link zu dieser Richtlinie, sofern möglich und angemessen.
    • Wir stellen sicher, dass die notwendigen Transparenzmechanismen, einschließlich (sofern möglich) Mechanismen, die individuelle Anfragen hinsichtlich bestehender Rechte ermöglichen, in die unterstützenden Technologien integriert sind und dass Dritte, die die Aktivität oder den Prozess unterstützen, die personenbezogenen Daten nicht auf eine Weise verwenden, die in Widerspruch zu den Angaben stehen, die den betroffenen Personen in einem Datenschutzhinweis oder durch andere verifizierbare Methoden hinsichtlich der durch uns und andere geplanten Verwendungszwecke bereits mitgeteilt wurden.
    • Im Fall einer Einwilligung holen wir den Nachweis der Einwilligung ein und dokumentieren ihn in unseren unterstützenden Technologien.

    4. Zweckbeschränkung – Wir verwenden personenbezogene Daten ausschließlich nach Maßgabe der Grundsätze von Notwendigkeit und Transparenz.

    • Wenn neue legitime Geschäftszwecke für zuvor erfasste personenbezogene Daten erkannt werden, holen wir entweder die Einwilligung der Person für die neue Verwendung der personenbezogenen Daten ein, oder wir stellen sicher, dass der neue Geschäftszweck mit den Zwecken, die einem Datenschutzhinweis oder einem anderen Transparenzmechanismus, der der Person zuvor zur Verfügung gestellt wurde, beschrieben wurden, vereinbar ist oder diesem im Wesentlichen entspricht. Wir bestimmen die Kompatibilität basierend auf (1) jedweder Verbindung zwischen dem ursprünglichen Zweck und dem vorgeschlagenen neuen Zweck, (2) den berechtigten Erwartungen der Einzelperson, (3) der Art der personenbezogenen Daten, (4) den Folgen der Weiterverarbeitung für die Einzelperson und (5) den von uns vorgesehenen Sicherheitsmaßnahmen.
    • Wir wenden dieses Prinzip nicht bei anonymisierten oder deidentifizierten Daten an oder wenn wir die personenbezogenen Daten ausschließlich für historische oder wissenschaftliche Forschungszwecke verwenden und (1) ein Ethikkomitee oder eine andere zuständige Prüfinstanz festgestellt hat, dass das Risiko einer derartigen Verwendung für den Datenschutz und andere Rechte von Personen akzeptabel ist, (2) wir angemessene Sicherheitsmaßnahmen treffen, um Datensparsamkeit sicherzustellen, (3) die personenbezogenen Daten pseudonymisiert werden, sowie (4) alle anderen anwendbaren Gesetze eingehalten werden.
    • Wir stellen sicher, dass Einschränkungen der Zweckbeschränkung in alle unterstützenden Technologien – einschließlich Berichtsmöglichkeiten und nachgeschaltete Datenweitergabe – integriert werden.

    5. Datenqualität – Wir bemühen uns, personenbezogene Daten korrekt, vollständig und aktuell sowie im Einklang mit der beabsichtigten Verwendung zu speichern.

    • Wir stellen sicher, dass Mechanismen zur regelmäßigen Datenprüfung in unterstützende Technologien integriert werden, um auf diese Weise die Korrektheit der Daten im Vergleich zur Datenquelle und den nachgeschalteten Systemen validieren zu können.
    • Wir stellen die Korrektheit und Aktualität sensibler Daten vor Verwendung, Auswertung, Analyse oder sonstigen Verwendungsmöglichkeiten sicher, falls durch Verwendung falscher oder überholter Daten das Risiko mangelnder Fairness für die betroffenen Personen bestehen würde.

    6. Sicherheit – Wir etablieren Sicherheitsmaßnahmen zum Schutz personenbezogener und sensibler Daten vor Verlust, Missbrauch und unautorisiertem Zugriff sowie vor unautorisierter Veröffentlichung, Veränderung und Vernichtung.

    • Wir haben ein umfangreichendes Programm zur Informationssicherheit aufgesetzt und wenden Sicherheitskontrollen und Sicherheitsvorkehrungen an, die sich nach dem Wesen und der Sensibilität der Daten und der Risikostufe der Aktivität richten. Hierbei berücksichtigen wir die besten Vorgehensweisen auf Basis aktueller Technologien und die Kosten der Implementierung. Unsere funktionalen Sicherheitsrichtlinien umfassen insbesondere Standards zu Geschäftskontinuität und Notfallwiederherstellung, Verschlüsselung, Identitäts- und Zugriffsmanagement, Informationsklassifizierung, Management von Vorfällen in Bezug auf die Informationssicherheit, Kontrolle des Netzwerkzugangs, physische Sicherheit und Risikomanagement.

    7. Datentransfer – Wir sind verantwortlich für die Beachtung der Datenschutzbestimmungen hinsichtlich personenbezogener Daten, wenn diese an andere oder von anderen Unternehmen oder grenzüberschreitend übermittelt werden.

    (1) Wir übermitteln personenbezogene Daten innerhalb unseres Unternehmens, wenn folgende Anforderungen erfüllt sind:

    (a) Die Weitergabe ist notwendig, um den Zweck zu erfüllen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, oder, um ein anderes berechtigtes Interesse des Unternehmens zu erfüllen und (b) der Zweck, für den sie weitergegeben werden sollen, sowie die Tatsache, dass sie gemeinsam genutzt werden, im Einklang mit der Datenschutzrichtlinie oder einem anderen Transparenzverfahren stehen, die der Einzelperson vorab im Zeitpunkt der ursprünglichen Erfassung der personenbezogenen Daten zur Verfügung gestellt wurden und – soweit erforderlich – zu denen die Einzelperson ihre Einwilligung erklärte, (c) wenn eine unserer Gesellschaften bei der Verarbeitung von personenbezogenen Daten ausschließlich im Auftrag einer anderen Gesellschaft unseres Unternehmens handelt und (d) wenn Gesellschaften unseres Unternehmens eine interne Datenverarbeitungsvereinbarung gemäß Prinzip 8 dieser Richtlinie abschließen, sofern dies gesetzlich vorgeschrieben ist, oder (e) wenn die IT-Infrastruktur eine solche Übertragung erfordert, und vorausgesetzt, dass alle angemessenen Sicherheits- und Organisationsmaßnahmen vorhanden sind, um eine rechtskonforme Übertragung zu gewährleisten.

    (2) Wir übermitteln personenbezogene Daten an Dritte oder gestatten die Verarbeitung durch Dritte nur dann, wenn folgende Anforderungen erfüllt sind und wir bestätigen, dass Dritte diese Anforderungen erfüllen:

    • Wenn die Funktion des Dritten darin besteht, die personenbezogenen Daten für unser Unternehmen oder in dessen Namen zu verarbeiten, so führen wir vor der Bereitstellung der personenbezogenen Daten an den Dritten oder vor dessen Beauftragung (1) eine vollständige datenschutzspezifische Due-Diligence-Prüfung zur Beurteilung der Datenschutzpraktiken und der mit den Dritten verbundenen Risiken durch, (2) holen vertragliche Zusicherungen von den Dritten dahingehend ein, (i) dass sie die personenbezogenen Daten ausschließlich nach den Anweisungen unseres Unternehmens und im Einklang mit dieser Richtlinie verarbeiten, insbesondere mit allen acht (8) in dieser Richtlinie dargelegten Datenschutzprinzipien und anderen Standards sowie allen geltenden Gesetzen, und (ii) dass sie unser Unternehmen unverzüglich über jeden Datenschutz- oder Sicherheitsvorfall, einschließlich der Nichteinhaltung der in dieser Richtlinie festgelegten Standards sowie anwendbaren Gesetze benachrichtigen und mit uns zusammen arbeiten, um jeden begründeten Vorfall unverzüglich zu beseitigen und die in Abschnitt 2 aufgeführten persönlichen Rechte zu wahren, (iii) dass sie kein anderes Unternehmen mit der Verarbeitung der personenbezogenen Daten beauftragen, ohne dass wir dies schriftlich genehmigt haben und ohne eine Vereinbarung zu treffen, die gleichwertige Datenschutzverpflichtungen auferlegt, (iv) dass sie alle personenbezogenen Daten sicher löschen oder an uns zurückgeben, nachdem sie die Erbringung der Dienstleistungen für uns abgeschlossen haben, oder auf unsere Anfrage oder Anweisung (v) und es uns gestatten, ihre Vorgehensweise während ihrer Datenverarbeitung zu überprüfen und zu kontrollieren, um für die Dauer der Verarbeitung die Einhaltung dieser Anforderungen sicherzustellen. Wenn der Dritte personenbezogene Daten verarbeitet, die aus einem anderen Land oder Gebiet stammen, in dem die Übermittlung personenbezogener Daten eingeschränkt ist, stellen wir darüber hinaus sicher, dass der Transfer an den Dritten die in Punkt (3) unten dargestellten Anforderungen für die grenzüberschreitende Datenübermittlung erfüllt.
    • Wenn die Funktion des Dritten darin besteht, unserem Unternehmen personenbezogene Daten bereitzustellen, so stellen wir vor dem Erhalt personenbezogener Daten von diesem Dritten sicher, dass die Transparenzanforderungen hinsichtlich personenbezogener Daten, die aus anderen Quellen und nicht auf konkrete Anweisung unseres Unternehmens erfasst werden, erfüllt sind, und holen von dem Dritten vertragliche Zusicherungen ein, dass durch die Bereitstellung personenbezogener Daten an uns nicht gegen Gesetze oder Rechte sonstiger Dritter verstoßen wurde.
    • Wenn die Funktion des Dritten darin besteht, Daten von unserem Unternehmen zur Verarbeitung zu erhalten, die nicht konkret auf Anweisung unseres Unternehmens erfolgt, so stellen wir vor der Bereitstellung der Daten an diesen Dritten sicher, dass die Daten anonymisiert wurden, und holen von dem Dritten die schriftliche Zusicherung ein, dass er diese ausschließlich für die vertraglich festgelegten Geschäftszwecke sowie nach Maßgabe geltender Gesetze verwendet und dass er keinesfalls versucht, die Anonymisierung der Daten rückgängig zu machen.
    • Wenn die Weitergabe an Dritte erforderlich ist, um die berechtigten Interessen der Einzelperson oder des Unternehmens zu schützen: können wir die Daten weitergeben: (1) für die Zwecke der Verhinderung von Betrug oder zur Durchsetzung oder zum Schutz der Rechte und des Eigentums des Unternehmens, (2) auf unserem Betriebsgelände für den Schutz der persönlichen Sicherheit unserer Mitarbeiter oder Dritter, und (3) um unsere Vermögenswerte zu schützen, indem wir korrigierende Sicherheitsmaßnahmen ergreifen, wenn wir den begründeten Verdacht haben, dass eine rechtswidrige Handlung oder schweres Fehlverhalten stattgefunden haben.
    • Wenn der Dritte ein mögliches Ziel einer Akquisition oder Mehrheitsbeteiligung durch unser Unternehmen ist, so führen wir (1) vor Abschluss einer Vereinbarung zur Akquisition oder Mehrheitsbeteiligung mit dem Dritten eine vollständige datenschutzspezifische Due-Diligence-Prüfung zur Ermittlung der Datenschutzpraktiken und der mit einer Akquisition des oder einer Mehrheitsbeteiligung an dem Dritten verbundenen Risiken durch und (2) schließen eine Vereinbarung zur Datenübermittlung, in der die Konditionen, nach denen personenbezogene Daten offengelegt werden dürfen, sowie die jeweiligen Pflichten unseres Unternehmens und des Dritten genau festgelegt sind.

    Wenn die Funktion des Dritten darin besteht, Geschäftsanteile unseres Unternehmens ganz oder teilweise zu übernehmen, so vereinbaren wir vor der Weitergabe von personenbezogenen Daten in Verbindung mit einer vollständigen oder teilweisen Veräußerung unseres Unternehmens (1) einen Vertrag über die Datenübermittlung, in der die Konditionen festgelegt sind, nach denen personenbezogene Daten dem Käufer offengelegt werden dürfen, einschließlich angemessener Beschränkungen hinsichtlich der zulässigen Verwendung personenbezogener Daten und der Einhaltung des in dieser Richtlinie festgelegten Standards und des geltenden Rechts, (2) die gemeinsame Nutzung von Datenelementen auf das notwendige Maß zu beschränken, (3) die Zustimmung zur gemeinsamen Nutzung von personenbezogenen Daten oder sensiblen Daten in Übereinstimmung mit den Grundsätzen der Transparenz und Zweckbindung dieser Richtlinie einzuholen, und (4) den Dritten zu verpflichten, unser Unternehmen unverzüglich über einen entsprechenden Datenschutzvorfall zu informieren, einschließlich der Nichteinhaltung der in dieser Richtlinie festgelegten Standards oder des geltenden Rechts, und mit uns zusammenzuarbeiten, um alle begründeten Vorfälle unverzüglich zu beseitigen oder die Verarbeitung der betreffenden personenbezogenen Daten einzustellen.

    (3) Die grenzüberschreitende Übermittlung von personenbezogenen Daten durch unser Unternehmen oder in unserem Auftrag – einschließlich der Übermittlung in die Vereinigten Staaten von Amerika (USA), wo sich der Hauptsitz unseres Unternehmens befindet, erfolgt ausschließlich im Einklang mit dieser Richtlinie. Wir wenden diese Richtlinie auch bei der Übermittlung personenbezogener Daten aus einem anderen Land oder Territorium an, in dem die Übermittlung personenbezogener Daten gesetzlich eingeschränkt ist. Darüber hinaus erfüllen wir alle Anforderungen, die durch solche Gesetze auferlegt werden (einschließlich der Verwendung von Mechanismen, die für grenzüberschreitende Übermittlungen in Länder erforderlich sind, die nicht dieselben Datenschutzstandards wie das Herkunftsland haben).

    8. Gesetzlich zulässig – Wir verarbeiten personenbezogene Daten nur, wenn die Anforderungen geltender Gesetze erfüllt werden.

    • Wenngleich die anderen sieben (7) Datenschutzprinzipien sowie die unten aufgeführten Anforderungen an die Rechte des Einzelnen sicherstellen sollen, dass die Vorgaben der allermeisten Gesetze zur Wahrung der Privatsphäre und des Datenschutzes, die für unser Geschäft weltweit gelten, eingehalten werden können, müssen wir dennoch in bestimmten Ländern zusätzliche Anforderungen erfüllen, darunter insbesondere:

      1) Sofern erforderlich, holen wir die konkrete Zustimmung für bestimmte Verarbeitungen personenbezogener Daten ein, darunter insbesondere die Zustimmung zur Verarbeitung durch Betriebsräte und sonstige Mitarbeiter- oder Gewerkschaftsvertretungen.

      2) Sofern erforderlich, melden wir die Verarbeitung personenbezogener Daten bei den für die Wahrung der Privatsphäre und für Datenschutz zuständigen Behörden oder beantragen deren Genehmigung.

      3) Sofern erforderlich, gewähren wir umfassendere Rechte (z B. bezüglich Zugang und Korrektur) als in dieser Richtlinie dargelegt.

      4) Sofern erforderlich, schränken wir die Speicherdauer für personenbezogene Daten weiter ein.

      5) Sofern erforderlich, schließen wir Vereinbarungen, die spezielle Klauseln enthalten, einschließlich Vereinbarungen zur grenzüberschreitenden Datenübermittlung an Dritte.

      6) Sofern erforderlich, werden wir personenbezogene Daten als Reaktion auf rechtmäßige Anfragen von öffentlichen Behörden offenlegen, einschließlich zur Erfüllung nationaler Sicherheits- oder Strafverfolgungsanforderungen.

      Im Falle eines Konflikts zwischen dieser Richtlinie und einem anwendbaren Gesetz hat die Norm Vorrang, die mehr Schutz für den Einzelnen bietet.

  2. Individuelle Anfragen hinsichtlich der Rechte auf Auskunft über, Änderung, Korrektur oder Löschung von personenbezogenen Daten, Widersprüche gegen die Verarbeitung personenbezogener Daten oder Ausübung anderer Rechte hinsichtlich der personenbezogenen Daten werden von uns innerhalb der gesetzlichen Frist bearbeitet.
    1. Auskunft, Korrektur, Löschung und andere Rechte – In den meisten Ländern, in denen wir geschäftlich tätig sind, haben Personen das Recht, ihre eigenen personenbezogenen Daten einzusehen, sie zu ändern, zu korrigieren oder die Löschung anzufordern.

      Wir respektieren gemäß nachstehendem Abschnitt 3a und soweit gesetzlich zulässig, alle Anfragen in Bezug auf Auskunft, Korrektur und Löschung personenbezogener Daten von allen Personen. Falls eine Anfrage auf Auskunft, Korrektur oder Löschung einem geltenden Gesetz unterliegt, das einen größeren Schutz für Einzelpersonen vorsieht, stellen wir sicher, dass die zusätzlichen gesetzlichen Vorgaben erfüllt werden.

      In einigen Ländern haben Personen möglicherweise Anspruch auf weitere Rechte in Bezug auf ihre eigenen personenbezogenen Daten, wie das Recht, die Verarbeitung einzuschränken, einer Verarbeitung zu widersprechen (siehe auch nachstehenden Abschnitt 2b), und ihre Daten an einen anderen Dienstleister zu übermitteln. Wir respektieren die Ausübung der Datenrechte im Einklang mit den anwendbaren Gesetzen. Einige Rechte, wie z. B. das Recht auf Löschung, können aufgrund anderer behördlicher oder gesetzlicher Bestimmungen oder der Notwendigkeit der Einhaltung lokaler Compliance-Berichterstattung eingeschränkt sein; in diesem Fall werden wir Sie gegebenenfalls über diese Einschränkungen informieren.

    2. Wahlmöglichkeit – Im Einklang mit unseren Datenschutzwerten „Respekt“ und „Vertrauen“ respektieren wir individuelle Anfragen auf Widerspruch gegen die Verarbeitung personenbezogener Daten, insbesondere die Wahlmöglichkeit, die Einwilligung zu einer vorab zugesagten Teilnahme an Programmen oder Aktivitäten zu widerrufen, der Verarbeitung personenbezogener Daten für Direktmarketingzwecke zu widersprechen, zielgerichtete Mitteilungen auf Basis personenbezogener Daten zu stoppen sowie Widerspruch gegen Auswertungen oder Entscheidungen, die automatisiert oder durch Anwendung von Algorithmen erfolgen und für die betroffenen Personen signifikante Auswirkungen haben können, einzulegen. Außer in Fällen, in denen dies gesetzlich verboten ist, können wir die Wahl verweigern, wenn eine spezielle Anfrage unser Unternehmen daran hindern oder beeinträchtigen würde: (1) Gesetze einzuhalten oder ethische Pflichten zu erfüllen, einschließlich Situationen, in denen wir als Reaktion auf gesetzmäßige Anfragen von öffentlichen Behörden personenbezogene Daten offenlegen müssen, unter anderem zum Zwecke der Befolgung nationaler Sicherheits- oder Strafverfolgungsanforderungen, (2) Rechtsansprüche zu untersuchen, geltend zu machen oder abzuwehren und (3) Verträge zu erfüllen, Beziehungen zu verwalten oder andere zulässige Geschäftsaktivitäten durchzuführen , die mit den Grundsätzen der Transparenz und der Zweckbindung übereinstimmen und unter Berufung auf die Daten über die betreffenden Personen eingegangen wurden. Wir dokumentieren eine Entscheidung über die Ablehnung einer Anfrage gemäß dieser Richtlinie und teilen sie dem Antragsteller innerhalb von fünfzehn (15) Werktagen mit, sofern gesetzlich nicht anders vorgeschrieben.
  3. Wir reagieren unverzüglich und sorgen für die umgehende Eskalation aller datenschutzbezogenen Fragen, Beschwerden, Anliegen und aller potenziellen Vorfälle bezüglich Privatsphäre und Datensicherheit.
    1. Jede Person, über die wir personenbezogene Daten innerhalb des Geltungsbereichs dieser Richtlinie verarbeiten, kann sich jederzeit mit Fragen, Beschwerden oder Anliegen an uns wenden, auch mit einer Anfrage nach einer Liste aller Gesellschaften unseres Unternehmens, für die diese Richtlinie Gültigkeit hat. Wir erwarten, dass unsere Mitarbeiter und andere, für unser Unternehmen tätige Personen, uns unverzüglich darüber informieren werden, wenn sie Grund zu der Annahme haben, dass ein anwendbares Gesetz sie möglicherweise an der Einhaltung dieser Richtlinie hindert. Fragen, Beschwerden oder Anliegen von Einzelpersonen oder Hinweise von Mitarbeitern oder anderen, für unser Unternehmen tätigen Personen, sind an das Global Privacy Office zu richten:
      1. Per E-Mail für Personen mit Wohnsitz im Europäischen Wirtschaftsraum (EWR) an: euprivacydpo@organon.com
      2. Ansonsten per E-Mail an: privacyoffice@organon.com
    2. Postalisch an: Chief Privacy Officer, Organon & Co., 30 Hudson Street, Jersey City, NJ 07302. Angestellte sowie freie Mitarbeiter müssen das Global Privacy Office oder den für ihren Bereich ausgewiesenen Business Practice Manager unverzüglich über alle Fragen, Beschwerden oder Anliegen bezüglich der Datenschutzpraktiken unseres Unternehmens informieren.
    3. Das Global Privacy Office führt Überprüfungen und Untersuchungen durch (bzw. arbeitet hierbei mit Mitarbeitern der Ethik-Abteilung, der Rechts- und Compliance-Abteilung zusammen), um alle Fragen, Beschwerden oder Anliegen in Bezug auf die Datenschutzpraktiken unseres Unternehmens zu untersuchen, gleich, ob diese direkt von den Mitarbeitern oder von anderen Personen oder Dritten eingegangen sind, darunter insbesondere Zulassungsbehörden, Rechenschaftsstellen und sonstige staatliche Stellen. Wir antworten der Person oder Institution, die die Frage gestellt, die Beschwerde vorgebracht oder die Bedenken geäußert hat, innerhalb von dreißig (30) Kalendertagen, es sei denn, das Gesetz oder der Antragsteller fordert eine schnellere Antwort oder die Umstände bedingen einen längeren Zeitraum für die Bearbeitung der Antwort, wie etwa bei einer gleichzeitigen staatlichen Untersuchung. In diesem Fall wird die Person oder der Dritte schriftlich darüber in Kenntnis gesetzt, sobald das aufgrund der Umstände, die für die Verzögerung verantwortlich sind, möglich ist.
    4. Das Global Privacy Office kooperiert in Absprache mit Mitarbeitern der Rechts- und der Compliance-Abteilung bei Anfragen, Inspektionen oder Untersuchungen seitens einer datenschutzrechtlichen Aufsichtsbehörde.
    5. Alle Personen mit Wohnsitz im EWR oder Personen, über die personenbezogene Daten dem Datenschutzrecht des EWR unterliegen und die in Länder außerhalb des EWR übermittelt werden, und deren Daten gemäß dieser Richtlinie verarbeitet werden, haben nach der Richtlinie das Recht, sofern die EU-Standardvertragsklauseln verwendet werden, um ihre personenbezogenen Daten zu übermitteln, die Auflagen der Standardvertragsklauseln als Drittbegünstigte jederzeit einzufordern, einschließlich des Rechts auf Einleitung von Verfahren, mit denen Abhilfemaßnahmen für den Verstoß gegen ihre Rechte nach den Standardvertragsklauseln erwirkt werden sollen (wie im vorstehenden Abschnitt 2 dargelegt). Außerdem haben sie das Recht auf Zuerkennung von Schadensersatzansprüchen, die aus einem derartigen Verstoß resultieren. Personen mit Wohnsitz im EWR oder Personen, deren personenbezogene Daten dem Datenschutzrecht des EWR unterliegen und die in Länder außerhalb des EWR übermittelt werden (aus Gründen der Klarheit einschließlich der USA) können gemäß der Standardvertragsklauseln Ansprüche bei den zuständigen Datenschutzbehörden (insbesondere im Mitgliedstaat des gewöhnlichen Wohnsitzes, des Arbeitsortes oder des Ortes des mutmaßlichen Verstoßes) geltend machen oder eine Beschwerde einreichen. Die Kontaktinformationen der Datenschutzbehörde finden Sie hier: Members | European Data Protection Board (europa.eu)
    6. Unser Unternehmen antwortet der Person oder Institution, die die Frage gestellt, die Beschwerde vorgebracht oder die Bedenken geäußert hat, innerhalb des gesetzlich geltenden Zeitraums, es sei denn, das Gesetz oder der Dritte fordert eine schnellere Antwort oder die Umstände erfordern einen längeren Zeitraum für die Bearbeitung der Antwort. In diesem Fall wird die Person oder der Dritte schriftlich darüber in Kenntnis gesetzt.
  4. Wir sind für die Einhaltung unserer Datenschutzwerte und -standards verantwortlich.
    1. Die Gesellschaft unseres Unternehmens, die für eine Handlung verantwortlich ist, die zu einem nachgewiesenen Datenschutz- oder Sicherheitsvorfall führt, ist finanziell für alle aus diesem Vorfall resultierenden Schadensersatzsummen, Bußgelder und Geldstrafen verantwortlich.
      1. In Absprache mit und auf Anweisung des Organon Global Privacy Office ist der Europäische Datenschutzbeauftragte dafür verantwortlich, sicherzustellen, dass die notwendigen Maßnahmen getroffen werden, um gegen mutmaßliche Verstöße gegen diese Richtlinie durch Gesellschaften unseres Unternehmens außerhalb des EWR vorzugehen, die Personen betreffen, die im EWR ansässig sind, oder Personen, deren personenbezogene Daten dem Datenschutzrecht des EWR unterliegen und die in ein Land außerhalb des EWR übermittelt wurden.

Aufsicht und Kontrollen

Um gegenüber Aufsichtsbehörden und anderen Stakeholdern sicherzustellen, dass unser Unternehmen für seine Verpflichtung zu ethischen und verantwortungsvollen Datenschutzpraktiken verantwortlich ist, unterhält das Unternehmen eine für Aufsicht und Kontrollen zuständige, umfassende Governance-Gruppe, die unter Leitung eines Chief Privacy Officer steht und ein eigenes Global Privacy Office (GPO) mit Aufsicht eines Datenschutzausschusses, einen EU‑Datenschutzbeauftragten (EU DPO), landesspezifische Datenschutzbeauftragte (DPO’s) (wo dies gesetzlich oder aufgrund lokaler behördlicher Anordnung vorgeschrieben ist) und spezielle Business Practice Managers, die von leitenden Führungskräften ernannt werden und als Kontaktstelle zwischen dem Organon Global Privacy Office und den Organisationsbereichen dienen, in denen sie tätig sind.

Begriffe, die Sie kennen müssen

  • Anonymisiert. Die Abänderung, Kürzung, Unkenntlichmachung oder sonstige Schwärzung oder Modifikation personenbezogener Daten, so dass diese unwiderruflich nicht mehr dazu verwendet werden können, Personen zu identifizieren, zu lokalisieren oder zu kontaktieren, entweder allein oder in Verbindung mit anderen Daten.
  • Datenschutzverletzung. Ein Verstoß gegen die Sicherheitsbestimmungen, der zu einer versehentlichen oder widerrechtlichen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von personenbezogenen Daten bzw. zum Zugriff auf diese führt bzw. der begründete Verdacht eines solchen Verstoßes durch unser Unternehmen. Zugriffe auf personenbezogene Daten durch unser Unternehmen oder im Namen unseres Unternehmens stellen keine Datenschutzverletzung dar, wenn nicht die Absicht besteht, gegen diese Richtlinie zu verstoßen und, wenn die erfassten Daten nur nach Maßgabe dieser Richtlinie verwendet und weitergegeben werden.
  • Datenschutzvorfall. Ein Verstoß gegen diese Richtlinie oder ein Datenschutzgesetz (einschließlich von Sicherheitsvorfällen). Das Global Privacy Office, das Business Technology Risk Management (BTRM) und die Rechtsabteilung entscheiden, ob ein Datenschutzvorfall aufgetreten ist und, ob er zu einer Verletzung personenbezogener Daten hochgestuft werden sollte.
  • Deidentifiziert. Das Entfernen direkter und indirekter persönlicher Identifizierungsmarkmale, wobei die ursprünglichen Identifikationsdaten häufig getrennt aufbewahrt werden.
  • Dritte. Jede juristische Person, Vereinigung oder Person, die nicht im Besitz unseres Unternehmens ist oder an der unser Unternehmen keine Mehrheitsbeteiligung hält oder die nicht bei unserem Unternehmen beschäftigt ist. Kein verbundenes Unternehmen des Unternehmens sollte als Dritter erachtet werden.
  • Gesetz/Recht. Alle anwendbaren Gesetze, Regeln, Bestimmungen und Verordnungen, die in jedem Land, in dem unser Unternehmen geschäftlich tätig ist oder in dem personenbezogene Daten von unserem Unternehmen oder im Namen unseres Unternehmens verarbeitet werden, Rechtskraft haben. Dazu gehören alle Datenschutzrahmenbestimmungen, nach denen unser Unternehmen zugelassen oder zertifiziert ist, einschließlich der Bestimmungen für die grenzüberschreitende Datenübermittlung (Cross-Border Privacy Rules, „CBPR“) der Asiatisch-Pazifischen Wirtschaftsgemeinschaft (Asia Pacific Economic Cooperation, „APEC“).
  • Personenbezogene Daten. Jegliche Daten, die sich auf identifizierte oder identifizierbare Personen beziehen, darunter Daten, anhand derer eine Person direkt identifiziert oder mit deren Hilfe eine Person identifiziert, lokalisiert, verfolgt oder kontaktiert werden kann. Personenbezogene Daten sind sowohl direkt identifizierbare Daten wie Namen, Identifikationsnummern oder individuelle Stellenbezeichnungen als auch indirekt identifizierbare Daten, wie das Geburtsdatum, die eindeutige Kennung eines mobilen und tragbaren Geräts, eine Telefonnummer sowie schlüsselcodierte Daten und Online‑Kennungen wie IP‑Adressen oder jegliche persönliche Aktivitäten, Verhaltensweisen oder Vorlieben, die zur Bereitstellung von Dienstleistungen oder Produkten gesammelt werden können.
  • Sensible Daten. Alle Arten personenbezogener Daten, mit denen das Risiko eines potenziellen Schadens für Personen verbunden ist, darunter Daten, die per Gesetz als sensibel definiert sind. Dazu gehören insbesondere Daten über Gesundheit, genetische und biometrische Daten, Rasse, ethnischen Ursprung, Religion, politische oder ideologische Anschauungen oder Überzeugungen, Vorstrafenregister, präzise Daten zum geographischen Standort, Bankdaten oder sonstige Kontonummern, von staatlichen Stellen ausgegebene Identifikationsnummern, minderjährige Kinder, Sexualleben, sexuelle Orientierung, Gewerkschaftszugehörigkeit, Versicherungen, Sozialversicherung und sonstige vom Arbeitgeber oder staatlichen Stellen zugewiesene Leistungen.
  • Sicherheitsvorfall. Ein Informationssicherheitsvorfall besteht aus einem oder mehreren unerwünschten oder unerwarteten Informationssicherheitsereignissen, die möglicherweise die Sicherheit von Informationen gefährden und den Geschäftsbetrieb schwächen oder beeinträchtigen können.
  • Unternehmen. Organon & Co., seine Nachfolger, Gesellschaften und Abteilungen weltweit, ausgenommen Joint Ventures, an denen unser Unternehmen beteiligt ist.
  • Verarbeitung. Durchführung einer Maßnahme oder einer Reihe von Maßnahmen bei personenbezogenen Daten, die auch automatisch erfolgen kann, einschließlich, aber nicht darauf beschränkt auf Erfassung, Speicherung, Ordnung, Aufbewahrung, Zugriff, Anpassung, Abänderung, Abruf, Beratung, Nutzung, Auswertung, Analyse, Melden, Weiterleitung, Offenlegung, Verbreitung, Übertragung, Bereitstellung, Angleichung, Kombination, Blockierung, Löschung, Tilgung oder Vernichtung.

Änderungen dieser Richtlinie

Diese Richtlinie kann in bestimmten Zeitabständen und gemäß den Anforderungen geltender Gesetze geändert werden. Ein Hinweis wird auf der Datenschutzwebseite unseres Unternehmens (https://www.organon.com/privacy) für die Dauer von 60 Tagen veröffentlicht, wenn diese Richtlinie in erheblich Weise geändert wird.

Organon şirketinde insanların hayatlarını en iyi şekilde yaşamalarını sağlayacak yaratıcı sağlık çözümleri sunma misyonumuz bireylerin gizliliğine saygı gösterilmesine ve kişisel bilgilerin korunmasına kadar uzanır.

Değerlendirme Tarihi: 01 Şubat 2021
Geçerlilik Tarihi: 01 Haziran 2021

İşimizi gizlilik ilkelerimize uygun şekilde yürütmeye çalışırız çünkü bunların etik ve sorumlu veri işleme uygulamalarına sarsılmaz bağlılığımızı gösterdiğine inanırız. Yenilikçiliğin ve yeni teknolojinin sürekli değişikliğe neden olduğunu anlıyoruz ve bu nedenle bu değişiklikler karşısında gizlilik ilkelerimizi uygulama şeklimizi hızla uyarlamayı hedefliyoruz.

Bu politika, Kişisel Bilgilerin hangi ülkeden geldiği veya hangi ülkelere aktarılacağı fark etmeksizin, Kişisel Bilgilerin ülke sınırlarının dışına çıktığında Şirketimiz tarafından veya onun adına yönetilmesi ve korunması için küresel standartlarımızı tanımlamaktadır. APEC Sınır Ötesi Gizlilik Kuralları sertifikasyonumuza uygunluğu destekleyen temel taahhütlerimizi açıklamaktadır.

Bu, faaliyetleri gerçekleştirmek için gerekli veri aktarımları dâhil olmak üzere her ülkedeki operasyonlarımız için geçerlidir. Bu Politika aynı zamanda, bir sınırlandırma olmaksızın sağlık hizmeti uzmanları ve diğer müşterilerimiz; müstakbel, mevcut ve eski çalışanlarımız ve bakmakla yükümlü oldukları kişiler, hastalar, hastabakıcılar, araştırmacılar ve araştırma çalışmasına katılanlar, bilim ve etik komitesi üyeleri, iş ortakları, yatırımcılar ve hissedarlar, devlet görevlileri ve diğer paydaşlar dâhil olmak üzere hakkında bilgi işlediğimiz tüm kişiler için geçerlidir.

Tüm Şirket Çalışanları ve Kıdemli Liderler önem vermeleri gereken temel gizlilik sorumluluklarına sahiptir.

İnsanlar hakkındaki bilgilerin korunması ile ilgili kasıtsız hataların ve yanlış değerlendirmelerin bireyler için potansiyel gizlilik risklerine ve Şirket için itibar, faaliyet, mali ve uygunluk risklerine yol açabileceğini anlıyoruz. Kişisel Bilgilere sürekli veya düzenli şekilde erişimi olan, verilerin toplanmasına veya Kişisel Bilgileri işlemede kullanılan araçların geliştirilmesine yardımcı olan çalışanlara ve diğer personele bu Politika hakkında gerekli eğitimi sağlıyoruz. Şirketimizin her çalışanı ve Şirketimiz için insanlar hakkındaki bilgileri işleyen başka kişiler bu Politika ve geçerli Yasalar uyarınca kendi yükümlülüklerini anlamaktan ve sürdürmekten sorumludur.

Gizlilik Değerlerimiz ve Standartlarımız

Her işimizde gizlilik değerlerimizi önde tutarız. Dört gizlilik değerimiz şunlardır:

Saygı

Güven

Zararı Önle

Uygun Davran

Gizliliğe dair inanışın çoğunlukla özünde kim olduğumuz, dünyayı nasıl gördüğümüz ve kendimizi nasıl tanımladığımız ile ilgili olduğunu biliyoruz ve bu nedenle bireylerin ve toplumların bakış açılarına saygı göstermek ve onlar hakkındaki bilgileri kullanma ve paylaşma konusunda adil ve şeffaf olmaya çalışırız.

Güvenin başarımızın kaçınılmaz bir parçası olduğunu biliyoruz ve bu nedenle gizliliğe saygı duymamız ve insanlar hakkındaki bilgileri korumamız konusunda müşterilerimizin, çalışanlarımızın, çalışma gönüllülerimizin ve diğer paydaşlarımızın güvenini kazanmaya ve elde tutmaya çalışırız.

İnsanlar hakkındaki bilgilerin bireylere hem somut hem soyut zararlar verebileceğini anlıyoruz ve bu nedenle bireylerin fiziksel güvenliği konusunda oluşabilecek riskleri, mali, itibara dayalı ve diğer türlü gizlilik zararları görmesini önlemeye çalışırız.

Yasaların ve düzenlemelerin teknolojideki ve veri akışlarındaki hızlı değişikliklere ve gizlilik risklerindeki ve beklentilerindeki ilgili değişmelere her zaman ayak uyduramadığını öğrendik ve bu nedenle küresel iş faaliyetlerimize tutarlılık ve faaliyet verimliliği getirecek şekilde gizlilik ve veri koruma yasalarının ve düzenlemelerinin sözüne ve ruhuna uymaya çalışırız.

  1. Kişisel Bilgi kullanan faaliyetlere, süreçlere, teknolojilere ve üçüncü taraflar ile ilişkilere Gizlilik standartlarımızı dahil ederiz. Süreçlerimizin ve teknolojilerimizin içinde gizlilik değerlerimiz ve standartlarımız ve geçerli yasa ile tutarlı olan gizlilik denetlemeleri tasarlarız. Aşağıda açıklanan sekiz (8) gizlilik ilkemiz süreçler, faaliyetler ve bunların destekleyici teknolojileri için gizlilik standartlarımızı ve temel gerekliliklerimizi yüksek bir düzeyde özetlemektedir.

    Gizlilik İlkesi

    Temel Taahhütlerimiz

    1. Zorunluluk – Kişisel Bilgiler toplamadan, kullanmadan veya paylaşmadan önce bunlara ihtiyaç duyulmasının özgün, meşru iş amaçlarını tanımlarız ve belgelendiririz.

    • Tanımlanmış olan bu iş amaçları ve geçerli yasal gerekler için ne tür Kişisel Bilgilere ne kadar süre ihtiyaç olduğunu belirleriz. Belirlediğimiz bu bilgileri belgelendiririz.
    • İhtiyaç olandan fazla Kişisel Bilgi toplamayız, kullanmayız veya paylaşmayız ve tanımlanmış olan bu iş amaçları ve geçerli yasal gerekler için ihtiyaç olandan uzun süre tanımlanabilir bir şekilde elde tutmayız.
    • İş ihtiyaçları Kişisel Bilgileri içeren bir faaliyet veya süreç hakkındaki verilerin uzun bir süre elde tutulmasını gerekli kıldığı zaman Kişisel Bilgileri isimsiz duruma getiririz veya kimliksizleştiririz.
    • Bu zorunlu gerekliliklerin tüm destekleyici teknolojiler içinde tasarlanmış olmasını ve bunların faaliyete veya sürece destek sağlayan üçüncü taraflara bildirilmesini sağlarız.

    2. Adil Olmak – Kişisel Bilgileri bu verilerin ilgili olduğu kişiler için adil olan şekillerde işleriz.

    • Kişisel Bilgi toplama, kullanma veya başka bir şekilde işleme hakkındaki bir önerinin Zararı Önle gizlilik değerimize göre bireyler için makul şekilde muhtemel veya ağır bir maddi veya manevi zarar riskine yol açıp açmayacağını belirleriz.
    • Verilerin özelliği, insanların türleri veya faaliyet bireyler için makul şekilde muhtemel ve/veya ağır bir maddi veya manevi zarar riskine yol açtığı zaman zarar riskinin bu bireyler için ilgili bir fayda veya yaşamları kurtarma ve iyileştirme misyonumuz tarafından çok önemsiz bırakılmasına ve kullanmakta olduğumuz önlemler, koruma tedbirleri ve mekanizmalar tarafından hafifletilmesine dikkat ederiz.
    • Riskin bireylerin göreceği faydayı çok önemsiz bırakacağı anlaşılan durumlarda en ilgili güvenlik ve koruma önlemlerini alırız, bireyleri bu gerçek konusunda bilgilendiririz ve gerektiğinde yetkili düzenleyici makamın tavsiyelerini alırız.
    • Hassas Bilgileri geçerli yasa tarafından kesinlikle gerekli tutulan veya kesinlikle izin verilen şekilde, yalnızca bireylerin açık onayı ile işleriz.
    • Riskin bireylerin göreceği faydayı çok önemsiz bırakacağı anlaşılan durumlarda riskleri mümkün olduğunca en aza indirmek için risk analizini belgelendiririz ve önlemler alırız.

    3. Şeffaflık – Kişisel Bilgileri, verilerin ilişkili olduğu kişilere kolaylıkla şeffaf olan şekillerde veya amaçlar için işleriz.

    • Bu Politika uyarınca hakkında Kişisel Veriler işlenen tüm bireyler bu Politikanın bir kopyasını alma hakkına sahip olacaktır. Bu Politikanın kopyalarını www.organon.com/privacy adresinden çevirim içi şekilde elde edilebilir duruma getireceğiz ve aşağıda belirtilen adreslere gönderilen istek üzerine bu Politikanın elektronik ve/veya kâğıt kopyalarını sağlayacağız.
    • Doğrudan bireylerden Kişisel Bilgi toplandığı zaman, bilgileri toplamadan önce ve anlaşılır, kolayca görünen ve kolayca erişilebilen bir gizlilik bildirimi veya benzer yollar ile kendilerine şu bilgileri veririz: (1) işlemeden sorumlu olan şirket kuruluşu veya kuruluşları; (2) Gizlilik Yetkilimizin ve/veya bölgesel/yerel Veri Gizliliği Yetkilimizin iletişim bilgileri; (3) hangi bilgilerin toplanacağı; (4) bunların hangi amaçlar için kullanılacağı; (5) verileri işleme için yasal temelimiz; (6) devlet makamlarını yasal taleplerine yanıt olarak Kişisel Bilgileri açıklamak için her türlü gereklilik dahil olmak üzere bunların kimler ile paylaşılacağı; (7) olanaklı olduğu zaman ilgili ülkeleri belirtmek de dahil olmak üzere Kişisel Bilgileri başka ülkelere aktarıp aktarmayacağımız ve nasıl aktaracağımız; (8) verilerin ne süre elde tutulacağı veya bu belirlemeyi hangi kıstaslara göre yaptığımız; (9) kendi Kişisel Bilgileri ile ilgili olarak bireylerin nasıl soru sorabilecekleri, bir endişelerini dile getirebilecekleri veya haklarını kullanabilecekleri; (10) verdikleri herhangi bir onayı nasıl geri çekebilecekleri; (11) bir denetleme makamına şikayet etme hakları; (12) Kişisel Bilgi sağlamak için herhangi bir yükümlülüğü ve bunu yapmamanın sonuçları; (13) profil çıkarma dahil gerçekleştirilebilecek tüm otomatik karar verme yolları ve (14) olanaklı ve uygun olduğu zaman bu Politikaya bir bağlantı. Birçok paydaşımız için geniş kapsamlı gizlilik bildirimlerimiz şu adreste çevirim içi şekilde bulunmaktadır: https://www.organon.com/privacy/contact/.
    • Kişisel Bilgiler gözlem, sensörler veya başka dolaylı yollar ile elde edildiği zaman, bilgiler toplandığı sırada doğrudan bireye bir gizlilik bildirimi sağlamak olanaklı olmayabilir. Bu gibi durumlarda, örneğin bilgiyi elde edecek olan cihazın veya cihaz ile ilişkili materyalin üzerine asmak veya yazmak gibi başka yollar vasıtası ile birey için şeffaflık sağlarız.
    • Kişisel Bilgiler bir web sitesi, mobil uygulama veya başka bir çevirim içi uygulama veya kaynak vasıtası ile toplandığı zaman, bu Politikaya uygun şekilde şeffaf olma gereklerinin yerine getirilmesini sağlamak için İnternet Gizlilik Politikamızda ve Küresel çevrimiçi izleme politikasında belirtilen teknolojiye özgü standartları uygularız.
    • Kişisel Bilgiler başka kaynaklardan toplandığı ve özel şekilde şirketimizin talimatı altında olmadığı zaman, bilgileri elde etmeden önce bilgileri sağlayan tarafın Şirketimizin bu bilgileri kullanmayı düşündüğü yollar ve amaçlar hakkında bireylere bilgi vermiş olduğunu yazılı şekilde teyit ederiz. Bilgileri sağlayan taraftan yazılı teyit alınamadığı zaman yalnızca isimsiz veya kimliksiz duruma getirilmiş bilgiler kullanırız veya Kişisel Bilgileri kullanmadan önce etkilenmiş bireylere bir gizlilik bildirimi veya benzer yollar ile şu bilgileri veririz: (1) Şirketimizin bilgileri işlemekten sorumlu olan kuruluşu veya kuruluşları, (2) Gizlilik Yetkilimizin ve/veya bölgesel/yerel Veri Koruma Yetkilimizin iletişim bilgileri, (3) Şirketimizin hangi bilgileri kullanmayı planladığı, (4) Şirketimizin bunları kullanmayı planladığı amaçlar, (5) işlemenin yasal temeli, (6) Şirketimizin bunları kimler ile paylaşacağı, (7) olanaklı olduğu zaman Kişisel Bilgileri ilgili ülkeleri belirtmek de dahil olmak üzere başka ülkelere aktarıp aktarmayacağımız ve nasıl aktaracağımız, (8) bunları Şirketimizin ne süre elde tutmayı planladığı veya bu belirlemeyi hangi kıstaslara göre yaptığımız, (9) kendi Kişisel Bilgileri ile ilgili olarak nasıl soru sorabilecekleri, bir endişelerini dile getirebilecekleri veya haklarını kullanabilecekleri, (10) verdikleri herhangi bir onayı nasıl geri çekebilecekleri, (11) bir denetleme makamına şikayet etme hakları, (12) Kişisel Bilgi sağlamak için herhangi bir yükümlülükleri ve bunun yapmamanın sonuçları, (13) profil çıkarma dahil olmak üzere gerçekleştirilebilecek tüm otomatik karar verme yolları ve (14) olanaklı ve uygun olduğu zaman bu Politikaya bir bağlantı.
    • Olanaklı olduğu zaman bireysel hak taleplerini destekleyen mekanizmalar dahil olmak üzere gerekli şeffaflık mekanizmalarının destekleyici teknolojilerin içinde tasarlanmış olmasını ve, bu faaliyete veya sürece destek sağlayan üçüncü tarafların insanlar hakkındaki bilgileri bir gizlilik bildirimi veya teyit edilebilecek başka yollar vasıtası ile bireylere bizim ve bizim için çalışan başka kişilerin bilgiler ile ne yapacağı hakkında söylenmiş olan şeyler ile tutarsız şekilde işlememesini sağlarız.
    • İzin istediğimizde, izni alır ve iznin kanıtını destekleyici teknolojilerimizde belgelendiririz.

