Місія компанії Organon полягає у створенні нових лікарських засобів і схем лікування для покращення якості життя людей і при цьому передбачає забезпечення конфіденційності та захисту персональних даних.

Дата перегляду: 1 лютого 2021 р.
Дата набрання чинності: 01 лютого 2021 р.

Ми прагнемо здійснювати діяльність відповідно до наших принципів забезпечення конфіденційності даних,оскільки так ми можемо продемонструвати, що ми завжди дотримуємося корпоративних стандартів ділової етики та принципів відповідальності за забезпечення належного захисту при обробці даних. Ми визнаємо, що інновації та нові технології призводять до постійних змін, тому ми прагнемо швидко адаптувати те, як ми застосуємо принципи збереження конфіденційності у відповідь на ці зміни.

У цій політиці визначені наші глобальні стандарти щодо захисту персональних даних і управління персональними даними під час транскордонної передачі, що здійснюються нашою Компанією або від її імені, незалежно від того, з якої країни надходять персональні дані або куди вони будуть передані. У ній описані наші основні зобов’язання, які підтверджують дотримання нами.

Системи правил АТЕС щодо конфіденційності даних під час транскордонної передачі. Вона стосується нашої діяльності в кожній країні, включаючи передачу даних, необхідну для здійснення цих видів діяльності. Ця політика також застосовується до всіх людей, чиї персональні дані ми обробляємо, включаючи фахівців з охорони здоров’я та інших клієнтів; майбутніх і колишніх працівників і їхніх утриманців; пацієнтів; опікунів; дослідників та учасників досліджень; членів науково-етичних комітетів; ділових партнерів; інвесторів і акціонерів; державних службовців; та інші зацікавлені сторони.

Усі співробітники та вищі керівники компанії мають основні обов’язки щодо конфіденційності, яких вони повинні дотримуватися.

Ми усвідомлюємо, що навіть ненавмисні помилки та неправильне судження, пов’язані із захистом інформації про людей, можуть створювати потенційні ризики порушення конфіденційності для фізичних осіб, а також репутаційні, операційні, фінансові та нормативно-правові ризики для нашої Компанії. Ми проводимо відповідне навчання з цієї політики для співробітників та інших осіб, які мають постійний або регулярний доступ до персональних даних, беруть участь у зборі даних або допомагають у розробці інструментів, що використовуються для обробки персональних даних. Кожен співробітник нашої Компанії та інші особи, які обробляють інформацію про людей від імені нашої Компанії, несуть відповідальність за розуміння та виконання своїх зобов’язань відповідно до цієї політики та застосовних законів.

Наші принципи та стандарти забезпечення конфіденційності

Ми дотримуємося прийнятих нашою компанією принципів забезпечення конфіденційності в усій своїй роботі. Наші чотири принципи забезпечення конфіденційності:

Повага

Довіра

Запобігання шкоди

Дотримання вимог

Ми усвідомлюємо, що конфіденційність часто стосується того, хто ми є, як ми дивимось на світ і як ми визначаємо себе, тому ми прагнемо поважати точки зору та інтереси людей і громад, а також чесно й прозоро використовувати інформацію про них і обмінюватися нею.

Ми знаємо, що довіра є життєво важливою для нашого успіху, тому ми прагнемо будувати та зберігати довіру наших клієнтів, співробітників, учасників досліджень та інших зацікавлених осіб, захищаючи конфіденційність їхніх даних та особисту інформацію.

Ми розуміємо, що неправильне використання інформації людей може призвести як до матеріальної, так і моральної шкоди для людей, тому ми прагнемо запобігти загрозам їхній фізичній безпеці, ризикам заподіяння їм фізичної, фінансової, репутаційної та іншої шкоди через порушення конфіденційності їхніх даних.

Ми дізналися, що закони й норми не завжди можуть враховувати швидку зміну технологій, потоків даних і відповідні зрушення в ризиках і очікуваннях щодо конфіденційності даних, тому ми прагнемо дотримуватися духу й букви законів і норм щодо конфіденційності та захисту даних у спосіб, який забезпечує узгодженість та ефективність нашої міжнародної діяльності.

  1. Ми включили наші стандарти забезпечення конфіденційності даних у види діяльності, процеси, технології та відносини з третіми особами, які використовують персональні дані. Ми застосовуємо засоби контролю конфіденційності у наших процесах і технологіях, що відповідають нашим принципам і стандартам забезпечення конфіденційності даних, а також чинному законодавству. Наведені нижче 8  (вісім) принципів забезпечення конфіденційності даних узагальнюють наші стандарти конфіденційності та основні вимоги до процесів, діяльності та технологій у загальних рисах.