    4. Amaç Sınırlandırma – Kişisel Bilgileri yalnız Zorunluluk ve Şeffaflık ilkelerine uygun şekilde kullanırız.

    • Daha önce toplanmış olan Kişisel Bilgiler için yeni meşru iş amaçları belirlenmesi halinde ya Kişisel Bilgilerin yeni kullanımı için bireyin onayını alırız veya yeni iş amacının bireye daha önce sağlanmış olan bir gizlilik bildiriminde veya başka şeffaflık mekanizmalarında açıklanan amaçlara maddi şekilde benzer olması dahil olmak üzere onlara uygun olmasını sağlarız. Bu uygunluğu şunlara dayanarak belirleriz: (1) ilk amaçlar ile önerilen yeni amaç arasındaki tüm bağlantılar, (2) bireyin makul beklentileri, (3) Kişisel Bilgilerin özelliği, (4) daha fazla işlemenin birey için sonuçları ve (5) kullanmakta olduğumuz koruma önlemleri.
    • İsimsiz duruma getirilmiş veya kimliksizleştirilmiş bilgiler için veya Kişisel Bilgileri yalnız geçmiş ile ilgili ve bilimsel araştırma amaçları ile kullandığımız zaman veya şu durumlarda bu ilkeyi uygulamayız: (1) bir Etik İnceleme komitesi veya başka bir yetkin inceleme görevlisi söz konusu kullanımın riskinin bireylerin gizlilik ve başka hakları bakımından kabul edilebilir olduğunu belirlediği zaman, (2) veri minimizasyonu sağlamak için uygun koruma önlemleri kullandığımız zaman, (3) kişisel verilerde takma ad kullanıldığı zaman ve (4) geçerli diğer tüm Yasalara saygı gösterildiği zaman.
    • Amaç sınırlandırma kısıtlamalarının rapor etme yetenekleri ve akış yönündeki veri paylaşımı dahil olmak üzere tüm destekleyici teknolojiler içinde tasarlanmış olmasını sağlarız.

    5. Veri Kalitesi – Kişisel Bilgileri bunların kullanım amacı ile tutarlı şekilde doğru, tam ve güncel halde tutmak için çabalarız.

    • Kaynağa ve akış yönündeki sistemlere göre veri doğruluğunu teyit etmek için periyodik veri inceleme mekanizmalarının destekleyici teknolojiler içinde tasarlanmış olmasını sağlarız.
    • Kişisel Bilgileri kullanmadan, değerlendirmeden, analiz etmeden, rapor etmeden veya yanlış veya güncel olmayan veriler kullanılması halinde insanlara karşı adaletsizlik riski taşıyan başka işlemler yapmadan önce bunların doğru ve güncel olduğunun doğrulanmasını sağlarız.
    • Şirketimiz tarafından veya Şirketimiz için çalışan üçüncü taraflarda Kişisel Bilgilerde değişiklikler yapıldığı zaman bu değişikliklerin makul şekilde olanaklı olduğu takdirde ilgili bireylere zamanında verilmesini sağlarız.

    6. Güvenlik – Kişisel Bilgileri ve Hassas Bilgileri kaybolma, suistimal ve yetkisiz erişim, açıklama, değiştirme veya imha karşısında korumak için koruma önlemleri uygularız.

    • Mevcut teknolojinin en iyi uygulamalarını ve uygulama maliyetini göz önünde tutarak geniş kapsamlı bir bilgi güvenliği programı uygulamış bulunuyoruz ve bilgilerin doğasına ve duyarlılığına ve faaliyetin risk düzeyine dayanan güvenlik denetimleri ve önlemleri uyguluyoruz. İşlevsel güvenlik politikalarımız bir sınırlandırma olmamak üzere şunları içerir: iş sürekliliği veya afet kurtarma hakkındaki standartlar, şifreleme, kimlik ve erişim yönetimi, bilgi sınıflandırması, bilgi güvenliği vakası yönetimi, ağ erişim denetimi, fiziksel güvenlik ve risk yönetimi.

    7. Veri Aktarma – Kişisel Bilgiler başka kuruluşlara veya onlardan bize veya ülke sınırları üzerinden aktarıldığı zaman Kişisel Bilgiler için gizlilik koruma önlemlerinden sorumlu oluruz.

    (1) Kişisel Bilgileri aşağıdaki gereklilikler yerine getirildiği takdirde Şirketimizin içinde aktarırız:

    (a) Kişisel Bilgilerin ilk olarak toplandığı amacı veya Şirketin başka bir meşru çıkarını yerine getirmek için paylaşmak zorunludur ve (b) bunların paylaşılmasının amacı ve paylaşma olgusunun kendisi daha önce Kişisel Bilgiler ilk olarak toplanırken bireye sağlanmış olan ve gerekli olan yerde bireyin onay verdiği gizlilik bildirimi ve/veya başka başka şeffaflık mekanizmaları ile tutarlıdır. (c) Şirketimizin iştiraklerinden birisi Kişisel Bilgilerin işlenmesinde yalnızca Şirketimizin bağlı şirketlerinden başka birisi adına hareket ettiği zaman; (d) Yasa tarafından gerekli tutulduğu zaman veya (e) BT altyapısının bu tür bir aktarımı gerektirmesi durumunda, bu tür bir aktarımı uyumlu hale getirmek için tüm uygun güvenlik ve organizasyon önlemlerinin mevcut olması şartıyla Şirketimizin bu bağlı şirketleri bu Politikadaki İlke 8’e uygun şekilde dahili bir veri işleme sözleşmesi imzalayacaktır.

    (2) Yalnızca aşağıdaki koşullar sağlandığı zaman üçüncü taraflara Kişisel Bilgi aktarırız veya onlar tarafından işlenmesine izin veririz ve görevlendirdiğimiz üçüncü tarafların bu gereklilikleri karşılayacağını teyit ederiz:

    • Üçüncü tarafın rolü şirketimiz adına Kişisel Bilgi işlemek olduğu zaman, üçüncü tarafa Kişisel Bilgi sağlamadan veya üçüncü tarafı görevlendirmeden önce şunları yaparız: (1) bu tür bir üçüncü taraf ile ilişkili gizlilik uygulamalarını ve riskleri değerlendirmek için gizlilik ayrıntılı incelemesini tamamlamak, (2) şu konularda bu üçüncü taraflardan sözleşmeye dayalı güvenceler elde etmek: (i) Kişisel Bilgileri bir sınırlandırma olmaksızın tüm bu sekiz (8) Gizlilik İlkesinin hepsi ve bu Politikada belirtilen standartlar ve geçerli Yasalar dâhil olmak üzere yalnızca Şirketimizin talimatlarına göre ve bu Politikaya uygun şekilde işleyeceklerdir; (ii) bu Politikada belirtilen standartlara ve geçerli Yasalara herhangi bir şekilde uyulamaması dâhil olmak üzere herhangi bir Gizlilik Vakasını veya Güvenlik Vakasını hemen Şirketimize bildirecek ve kanıtlanan herhangi bir Vakayı hızla gidermek ve aşağıda Bölüm 2’de belirtilen bireysel hakları çözümlemek için iş birliği yapacaklardır;(iii) Kişisel Verileri işlemek için bizim yazılı iznimiz olmadan ve eş değer veri koruma yükümlülükleri getiren bir sözleşme yapmadan başka bir şirketi görevlendirmeyeceklerdir; (iv) bize hizmet vermeyi tamamlandıktan sonra veya bizim isteğimiz veya yönlendirmemiz üzerine tüm Kişisel Bilgileri güvenli bir şekilde silecek veya bize iade edeceklerdir ve (v) bu gereklere uygunluk sağlamak için işleme boyunca Şirketimizin onların uygulamalarını denetlemesine ve gözlemlemesine izin vereceklerdir. Ayrıca, bu üçüncü taraf Kişisel Bilgilerin aktarılmasını kısıtlayan bir yasa bulunan bir ülkeden veya bölgeden kaynaklanan Kişisel Bilgiler işlediği takdirde üçüncü tarafa yapılan aktarma işleminin aşağıda (3) içinde açıklanan sınır ötesi veri aktarma işleminin gereklerini karşılamasını sağlayacağız.
    • Üçüncü tarafın rolü şirketimize Kişisel Bilgi sağlamak olduğu zaman, üçüncü taraftan Kişisel Bilgiler elde etmeden önce, başka kaynaklardan toplanan ve özel şekilde şirketimizin talimatı altında olmayan Kişisel Bilgiler toplamak için Şeffaflık gereklerinin karşılanmasını sağlarız ve üçüncü taraftan şirketimize Kişisel Bilgi sağlamakla hiçbir Yasayı veya hiçbir üçüncü tarafın haklarını çiğnemediği bakımından sözleşmeye dayalı taahhütler alırız.
    • Üçüncü tarafın rolü şirketimizden işlemek üzere özel şekilde şirketimizin talimatı altında olmayan bilgiler almak olduğu zaman, üçüncü tarafa bilgi sağlamadan önce bilgilerin isimsiz duruma getirilmesini veya kimliksizleştirilmesini sağlarız ve üçüncü taraftan bunları yalnızca sözleşmede tanımlanan belirli iş amaçları için ve geçerli Yasalara uygun şekilde kullanacağı ve bilgileri tekrar tanımlanmış duruma getirmeye çalışmayacağı hakkında yazılı güvenceler alırız.
    • Üçüncü bir tarafa aktarma yapmak bireyin veya şirketin meşru çıkarlarını korumak için gerekli olduğu zaman, bilgileri şu şekilde aktarabiliriz: (1) yolsuzluk önleme amaçları ile veya Şirketin haklarını ve mallarını uygulatmak veya korumak için, (2) çalışanlarımızın veya mülklerimiz üzerinde bulunan üçüncü tarafların kişisel güvenliğini korumak için ve (3) yasaya aykırı faaliyet veya ağır suistimal meydana gelmiş olduğundan makul şekilde kuşkulandığımız zaman düzeltici güvenlik önlemleri alarak kıymetlerimizi korumak için.
    • Üçüncü taraf bizim için satın alınacak veya çoğunluk hissesi elde edilecek bir hedef ise, (1) üçüncü tarafı satın almak veya üçüncü tarafta bir çoğunluk hissesi elde etmek için bir sözleşme yapmadan önce bu üçüncü tarafın satın alınması veya üçüncü tarafta bir çoğunluk hissesi elde edilmesi ile ilişkili gizlilik uygulamalarını ve riskleri değerlendirmek için gizlilik ayrıntılı incelemesini tamamlarız ve (2) Kişisel Bilgilerin açıklanabilmesine dayanak oluşturacak hükümleri ve koşulları ve Şirketimizin ve üçüncü tarafın kendi yükümlülüklerini belirten bir veri aktarma sözleşmesi yaparız.
    • Üçüncü tarafın rolü şirketimizin işini tamamen veya kısmen satın almak olduğu zaman, Şirketimizin işinin herhangi bir parçasının elden çıkarılması ile ilgili herhangi bir Kişisel Bilgi paylaşmadan önce (1) Kişisel Bilgilerin izin verilen kullanımları ve bu Politikadaki standartlara ve geçerli Yasaya uygunluk bakımından uygun sınırlandırmalar dahil olmak üzere müşteriye Kişisel Bilgilerin açıklanabilmesine dayanak oluşturacak hükümleri ve koşulları belirten bir veri aktarma sözleşmesi yaparız, (2) veri unsurlarının paylaşımını gereken şekilde asgariye indiririz, (3) bu Politikanın Şeffaflık ve Amaç Sınırlandırma ilkelerine uygun şekilde Kişisel Bilgileri veya Hassas Bilgileri paylaşmak için onay alırız ve (4) üçüncü tarafın bu Politikada belirtilen standartlara ve geçerli Yasalara herhangi bir şekilde uyamaması dahil olmak üzere herhangi bir geçerli Gizlilik Vakasını hemen Şirketimize bildirmesini ve kanıtlanan herhangi bir Vakayı hızla gidermek için iş birliği yapmasını veya ilgili Kişisel Verileri işlemeyi durdurmasını şart koşarız.

    (3) Kişisel Verileri Şirketimiz adına bu Politikaya uygun şekilde Şirketimizin genel merkezinin bulunduğu Amerika Birleşik Devletleri (ABD) dahil olmak üzere ülke sınırlarının ötesine aktarırız. Kişisel Bilgilerin aktarılmasını kısıtlandıran bir yasa bulunan başka bir ülkeden veya bölgeden yapılan Kişisel Bilgi aktarma işlemleri bakımından söz konusu Yasaların getirdiği tüm gerekliliklere ek olarak bu Politikayı uygulayacağız (geldiği ülke ile aynı veri koruma standartlarına sahip olmayan ülkelere sınır ötesi aktarma işlemleri için gereken tüm mekanizmaların kullanımına ek olarak).

    8. Yasal Olarak İzin Verilebilir – Kişisel Bilgileri yalnızca geçerli Yasaların gereklilikleri yerine getirildiği zaman işleriz.

    • Aşağıda açıklanan bireysel hakların gerekliliklerinin yanı sıra diğer yedi (7) gizlilik ilkesinin amacı dünyanın çeşitli yerlerindeki işlerimiz için geçerli olan gizlilik ve veri koruma yasalarının çoğunun gerekliliklerini sağlamak olmasına rağmen bazı ülkelere bir sınırlandırma olmaksızın aşağıdakiler dahil olmak üzere ilave gereklilikleri sağlamamız gerekmektedir:

      1) Gerektiği zaman, Kişisel Bilgilerin bazı işleme işlemleri için bir sınırlandırma olmaksızın işçi komitelerinin ve diğer sendikaların işleme onayını almak dahil olmak üzere özel şekillerde onay alacağız;

      2) Gerektiği zaman, Kişisel Bilgilerin işlenmesini geçerli gizlilik veya veri koruma düzenleme makamına tescil ettireceğiz veya onun onayını isteyeceğiz;

      3) Gerektiği zaman, bu Politikada belirtilenlerden daha geniş haklar sağlayacağız (örneğin; erişim ve düzeltme için);

      4) Gerektiği zaman, Kişisel Bilgiler için veri elde tutma sürelerini daha çok sınırlandıracağız;

      5) Gerektiği zaman, üçüncü taraflara sınır ötesi veri aktarmaları dahil olmak üzere özel sözleşme maddeleri içeren sözleşmeler yapacağız ve

      6) Gerektiği zaman, ulusal güvenlik veya yasal yaptırım gerekliliklerinin sağlanması dahil olmak üzere kamu makamlarının yasal taleplerine yanıt olarak kişisel bilgileri açıklayacağız.

      Bu Politika ile geçerli yasa arasında bir çelişki olması durumunda bireylere daha fazla koruma sağlayan standart üstün olacaktır.

  2. Bireylerin Kişisel Bilgilere erişme, onları değiştirme, düzeltme veya silme, kendileri hakkındaki Kişisel Bilgilerin işlenmesine itiraz etme veya kendi Kişisel Bilgileri bakımından başka hakları kullanma hakkı taleplerini hemen ele alacağız.
    1. Erişme, Düzeltme, Silme ve diğer haklar – Faaliyet gösterdiğimiz birçok ülkenin yasalarına göre bireylerin kendileri hakkındaki Kişisel Bilgilere erişme ve yanlış, eksik veya eski olan Kişisel Bilgileri değiştirme, düzeltme veya silinmesini talep etme hakkı vardır. Aşağıdaki Bölüm 3a’ya uygun ve geçerli Yasaların izin verdiği şekilde, tüm bireylerden gelen Kişisel Bilgileri değiştirme, düzeltme veya silme taleplerine saygı göstereceğiz. Bir değiştirme, düzeltme veya silme talebi bireylere daha fazla koruma sağlayan geçerli bir Yasa tarafından düzenlendiği zaman o Yasanın ilave gereklerinin yerine getirilmesini sağlayacağız. Bazı ülkelerde bireylerin kendileri hakkındaki Kişisel Bilgiler bakımından işlemeyi sınırlandırma, işlemeye itiraz etme (ayrıca aşağıdaki Bölüm 2b’ye bakın) ve verilerinin başka bir hizmet tedarikçisine aktarılmasını sağlama hakkı gibi başka hakları bulunabilir. Veri haklarının geçerli Yasalara uygun şekilde kullanılmasına saygı göstereceğiz. Silme gibi bazı haklar, diğer düzenleyici ya da yasal gerekliliklere veya yerel uyum raporlamasına uyma gerekliliğine göre sınırlandırılmış olabilir; böyle bir durumda sizi bu sınırlamalar ile ilgili olarak uygun şekilde bilgilendireceğiz.
    2. Seçim – Saygı” ve “Güven” gizlilik değerlerimiz ile tutarlı şekilde, bireylerin, bir sınırlandırma olmaksızın, daha önce katılmayı kabul etmiş oldukları programları veya faaliyetleri, kendileri hakkındaki Kişisel Bilgilerin doğrudan pazarlama iletişimleri için kullanılmasını, kendileri hakkındaki Kişisel Bilgilere dayalı olarak hedef gözeten iletişimleri ve kendilerini önemli ölçüde etkileme potansiyeline sahip olan şekilde otomasyon veya algoritmalar kullanılarak elde edilen kendileri hakkındaki herhangi bir değerlendirmeyi veya kararı tercih dışı bırakmak dahil olmak üzere Kişisel Bilgilerin işlenmesine itiraz etme taleplerine saygı gösteririz.
      1. Yasa tarafından yasaklanmış olması dışında, belli bir seçim talebi Şirketimizin şunları yapmasını engelleyecek olduğu zaman bu seçimi ret edebiliriz: (1) ulusal güvenlik ve yasal yaptırım gerekliliklerinin sağlanması dahil kamu makamlarını yasal taleplerine yanıt olarak kişisel bilgileri açıklamamız gerekmesi dahil olmak üzere bir Yasaya veya etik yükümlülüğe uymak, (2) hukuki iddiaları araştırmak, hukuki iddialarda bulunmak ve bunlar için savunma yapmak ve (3) Şeffaflık ve Amaç Sınırlandırma ilkeleri ile tutarlı şekilde ve söz konusu insanlar hakkındaki bilgilere güvenilerek gerçekleştirilen sözleşmeler yapmak, ilişkileri yönetmek veya izin verilen başka iş faaliyetlerine girişmek. Yürürlükteki yasalarca aksi belirtilmediği sürece, bu Politikaya uygun şekilde, bir seçim talebinin ret edilmesi kararından sonra on beş (15) iş günü içinde bu kararı belgelendirecek ve talep sahibine göndereceğiz.
  3. Gizlilik ile ilgili tüm sorulara, şikâyetlere, endişelere ve herhangi bir potansiyel Gizlilik Vakasına veya Güvenlik Vakasına hemen yanıt vereceğiz ve ilgili yetkiliye ileteceğiz.
    1. Şirketimizin bu Politikaya tabi olan tüm iştiraklerinin listesini talep etmek dahil olmak üzere bu Politika kapsamı içinde hakkında Kişisel Veri işlediğimiz herhangi bir birey Şirketimize her an bir soru, şikâyet veya endişe iletebilir. Çalışanlarımızın ve Şirketimiz adına çalışan başka kişilerin geçerli bir Yasanın kendilerinin bu Politikaya uymasını engellediğine inanması için bir nedenleri olduğu zaman hemen bildirimde bulunmasını bekleriz. Bir birey tarafından yönetilen bir soru, şikâyet veya endişe veya bir çalışan veya Şirketimiz adına çalışan başka bir kişi tarafından gönderilen bir bildirim Global Gizlilik Ofisine gönderilmelidir:
      1. Avrupa Ekonomik Alanı (EEA) içerisinde yaşayan bireyler e-posta ile şuraya: euprivacydpo@organon.com
      2. Bunun dışında: e-posya yoluyla şuraya: privacyoffice@organon.com
      3. Posta mektubu ile şuraya: Baş Gizlilik Sorumlusu, Organon & Co. 30 Hudson Street, Jersey City, NJ 07302.
    2. Çalışanların ve yüklenicilerin, Şirketimizin gizlilik uygulamaları ile ilgili sorular, şikâyetler ve endişeler hakkında hemen Global Gizlilik Ofisine veya kendi iş alanları için belirlenmiş olan İş Uygulamaları Yöneticisine bildirimde bulunması gerekmektedir.
    3. Global Gizlilik Ofisi, ister doğrudan çalışanlardan alınmış olsun ister bir sınırlandırma olmaksızın düzenleyici kuruluşlar, hesap sorulabilirlik ajansları ve diğer devlet makamları dahil olmak üzere başka bireylerden alınmış olsun, Şirketimizin gizlilik uygulamaları ile ilgili soruları, şikayetleri ve endişeleri inceleyecek ve soruşturacak veya soruşturmak için Etik, Hukuk ve Uygunluk bölümü çalışanları ile birlikte çalışacaktır. Bir Yasa veya üçüncü taraf başvuru sahibi daha kısa bir süre içinde karşılık talep etmediği sürece veya aynı sırada devam etmekte olan bir devlet soruşturması gibi koşulların daha uzun bir süre gerektirmemesi halinde, Şirketimize soru, şikâyet veya endişe bildiren kişiye veya kuruluşa otuz (30) takvim günü içinde yanıt vereceğiz ve diğer durumda ise bireye veya üçüncü taraf başvuru sahibine olanaklı olan en kısa sürede gecikmeye neden olan koşulların genel özelliği hakkında yazılı olarak bildirimde bulunacağız.
    4. Bir gizlilik düzenleyici makamının tüm sorgularında, denetlemelerinde veya soruşturmalarında Global Gizlilik Ofisi, Hukuk veya Uygunluk bölümü çalışanları ile koordinasyon içinde iş birliği gösterecektir.
    5. EEA’da ikamet eden tüm bireyler veya Kişisel Bilgileri EEA’nın veri koruma Yasasına tabi olan ve EEA’nın dışına aktarılmış olan ve bilgileri Kişisel Bilgilerinin aktarımı için AB Standart Sözleşme Hükümlerinin kullanıldığı noktalarda işlenen bireyler, haklarının ihlal edilmesi karşısında çözüm bulmak için hukuki işlem başlatma hakkı ve söz konusu ihlalden ortaya çıkan zarar için tazminat alma hakkı dahil olmak üzere Standart Sözleşme Koşulları uyarıncaher an Standart Sözleşme Hükümlerinin gerekliliklerini üçüncü taraf lehtar olarak uygulatma hakkına sahiptir. EEA’da ikamet eden bireyler veya Kişisel Bilgileri EEA’nın veri koruma Yasasına tabi olan ve EEA’nın dışına aktarılmış olan bireyler (ABD’ye dahil) Standart Sözleşme Hükümleri uyarınca Kişisel Bilgileri EEA’dan dışarıya aktarmaktan sorumlu olan Şirket nezdinde dava açabilir veya şikayette bulunabilir:

      Yetkili Veri Koruma Otoriteleri (özellikle kişinin ikametgâhının bulunduğu Üye Devlette, iş yerinde veya iddia edilen ihlalin olduğu yerde). Veri koruma makamlarının iletişim bilgileri burada yer almaktadır: Members | European Data Protection Board (europa.eu)

    6. Üçüncü taraf başvuru sahibi daha kısa bir süre içinde karşılık talep etmediği sürece veya koşulların daha uzun bir süre gerektirmemesi halinde, Şirketimize soru, şikayet veya endişe bildiren kişiye veya kuruluşa Şirketimiz, yürürlükteki Yasada belirtilen süre zarfında yanıt verecektir ve diğer durumda ise bireye veya üçüncü taraf başvuru sahibine yazılı olarak bildirimde bulunulacaktır.
  4. Gizlilik değerlerimizi ve standartlarımızı ön planda tutmaktan sorumluyuz.
    1. Kanıtlanmış bir Gizlilik Vakasına veya Güvenlik Vakasına yol açan bir hareketten sorumlu olan Şirketimizin iştiraki Gizlilik Vakasından veya Güvenlik Vakasından ortaya çıkan herhangi bir tazminat talebinin tutarından veya para cezasından veya cezadan mali olarak sorumludur.
      1. Global Gizlilik Ofisinin koordinasyonu ile ve onun talimatı altında, Avrupa Veri Koruma Görevlisi, bu Politikanın EEA’da ikamet eden bireyleri veya Kişisel Bilgileri EEA’nın veri koruma Yasasına tabi olan ve EEA’nın dışına aktarılmış olan bireyleri etkileyecek şekilde Şirketimizin EEA dışındaki iştirakleri tarafından ihlal edildiği iddialarını ele almak üzere gerekli önlemlerin alınmasını sağlamaktan sorumludur.

Nezaret Etme ve İzleme

Düzenleme makamlarına ve diğer paydaşlara Şirketimizin etik ve sorumlu gizlilik uygulamalarına bağlı kalma sorumluluğu bulunduğu güvencesini vermek için Şirket bir Gizlilik Yetkilisi başkanlığında ve Gizlilik ve Veri Koruma Kurulu gözetiminde, belirlenmiş bir Global Gizlilik Ofisi (GPO), atanmış bir AB Veri Koruma Yetkilisi, yasa veya yerel makamlar tarafından gerekli görüldüğü zaman ülke DPO’ları ve İş Uygulama Yöneticileri içeren geniş ölçekli bir nezaret ve izleme gurubu bulundurmaktadır ve bu kişiler Kıdemli Liderler tarafından atanmakta olup Global Gizlilik Ofisi ile kendi çalıştıkları kuruluş alanı arasında irtibat görevlileri olarak hareket etmektedir.

Bu Politikayı onaylamış olan veya bu Politika uyarınca şirketin uygulamaları üzerinde yargı yetkisine sahip olan Gizlilik ve Veri Koruma Makamları bizim ona uygunluğumuzu doğrulama hakkına sahiptir. Bu yetkili makamların bu Politikanın yorumlanması ve uygulanması ile ilgili öğütlerine uyacağız.

Bilmeniz Gereken Terimler

  • Gizlilik Vakası. Bu Politikanın veya bir gizlilik veya veri koruma yasasının bir ihlalidir ve bir Güvenlik Vakasını içerir. Bir gizlilik vakası meydana gelip gelmediği ve bunun Kişisel Veri İhlali konumuna yükseltilmesi ile ilgili kararlar Global Gizlilik Ofisi, İş Teknolojisi Risk Yönetimi ve Güvenliği (BTRMS) ve Hukuk Ofisi tarafından yapılacaktır.
  • Güvenlik Vakası. Bir bilgi güvenliği olayı, muhtemelen bilgi güvenliğini tehlikeye atabilecek ve iş operasyonlarını zayıflatabilecek veya bozabilecek bir veya daha fazla istenmeyen veya beklenmeyen bilgi güvenliği olayından oluşur.
  • Kimliksizleştirilmiş. Doğrudan ve dolaylı kişisel tanımlayıcıların kaldırılması, genellikle orijinal tanımlama verilerinin ayrı ayrı korunması.
  • Kişisel Veri İhlali. Kişisel Bilgilerin kaza sonucu veya yasa dışı şekilde imha edilmesi, kaybolması, değiştirilmesi, yetkisiz şekilde açıklanması veya onlara erişilmesi sonucunu veren bir güvenlik ihlali veya Şirketimizin bunların olduğuna makul şekilde inanması. Bu Politikayı ihlal etme amacı olmadan şirketimiz tarafından veya Şirketimiz adına Kişisel Bilgilere erişilmesi, erişilen Kişisel Bilgilerin daha sonra yalnızca bu Politikanın izin verdiği ölçüde kullanılması ve açıklanması koşulu ile bir Kişisel Veri İhlali oluşturmaz.
  • Hassas Bilgiler. Bir sınırlandırma olmaksızın sağlık, genetik, biyometrik, ırk, etnik köken, din, politik veya felsefi görüşler veya inançlar, sabıka geçmişi, tam coğrafi konum bilgileri, banka veya diğer mali hesap numaraları, devlet tarafından verilen tanımlama numaraları, reşit olmayan çocuklar, cinsel yaşam, cinsel yönelim, sendika üyeliği, sigorta, sosyal güvenlik ve işveren veya devlet tarafından verilen diğer sosyal yardımlar ile ilgili bilgiler dahil olmak üzere yasa tarafından hassas olarak tanımlanan bilgiler dahil, özelliği gereği bireylere karşı potansiyel zarar riski taşımak üzere insanlar hakkındaki her tür bilgi.
  • İsimsiz duruma getirilmiş. Kişisel Bilgilerin tek başına veya beraberce bir bireyi tanımlamak, yerini belirlemek veya iletişim kurmak için geri çevrilemez şekilde kullanılamaz duruma getirilmesi amacı ile değiştirilmesi, kısaltılması, bozulması veya başka şekilde redakte edilmesi veya tadil edilmesi.
  • İşleme. Otomatik araçlar yapılsın veya yapılmasın, bir sınırlandırma olmaksızın toplamak, kayıt etmek, düzenlemek, depolamak, erişmek, uyarlamak, değiştirmek, geri çağırmak, danışmak, kullanmak, değerlendirmek, analiz etmek, rapor etmek, paylaşmak, açıklamak, yayınlamak, aktarmak, kullanıma sunmak, uygun duruma getirmek, birleştirmek, engellemek, silmek, temizlemek veya yok etmek dahil olmak üzere, insanlar hakkındaki bilgiler üzerinde herhangi bir işlem veya işlemler gurubu uygulanması.
  • Kişisel Bilgiler. Bir bireyi tanımlayan veya bir bireyi tanımlamak, yerini belirlemek, izlemek veya iletişim kurmak için kullanılabilen veriler dahil olmak üzere tanımlanmış veya tanımlanabilir bir birey ile ilgili her türlü veri. Kişisel Bilgiler hem bir ad, tanımlama numarası veya özgün iş unvanı gibi doğrudan tanımlanabilir bilgileri hem de doğum tarihi, özgün mobil veya giyilebilir cihaz tanımlayıcısı, telefon numarası ve ayrıca tuş kodlu veriler, IP adresleri gibi çevirim içi tanımlayıcılar veya hizmet veya ürünleri sunmak için toplanabilecek tüm kişisel faaliyetler, davranışlar veya tercihler gibi dolaylı olarak tanımlanabilir bilgileri içerir.
  • Şirket. Organon & Co., Şirketimizin taraf olduğu ortak girişimler hariç dünya çapındaki halefleri, iştirakleri ve bölümleri.
  • Üçüncü taraf. Şirketimizin sahip olmadığı veya şirketimizin çoğunluk hissesine sahip olmadığı veya Şirketimiz tarafından istihdam edilmiş olmayan herhangi bir tüzel kişilik, birlik veya kişi. Şirketin hiçbir bağlı kuruluşunun üçüncü taraf olarak değerlendirilmemesi gerekir.
  • Yasa. Şirketimizin faaliyet gösterdiği veya Kişisel Bilgilerin şirketimiz tarafından veya onun adına işlendiği herhangi bir ülkedeki geçerli tüm yasalar, kurallar, düzenlemeler ve yasa gücünde olan emirler veya görüşler. A.B.D. Federal Ticaret Komisyonunun soruşturma ve yasal yaptırım yetkileri altında, Asya Pasifik Ekonomik İşbirliği (“APEC”) Sınır Ötesi Gizlilik Kuralları (“CBPR’ler”)dahil olmak üzere Şirketimizin onlar uyarınca onaylanmış veya belgelendirilmiş olduğu tüm gizlilik çerçeveleri buna dahildir.

Bu Politikadaki Değişiklikler

Bu Politika geçerli Yasanın gerekleri ile tutarlı şekilde zaman zaman değiştirilebilir. Bu Politika maddi bir şekilde değiştirildiği zaman şirketimizin gizlilik web sayfasında (https://www.organon.com/privacy) altmış (60) takvim günü boyunca bir bildirim yayınlanacaktır.

En Organon, nuestra misión de ofrecer soluciones de salud innovadoras que permiten a las personas vivir sus mejores vidas, también se extiende a respetar su privacidad y proteger la información personal.

Fecha de revisión: 1 de febrero de 2021
Fecha de entrada en vigor: 1 de junio de 2021

Nos esforzamos en llevar a cabo nuestras actividades empresariales de acuerdo con nuestros principios de privacidad, ya que creemos que así se demuestra nuestro firme compromiso por tratar los datos de una manera ética y responsable. Somos conscientes de que la innovación y las nuevas tecnologías suponen un cambio continuo y por tanto procuramos adaptar nuestros principios de privacidad rápidamente para poder aplicarlos según esos cambios.

Esta Política define nuestros estándares globales para la gestión y la protección de la Información personal a medida que se mueve por las fronteras del país, por parte de nuestra Empresa o en su nombre, independientemente del país de origen o al que se transfiera la Información personal. Asimismo, describe nuestros compromisos fundamentales de acuerdo con nuestra

Certificación de Reglas de privacidad transfronteriza de APEC (Asia-Pacific Economic Cooperation, Foro de Cooperación Económica Asia-Pacífico) se aplica a nuestras operaciones en cada país, incluidas las transferencias de datos necesarias para llevar a cabo esas actividades. Esta Política también afecta a todas aquellas personas de las cuales tratamos información, entre otros, profesionales sanitarios y otros clientes; empleados futuros, actuales y antiguos y las personas a su cargo; pacientes; cuidadores; investigadores y participantes en estudios de investigación; miembros del comité científico y de ética; socios comerciales, inversores y accionistas; funcionarios públicos, y otras partes interesadas.

Todos los empleados de la empresa y los altos directivos tienen unas responsabilidades en materia de privacidad fundamentales que deben respetar.

Sabemos que los errores involuntarios y las valoraciones erróneas en relación con la protección de la información sobre personas pueden conllevar riesgos de privacidad potenciales para los individuos y riesgos de reputación, operativos, financieros y de cumplimiento para nuestra empresa. Impartimos la formación necesaria respecto a esta Política a los empleados y al resto de personal que acceda de manera permanente o habitual a Información personal, que participe en la recopilación de datos o que ayude con el diseño de herramientas que sirvan para tratar Información personal. Todos los empleados de nuestra Empresa, y todos aquellos que tratan información sobre personas para nuestra Empresa, son responsables de entender y respetar las obligaciones impuestas por esta Política y por la legislación pertinente.

Nuestros valores y estándares de privacidad

Respetamos nuestros valores de privacidad en todas las actividades que realizamos. Nuestros cuatro valores de privacidad son:

Respeto

Confianza

Evitar el daño

Cumplimiento

Sabemos que las creencias con respecto a la privacidad vienen dadas muy a menudo según nuestra personalidad, cómo vemos el mundo y cómo nos definimos, por lo que nos esforzamos en respetar las perspectivas e intereses de las personas y comunidades y en utilizar y compartir la información sobre ellos de manera justa y transparente.

Sabemos que la confianza es fundamental para nuestro éxito, y por esta razón nos esforzamos en fomentar y mantener la confianza de nuestros clientes, empleados, sujetos de los estudios y otras partes interesadas en nuestra manera de respetar la privacidad y proteger la información sobre personas.

Somos conscientes de que el mal uso de la información sobre personas puede producir daños tangibles e intangibles a las personas, por lo que queremos impedir riesgos a la seguridad física, financiera, de reputación o cualquier otro tipo de daño a la privacidad de los individuos.

Nos hemos dado cuenta de que las leyes y reglamentos no siempre pueden seguir el ritmo de los rápidos cambios que se producen en tecnología, flujos de datos y tendencias relacionadas con los riesgos y expectativas de privacidad. Por lo tanto, intentamos cumplir con el espíritu y la letra de las leyes y reglamentos de protección de datos y privacidad de una manera que nos permita lograr un funcionamiento coherente y eficiente para nuestras actividades empresariales a nivel global.

  1. Integramos nuestros estándares de privacidad en todas las actividades, procesos, tecnologías y relaciones con terceros que utilizan Información personal. Diseñamos medidas de control de la privacidad para nuestros procesos y tecnologías que se corresponden con nuestros valores y estándares de privacidad, así como con la legislación pertinente. Los ocho (8) principios de privacidad que se describen a continuación resumen a grandes rasgos nuestros estándares de privacidad y los requisitos principales para los procesos, las actividades y las tecnologías de apoyo.

    Principio de privacidad

    Nuestros compromisos fundamentales

    1. Necesidad: Antes de recopilar, utilizar o compartir Información personal, definimos y documentamos los propósitos datos.

    • Determinamos qué Información personal se necesita, y durante cuánto tiempo, para esos propósitos empresariales establecidos y los imperativos legales aplicables. Documentamos nuestra determinación.
    • No recopilamos, utilizamos ni compartimos más Información personal de la que sea necesaria, ni tampoco la conservamos de una manera identificable durante un periodo de tiempo más largo del necesario para esos propósitos empresariales establecidos y los imperativos legales aplicables.
    • Anonimizamos o eliminamos la identificación de la Información Personal cuando los requisitos del negocio requieren la conservación de los datos sobre una actividad o un proceso que involucre Información Personal durante un periodo de tiempo más largo.
    • Nos aseguramos de que estos requisitos necesarios están diseñados para cualquier tipo de tecnología de apoyo y de que se comunican a los terceros que prestan apoyo a la actividad o al proceso.

    2. Imparcialidad: Tratamos la Información personal de formas justas para las personas a quienes se refieren dichos datos.

    • Determinamos si la recopilación, utilización o cualquier otro tratamiento propuestos de la Información personal presentan un riesgo razonablemente posible o grave de daño tangible o intangible para los individuos, de acuerdo con nuestro valor de privacidad de Evitar el daño.
    • Si la naturaleza de los datos, tipos de personas o la actividad presentan un riesgo razonablemente posible o grave de daño tangible o intangible para las personas, nos aseguramos de que el riesgo de daño se vea compensado por un beneficio correspondiente para aquellos individuos a quienes se refieren dichos datos o para nuestra misión de salvar y mejorar vidas y de que las medidas, las protecciones y los mecanismos que hemos implantado mitiguen dicho riesgo.
    • En aquellos casos en los que el riesgo parezca no ser proporcional a los beneficios que los individuos percibirían, aplicamos las medidas de seguridad y protección relevantes, informamos a los individuos de este hecho y buscamos el consejo de la autoridad reguladora competente según se requiera.
    • Tratamos información confidencial únicamente con el consentimiento expreso de los individuos, según lo expresamente requerido o permitido por la legislación pertinente.
    • En aquellos casos en los que el riesgo parezca no ser proporcional a los beneficios que los individuos percibirían, documentamos el análisis del riesgo e implementamos salvaguardias para minimizar los riesgos lo máximo posible.

    3. Transparencia: Tratamos la Información personal de formas o para propósitos transparentes para las personas a las que los datos estén relacionados.

    • Todos los individuos sobre quienes se trate la Información personal con arreglo a esta Política tienen el derecho de recibir una copia de esta Política. Facilitaremos copias de esta Política en línea en www.organon.com/privacy y facilitaremos copias electrónicas o en papel de esta Política a las direcciones que se indican más adelante según se requieran.
    • Cuando la Información personal se recopila directamente de los individuos, nosotros les informamos, antes de recopilar los datos, con un aviso de privacidad claro, evidente y fácil de acceder, o bien a través de otros medios similares, sobre los siguientes aspectos: (1) la entidad o entidades empresariales responsables del tratamiento; (2) los datos de contacto de nuestro Director de privacidad o del Director de privacidad de datos regional/local; (3) la información que se recopilará; (4) los propósitos para los cuales se utilizará; (5) los fundamentos jurídicos de nuestro tratamiento de los datos; (6) los individuos con los que se compartirá, incluyendo cualquier petición de revelación de Información personal en respuesta a requerimientos legales efectuados por las autoridades gubernamentales; (7) si se va a transferir Información personal a otros países (incluida la identificación de los países pertinentes, si ello fuera viable) y, en caso afirmativo, de qué forma se va a hacer la transferencia; (8) el periodo de tiempo durante el cual se conservarán los datos o los criterios a partir de los cuales tomamos esa decisión; (9) la forma en la que los individuos pueden preguntar, expresar sus inquietudes o ejercer sus derechos en relación con su Información personal; (10) la forma en la que los individuos pueden retirar cualquier consentimiento que hayan otorgado; (11) su derecho a presentar reclamaciones ante cualquier autoridad de control; (12) cualquier obligación de proporcionar Información personal y las consecuencias de no hacerlo; (13) cualquier decisión automatizada; incluida la elaboración de perfiles que puedan realizarse, y (14) un enlace a esta Política, cuando sea posible y procedente. Nuestras notificaciones generales de privacidad para muchas de nuestras partes interesadas se encuentran disponibles en línea en: https://www.organon.com/privacy/contact/
    • Cuando la Información personal se recopila a través de la observación, sensores u otros medios indirectos, puede que no sea posible facilitar un aviso de privacidad directamente al individuo en el momento en que se recopila la información. En tales casos, le garantizamos al individuo la transparencia de la recopilación a través de otros medios, como por ejemplo mediante avisos impresos o publicados en el dispositivo o en los materiales asociados al dispositivo por el cual se obtendrá la información.
    • Cuando la Información personal se recopila a través de un sitio web, una aplicación móvil o cualquier otra aplicación o recurso en línea, aplicamos los estándares específicos de esa tecnología que se describen en nuestra Política de privacidad en Internet y en nuestro Política global de rastreo en línea para garantizar que se cumplen los requisitos de transparencia de acuerdo con esta Política.
    • Cuando la Información personal se recopila a través de otras fuentes sin estar necesariamente bajo la dirección de nuestra empresa, antes de obtener la información verificamos por escrito que el proveedor de esa información ha comunicado a los individuos las formas y los propósitos por los cuales nuestra Empresa tiene pensado usar esa información. Si no se puede obtener una verificación escrita del proveedor de esa información, utilizamos únicamente información anonimizada o cuya identificación se haya eliminado, o bien antes de utilizar la Información personal de esos individuos les informamos con un aviso de privacidad u otros medios similares sobre los siguientes aspectos: (1) la entidad o entidades empresariales de nuestra Empresa responsables del tratamiento, (2) los datos de contacto de nuestro Director de privacidad o del Director de protección de datos regional/local, (3) la información que nuestra Empresa tiene la intención de usar, (4) los propósitos para los cuales tiene la intención de usarla, (5) los fundamentos jurídicos de nuestro tratamiento, (6) los individuos con los que nuestra Empresa la compartirá, (7) si vamos a transferir Información personal a otros países (incluida la identificación de los países pertinentes, si ello fuera viable) y, en caso afirmativo, de qué forma se va a hacer la transferencia, (8) el periodo de tiempo durante el cual nuestra Empresa tiene la intención de conservarla o los criterios a partir de los cuales tomamos esa decisión, (9) la forma en la que pueden preguntar, expresar sus inquietudes o ejercer sus derechos en relación con su Información personal, (10) la forma en la que pueden retirar cualquier consentimiento que hayan otorgado, (11) su derecho a presentar reclamaciones ante cualquier autoridad de control, (12) cualquier obligación de proporcionar Información personal y las consecuencias de no hacerlo, (13) cualquier decisión automatizada, incluida la elaboración de perfiles, que podamos tomar, y (14) un enlace a esta Política, cuando sea posible y procedente.
    • Nos aseguramos de que los mecanismos necesarios de transparencia, incluidos si es posible los mecanismos de apoyo a las solicitudes de derechos de los individuos, estén diseñados en las tecnologías de apoyo, y de que los terceros que respaldan la actividad o el proceso no traten la información sobre personas de una manera incoherente con lo que se les ha comunicado a los individuos a través del aviso de privacidad u otro medio verificable acerca de lo que nosotros u otros que trabajen para nosotros haremos con la información.
    • En los casos en los que solicitamos consentimiento, obtenemos y documentamos pruebas de consentimiento en nuestras tecnologías de apoyo.

    4. Limitación de finalidad: Únicamente utilizamos Información personal de acuerdo con los principios de Necesidad y Transparencia.

    • Si se identifican nuevos propósitos comerciales legítimos para la Información personal previamente recopilada, obtenemos el consentimiento del individuo al nuevo uso de Información personal, o bien garantizamos que el nuevo propósito comercial sea compatible con los propósitos descritos en el aviso de privacidad o en otros mecanismos de transparencia que se facilitaron previamente al individuo (o garantizamos que sea sustancialmente similar a tales propósitos). Decidiremos la compatibilidad en función de (1) cualquier vínculo que hubiera entre los propósitos originales y el nuevo propósito propuesto, (2) las expectativas razonables del individuo, (3) la naturaleza de la Información personal, (4) las consecuencias que el tratamiento adicional podría acarrear al individuo y (5) las medidas de protección que hemos implantado.
    • No aplicamos este principio a la información anonimizada o cuya identificación se haya eliminado o al uso de la Información personal únicamente con fines de búsqueda histórica y científica si (1) un Comité de revisión ética u otro revisor competente ha determinado que el riesgo de ese tipo de uso para la privacidad o para otros derechos de los individuos es aceptable, (2) nosotros hemos implantado las medidas de protección adecuadas para garantizar la minimización de los datos, (3) se pseudoanonimizan los datos personales y (4) se respeta cualquier otra legislación pertinente.
    • Nos aseguramos de que las restricciones de limitación de finalidad están diseñadas en cualquier tipo de tecnología de apoyo, incluida cualquier capacidad de notificación y transmisión de datos.

    5. Calidad de los datos: Nos esforzamos por conservar la Información personal de manera precisa, completa y actualizada, de acuerdo con su uso previsto.

    • Nos aseguramos de que los mecanismos de revisión periódica de los datos están diseñados en las tecnologías de apoyo para validar la precisión de los datos en contraste con las fuentes y los sistemas de transmisión.
    • Nos aseguramos de que la Información confidencial se valida como precisa y actualizada antes de su uso, evaluación, análisis, notificación u otro tratamiento que presente un riesgo de parcialidad para las personas en el caso de que se utilicen datos erróneos u obsoletos.
    • Cuando nuestra Empresa o terceros que trabajan para nuestra Empresa realizan cambios en la Información personal, nos aseguramos de que esos cambios se comunican a los individuos pertinentes de una manera oportuna en la medida de lo posible.

    6. Seguridad: Adoptamos medidas de seguridad para proteger la Información personal y la Información confidencial de la pérdida y mal uso, y del acceso, revelación, alteración o destrucción no autorizados.

    • Hemos implementado un exhaustivo programa de seguridad de la información, y llevamos a cabo controles de seguridad y salvaguardias que se basan en la naturaleza y el grado de confidencialidad de la información y en el nivel de riesgo de la actividad, teniendo en cuenta las mejores medidas tecnológicas actuales y el coste de implementación. Nuestras políticas funcionales de seguridad incluyen, entre otras, los estándares de continuidad empresarial y recuperación de desastres, encriptación, gestión de la identidad y el acceso, clasificación de la información, gestión de incidencias en la seguridad de la información, control de acceso a redes, seguridad física y gestión de riesgos.

    7. Transferencia de datos: Somos responsables de las protecciones de privacidad de la Información personal cuando se transfiere de/a otras organizaciones o a través de fronteras nacionales y somos los encargados de preservarlas.

    (1) Transferimos Información personal en el seno de nuestra Empresa si se cumplen los siguientes requisitos:

    (a) la transmisión es necesaria para cumplir el propósito con el que se recopiló originalmente la Información personal o para satisfacer otro interés legítimo de la Empresa, y (b) el propósito con el que se ha de compartir, y el hecho de que se va a compartir, es coherente con el aviso de privacidad o demás mecanismos de transparencia que se facilitaron al individuo en el momento de la recopilación original de la Información personal y del otorgamiento del consentimiento por parte del individuo en los casos en que fuera necesario, (c) en los casos en que una de nuestras filiales actúa únicamente en nombre de otra de nuestras filiales en el tratamiento de Información personal, (d) en los casos en que sea obligatorio conforme a derecho, tales filiales de nuestra Empresa formalizarán un contrato de tratamiento de datos interno de conformidad con el principio 8 de esta Política, (o; e) en los casos en que la infraestructura de TIC requiere dicha transferencia, siempre que se disponga de las medidas organizativas y de seguridad adecuadas para permitir el cumplimiento de dicha transferencia.

    (2) Transferimos Información personal únicamente para que terceros traten la información, o para permitir que lo hagan, en el supuesto de que se cumplan los siguientes requisitos. Además, también confirmamos que dichos terceros cumplen con dichos requisitos:

    • Si la función del tercero es tratar la Información personal para nuestra empresa o en su nombre, antes de proporcionar la Información personal al tercero o implicarlo en el proceso, llevamos a cabo lo siguiente: (1) ejercer la diligencia debida en materia de privacidad para evaluar las prácticas de privacidad y los riesgos asociados con dicho tercero, (2) obtener garantías contractuales de dichos terceros de que (i) tratarán la Información personal únicamente según las instrucciones de nuestra Empresa y conforme a esta Política, incluidos, entre otros, los ocho (8) Principios de privacidad y otros estándares descritos en esta Política, así como la legislación aplicable; (ii) de que, además, notificarán de inmediato a nuestra Empresa si se produce un Incidente de privacidad, incluyendo cualquier incapacidad de cumplir con los estándares que se describen en esta Política y en la legislación aplicable, o un Incidente de seguridad, y de que cooperarán para remediar de inmediato cualquier Incidente corroborado y respetarán los derechos individuales descritos en la Sección 2 más adelante; (iii) de que no designarán a otra empresa para tratar la Información personal sin nuestra autorización por escrito y sin formalizar un contrato que imponga obligaciones equivalentes en materia de protección de datos; (iv) de que suprimirán de forma segura toda la Información personal, o nos la devolverán, una vez que hayan dejado de prestarnos servicios o previa solicitud o dirección por nuestra parte; y (v) de que ofrecerán a nuestra Empresa la posibilidad de auditar y controlar sus prácticas a fin de demostrar el cumplimiento de estos requisitos durante el tiempo de tratamiento de esos datos. Si los terceros tratan Información personal que se origina en un país o territorio con una legislación que restringe la transferencia de Información personal, nos aseguraremos de que la transferencia al tercero cumple con los requisitos de transferencia transfronteriza de datos descritos en la sección (3), dispuesta a continuación.
    • Si la función del tercero es proporcionar Información personal a nuestra empresa, antes de obtener la Información personal del tercero, nos aseguramos de que se cumplen los requisitos de transparencia para la recopilación de Información personal de otras fuentes, sin estar necesariamente bajo la dirección de nuestra Empresa, y obtenemos representaciones contractuales del tercero de que este no está transgrediendo ninguna ley ni los derechos de ningún otro tercero al proporcionar Información personal a nuestra empresa.
    • Si la función del tercero es recibir información de nuestra Empresa para su tratamiento, sin estar necesariamente bajo la dirección de nuestra Empresa, antes de proporcionar información al tercero, nos aseguramos de que la información ha sido anonimizada y de que su identificación se ha eliminado, y obtenemos garantías por escrito de que el tercero únicamente utilizará dicha información para los propósitos comerciales específicos descritos en el contrato y de conformidad con la Legislación aplicable, sin intentar reidentificar la información.
    • Si la transferencia al tercero es necesaria para proteger los intereses legítimos del individuo o los de la Empresa, podríamos transferir la información (1) con fines de prevención de fraude o para hacer valer o proteger derechos y bienes de la Empresa, (2) para salvaguardar la seguridad personal en nuestros inmuebles de nuestros empleados o de terceros y (3) para proteger nuestros activos adoptando medidas de seguridad correctivas si albergamos sospechas razonables de que se han llevado a cabo actividades ilícitas o conductas indebidas de gravedad.
    • Si nuestra Empresa tiene la intención de absorber el tercero o de adquirir una participación mayoritaria en este, (1) antes de firmar un acuerdo para absorberlo o adquirir una participación mayoritaria en dicho tercero, ejercemos la diligencia debida en materia de privacidad para evaluar las prácticas de privacidad y los riesgos asociados a la adquisición de ese tercero o de una participación mayoritaria en ese tercero, y (2) firmamos un acuerdo de transferencia de datos que especifica los términos y condiciones por los cuales la Información personal se puede revelar y las respectivas obligaciones de nuestra empresa y del tercero.
    • Si la función del tercero es adquirir los negocios de nuestra Empresa parcialmente o en su totalidad, antes de compartir ningún tipo de Información personal en relación con la venta de cualquier parte de nuestros negocios, (1) firmamos un acuerdo de transferencia de datos que especifica los términos y condiciones bajo los cuales se puede revelar Información personal al comprador, incluyendo las limitaciones apropiadas para el uso autorizado de la Información personal y el cumplimiento con los estándares que se describen en esta Política y en la legislación aplicable; (2) minimizamos la compartición de los elementos de datos a solo aquellas ocasiones en las que sea necesario; (3) obtenemos el consentimiento para compartir Información personal o Información confidencial de acuerdo con los principios de Transparencia y Limitación de finalidad de esta Política, y (4) solicitamos al tercero que notifique a nuestra Empresa de inmediato cualquier Incidente de privacidad aplicable, incluyendo cualquier incapacidad de cumplir con los estándares que se describen en esta Política y en la legislación aplicable, y que coopere para remediar de inmediato cualquier Incidente corroborado o para detener el tratamiento de Información personal relevante.

    (3) Transferimos Información personal a través de fronteras nacionales, incluido a Estados Unidos de América (EE. UU.), donde la Empresa tiene su sede, por parte de nuestra Empresa o en su nombre de conformidad con esta Política. Aplicamos esta Política para las transferencias de Información personal desde cualquier otro país o territorio con una legislación que restrinja la transferencia de Información personal, además de cumplir con cualquier imperativo impuesto por tal legislación (incluido el uso de cualquier mecanismo necesario para realizar transferencias transfronterizas a países que no tengan los mismos estándares de protección de datos que el país de origen).

    8. Permitido desde el punto de vista jurídico: Solo tratamos Información personal si se cumplen los requisitos de la Legislación aplicable.

    • Mientras que los otros siete (7) principios de privacidad, al igual que los requisitos de los derechos individuales descritos más adelante, se plantean para asegurar el cumplimiento de los requisitos de la gran mayoría de leyes de protección de datos y de privacidad que son de aplicación para nuestras actividades empresariales en todo el mundo, en algunos países tenemos que cumplir requisitos adicionales, entre otros, los siguientes:

      1) Cuando proceda, obtendremos formularios de consentimiento específicos para ciertos tipos de tratamiento de Información personal, incluida la aprobación del tratamiento por parte de consejos de trabajo y otros sindicatos de trabajadores, entre otros;

      2) Cuando proceda, registraremos el tratamiento de Información personal ante la autoridad reguladora de protección de datos o de privacidad pertinente o solicitaremos la aprobación por parte de la misma;

      3) Cuando proceda, proporcionaremos derechos más amplios (por ejemplo, de acceso y rectificación) que los que se describen en esta Política;

      4) Cuando proceda, reduciremos más los periodos de retención de datos de la Información personal;

      5) Cuando proceda, firmaremos acuerdos que contengan cláusulas contractuales específicas, incluidos los acuerdos de transferencia transfronteriza de datos a terceros; y

      6) Cuando proceda, divulgaremos Información personal en respuesta a solicitudes lícitas formuladas por autoridades públicas, incluidos los casos en que debamos atender solicitudes en materia de seguridad nacional o solicitudes formuladas por las fuerzas y cuerpos de seguridad.

      En caso de conflicto entre esta Política y la legislación aplicable, prevalecerá la normativa que proporcione más protección a los individuos.

  2. Abordaremos con prontitud las solicitudes sobre los derechos de los individuos a acceder, modificar, rectificar o suprimir Información personal; a oponerse al tratamiento de Información personal sobre ellos; o a ejercer otros derechos en relación con su Información personal.
    1. Acceso, rectificación, supresión y otros derechos: Con arreglo a la legislación de la gran mayoría de países en los que operamos, los individuos tienen el derecho de acceder a su Información personal, así como de modificar, rectificar o solicitar que se suprima Información personal que sea errónea, incompleta u obsoleta. Atenderemos a todas las solicitudes de acceso, rectificación o supresión de Información personal de todos los individuos de acuerdo con la Sección 3a, y según lo permitido por la Legislación aplicable. Si una solicitud de acceso, rectificación o supresión de información se rige por una legislación aplicable que proporciona una protección más amplia a los individuos, nos aseguraremos de que se cumplan los requisitos adicionales de esa legislación. En algunos países, es posible que a los individuos les asistan otros derechos respecto de la Información personal acerca de sí mismos, como el derecho a restringir el tratamiento, a oponerse al tratamiento (véase también la Sección 2b, dispuesta a continuación) y a disponer que sus datos sean transferidos a otro proveedor de servicios. Atenderemos el ejercicio de derechos en materia de datos con arreglo a la legislación aplicable. Algunos derechos como el de eliminación pueden ser limitados de acuerdo con otros requisitos reglamentarios o jurídicos o la necesidad de cumplir con la declaración de cumplimiento local; en tal caso, le informaremos sobre estas limitaciones según proceda.
    2. Elección: De acuerdo con nuestros valores de privacidad de “Respeto” y “Confianza”, atendemos a las solicitudes de los individuos de oponerse al tratamiento de Información personal, incluida la opción de dejar de participar en programas o actividades en los que se había aceptado participar previamente, así como de detener el tratamiento de su Información personal para comunicaciones comerciales directas o comunicaciones personales realizadas a medida según esa Información personal, y cualquier otra evaluación o decisión realizada a través del uso de sistemas automatizados o algoritmos que tenga el potencial de afectarles de una manera significativa, entre otras.
      1. Excepto cuando lo prohíba la legislación, puede que deneguemos la opción de elección cuando una solicitud específica pueda obstaculizar a nuestra Empresa en su capacidad para: (1) cumplir la legislación o una obligación ética, incluidos aquellos casos en que las autoridades públicas nos obliguen mediante un requerimiento lícito a divulgar Información personal, incluidos los casos en los que debamos atender solicitudes en materia de seguridad nacional o formuladas por las fuerzas y cuerpos de seguridad; (2) investigar, presentar o defender una demanda judicial; y (3) celebrar contratos, gestionar relaciones o entablar cualquier otra actividad comercial autorizada de acuerdo con los principios de Transparencia y Limitación de finalidad y llevada a cabo basándose en la información sobre las personas en cuestión. En el periodo de quince (15) días hábiles tras cualquier decisión de denegación de una solicitud de elección de acuerdo con esta Política, documentaremos y comunicaremos la decisión al solicitante, a menos que lo requiera de otra forma la ley aplicable.
  3. Responderemos y escalaremos rápidamente todas las preguntas, quejas e inquietudes relacionadas con la privacidad, además de cualquier Incidente de privacidad o Incidente de seguridad potencial.
    1. Cualquier individuo del cual tratemos Información personal dentro del alcance de esta Política puede plantear una pregunta, queja o inquietud a nuestra Empresa en cualquier momento, incluida una solicitud para recibir una lista de todas las filiales de nuestra Empresa que están sujetas a esta Política. Esperamos que nuestros empleados y las demás partes que trabajan en nombre de nuestra Empresa nos informen rápidamente cuando tengan motivos para creer que una legislación aplicable les pueda impedir cumplir con esta Política. Cualquier pregunta, queja o inquietud que un individuo plantee, o cualquier notificación facilitada por un empleado o cualquier otra persona que trabaje en nombre de nuestra empresa, debe dirigirse al Departamento de Privacidad Global:
      1. Por correo electrónico para residentes en el Espacio Económico Europeo (EEE) a: euprivacydpo@organon.com
      2. O por correo electrónico a: privacyoffice@organon.com Por correo postal a: Chief Privacy Officer Organon & Co, 30 Hudson Street, Jersey City, NJ 07302.
    2. Se requiere a los empleados y a los contratistas que comuniquen rápidamente al Departamento de Privacidad Global o al gerente de prácticas empresariales asignado a su área de negocio cualquier pregunta, queja o inquietud relacionada con las prácticas de privacidad de nuestra Empresa.
    3. El Departamento de Privacidad Global revisará e investigará, o trabajará con los compañeros del Departamento de Ética, Jurídico o de Cumplimiento Normativo para investigar todas las preguntas, quejas o inquietudes relacionadas con las prácticas de privacidad de nuestra Empresa, ya se reciban directamente por parte de nuestros empleados, de otros individuos o a través de terceros, entre otros, organismos reguladores, agentes de responsabilidad y otras autoridades gubernamentales. Responderemos a la persona o entidad que haya formulado la pregunta, queja o inquietud a nuestra Empresa en un plazo de treinta (30) días naturales a menos que la legislación o un tercero solicitante requiera que se conteste en un plazo de tiempo inferior, o salvo que las circunstancias exijan un plazo de tiempo superior como, por ejemplo, una investigación del gobierno concurrente, en cuyo caso la persona o tercero solicitante será notificado por escrito tan pronto como sea posible de la naturaleza general de las circunstancias que contribuyen al retraso.
    4. El Departamento de Privacidad Global, en coordinación con los compañeros del Departamento Jurídico y de Cumplimiento Normativo, colaborará en respuesta a cualquier consulta, inspección o investigación de una autoridad reguladora de la privacidad.
    5. Todos los individuos que residan en el EEE, o individuos cuya Información personal esté sujeta a la legislación de protección de datos del EEE y sea transferida fuera del EEE, y cuya información se trate de conformidad con esta Política, tienen en todo momento el derecho, donde las Cláusulas contractuales estándares de la UE se usen para transferir su Información personal, de hacer cumplir los requisitos de las Cláusulas contractuales estándares como terceros beneficiarios, incluido el derecho de emprender una acción judicial para solicitar soluciones jurídicas debido al incumplimiento de sus derechos según las Cláusulas contractuales estándares (tal y como se expone en la Sección 2, dispuesta anteriormente) y el derecho de recibir una indemnización por los daños provocados por tal incumplimiento. Los individuos que residan en el EEE o individuos cuya Información personal esté sujeta a la legislación de protección de datos del EEE y sea transferida fuera del EEE (incluyendo EE. UU.), pueden presentar una reclamación o una queja con arreglo a las Cláusulas contractuales estándares contra la Empresa: las autoridades de protección de datos competentes (en particular en el Estado miembro de su residencia lugar de trabajo o lugar de la presunta infracción). La información de contacto de las autoridades de protección de datos puede encontrarse aquí: Miembros – Consejo Europeo de Protección de Datos (europa.eu)
    6. Nuestra Empresa responderá a la persona o entidad que haya formulado la pregunta, queja o inquietud a nuestra Empresa en el plazo de tiempo asignado por la pregunta, queja o inquietud a nuestra Empresa en el plazo de tiempo asignado por la Legislación aplicable a menos que el tercero solicitante requiera que se conteste en un plazo de tiempo inferior o salvo que las circunstancias exijan un plazo de tiempo más largo, en cuyo caso la persona o el tercero solicitante será notificado por escrito.
  4. Somos responsables de respetar nuestros valores y estándares de privacidad.
    1. La filial de nuestra Empresa responsable de cualquier acción que genere un Incidente de privacidad o un Incidente de seguridad corroborado es responsable desde el punto de vista financiero del importe de cualquier reclamación por daños, multa o sanción que resulte del Incidente de privacidad o Incidente de seguridad.
      1. En coordinación con el Departamento de Privacidad Global (y bajo la dirección del mismo), el Supervisor Europeo de Protección de Datos es responsable de asegurar que se tomen las medidas necesarias para solucionar cualquier supuesto incumplimiento de esta Política, por parte de las filiales de nuestra Empresa fuera del EEE, que afecte a las personas residentes en el EEE o a individuos cuya Información personal esté sujeta a la legislación de protección de datos del EEE y sea transferida fuera del EEE.

Controles de supervisión y vigilancia

Con el objetivo de ofrecer garantías a los reguladores y a otras partes interesadas de que nuestra Empresa es responsable de su compromiso con las prácticas éticas y de privacidad responsables, la Empresa mantiene un grupo de gobernanza exhaustiva de supervisión y vigilancia. Este grupo cuenta con un Director de privacidad, un Departamento de Privacidad Global (GPO) dedicado, con la supervisión de un Consejo de Protección de Datos y de la Privacidad, un Delegado de Protección de Datos (DPD) asignado de un país de la UE, diversos DPD nacionales en los casos en que venga exigido conforme a derecho o según lo dispongan las autoridades locales y Gerentes de Prácticas Empresariales, que son designados por los altos directivos y actúan como enlace entre el Departamento de Privacidad Global y las áreas organizativas en las que trabajan.

Las autoridades de protección de datos y privacidad que han aprobado esta Política o que tienen jurisdicción sobre las prácticas de nuestra empresa de conformidad con esta Política tienen derecho a verificar que nosotros cumplimos con ella. Aceptaremos el consejo de estas autoridades competentes con respecto a la interpretación y la aplicación de esta Política.

Términos que necesita conocer

  • Anonimizado. La alteración, truncamiento, supresión u otra edición o modificación de la Información personal de forma que no se pueda emplear en ningún caso para identificar, localizar o ponerse en contacto con una persona, ya sea por sí sola o combinándola con otros datos.
  • La Empresa, Organon & Co., sus sucesoras, filiales y divisiones en todo el mundo, excluyendo las empresas conjuntas en las que participe nuestra Empresa.
  • Eliminación de la identificación. La eliminación de identificadores personales directos o indirectos, que suelen conservar los datos de identificación original por separado.
  • Incidente de privacidad. Una violación de esta Política o de una ley de protección de datos o de privacidad que incluya un Incidente de seguridad. Corresponde al Departamento de Privacidad Global y al Departamento de Gestión de Riesgos de la Tecnología Empresarial (ITRMS) determinar si se ha producido un incidente de privacidad y si este debe escalarse a una Violación de los datos personales.
  • Violación de los datos personales. Cualquier violación de la seguridad que conduzca a la destrucción, la pérdida o la alteración accidentales o ilícitas de Información personal; a la divulgación no autorizada de esta, o al acceso no autorizado a la misma; o la creencia justificada de nuestra Empresa en la existencia de lo anterior. El acceso a la Información personal por parte de nuestra Empresa o en su nombre sin la intención de infringir la presente Política no constituye una Violación de los datos personales, siempre que la Información personal a la que se accede se use y divulgue posteriormente únicamente para los fines permitidos en esta Política.
  • Incidente de seguridad. Un incidente de seguridad de la información está compuesto de uno o más acontecimientos indeseados e inesperados relacionados con la seguridad de la información que posiblemente podrían comprometer la seguridad de la información y debilitar o perjudicar las operaciones comerciales.
  • Información confidencial. Cualquier tipo de información sobre personas que implique un riesgo inherente de daño potencial para los individuos, incluida la información definida con arreglo a la legislación como confidencial, como la información relacionada con la salud, genética, datos biométricos, raza, origen étnico, religión, opiniones o creencias políticas/filosóficas, antecedentes penales, información precisa de geolocalización, números de cuentas bancarias o financieras de otro tipo, números de identificación oficiales, información sobre menores de edad, vida sexual, orientación sexual, afiliación sindical, seguros, seguridad social y otros beneficios a cuenta del empleador o del gobierno.
  • Información personal. Cualquier dato relacionado con un individuo identificado o identificable, incluidos los datos que identifican a un individuo o que pueden usarse para identificar, localizar, monitorizar o ponerse en contacto con un individuo. La Información personal incluye tanto la información directamente identificable (como puede ser el nombre, el número de identificación o el puesto de trabajo) como la información indirectamente identificable (como puede ser la fecha de nacimiento, el identificador único de un dispositivo móvil o portátil, el número de teléfono o identificadores en línea de datos cifrados tales como direcciones IP o cualquier actividad, conducta o preferencia personal que se pueda recopilar para proveer servicios o productos).
  • Legislación. Todas las leyes, normativas, reglamentos y sentencias con fuerza de ley aplicables en cualquier país en el que nuestra Empresa opera o en el que se trata Información personal por parte de nuestra Empresa o en su nombre. Esto incluye todos los marcos de privacidad con arreglo a los cuales nuestra empresa ha sido aprobada o certificada, que incluyen las Normas de privacidad transfronteriza (CPBR) de la Cooperación Económica Asia-Pacífico (APEC)
  • Tratamiento. Cualquier operación o conjunto de operaciones realizadas con la información sobre personas independientemente de si se llevan a cabo por medio automático, incluidas la recopilación, registro, organización, almacenamiento, acceso, adaptación, modificación, recuperación, consulta, uso, evaluación, análisis, comunicación, uso compartido, divulgación, difusión, transmisión, publicación, alineación, combinación, bloqueo, eliminación, supresión o destrucción de dicha información, entre otras.
  • Terceros. Cualquier entidad legal, asociación o persona que no sea propiedad de nuestra Empresa, o en la que nuestra Empresa no disponga de una participación mayoritaria, o que no esté empleada por nuestra Empresa. Ninguna filial de la Empresa debería considerarse como un tercero.

Cambios de esta Política

Esta Política se puede modificar periódicamente conforme a los requisitos de la legislación aplicable. Se publicará un aviso durante sesenta (60) días en el sitio web sobre privacidad de nuestra empresa (https://www.organon.com/privacy) cada vez que esta Política sea modificada de forma sustancial.

في شركةOrganon، إن مهمتنا تكمن في تقديم حلول صحية عظيمة تُمكّن الناس من العيش أفضل حياة التي تمتد إلى احترام خصوصية الأفراد وحماية البيانات الشخصية.

تاريخ المراجعة: 1 فبراير 2021
تاريخ السريان: 1 يونيو 2021

نحن نسعى سعيًا حثيثًا لممارسة أعمالنا وفقًا لمبادئ خصوصيتنا لأننا نؤمن أنها تؤكد التزامنا الراسخ بالممارسات الأخلاقية والجديرة بالثقة لمعالجة البيانات. نحن ندرك أن الابتكار والتكنولوجيا الجديدة يحدثان تغييرًا مستمرًا، لذلك نهدف إلى التكييف السريع لكيفية تطبيق مبادئ خصوصيتنا استجابة إلى هذه التغييرات.

تحدد هذه السياسة معاييرنا العالمية المتعلقة بإدارة المعلومات الشخصية وحمايتها عند نقلها عبر حدود البلاد من قبل شركتنا أو طرف آخر بالنيابة عن شركتنا، وذلك بغض النظر عن البلد الذي تم ادخال البيانات الشخصية فيه أو نقلها اليه. تصف هذه السياسة اساس التزاماتنا الداعمة للامتثال لمصادقة قواعد الخصوصية عبر الحدود الخاصة بـ APEC. تنطبق هذه السياسة على جميع عمليات الشركة في كل بلد، بما في ذلك عمليات نقل البيانات اللازمة لتنفيذ تلك الأنشطة.

تنطبق هذه السياسة أيضًا على جميع الأشخاص الذين نقوم بمعالجة بياناتهم الشخصية، بما في ذلك بدون الحصر، اختصاصيو الرعاية الصحية والعملاء الآخرين؛ الموظفين المحتملين، الحاليين والسابقين ومعاليهم، المرضى، مقدمي الرعاية، الباحثين والمشاركين في الدراسة البحثية، وأعضاء لجنة الأخلاقيات والعلوم، وشركاء الأعمال والمستثمرين والمساهمين، والمسؤولين الحكوميين وغيرهم من أصحاب المصلحة.

يتحمل جميع موظفي الشركة وكبار القادة مسؤوليات الخصوصية الأساسية التي يجب عليهم الالتزام بها.

نحن ندرك أن الأخطاء غير المقصودة وسوء التقدير فينما يتعلق بحماية المعلومات عن الأشخاص يمكن أن تسبب مخاطر محتملة على مستوى خصوصية الأفراد ومخاطر المتعلقة بالسمعة، والتشغيل، والتمويل والامتثال لقواعد شركتنا. نقدم التدريب المناسب على هذه السياسة للموظفين والموظفين الآخرين الذين لديهم إمكانية الوصول الدائم أو المنتظم إلى المعلومات الشخصية، أو الذين يشاركون في جمع البيانات أو المساعدة في تطوير الأدوات المستخدمة لمعالجة المعلومات الشخصية. كل موظف في شركتنا، وغيره ممن يقومون بمعالجة المعلومات عن الأشخاص لشركتنا، هم مسؤولون عن فهم التزاماتهم والوفاء بها بموجب هذه السياسة والقوانين المعمول بها.

قيم ومعايير الخصوصية لدينا

نحن نصون قيم الخصوصية لدينا في كل عمل نقوم به.

قيم الخصوصية الأربعة لدينا:

الاحترام

الثقة

منع الضرر

الامتثال

نحن ندرك أن معتقدات الخصوصية تتعلق في كثير من الأحيان بجوهر تعريفنا لأنفسنا، وكيف ننظر للعالم، لذلك نحن نسعى جاهدين لاحترام وجهات نظر ومصالح الأفراد والمجتمعات، وأن نتسم بالإنصاف والشفافية في كيفية استخدامنا وتبادلنا المعلومات عنهم.

نحن نعلم أن الثقة أمر ضروري لنجاحنا، لذلك نسعى جاهدين لبناء ثقة عملائنا والموظفين والمشاركين في الدراسة وأصحاب المصلحة الآخرين والحفاظ على تلك الثقة من خلال احترامنا لخصوصية وحماية المعلومات حول الأشخاص.

نحن ندرك أن إساءة استخدام المعلومات عن الأشخاص قد تؤدي إلى التسبب في ضرر ملموس وغير ملموس للأفراد، لذا نسعى إلى منع المخاطر من أجل السلامة البدنية، و المالية والمتعلقة بالسمعة وأنواع أخرى من ضرر الخصوصية الذي قد يلحق بالأفراد.

لقد تعلمنا أن القوانين واللوائح لا تستطيع دائمًا مواكبة التغير السريع في التقنيات وتدفق البيانات والتغيرات المصاحبة في مخاطر وتوقعات الخصوصية، لذا نسعى جاهدين للالتزام بروح ونص القوانين ولوائح الخصوصية وحماية البيانات على حد سواء بطريقة تحقق الاتساق وكفاءة التشغيل لعملياتنا التجارية العالمية.

  1. نحن نضمن معايير الخصوصية لشركة Organon في الأنشطة والعمليات والتقنيات والعلاقات مع الطرف الثالث التي تستخدم المعلومات الشخصية. نحن نصمم ضوابط الخصوصية في العمليات والتقنيات التي تتوافق مع قيم ومعايير الخصوصية لدينا والقانون المعمول به. تلخص مبادئ الخصوصية الثمانية (8) لدينا والموضحة أدناه معايير الخصوصية والمتطلبات الأساسية للعمليات والأنشطة والتقنيات الداعمة لها على مستوى عالٍ.
مبدأ الخصوصيةالتزاماتنا الأساسية
1. الضرورة – نقوم بتعريف وتوثيق أغراض تجارية محددة ومشروعة تكون مطلوبة قبل جمع المعلومات الشخصية واستخدامها أو مشاركتها، نحن نحدد المعلومات الشخصية المطلوبة لتلك الأغراض التجارية المحددة والمتطلبات القانونية المعمول بها، وكم المدة التي نحتاج فيها المعلومات. ونحن نوثق قرارنا.نحن لا نجمع معلومات شخصية أكثر من تلك المطلوبة، ولا نستخدمها أو نتبادلها أو نحتفظ بها أكثر مما يلزم لتلك الأغراض التجارية المحددة والمتطلبات القانونية المعمول بها. نقوم بطمس الهوية أو حذف معرفات الهوية من المعلومات الشخصية عندما تحتم متطلبات العمل الاحتفاظ ببيانات حول نشاط أو معالجة المعلومات الشخصية التي تتضمنها لفترة أطول من الزمن. نحن نضمن أن هذه المتطلبات الضرورية مصممة لأي تقنية داعمة وأن يتم إبلاغها إلى أطراف أخرى تدعم النشاط أو العملية.
2. الإنصاف –نستخدم المعلومات الشخصية المتعلقة بالأشخاص بطرق منصفة لهم.نحدد ما إذا كان الجمع المقترح للمعلومات حول الأشخاص والاستخدام أو المعالجة الأخرى لتلك المعلومات يمثل بشكل معقول خطر حدوث ضررا محتملا أو ضررًا شديدًا سواء كان ضررًا ماديًا أو غير مادي على لأفراد وفقًا لقيم منع الضرر عن الخصوصية الخاص بشركتنا. إذا كانت طبيعة البيانات أو أنواع الأشخاص أو النشاط تمثل بشكل معقول خطر حدوث ضرر مادي أو غير مادي محتمل أو مؤكد للأفراد، فيجب التأكد من أن خطر حدوث الضرر تفوقه فائدة تعود على هؤلاء الأفراد أو على مهمة شركتنا المتمثلة في إنقاذ حياة الأشخاص وتحسينها، وأن يتم التخفيف من هذا الخطر عن طريق الإجراءات والضمانات والآليات التي قد وضعتها شركتنا. عندما يبدو أن المخاطر تفوق الفوائد التي تعود على الأفراد، نقوم بتطبيق تدابير الأمن والحماية الأكثر صلة، وإبلاغ الأفراد بهذه الحقيقة ونطلب مشورة السلطة التنظيمية المختصة عندما يكون ذلك مطلوبًا.نحن نستخدم المعلومات الحساسة فقط بعد الحصول على موافقة صريحة من الأفراد، كما هو مطلوب صراحة أو مسموح به صراحة بموجب القانون المعمول به.عندما يبدو أن المخاطر تفوق الفوائد التي تعود على الأفراد، نقوم بتوثيق تحليل المخاطر وتنفيذ الضمانات لتقليل المخاطر قدر الإمكان.
3. الشفافية –نقوم بمعالجة المعلومات الشخصية بطرق أو لأغراض شفافة للأشخاص الذين تتعلق بهم البيانات. يحق لجميع الأفراد الذين تتم معالجة معلومات شخصية بشأنهم بموجب هذه السياسة الحصول على نسخة من هذه السياسة. سنتيح نسخًا من هذه السياسة عبر الإنترنت على الموقع https://www.organon.com/privacy. سيوفر مكتب الخصوصية العالمي نسخًا إلكترونية و/أو نسخًا ورقية من هذه السياسة عند الطلب إلى العناوين المدرجة أدناه.عندما يتم جمع المعلومات الشخصية مباشرة من الأفراد، نقوم بإبلاغهم قبل جمع المعلومات ومن خلال إشعار خصوصية واضح وصريح يمكن الوصول إليه بسهولة أو وسائل مشابهة، بـ (1) كيان الشركة أو الكيانات المسؤولة عن المعالجة، (2) تفاصيل الاتصال بمسؤول الخصوصية الرئيسي و/أو مسؤول خصوصية البيانات الإقليمي/المحلي، (3) ماهية المعلومات التي سيتم جمعها، (4) الأغراض التي سيتم استخدامها من أجله، (5) الأساس القانوني لمعالجتنا للبيانات، (6) مع من سيتم مشاركتها، بما في ذلك أي متطلبات للكشف عن المعلومات الشخصية استجابة للطلبات القانونية من السلطات الحكومية، (7) ما إذا كنا سننقل المعلومات الشخصية إلى دول أخرى وكيفية نقلها، بما في ذلك تحديد الدول ذات الصلة، حيثما كان ذلك ممكنًا (8) إلى متى سيتم الاحتفاظ بها أو المعايير التي نقرر بها ذلك القرار، (9) كيف يمكن للأفراد طرح سؤال أو إثارة مخاوف أو ممارسة حقوقهم المتعلقة بمعلوماتهم الشخصية، (10) كيف يمكنهم سحب أي موافقة قد قدموها، (11) حقهم في تقديم شكوى لدى سلطة إشرافية، (12) أي التزام بتقديم معلومات شخصية وعواقب عدم القيام بذلك، (13) أي عملية صنع قرارات آلية، بما في ذلك التصنيف، التي قد يتم تنفيذها، و(14) رابط موقع إلى هذه السياسة، حيثما كان ذلك ممكنًا ومناسبًا. تتوفر إشعارات الخصوصية الشاملة لكثير من أصحاب المصلحة لدينا عبر الإنترنت على الموقع https://www.organon.com/privacy/contact/ عندما يتم الحصول على معلومات شخصية من خلال المراقبة أو أجهزة الاستشعار أو الوسائل الأخرى غير المباشرة، قد لا يكون من الممكن تقديم إشعار خصوصية مباشرة للفرد في وقت جمع المعلومات. في مثل هذه الحالات، نضمن الشفافية للفرد من خلال وسائل أخرى، مثل نشرها أو طباعتها على الجهاز أو المواد المرتبطة بالجهاز الذي سيحصل على المعلومات.عندما يتم جمع معلومات شخصية عن طريق موقع ويب أو تطبيق جوال أو أي تطبيق أو مورد آخر عبر الإنترنت، نحن نطبق المعايير الخاصة بالتكنولوجيا الواردة في سياسة الخصوصية عبر الإنترنت وسياسة خصوصية الإنترنت والسياسة العامة للتتبع على شبكة الإنترنت لدينا لضمان تلبية متطلبات الشفافية وفقًا لهذه السياسة.عندما يتم جمع معلومات عن الأشخاص من مصادر أخرى وليس بناءً على توجيه من شركتنا على وجه التحديد تحقق كتابيًا، قبل الحصول على المعلومات، من أن مقدم المعلومات قد أبلغ الأفراد بالطرق والأغراض التي تعتزم من أجلها شركتنا استخدام المعلومات. إذا تعذر الحصول على المصادقة المكتوبة من مقدم المعلومات، نحن لا نستخدم سوى المعلومات مجهولة الهوية، أو إبلاغ الأفراد المتضررين، قبل استخدام المعلومات من خلال إشعار خصوصية أو وسائل مشابهة، من (1) اسم شركتنا أو شركاتنا المسؤولة عن معالجة المعلومات، (2) بيانات الاتصال بالمسؤول الرئيسي عن الخصوصية و/ أو مسؤول حماية البيانات الإقليمي/ المحلي، (3) ما هي المعلومات التي تنوي شركتنا استخدامها، (4) الأغراض التي من أجلها تنوي شركتنا استخدامها للمعلومات، (5) الأساس القانوني لمعالجة البيانات من قبل شركتنا، (6) مع من ستتبادل شركتنا البيانات، (7) ما إذا كانت شركتنا ستنقل المعلومات الشخصية إلى بلدان أخرى وكيف ذلك، بما في ذلك تحديد البلدان ذات الصلة، حيثما كان ذلك ممكنًا (8) المدة التي تخطط شركتنا للاحتفاظ بها أو المعايير التي تقرر بها شركتنا ذلك القرار، (9) كيف يمكنهم طرح سؤال أو إثارة مخاوف أو ممارسة حقوقهم المتعلقة بمعلوماتهم الشخصية، (10) كيف يمكنهم سحب أي موافقة قد قدموها، (11) حقهم في تقديم شكوى لدى سلطة إشرافية، (12) أي التزام بتقديم معلومات شخصية وعواقب عدم القيام بذلك، (13) أي قرارات الكترونية، بما في ذلك تحديد الأنماط، التي قد تنفذها شركتنا، و(14) وروابط إلى أي سياسات عن الخصوصية أو بيانات الخصوصية المعمول بها لدى شركتنا والتي تظهر خارجيًا، حيثما كان ذلك ممكنًا ومناسبًا.·     التأكد من أن آليات الشفافية الضرورية، بما في ذلك الآليات التي تدعم حق الفرد، مدموجة في تكنولوجيا الدعم، كلما أمكن، وأن الشركات الأخرى التي تدعم النشاط أو العملية لا تستخدم المعلومات عن الأشخاص بطرق تخالف ما قد تم به إبلاغ الأفراد من خلال إشعار الخصوصية أو وسائل أخرى يمكن التحقق من صحتها تفيد بأن شركتنا والآخرون الذين يعملون لأجل شركتنا سوف يتعاملون مع المعلومات.عندما نسعى للحصول على الموافقة، نحصل على أدلة الموافقة ونوثقها في تقنياتنا الداعمة.
4. تقييد الغرض – نحن نستخدم المعلومات الشخصية فقط وفقًا لمبادئ الضرورة والشفافية.إذا تم تحديد أغراض تجارية مشروعة جديدة للمعلومات الشخصية التي تم جمعها من قبل، فإننا إما أن نحصل على موافقة الفرد للاستخدام الجديد للمعلومات الشخصية، أو نضمن أن الغرض التجاري الجديد متوافق مع، بما في ذلك الأغراض المماثلة من الناحية المادية، الأغراض الموصوفة في إشعار الخصوصية أو آلية الشفافية الأخرى التي سبق تقديمها للفرد. سنحدد التوافق على أساس (1) أي ارتباط بين الأغراض الأصلية والغرض الجديد المقترح، (2) التوقعات المعقولة للفرد، (3) طبيعة المعلومات الشخصية، (4) عواقب المعالجة الإضافية للفرد، و(5) الضمانات التي وضعتها. نحن لا نطبق هذا المبدأ على المعلومات مجهولة الهوية أو حيثما نستخدم المعلومات الشخصية فقط لأغراض البحث العلمي والتاريخي و(1) إذا ما قررت لجنة مراجعة الأخلاقيات، أو المراجع المختص الآخر أن خطورة هذا الاستخدام على الخصوصية والحقوق الأخرى للأفراد مقبولة، (2) ولقد وضعنا ضمانات مناسبة لضمان تقليل البيانات إلى الحد الأدنى، (3) والبيانات الشخصية تُعطى اسمًا مستعارًا و(4) يتم احترام جميع القوانين الأخرى المعمول بها.نحن نضمن أن قيود تقييد الغرض مصممة لأي تقنية داعمة، بما في ذلك أي قدرات الإبلاغ والمشاركة النهائية للبيانات.
5. جودة البيانات – نسعى جاهدين للحفاظ على المعلومات الشخصية دقيقة وكاملة وحديثة بما يتفق مع الاستخدام المقصود.نحن نضمن أن آليات المراجعة الدورية للبيانات مدمجة في التقنيات الداعمة للتحقق من دقة البيانات مقابل أنظمة المصدر والمصب. نحن نضمن التحقق من صحة المعلومات الحساسة على أنها دقيقة وحديثة قبل استخدامها وتقييمها وتحليلها والإبلاغ عنها أو المعالجة الأخرى التي تشكل خطرًا من عدم الإنصاف للأشخاص إذا تم استخدام بيانات غير دقيقة أو قديمة.عندما يتم إجراء تغييرات على المعلومات الشخصية من قبل شركتنا أو أطراف ثالثة تعمل لصالح شركتنا، فإننا نتأكد من إرسال هذه التغييرات إلى الأفراد المعنيين في الوقت المناسب عندما يكون ذلك ممكنًا بشكل معقول.
6. الأمن – ننفذ ضمانات لحماية المعلومات الشخصية والمعلومات الحساسة من الفقدان وسوء الاستخدام والوصول غير المصرح به أو الكشف أو التغيير أو الإتلاف.لقد قمنا بتنفيذ برنامج شامل لأمن المعلومات ونطبق ضوابط الأمن والضمانات التي تستند إلى طبيعة وحساسية المعلومات ومستوى مخاطر النشاط، مع الأخذ في الاعتبار لأفضل الممارسات التكنولوجية الحالية وتكلفة التنفيذ. تشمل سياسات الأمن الوظيفية لدينا، على سبيل المثال لا الحصر، معايير استمرارية العمل والتعافي من الكوارث، التشفير، إدارة الهوية وإمكانية الوصول، تصنيف المعلومات، إدارة حوادث أمن المعلومات، التحكم في إمكانية الوصول إلى الشبكة، الأمن المادي، وإدارة المخاطر.    
7. نقل البيانات – نحن مسؤولون عن الحفاظ  على الخصوصية للمعلومات الشخصية والحفاظ عليها عندما يتم نقلها إلى أو من منظمات أخرى أو عبر حدود البلدان. (1) نقوم بنقل المعلومات الشخصية داخل شركتنا إذا تم استيفاء المتطلبات التالية: (أ) المشاركة ضرورية لتحقيق الغرض الذي تم من أجله جمع المعلومات الشخصية في الأصل أو أي مصلحة مشروعة أخرى للشركة؛ أو (ب) الغرض الذي ستتم مشاركتها من أجله، وحقيقة أنه سيتم مشاركتها، يتوافق مع إشعار الخصوصية أو آلية الشفافية الأخرى التي تم تقديمها سابقًا للفرد في وقت جمع المعلومات الشخصية في الأصل وتم إعطاء الشخص موافقته عند الضرورة؛ أو (ج) حيثما تعمل إحدى الشركات التابعة لشركتنا فقط نيابة عن شركة أخرى تابعة لشركتنا في معالجة المعلومات الشخصية؛ أو (د) حيثما يقتضي القانون، ستقوم هذه الشركات التابعة لشركتنا بتنفيذ اتفاقية معالجة البيانات الداخلية وفقًا للمبدأ 8 من هذه السياسة؛ أو (هـ) عندما تتطلب البنية التحتية لتكنولوجيا المعلومات مثل هذا النقل، بشرط أن تكون جميع التدابير الأمنية والتنظيمية المناسبة في مكانها الصحيح لجعل هذا النقل متوافقًا.   (2) ننقل فقط المعلومات الشخصية إلى أو نسمح بمعالجتها من قبل أطراف ثالثة إذا تم استيفاء المتطلبات التالية ونؤكد أن الأطراف الثالثة تلبي المتطلبات التالية: إذا كان دور الطرف الثالث هو معالجة المعلومات الشخصية لصالح أو نيابة عن شركتنا، قبل تقديم المعلومات الشخصية إلى الطرف الثالث أو إشراك الطرف الثالث، فإننا: (1) نستكمل العناية الواجبة على الخصوصية لتقييم ممارسات الخصوصية والمخاطر المرتبطة بهذا الطرف الثالث، (2) الحصول على ضمانات تعاقدية من هذه الأطراف الثالثة بأنهم (أ) سيقومون بمعالجة المعلومات الشخصية وفقًا لتعليمات شركتنا فقط، ووفقًا لهذه السياسة، بما في ذلك على سبيل المثال لا الحصر، جميع مبادئ الخصوصية الثمانية (8) والمعايير الأخرى المنصوص عليها في هذه السياسة والقوانين المعمول بها، و(ب) أنهم سيقومون بإخطار شركتنا على الفور بأي حادث خصوصية، بما في ذلك عدم القدرة على الامتثال للمعايير المنصوص عليها في هذه السياسة والقوانين المعمول بها، أو حادث أمني، والتعاون في معالجة أي حادث موثق على وجه السرعة والنظر في الحقوق الفردية المنصوص عليها في القسم 2 أدناه، و(ج) أنهم لن يشركوا شركة أخرى لمعالجة المعلومات الشخصية دون تصريح كتابي منا ودون إبرام اتفاقية تفرض التزامات مكافئة لحماية البيانات، و(د) أنهم سوف يقومون بشكل آمن بحذف أو إعادة جميع المعلومات الشخصية إلينا بعد الانتهاء من تقديم الخدمات لنا أو بناءً على طلبنا أو توجيهاتنا، و(هـ) أنهم سوف يسمحون لشركتنا بمراجعة ومراقبة ممارساتهم للامتثال لهذه المتطلبات طوال مدة المعالجة. بالإضافة إلى ذلك، إذا قام الطرف الثالث بمعالجة المعلومات الشخصية التي تنشأ في بلد أو إقليم مع قانون يقيد نقل المعلومات الشخصية، فسوف نضمن أن نقل المعلومات إلى الطرف الثالث يفي بمتطلبات نقل البيانات عبر الحدود الموضحة في (3) أدناه. إذا كان دور الطرف الثالث هو توفير المعلومات الشخصية لشركتنا، قبل الحصول على المعلومات الشخصية من الطرف الثالث، نحن نضمن تلبية متطلبات الشفافية الخاصة بجمع المعلومات الشخصية من مصادر أخرى وليس بناءً على توجيه شركتنا على وجه التحديد، ونحصل على إقرارات تعاقدية من الطرف الثالث بأنها لا تنتهك أي قانون أو حقوق أي طرف ثالث عن طريق توفير المعلومات الشخصية لشركتنا.إذا كان دور الطرف الثالث هو الحصول على المعلومات من شركتنا للمعالجة التي ليست بناءً على توجيه من شركتنا على وجه التحديد، قبل تقديم المعلومات إلى الطرف الثالث، نحن نضمن أن المعلومات قد كانت مجهولة المصدر أو مجهولة الهوية، ونحصل على تأكيدات مكتوبة من الطرف الثالث أنه لن يستخدمها إلا للأغراض التجارية المحددة في الاتفاقية ووفقًا للقوانين المعمول بها، وأنه لن يحاول إعادة تعريف المعلومات. إذا كان النقل إلى طرف الثالث مطلوبًا لحماية المصالح الشخصية المشروعة للفرد أو حماية تلك المصالح للشركة، يجوز لنا نقل المعلومات: (1) لأغراض منع الاحتيال أو إنفاذ أو حماية حقوق وممتلكات الشركة، (2) لحماية السلامة الشخصية لموظفينا أو أطراف ثالثة على ممتلكاتنا، و (3) لحماية أصولنا من خلال اتخاذ تدابير أمنية تصحيحية إذا ساورنا شك مبرر أن نشاطًا غير قانوني أو سوء سلوك جسيم قد حدث.إذا كان الطرف الثالث هو هدف للاستحواذ أو حصة مسيطرة من قبل شركتنا، (1) قبل إبرام اتفاقية للاستحواذ على الطرف الثالث أو الاستحواذ على الحصة المسيطرة من الطرف الثالث، فإننا نكمل الحرص الواجب المتعلق بالخصوصية لتقييم ممارسات الخصوصية والمخاطر المرتبطة بالاستحواذ على الطرف الثالث أو الاستحواذ على الحصة المسيطرة في ذلك الطرف الثالث، و(2) ونبرم اتفاقية نقل البيانات التي تحدد الشروط والأحكام التي بموجبها قد يتم الكشف عن المعلومات الشخصية والتزامات كل من الشركة والطرف الثالث.إذا كان دور الطرف الثالث هو الاستحواذ على كل أو جزء من أعمال شركتنا، قبل مشاركة أي معلومات شخصية تتعلق بتصفية أي جزء من أعمال شركتنا، نحن (1) نبرم اتفاقية نقل البيانات التي تحدد الشروط والأحكام التي بموجبها قد يتم الكشف عن المعلومات الشخصية للمشتري، بما في ذلك القيود المناسبة فيما يتعلق بالاستخدامات المسموح بها للمعلومات الشخصية والامتثال للمعيار المنصوص عليه في هذه السياسة والقانون المعمول به، (2) تقليل مشاركة عناصر البيانات والذي يكون أمرًا ضروريًا، (3) الحصول على موافقة لمشاركة المعلومات الشخصية أو المعلومات الحساسة وفقًا لمبادئ الشفافية ومبادئ تقييد الغرض من هذه السياسة، و (4) مطالبة الطرف الثالث بإبلاغ شركتنا على الفور بأي حادث متعلق بالخصوصية القابلة للتطبيق، بما في ذلك عدم القدرة على الامتثال للمعايير المنصوص عليها في هذه السياسة والقوانين المعمول بها، والتعاون على الفور لعلاج أي حادث موثق أو التوقف عن معالجة المعلومات الشخصية ذات الصلة. (3) نقوم بنقل المعلومات الشخصية عبر حدود الدول، بما في ذلك إلى الولايات المتحدة الأمريكية حيث يقع مقر شركتنا، بواسطة أو بالنيابة عن شركتنا وفقًا لهذه السياسة. سنطبق هذه السياسة على عمليات نقل المعلومات الشخصية من أي بلد أو إقليم آخر بقانون يقيد نقل المعلومات الشخصية، بالإضافة إلى الالتزام بأي متطلبات تفرضها هذه القوانين (بما في ذلك استخدام أي آليات مطلوبة لعمليات النقل عبر الحدود إلى البلدان التي ليس لديها نفس معايير حماية البيانات من بلد المنشأ).
8. مسموح قانونًا – نقوم بمعالجة المعلومات الشخصية فقط إذا تم استيفاء متطلبات القوانين المعمول بها.في حين أن مبادئ الخصوصية السبعة (7) الأخرى، بالإضافة إلى متطلبات حقوق الأفراد الموضحة أدناه، تهدف إلى ضمان تلبية متطلبات معظم قوانين حماية الخصوصية وحماية البيانات التي تنطبق على أعمالنا في جميع أنحاء العالم، في بعض البلدان، نحتاج إلى تلبية متطلبات إضافية، بما في ذلك على سبيل المثال لا الحصر ما يلي: عند الاقتضاء، سنحصل على أشكال محددة من الموافقة على معالجة معينة للمعلومات الشخصية، بما في ذلك على سبيل المثال لا الحصر، الموافقة على المعالجة من قبل مجالس العمل والنقابات العمالية الأخرى؛عند الاقتضاء، سوف نسجل معالجة المعلومات الشخصية مع أو نحصل على موافقة السلطة التنظيمية للخصوصية أو حماية البيانات المعمول بها؛عند الاقتضاء، سنوفر حقوقًا أوسع (على سبيل المثال، إمكانية الوصول والتصحيح) غير المنصوص عليها في هذه السياسة؛عند الاقتضاء، سنقنن كذلك فترات الاحتفاظ بالبيانات للمعلومات الشخصية؛ ووعند الاقتضاء، سنبرم اتفاقيات تتضمن بنود تعاقدية محددة، بما في ذلك اتفاقيات لنقل البيانات عبر الحدود إلى أطراف ثالثة.عند الاقتضاء، سوف نفصح عن المعلومات الشخصية استجابةً لطلبات قانونية من قبل السلطات العامة، بما في ذلك الوفاء بمتطلبات الأمن الوطني أو متطلبات إنفاذ القانون.   في حالة وجود تعارض بين هذه السياسة وقانون معمول به، فإنه سوف يسود المعيار الذي يوفر حماية أكبر للأفراد.  
  1. سننظر على الفور في طلبات الحقوق المتعلقة بالأفراد للوصول إلى المعلومات الشخصية وتعديلها وتصحيحها أو حذفها، أو الاعتراض على معالجة المعلومات الشخصية المتعلقة بهم، أو ممارسة حقوق أخرى بخصوص معلوماتهم الشخصية.
    1. إمكانية الوصول والتصحيح والحذف والحقوق الأخرى – بموجب القوانين المعمول بها في معظم الدول التي نعمل فيها، يحق للأفراد الوصول إلى المعلومات الشخصية الخاصة بهم، وتعديل وتصحيح أو طلب حذف المعلومات الشخصية غير الدقيقة أو غير المكتملة أو القديمة. سنحترم جميع الطلبات للوصول إلى المعلومات الشخصية وتصحيحها وحذفها من جميع الأفراد وفقًا للقسم 3أ أدناه، على النحو الذي يسمح به القانون المطبق. إذا كان طلب إمكانية الوصول، التصحيح أو الحذف يخضع إلى قانون معمول به يوفر حماية أكبر للأفراد، فسوف نضمن استيفاء المتطلبات الإضافية لهذا القانون.
      في بعض الدول، قد يكون من حق الأفراد الحصول على حقوق أخرى فيما يتعلق بالمعلومات الشخصية عن أنفسهم، مثل الحق في تقييد المعالجة، والاعتراض على المعالجة (انظر أيضًا القسم 2ب أدناه)، ونقل بياناتهم إلى مزود خدمة آخر. سنحترم ممارسة حقوق البيانات وفقًا للقوانين المعمول بها. قد تكون بعض الحقوق، مثل الحذف، مقيدة وفقًا للمتطلبات التنظيمية أو القانونية الأخرى أو ضرورة الامتثال لتقارير الامتثال المحلية، في هذه الحالة سنبلغك بهذه القيود حسب الاقتضاء.
    2. الاختيار – تماشيًا مع قيم الخصوصية لدينا “الاحترام” و”الثقة”، فإننا نحترم الطلبات الفردية للاعتراض على معالجة المعلومات الشخصية، بما في ذلك، على سبيل المثال لا الحصر، إلغاء الاشتراك في البرامج أو الأنشطة التي وافقوا مسبقًا على المشاركة فيها، معالجة المعلومات الشخصية عنهم من أجل الاتصالات التسويقية المباشرة، والاتصالات التي تستهدفهم استنادًا إلى معلومات شخصية عنهم، وأي تقييم أو قرارات بشأنهم، والتي من المحتمل أن تؤثر عليهم بشكل كبير، وذلك باستخدام الأتمتة أو الخوارزميات.
      1. باستثناء الحالات التي يحظرها القانون، قد نرفض الاختيار عندما يعيق طلب خاص شركتنا في قدرتها على: (1) الامتثال لقانون أو التزام أخلاقي، بما في ذلك حيثما يُطلب منا الإفصاح عن المعلومات الشخصية استجابةً للطلبات القانونية من السلطات العامة، بما في ذلك تلبية متطلبات الأمن القومي أو متطلبات إنفاذ القانون، (2) التحقيق في المطالبات القانونية أو تقديمها أو الدفاع عنها، و(3) تنفيذ العقود وإدارة العلاقات أو المشاركة في الأنشطة التجارية المسموح بها الأخرى التي تتسق مع مبادئ تقييد الشفافية ومبادئ تقييد الغرض المبرمة استنادًا على المعلومات حول الأشخاص المعنيين. في غضون خمسة عشر (15) يوم عمل من أي قرار لرفض طلب الاختيار وفقًا لهذه السياسة، سنقوم بتوثيق القرار وإبلاغه إلى مقدم الطلب، ما لم ينص القانون المطبق على خلاف ذل
  2. سنرد على الفور على جميع الأسئلة، الشكاوى والمخاوف المتعلقة بالخصوصية وتصعيدها وأي حادث خصوصية محتمل أو حادث أمني.
    1. يمكن لأي فرد نعالج بشأنه معلومات شخصية في نطاق هذه السياسة أن يثير سؤالًا أو شكوى أو قلقًا لشركتنا في أي وقت، بما في ذلك طلب للحصول على قائمة بجميع الشركات التابعة لشركتنا التي تخضع لهذه السياسة. نتوقع أنه سيقدم موظفونا والأخرون الذين يعملون نيابة عن شركتنا إشعارًا فوريًا إذا كان لديهم سبب للاعتقاد بأن القانون المعمول به قد يمنعهم من الالتزام بهذه السياسة. يجب توجيه أي سؤال أو شكوى أو قلق يثيره فرد، أو أي إشعار يقدمه موظف أو أي شخص آخر يعمل بالنيابة عن شركتنا، إلى مكتب الخصوصية العالمي:
      1. عن طريق البريد الإلكتروني بالنسبة للأشخاص المقيمين في المنطقة الاقتصادية الأوروبية (EEA) إلى: euprivacydpo@organon.com
      2. خلاف ذلك، عن طريق البريد الإلكتروني إلى: privacyoffice@organon.com
      3. عن طريق البريد العادي إلى: Chief Privacy Officer, Organon & Co., 30 Hudson Street, Jersey City, NJ 07302.
    2. يتعين على الموظفين والمقاولين إبلاغ مكتب الخصوصية العالمي على وجه السرعة، أو مدير ممارسة الأعمال المخصص لمنطقتهم الأعمال الخاصة بهم، بأي أسئلة أو شكاوى أو مخاوف تتعلق بممارسات الخصوصية الخاصة بشركتنا.
    3. سيقوم مكتب الخصوصية العالمي بمراجعة وتحقيق أو التعاون مع مكتب الأخلاقيات وموظفي الشؤون القانونية والامتثال لبحث جميع الأسئلة، والشكاوى أو المخاوف المتعلقة بممارسات الخصوصية الخاصة بشركتنا، سواء تم استلامها مباشرة من الموظفين أو الأفراد الآخرين أو من خلال أطراف ثالثة، بما في ذلك، على سبيل المثال لا الحصر، الهيئات التنظيمية ووكلاء المساءلة والسلطات الحكومية الأخرى. سنقوم بالرد على الفرد أو الكيان الذي أثار السؤال، الشكوى أو قدم ما يساوره من شواغل لشركتنا في غضون ثلاثين (30) يومًا تقويميًا ما لم يتطلب القانون أو مقدم الطلب لدى الطرف الثالث ردًا في فترة زمنية أقصر أو ما لم تكن هناك ظروف، مثل إجراء تحقيق حكومي متزامن، يتطلب فترة زمنية أطول، وفي هذه الحالة، سيتم إبلاغ مقدم الطلب سواء الفرد أو الطرف الثالث كتابيًا في أقرب وقت ممكن عمليًا تبعًا للطبيعة العامة للظروف التي تسهم في التأخير.
    4. سيتعاون مكتب الخصوصية العالمي، بالتنسيق مع موظفي الشؤون القانونية والامتثال، في الرد على أي استفسار، تفتيش أو تحقيق يتعلق بخصوصية سلطة تنظيمية.
    5. جميع الأفراد المقيمين في المنطقة الاقتصادية الأوروبية، أو الأفراد الذين تخضع بشأنهم المعلومات الشخصية لقانون حماية البيانات في المنطقة الاقتصادية الأوروبية وتُنقل خارج المنطقة الاقتصادية الأوروبية، والذين تتم معالجة المعلومات الخاصة بهم وفقًا لهذه السياسة يحق لهم، حيث تُستخدم البنود التعاقدية القياسية للاتحاد الأوروبي لنقل معلوماتهم الشخصية، بموجب هذه السياسة، في أي وقت، إنفاذ متطلبات البنود التعاقدية القياسية كأطراف ثالثة مستفيدين، بما في ذلك الحق في رفع دعوى قضائية للحصول على تعويضات عن انتهاك حقوقهم بموجب هذه البنود التعاقدية القياسية والحق في الحصول على تعويض عن الأضرار الناتجة عن هذا الخرق. الأفراد المقيمين في المنطقة الاقتصادية الأوروبية أو الأفراد الذين تخضع بشأنهم المعلومات الشخصية لقانون حماية البيانات في المنطقة الاقتصادية الأوروبية وتُنقل خارج المنطقة الاقتصادية الأوروبية (بما في ذلك إلى الولايات المتحدة الأمريكية)، يمكنهم رفع دعوى أو تقديم شكوى بموجب هذه البنود التعاقدية القياسية ضد الشركة مع.
      سلطات حماية البيانات المختصة (خاصةً في الدولة العضو التابعة لمحل إقامته المعتاد أو مكان عمله أو مكان الانتهاك المزعوم). يمكن العثور على معلومات الاتصال بسلطات حماية البيانات هنا: Members | European Data Protection Board (europa.eu)[A1] 
      1. ستقوم شركتنا بالرد على الفرد أو الكيان الذي أثار السؤال، وقدم الشكوى أو ساوره شواغل لشركتنا في غضون الفترة المحددة بموجب القانون المطبق ما لم يتطلب مقدم الطلب لدى الطرف الثالث ردًا في فترة زمنية أقصر أو ما لم تكن هناك ظروف تتطلب فترة زمنية أطول، وفي هذه الحالة، سيتم إبلاغ مقدم الطلب سواء الفرد أو الطرف الثالث كتابيًا.
    6. نحن مسؤولون عن صون قيم ومعايير الخصوصية الخاصة بنا.
      1. تتحمل الشركة التابعة لشركتنا مسؤولية أي إجراء يؤدي إلى وقوع حادث خصوصية أو حادثة أمنية موثقة مسئولة ماليًا عن مبلغ أي مطالبة بالتعويض عن الأضرار أو الغرامة أو العقوبة الناشئة عن حادث الخصوصية أو الحادث الأمني.
        1. بالتنسيق مع وبناءً على توجيه مكتب الخصوصية العالمي، يعتبر مسؤول حماية البيانات الأوروبي مسؤولًا عن ضمان اتخاذ الإجراءات اللازمة لمعالجة أي انتهاكات مزعومة لهذه السياسة من قبل شركات تابعة لشركتنا خارج المنطقة الاقتصادية الأوروبية التي تلحق الضرر بالأفراد المقيمين في المنطقة الاقتصادية الأوروبية أو الأفراد الذين تخضع بشأنهم المعلومات الشخصية لقانون حماية البيانات في المنطقة الاقتصادية الأوروبية وتُنقل خارج المنطقة الاقتصادية الأوروبية.

    الإشراف والمراقبة

    من أجل توفير ضمانات للهيئات التنظيمية وأصحاب المصلحة الآخرين بأن شركتنا مسؤولة عن التزامها بممارسات الخصوصية الأخلاقية والمسؤولة، تحتفظ الشركة بمجموعة حوكمة واسعة النطاق من الرقابة والرصد، يرأسها كبير مسؤولي الخصوصية مع مكتب الخصوصية العالمي المختص(GPO)، بإشراف مجلس الخصوصية وحماية البيانات وهو مسؤول حماية البيانات المعين من الاتحاد الأوروبي، ومسؤولي حماية البيانات الخاصين بالدولة حيثما يقتضي القانون أو السلطات المحلية، ومديري ممارسة الأعمال، الذين يتم تعيينهم من قبل كبار القادة ويعملون كموظفين اتصال بين مكتب الخصوصية العالمي والمجالات التنظيمية التي يعملون فيها.

    مصطلحات يتعين عليك معرفتها

    • مجهولة المصدر. التغيير أو الاقتطاع أو الطمس أو أي تنقيح أو تعديل آخر للمعلومات الشخصية لجعلها مستبعدة الاستخدام بشكل نهائي للتعرف على أو تحديد مكان أو الاتصال بفرد، إما بمفرده أو بالاقتران مع معلومات أخرى.
    • الشركة. Organon & Co، وخلفاؤها، والشركات التابعة، والأقسام في جميع أنحاء العالم، باستثناء المشاريع المشتركة التي تكون شركتنا طرفًا فيها.
    • مجهولة الهوية. إزالة المعرفات الشخصية المباشرة وغير المباشرة، وغالبًا ما يتم الاحتفاظ ببيانات التعريف الأصلية بشكل منفصل.
    • القانون. جميع القوانين والقواعد واللوائح والأوامر المعمول بها والتي لها قوة القانون في أي دولة تعمل فيه شركتنا أو التي تتم فيها معالجة المعلومات الشخصية بواسطة أو بالنيابة عن شركتنا. ويشمل ذلك جميع أطر الخصوصية التي بموجبها تم الموافقة على أو اعتماد شركتنا، بما في ذلك قواعد الخصوصية عبر الحدود (“CBPRs”) لمنتدى التعاون الاقتصادي لآسيا والمحيط الهادئ (“APEC”)

    .

    • المعلومات الشخصية. أي بيانات تتعلق بفرد محدد أو يمكن التعرف عليه، بما في ذلك البيانات التي تحدد هوية الفرد أو تلك التي يمكن استخدامها لتحديد هوية أي فرد أو تحديد مكانه أو تتبعه أو الاتصال به. تشتمل المعلومات الشخصية كلًا من المعلومات التي يمكن التعرف عليها مباشرة مثل الاسم، رقم التعريف أو المسمى الوظيفي الفريد، والمعلومات المحددة بشكل غير مباشر مثل تاريخ الميلاد، معرِّف فريد للهاتف المحمول، الجهاز القابل للارتداء، رقم الهاتف بالإضافة إلى البيانات المشفرة برمز والمعرفات عبر الإنترنت مثل عنوان برتوكول الإنترنت IP أو أي أنشطة أو سلوك أو تفضيلات شخصية قد يتم جمعها لتقديم الخدمات أو المنتجات.
    • حادث الخصوصية. انتهاك هذه السياسة أو قانون حماية الخصوصية أو البيانات، ويتضمن حادثًا أمنيًا. تحديد ما إذا كان قد حدث حادث خصوصية وما إذا كان يجب أن يرفع إلى مستوى خرق البيانات الشخصية يجب أن يصدر عن مكتب الخصوصية العالمي، إدارة مخاطر تكنولوجيا الأعمال (BTRM)، والشؤون القانونية.
    • المعالجة. تنفيذ أي عملية أو مجموعة من العمليات على المعلومات المتعلقة بالأشخاص، سواءً كانت بالوسائل الآلية أم لا، بما في ذلك، على سبيل المثال لا الحصر، التجميع، التسجيل، التنظيم، التخزين، إمكانية الوصول، التطويع، التغيير، الاسترجاع، الاستشارة، الاستخدام، التقييم، التحليل، الإبلاغ، المشاركة، الإفصاح، النشر، النقل، الإتاحة، التنسيق، الدمج، الحظر، الحذف، المحو، أو الإتلاف.
    • خرق البيانات الشخصية. خرق للأمن الذي يؤدي إلى الإتلاف العرضي أو غير القانوني، الفقدان، التغيير، الإفصاح غير المصرح به أو إمكانية الوصول إلى المعلومات الشخصية أو اعتقاد شركتنا المعقول بالمثل. لا تشكل إمكانية الوصول إلى المعلومات الشخصية من قبل أو بالنيابة عن شركتنا بدون قصد انتهاك هذه السياسة خرقًا للبيانات الشخصية، شريطة أن يتم استخدام المعلومات الشخصية التي يتم الوصول إليها بشكل إضافي والكشف عنها وفقًا لما تسمح به هذه السياسة فقط.
    • حادث أمن. تتكون حادثة أمن المعلومات من حدث أو أكثر من أحداث أمن المعلومات غير المرغوب فيها أو غير المتوقعة والتي قد تعرض أمن المعلومات للخطر وتضعف أو تعوق العمليات التجارية.
    • معلومات حساسة. أي نوع من المعلومات عن الأشخاص الذي ينطوي على خطر ملازم للضرر المحتمل للأفراد، بما في ذلك المعلومات التي يحددها القانون على أنها معلومات حساسة، بما في ذلك، على سبيل المثال لا الحصر، المعلومات المتعلقة بالصحة، علم الوراثة، القياسات الحيوية، العرق، الأصل الإثني، الديانة أو الآراء السياسية أو الفلسفية أو المعتقدات، التاريخ الإجرامي، معلومات الموقع الجغرافي الدقيقة، أرقام الحسابات المصرفية أو أرقام الحسابات المالية الأخرى، أرقام الهوية الصادرة عن الحكومة، الأطفال القاصرين، الحياة الجنسية، التوجه الجنسي، الانتماء النقابي، التأمين والضمان الاجتماعي وأرباب العمل الأخرين أو الاستحقاقات التي تصدرها الحكومة.
    • الطرف الثالث. أي كيان قانوني أو جمعية أو شخص لا يخضع لملكية شركتنا، أو الكيان الذي لا تمتلك الشركة فيه حصة مسيطرة، أو الشخص الذي لم يُوظف من قبل شركتنا. لا ينبغي اعتبار أي شركة تابعة للشركة كطرف ثالث.

    التغييرات على هذه السياسة

    يجوز تعديل هذه السياسة من وقت لآخر، بما يتفق مع متطلبات القانون المعمول به. سيتم نشر إشعار على صفحة ويب الخصوصية الخاصة بالشركة (https://www.organon.com/privacy) لمدة ستين (60) يومًا عند تغيير هذه السياسة من الناحية المادية.

Миссия компании Organon предлагать гениальные решения для здоровья, которые позволяют людям жить как можно лучше, неразрывно связана с уважением их частной жизни и защитой их личной информации.

Дата пересмотра: 1 февраля 2021 г.
Дата вступления в силу: 1 июня 2021 г.

Мы стараемся вести бизнес в соответствии с нашими принципами, касающимися конфиденциальности, потому что считаем, что именно такой подход лучше всего отражает нашу приверженность принципам этичного и ответственного поведения в сфере обработки данных. Мы понимаем, что инновации и новые технологии влекут за собой непрерывные изменения, поэтому мы стараемся максимально быстро адаптировать наши принципы конфиденциальности к изменяющимся условиям.

Настоящая Политика определяет наши глобальные стандарты управления Личной информацией и ее защиты компанией или от имени Компании при международной передаче данных вне зависимости от того, в какой стране была собрана и в какую страну будет отправлена такая личная информация. В Политике описаны наши обязательства в отношении исполнения требований сертификации по Правилам обеспечения конфиденциальности

APEC при международнойпередачеданных. Это применимо к нашей деятельности во всех странах, включая передачу данных, которая необходима для такой деятельности. Требования данной Политики также применимы ко всем лицам, данные которых мы обрабатываем, включая в том числе работников сферы здравоохранения и других клиентов; будущих, текущих и бывших сотрудников и зависимых от них лиц, пациентов, опекунов, исследователей и участников исследований, членов комитетов по науке и этике, деловых партнеров, инвесторов и акционеров, государственных служащих и других заинтересованных лиц.

Все сотрудники и руководители Компании, включая высшее руководство, имеют базовые обязанности по обеспечению конфиденциальности, которые они должны выполнять.

Мы понимаем, что неизбежные ошибки и ошибочные суждения, связанные с защитой информации о людях, могут создавать потенциальные риски конфиденциальности для отдельных лиц, а также репутационные, операционные и финансовые риски и риски нормативно-правового несоответствия для нашей Компании. Мы проводим необходимое обучение данной Политике для сотрудников и другого персонала, которые имеют постоянный или регулярный доступ к Личной информации, задействованы в сборе информации или помогают в разработке инструментария, необходимого для обработки Личной информации. Каждый сотрудник нашей Компании, а также лица, обрабатывающие информацию о людях от имени нашей Компании, несут ответственность за правильное понимание и выполнение своих обязательств в соответствии с настоящей Политикой и применимыми законами.

Наши ценности и стандарты в отношении конфиденциальности

Мы придерживаемся ценностей в отношении конфиденциальности в каждом аспекте своей деятельности. Наши ценности в отношении конфиденциальности — это:

Уважение

Доверие

Непричинениевреда

Соблюдениенормативов

Мы признаем, что убеждения в области обеспечения конфиденциальност и часто связаны с тем, кто мы есть, с нашими взглядами и на мир и тем, как мы определяем себя, поэтому мы стараемся уважать взгляды и интересы отдельных лиц и сообществ, а также стараемся быть максимально честными и обеспечивать прозрачность в отношении использования и передачи информации о них.Мы знаем, что доверие очень важно для нашего успеха, поэтому мы стараемся создать и сохранить доверие клиентов, сотрудников, объектов исследований и других заинтересованных лиц и показать им, что мы уважаем конфиденциальность и защищаем информацию о людях.Мы понимаем, что некорректное использование информации о людях может нанести людям как моральный, так и материальный ущерб, поэтому мы стремимся защитить людей от любых рисков физической безопасности, финансовых, репутационных и других видов рисков.Мы уже убедились в том, что законы и нормативы не всегда поспевают за быстро меняющейся ситуацией в сфере технологий, потоков данных и связанными с этим изменениями в ожиданиях и рисках в сфере конфиденциальности, поэтому мы стремимся следовать духу и букве закона в отношении конфиденциальности, поддерживая единообразие и эффективность работы во всех наших глобальных подразделениях.
  1. Мы внедряем стандарты конфиденциальности в рабочие процессы, технологии и взаимоотношения с третьими лицами, использующими Личную информацию. Мы разрабатываем методы управления конфиденциальностью и внедряем их в процессы и технологии, обеспечивая единообразие в ценностях, стандартах и применимых законах. Наши восемь (8) принципов обеспечения конфиденциальности, указанные ниже, включают основные положения стандартов и ключевые требования к процессам, деятельности и вспомогательным технологиям на высшем уровне.

    Принцип конфиден- циальности

    Наши основные обязательства

    1. Необходимость- прежде чем получить, использовать или передать Личную информацию, мы определяем и документально фиксируем конкретную и юридически обоснованную рабочую цель таких действий.

    • Мы определяем цели и сроки, на которые Личная информация понадобится в указанных рабочих целях и в соответствии с действующими юридическими требованиями. Мы документально фиксируем наши цели.
    • Мы не собираем, не используем и не передаем больше Личной информации, чем нужно. Мы не храним Личную информацию в незашифрованном виде дольше, чем необходимо в указанных рабочих целях и в соответствии с действующими юридическими требованиями.
    • Если существует рабочая необходимость в более длительном хранении данных о какой-либо деятельности или процессе, куда входит Личная информация, мы переводим Личную информацию в анонимный формат или обезличиваем ее.
    • Мы гарантируем наличие требований к определению необходимости во всех используемых технологиях и передачу таких требований всем третьим лицам, участвующим в процессах.

    2. Честность – мы обрабатываем Личную информацию честным образом по отношению к людям, которым принадлежит эта информация.

    • Мы выясняем, влечет ли предполагаемый сбор, использование или другой вид обработки Личной информации за собой обоснованно вероятные или серьезные моральные, или материальные риски для владельцев такой информации в соответствии с нашей ценностью непричинения вреда.
    • Если характер данных, типы лиц или действий влекут угрозу обоснованно вероятного и/или серьезного риска морального или материального вреда, мы должны убедиться в том, что риск причинения вреда компенсируется преимуществами для указанных лиц или нашей миссии — спасения жизней и улучшения качества жизни людей, а степень риска снижается благодаря реализованным нами принципам, мероприятиям и мерам защиты.
    • В случаях, когда имеются признаки того, что риск перевешивает преимущества для указанных лиц, мы применяем наиболее подходящие меры безопасности и защиты, информируем людей об этом факте и в случае необходимости обращаемся за консультацией к компетентному регулирующему органу.
    • Мы обрабатываем Секретную информацию только с прямого согласия указанных лиц при наличии прямого требования или недвусмысленного разрешения соответствующего законодательства.
    • В случаях, когда имеются признаки того, что риск перевешивает преимущества для указанных лиц, мы документируем результаты анализа рисков и внедряем меры предосторожности, необходимые для минимизации рисков.

    3. Прозрачность – мы не обрабатываем Личную информацию в таких целях или такими способами, которые не являются прозрачными.

    • Все лица, чья информация обрабатывается в соответствии с настоящей Политикой, имеют право на получение текста настоящей Политики. Текст настоящей Политики будет доступен онлайн по адресy www.organon.com/privacy. Глобальный отдел обеспечения конфиденциальности предоставит электронные и/или бумажные копии настоящей Политики по запросу на адреса, указанные ниже.
    • В случаях, когда Личная информация собирается непосредственно у ее владельцев, • мы информируем их об этом до момента сбора информации с помощью четких и понятных уведомлений или аналогичных средств с указанием (1) компании или подразделения, ответственного за обработку; контактной информации нашего Директора по конфиденциальности и/или регионального/местного сотрудника по обеспечению конфиденциальности; (3) типа собираемых данных; (4) целей использования данных; (5) юридического основания для нашей обработки данных; (6) лиц, которым будут передаваться данные, включая любые требования по разглашению Личных данных в ответ на законные запросы со стороны правительственных органов; (7) будет ли Личная информация передана в другие страны, включая определение соответствующих стран, когда это применимо, и каким образом это будет осуществляться; (8) сроков хранения данных или критериев, используемых при их определении; (9) способов получения ответов на возможные вопросы или подачи претензий и осуществления прав физических лиц в отношении Личной информации; (10) способов отзыва предоставленного согласия; (11) прав на подачу жалобы в регулирующий орган; (12) обязательств по предоставлению Личной информации и последствий их непредоставления; (13) автоматизированных процедур принятия решений, которые мы будем использовать, включая возможное составление профилей; и (14) ссылок на настоящую Политику во всех случаях, когда это возможно. Полные тексты примечаний по вопросам конфиденциальности для многих из наших заинтересованных лиц доступны онлайн по ссылке https://www.organon.com/privacy/contact/.
    • В случае получения Личной информации с помощью наблюдения, датчиков или иных косвенных средств, возможность направления владельцу информации уведомления о сборе непосредственно в момент сбора может отсутствовать. В этом случае мы обеспечиваем прозрачность процесса сбора данных иными способами, включая нанесение информации о сборе данных в печатном виде на устройство сбора данных.
    • В случае получения Личной информации с помощью веб-сайта, мобильного приложения или иного онлайн- приложения или ресурса, мы применяем специальные стандарты, описанные в Политике по обеспечению конфиденциальности в Интернете и нашей Глобальной политике отслеживания в Интернете, с целью обеспечения максимального уровня прозрачности в соответствии с требованиями настоящей Политики.
    • В случае получения Личной информации из других источников, не находящихся в нашем непосредственном владении, мы в письменном виде подтверждаем наличие у поставщика информации уведомления для владельцев информации о целях и методах сбора указанной информации Компанией. Если письменное подтверждение не может быть получено у поставщика информации, мы используем только ту информацию, которая имеет статус анонимной или обезличенной, либо перед использованием Личной информации направляем соответствующим лицам уведомление с указанием (1) Компании или подразделения, ответственного за обработку, (2) контактной информации нашего Директора по конфиденциальности и/или регионального/местного сотрудника по защите данных, (3) типа данных, которые Компания планирует использовать, (4) целей использования данных Компанией, (5) юридических оснований для нашей обработки, (6) лиц, которым будут передаваться данные нашей Компанией, (7) будет ли передаваться Личная информация в другие страны, включая определение соответствующих стран, когда это возможно, и каким образом, (8) сроков хранения данных нашей Компанией или критериев для их определения (9) способов получения ответов на вопросы, подачи претензий или способов реализации своих прав в отношении Личной информации, (10) способов отзыва данного ими согласия, (11) прав на подачу жалобы в надзорный (12) обязательств по предоставлению Личной информации и последствий ее непредоставления, (13) автоматизированных процедур принятия решений, используемых нами, включая возможное составление профилей, и (14) ссылок на настоящую Политику во всех случаях, когда это возможно.
    • Мы стремимся обеспечить наличие во всех вспомогательных технологиях обязательных механизмов прозрачности, включая, по возможности, механизмы, поддерживающие возможность индивидуального запроса прав, и стремимся гарантировать соответствие процесса обработки данных третьими сторонами положениям уведомлений о конфиденциальности и иных контролируемых оповещений.
    • Когда мы запрашиваем согласие, мы получаем и документируем свидетельство согласия утвержденным образом.

    4. Ограничение цели: мы используем Личную информацию исключительно в соответствии с принципами необходимости и прозрачности.

    • Если в отношении ранее полученной Личной информации были выявлены новые законные цели применения, мы обеспечим либо получение согласия лица на новый вид использования Личной информации, либо соответствие новых целей применения целям, включая аналогичные ранее описанным в уведомлении о конфиденциальности, либо наличие другого механизма обеспечения прозрачности, предоставленного лицу ранее. Критерием для принятия нами решения о соответствии является (1) соответствие первоначальных целей предлагаемой новой цели, (2) обоснованность ожиданий лица, (3) характер Личной информации, (4) последствия дальнейшей обработки для лица и (5) реализуемые нами средства защиты.
    • Мы не применяем этот принцип к анонимной или обезличенной информации или случаям использования Личной информации исключительно в исторических или исследовательских целях, а также в случаях, когда (1) Комитет этического контроля или другой компетентный надзорный орган определил, что риск использования такой информации в отношении конфиденциальности и других прав затронутого лица является приемлемым и (2) нами реализованы необходимые меры защиты, направленные на минимизацию объема данных; (3) все данные переведены в анонимную форму; (4) требования всех применимых законов соблюдены.
    • Мы стремимся обеспечить наличие ограничений цели во всех вспомогательных технологиях, включая средства создания отчетности и дальнейшей передачи данных.

    5. Качество данных: мы стремимся поддерживать точность, полноту и соответствие Личной информации целям ее использования.

    • Мы стараемся обеспечивать наличие механизмов периодической проверки данных, встроенных во вспомогательные системы и предназначенных для контроля корректности данных относительно источника и систем передачи данных.
    • Мы стремимся гарантировать проверку точности и актуальности Секретной информации перед ее использованием, оценкой, анализом, созданием отчетности или другими видами обработки, представляющими риск передачи людям искаженной информации в случае использования неточных или устаревших данных.
    • В случае внесения в Личную информацию изменений нашей Компанией или третьими сторонами, работающими на нашу Компанию, мы стремимся в установленный срок оповестить об этом заинтересованных лиц в случае возможности.

    6. Безопасность: мы применяем специальные средства для защиты от потери, неправильного использования и несанкционирова нного доступа, раскрытия, изменения и уничтожения Личной информации и Конфиденциальн ой информации.

    • Мы используем программу полноценной защиты информации и применяем методы защиты и предосторожности, основанные на характере и степени секретности информации и уровне риска, которым характеризуется деятельность, с учетом передовых практических методов и стоимости внедрения. Наши функциональные политики обеспечения безопасности включают, среди прочего, стандарты поддержания устойчивости бизнеса и аварийного восстановления, шифрования, идентификации и управления доступом, классификации информации, управления случаями нарушения информационной безопасности, управления доступом в сети, физической безопасности и управления рисками.

    7. Передача данных: мы несем ответственность за обеспечение безопасности данных при их передаче и соблюдение всех мер обеспечения конфиден- циальности Личной информации во время ее передачи между организациями или странами.

      (1) Мы передаем Личную информацию внутри нашей Компании в случае соблюдения следующих требований:

      (a) предоставление информации необходимо для осуществления цели первоначального сбора Личной информации или других законных интересов Компании; (b) цель и факт предоставления информации соответствуют уведомлению о конфиденциальности или другому механизму обеспечения прозрачности, предоставленным лицу при первоначальном сборе Личной информации, с которым данное лицо, в случае необходимости, согласилось; (c) в случае если один из филиалов Компании выступает от имени другого филиала в отношении обработки Личной информации; (d) в случае, когда это требуется Законодательством, данными филиалами нашей Компании заключают внутренние соглашения об обработке данных в соответствии с Принципом 8 настоящей Политики; или (e) в случае, когда это требуется ввиду особенностей применимых IT-технологий, при условии принятия всех необходимых мер безопасности и организационных мер для обеспечения соответствия такой передачи требованиям соблюдения конфиденциальности.

      (2) Мы передаем или допускаем передачу Личной информации третьими сторонами только при условии соблюдения перечисленных ниже требований. При этом мы подтверждаем соблюдение этих требований третьими сторонами:
      • Если задачей третьей стороны является обработка Личной информации от имени нашей Компании , то перед передачей Личной информации третьей стороне или привлечением третьей стороны мы принимаем следующие меры: (1) проведение комплексной проверки по вопросам обеспечения конфиденциальности для оценки мероприятий по защите информации и рисков, связанных с этой третьей стороной, (2) получение юридического подтверждения обязательств третьих сторон (i) следовать в процессе обработки Личной информации только инструкциям Компании, а также получение подтверждения обязательства третьих лиц в соответствии с настоящей Политикой, включая все восемь (8) принципов обеспечения конфиденциальности и другие указанные в ней нормы, и применимым законодательством; (ii) при первой возможности уведомить Компанию о нарушении конфиденциальности, включая неспособность выполнить требования данной Политики или применимого законодательства, или безопасности, принять все возможные меры для устранения последствий нарушения конфиденциальности и обеспечить защиту индивидуальных прав в соответствии с Разделом 2 ниже; (iii) что они не будут нанимать другие компании для обработки Личной информации без нашего письменного согласия и заключения соглашения о равнозначных обязательствах по защите данных; (iv) будут надежно удалять или возвращать нам Личную информацию по окончании оказания нам услуг или по нашей просьбе или указанию; и (v) предоставлять Компании возможность проведения аудита и отслеживания практических методов работы третьих лиц для проверки соответствия указанным требованиям в ходе обработки информации. Кроме того, если третья сторона обрабатывает Личную информацию, полученную в стране или на территории, где действуют законы, ограничивающие передачу Личной информации, мы стремимся обеспечить соответствие процесса передачи информации третьим лицам требованиям к международной передаче данных, описанным в пункте (3) ниже.
      • Если обязанности третьих лиц заключаются в предоставлении Личной информации нашей Компании , то перед получением Личной информации от третьих лиц мы стремимся гарантировать выполнение всех внешних требований к прозрачности в процессе сбора Личной информации. Кроме того, в этом случае мы получаем юридическое подтверждение третьих лиц о том, что, предоставляя нам Личную информацию, они не нарушают законов и чьих-либо прав.
      • Если обязанности третьих лиц заключаются в получении от нашей Компании информации для обработки, и мы не можем непосредственно контролировать этот процесс, то перед передачей информации третьим лицам мы переведем указанную информацию в анонимный или обезличенный формат и получим от третьих лиц письменное подтверждение намерения использовать информацию только в конкретных рабочих целях, указанных в соглашении, и в соответствии с применимым законодательством, а также подтверждение отсутствия намерения повторно идентифицировать полученную информацию.
      • В случае если передача третьему лицу требуется для защиты законных интересов лица или Компании мы можем передать информацию: (1) в целях предотвращения мошенничества или для исполнения прав или защиты прав и имущества Компании, (2) для обеспечения персональной безопасности наших сотрудников или третьих лиц на нашей территории или (3) для защиты наших активов посредством принятия корректирующих мер безопасности в случае наличия у нас достаточных подозрений в совершении противозаконных действий или серьезных правонарушений.
      • В случае, если наша Компания намеревается приобрести организацию или контрольный пакет акций в организации третьих лиц, то (1) перед заключением соглашения о приобретении организации или контрольного пакета акций мы проводим комплексную проверку по вопросам конфиденциальности для оценки методов обеспечения конфиденциальности и рисков, связанных с приобретением организации или контрольного пакет акций этих третьих лиц, а также (2) заключаем соглашение о передаче данных с указанием правил и условий разглашения Личной информации, а также соответствующих обязательств нашей Компании и третьих лиц.
      • Если роль третьих лиц заключается в полном или частичном приобретении нашей Компании то перед передачей Личной информации, связанной с отчуждением какой-либо части Компании, мы (1) заключаем соглашение о передаче данных с указанием правил и условий разглашения Личной информации приобретателю, включая соответствующие ограничения допустимого применения Личной информации и соответствия стандартам, указанным в данной Политике и применимом законодательстве, (2) ограничиваем передачу элементов данных только тем, что необходимо, (3) получаем согласие на передачу личной или секретной информации в соответствии с принципами Прозрачности и Ограничения цели настоящей Политики, а также (4) требуем от сторонней компании немедленно уведомлять нас обо всех случаях нарушения конфиденциальности, включая неспособность соблюдать стандарты, указанные в данной Политике и применимом законодательстве, а также содействовать в процессе устранения последствий подтвержденных нарушений или в прекращении обработки соответствующей Личной информации.
    • (3) Международная передача Личной информации, включая передачу в Соединенные Штаты Америки (США), где находится головной офис нашей компании, осуществляется нашей Компанией или от нашего имени в соответствии с настоящей Политикой. Мы применяем настоящую Политику к процессам передачи Личной информации из любой другой страны или с любой другой территории, где действуют законы, ограничивающие передачу Личной информации, в дополнение к соблюдению требований, предусмотренных таким Законодательством (включая использование процедур, требуемых при международной передаче информации в страны, стандарты защиты данных в которых отличаются от стандартов, применимых в стране сбора информации).

    8. Юридическая допустимость: мы обрабатываем Личную информацию только в том случае, если процесс обработки соответствует требованиям всех применимых законов.

    • Несмотря на то, что остальные 7 ( семь) принципов обеспечения конфиденциальности и нормативы в области защиты прав индивидуальных лиц, описанные ниже, призваны гарантировать удовлетворение требований большинства законов о защите данных, применимых к нашей деятельности в разных странах мира, в некоторых странах к нам применимы дополнительные требования, включая, среди прочего, следующие:

    1) при необходимости мы получим специальные формы согласия на обработку Личной информации, включая, среди прочего, разрешение на обработку информации от советов предприятий и других профсоюзных организаций;

    2) при необходимости мы зарегистрируем факт обработки Личной информации или будем добиваться утверждения в соответствующей организации по защите данных и обеспечению конфиденциальности;

    3) при необходимости мы предоставим более широкие права (например, права доступа и изменения информации) в сравнении с правами, установленными настоящей Политикой;

    4) при необходимости мы ограничим сроки хранения Личной информации; а также

    5)при необходимости мы заключим дополнительные соглашения, включая соглашения о международной передаче информации третьим лицам.

    6)при необходимости мы раскроем Личную информацию на основании законных требований со стороны государственных органов, в том числе в соответствии с требованиями национальной безопасности или требованиями правоохранительных органов.

    В случае возникновения разночтений между настоящей Политикой и применимым законодательством предпочтение отдается стандарту, обеспечивающему наибольшую степень защиты.

  2. Мы при первой возможности выполняем запросы владельцев Личной информации на доступ, изменение, удаление информации о них, а также на осуществление других прав в отношении их Личной информации.
    1. Доступ, изменение, удаление и другие права: согласно требованиям законов большинства стран нашего присутствия, владельцы Личной информации имеют права доступа, изменения или запроса на удаление информации о себе, если она является неправильной, неполной или устаревшей. Мы выполняем все запросы на доступ к Личной информации, ее изменение или удаление от всех владельцев Личной информации в соответствии с разделом 3a ниже и применимым законодательством. Если на запрос на получение доступа к Личной информации, ее изменение или удаление распространяются требования применимого закона, обеспечивающего более широкую степень защиты владельца информации, мы сделаем все возможное для соблюдения требований такого закона. В некоторых странах лица могут быть наделены другими правами в отношении Личной информации о себе, например, право на ограничение обработки, ее обжалование (см. также Раздел 2b ниже), и на передачу своих данных другому поставщику услуг. Мы обеспечиваем соблюдение прав в отношении данных в соответствии с действующим Законодательством. Некоторые права, в частности право на удаление информации, могут быть ограничены в соответствии с другими нормативными или юридическими требованиями, или в связи с необходимостью отчетности согласно местному законодательству; мы проинформируем Вас о наличии таких ограничений.
    2. Выбор – мы воплощаем в жизнь ценности «Уважение» и «Доверие» и выполняем запросы владельцев Личной информации на запрет ее обработки, включая, среди прочего, выход из программ или акций, в которых они ранее согласились принять участие, обработку Личной информации о них для непосредственных маркетинговых коммуникаций, коммуникации, основанные на предоставлении Личной информации, а также автоматическую или программную оценку или решения в отношении владельцев Личной информации, которые могут оказать на них существенное влияние.
    3. Во всех случаях кроме запрещенных законодательством мы имеем право отклонить вышеуказанный запрос, если он препятствует возможности нашей Компании: (1) соблюдать закон или этическое обязательство, в том числе в тех случаях, когда мы обязаны раскрыть Личную информацию на основании законных требований со стороны государственных органов, в том числе в соответствии с требованиями национальной безопасности или требованиями правоохранительных органов; (2) расследовать, подавать или защищать юридические иски или (3) заключать контракты, налаживать взаимоотношения или принимать участие в другой деловой деятельности, которая соответствует принципам Прозрачности и Ограничения цели, и которая была начата на основе рассматриваемой личной информации. В случае отклонения запроса в соответствии с положениями настоящей Политики мы в течение пятнадцати (15) рабочих дней направим автору запроса уведомление об отклонении, если иное не требуется применимым законодательством.
  3. В случае возникновения вопросов, жалоб, сомнений или риска потенциального нарушения конфиденциальности или безопасности мы при первой возможности ответим на них и примем меры к их дальнейшему рассмотрению
    1. Каждый владелец Личной информации, которую мы обрабатываем в соответствии с положениями настоящей Политики, имеет право в любое время задать вопрос, подать жалобу или претензию, включая запрос на предоставление списка дочерних организаций Компании, на которые распространяется действие настоящей Политики. Мы ожидаем, что все сотрудники и подрядчики Компании, в случае возникновения у них сомнений в правомерности применения настоящей Политики, немедленно уведомят об этом Компанию. Все вопросы, жалобы и претензии владельцев информации, а также уведомления со стороны сотрудников или подрядчиков необходимо направлять в Глобальный отдел конфиденциальности:
      1. Для лиц, проживающих в странах Европейской экономической зоны — по электронной почте:euprivacydpo@msd.com
      2. Для других лиц — по электронной почте:privacyoffice@organon.com
    2. Почтой по адресу: Chief Privacy Officer, Organon & Co., 30 Hudson Street, Jersey City, NJ 07302. Сотрудники и подрядчики обязаны как можно скорее уведомить Глобальный отдел конфиденциальности или менеджера деловых практик в своем подразделении о наличии вопросов, жалоб или претензий в отношении практических методов обеспечения конфиденциальности, принятых в Компании.
    3. Глобальный отдел конфиденциальности рассмотрит вопрос или проведет расследование, или обратится к сотрудникам Отдела этики, Юридического отдела и Отдела нормативно-правового соответствия для проведения расследования по всем вопросам, жалобам или претензиям, связанным с практическими методами обеспечения конфиденциальности, принятыми в нашей Компании, в случае получения таких вопросов или жалоб от сотрудников, подрядчиков или иных лиц, включая, среди прочего, надзорные органы, агентства по контролю нормативно-правового соответствия и прочие государственные организации. Мы ответим физическому или юридическому лицу, поднявшему вопрос, не позднее тридцати (30) календарных дней, при условии, что ни закон, ни лицо, обратившееся с просьбой, не требуют предоставить ответ в более короткий период, или обстоятельства (включая расследования со стороны государственных органов) не требуют более продолжительного периодавремени, о чем физическое или юридическое лицо будут уведомлены в письменном виде при первой возможности.
    4. Глобальный отдел конфиденциальности вместе с сотрудниками Юридического отдела или Отдела нормативно-правового соответствия предпримет совместные действия, требуемые в связи с запросом, проверкой или расследованием надзорного органа по вопросам конфиденциальности.
    5. Владельцы Личной информации, обрабатываемой в соответствии с настоящей Политикой, проживающие в странах Европейской экономической зоны, или лица, обработка Личной информации которых защищена законами стран Европейской экономической зоны на территории других стран, где стандартные договорные положения ЕС используются для передачи их Личной информации, имеют право в любое время настоять на применении требований стандартных договорных положений в качестве сторонних выгодоприобретателей, включая право подачи судебного иска о нарушении прав указанных лиц в соответствии со стандартными договорными положениями и возмещении ущерба, возникшего в результате такого нарушения. Лица, проживающие в странах Европейской экономической зоны, или лица, обработка Личной информации которых защищена законами стран Европейской экономической зоны на территории других стран (включая США), могут в соответствии со стандартными договорными положениями подать иск или жалобу против Компании в компетентные органы по защите данных (в частности, в стране Европейской экономической зоны, в которой ответственное лицо проживает или работает или в стране, где произошло нарушение).Контактные данные органов по защите данных можно найти здесь: Члены | Европейский совет по защите данных (europa.eu)
    6. Наша Компания ответит физическому или юридическому лицу, поднявшему вопрос в срок, отведенный действующим законодательством, при условии, что лицо, обратившееся с просьбой, не требует предоставить ответ в более короткий период, или обстоятельства не требуют более продолжительного периода времени, о чем физическое или юридическое лицо будут уведомлены в письменном виде.
  4. Мы несем ответственность за следование своим ценностям и соблюдение стандартов поддержания конфиденциальности.
  1. Финансовая ответственность за ущерб по претензиям и уплата штрафа за нарушение конфиденциальности или безопасности возлагается на дочернюю организацию нашей Компании, ответственную за действия, ставшие причиной подтвержденного факта нарушения конфиденциальности или безопасности.
  • По согласованию и под управлением Глобального отдела конфиденциальности сотрудник по защите данных на территории стран Европы несет ответственность за обеспечение наличия соответствующих мер по рассмотрению заявлений о нарушениях настоящей Политики дочерними организациями нашей Компании за пределами Европейской экономической зоны, влияющих на лиц, проживающих в странах Европейской экономической зоны, или лиц, обработка Личной информации которых защищена законами стран Европейской экономической зоны на территории других стран.
  • Надзор и контроль

    В целях предоставления регулирующим органам и другим заинтересованным лицам гарантии приверженности нашей Компании этичным и ответственным методам обеспечения конфиденциальности в Компании имеется группа расширенного контроля и надзора, возглавляемая Директором по вопросам конфиденциальности и имеющая специальный Глобальный отдел обеспечения конфиденциальности (GPO), под надзором Совета по вопросам конфиденциальности и защиты данных, специальным Директором по вопросам защиты данных встранах ЕС, Директорами по вопросам защиты данных страны в случае, если это требуется законодательством или местными органами, и менеджерами деловых практик, которые назначаются руководством и служат посредниками между Глобальным отделом обеспечения конфиденциальности и подразделениями организации, в которых они работают.

    Терминология, которую необходимо знать

    • Анонимизированный. Означает изменение, разделение, уничтожение или другую переработку или модификацию личной информации с тем, чтобы ее окончательно невозможно было использовать для идентификации, установления местонахождения лица или связи с ним, будь то самостоятельно, или в сочетании с другой информацией.
    • Компания. Organon & Co., ее правопреемники, дочерние компании и подразделения по всему миру, за исключением совместных предприятий, участником которых является наша Компания.
    • Обезличивание. Удаление прямых и косвенных персональных идентификаторов, часто с сохранением исходных идентификационных данных отдельно.
    • Законодательство. Все применимые законы, правила, нормативы и судебные распоряжения, имеющие юридическую силу в стране работы нашей Компании или стране обработки Личной информации от имени нашей Компании. Сюда относятся все стандарты обеспечения конфиденциальности, в соответствии с которыми наша Компания получила одобрения или сертификаты, включая Правила обеспечения конфиденциальности при международной передаче информации в странах Азиатско-Тихоокеанского экономического сотрудничества (CBPR APEC).
    • Личная информация. Любая информация в отношении человека, чью личность можно установить, включая информацию, идентифицирующую или позволяющую идентифицировать человека, установить его местонахождение, отследить его или связаться с ним. Личная информация включает данные, позволяющие установить личность человека прямо (имя, номер удостоверения личности, уникальное название должности) или косвенно (дата рождения, уникальный идентификатор носимого или мобильного устройства, номер телефона или закодированные данные, онлайн- идентификаторы, например, IP-адреса, а также особенности личной деятельности, поведения или предпочтений, информация о которых может быть собрана с целью предоставления услуг или рекламы продукции).
    • Нарушениеконфиденциальности. Нарушение требований настоящей Политики или закона о защите конфиденциальности или данных, включая нарушение безопасности. Выявление случаев нарушения конфиденциальности и определение того, является ли конкретный случай Инцидентом разглашения личных данных должно осуществляться Глобальным отделом конфиденциальности, Отделом по безопасности и управлению рисками, связанными с бизнес-технологиями (ВTRM) и юридическим отделом.
    • Обработка. Означает выполнение какой-либо операции или последовательности операций с личной информацией, независимо от того, осуществляется это автоматически или нет, включая, в частности, сбор, регистрацию, организацию, хранение, доступ, адаптацию, изменение, исправление, консультирование, использование, раскрытие, распространение, передачу, предоставление, согласование, объединение, группирование, удаление, стирание или разрушение.
    • Инцидент разглашения личных данных.Нарушение безопасности, которое влечет случайное или незаконное уничтожение, утрату, изменение, неправомерное разглашение либо получение доступа к Личной информации или обоснованное подозрение Компании об этом. Доступ к Личной информации Компанией или от имени Компании без намерения нарушить положения настоящей Политики не представляет собой разглашение личных данных, при условии, что последующее использование и раскрытие такой информации осуществляется исключительно в соответствии с настоящей Политикой.
    • Нарушение безопасности. Нарушение информационной безопасности состоит из одного или нескольких нежелательных, или неожиданных событий в области информационной безопасности, которые могут поставить под угрозу безопасность информации, ослабить или подорвать бизнес-операции.
    • Секретная информация.Любая информация о людях, характеризующаяся неотъемлемым риском потенциального причинения им ущерба, включая информацию, определяемую законом как секретную, включая, среди прочего, информацию, связанную со здоровьем, генетикой, биометрикой, расой, этническим происхождением, религией, политическими или философскими мнениями, или убеждениями, криминальной историей, информацию о точном местонахождении, номера банковских или иных финансовых счетов, государственные идентификационные номера, информацию о несовершеннолетних детях, сексуальной жизни, сексуальной ориентации, принадлежности к профсоюзам, страховке, социальном обеспечении и других льготах, предоставленных государством или работодателем.
    • Третья сторона. Любое юридическое лицо или компания, не принадлежащие нашей Компании, или в которых наша Компания не имеет контрольного пакета акций, и не работающие на нашу Компанию. Аффилированные лица нашей Компании не должны рассматриваться в качестве третьей стороны.

    Изменения настоящей Политики

    Настоящая Политика может периодически изменяться в соответствии с требованиями применимого законодательства. В случае изменения текста настоящей Политики уведомление об этом будет размещено на срок 60 ( шестьдесят) дней на странице сайта Компании, посвященной вопросам конфиденциальности (www.organon.com/privacy) .

    Na Organon, a nossa missão de fornecer soluções de saúde inovadoras que permitam às pessoas viver as suas vidas ao máximo estende-se ao respeito pela privacidade das pessoas e pela proteção da informação pessoal.

    Data de Revisão: 01 de fevereiro de 2021
    Data de Entrada em Vigor: 20 de novembro de 2020

    Tentamos realizar a nossa atividade de acordo com os nossos valores de privacidade porque acreditamos que demonstram um compromisso inabalável para com práticas éticas e responsáveis. Reconhecemos que a inovação e a nova tecnologia promovem uma alteração contínua nos riscos, expetativas e leis, por isso cumprimos normas de responsabilidade sobre privacidade e tentamos adaptar-nos a elas em resposta a essas alterações.

    Esta Política define as nossas normas globais para gestão e proteção de Informação Pessoal à medida que é transferida por ou em nome da nossa Empresa, directa ou indirectamente, tenha origem em qualquer país e seja transferida para qualquer outro paìs. Descreve os principais compromissos, que apoiam o cumprimento da nossa Regras de Privacidade Transfronteiriças APEC de certificação (certificação APEC-Cross-Border Privacy Rules). Aplica-se às nossas operações em todos os países, incluindo as transferências de dados necessárias para realizar estas atividades. Aplica-se a todas as pessoas sobre quem processamos informação, incluindo, mas não limitando aos profissionais de cuidados de saúde e outros clientes, potenciais, atuais e antigos funcionários e seus dependentes, doentes, cuidadores, investigadores e participantes em estudos de investigação, membros de comité de ética e científico, parceiros comerciais, investidores e acionistas, responsáveis governamentais e outras partes interessadas.

    Todos os Funcionários da Empresa e Responsáveis Máximos têm responsabilidades de privacidade fundamentais que devem manter.

    Reconhecemos que equívocos e erros inadvertidos relacionados com a proteção da informação sobre pessoas possam originar potenciais riscos de privacidade para indivíduos e riscos reputacionais, operacionais, financeiros e de conformidade para a nossa Empresa. Proporcionamos formação adequada sobre a presente Política a todos os funcionários e outros membros do pessoal que tenham acesso permanente ou regular a Informações Pessoais, que estejam envolvidos na recolha de dados ou no desenvolvimento de ferramentas utilizadas no tratamento de Informações Pessoais. Cada funcionário da nossa Empresa, e outros que processam informação sobre pessoas da nossa Empresa, é responsável por compreender e manter as suas obrigações ao abrigo desta Política e leis aplicáveis.

    Os nossos valores e normas de privacidade

    Mantemos os nossos valores de privacidade em tudo o que fazemos. Os nossos quatro valores de privacidade são:

    Respeito

    Confiança

    Prevenção de danos

    Conformidade

    Reconhecemos que as preocupações de privacidade estão muitas vezes relacionadas com a essência de quem somos, como vemos o mundo e como nos definimos. Esforçamo-nos, por isso, por respeitar as perspetivas e interesses dos indivíduos e comunidades, e por sermos justos e transparentes em como usamos e partilhamos a informação que nos prestam.

    Sabemos que a confiança é vital para o nosso sucesso, por isso, envidamos esforços para criar e preservar a confiança dos nossos clientes, funcionários, voluntários de estudo, e outras partes interessadas em como respeitamos a privacidade e protegemos informação pessoal.

    Compreendemos que o uso indevido da informação pessoal possa criar danos tangíveis e intangíveis aos indivíduos, por isso, procuramos evitar danos de segurança física, financeira, reputacional e outros tipos de danos de privacidade aos indivíduos.

    Aprendemos que as leis e regulamentos não podem acompanhar sempre a rápida mutação nas tecnologias, fluxos de dados e mudanças associadas nos riscos e expectativas de privacidade, por isso, envidamos esforços para cumprir o espírito e letra das leis e regulamentos de proteção de dados e privacidade de uma forma que incentive a consistência e eficiência operacional para as nossas operações comerciais globais.

    1. Incorporamos as nossas normas de privacidade em todas as atividades, processos, tecnologias e relações com terceiros que usam Informação Pessoal. Também incorporamos controlos de privacidade nos nossos processos e tecnologias que sejam consistentes com os nossos valores de privacidade e normas e a lei aplicável. Os nossos oito (8) princípios de privacidade indicados abaixo resumem as nossas normas de privacidade e principais requisitos para os processos, atividades e as suas tecnologias de suporte a um nível mais elevado.

      Princípios de Privacidade

      Os nossos Principais Compromissos

      1. Necessidade – antes de recolher, usar ou partilhar Informação Pessoal, definimos e documentamos os objetivos comerciais específicos e legítimos para os quais são necessários.

      • Determinamos e documentamos por quanto tempo a Informação Pessoal é necessária para dar cumprimento aos objetivos comerciais definidos e requisitos legais aplicáveis.
      • Não recolhemos, usamos ou partilhamos mais Informação Pessoal que a necessária nem a retemos numa forma identificável durante mais tempo do que o necessário, para dar cumprimento aos objetivos comerciais definidos e requisitos legais aplicáveis.
      • Tornamos os dados anónimos ou removemos a identificação sobre a Informação Pessoal quando os requisitos comerciais exigem que os dados sobre uma atividade ou processo que envolva Informação Pessoal seja retida durante um período de tempo maior.
      • Asseguramos que esses requisitos de necessidade sejam incorporados em qualquer tecnologia de suporte e que sejam comunicados a terceiros que suportam a atividade ou processo.

      2. Justiça – processamos a Informação Pessoal de forma justa para as pessoas com as quais se relacionam os dados.

      • Determinamos se a recolha, uso ou outros processos propostos de Informação Pessoal apresentam um risco provável e/ou grave de danos tangíveis ou intangíveis a indivíduos de acordo com o nosso valor de privacidade de Prevenção de Danos.
      • Se a natureza dos dados, tipos de pessoas ou a atividade apresentarem um risco provável e/ou grave de danos tangíveis ou intangíveis a indivíduos, asseguramos que o risco de danos é compensado por um benefício correspondente para aqueles indivíduos, ou para a nossa missão de salvar e melhorar vidas, e que é mitigado pelas medidas, garantias e mecanismos que aplicamos.
      • Sempre que o risco pareça sobrepor-se aos benefícios para os indivíduos, aplicamos as medidas de segurança e proteção mais relevantes, informamos os indivíduos deste facto e solicitamos aconselhamento à autoridade reguladora competente, sempre que necessário.
      • Apenas processamos a Informação Sensível ou Informação Pessoal com o consentimento explícito dos indivíduos, como expressamente requerido ou expressamente permitido pela lei aplicável.
      • Quando o risco pareça sobrepor-se aos benefícios para os indivíduos, documentamos a análise de risco e implementamos salvaguardas para minimizar os riscos na medida do possível.

      3. Transparência – processamos Informação Pessoal de forma ou para objetivos que são transparentes em relação às pessoas às quais os dados dizem respeito.

      • Todos os indivíduos sobre quem a Informação Pessoal é processada ao abrigo desta Política terão o direito a uma cópia desta Política. Disponibilizaremos cópias desta Política online em www.organon.com/privacy e providenciaremos cópias eletrónicas e/ou em papel desta Política, a pedido, para o endereço listado abaixo.
      • Quando a Informação Pessoal é recolhida diretamente de indivíduos, informá-los-emos, antes de proceder à recolha das informações e através de um aviso de privacidade claro, evidente e de fácil acesso, ou de meios similares, no que respeita: (1) à entidade ou entidades da empresa responsáveis pelo tratamento; (2) aos dados de contacto do Diretor de Privacidade e/ou Diretor de Privacidade de Dados regional/local; (3) à informação a ser recolhida; (4) às finalidades para as quais será usada, (5) ao fundamento jurídico para o tratamento de dados; (6) às pessoas com quem será partilhada, incluindo quaisquer requisitos para divulgar Informação Pessoal, em resposta a exigências legais por parte das autoridades públicas; (7) à possibilidade e ao modo como poderá transferir a Informação Pessoal para outros países incluindo a identificação de países relevantes sempre que viável; (8) ao período de tempo em que os dados serão conservados ou os critérios usados para determinar este período de conservação; (9) à forma como os indivíduos podem colocar uma questão, comunicar uma preocupação ou exercer os seus direitos relativamente à Informação Pessoal que lhes diga respeito; (10) a como podem retirar qualquer consentimento que tenham dado; (11) ao seu direito de apresentar uma reclamação junto de uma autoridade de controlo; (12) qualquer obrigação de fornecer Informações Pessoais e as consequências do incumprimento desta obrigação; (13) a qualquer decisão automatizada, incluindo definição de perfis, que possam ser levados a cabo; e (14) a uma ligação para esta Política, sempre que possível e adequado. Os nossos avisos de privacidade estão disponíveis online em https://www.organon.com/privacy/contact/.
      • Quando a Informação Pessoal é obtida através de observação, sensores ou outros meios indiretos, pode não ser possível providenciar um aviso de privacidade diretamente ao indivíduo, no momento em que a informação é recolhida. Em tais casos, asseguramos transparência ao indivíduo através de outros meios, tais como publicações ou impressos no dispositivo ou materiais associados ao dispositivo onde irá obter a informação.
      • Quando a Informação Pessoal é recolhida através do website, aplicação móvel ou outra aplicação ou recurso online, aplicamos normas específicas de tecnologia definidas na nossa Política de Privacidade de Internet e na nossa Política global de monitorização para garantir que os requisitos, para haver transparência de acordo com esta Política, foram cumpridos.
      • Quando a Informação Pessoal é recolhida de outras fontes e não especificamente a pedido da nossa Empresa, antes de obter a informação, verificamos por escrito que o prestador da informação informou os indivíduos das formas e objetivos para os quais a nossa Empresa tenciona usar a informação. Se não puder ser obtida verificação por escrito por parte do prestador da informação, usamos apenas informação tornada anónima ou sem identificação, ou antes de usar Informação Pessoal, informamos os indivíduos afetados através de um aviso de privacidade ou de meios semelhantes sobre (1) a entidade ou entidades da nossa Empresa responsáveis pelo tratamento da informação, (2) os dados de contacto do Diretor de Privacidade e/ou Diretor de Proteção de Dados regional/local, (3) que informação a nossa Empresa planeia usar, (4) as finalidades para as quais a nossa Empresa planeia usá-la, (5) o fundamento jurídico para procedermos o tratamento, (6) com quem a nossa Empresa irá partilhá-la, (7) a possibilidade e a forma como a nossa Empresa poderá transferir a Informação Pessoal para outros países, incluindo os países relevantes sempre que viável, (8) quanto tempo a nossa Empresa planeia conservá-la ou os critérios que utilizará para determinar este período de conservação, (9) como podem colocar questões, comunicar uma preocupação ou exercer os seus direitos relativamente à Informação Pessoal que lhes diga respeito, (10) como podem retirar qualquer consentimento que tenham dado, (11) o seu direito de apresentar uma reclamação junto de uma autoridade de controlo, (12) qualquer obrigação de fornecer Informação Pessoal e as consequências do incumprimento desta obrigação, (13) qualquer decisão automatizada, incluindo definição de perfis, que possam ser levados a cabo, e (14) uma ligação para esta Política, sempre que possível e adequado.
      • Certificamo-nos de que os mecanismos de transparência necessários, incluindo, sempre que possível, mecanismos que suportam os pedidos de direitos individuais, são incorporados nas tecnologias de suporte e que os terceiros, que suportam a atividade ou processo, não processam informação sobre pessoas, de forma que seja inconsistente com a informação que os indivíduos receberam através de um aviso de privacidade ou de outros meios verificáveis sobre aquilo que nós, e outros que trabalham para nós, faremos com a informação.
      • Quando solicitamos o consentimento, obtemos e documentamos comprovativos desse consentimento nas nossas tecnologias de suporte.

      4. Limitação de Objetivo – apenas usamos Informação Pessoal de acordo com os princípios da Necessidade e da Transparência.

      • Se novos objetivos comerciais legítimos forem identificados para Informação Pessoal previamente recolhida, ou obtemos o consentimento da pessoa em causa para a nova utilização da Informação Pessoal, ou asseguramos que o novo objetivo comercial é compatível, ou materialmente similar ás finalidades descritas num aviso de privacidade ou outro mecanismo de transparência, o qual foi previamente fornecido ao indivíduo. Avaliaremos a compatibilidade com base: (1) em qualquer ligação entre as finalidades iniciais e a nova finalidade proposta, (2) nas expetativas razoáveis do indivíduo, (3) na natureza da Informação Pessoal, (4) nas consequências de um tratamento posterior para o indivíduo, e (5) nas salvaguardas por nós aplicadas.
      • Não aplicamos este princípio a informação anonimizada ou sem identificação, ou quando usamos Informação Pessoal apenas para efeitos de pesquisa histórica e científica, e (1) um Comité de Revisão de Ética, ou outro revisor competente, tenha determinado que o risco de tal utilização para a privacidade e outros direitos dos indivíduos é aceitável e (2) aplicámos salvaguardas adequadas para garantir a minimização dos dados, tal como a pesudonimização, e (3) os dados pessoais são pseudonomizados e (4) quando toda a restante legislação aplicável é respeitada.
      • Asseguramos que as restrições de limitação de objetivo são incorporadas em qualquer tecnologia de suporte, incluindo quaisquer capacidades de comunicação e partilha de dados a jusante.

      5. Qualidade dos Dados – procuramos manter a Informação Pessoal correta, completa e atual de acordo com o uso pretendido.

      • Asseguramos que os mecanismos de revisão de dados periódicos são incorporados nas tecnologias de suporte para validar a precisão dos dados face a sistemas de origem e a jusante.
      • Asseguramos que a Informação Sensível é validada como precisa e atual antes da sua utilização, avaliação, análise, comunicação ou outros tratamentos que apresentam um risco de injustiça para pessoas, caso sejam usados dados errados ou desatualizados.
      • Sempre que forem efetuadas alterações à Informação Pessoal por parte da nossa Empresa, ou terceiros que trabalham para a nossa Empresa, asseguramos que essas alterações são comunicadas atempadamente às pessoas em causa, sempre que razoavelmente possível.

      6. Segurança – implementamos salvaguardas para proteger Informação Pessoal e Informação Sensível da perda, uso indevido e acesso não autorizado, divulgação, alteração e destruição.

      • Implementámos um programa de segurança de informação abrangente e aplicamos controlos de segurança e salvaguardas que têm como base a natureza e a sensibilidade da informação e o nível de risco da atividade, tendo em conta as atuais melhores práticas de tecnologia e o custo de implementação. As nossas políticas de segurança funcional incluem, mas não se limitam a normas sobre a continuidade empresarial e recuperação de desastre, encriptação, gestão de identidade e acesso, classificação de informação, gestão de incidente de segurança de informação, controlo do acesso da rede, segurança física e gestão de risco.

      7. Transferência de Dados – somos responsáveis pela preservação e preservamos as proteções de privacidade para Informação Pessoal quando é transferida para ou a partir de outras organizações ou entre fronteiras de países.

      (1) Transferimos Informação Pessoal no seio da Empresa sempre que se verificarem as seguintes situações:

      (a) a partilha é necessária para dar cumprimento à finalidade para a qual a Informação Pessoal foi inicialmente recolhida ou para a prossecução de outro interesse legítimo da Empresa; (b) a finalidade para a qual será partilhada e o facto de que será partilhada é compatível com o aviso de privacidade ou outro mecanismo de transparência anteriormente fornecido ou indicado à pessoa em causa quando a Informação Pessoal foi inicialmente recolhida, tendo a pessoa em causa dado o seu consentimento, quando necessário; (c) sempre que uma das nossas subsidiárias atua exclusivamente em nome de outra nossa subsidiária no tratamento da Informação Pessoal; (d) sempre que exigido por Lei, as referidas subsidiárias da nossa Empresa executarão um contrato interno de tratamento de dados, nos termos do Princípio 8 da presente Política; ou (e) quando a estrutura de TI exigir essa transferência, desde que todas as medidas de segurança e organizativas estejam implementadas para fazer com que essa transferência esteja em conformidade.

      (2) Apenas transferimos Informação Pessoal para, ou permitimos que seja tratada por terceiros, se os seguintes requisitos forem cumpridos e confirmarmos que os terceiros os cumprem igualmente:

      • Se a função de terceiros for processar a Informação Pessoal para, ou em nome da nossa empresa, antes de providenciar Informação Pessoal a terceiros ou envolvendo terceiros: (1) efetuamos a devida diligência de privacidade para avaliar as práticas de privacidade e riscos associados a esses terceiros, (2) obtemos garantias contratuais dos terceiros em como (i) irão tratar a Informação Pessoal apenas de acordo com as instruções da nossa Empresa e de acordo com esta Política, incluindo sem limitação todos os oito (8) Princípios de Privacidade e as outras normas definidas nesta Política, e nas Leis em vigor; (ii) que vão notificar rapidamente a nossa empresa de qualquer Incidente de Privacidade, incluindo uma eventual incapacidade de cumprir as normas definidas nesta Política e Leis aplicáveis, ou Incidente de Segurança, colaborando para remediar de imediato qualquer Incidente comprovado e para abordar os direitos individuais definidos na Secção 2 abaixo; (iii) que não irão contratar outra empresa para proceder ao tratamento da Informação Pessoal sem a nossa autorização, por escrito, e sem que seja celebrado um contrato que estabeleça obrigações equivalentes de proteção de dados, (iv) que irão proceder à eliminação em segurança de, ou devolver-nos, toda a Informação Pessoal depois de nos terem prestados os serviços a nós ou a nosso pedido ou instrução; e (v) que vão permitir à nossa Empresa auditar e monitorizar as suas práticas durante o processamento em termos de conformidade com esses requisitos. Adicionalmente, se os terceiros processam a Informação Pessoal que tem origem num país ou território com uma lei que restringe a transferência da Informação Pessoal, vamos assegurar que a transferência para os terceiros cumpre os requisitos para a transferência de dados transfronteiriça descrita no (3) abaixo. Sempre que uma das subsidiárias da nossa empresa age sozinha ou em nome de uma outra das subsidiárias da nossa empresa no tratamento da Informação Pessoal, sempre que requerido por Lei, essas subsidiárias da nossa empresa irão executar um contrato de tratamento de dados interno, de acordo com os 8 Princípios desta Política.
      • Se a função dos terceiros for fornecer Informação Pessoal à nossa Empresa, antes de obter Informação Pessoal dos terceiros, asseguramos que os requisitos de transparência para recolher a Informação Pessoal de outras fontes, e não especificamente por indicação da nossa Empresa, são cumpridos, e obtemos declarações contratuais de terceiros de que não violam qualquer Lei ou direitos de quaisquer terceiros ao providenciar Informação Pessoal à nossa empresa.
      • Se a função dos terceiros for receber informação da nossa Empresa para tratamento, que não seja especificamente por indicação da nossa Empresa, antes de providenciar informação aos terceiros, asseguramo-nos de que a informação foi tornada anónima ou removida a identificação, e de que obtemos garantias por escrito de terceiros, de que a vão usar apenas para os efeitos comerciais especificados no contrato e de acordo com as leis em vigor, e de que não vão tentar reidentificar a informação.
      • Se a transferência para um terceiro for exigida por lei ou necessária para a proteção dos interesses legítimos da pessoa em causa ou da Empresa, poderemos transferir a informação: (1) para fins de prevenção da fraude, ou para fazer valer ou proteger os direitos e os bens da Empresa, (2) para proteger a segurança pessoal dos nossos funcionários ou de terceiros nas nossas instalações, ou (3) para proteger os nossos ativos, através da adoção de medidas corretivas em matéria de segurança, no caso de termos motivos razoáveis para acreditar que ocorreu uma atividade ilícita ou uma falta grave.
      • Se os terceiros são um alvo para aquisição ou participação de controlo por parte da nossa Empresa, (1) antes de realizar um contrato para adquirir os terceiros ou para adquirir uma participação de controlo nos terceiros, efetuamos a devida diligência de privacidade para avaliar as práticas de privacidade e os riscos associados à aquisição daquele terceiro ou de um interesse de controlo nesse terceiro e (2) realizamos um contrato de transferência de dados que especifica os termos e condições, ao abrigo dos quais, a Informação Pessoal pode ser divulgada e as respetivas obrigações da nossa empresa e dos terceiros.
      • Se a função dos terceiros for adquirir a totalidade ou parte do negócio da nossa Empresa, antes de partilhar qualquer Informação Pessoal relativamente a uma alienação de qualquer parte do negócio da nossa Empresa, (1) realizamos um contrato de transferência de dados que especifica os termos e condições ao abrigo do qual a Informação Pessoal pode ser divulgada ao comprador, incluindo as limitações adequadas, em relação às utilizações permitidas da Informação Pessoal e em conformidade com a norma definida nesta Política e Legislação aplicável (2) minimizamos a partilha de elementos de dados ao estritamente necessário, (3) obtemos consentimento para partilhar Informação Pessoal ou Informação Sensível, de acordo com os princípios de Transparência e Limitação de objetivos desta Política, e (4) exigimos que o terceiro notifique, de imediato, a nossa Empresa, em relação a qualquer Incidente de Privacidade aplicável, incluindo qualquer não cumprimento das normas definidas nesta Política e Legislação aplicável e que coopere na reparação imediata de qualquer Incidente comprovado ou suspenda o processamento da Informação Pessoal em questão.

      (3) Transferimos a Informação Pessoal entre fronteiras de países, incluindo para os Estados Unidos da América (EUA) onde se encontra a sede da nossa Empresa, por ou em nome da nossa Empresa, de acordo com esta Política. Iremos também aplicar esta Política a transferências da Informação Pessoal de qualquer outro país, ou território, com uma lei que restrinja a transferência da Informação Pessoal, da mesma forma que cumpriremos os requisitos impostos por essas Leis (incluindo a utilização de quaisquer mecanismos necessários para transferências transfronteiriças para países que não tenham as mesmas normas de proteção de dados que o país de origem).

      8. Legalmente Permissível – apenas processamos Informação Pessoal se os requisitos das leis aplicáveis forem cumpridos.

      1.Enquanto os outros sete (7) princípios de privacidade, assim como os requisitos de direitos individuais, descritos abaixo, se destinam a assegurar que os requisitos da maioria das leis de proteção de privacidade e dados, que se aplicam ao nosso negócio em todo o mundo, foram cumpridos, em alguns países necessitamos de cumprir outro tipo de requisitos, incluindo, mas não se limitando aos seguintes:

      1) Sempre que requerido, obteremos formas específicas de consentimento para determinado tratamento da Informação Pessoal, incluindo, mas não se limitando à aprovação do tratamento por conselhos de empresa e outros sindicatos de trabalhadores;

      2) Sempre que requerido, registaremos o tratamento de Informação Pessoal ou solicitaremos a aprovação junto da autoridade reguladora de proteção de privacidade ou dados, conforme aplicável;

      3) Sempre que requerido, providenciaremos direitos mais abrangentes (por exemplo, de acesso e correção), do que os definidos nesta Política;

      4) Sempre que requerido, limitaremos os períodos de retenção de dados para a Informação Pessoal; e

      5) Sempre que necessário, realizaremos contratos contendo cláusulas contratuais específicas, incluindo contratos para transferências de dados transfronteiriças para terceiros.

      6) Sempre que necessário, divulgaremos informação pessoal em resposta a pedidos legítimos por parte de autoridades públicas, incluindo para cumprir requisitos de segurança nacional ou de cumprimento da lei.

      Em caso de conflito entre esta Política e uma lei aplicável, prevalecerá a norma que ofereça maior proteção aos indivíduos.

    2. Responderemos com rapidez aos pedidos dos indivíduos para aceder, alterar, corrigir ou eliminar Informação Pessoal, ou exercerem o direito de oposição ao tratamento de Informação Pessoal que lhes diga respeito ou de exercício de outros direitos relativamente à Informação Pessoal que lhes diga respeito.
      1. Acesso, correção, eliminação e outros direitos – de acordo com as Leis na maior parte dos países em que operamos, os indivíduos têm o direito de aceder à Informação Pessoal sobre si mesmos e de emendar, corrigir ou solicitar a eliminação de Informação Pessoal que esteja incorreta, incompleta ou desatualizada. Nesse sentido, cumpriremos todos os pedidos de acesso, correção e eliminação de Informação Pessoal de todos os indivíduos, de acordo com a Secção 3a abaixo e conforme a Legislação aplicável. Se um pedido de acesso, correção ou eliminação for regido por uma Lei aplicável que providencia maior proteção aos indivíduos, asseguramos que os requisitos adicionais dessa Lei são cumpridos.

        Em alguns países, os indivíduos podem dispor de outros direitos no que diz respeito à Informação Pessoal que lhes diga respeito, tal como o direito de limitar o tratamento, de se oporem ao tratamento (ver também a Secção 2b infra) e de solicitar que os seus dados sejam transferidos para outro prestador de serviços. Respeitaremos o exercício de direitos sobre dados nos termos das Leis aplicáveis. Alguns direitos, como o direito de apagamento, podem ser limitados, de acordo com outros requisitos regulamentares ou legais, ou a necessidade de cumprir a comunicação de conformidade local; sendo que nesse caso, iremos informá-lo sobre estas limitações, conforme aplicável.
      2. Escolha – de acordo com os nossos valores de privacidade de “Respeito” e “Confiança”, honramos pedidos individuais de objeção ao tratamento de Informação Pessoal, incluindo, mas não limitado : (1) a optar por não participar em programas ou atividades nas quais concordaram em participar anteriormente, (2) ao tratamento de Informação Pessoal acerca de si para comunicações de marketing direto, (3) a comunicações orientadas com base na Informação Pessoal sobre si e (4) a qualquer avaliação de ou decisões sobre si, as quais tenham o potencial de os afetar significativamente, tomadas através da utilização de automação ou algoritmos.
        1. Exceto onde proibido por Lei, podemos recusar a objeção, caso esse pedido em particular impeça a nossa Empresa de: (1) cumprir a Lei ou uma obrigação ética, incluindo nos casos em que somos obrigados a divulgar informação pessoal em resposta a pedidos legítimos por parte de autoridades públicas, incluindo para cumprir requisitos de segurança nacional ou de cumprimento da lei, (2) investigar, efetuar ou defender reivindicações jurídicas, e (3) realizar contratos, administrar relações ou efetuar outras atividades comerciais permitidas que sejam consistentes com os princípios da Transparência e Limitação de Objetivo, e que foram realizadas tendo por base a informação sobre as pessoas em questão. Dentro do prazo de quinze (15) dias úteis, a partir de qualquer decisão de recusa de um pedido de escolha, de acordo com esta Política, documentaremos e comunicaremos a decisão ao solicitante salvo requerimento em contrário exigido pela Legislação aplicável.
    3. Responderemos rapidamente e escalaremos todas as questões, queixas, preocupações sobre privacidade e qualquer Incidente de Privacidade ou Incidente de Segurança.
      1. Qualquer indivíduo sobre quem tratemos Informação Pessoal, no âmbito desta Política, pode enviar uma questão, queixa ou preocupação para a nossa empresa a qualquer momento, incluindo um pedido de uma lista de todas as subsidiárias da nossa Empresa que estejam sujeitas a esta Política. Esperamos que os nossos funcionários, e outros que trabalham em nome da nossa Empresa, avisem imediatamente caso tenham motivo para acreditar que uma Lei aplicável possa impedir o cumprimento desta Política. Qualquer questão, queixa ou preocupação colocada por um Indivíduo, ou qualquer aviso providenciado por um funcionário, ou qualquer outra pessoa que trabalhe em nome da nossa Empresa, deve ser enviada para o Gabinete de Privacidade Global:
        1. Por e-mail, para indivíduos que residam no Espaço Económico Europeu (EEE), para: euprivacydpo@organon.com
        2. Caso contrário, por e-mail para: privacyoffice@organon.com
      2. Por correio para: Chief Privacy Officer, Organon & Co., 30 Hudson Street, Jersey City, NJ 07302. Os funcionários e contratantes têm de informar imediatamente o Gabinete de Privacidade Global, ou o Diretor de Práticas Comerciais designado para a sua área de negócio, sobre quaisquer questões, queixas ou preocupações relacionadas com as práticas de privacidade da nossa Empresa.
      3. O Gabinete de Privacidade Global irá avaliar e investigar, ou irá trabalhar com colegas do Gabinete de Ética, Jurídico e/ou Conformidade para investigar todas as questões, queixas ou preocupações relacionadas com as práticas de privacidade da Empresa, quer recebidas diretamente dos funcionários ou outros indivíduos ou através de terceiros, incluindo, mas não limitado a agências reguladoras, agentes de responsabilização ou outras autoridades governamentais. Responderemos ao indivíduo ou à entidade que colocou a questão, queixa ou preocupação à nossa Empresa, no prazo de trinta (30) dias de calendário, exceto se a Lei ou o solicitante terceiro exigir uma resposta num período inferior, ou exceto se as circunstâncias, tal como uma investigação governamental, obriguem a um período mais alargado, em cujo caso o indivíduo ou o solicitante terceiro será notificado por escrito, assim que possível, sobre a natureza geral das circunstâncias que levem ao atraso.
      4. O Gabinete de Privacidade Global, em coordenação com colegas do Gabinete Jurídico e de Conformidade, irá cooperar na resposta a qualquer questão, inspeção ou investigação de uma autoridade reguladora responsável por questões de privacidade.
      5. Todos os indivíduos a residir no EEE, ou indivíduos cuja Informação Pessoal esteja sujeita à Lei de proteção de dados do EEE e seja transferida para fora do EEE, sobre quem a informação é processada de acordo com esta Política, têm o direito, quando forem usadas Cláusulas Contratuais Padrão da UE para transferir a sua Informação Pessoal, a qualquer momento, de aplicar os requisitos das Cláusulas Contratuais Padrão como beneficiários terceiros, incluindo o direito de interpor uma ação judicial para procurar compensações pela violação dos seus direitos ao abrigo das Cláusulas Contratuais Padrão e o direito de receber uma indemnização por prejuízos resultantes de tais violações. Os indivíduos que residam no EEE ou indivíduos cuja Informação Pessoal esteja sujeita à Lei de proteção de dados do EEE e seja transferida para fora do EEE (para efeitos de clareza, incluindo para os EUA), podem submeter uma ação ou apresentar uma reclamação ao abrigo das Cláusulas Contratuais Padrão contra a Empresa junto das Autoridades de Proteção de Dados competentes (nomeadamente no Estado Membro da sua residência habitual, local de trabalho ou local da alegada infração). A informação de contacto das autoridades de proteção de dados pode ser encontrada aqui: Membros | Comité Europeu para a Proteção de Dados Board (europa.eu)
      6. A nossa Empresa irá responder ao indivíduo ou à entidade que colocou a questão, queixa ou preocupação à nossa Empresa no prazo de tempo permitido por lei, exceto se um terceiro requerer uma resposta num período mais curto de tempo, ou exceto se as circunstâncias necessitem de um período de tempo mais longo, em cujo caso, o indivíduo ou solicitante terceiro será notificado por escrito.
    4. Somos responsáveis por manter os nossos padrões e valores de privacidade.
      1. A subsidiária da nossa Empresa responsável por uma ação que origine um Incidente de Privacidade ou Incidente de Segurança substanciado é responsável financeiramente, pela quantia de qualquer reivindicação por danos, multa ou penalização devido ao Incidente de Privacidade ou Incidente de Segurança.
        1. Em coordenação e sob indicação do Gabinete de Privacidade Global, o Responsável Europeu pela Proteção de Dados é responsável por garantir que são tomadas as ações necessárias para lidar com quaisquer alegadas violações desta Política por subsidiárias da nossa Empresa fora do EEE, afetando indivíduos que residam no EEE ou indivíduos cuja Informação Pessoal esteja sujeita à Lei de proteção de dados do EEE e seja transferida para fora do EEE.

    Supervisão e Monitorização

    De modo a fornecer garantias aos reguladores e outras partes interessadas em como a nossa Empresa é responsável pelo compromisso assumido de cumprimento de práticas de privacidade éticas e responsáveis, a Empresa mantém um grupo de governação de supervisão e monitorização abrangente, dirigido por um Diretor de Privacidade com um Gabinete de Privacidade Global (GPO) especializado, com supervisão de um Comité de Proteção de Dados e Privacidade, um Encarregado da Proteção de Dados para a eu (DPO), um DPO nacional, quando exigido por lei ou pelas autoridades locais e Diretores de Práticas Comerciais, que são nomeados por Responsáveis Máximos e servem como ligação entre o Gabinete de Privacidade Global e as áreas organizacionais nas quais trabalham.

    Termos que precisa de saber

    • Anonimização. A alteração, trancagem, obliteração ou outra redação ou modificação da Informação Pessoal, de modo a impossibilitar, de forma irreversível, a sua utilização para identificar, localizar ou contactar um indivíduo, quer isoladamente ou em conjunto com outra informação.
    • Empresa. Organon & Co., as suas sucessoras, subsidiárias e divisões a nível mundial, excluindo as joint ventures das quais a nossa Empresa é membro.
    • Sem identificação. A remoção de identificadores diretos e indiretos, frequentemente preservando os dados de identificação original separadamente.
    • Lei. Todas as leis, regras, regulamentos e ordens de opinião aplicáveis com força de lei em qualquer país no qual a nossa Empresa opera ou no qual a Informação Pessoal é processada por, ou em nome da nossa Empresa. Isto inclui todos os acordos-quadro de acordo com os quais a nossa empresa foi aprovada ou certificada, incluindo as Regras de Privacidade Transfronteiriça (“RPT”) da Cooperação Económica Ásia-Pacífico (“CEAP”).
    • Informação Pessoal. Quaisquer dados relacionados com um indivíduo identificado ou identificável, incluindo dados que identifiquem um indivíduo ou que possam ser usados para identificar, localizar, monitorizar ou contactar um indivíduo. A Informação Pessoal inclui informação diretamente identificável, tal como nome, número de identificação ou cargo único, e informação indiretamente identificável, tal como data de nascimento, número de telemóvel único ou identificador de dispositivo utilizado, número de telefone, bem como dados codificados com chave e identificadores online, tal como endereços IP ou quaisquer atividades pessoais, comportamentos ou preferências que possam ser recolhidos para fornecer serviços ou produtos.
    • Incidente de privacidade. Uma violação desta Política, ou de uma Lei da privacidade ou proteção de dados, e inclui um Incidente de Segurança. A determinação da ocorrência de um incidente de privacidade, e se deve ser elevado à categoria de Violação de Dados Pessoais, deve ser realizada pelo Gabinete de Privacidade Global, pela área de Segurança e Gestão de Riscos de Tecnologia Empresarial (Business Technology Risk Management and Security, BTRM) e pelo Gabinete do Diretor Jurídico.
    • Tratamento. Realizar qualquer operação ou conjunto de operações sobre informação de pessoas, quer sejam ou não por meios automáticos, incluindo, mas não limitando à recolha, gravação, organização, armazenamento, acesso, adaptação, alterações, recuperação, consulta, utilização, avaliação, análise, comunicação, partilha, divulgação, disseminação, transmissão, disponibilização, alinhamento, combinação, bloqueio, eliminação, retificação ou destruição.
    • Violação de Dados Pessoais. Uma quebra da segurança que conduz à destruição, perda e alteração acidentais ou ilícitas, e à divulgação ou o acesso não autorizados a Informação Pessoal, ou que leva a nossa Empresa a razoavelmente acreditar na sua ocorrência. O acesso à Informação Pessoal por ou em nome da nossa Empresa, sem a intenção de violar esta Política, não constitui uma Violação de Dados Pessoais, desde que a Informação Pessoal acedida seja ainda usada e divulgada apenas como permitido por esta Política.
    • Incidente de segurança. Um incidente de segurança é constituído por um ou mais eventos de segurança de informação indesejados ou inesperados que podem potencialmente comprometer a segurança da informação e enfraquecer ou prejudicar as operações comerciais.
    • Informação Sensível. Qualquer tipo de informação sobre as pessoas que aporta um risco inerente de potencial dano a indivíduos, incluindo informação definida por lei como sensível, incluindo, mas não limitada à informação relacionada com a saúde, genética, biometria, raça, etnicidade, religião, opiniões políticas, filosóficas ou crenças, registo criminal, informação de geolocalização precisa, números de contas bancárias ou outras contas financeiras, números de identificação emitidos pelo governo, com crianças menores, vida sexual, orientação sexual, afiliação em sindicato, seguros, segurança social e outros benefícios do empregador ou emitidos pelo governo.
    • Terceiro. Qualquer entidade legal, associação ou pessoa que não seja detida pela nossa Empresa ou na qual a nossa Empresa não tenha participação de controlo, ou que não seja contratada pela nossa Empresa. Nenhuma afiliada da nossa Empresa será considerada um terceiro.

    Alterações a esta Política

    Esta política pode ser revista ocasionalmente, de acordo com os requisitos da Lei aplicável. Será publicado, durante sessenta (60) dias de calendário, um aviso na página sobre privacidade da nossa empresa (https://www.organon.com/privacy) sempre que esta Política seja alterada.

    Bij Organon strekt onze missie om ingenieuze gezondheidsoplossingen te leveren die mensen in staat stellen hun beste leven te leiden zich uit tot het respecteren van de privacy van personen en het beschermen van persoonsgegevens.

    Herzieningsdatum: 01 februari 2021
    Ingangsdatum: 1 juni 2021

    We streven ernaar om zaken te doen volgens onze privacyprincipes omdat we geloven dat deze garant staan voor ethische en verantwoorde praktijken voor gegevensverwerking. We beseffen dat innovatie en nieuwe technologieën tot voortdurende verandering leiden en en daarom streven we ernaar om onmiddellijk aan te passen hoe we onze privacyprincipes toepassen als reactie op die veranderingen.

    Dit beleid definieert onze wereldwijde standaarden voor beheer en bescherming van persoonsgegevens door of namens ons bedrijf, terwijl het zich over landsgrenzen beweegt, ongeacht het land waaruit de persoonsgegevens afkomstig zijn of waarnaar de persoonsgegevens kunnen worden doorgegeven. Het omschrijft onze toewijding tot naleving van onze APEC grensoverschrijdende privacyregels-certificering. Het is van toepassing op onze bedrijfsvoering in elk land, inclusief de gegevensoverdracht die noodzakelijk is om deze activiteiten uit te voeren.

    Dit beleid is ook van toepassing op alle mensen van wie wij gegevens verwerken, met inbegrip van, maar niet beperkt tot, professionele zorgverleners en andere klanten; toekomstige, huidige en voormalige medewerkers en van hen afhankelijke personen, patiënten, zorgverleners, onderzoekers en deelnemers aan onderzoeken, leden van wetenschappelijke en ethische commissies, zakenpartners, investeerders en aandeelhouders, overheidsambtenaren en andere belanghebbenden.

    Alle medewerkers en senior leidinggevenden van het bedrijf hebben kernverantwoordelijkheden wat betreft privacy die ze dienen na te leven.

    We erkennen dat onbedoelde fouten en vergissingen met betrekking tot de bescherming van persoonsgegevens kunnen leiden tot potentiële privacyrisico’s voor personen en reputatie-, bedrijfsvoerings-, financiële- en nalevingsrisico’s voor ons bedrijf. We bieden passende training voor dit beleid aan alle werknemers en andere personen die permanente of reguliere toegang hebben tot persoonsgegevens, betrokken zijn bij de verzameling van gegevens of helpen bij de ontwikkeling van hulpmiddelen die gebruikt worden om persoonsgegevens te verwerken. Alle medewerkers van ons bedrijf en derden die gegevens over personen verwerken voor ons bedrijf, moeten begrijpen wat hun verplichtingen zijn en deze nakomen zoals vermeld in dit beleid en de geldende wetgeving.

    Onze privacynormen en -waarden

    We volgen onze privacywaarden op in alles wat we doen. Onze vier privacywaarden zijn:

    Respect

    Vertrouwen

    Schade voorkomen

    Naleving

    We erkennen dat Privacyovertuigingen betrekking hebben op de essentie van wie we zijn, hoe we de wereld en onszelf zien. We streven naar het respecteren van de perspectieven en belangen van personen en gemeenschappen, en gebruiken en delen informatie over hen op eerlijke en transparante manier.

    Vertrouwen is cruciaal voor ons succes, dus streven we ernaar het vertrouwen van onze klanten, medewerkers, proefpersonen en andere belanghebbendenbetreffende privacy en bescherming van persoonsgegevens te winnen en te behouden.

    Verkeerd gebruik van persoonsgegevens kan zowel tastbare als ontastbare schade berokkenen aan personen, en we proberen daarom het risico op fysieke veiligheid-, financiële, reputatieschade en andere soorten privacyschade te voorkomen.

    Wet- en regelgeving houdt niet altijd gelijke tred de snelle verandering in technologie, datastroom en de verschuivingen in privacyrisico’s en verwachtingen. Daarom streven we ernaar om de geest en de letter van privacy- en gegevensbeschermingswet- en regelgeving consistent en efficiënt na te leven.

    1. We verankeren onze privacystandaarden in activiteiten, processen, technologieën en relaties met derde partijen die persoonsgegevens gebruiken. We ontwikkelen privacycontroles in onze processen en technologieën die in lijn zijn met onze privacywaarden en -standaarden en de geldende wetgeving. De onderstaande acht (8) privacyprincipes zijn een samenvatting van onze privacystandaarden en kerneisen voor processen, activiteiten en de ondersteunende technologieën op een hoog niveau.

      Privacyprincipes

      Onze kernwaarden

      1. Noodzaak – Voordat persoonsgegevens worden verzameld, gebruikt of gedeeld, definiëren en documenteren we de specifieke, legitieme bedrijfsdoelen waarvoor ze nodig zijn.

      • We bepalen welke persoonsgegevens nodig zijn en voor hoe lang, voor de vastgestelde bedrijfsdoeleinden en van toepassing zijnde wettelijke vereisten. We documenteren onze bepaling.
      • We verzamelen, gebruiken of delen niet meer persoonsgegevens dan noodzakelijk en we bewaren de gegevens in identificeerbare vorm niet langer dan noodzakelijk voor de gestelde bedrijfsdoeleinden en van toepassing zijnde wettelijke vereisten.
      • We anonimiseren of de-identificeren de persoonsgegevens wanneer zakelijke vereisten het vereisen dat informatiegegevens over de activiteit of het proces waarbij persoonsgegevens betrokken zijn voor een langere periode worden bewaard.
      • We zorgen ervoor dat deze noodzakelijkheidseisen onlosmakelijk verbonden zijn met eventuele ondersteunende technologie en dat ze worden gecommuniceerd aan derde partijen die de activiteit of het proces ondersteunen.

      2. Eerlijkheid – We verwerken persoonsgegevens op een manier die eerlijk is voor de personen op wie de gegevens betrekking hebben.

      • We bepalen of het verzamelen, gebruiken of verwerken van persoonsgegevens een redelijk waarschijnlijk of ernstig risico op tastbare of immateriële schade voor personen inhoudt, conform onze privacywaarde van Schade voorkomen.
      • Als de aard van de gegevens, soort personen of activiteit een redelijk waarschijnlijk en/of ernstig risico van tastbare of immateriële schade aan personen vormt, zorgen we ervoor dat het risico ondergeschikt is aan het bijbehorende voordeel voor deze personen of voor onze missie van het redden en verbeteren van levens, en afgezwakt wordt door de maatregelen, waarborgen en mechanismen die we hebben ingevoerd.
      • Waar het risico de voordelen voor personen lijkt te overtreffen, passen wij de meest relevante beveiligings- en beschermingsmaatregelen toe, stellen wij personen hiervan in kennis en winnen indien vereist het advies in van de bevoegde regelgevende autoriteit.
      • We verwerken gevoelige informatie uitsluitend met de uitdrukkelijke goedkeuring van personen, zoals uitdrukkelijk vereist of toegestaan onder de geldende wetgeving.
      • Wanneer het risico groter lijkt dan de voordelen voor personen, documenteren wij de risicoanalyse en implementeren maatregelen om de risico’s zoveel mogelijk te beperken.

      3. Transparantie – We verwerken persoonsgegevens op wijzen of voor doeleinden die gemakkelijk transparant zijn voor de mensen op wie de gegevens betrekking hebben.

      • Alle personen van wie persoonsgegevens worden verwerkt volgens dit beleid hebben recht op een exemplaar van dit beleid. Exemplaren van dit beleid worden online beschikbaar gesteld op www.organon.com/privacy en overleggen op verzoek elektronische en/of papieren versies van het beleid aan de geadresseerde die hieronder vermeld staan.
      • Als persoonsgegevens rechtstreeks van personen worden verzameld , stellen we hen, voorafgaand aan de verzameling van de gegevens, hiervan op de hoogte middels een duidelijke, opvallende en eenvoudig toegankelijke privacymelding of gelijkwaardig middel met (1) de verwerkingsverantwoordelijke bedrijfsentiteit(en); (2) de contactgegevens van onze Chief Privacy Officer en/of de regionale/lokale Functionaris voor Gegevensbescherming; (3) welke informatie er wordt verzameld; (4) de doeleinden waarvoor het zal worden gebruikt; (5) de rechtsgrond voor onze verwerking van de gegevens; (6) met wie het zal worden gedeeld, waaronder eventuele vereisten om persoonsgegevens vrij te geven naar aanleiding van rechtmatige verzoeken door overheidsinstanties; (7) of en hoe wij de persoonsgegevens zullen overdragen aan andere landen, waaronder het identificeren van de relevante landen waar mogelijk; (8) hoelang de gegevens zullen worden bewaard, of de criteria aan de hand waarvan wij die beslissing nemen; (9) hoe de personen een vraag kunnen stellen, een opmerking kunnen indienen of hun rechten met betrekking tot hun persoonsgegevens kunnen uitoefenen; (10) hoe zij hun toestemming die zij hebben verleend, kunnen intrekken, (11) hun recht om een klacht in te dienen bij een toezichthoudende autoriteit; (12) elke verplichting om persoonsgegevens te verstrekken en de gevolgen van het nalaten hiervan; (13) elke geautomatiseerde besluitvorming, inclusief profilering, die kan worden uitgevoerd; (14) een link naar dit beleid, waar mogelijk en gepast. Onze uitgebreide privacymeldingen voor veel van onze belanghebbenden zijn online beschikbaar op https://www.organon.com/privacy/contact/
      • Als persoonsgegevens worden verkregen via observaties, sensoren of andere indirecte middelen, is het wellicht niet mogelijk om een privacymelding aan de persoon te richten ten tijde van de verzameling van de gegevens. In zulke gevallen verzekeren we de persoon via andere middelen van transparantie, bijvoorbeeld geplaatst of gedrukt op het apparaat of als materialen behorende bij het apparaat waarmee de gegevens worden verzameld.
      • Als persoonsgegevens via een website, mobiele app of andere online applicatie of middel worden verzameld, passen we de technologiegebonden standaarden toe zoals vermeld in ons Internetprivacybeleid en ons Wereldwijd online trackingbeleid om ervoor te zorgen dat er wordt voldaan aan de transparantie-eisen van dit beleid.
      • Als persoonsgegevens worden verzameld van andere bronnen en wanneer het niet specifiek onder leiding is van ons bedrijf, verifiëren we schriftelijk en vooraf dat de aanbieder van de gegevens de personen heeft geïnformeerd over de manieren en doeleinden waarvoor ons bedrijf de informatie zal gebruiken. Als schriftelijke verificatie niet kan worden verkregen van de aanbieder van de gegevens, gebruiken we uitsluitend anonieme of gedeïdentificeerde gegevens, of informeren we de personen, voordat de persoonsgegevens worden gebruikt, middels een privacymelding of gelijkwaardig middel van (1) de verwerkingsverantwoordelijke bedrijfsentiteit(en) voor het verwerken van de gegevens, (2) de contactgegevens van onze Chief Privacy Officer en/of de regionale/lokale Functionaris voor Gegevensbescherming (3) welke informatie ons bedrijf van zins is te gebruiken, (4) de doeleinden waarvoor ons bedrijf het zal gebruiken, (5) de rechtsgrond voor onze verwerking (6) met wie ons bedrijf de informatie zal delen, (7) of en hoe wij de persoonsgegevens zullen overdragen aan andere landen, waaronder identificeren van de relevante landen waar mogelijk, (8) hoelang ons bedrijf de informatie zal bewaren, of de criteria aan de hand waarvan wij die beslissing nemen (9) hoe ze een vraag kunnen stellen, een opmerking kunnen plaatsen of hun rechten kunnen uitoefenen met betrekking tot de persoonsgegevens (10) hoe zij hun toestemming die zij hebben verleend, kunnen intrekken, (11) hun recht om een klacht in te dienen bij een toezichthoudende autoriteit, (12) elke verplichting om persoonsgegevens te verstrekken en de gevolgen van het nalaten hiervan (13) elke geautomatiseerde besluitvorming, inclusief profilering, dat kan worden uitgevoerd, (14) een link naar dit beleid, waar mogelijk en gepast.
      • We zorgen ervoor dat de nodige transparantiemiddelen, waaronder (waar mogelijk) mechanismen die verzoeken van individuele rechten ondersteunen, worden ingesloten in de ondersteunende technologieën, en dat derde partijen die de activiteit of het proces ondersteunen geen persoonsinformatie verwerken op wijzen die tegenstrijdig zijn met de informatie verschaft aan individuen middels privacymeldingen of andere verifieerbare middelen over wat er door ons en door anderen namens ons met de informatie zal worden gedaan.
      • Wanneer we toestemming vragen, verkrijgen we bewijs van toestemming en documenteren we dit in onze ondersteunende technologieën.

      4. Doelbeperking – We gebruiken persoonsgegevens uitsluitend conform de principes van noodzakelijkheid en transparantie.

      • Als nieuwe legitieme bedrijfsdoeleinden worden geïdentificeerd voor persoonsgegevens die eerder werden verzameld, zorgen we ervoor dat we of de goedkeuring krijgen van de persoon voor het nieuwe gebruik van de persoonsgegevens, of dat het nieuwe bedrijfsdoeleinde verenigbaar is met en wezenlijk gelijk is aan, een doeleinde dat werd omgeschreven in een privacymelding of ander transparant mechanisme dat daarvoor aan de persoon werd verstrekt. We zullen de verenigbaarheid bepalen op basis van (1) elke link tussen de oorspronkelijke doeleinden en het voorgestelde nieuwe doel (2) de redelijke verwachtingen van de persoon, (3) de aard van de persoonsgegevens, (4) de gevolgen van verdere verwerking voor de persoon, en (5) de veiligheidsmaatregelen die we hebben ingevoerd.
      • We passen dit principe niet toe op geanonimiseerde of gede-ïdentificeerde gegevens of als we persoonsgegevens uitsluitend gebruiken voor historische en wetenschappelijke onderzoeksdoeleinden en wanneer (1) een ethische beoordelingscommissie, of een andere competente beoordelaar, heeft vastgesteld dat het risico van dergelijk gebruik voor wat betreft privacy en andere rechten van de persoon acceptabel is, (2) wij passende voorzorgsmaatregelen hebben genomen om gegevensminimalisering te garanderen, (3) de persoonsgegevens pseudogeanonimiseerd zijn en (4) alle andere toepasselijke wetten worden nageleefd.
      • We verzekeren dat doelbeperking wordt toegepast op ondersteunende technologie, met inbegrip van rapportagemogelijkheden en het downstream delen van gegevens.

      5. Gegevenskwaliteit – We streven ernaar om persoonsgegevens accuraat, volledig en actueel, in overeenstemming met het bedoelde gebruik te houden.

      • We zorgen ervoor dat mechanismen voor periodieke gegevensbeoordeling worden toegepast op ondersteunende technologieën om de juistheid van gegevens te bevestigen tegenover bron- en downstreamsystemen.
      • We zorgen ervoor dat gevoelige informatie wordt gecontroleerd op juistheid en actualiteit vóór, het gebruik, beoordeling, analyse, melding of andere vorm van verwerking, die een risico op oneerlijkheid vormen ten opzichte van personen indien onjuiste of verouderde gegevens worden gebruikt.
      • Indien wijzigingen worden aangebracht in persoonsgegevens, door ons bedrijf of derde partijen die voor ons bedrijf werken, zorgen we ervoor dat deze wijzigingen tijdig worden gecommuniceerd aan de betrokkenen, waar redelijkerwijs mogelijk.

      6. Veiligheid – We passen beveiligingsmaatre-gelen toe om persoonsgegevens en gevoelige informatie te beschermen tegen verlies, misbruik en onbevoegde toegang, openbaarmaking, wijziging of vernietiging.

      • We hebben een uitgebreid beveiligingsprogramma voor gegevens ingesteld en passen beveiligingsmaatregelen en waarborgen toe die gebaseerd zijn op de aard en gevoeligheid van de informatie en het risiconiveau van de activiteit, rekening houdend met beste praktijken van de huidige technologie en de kosten van implementatie. Onze functionele beleidslijnen voor veiligheid omvatten, maar zijn niet beperkt tot, standaarden over bedrijfscontinuïteit en rampenherstel, encryptie, identiteits- en toegangsbeheer, classificatie van informatie, incidentenbeheer van informatieveiligheid, controle van netwerktoegang, fysieke beveiliging en risicobeheer.

      7. Gegevensover-dracht – We zijn verantwoordelijk voor en borgen de privacybescherming voor persoonsgegevens wanneer deze worden overgedragen van of naar andere organisaties of over landgrenzen.

      (1) We dragen persoonsgegevens over binnen ons bedrijf als aan de volgende vereisten wordt voldaan:

      (a) het delen is noodzakelijk om het doel te bereiken waarvoor de persoonsgegevens oorspronkelijk werden verzameld of een ander legitiem belang van het bedrijf; en (b) het doel waarvoor deze zullen worden gedeeld, en het feit dat deze gedeeld zullen worden, is in overeenstemming met de privacymelding of ander transparantiemechanisme dat eerder aan de persoon werd verstrekt op het moment dat de persoonsgegevens oorspronkelijk werden verzameld, en de persoon waar nodig toestemming gaf; (c) wanneer een van onze dochterondernemingen uitsluitend optreedt namens een andere dochteronderneming van ons bedrijf bij de verwerking van persoonsgegevens; (d) indien vereist door de wet, zullen die dochterondernemingen van ons bedrijf een interne gegevensverwerkingsovereenkomst uitvoeren in overeenstemming met Principe 8 van dit beleid. Of; (e) indien de IT-infrastructuur een dergelijke overdracht vereist, mits alle passende veiligheids- en organisatorische maatregelen zijn genomen om een dergelijke overdracht in overeenstemming te brengen met de voorschriften.

      (2) We dragen persoonsgegeven alleen over aan derde partijen of staan hen toe de gegevens te verwerken als aan de volgende eisen is voldaan, en we bevestigen dat derde partijen voldoen aan deze vereisten:

      • Als de derde partij persoonsgegevens voor of namens ons bedrijf verwerkt en voordat persoonsgegevens aan de derde partij worden verstrekt, nemen wij de volgende stappen: (1) zorgvuldig privacyonderzoek uitvoeren om de privacypraktijken en -risico’s te beoordelen die verbonden zijn een dergelijke derde partij, (2) contractuele garantie van deze derde partijen verkrijgen dat ze (i) persoonsgegevens uitsluitend zullen verwerken conform de instructies van ons bedrijf en in naleving van dit beleid, met inbegrip van, maar niet beperkt tot, alle acht (8) de privacyprincipes en de andere standaarden die in dit beleid worden gesteld, en de geldende wetgeving; (ii) dat ze ons bedrijf direct op de hoogte zullen stellen van eventuele privacyincidenten, waaronder een eventueel onvermogen om te kunnen voldoen aan de standaarden zoals beschreven in dit beleid en geldende wetgeving, of beveiligingsincidenten, en samenwerken om onmiddellijk een op ziczelf bestaand voorval op te lossen en om de individuele rechten te behandelen zoals beschreven in onderstaande sectie 2; (iii) dat zij geen ander bedrijf zullen inschakelen om de persoonsgegevens te verwerken zonder onze schriftelijke toestemming en zonder een overeenkomst die gelijkwaardige verplichtingen inzake gegevensbescherming oplegt; (iv) dat zij alle persoonsgegevens veilig verwijderen of aan ons retourneren, nadat zij klaar zijn met het verlenen van diensten aan ons of op ons verzoek of onze aanwijzing; en (v) dat ze ons bedrijf zullen toestaan controles en audits uit te voeren naar hun praktijken op naleving van deze eisen gedurende de verwerking van de gegevens. Daarnaast, als een derde partij persoonsgegevens verwerkt die afkomstig zijn uit een land of gebied waar de wetgeving de overdracht van persoonsgegevens beperkt, zullen we er tevens voor zorgen dat de overdracht aan de derde partij voldoet aan de eisen voor grensoverschrijdende gegevensoverdracht, zoals beschreven in onderstaande sectie (3).
      • Indien de derde partij persoonsgegevens aan ons bedrijf levert, zorgen we er vooraf voor dat er wordt voldaan aan de transparantie-eisen voor het verzamelen van persoonsgegevens van andere bronnen en niet specifiek onder leiding van ons bedrijf. Ook verkrijgen we een contractuele verklaring van de derde partij waarin gesteld wordt dat ze geen wetten of rechten van een derde partij overtreedt met het leveren van persoonsgegevens aan ons bedrijf.
      • Indien de derde partij gegevens van ons bedrijf ontvangt voor verwerkingsprocessen die niet specifiek onder leiding van ons bedrijf staan , zorgen we er vooraf voor dat de gegevens zijn geanonimiseerd of gedeïdentificeerd en verkrijgen we schriftelijke verklaringen van de derde partij waarin gesteld wordt dat de gegevens uitsluitend worden gebruikt voor de specifieke zakelijke doeleinden die in de overeenkomst zijn gedefinieerd en in navolging van de geldende wetgeving, en dat de partij niet zal trachten de gegevens opnieuw te identificeren.
      • Indien de overdracht aan een derde partij vereist is om de legitieme belangen van de persoon of die van het bedrijf te beschermen, kunnen we de informatie overdragen: (1) ter voorkoming van fraude of ter handhaving of bescherming van de rechten en eigendommen van het bedrijf; (2) voor de bescherming van de persoonlijke veiligheid van onze werknemers of derde partijen op onze terreinen, en (3) om onze bedrijfsmiddelen te beschermen door corrigerende veiligheidsmaatregelen te nemen als we redelijkerwijs vermoeden dat een onwettige activiteit of ernstig wangedrag heeft plaatsgevonden.
      • Indien de derde partij een doelwit vormt voor overname of een meerderheidsbelang door ons bedrijf:, (1) voordat we een overeenkomst aangaan om de derde partij over te nemen of een meerderheidsbelang te verkrijgen, voeren we een zorgvuldig privacyonderzoek uit om de privacypraktijken en -risico’s te beoordelen die verbonden zijn aan de overname van of een meerderheidsbelang in die derde partij en (2) gaan we een overeenkomst voor gegevensoverdracht aan waarin de voorwaarden waaronder persoonsgegevens mogen worden vrijgegeven worden gesteld, evenals de respectievelijke verplichtingen van ons bedrijf en de derde partij.
      • Indien de derde partij alle of een deel van de zaken van ons bedrijf overneemt , nemen we voordat we persoonsgegevens delen met betrekking tot een afstoting van enig deel van de zaken van ons bedrijf, de volgende stappen: (1) we gaan een overeenkomst voor gegevensoverdracht aan waarin de voorwaarden worden gesteld waaronder persoonsgegevens mogen worden vrijgegeven aan de aankoper, waaronder de correcte beperkingen wat betreft het toegestane gebruik van persoonsgegevens en naleving van de standaard zoals beschreven in dit beleid en geldende wetgeving, (2) we minimaliseren het delen van gegevensonderdelen tot wat noodzakelijk is, (3) we verkrijgen goedkeuring om persoonsgegevens of gevoelige informatie te delen conform de principes voor transparantie en doelbeperking van dit beleid, en (4) we vereisen van derde partijen om ons bedrijf onmiddellijk op de hoogte te stellen van een eventueel privacyvoorval, waaronder een onvermogen om te voldoen aan de standaarden zoals beschreven in dit beleid en geldende wetgeving, en samen te werken om onmiddellijk een op zichzelf staand voorval op te lossen of de verwerking van relevante persoonsgegevens stop te zetten.

      (3) Persoonsgegevens worden door of namens ons bedrijf over landgrenzen, waaronder naar de Verenigde Staten van Amerika (USA) waar ons bedrijf het hoofdkantoor heeft, overgedragen conform dit beleid. Dit beleid wordt toegepast op overdracht van persoonsgegevens uit elk ander land of gebied waarin de overdracht van persoonsgegevens wettelijk wordt beperkt, naast het naleven van eventuele vereisten opgelegd door dergelijke wetten (inclusief het gebruik van mechanismen die nodig zijn voor grensoverschrijdende overdrachten naar landen die niet dezelfde gegevensbeschermingsnormen hebben als het land van herkomst).

      8. Wettelijk toegestaan – We verwerken persoonsgegevens uitsluitend wanneer aan de geldende wettelijke eisen is voldaan.

      • Hoewel de andere zeven (7) privacyprincipes, alsmede de eisen voor individuele rechten die hieronder staan omschreven, bedoeld zijn om ervoor te zorgen dat aan de eisen van de meeste wetten voor privacy- en gegevensbescherming die wereldwijd van toepassing zijn op ons bedrijf wordt voldaan, moeten we in sommige landen voldoen aan aanvullende eisen, met inbegrip van, maar niet beperkt tot het onderstaande:

        1) Indien vereist, zullen we specifieke vormen van toestemming verkrijgen voor bepaalde verwerkingsvormen van persoonsgegevens, inclusief maar niet beperkt tot goedkeuring van een ondernemingsraad en andere vakbonden;

        2) Indien vereist, zullen we de verwerking van persoonsgegevens registreren bij of om goedkeuring vragen van de toepasselijke regelgevende autoriteit op het gebied van privacy- of gegevensbescherming;

        3) Indien vereist, zullen we ruimere rechten (bijvoorbeeld van toegang en correctie) bieden dan wordt uiteengezet in dit beleid;

        4) Indien vereist, zullen we de retentieperiode van persoonsgegevens verder beperken;

        5) Indien vereist, zullen we overeenkomsten aangaan met specifieke contractuele clausules, waaronder overeenkomsten voor grensoverschrijdende gegevensoverdracht aan derde partijen; en

        6) Waar nodig zullen we persoonsgegevens vrijgeven in antwoord op wettige verzoeken van overheidsinstanties, onder meer om te voldoen aan nationale veiligheids- of wetshandhavingsvereisten.

        In geval van tegenstrijdigheid tussen dit beleid en geldende wetgeving, heeft de standaard die meer bescherming biedt aan personen voorrang.

    2. We zullen verzoeken van personen om toegang tot of wijziging, correctie of verwijdering van persoonsgegevens, of om bezwaar te maken tegen de verwerking van persoonsgegevens, of om andere rechten met betrekking tot hun persoonsgegevens uit te oefenen, direct in behandeling nemen.
      1. Toegang, correctie, verwijdering en andere rechten – Onder de wetgeving van de meeste landen waarin we werkzaam zijn, hebben personen het recht om te verzoeken om toegang te krijgen tot persoonsgegevens van zichzelf en om persoonsgegevens die onjuist, onvolledig of verouderd zijn te wijzigen, corrigeren of verwijderen. We zullen alle verzoeken voor toegang tot of correctie en verwijdering van persoonsgegevens van alle personen respecteren in navolging van onderstaande sectie 3a, en zoals is toegestaan volgens toepasselijke wetgeving. Indien een verzoek om toegang tot of correctie of verwijdering van persoonsgegevens onder een geldende wet valt die betere bescherming biedt aan personen, zullen we ervoor zorgen dat aan de aanvullende eisen van die wet wordt voldaan. In sommige landen hebben personen mogelijk recht op andere rechten met betrekking tot persoonsgegevens over zichzelf, zoals het recht om de verwerking te beperken, om bezwaar te maken tegen verwerking (zie ook sectie 2b hieronder) en om hun gegevens te laten overdragen aan een andere serviceprovider. We zullen de uitoefening van gegevensrechten respecteren in overeenstemming met toepasselijke wetten. Sommige rechten, zoals het verwijderen van informatie, kunnen worden beperkt op grond van andere regelgevende of wettelijke vereisten of de noodzaak om te voldoen aan lokale nalevingsrapportage; in dat geval, zullen wij u informeren over deze beperkingen, voor zover van toepassing.
      2. Keuze – In overeenstemming met onze privacywaarden van ‘Respect’ en ‘Vertrouwen’ respecteren wij individuele verzoeken om bezwaar te maken tegen de verwerking van persoonsgegevens, inclusief maar niet beperkt tot: afzien van deelname aan programma’s of activiteiten waaraan iemand eerder wel deelnam, verwerking van persoonsgegevens voor directe marketingcommunicatie, communicatie op basis van zijn/haar persoonsgegevens en eventuele beoordelingen of beslissingen over een persoon die mogelijk van aanzienlijke invloed op hem/haar zijn, gemaakt met behulp van automatisering of algoritmes.
        1. Tenzij wettelijk verboden kunnen wij de keuze afwijzen, wanneer een bepaald verzoek ons bedrijf zou hinderen bij de volgende zaken: (1) het naleven van een wet of ethische verplichting, waar nodig zullen we persoonsgegevens vrijgeven in antwoord op wettige verzoeken van overheidsinstanties, onder meer om te voldoen aan nationale veiligheids- of wetshandhavingsvereisten, (2) het onderzoeken, indienen of verdedigen van juridische vorderingen en (3) het uitvoeren van contracten, het beheren van relaties of deelname aan andere toegestane zakelijke praktijken die in lijn zijn met de principes van transparantie en doelbeperking en zijn aangegaan op grond van de informatie over de personen in kwestie. De beslissing om een keuzeverzoek af te wijzen conform dit beleid wordt binnen vijftien (15) dagen na het nemen van de beslissing gedocumenteerd en gecommuniceerd aan de aanvrager, tenzij anders vereist door toepasselijke wetgeving.
    3. Vragen, klachten en opmerkingen met betrekking tot privacy en alle potentiële privacy- of beveiligingsincidenten worden direct in behandeling genomen.
      1. Iedere persoon wiens persoonsgegevens door ons worden verwerkt binnen de reikwijdte van dit beleid kan op ieder gewenst moment een vraag, klacht of opmerking aan ons bedrijf richten, inclusief een verzoek om een lijst met alle dochterondernemingen van ons bedrijf die onder dit beleid vallen. We verwachten van onze medewerkers en anderen die namens ons bedrijf werkzaam zijn dat ze direct melding maken wanneer ze van oordeel zijn dat ze vanwege geldende wetgeving dit beleid niet kunnen navolgen. Vragen, klachten of opmerkingen van een persoon of een kennisgeving van een medewerker of andere persoon die werkzaamheden uitvoert namens ons bedrijf dienen gericht te worden aan het Global Privacy Office:
        1. Per e-mail voor personen die in de Europese Economische Ruimte (EER) wonen naar: euprivacydpo@msdorganon.com
        2. Anders per e-mail naar: privacyoffice@organon.com
        3. Per post naar: Chief Privacy Officer, Organon & Co., 30 Hudson Street, Jersey City, NJ 07302.
      2. Medewerkers en contractmedewerkers dienen het Global Privacy Office of de aangewezen Business Practice Manager voor hun bedrijfsgebied direct op de hoogte te stellen van vragen, klachten of opmerkingen met betrekking tot de privacypraktijken van ons bedrijf.
      3. Het Global Privacy Office zal, eventueel in samenwerking met collega’s van het Office of Ethics, de afdeling Legal en Compliance, alle vragen, klachten of opmerkingen met betrekking tot de privacypraktijken van ons bedrijf in behandeling nemen, zowel degene die rechtstreeks van onze medewerkers afkomstig zijn als die van andere personen of derde partijen, met inbegrip van, maar niet beperkt tot regelgevende autoriteiten, verantwoordingsplicht inspecteurs en andere overheidsinstanties. We zullen binnen dertig (30) kalenderdagen antwoord geven aan de persoon of entiteit die de vraag, klacht of opmerking naar voren bracht, tenzij een wet of externe aanvrager binnen kortere tijd antwoord eist of tenzij omstandigheden, zoals een gelijktijdig overheidsonderzoek, een langer tijdsbestek vereisen. De persoon of externe aanvrager zal in dat laatste geval zo spoedig mogelijk schriftelijk geïnformeerd worden over de vertraging.
      4. Het Global Privacy Office zal in samenwerking met collega’s van de afdelingen Legal en Compliance medewerking verlenen aan enig verzoek tot informatie, onderzoek of inspectie door een regelgevende instantie op het gebied van privacy.
      5. Alle personen die binnen de EER woonachtig zijn, of personen wiens persoonsgegevens vallen onder de wet voor gegevensbescherming van de EER en worden overgedragen buiten de EER, en wiens gegevens conform dit beleid worden verwerkt, hebben waar de EU-modelcontractbepalingen worden gebruikt om hun persoonlijke gegevens over te dragen op ieder gewenst moment het recht om de eisen van de standaard modelcontractbepalingen als externe begunstigden af te dwingen, waaronder ook het recht om gerechtelijke actie te ondernemen om schending van hun rechten onder de standaard modelcontractbepalingen te herstellen en het recht op vergoeding van schade opgelopen ten gevolge van deze schending. Personen die woonachtig zijn in de EER of personen wiens persoonsgegevens vallen onder de wet voor gegevensbescherming van de EER en worden overgedragen buiten de EER (inclusief de VS), kunnen onder de standaard modelcontractbepalingen een vordering of klacht indienen tegen het bedrijf met:
        1. De bevoegde gegevensbeschermingsautoriteiten (met name in de lidstaat waar hij/zij zijn/haar gewone verblijfplaats, zijn/haar werkplek of de plaats van de vermeende schending heeft). De contactgegevens van de gegevensbeschermingsautoriteiten vindt u hier: Members | European Data Protection Board (europa.eu)
      6. Ons bedrijf zal binnen de tijdsperiode die wordt toegekend door de toepasselijke wetgeving antwoord geven aan de persoon of entiteit die de vraag, klacht of opmerking naar voren bracht, tenzij een externe aanvrager binnen kortere tijd antwoord eist of tenzij omstandigheden een langer tijdsbestek vereisen. De persoon of externe aanvrager zal in dat laatste geval schriftelijk bericht ontvangen.
    4. Wij dragen verantwoording voor het handhaven van onze privacywaarden en -normen.
      1. De dochteronderneming van ons bedrijf die verantwoordelijk is voor een handeling die leidt tot een op zich zelf bestaand privacy- of beveiligingsincident is financieel verantwoordelijk voor het bedrag van een schadeclaim of boete die hiervan het gevolg is.
        1. In samenwerking met en onder leiding van het Global Privacy Office draagt de Europese functionaris voor gegevensbescherming de verantwoording om ervoor te zorgen dat de nodige maatregelen worden getroffen voor het in behandeling nemen van enige vermeende overtredingen van dit beleid, door dochterondernemingen van ons bedrijf buiten de EER, die van invloed zijn op personen die woonachtig zijn in de EER of personen wiens persoonsgegevens onderhevig zijn aan de wet voor gegevensbescherming van de EER en worden overgedragen buiten de EER.

    Toezicht en controle

    Om de garantie te bieden aan toezichthouders en andere belanghebbenden dat ons bedrijf verantwoording draagt voor de toewijding aan ethische en verantwoordelijke privacypraktijken, handhaaft het bedrijf een uitgebreide bestuursgroep voor toezicht en controle , onder leiding van een Chief Privacy Officer en met een aangewezen Global Privacy Officer??? (GPO), onder toezicht van een Privacy- en Gegevensbeschermingsraad, een toegewezen EU-DPO Data Protection Officer, DPO’s van landen indien vereist door de wet of lokale autoriteiten, en Business Parctice Managers, die worden aangesteld door senior leidinggevenden en als liaisons optreden tussen de Global Privacy Office en de bestuursgebieden waarin zij werkzaam zijn.

    Belangrijke termen

    • Beveiligingsincident: een informatiebeveiligingsincident bestaat uit een of meer ongewenste of onverwachte informatiebeveiligingsgebeurtenissen die mogelijk de beveiliging van informatie in gevaar kunnen brengen en de bedrijfsactiviteiten kunnen verzwakken of schaden.
    • Derde partij: alle wettelijke entiteiten, organisaties of persoon die niet in bezit zijn van ons bedrijf, of waarin ons bedrijf geen zeggenschapsbelangen heeft, of die niet in dienst zijn van ons bedrijf. Geen enkel filiaal van het bedrijf mag worden beschouwd als een derde partij.
    • Bedrijf: Organon & Co., haar opvolgers, dochterondernemingen en divisies wereldwijd, met uitzondering van joint ventures waarin ons bedrijf partij is.
    • Geanonimiseerd: het aanpassen, inkorten, doorhalen of anderszins bewerken of wijzigen van persoonsgegevens, zodat deze onomkeerbaar onmogelijk gebruikt kunnen worden voor het identificeren of lokaliseren van of contact opnemen met een persoon, hetzij alleen of in combinatie met andere informatie.
    • Gedeïdentificeerd: de verwijdering van directe en indirecte persoonlijke identificatie, waarbij de originele identificatiegegevens vaak afzonderlijk worden bewaard
    • Gevoelige informatie: alle soorten persoonsgegevens die een inherent risico van mogelijke schade aan personen met zich meebrengen, waaronder informatie die wettelijk is aangemerkt als gevoelig, met inbegrip van, maar niet beperkt tot informatie met betrekking tot gezondheid, genetica, biometrie, ras, etnische oorsprong, religie, politieke of filosofische meningen of overtuigingen, criminele antecedenten, precieze gegevens van geolocatie, nummers van bankrekeningen of andere financiële rekeningen, door de overheid uitgegeven identificatienummers, minderjarige kinderen, seksleven, seksuele oriëntatie, vakbondslidmaatschap, verzekering, burgerservicenummer en andere door de werkgever of overheid uitgegeven arbeidsvoorwaarden.
    • Inbreuk op persoonsgegevens: Een beveiligingsinbreuk die leidt tot toevallige of onwettige vernietiging, verlies, wijziging, onwettige openbaarmaking van of toegang tot persoonsgegevens, of redelijke veronderstelling door ons bedrijf van hetzelfde. Toegang tot persoonsgegevens door of namens ons bedrijf zonder de intentie om dit beleid te schenden wordt niet als een inbreuk op persoonsgegevens gezien, op voorwaarde dat de verkregen informatie alleen verder gebruikt en openbaar gemaakt is zoals toegestaan in dit beleid.
    • Persoonsgegevens: alle gegevens met betrekking tot een geïdentificeerde of identificeerbare persoon, waaronder gegevens die een persoon identificeren of die gebruikt kunnen worden om een persoon te identificeren, lokaliseren, volgen of benaderen. Onder persoonsgegevens vallen zowel direct identificeerbare gegevens, zoals een naam, identificatienummer of unieke functietitel, als indirect identificeerbare gegevens, zoals een geboortedatum, unieke identificatiecode van mobiel of draagbaar apparaat, telefoonnummer of sleutelgecodeerde gegevens, online identificators zoals IP-adressen of persoonlijke activiteiten, gedragingen of voorkeuren die kunnen worden verzameld om diensten of producten te leveren.
    • Privacyincident: een overtreding van dit beleid of van een privacy- of gegevensbescherming wet; inclusief een beveiligingsincident. Beslissingen of een privacyincident heeft plaatsgevonden en of dit tot een inbreuk op de persoonsgegevens moet worden verheven, worden door het Global Privacy Office, Business Technology Risk Management (BTRM) en Legal.
    • Verwerking: de uitvoering van een operationele handeling of een reeks operationele handelingen met persoonsgegevens, al dan niet automatisch en inclusief, maar niet beperkt tot, verzameling, opname, organisatie, opslag, toegang, aanpassing, wijziging, opvraging, raadpleging, gebruik, beoordeling, analyse, verslaggeving, het delen, bekendmaking, verspreiding, overdracht, het beschikbaar maken, afstemming, combinatie, blokkering, het (uit)wissen of de vernietiging ervan.
    • Wetgeving: alle geldende wetten, regels, voorschriften en bepalingen die de geldigheid van wetgeving hebben in alle landen waarin ons bedrijf werkzaam is of waarin persoonsgegevens worden verwerkt door of namens ons bedrijf. Hieronder vallen alle privacykaders waaronder ons bedrijf is goedgekeurd of gecertificeerd, met inbegrip van de Economische samenwerking Azië – Stille Oceaan (‘APEC’), grensoverschrijdende privacyregels (‘CBPR’s’).

    Wijzigingen aan dit beleid

    Dit beleid kan van tijd tot tijd worden aangepast, in overeenstemming met de eisen van de geldende wetgeving. Wanneer dit beleid wezenlijk wordt veranderd, wordt er gedurende zestig (60) kalenderdagen een kennisgeving op de privacywebsite van ons bedrijf geplaatst (https://www.organon.com/privacy)

    In Organon, la nostra mission, che consiste nel fornire soluzioni sanitarie ingegnose che consentano alle persone di vivere al meglio la propria vita, si estende al rispetto della privacy individuale e alla protezione delle informazioni personali.

    Data di revisione: 1 febbraio 2021
    Data di entrata in vigore: 1 giugno 2021

    Ci sforziamo di condurre la nostra attività secondo i nostri principi sulla privacy in quanto riteniamo che essi dimostrino il nostro fermo impegno nei confronti di pratiche etiche e responsabili in relazione al trattamento dei dati. Riconosciamo che l’innovazione e le nuove tecnologie determinano un cambiamento continuo, pertanto miriamo a un adattamento rapido della modalità di applicazione dei nostri principi sulla privacy in risposta a tale cambiamento.

    La presente Procedura definisce i nostri standard globali per la gestione e la protezione delle informazioni personali, nell’ambito del relativo trasferimento transfrontaliero, da parte o per conto della nostra Azienda, indipendentemente dal Paese da cui provengono o verso il quale le informazioni personali possono essere trasferite. La Procedura descrive i nostri impegni chiave, tesi a convalidare la conformità alla nostra certificazione APEC sulla procedura in materia di privacy transfrontaliera.

    Questa Procedura si applica alle operazioni che effettuiamo in ogni Paese, compresi i trasferimenti di dati necessari per svolgere tali attività nonché a tutte le persone di cui elaboriamo le informazioni, inclusi, tra gli altri, i professionisti del settore sanitario e altri clienti; dipendenti potenziali, attuali e precedenti e i loro collaboratori; pazienti e chi si occupa di questi ultimi; ricercatori e partecipanti agli studi di ricerca; membri del comitato scientifico ed etico; partner aziendali; investitori e azionisti; funzionari pubblici e altri interlocutori.

    Tutti i dipendenti dell’azienda e i dirigenti senior hanno responsabilità fondamentali da perseguire.

    Riconosciamo che errori e valutazioni errate in materia di protezione delle informazioni personali possono creare potenziali rischi per la privacy degli individui e rischi operativi, finanziari, per la reputazione e la conformità della nostra azienda. Forniremo la formazione necessaria sulla presente Politica ai dipendenti e ad altro personale che ha accesso, in forma regolare o continuativa, alle Informazioni personali, a chi è coinvolto nel trattamento di dati e a chi assiste le attività di sviluppo degli strumenti utilizzati per trattare le Informazioni personali. Ogni dipendente della nostra Azienda, e tutti coloro che elaborano informazioni per conto di essa, sono resposabili della comprensione e del rispetto dei propri obblighi secondo quanto stabilito dalla presente Politica e dalle leggi applicabili.

    I nostri valori e i nostri standard in materia di privacy

    Rispettiamo i nostri valori in materia di privacy in tutto il nostro operato. I nostri quattro valori per la privacy sono i seguenti:

    Rispetto

    Fiducia

    Prevenzione dei danni

    Conformità

    Riconosciamo che le credenze sulla privacy spesso riguardano la nostra stessa essenza, la nostra visione del mondo e la definizione di noi stessi, quindi ci impegniamo a rispettare i punti di vista e gli interessi di individui e comunità e ad essere equi e trasparenti nell’utilizzo e nella condivisione delle loro informazioni.

    Sappiamo che la fiducia è di importanza cruciale per il nostro successo, quindi ci impegniamo a costruire e preservare la fiducia di clienti, dipendenti, soggetti partecipanti agli studi e altri interlocutori nel modo in cui rispettiamo la privacy e proteggiamo le informazioni personali.

    Comprendiamo che l’uso errato delle informazioni personali può creare un danno, sia materiale che immateriale, agli individui, quindi cerchiamo di prevenire il rischio, per le persone, di subire danni alla propria sicurezza fisica, nonché danni finanziari, di reputazione e di altro tipo inerenti alla privacy.

    Abbiamo imparato che le leggi e i regolamenti non possono sempre stare al passo con i cambiamenti rapidi delle tecnologie e dei flussi di dati e con i mutamenti nei rischi e nelle aspettative per la privacy, quindi ci impegniamo a conformarci allo spirito e alla lettera delle leggi e dei regolamenti in materia di privacy e protezione dei dati, in maniera tale da garantire coerenza ed efficienza nelle nostre operazioni a livello globale.

    1. Incorporiamo i nostri standard di privacy nelle attività, processi, tecnologie e relazioni con terze parti che usano le informazioni personali. Integriamo nei nostri processi e nelle nostre tecnologie controlli della privacy coerenti con i nostri valori e standard e con la legge applicabile. Gli otto (8) principi sulla privacy enunciati di seguito riepilogano i nostri standard e requisiti chiave di privacy per i processi, le attività e le tecnologie che li supportano.
      tbody>

      Principio sulla privacy

      I nostri impegni chiave

      1. Necessità: prima di raccogliere, usare o condividere le informazioni personali, definiamo e documentiamo i fini aziendali specifici e legittimi che ne giustificano la necessità.

      • Determiniamo quali informazioni personali siano necessarie, e per quanto tempo, per scopi aziendali determinati e quali sono gli obblighi legali di pertinenza. Documentiamo la nostra determinazione.
      • Non raccogliamo, usiamo o condividiamo una quantità di informazioni personali superiore a quanto necessario né le conserviamo in una forma identificabile per un periodo di tempo superiore a quello necessario per i fini aziendali definiti e relativi obblighi legali.
      • Rendiamo anonime, o non identificabili, le informazioni personali laddove le esigenze aziendali richiedano che i dati su un’attività o su un processo che implichino l’uso di Informazioni personali siano conservati per un periodo di tempo più lungo.
      • Verifichiamo che i requisiti di necessità siano integrati in tutte le tecnologie di supporto e che siano comunicati alle terze parti che sostengono l’attività o il processo.

      2. Correttezza: elaboriamo le informazioni personali in modo corretto nei confronti delle persone a cui i dati sono correlati.

      • Determiniamo se la raccolta, l’uso o un altro tipo di elaborazione proposto delle informazioni personali presenti un ragionevole potenziale e/o grave rischio di danno tangibile o intangibile per gli individui, in conformità con il nostro Valore privacy di Prevenzione dei danni.
      • Se la natura dei dati, i tipi di soggetti o l’attività presentano un rischio ragionevolmente potenziale e/o grave di danno tangibile o intangibile per gli individui, verifichiamo che il rischio di danno sia superato da un corrispondente beneficio per tali individui o per la nostra mission di salvare e migliorare le vite e sia mitigato dai meccanismi e dalle misure di tutela adottate da Organon.
      • Laddove il rischio paia superare i benefici per gli individui, applichiamo le misure di sicurezza e protezione più rilevanti, informiamo gli individui di questo fatto e cerchiamo l’opportuno parere dell’autorità di regolamentazione competente.
      • Elaboriamo le informazioni sensibili solo con il consenso esplicito degli individui, se richiesto o consentito espressamente dalla legge applicabile.
      • Laddove il rischio sembri superare i benefici per gli individui, noi documentiamo l’analisi dei rischi e attuiamo meccanismi di protezione atti a minimizzare i rischi il più possibile.

      3. Trasparenza: elaboriamo le informazioni personali secondo modalità o fini totalmente trasparenti alle persone a cui si riferiscono.

      • Tutti gli individui le cui informazioni personali vengono elaborate secondo la presente Procedura hanno diritto a una copia della stessa. Renderemo disponibili online copie della presente Procedura all’indirizzo www.organon.com/privacy, e forniremo su richiesta copie in formato elettronico e/o cartacee di questa Procedura agli indirizzi elencati in basso.
      • Quando i dati personali vengono raccolti direttamente dagli individui, prima di raccogliere tali informazioni forniamo un’informativa sulla privacy chiara, trasparente in merito a: (1) l’entità o le entità dell’azienda responsabili del trattamento; (2) i dettagli di contatto del responsabile della privacy (Chief Privacy Officer, CPO) e/o del responsabile della privacy dei dati locale/regionale; (3) le informazioni che verranno raccolte; (4) le finalità per cui verranno utilizzate; (5) la base giuridica per il relativo trattamento; (6) con chi verranno condivise, incluso qualsivoglia requisito richiesto per la divulgazione delle Informazioni personali in risposta a legittime richieste delle autorità governative; (7) se e in quale modalità le informazioni personali verranno trasferite in altri Paesi, inclusa l’identificazione dei Paesi pertinenti di , laddove sia possibile; (8) per quanto tempo tali informazioni saranno conservate o i criteri in base ai quali stabiliremo la durata del periodo di conservazione; (9) come gli interessati possono porre domande, sollevare dubbi o esercitare i loro diritti in relazione alle loro Informazioni personali; (10) come possono annullare il consenso conferito in precedenza; (11) il loro diritto a presentare un reclamo presso l’autorità di controllo competente; (12) qualsiasi obbligo che impone di fornire le Informazioni personali e le conseguenze derivanti dalla mancata adempienza a tale obbligo; (13) qualsiasi processo decisionale automatizzato eventualmente adottato, inclusa la profilazione; e (14) un link alla presente Procedura, dove possibile e nei casi appropriati. Le modalità con cui operiamo sulla privacy per molti dei nostri interlocutori sono disponibili online all’indirizzo https://www.organon.com/privacy/contact/
      • Quando le Informazioni personali vengono ottenute tramite osservazioni, sensori o altri mezzi indiretti, può non essere possibile fornire un’informativa sulla privacy direttamente all’individuo al momento della raccolta. In tali casi, garantiamo trasparenza tramite altri mezzi, ad esempio la pubblicazione o la stampa sul dispositivo o materiali associati al dispositivo su cui verranno trattati i dati.
      • Quando le informazioni personali vengono raccolte tramite un sito Web, un’app per dispositivi mobili o un’altra applicazione o risorsa online, applichiamo gli standard tecnologici specifici descritti nella nostra Procedura sulla privacy in Internet e nella nostra Politica globale sul tracciamento online  per garantire che siano soddisfatti i requisiti in materia di trasparenza sanciti nella presente Procedura.
      • Quando le informazioni personali vengono raccolte da altre fonti non gestite specificamente dalla nostra Azienda, prima di ottenere le informazioni verifichiamo per iscritto che il fornitore abbia informato gli individui sui metodi e i fini per cui l’Azienda intende usare le informazioni. Se non è possibile ottenere una verifica scritta dal fornitore delle informazioni, usiamo solo informazioni rese anonime o non identificabili oppure, prima di utilizzare le informazioni personali, informiamo gli individui interessati tramite un’informativa sulla privacy o mezzi simili indicando (1) l’entità o le entità dell’Azienda responsabili dell’elaborazione delle informazioni, (2) i dettagli di contatto del responsabile della privacy e/o del responsabile della protezione dei dati locale/regionale, (3) di quali informazioni è previsto l’utilizzo, (4) i fini per cui l’Azienda prevede di utilizzarle, (5) la base giuridica per il trattamento (6) con chi l’Azienda le condividerà, (7) se e in quale modalità le Informazioni personali verranno trasferite dall’azienda inaltri Paesi, inclusa l’identificazione di quelli pertinenti, laddove sia fattibile, (8) per quanto tempo l’Azienda prevede di conservare tali informazioni o i criteri in base ai quali stabiliremo la durata del periodo di conservazione, (9) come possono porre domande, sollevare dubbi o esercitare i loro diritti in relazione alle loro Informazioni personali, (10) come possono annullare il consenso conferito in precedenza, (11) il loro diritto a presentare un reclamo presso l’autorità di controllo competente, (12) qualsiasi obbligo che impone di fornire le Informazioni personali e le conseguenze derivanti dalla mancata adempienza a tale obbligo, (13) qualsiasi processo decisionale automatizzato eventualmente adottato, inclusa la profilazione, e (14) un link alla presente Procedura, dove possibile e nei casi appropriati.
      • Garantiamo che i necessari meccanismi di trasparenza, inclusi, laddove possibile, meccanismi a supporto delle richieste di diritti individuali, siano integrati nelle tecnologie di supporto, e che le terze parti che supportano l’attività o il processo non elaborino informazioni personali in maniera non conforme a quanto comunicato mediante informativa sulla privacy o altro mezzo verificabile sull’utilizzo delle informazioni da parte nostra o di soggetti che operano per nostro conto.
      • Quando chiediamo il consenso, otteniamo e documentiamo la prova del consenso nelle nostre tecnologie di supporto.

      4. Limitazione dei fini: usiamo le informazioni personali solo in conformità con i principi di necessità e trasparenza.

      • Nel caso in cui vengano individuati nuovi e legittimi fini aziendali per le informazioni personali raccolte in precedenza, otteniamo il consenso dell’individuo per il nuovo impiego delle sue Informazioni personali o ci assicuriamo che il nuovo fine aziendale sia compatibile con, e materialmente simile ai fini descritti in un’informativa sulla privacy o nella comunicazione fornita precedentemente all’individuo. La compatibilità dovrà tener conto tra l’altro di (1) ogni nesso tra tali finalità e le finalità dell’ulteriore trattamento previsto, (2) delle ragionevoli aspettative dell’interessato, (3) della natura delle Informazioni personali, (4) delle conseguenze dell’ulteriore trattamento previsto per gli interessati, e (5) dell’esistenza di garanzie adeguate adottate.
      • Non applichiamo questo principio alle informazioni rese anonime o non identificabili nei casi in cui usiamo le informazioni personali esclusivamente a fini di ricerca storica e scientifica e (1) un comitato di revisione etica, o altro revisore competente, abbia determinato che il rischio di tale impiego per la privacy e altri diritti individuali sia accettabile, (2) siano state adottate tutele adeguate per garantire il principio di minimizzazione dei dati, (3) i dati personali siano oggetto di pseudonimizzazione, e (4) siano rispettate tutte le altre leggi applicabili.
      • Le restrizioni dovute alla limitazione dei fini sono integrate in qualunque tecnologia di supporto, incluse le capacità di reporting e la condivisione dei dati downstream.

      5. Qualità dei dati: facciamo ogni sforzo per preservare l’accuratezza, la completezza e l’aggiornamento delle informazioni personali, conformemente con l’uso previsto.

      • Verifichiamo che meccanismi di revisione periodica dei dati siano integrati nelle tecnologie di supporto per convalidare l’accuratezza dei dati rispetto ai sistemi di origine e downstream.
      • Verifichiamo che sia convalidata l’accuratezza e l’attualità delle informazioni sensibili prima del loro uso, della valutazione, dell’analisi, del reporting o di altre elaborazioni che presentino un rischio di mancata correttezza per le persone nel caso in cui vengano usati dati inaccurati o obsoleti.
      • Laddove vengano apportate modifiche alle informazioni personali da parte della nostra Azienda o da terze parti che operano per conto della nostra Azienda, verifichiamo che tali modifiche siano comunicate agli individui interessati in maniera tempestiva.

      6. Sicurezza: poniamo in essere difese per proteggere le informazioni personali e le informazioni sensibili da perdita, uso improprio e accesso non autorizzato, divulgazione, alterazione e distruzione.

      • Abbiamo implementato un programma di sicurezza delle informazioni e applichiamo controlli di sicurezza e meccanismi di protezione basati sulla natura e sulla sensibilità delle informazioni e sul livello di rischio dell’attività, prendendo in considerazione le best practice tecnologiche disponibili. Le nostre politiche di sicurezza a livello di funzione includono, tra gli altri, standard di business continuity e disaster recovery, crittografia, gestione delle identità e dell’accesso, classificazione delle informazioni, gestione degli incidenti relativi alla sicurezza delle informazioni, controllo dell’accesso alla rete, sicurezza fisica e gestione dei rischi.

      7. Trasferimento dati: Siamo responsabili di preservare la privacy delle informazioni personali quando queste vengono trasferite a o da altre organizzazioni o tra Paesi diversi.

      (1) Trasferiamo le Informazioni personali all’interno del Gruppo a cui appartiene l’Azienda, previo soddisfacimento dei criteri seguenti:

      (a) se la condivisione delle Informazioni personali è necessaria a conseguire le finalità per le quali sono state originariamente raccolte o a conseguire un altro legittimo interesse aziendale; e (b) se la finalità su cui poggia la condivisione e in base alla quale verrà effettuata è coerente con l’informativa sulla privacy o con altri meccanismi di trasparenza forniti in precedenza all’individuo al momento della raccolta delle sue Informazioni personali e in favore delle quali l’individuo aveva conferito il proprio consenso, laddove necessario; (c) laddove una sussidiaria della nostra Azienda agisca da sola per conto di un’altra sussidiaria nel trattamento delle Informazioni personali; (d) laddove, subordinatamente a un obbligo di legge, sia stato sottoscritto un accordo interno sul trattamento di dati conformemente al Principio 8 della presente Procedura; o (e) quando l’infrastruttura informatica richiede tale trasferimento, a condizione che tutte le misure di sicurezza e organizzative appropriate siano in atto per rendere tale trasferimento conforme.

      (2) Il trasferimento delle informazioni personali a terze parti, o tramite terze parti, avviene solo nel caso in cui vengano soddisfatti i seguenti requisiti e dietro nostra garanzia che dette terze parti agiscano nel rispetto degli stessi:

      • Se il ruolo della terza parte è elaborare le informazioni personali per o per conto della nostra azienda, prima di fornire le informazioni personali alla terza parte o di coinvolgerla: (1) completiamo la procedura di due diligence di privacy per valutare le pratiche di privacy e i rischi associati a detta terza parte, (2) sottoscriviamo con le terze parti specifiche clausole contrattuali per cui esse (i) elaboreranno le informazioni personali attenendosi esclusivamente alle istruzioni della nostra Azienda e in conformità con la presente Procedura, inclusi senza limitazioni tutti gli otto (8) principi di privacy e gli altri standard definiti in questa Procedura e nelle leggi applicabili; (ii) notificheranno immediatamente alla nostra Azienda eventuali incidenti relativi alla privacy, inclusa qualsiasi incapacità nel conformarsi agli standard esposti in questa Procedura e alle leggi applicabili, o alla sicurezza, e coopereranno per rimediare prontamente a eventuali incidenti comprovati e per rispettare i diritti dei singoli esposti nella Sezione 2 più avanti; (iii) non collaboreranno con un’altra azienda per trattare le informazioni personali senza la nostra autorizzazione scritta e senza sottoscrivere un accordo che preveda gli stessi obblighi in materia di protezione dei dati; (iv) cancelleranno o restituiranno alla nostra Azienda, in totale sicurezza, tutte le Informazioni personali dopo aver evaso tutti i servizi a noi erogati o su nostra richiesta o indicazione; e (v) consentiranno alla nostra Azienda di controllare e monitorare le loro pratiche, al fine di verificarne la conformità con tali requisiti, per l’intera durata del trattamento. Inoltre, se la terza parte elabora informazioni personali originate in un Paese o territorio le cui leggi limitano il trasferimento delle informazioni personali, verificheremo che il trasferimento alla terza parte soddisfi i requisiti relativi al trasferimento transfrontaliero dei dati descritti al punto (3) in basso.
      • Se il ruolo della terza parte è fornire informazioni personali alla nostra Azienda, prima di ottenere le informazioni personali dalla terza parte verifichiamo che siano soddisfatti i requisiti di trasparenza nella raccolta di tali informazioni da altre fonti non gestite specificamente dalla nostra Azienda e otteniamo dalla terza parte una dichiarazione contrattuale di non violazione di leggi o diritti di terze parti fornendo informazioni personali alla nostra azienda.
      • Se il ruolo della terza parte è ricevere dalla nostra Azienda informazioni per il trattamento non specificamente sotto la nostra direzione, prima di fornire tali informazioni alla terza parte verifichiamo che le informazioni siano state rese anonime o non identificabili che siano state ottenute assicurazioni scritte dalla terza parte che esse verranno impiegate solo per gli specifici fini aziendali definiti nel contratto e in conformità con le leggi applicabili e che non verranno effettuati tentativi di identificazione delle informazioni.
      • Se il trasferimento a una terza parte è subordinato a un obbligo di legge o necessario a tutelare gli interessi legittimi dell’individuo o dell’Azienda, possiamo trasferire le informazioni: (1) ai fini di prevenzione delle frodi o di esercitare o tutelare i diritti e i beni dell’Azienda, (2) ai fini della tutela personale della sicurezza dei nostri dipendenti o terze parti in relazione ai nostri beni o (3) allo scopo di proteggere le nostre attività adottando provvedimenti di sicurezza correttivi in caso abbiamo basi ragionevoli per presumere che si sia verificata un’attività illecita o una condotta impropria grave.
      • Se la terza parte è obiettivo di un’acquisizione o di controllo da parte della nostra Azienda, (1) prima di stipulare un accordo di acquisizione o di controllo della terza parte, completiamo la procedura di due diligence di privacy per valutare le pratiche di privacy e i rischi associati all’acquisizione o al controllo della terza parte, e (2) stipuliamo un accordo per il trasferimento dati che specifichi i termini e condizioni in base ai quali le informazioni personali possono essere divulgate e i rispettivi obblighi della nostra azienda e della terza parte.
      • Se il ruolo della terza parte è acquisire in tutto o in parte l’attività della nostra Azienda, prima di condividere informazioni personali in connessione con l’alienazione di una parte dell’attività dell’Azienda, (1) stipuliamo un contratto di trasferimento dati che specifichi i termini e condizioni in base ai quali le informazioni personali possono essere divulgate all’acquirente, incluse le adeguate limitazioni riguardanti gli usi consentiti delle informazioni personali e la conformità allo standard esposto in questa Procedura e nella legge applicabile, (2) riduciamo al massimo la condivisione dei dati allo stretto necessario, (3) otteniamo il consenso alla condivisione di informazioni personali o informazioni sensibili in conformità con i principi di trasparenza e limitazione dei fini della presente Procedura e (4) richiediamo alle terze parti di comunicare prontamente alla nostra Azienda eventuali incidenti di privacy, inclusa qualsiasi incapacità nel conformarsi agli standard esposti nella presente Procedura e nelle leggi applicabili, e di cooperare per rimediare prontamente a eventuali incidenti comprovati o di terminare il trattamento delle informazioni personali in questione.

      (3) Il trasferimento delle informazioni personali tra Paesi, inclusi gli Stati Uniti (USA) dove la nostra Azienda ha la propria sede, e da o per conto della nostra Azienda avviene in conformità con la presente Procedura. Applicheremo la stessa ai trasferimenti di informazioni personali da un altro Paese o territorio che abbia in vigore una legge che limita il trasferimento di informazioni personali oltre ad adempiere ad obblighi imposti da tali leggi (inclusa l’adozione di meccanismi necessari per i trasferimenti transfrontalieri) a Paesi che non hanno gli stessi standard di protezione dei dati del Paese d’origine).

      8. Consentito dalla legge: elaboriamo le informazioni personali solo se i requisiti delle leggi applicabili sono soddisfatti.

      • Mentre gli altri sette (7) principi di privacy, così come i requisiti dei diritti individuali descritti di seguito, servono a garantire che siano soddisfatti i requisiti della maggior parte delle leggi sulla privacy e la protezione dei dati che si applicano alla nostra attività a livello mondiale, in alcuni Paesi dobbiamo soddisfare ulteriori requisiti, tra cui i seguenti:

        1) Laddove richiesto, otterremo forme specifiche di consenso per alcune elaborazioni di informazioni personali, tra cui l’approvazione dell’elaborazione da parte di consigli dei lavoratori e altre organizzazioni sindacali;

        2) Laddove richiesto, registreremo l’elaborazione delle informazioni personali presso l’autorità Garante Privacy;

        3) Laddove richiesto, forniremo diritti di accesso e correzione più ampi di quanto descritto nella presente Procedura;

        4) Laddove richiesto, limiteremo ulteriormente i periodi di conservazione dei dati per le informazioni personali;

        5) Laddove richiesto, stipuleremo contratti contenenti clausole specifiche, inclusi i contratti per il trasferimento dei dati transfrontalieri a terze parti.

        6) Laddove richiesto, divulgheremo le informazioni personali in risposta a richieste legali da parte delle autorità pubbliche, incluso il soddisfacimento dei requisiti di sicurezza nazionale e di applicazione della legge.

        In caso di conflitto tra la presente Procedura e una legge applicabile, prevarrà lo standard che prevede una maggiore protezione degli individui.

    2. Risponderemo con sollecitudine alle richieste degli individui circa i loro diritti all’accesso, alla modifica, alla correzione o eliminazione delle Informazioni personali o di opposizione al trattamento delle Informazioni personali che li riguardano o di richiesta di esercitare i loro diritti in relazione alle loro Informazioni personali.
      1. Accesso, correzione, eliminazione e altri diritti: le leggi della maggior parte dei Paesi in cui operiamo prevedono per gli individui diritti di accesso alle informazioni personali che li riguardano e alla modifica, alla correzione o a richiedere l’eliminazione delle informazioni personali imprecise, incomplete o obsolete. Daremo seguito a tutte le richieste di accesso, correzione ed eliminazione delle informazioni personali da tutti gli individui, in conformità con la Sezione 3a in basso e in base a quanto consentito dalla legge applicabile. Se una richiesta di accesso, correzione o eliminazione è governata da una legge applicabile che fornisce maggiore protezione individuale, garantiremo che i requisiti aggiuntivi di tale legge siano soddisfatti. In alcuni Paesi, è possibile che gli individui dispongano di altri diritti in relazione alle Informazioni personali che li riguardano, tra cui il diritto a limitare il trattamento, a opporsi al trattamento (consultare la Sezione 2b riportata di seguito) e a richiedere il trasferimento dei loro dati a un altro fornitore di servizi. Rispetteremo i diritti relativi ai dati conformemente alle leggi applicabili. Alcuni diritti, come la cancellazione, possono essere limitati in base ad altri requisiti normativi o legali o alla necessità di conformarsi agli obblighi locali di rendicontazione sulla compliance; in tal caso vi informeremo su queste limitazioni come applicabile.
      2. Scelta: conformemente con i valori di privacy “Rispetto” e “Fiducia”, diamo seguito alle richieste degli individui di negare il consenso all’elaborazione delle informazioni personali, come la rinuncia a programmi e attività a cui avevano in precedenza accettato di partecipare, l’elaborazione delle informazioni personali che li riguardano per comunicazioni di marketing dirette, comunicazioni mirate basate sulle informazioni personali e qualunque valutazione o decisione che li riguardi e che possa avere effetti significativi su di loro, eseguita con l’uso di processi automatizzati o algoritmi.
        1. Salvo i casi previsti dalla legge, possiamo negare la scelta, laddove una richiesta particolare possa costituire un impedimento per la nostra Azienda nella sua capacità di: (1) conformarsi a una legge o un obbligo etico anche nel caso in cui siamo tenuti a divulgare Informazioni personali in risposta a richieste legali da parte delle autorità pubbliche, incluso il soddisfacimento dei requisiti di sicurezza nazionale e di applicazione della legge, (2) investigare su esercitare o difendere azioni legali e (3) stipulare contratti, amministrare relazioni o impegnarsi in altre attività aziendali consentite dai principi di trasparenza e limitazione dei fini e che siano state avviate in relazione alle informazioni personali in questione. Entro quindici (15) giorni lavorativi da ogni decisione di negare una richiesta di scelta in conformità con la presente Procedura, documenteremo e comunicheremo la decisione al richiedente se non diversamente richiesto dalla legge applicabile.
    3. Replicheremo con sollecitudine e inoltreremo agli uffici preposti tutte le domande collegate alla privacy, i reclami, i dubbi e i possibili incidenti di privacy o sicurezza.
      1. Tutti gli individui per i quali elaboriamo le informazioni personali nell’ambito della presente Procedura possono inoltrare una domanda, un reclamo o un dubbio alla nostra Azienda in qualunque momento, incluse le richieste di elenchi di tutte le sussidiarie della nostra Azienda soggette alla presente Procedura. Ci aspettiamo che tutti i dipendenti e coloro che operano per conto della nostra Azienda forniscano notifiche tempestive laddove abbiano motivo di pensare che una legge applicabile possa impedire loro di conformarsi con la presente Politica. Tutte le domande, i reclami o i dubbi di un individuo, o qualunque notifica fornita da un dipendente o da qualunque altra persona che operi per conto della nostra azienda, devono essere dirette all’ufficio per la privacy globale:
        1. Tramite e-mail per gli individui residenti nello Spazio economico europeo (SEE) a: euprivacydpo@organon.com
        2. Altrimenti tramite e-mail a: privacyoffice@organon.com
      2. Tramite posta ordinaria all’indirizzo: Chief Privacy Officer, Organon & Co., 30 Hudson Street, Jersey City, NJ 07302. Dipendenti e consulenti sono tenuti a informare tempestivamente l’ufficio per la privacy corporate o il responsabile delle pratiche aziendali incaricato per la propria area commerciale di eventuali domande, reclami o dubbi legati alle procedure della nostra Azienda in materia di privacy.
      3. L’ufficio per la privacy corporate effettuerà esami e indagini o collaborerà con i colleghi dell’ufficio per l’etica, di quello legale e/o di quello della compliance, per approfondire tutte le questioni, i reclami e i dubbi collegati alle procedure della nostra azienda in materia di privacy, ricevute direttamente dai dipendenti o da altri individui o tramite terze parti, tra cui le agenzie normative, e altre autorità statali. Risponderemo al singolo o all’entità che ha sollevato la domanda o il dubbio alla nostra Azienda entro trenta (30) giorni, a meno che una legge o una terza parte non richieda una risposta in un periodo di tempo più breve o che le circostanze, ad esempio un’indagine concomitante, comportino un periodo di tempo più lungo. In questo caso, il richiedente singolo o la terza parte riceverà appena possibile una notifica in forma scritta con l’indicazione della natura generale delle circostanze che contribuiscono al ritardo.
      4. L’ufficio per la privacy corporate, coordinandosi con i colleghi dell’ufficio legale e di quello della compliance, collaborerà per rispondere a qualunque inchiesta, ispezione o indagine da parte di un’autorità normativa in materia di privacy.
      5. Tutti i residenti nell’area SEE, o gli individui le cui informazioni personali sono soggette alla legge sulla protezione dei dati dell’area SEE e trasferite al di fuori di tale area, le cui informazioni vengono elaborate in base alla presente Procedura, hanno il diritto, laddove si faccia affidamento sulle clausole contrattuali standard dell’UE per il trasferimento delle loro informazioni personali, di invocarne in qualunque momento i requisiti in qualità di beneficiari esterni, incluso il diritto di intraprendere un’azione giudiziaria per violazione dei propri diritti sanciti da dette clausole contrattuali standard e il diritto di ricevere un indennizzo per i danni risultanti da tale violazione. I residenti nell’area SEE o gli individui le cui informazioni personali sono soggette alla legge sulla protezione dei dati dell’area SEE e trasferite al di fuori di tale area (inclusi gli Stati Uniti), possono, in base alle clausole contrattuali standard, intraprendere un’azione legale o inoltrare un reclamo nei confronti dell’Azienda presso le autorità competenti per la protezione dei dati (in particolare nello Stato membro della propria residenza abituale, del proprio luogo di lavoro o del luogo della presunta violazione). Le informazioni di contatto delle autorità di protezione dei dati sono reperibili qui: Membri | Comitato europeo per la protezione dei dati (europa.eu)
      6. La nostra Azienda risponderà al singolo o all’entità che ha sollevato la domanda, il reclamo o il dubbio entro il periodo di tempo previsto dalla legge applicabile, a meno che una terza parte non richieda una risposta in un periodo di tempo più breve o che le circostanze comportino un periodo di tempo più lungo. In questo caso, il richiedente singolo o la terza parte riceverà una notifica in forma scritta.
    4. Abbiamo la responsabilità di rispettare i nostri valori e i nostri standard in materia di privacy.
      1. La sussidiaria della nostra Azienda responsabile di un’azione che dia adito a un incidente di privacy o un incidente di sicurezza comprovato è finanziariamente responsabile del risarcimento dovuto per eventuali danni o sanzioni amministrative o penalità derivanti da tali incidenti.
        1. In coordinamento con e sotto la direzione dell’ufficio per la privacy corporate, il Responsabile della protezione dei dati europeo deve garantire che vengano adottate tutte le azioni necessarie per affrontare le presunte violazioni della presente Politica da parte delle sussidiarie della nostra Azienda al di fuori dell’area SEE e che abbiano effetto sui residenti dell’area SEE o sugli individui le cui informazioni personali sono soggette alla legge sulla protezione dei dati dell’area SEE e trasferite al di fuori di tale area.

    Supervisione e monitoraggio

    Per fornire assicurazione agli organi governativi e ad altri interlocutori sull’impegno della nostra Azienda nei confronti delle pratiche etiche e responsabili, l’Azienda continua a mantenere un gruppo di governance per il controllo e il monitoraggio, guidato da un responsabile della privacy con un ufficio per la privacy corporate (Global Privacy Office, GPO) dedicato, con la supervisione di un comitato per la privacy e la protezione dei dati, un responsabile della protezione dei dati (DPO) dell’UE, DPO locali laddove richiesto dalla legge o dalle autorità locali e Responsabili delle pratiche aziendali nominati dai dirigenti senior e che fungono da mediatori tra l’ufficio per la privacy corporate e le aree dell’organizzazione in cui operano.

    Termini che dovete conoscere

    • Anonimizzazione. Alterazione, troncamento, cancellazione o altro tipo di redazione o modifica delle informazioni personali, in maniera tale da impedirne irreversibilmente l’utilizzo per identificare, localizzare o contattare un individuo, singolarmente o unitamente ad altre informazioni.
    • Azienda. Organon & Co., i suoi successori e le sue affiliate e divisioni di tutto il mondo, escluse le joint venture di cui la nostra Azienda è parte.
    • Deidentificazione. Rimozione di identificativi personali diretti e indiretti, spesso conservando separatamente i dati identificativi originali
    • Elaborazione. L’esecuzione di qualsiasi operazione o serie di operazioni sulle informazioni personali, con o senza mezzi automatici, inclusi, tra gli altri, la raccolta, la registrazione, l’organizzazione, l’archiviazione, l’accesso, l’adattamento, l’alterazione, il recupero, la consultazione, l’utilizzo, la valutazione, l’analisi, il reporting, la condivisione, la divulgazione, la diffusione, la trasmissione, la disponibilità, l’allineamento, la combinazione, il blocco, l’eliminazione, la cancellazione o la distruzione.
    • Incidente di privacy. Una violazione della presente Procedura o di una legge sulla privacy o la protezione dei dati, che include un incidente di sicurezza. L’ufficio per la privacy corporate, il reparto BTRMS (Business Technology Risk Management and Security) e l’ufficio legale hanno la responsabilità di stabilire se sia avvenuto un incidente di privacy e se sia da ritenersi un Violazione dei Dati Personali.
    • Informazioni personali. Qualunque dato riguardante un individuo identificato o identificabile, inclusi i dati che identificano un individuo o che possono essere usati per identificare, individuare, registrare o contattare un individuo. Le Informazioni personali includono informazioni di identificazione diretta, ad esempio il nome, il numero di identificazione o la qualifica univoca, e informazioni di identificazione indiretta, come la data di nascita, l’identificativo univoco di un dispositivo mobile o indossabile, il numero di telefono o dati codificati con chiave e codici di identificazione online, ad esempio gli indirizzi IP o qualsiasi attività personale, comportamento o preferenze che possono essere raccolti per fornire servizi o prodotti.
    • Informazioni sensibili. Qualunque tipo di informazioni personali che comporti un rischio intrinseco di danni a individui, come le informazioni definite dalla legge come sensibili, incluse, tra le altre, le informazioni relative allo stato di salute, dati genetici, biometrici, la razza, l’etnia, la religione, le opinioni politiche o le convinzioni filosofiche, i precedenti penali, informazioni di geolocalizzazione precise, numeri di conto bancari o simili, numeri di documenti di identificazione emessi dallo stato, informazioni su minori, vita sessuale, orientamento sessuale, iscrizione a organizzazioni sindacali, assicurazione, previdenza sociale e altri benefit erogati dal datore di lavoro o di natura pubblica.
    • Legge. Tutte le leggi, le regole, i regolamenti e le ordinanze applicabili che hanno forza di legge in un Paese in cui la nostra Azienda opera oppure in cui le informazioni personali vengono elaborate da o per conto della nostra Azienda. Sono inclusi tutti i quadri normativi sulla privacy in base ai quali la nostra azienda è stata approvata o certificata, come le Regole in materia di privacy transfrontaliera (“CBPR”), della Cooperazione Economica Asiatico-Pacifica (“APEC”).
    • Terza parte. Qualunque entità legale, associazione o persona non controllata dalla nostra Azienda oppure nella quale la nostra Azienda non abbia un assetto di controllo o che non sia dipendente della nostra Azienda. Nessuna affiliata dell’Azienda deve essere considerata una terza parte.
    • Violazione dei Dati Personali. Una violazione della sicurezza, o presunta tale dalla nostra Azienda, che comporta l’accidentale o illegittima distruzione, perdita, alterazione, divulgazione o accesso non autorizzato alle Informazioni personali. L’accesso alle informazioni personali da parte o per conto della nostra Azienda senza l’intento di violare la presente Procedura non costituisce una Violazione dei Dati Personali, a patto che le informazioni a cui si accede vengano utilizzate e divulgate solo nei limiti consentiti dalla stessa.
    • Incidente di sicurezza. Un incidente di sicurezza delle informazioni è costituito da uno o più eventi indesiderati o imprevisti che potrebbero compromettere la sicurezza di tali dati e indebolire o mettere a repentaglio le operazioni aziendali.

    Modifiche alla presente Procedura

    Questa Procedura potrà essere modificata di volta in volta, conformemente con i requisiti della legge applicabile. Ogni volta che verrà modificata in maniera sostanziale, sulla pagina Web dell’azienda dedicata alla privacy (https://www.organon.com/privacy) verrà pubblicata una nota per la durata di sessanta (60) giorni.

    בחברת Organon, המשימה שלנו לספק פתרונות בריאות יצירתיים המאפשרים לאנשים לחיות את החיים בצורה הטובה ביותר משתרעת על כיבוד הפרטיות של אנשים ועל ההגנה על מידע אישי.

    תאריך סקירה: 01 בפברואר 2021
    תקף החל מתאריך: 01 ביוני 2021

    אנו שואפים לנהל את העסקים שלנו בהתאם לעקרונות הפרטיות שלנו, משום שאנו מאמינים כי הם ממחישים את מחויבותנו הבלתי מתפשרת לפרקטיקות עיבוד נתונים אתיות ואחראיות. אנו מודעים לכך שחדשנות וטכנולוגיה חדשה גורמות לשינוי מתמיד ולכן אנו שואפים להתאים במהירות את האופן שבו אנו מיישמים את עקרונות הפרטיות שלנו בתגובה לאותם השינויים.

    מדיניות זו מגדירה את הסטנדרטים הבינלאומיים שלנו לניהול והגנה על מידע אישי כאשר הוא חוצה גבולות של מדינות על ידי או מטעמה של החברה שלנו, ללא קשר למדינה שממנה הגיע המידע האישי או שאליה הוא עשוי להיות מועבר. מדיניות זו מתארת את התחייבויות הליבה שלנו, המאפשרות לנו לקבל את ההסכמה של כללי הפרטיות חוצי-הגבולות של APEC, חלה על הפעילות של החברה בכל מדינה, כולל על העברות המידע הנדרשות לביצוע פעילויות אלה. מדיניות זו חלה גם על כל מי שאודותיו אנו מעבדים מידע, לרבות, על אנשי מקצועות הבריאות ולקוחות נוספים; על עובדינו לשעבר, בהווה ובעתיד והתלויים בהם; על מטופלים; מטפלים; חוקרים ומשתתפים במחקרים; חברי ועדות האתיקה והוועדות המדעיות; שותפים עסקיים; משקיעים ובעלי מניות; נציגי ממשל ובעלי עניין אחרים.

    כל עובדי החברה והמנהלים הבכירים שותפים לאחריות הליבה לגבי פרטיות שעליהם לקיים.

    אנו מכירים בכך שטעויות שאינן מכוונות וטעויות הנובעות משיקול דעת מוטעה בנוגע להגנה על מידע אודות אנשים יכולות לסכן פוטנציאלית אתהפרטיות של האנשים הללו, לצד סיכוני מוניטין וסיכונים תפעוליים, פיננסיים, וסיכון של אי-ציות לדין לחברה. אנו מספקים הדרכה מתאימה באשר למדיניות זו לעובדים ואנשי צוות אחרים בעלי גישה קבועה או שוטפת למידע אישי, המעורבים באיסוף מידע או מסייעים בפיתוח כלים המשמשים לעיבוד מידע אישי. כל עובד של החברה שלנו ואחרים המעבדים מידע על אנשים עבור החברה שלנו, נושאים באחריות להבנת ולקיום המחויבויות שלהם על פי מדיניות זו ועל פי הדין.

    ערכי הפרטיות והסטנדרטים שלנו

    אנו שומרים על ערכי הפרטיות שלנו בכל דבר שאנו עושים. ארבעת ערכי הפרטיות שלנו הם:

    כבוד

    אמון

    מניעת נזק

    ציות לדין

    אנו מכירים בכך שלעתים קרובות אמונות בנוגע לפרטיות קשורים למהות שלנו ואופן השקפתנו על העולם ולדרך בה אנו מגדירים את עצמנו, לכן אנו שואפים לכבד את השקפות העולם ותחומי העניין של יחידים וקהילות, ולהיות הוגנים ושקופים בנוגע לאופן שבו אנו משתמשים וחולקים מידע לגביהם.ידוע לנו כי אמון הוא גורם חיוני להצלחה שלנו, לכן אנו שואפים לבנות ולשמר את האמון של הלקוחות, העובדים, הנבדקים במחקרים שלנו ובעלי עניין נוספים, באופן שבו אנו מכבדים פרטיות ומגנים על מידע אודות אנשים.אנו מבינים כי שימוש לרעה במידע אודות אנשים עלול לגרום להם לנזקים מוחשיים ובלתי מוחשיים, ולכן אנו מנסים למנוע סיכון לפגיעה בבטיחות פיזית, פגיעה כספית, פגיעה במוניטין, או כל פגיעה אחרת בפרטיות.

    למדנו כי חוקים ותקנות אינם תמיד עומדים בקצב השינויים הטכנולוגיים, זרימת הנתונים, ובשינויים הנלווים בסיכוני הפרטיות והצפיות, לכן אנו שואפים לציית הן ברוח והן בכתב לחוקי ותקנות הגנת הפרטיות ואבטחת המידע, באופן המביא לעקביות ויעילות תפעולית של פעולותינו העסקיות הבינלאומיות.

    1. אנו מטמיעים את סטנדרט הפרטיות שלנו בפעילויות, תהליכים, טכנולוגיות והתקשרויות עם צדדים שלישיים שעושים שימוש במידע אישי. אנו משלבים אמצעי בקרת פרטיות  בתהליכים והטכנולוגיות שלנו, שעולים בקנה אחד עם ערכי הפרטיות והסטנדרטים שלנו ועם הדין. שמונה (8) עקרונות הפרטיות שלנו המפורטים להלן מתמצתים את סטנדרט הפרטיות ודרישות הבסיס שלנו לתהליכים ולפעילויות ואת הטכנולוגיות התומכות בהם ברמה גבוהה.

    עיקרון הפרטיות

    מחויבויות הליבה שלנו

    1. נחיצות – לפני איסוף, שימוש או שיתוף מידע אישי, אנו מגדירים ומתעדים את המטרות העסקיות הספציפיות והלגיטימיות עבורן המידע נחוץ.
    • אנו קובעים איזה מידע אישי נדרש, ולמשך כמה זמן, לצורך המטרות העסקיות המוגדרות ובהתאם לדרישות הדין. אנו מתעדים את ההחלטות שלנו.
    • אנו לא אוספים, משתמשים או משתפים מידע אישי מעבר לנדרש, או שומרים אותו באופן שניתן לזיהוי מעבר לנדרש עבור המטרות העסקיות המוגדרות ובהתאם לדרישות הדין.
    • אנו מבצעים אנונימיזציה למידע האישי או מסירים פרטים מזהים מהמידע האישי כאשר צרכים עסקיים דורשים כי נתונים על פעילות או תהליך המערבים מידע אישי יישמרו לתקופה ארוכה יותר.
    • אנו מבטיחים שדרישות הנחיצות הללו משולבות בכל טכנולוגיה תומכת וכי הן מועברות לצדדים שלישיים התומכים בפעילות או בתהליך.
    2. הוגנות – אנו מעבדים מידע אישי בדרכים הוגנות כלפי מושאי המידע
    • אנו קובעים האם האיסוף, השימוש או כל אופן עיבוד אחר של המידע האישי מהווים סיכון צפוי או חמור במידה סבירה לנזק מוחשי או בלתי מוחשי לאנשים בהתאם לערך הפרטיות שלנו של מניעת נזק.
    • במידה ואופי המידע, סוג האנשים, או הפעילות מהווים סיכון צפוי ו/או חמור במידה סבירה לנזק מוחשי או בלתי מוחשי לאנשים, אנו נוודא כי על סיכון הפגיעה גוברת התועלת לאנשים הללו או למטרתנו לשפר ולהציל חיים, וכי הסיכונים מופחתים על ידי צעדים, אמצעי הגנה ומנגנונים שיישמנו.
    • כאשר נראה כי הסיכון עולה על התועלת עבור יחידים, אנו מיישמים את אמצעי האבטחה והזהירות הרלוונטיים ביותר, מודיעים ליחידים שאנו עושים זאת, ומתייעצים עם רשות רגולטורית מוסמכת, כנדרש.
    • אנו מעבדים מידע רגיש אך ורק בהסכמה מפורשת של אנשים, כפי שנדרש או הותר באופן מפורש על ידי הדין.
    • כאשר נראה כי הסיכון עולה על התועלת עבור יחידים, אנו מתעדים את ניתוח הסיכונים ומיישמים אמצעי הגנה כדי לצמצם את הסיכון ככל הניתן.
    3. שקיפות – אנו מעבדים מידע אישי בדרכים שקופות או למטרות
    שקופות באופן מיידי לאנשים שאליהם המידע קשור.
    • כל האנשים שמידע אישי אודותיהם מעובד על פי מדיניות זו זכאים לקבל עותק ממדיניות זו. אנו נדאג כי עותק של מדיניות זו יהיה זמינים באופן מקוון בכתובת https://www.organon.com/privacy, ונספק עותקים אלקטרונים ו/או עותקי נייר של מדיניות זו על פי בקשה שתופנה לכתובת המפורטת להלן.
    • כאשר מידע אישי נאסף ישירות מאנשים, אנו מודיעים להם, טרם איסוף המידע באמצעות הודעת פרטיות נגישה, בולטת לעין, ברורה ומובנת, על (1) ישות או ישויות האחראיות על העיבוד; (2) דרכי ההתקשרות עם ממונה הפרטיות הראשי (CPO) ו/או ממונה הפרטיות המקומי/האזורי; (3) איזה מידע ייאסף; (4) המטרה שלשמה יעשה שימוש במידע; (5) הבסיס המשפטי לעיבוד הנתונים; (6) עם מי המידע ישותף, לרבות כל דרישה לגילוי מידע אישי בתגובה לבקשות חוקיות ע”י רשויות ממשלתיות; (7) האם וכיצד אנו נעביר את המידע האישי למדינות אחרות, לרבות זיהוי המדינות הרלוונטיות כאשר הדבר אפשרי; (8) כמה זמן המידע יישמר, או מה הם הקריטריונים שלפיהם אנו נקבל החלטה זו; (9) איך האנשים יכולים לשאול שאלה, להעלות חשש או לממש זכויות בנוגע למידע האישי שלהם; (10) כיצד הם יכולים לחזור בהם מהסכמה שנתנו; (11) זכותם להגיש תלונה לרשות המפקחת; (12) כל חובה למסור מידע אישי וההשלכות של ההימנעות מלפעול לפיה; (13) כל קבלת החלטות באופן אוטומטי, לרבות אפיון, שעשוי להתבצע; וכן (14) קישור למדיניות זו, כאשר הדבר אפשרי ומתאים. הודעות הפרטיות המקיפות שלנו עבור רבים מבעלי העניין שלנו זמינות באופן מקוון בכתובת https://www.organon.com/privacy/contact/
    • כאשר מידע אישי נאסף באמצעות תצפיות, חיישנים או אמצעים עקיפים אחרים מעין אלה, אנו מבטיחים שקיפות לאותו אדם באמצעות אמצעים אחרים, כמו הצגת ההודעה או הדפסתה על גבי המכשיר או החומרים המשויכים למכשיר שבאמצעותו יושג המידע., זה עלול להיות בלתי אפשרי למסור הודעת פרטיות ישירות לנושא המידע בזמן שהמידע נאסף. במקרים
    • כאשר מידע אישי נאסף דרך אתר אינטרנט, אפליקציית סלולר, או יישום או משאב מקוון אחר, אנו נחיל סטנדרטים ספציפיים לאותה הטכנולוגיה כקבוע במדיניות הפרטיות באינטרנט שלנו ובמדיניות המעקב המקוון הבינלאומית שלנו, כדי להבטיח עמידה בדרישות השקיפות על פי מדיניות זו.
    • כאשר מידע אישי נאסף ממקורות אחרים ולא באופן ספציפי בהוראת החברה שלנו, אנו מוודאים בכתב, טרם קבלת המידע, כי ספק המידע הודיע לאנשים על הדרכים שבהן החברה שלנו מתכוונת להשתמש במידע ובדבר מטרות השימוש. אם לא ניתן להשיג אישור בכתב מספק המידע, אנו נשתמש רק במידע שעבר אנונימיזציה או שהוסרו הפרטים המזהים שלו, לחלופין, לפני שנשתמש במידע אישי אנו נודיע לאנשים המושפעים מכך באמצעות הודעת פרטיות או אמצעים דומים על (1) גורמים או גורמים בחברה שלנו האחראים לעיבוד המידע, (2) פרטי יצירת הקשר עם ממונה הפרטיות הראשי שלנו ו/או עם ממונה הגנת המידע האזורי/המקומי, (3) באיזה מידע מתכננת החברה שלנו להשתמש, (4) המטרות עבורן מתכננת החברה שלנו להשתמש במידע, (5) הבסיס המשפטי לעיבוד על ידינו, (6) עם מי החברה שלנו תשתף את המידע, (7) אם וכיצד נעביר את המידע האישי למדינות אחרות, כולל זיהוי המדינות הרלוונטיות כאשר הדבר סביר, (8) משך הזמן שבו החברה שלנו מתכננת לשמור את המידע או הקריטריונים על פיהם אנו קובעים זאת, (9) כיצד הם יכולים לשאול שאלה, להעלות חשש או למצות את זכויותיהם הנוגעים למידע האישי שלהם, (10) כיצד הם יכולים לבטל כל הסכמה שסיפקו בעבר, (11) הזכות שלהם להגיש תלונה לרשות מפקחת, (12) מחויבות כלשהי לספק מידע אישי וההשלכות אם לא יעשו זאת, (13) כל קבלת החלטות אוטומטית, כולל אפיון, אשר ייתכן שתתבצע, וכן (14) קישור למדיניות זו, היכן שרלוונטי והולם.
    • אנו מבטיחים כי מנגנוני השקיפות הנחוצים, כולל, כאשר הדבר אפשרי, מנגנונים שיטפלו בבקשות של אנשים בעניין זכויותיהם, ישולבו בתוך טכנולוגיות תומכות, וכי צדדים שלישיים המסייעים בקיום הפעילות או התהליכים  יעבדו מידע על אנשים רק באופן התואם את האמור בהודעת הפרטיות.
    • כאשר אנו מבקשים הסכמה, אנו משיגים ומתעדים ראיות למתן ההסכמה בטכנולוגיות התומכות שלנו.
    4. הגבלת מטרה –אנו נשתמש במידע האישי רק בהתאם לעקרונות הנחיצות והשקיפות.
    • אם נוספת מטרה עסקית מקובלת חדשה למידע אישי שנאסף בעבר, אנו משיגים את הסכמתו של האדם שאודותיו המידע לשימוש החדש במידע האישי, או מוודאים שהמטרה העסקית החדשה תואמת, את מטרות המתוארות בהודעת הפרטיות שמסרנו בעבר לאותו אדם וכי היא דומה להן באופן מהותי. רמת התאימות תיקבע בהתבסס על (1) כל קשר בין המטרה המקורית לבין המטרה המוצעת החדשה, (2) ציפיותיו הסבירות של האדם, (3) טיבו של המידע האישי, (4) ההשלכות של עיבוד המידע למטרה החדשה עבור האדם, ו (5) מנגנוני ההגנה שהתקנו.
    • אנו לא מחילים עיקרון זה על מידע שבוצעה בו אנונימיזציה או הסרת פרטים מזהים, או כאשר אנו משתמשים במידע אישי אך ורק למטרת מחקר היסטורי ומדעי, כמו גם כאשר (1) ועדה אתית, או כל מבקר מוסמך, קבעו שהסיכון של שימוש כזה לפרטיות ולזכויות אחרות של אנשים הוא בגדר הסביר, (2) התקנו מנגנוני הגנה מתאימים על מנת להבטיח צמצום המידע על ידי שימוש במידע ה מינימלי למטרה הנדרשת בלבד, (3) המידע האישי עובר פסאודונימיזציה (pseudonymization), ובנוסף (4) אנו מצייתים לכל דין  אחר שחל.
    • אנו מוודאים שהגבלת מטרות השימוש מוטמעות לכל טכנולוגיה תומכת, לרבות יכולות דיווח ושיתוף נתונים.
    5. איכות מידע – אנו שואפים לשמור על מידע אישי מדויק, שלם ועדכני, ובהתאם למטרה שלשמה מתוכנן לעשות בו שימוש.
    • אנו מוודאים שמנגנוני ביקורת מידע תקופתיים יוטמעו בטכנולוגיות התומכות כדי לאמת את דיוק הנתונים מול המקור ומול מערכות של שיתוף נתונים.
    • אנו מוודאים שמידע רגיש אומת כמדויק ועדכני, לפני שימוש, הערכה, ניתוח, דיווח או כל עיבוד אחר שמקים סיכון לחוסר הוגנות כלפי אנשים אם נעשה שימוש בנתונים לא מדויקים או לא מעודכנים.
    • כל אימת שמבוצעים שינויים במידע האישי על ידי החברה או צדדים שלישיים שעובדים עבור החברה, אנו מוודאים כי השינויים הללו מדווחים לאנשים הרלוונטיים במועד מוקדם ככל הניתן.
    6. אבטחה – אנו מיישמים מנגנוני הגנה על מנת להגן על מידע אישי ומידע רגיש, מפני אובדן, שימוש, לרעה, ומפני גישה, גילוי, שינוי
    או השמדה לא מורשים.
    • יישמנו תוכנית מקיפה לאבטחת מידע ואנו מיישמים מנגנוני אבטחה ואמצעי הגנה שמבוססים על הסוג ועל רמת הרגישות של המידע ורמות הסיכון של הפעילות, תוך התחשבות בטכנולוגיות העדכניות, הפרקטיקות המובילות ועלות יישומן. מדיניות האבטחה התפקודית שלנו כוללת, אבל לא מוגבלת לסטנדרטים של המשכיות עסקית ותכנית התאוששות מאסון, הצפנה, ניהול זיהוי וגישה, סיווג מידע, ניהול תקריות אבטחת מידע, שליטה על גישה לרשת, אבטחה פיזית וניהול סיכונים.
    7. העברת מידע – אנו אחראיים לשמירה על הגנת הפרטיות של מידע אישי כאשר הוא מועבר מארגונים אחרים או אליהם או מעבר לגבולות המדינה. (1) אנו מעבירים מידע אישי בתוך החברה שלנו אם מתקיימות הדרישות הבאות:
    (א) השיתוף נחוץ כדי לממש את המטרה שלשמה המידע האישי נאסף מלכתחילה או לאינטרס לגיטימי אחר של החברה; ו-(ב) המטרה שלשמה יש לשתף את המידע, ועצם שיתופו, תואמים את הודעת הפרטיות שסיפקנו בעבר לנושא המידע בזמן שהמידע האישי נאסף לראשונה והוא נתן את הסכמתו ככל שהיה בה צורך; (ג) כאשר אחת מחברות הבת שלנו פועלת אך ורק מטעמה של חברת בת אחרת של החברה שלנו בעיבוד המידע האישי; (ד) כאשר הדבר נדרש על פי דין, חברות הבת הללו יוציאו אל הפועל הסכם פנימי לעיבוד מידע בהתאם לעקרון 8 של מדיניות זו, או; (ה) היכן שתשתית טכנולוגיות המידע דורשת העברה מעין זו, כל עוד ננקטים כל אמצעי האבטחה והאמצעים הארגוניים הנחוצים כדי להבטיח שהעברה זו תבוצע תוך ציות לדרישות.
    (2) אנו מעבירים מידע אישי לצדדים שלישיים, או מתירים להם לעבד מידע אישי, אך ורק אם הדרישות הבאות מתקיימות, ואנו מאשרים שהצדדים השלישיים עונים על הדרישות הללו:
    • אם התפקיד של הצד השלישי הוא לעבד מידע אישי עבור או מטעמה של החברה שלנו, לפני אספקת מידע אישי לצד השלישי או לפני התקשרות עם הצד השלישי, אנו: (1) עורכים בדיקת נאותות על פרטיות כדי להעריך את פרקטיקות הפרטיות והסיכונים הקשורים לצד שלישי מסוג זה,
      (2) מקבלים הבטחות חוזיות מהצדדים השלישיים הללו לכך שהם (i) יעבדו את המידע האישי אך ורק בהתאם להנחיות החברה, ובהתאם למדיניות זו, לרבות לכל שמונה (8) עקרונות הפרטיות ולשאר הסטנדרטים שנקבעו במדיניות זו ולדין; (ii) יודיעו לנו במהירות על כל תקרית פרטיות, כולל העדר יכולת כלשהו לעמוד בסטנדרטים שנקבעו במדיניות זו ובדין, או תקרית אבטחה, וישתפו פעולה כדי לתקן במהירות כל תקרית וכדי לתת מענה לזכויות האישיות המפורטות בסעיף 2 שלהלן; (iii) לא יתקשרו עם חברה אחרת לצורך עיבוד מידע האישי ללא אישור בכתב מאיתנו ומבלי לחתום על הסכם שיכפה חובות הגנת פרטיות זהות בדבר הגנת מידע; (iv) ימחקו או ישיבו לנו כל מידע אישי באופן מאובטח לאחר שיסיימו לספק לנו שירותים או על פי בקשה או הנחיה שלנו; וכן (v) יאפשרו לחברה שלנו לבקר ולפקח על הפרקטיקות שלהם כדי לוודא ציות לדרישות הללו במשך הזמן שעיבוד המידע מתרחש. בנוסף, אם צד שלישי מעבד מידע אישי שמקורו במדינה או טריטוריה שבה יש חוק המגביל העברה של מידע אישי, אנו נוודא שהעברת המידע לצד השלישי תעמוד בדרישות של העברת מידע בין מדינות כמתואר בסעיף (3) להלן.
    • אם תפקידו של הצד השלישי הוא לספק מידע אישי לחברה שלנו, לפני קבלת המידע האישי, אנו נבטיח את התקיימות דרישות השקיפות הרלוונטיות לאיסוף מידע אישי ממקורות אחרים ולא במיוחד על פי הנחיות החברה שלנו, ואנו נקבל מצגים חוזיים מהצד השלישי שהוא אינו מפר כל חוק או זכויות של כל צד שלישי אחר, על-ידי מתן מידע אישי לחברה שלנו.
    • אם תפקיד הצד השלישי הוא לקבל מידע מהחברה שלנו כדי לעבד מידע שלא מתבצע בהנחית החברה שלנו, לפני אספקת המידע לצד השלישי, אנו מוודאים שנעשתה למידע אנונימיזציה או הסרת פרטים מזהים, ואנו מקבלים התחייבות בכתב מהצד השלישי שהוא ישתמש במידע אך ורק למטרות העסקיות הספציפיות המוגדרות בהסכם ובהתאם לדין, שלא ינסה להפוך את המידע לבר זיהוי.
    • אם ההעברה לצד שלישי נדרשת כדי להגן על אינטרס לגיטימי של הפרט או של החברה, אנו עשויים להעביר את המידע: (1) למטרת מניעת הונאה או כדי לאכוף או להגן על הזכויות והרכוש של החברה, (2) כדי להגן על הביטחון האישי של העובדים שלנו או של צדדים שלישיים הנמצאים בשטחנו, ו(3) כדי להגן על הנכסים שלנו על ידי נקיטה באמצעי אבטחה מתקנים אם יש לנו חשד סביר שהתרחשה פעילות בלתי חוקית או בלתי הולמת באופן חמור.
    • אם הצד השלישי הוא יעד לרכישה או לרכישת השליטה על ידי החברה שלנו, (1) לפני התקשרות בהסכם לרכישת הצד השלישי או לרכישת השליטה בצד השלישי, אנו מבצעים בדיקת נאותות לפרטיות על מנת להעריך את פרקטיקות הפרטיות ואת הסיכונים הקשורים לרכישה של הצד השלישי או לרכישת השליטה בצד השלישי, ו(2) אנו נתקשר בהסכם להעברת מידע שיפרט את התנאים לגילוי מידע אישי, כמו גם את המחויבויות של החברה שלנו ושל הצד השלישי.
    • אם המטרה של הצד השלישי היא לרכוש את כל או חלק מעסקי החברה שלנו, לפני שיתוף כל מידע אישי בהקשר למכירת/העברת חלק כלשהו מעסקי החברה, אנו (1) נתקשר בהסכם להעברת מידע שמפרט את התנאים שבכפוף להם ניתן לגלות מידע אישי לרוכש, לרבות מגבלות מתאימות בנוגע לשימושים המותרים במידע האישי וציות לסטנדרטים שנקבעו במדיניות זו ולדין, (2) נצמצם שיתוף של רכיבי מידע רק לאלו הנחוצים (3) נשיג הסכמה לשיתוף המידע האישי או הרגיש בהתאם לעקרונות השקיפות והגבלת המטרות של מדיניות זו וכן (4) נדרוש מהצד השלישי להודיע לחברה שלנו ללא דיחוי על כל תקרית פרטיות, לרבות היעדר יכולת לעמוד בסטנדרטים שנקבעו במדיניות זו ובדין, ולשתף פעולה כדי לתקן ללא דיחוי כל תקרית מוכחת או להפסיק לעבד את המידע האישי הרלוונטי.
    (3) אנו מעבירים מידע אישי בין גבולות של מדינות, לרבות לארה”ב (USA), שם ממוקם מטה החברה שלנו, על ידי החברה או מטעמה, בהתאם למדיניות זו. אנו נחיל מדיניות זו על העברות מידע אישי מכל מדינה או טריטוריה עם דין שמגביל העברת מידע אישי, בנוסף לציות לכל דרישה המוטלת על ידי אותו דין (לרבות שימוש בכל מנגנון הנדרש לצורך העברות חוצות גבולות למדינות שאינן מחזיקות באותן אמות מידה להגנת נתונים כמו אלה שבשימוש במדינת המקור).
    8. אפשרי מבחינה משפטית – אנו מעבדים מידע אישי רק אם התקיימו דרישות חוק.
    • בעוד ששבעת (7) עקרונות הפרטיות האחרים, כמו גם הדרישות של הזכויות האישיות המפורטות בהמשך, נועדו להבטיח שתתקיים עמידה בדרישות של רוב חוקי הגנת הפרטיות שחלים על העסקים שלנו ברחבי העולם, במדינות מסוימות, אנו נדרשים לעמוד בדרישות נוספות, לרבות, הדרישות שלהלן:
      1. כאשר נדרש, אנו נשיג טפסי הסכמה ספציפיים בנוגע לעיבוד מסוים של מידע אישי, לרבות אישור לעיבוד מידע ממועצות עובדים ואירגוני עובדים אחרים;
      2. כאשר נדרש, אנו נרשום עיבוד של מידע אישי ברשות הרגולטורית להגנה על פרטיות או מידע, או נבקש את אישורה;
      3. כאשר נדרש, אנו נספק זכויות רחבות יותר (לדוגמא, זכויות גישה ותיקון) מעבר למה שנקבע במדיניות זו;
      4. כאשר נדרש, נגביל עוד יותר את תקופות שמירת הנתונים של מידע אישי; ו
      5. כאשר נדרש, אנו נתקשר בהסכמים המכילים סעיפים חוזיים ספציפיים, לרבות הסכמים להעברת מידע בין-גבולות לצדדים שלישיים.
      6. כאשר נדרש, אנו נגלה מידע אישי בתגובה לבקשה מכוח הדין של רשות ציבורית, לרבות כדי לעמוד בדרישות אכיפת הדין או של ביטחון לאומי.
    במקרה של סתירה בין מדיניות זו לבין הדין, יחול הסטנדרט שיספק יותר הגנה לפרט.
    1. אנו נטפל במהירות בבקשות הנוגעות לזכויות גישה, תיקון, שינוי או מחיקת מידע אישי, להתנגדות לעיבוד מידע אישי אודותיהם, ולמימוש זכויות אחרות לגבי המידע האישי.
      1. גישה, תיקון, מחיקה וזכויות אחרות – בהתאם לדין ברוב המדינות שאנו פועלים בהן, לאנשים קיימת הזכות לגשת למידע אישי אודותיהם ולשנות, לתקן או לבקש מחיקה של מידע אישי שאינו מדויק, אינו שלם או אינו מעודכן. אנו נכבד כל בקשה לגשת, לתקן או למחוק מידע אישי מכל אדם בהתאם לסעיף 3(א) להלן, ובמידה המותרת על פיהחוק החל. אם בקשה לגישה, תיקון או מחיקה כפופה לדין שמספק הגנה גדולה יותר לפרט, אנו נוודא כי הדרישות הנוספות של הדין יקוימו.
        במדינות מסוימות, אנשים עשויים להיות זכאים לזכויות אחרות ביחס למידע אישי אודותיהם, כמו הזכות להגביל את עיבוד המידע, להתנגד לעיבודו (ראה גם סעיף 2(ב) להלן) ולבקש כי המידע שלהם יועבר לספק שירותים אחר. אנו נכבד את מימוש הזכויות בהתאם לדין החל. זכויות מסוימות, כמו הזכות למחיקה, עשויות להיות מוגבלות על ידי דרישות רגולטוריות או משפטיות אחרות, או הצורך לציית לחובות דיווח מקומיות בנושאי ציות. במקרים כאלה, נודיע לך על מגבלות אלה, בהתאם לנסיבות המקרה.
      2. בחירה – בהתאם לערכי הפרטיות שלנו של “כבוד” ו”אמון,” אנו מכבדים כל בקשה של אדם להתנגד לעיבוד מידע אישי, לרבות חזרה מהסכמה שניתנה בעבר להשתתף בתוכניות או בפעילויות, עיבוד מידע אישי אודותיו לצרכי שיווק ישיר, תקשורת המיועדת אליו והמבוססת על המידע האישי אודותיו, וכל הערכה או החלטה לגביהם, שיש לה פוטנציאל להשפיע באופן משמעותי עליהם, שנעשו באמצעות שימוש באוטומציה או באלגוריתמים.
        1. למעט כאשר הדבר אסור על פי דין, אנו רשאים למנוע את הבחירות האמורות כאשר בקשה מסוימת תפגע ביכולת החברה : (1) לציית לדין או לחובה אתית, לרבות כאשר אנו נדרשים לחשוף מידע אישי בתגובה לבקשה מכוח הדין של רשות ציבורית, לרבות עמידה בדרישות ביטחון לאומי או אכיפת הדין (2) לחקור, לתבוע או להתגונן מפני תביעה, ו(3) לערוך חוזים, לנהל קשרי גומלין, או לערוך פעילויות עסקיות מותרות אחרות העולות בקנה אחד עם עקרונות השקיפות והגבלת המטרה, כאשר אלה מתבססים על המידע אודות האנשים המדוברים. תוך חמישה עשר (15) ימי עסקים מקבלת החלטה לדחות בקשה בהתאם למדיניות זו, אנו נתעד ונמסור את ההחלטה למבקש, אלא אם כן חלה עלינו דרישה אחרת על פי החוק החל.
    2. אנו נגיב במהירות ונעביר לגורמים הדרושים כל שאלה הקשורה לפרטיות, כמו גם כל תלונה, חשש, וכל תקרית פרטיות או תקרית אבטחה פוטנציאלית.
      1. כל אדם שאנו מעבדים מידע אישי אודותיו במסגרת מדיניות זו רשאי להעלות שאלה, להגיש תלונה או להעביר את חששותיו לחברה שלנו בכל עת, כולל בקשה לקבלת רשימה של כל חברות הבת שלנו הכפופות למדיניות זו. אנו מצפים כי העובדים שלנו, ואחרים שעובדים מטעם החברה שלנו, ימסרו במהירות הודעה אם יש להם כל סיבה להאמין כי הוראות של דין רלוונטי עלולות למנוע מהם לציית למדיניות זו. כל שאלה, תלונה או דאגה המועלית על ידי אדם, או כל הודעה של עובד או כל אדם אחר שעובד מטעם החברה שלנו, יש להפנות למחלקת הפרטיות הבינלאומית
        1. בדואר אלקטרוני עבור עובדים השוהים באזור הכלכלי האירופי (EEA), לכתובת: euprivacydpo@organon.com
        2. כל אדם אחר, בדואר אלקטרוני לכתובת: privacyoffice@organon.com
      2. בדואר: Chief Privacy Officer, Organon & Co., 30 Hudson Street, Jersey City, NJ, 07302. עובדים וקבלנים נדרשים להודיע ללא דיחוי למחלקת הפרטיות הבינלאומית או לממונה על פרקטיקות עסקיות המיועד באזור העסקים שלהם, על כל שאלה, תלונה או דאגה הקשורות לפרקטיקות הפרטיות של החברה.
      3. מחלקת הפרטיות הבינלאומית תבדוק ותחקור, או יעבוד עם לשכת האתיקה, הלשכה המשפטית ועם עמיתי ציות כדי לחקור את כל השאלות, התלונות או הדאגות הקשורות לפרקטיקות הפרטיות של החברה, בין אם התקבלו ישירות מעובדים או מאנשים אחרים, או דרך צדדים שלישיים, לרבות מרשויות רגולטוריות, ומרשויות ממשלתיות אחרות. אנו נשיב לפונה שהעלה את השאלה, התלונה או החששות תוך שלושים (30) ימים קלנדרים, למעט אם הדין הצד השלישי דורש תגובה בפרק זמן קצר יותר, או אם הנסיבות, כגון חקירה ממשלתית שמתרחשת באותה עת, דורשות פרק זמן ארוך יותר, ובמקרה זה, האדם או הצד השלישי שהעלה את השאלה יעודכן בכתב בהקדם האפשרי, על טיבן הכללי של הנסיבות המביאות לעיכוב.
      4. מחלקת הפרטיות הבינלאומית, בתאום עם המחלקה המשפטית ועם עמיתי ציות, ישתפו פעולה בתגובה לכל שאלה, בדיקה או חקירה של רשות פרטיות רגולטורית.
      5. כל אדם המתגורר ב-EEA או אנשים שהמידע האישי אודותיהם כפוף לדיני הגנת המידע של ה-EEA ומועבר מחוץ ל-EEA, ואשר המידע אודותיהם מעובד בהתאם למדיניות זו, זכאים, במקרים שבהם העברת המידע האישי שלהם מתבצעת על פי סעיפים חוזיים סטנדרטיים של האיחוד האירופי, בכל עת, לאכוף את הדרישות של הסעיפים החוזיים הסטנדרטיים כמוטבי צד שלישי, לרבות הזכות לפתוח בהליך משפטי כדי לבקש סעדים בגין הפרה של זכויותיו על פי הסעיפים החוזיים הסטנדרטיים ולקבל פיצוי בגין הנזקים שנבעו מהפרה זו. אנשים המתגוררים ב-EEA או אנשים שהמידע האישי אודותיהם כפוף לדיני הגנת המידע של ה-EEA והמידע מועבר מחוץ ל-EEA (כולל לארה”ב), רשאים להגיש תביעה או להגיש תלונה על פי הסעיפים החוזיים הסטנדרטיים, נגד החברה, אל רשויות הגנת המידע המוסמכות (ופרט, במדינה החברה שבה הוא יושב, שבה הוא עובד או שבה אירעה ההפרה לכאורה). ניתן למצוא את הפרטים ליצירת קשר עם רשויות הגנת המידע כאן: חברים | הוועד האירופי להגנת מידע (europa.eu).
      6. החברה שלנו תשיב לפונה שהעלה את השאלה, התלונה או החשש בפני החברה שלנו בפרק הזמן שהוקצה לכך בחוק החל, אלא אם הצד שלישי דורש תגובה בפרק זמן קצר יותר, או אם הנסיבות דורשות פרק זמן ארוך יותר – ובמקרה זה, האדם או הצד השלישי יקבל על כך הודעה בכתב.
    3. אנו נושאים באחריות להקפדה על הערכים והסטנדרטים שלנו בנושא פרטיות.
      1. חברת הבת של החברה שלנו, הנושאת באחריות לפעולה שגרמה לתקרית פרטיות או לתקרית אבטחה מוכחת, היא האחראית מבחינה כספית לכל תביעה לתשלום פיצויים או לקנס או עונש הנגזרים כתוצאה מתקרית הפרטיות או האבטחה.

    בתאום עם מחלקת הפרטיות הבינלאומית ועל פי הנחיותיו, ממונה הגנת המידע באירופה אחראי לוודא כי יינקטו הפעולות הנדרשות כדי לתת מענה לכל הפרה לכאורה של מדיניות זו על ידי חברות בנות של החברה מחוץ לאזור EEA, המשפיעה על אנשים המתגוררים ב-EEA או על אנשים שהמידע האישי אודותיהם כפוף לחוק הגנת המידע של ה-EEA ומועבר מחוץ ל-EEA.

    בקרה ופיקוח

    על-מנת לספק ביטחון לרגולטורים ולבעלי עניין אחרים בהיות החברה שלנו אחראית למחויבותה לפרקטיקות פרטיות אתיות ואחראיות, החברה מפעילה קבוצת ניהול רחבת היקף לפיקוח ובקרה, בראשות ממונה הפרטיות הראשי, עם מחלקת פרטיות בינלאומית (GPO) ייעודית, הכוללת בקרה של ועדת פרטיות והגנת מידע, ממונה על פרטיות המידע של האיחוד האירופי, ממונה על פרטיות מידע במדינות שבהן משרה זו נדרשת על פי דין או על ידי רשויות החוק המקומיות, וממונים על פרקטיקות עסקיות, הממונים לתפקידיהם על ידי המנהלים הבכירים ומשמשים כאנשי קשר בין מחלקת הפרטיות הבינלאומית לבין האזורים הארגוניים שבהם הם עובדים.

    מונחים שעליך להכיר

    • הפיכה לאנונימי. תיקון, קיצור, מחיקה, עיבוד או שינוי אחר של מידע אישי, המבטיח באופן בלתי הפיך כי שלא ניתן יהיה להשתמש בו כדי לזהות אדם ולאתר אותו או ליצור אִתו קשר, בין אם באמצעות שימוש במידע זה בלבד ובין אם תוך שילוב בין המידע לבין מידע אחר.
    • החברה. Organon & Co., יורשי זכויותיה, חברות הבת שלה וחטיבותיה ברחבי העולם, למעט יוזמות משותפות שהחברה היא צד בהן.
    • הסרת פרטים מזהים. הסרה של אמצעי זיהוי אישיים ישירים ועקיפים, בדרך כלל כאשר המידע המזהה המקורי נשמר בנפרד.
    • חוק. כל החוקים, הכללים, התקנות והנחיות בעלות תוקף חוקי בכל מדינה שבה החברה שלנו פועלת, או שבה מעובד מידע אישי על ידי החברה שלנו או מטעמה. האמור לעיל כולל כל מסגרת פרטיות במסגרתן החברה שלנו אושרה או הוסמכה, לרבות כללי הפרטיות חוציהגבולות (“CBPRs”) של הפורום לשיתוף פעולה כלכלי באזור אסיה והאוקיינוס השקט (“APEC”).
    • מידע אישי. כל מידע הנוגע לאדם מסוים, מזוהה או הניתן לזיהוי, ובכלל זה מידע המזהה אדם או שניתן לעשות בו שימוש לשם זיהוי או איתור אדם, למעקב אחריו או ליצירת קשר עמו. מידע אישי כולל מידע המאפשר זיהוי ישיר, כגון שם, מספר זיהוי, או הגדרת תפקיד ייחודית, ומידע המאפשר זיהוי עקיף, כגון תאריך לידה, מזהה ייחודי של מכשיר נייד/לביש, מספר טלפון וכן מידע מקודד, מזהים מקוונים כמו כתובות IP או כל פעילות אישית, התנהגות, או העדפה שניתנות לאיסוף לשם מתן שירות או אספקת מוצרים.
    • תקרית פרטיות. הפרה של מדיניות זו או של דיני הגנת פרטיות או אבטחת מידע, לרבות תקרית אבטחה. הקביעה האם תקרית אבטחה אירעה והאם יש להסלימה לדרגת פריצה למידע אישי תתבצע על ידי מחלקת הפרטיות הבינלאומית, ניהול סיכונים ואבטחה של טכנולוגיה עסקית (BTRM), והמחלקה המשפטית.
    • עיבוד. ביצוע כל פעולה או סדרת פעולות במידע על אנשים, באמצעים אוטומטיים או ידניים, לרבות איסוף, הקלטה, ארגון, אחסון, גישה, התאמה, תיקון, אחזור, התייעצות, שימוש, הערכה, ניתוח, דיווח, שיתוף, גילוי, הפצה, שידור, הפיכה לזמין, , שילוב, חסימה, מחיקה, הסרה או השמדה.
    • פריצה למידע אישי. פריצת אבטחה המובילה, שלא במתכוון או בניגוד לדין, להרס, אבדן, שינוי, גילוי או גישה לא מורשים למידע אישי, או המובילה את חברתנו למסקנה הסבירה שדבר מה מן האמורים לעיל התרחש. גישה למידע אישי על ידי החברה שלנו, או בשמה, ללא כוונה להפר מדיניות זו אינה מהווה פריצה למידע אישי, בתנאי שכל עיבוד של המידע האישי שאליו ניתנה גישה ייעשה אך ורק בהתאם למותר במדיניות זו.
    • תקרית אבטחה. תקרית אבטחת מידע מורכבת מאירוע אבטחת מידע בלתי-רצוי אחד או ממספר אירועים כאלה, העלולים לסכן את אבטחת המידע ולהחליש את התפקוד העסקי או לפגוע בו.
    • מידע רגיש. כל סוג של מידע על אנשים המגלם בתוכו סיכון לנזק פוטנציאלי לאנשים, כולל מידע המוגדר על פי דין כמידע רגיש, לרבות מידע הקשור לבריאות, גנטיקה, ביומטריה, גזע, מקור אתני, דת, דעות או אמונות פוליטיות או פילוסופיות, עבר פלילי, מידע על מיקום גאוגרפי מדויק, מספר חשבון בנק או מספר חשבון פיננסי אחר, מספרי זיהוי שהונפקו על ידי הממשלה, ילדים שהם קטינים, חיי מין, נטייה מינית, שיוך לאיגוד מקצועי, ביטוח, הטבות של המוסד לביטוח לאומי והטבות אחרות של מעסיק או מטעם הממשלה.
    • צד שלישי. כל ישות משפטית, התאגדות או אדם, שהחברה שלנו אינה הבעלים שלה, או שאין לחברה שלנו שליטה בה, או שאינה מועסקת על ידי החברה. אף שותפה של החברה לא תיחשב לצד שלישי.

    שינויים למדיניות זו

    מדיניות זו ניתנת לשינוי מעת לעת בהתאם לדרישות החוק הרלוונטיות. הודעה תפורסם בדף הפרטיות של החברה (https://www.organon.com/privacy) למשך שישים (60) ימים קלנדריים בכל פעם שמדיניות זו תשתנה באופן מהותי.