    Принцип конфіденційності

    Наші основні зобов’язання

    1. Необхідність: перед збором, використанням чи обміном персональними даними ми визначаємо та документуємо конкретні, законні комерційні цілі, для яких вони необхідні.

    • Ми визначаємо, які персональні дані та протягом якого часу будуть потрібні для таких визначених комерційних цілей і для виконання вимог застосовного законодавства. Ми оформлюємо результати визначення документально.
    • Ми не збираємо, не використовуємо та не передаємо більше персональних даних, ніж це потрібно, і не зберігаємо їх у формі, що дозволяє ідентифікувати особу, довше, ніж це потрібно для таких визначених комерційних цілей і для виконання вимог застосовного законодавства.
    • Ми знеособлюємо або деідентифікуємо персональні дані, якщо є виробнича необхідність зберігати такі дані про діяльність або процес, в яких містяться персональні дані, протягом тривалого періоду часу.
    • Ми обов’язково включаємо ці зобов’язальні вимоги в усі забезпечувальні технології та повідомляємо про них третіх осіб, які підтримують діяльність або процес.

    2. Чесність: ми обробляємо персональні дані чесним способом щодо людей, чиї дані ми обробляємо.

    • Ми визначаємо, чи запропонований збір, використання чи інша обробка персональних даних створює достатньо високу ймовірність або суттєвий ризик завдання матеріальної чи моральної шкоди фізичним особам у відповідності до нашого принципу «Запобігання шкоди».
    • Якщо характер даних, типи осіб або діяльності створює достатньо високу ймовірність та (або) суттєвий ризик завдання матеріальної чи моральної шкоди фізичним особам, переконайтеся, що ризик шкоди є більшим за відповідну користь для цих осіб або нашої місії щодо збереження та покращення життя, а також пом’якшений за допомогою заходів, засобів і механізмів, які ми встановили.
    • Якщо ризик перевищує користь для фізичних осіб, ми вживаємо найбільш відповідних заходів безпеки та захисту, повідомляємо відповідних осіб про це і у встановленому порядку звертаємось за консультацією до компетентних органів державного регулювання.
    • Ми обробляємо конфіденційну інформацію виключно з явної згоди осіб, як це прямо вимагається чи явно дозволено згідно із застосовним законодавством.
    • Якщо ризик перевищує користь для фізичних осіб, ми документуємо аналіз ризиків і вживаємо заходи для зниження ризиків до якнайменшого рівня.

    3. Прозорість: ми обробляємо персональні дані в спосіб або для цілей, які є прозорими для людей, кого ці дані стосуються.

    • Усі особи, чиї персональні дані ми обробляємо відповідно до цієї політики, мають право отримати копію цієї політики. Ця політика доступна в Інтернеті за адресою www.organon.com/privacy. Ми надаватимемо електронні та (або) паперові копії цієї політики, якщо на адресу зазначеного нижче одержувача надійде відповідний запит.
    • У разі отримання персональних даних безпосередньо від фізичних осіб, перед тим, як збирати інформацію, повідомте їм за допомогою чіткого, помітного та легкодоступного повідомлення про конфіденційність або подібних заходів: 1) дані організації або організацій, відповідальних за обробку; 2) контактну інформацію Директора з питань конфіденційності даних і (або) регіонального чи місцевого керівника служби забезпечення конфіденційності даних; 3) яку інформацію ви збиратимете; 4) цілі, для яких вона буде використовуватися; 5) юридичні підстави для обробки даних; 6) кому вона надаватиметься, зокрема будь-які вимоги щодо розголошення персональних даних у відповідь на законні запити органів державної влади; 7) чи будемо і яким чином ми будемо передавати персональні дані до інших країн, включно зі встановленням відповідних країн, якщо це можливо; 8) скільки часу зберігатимуться дані, або критерії, за якими ми визначаємо цей час; 9) яким чином фізичні особи можуть задавати питання, виказувати занепокоєння або застосовувати права, пов’язані з їхніми персональними даними; 10) як вони можуть відкликати надану згоду; 11) що вони мають право подати скаргу до органу державного регулювання; 12) про будь-які зобов’язання надати персональні дані та наслідки їхнього невиконання; 13) про будь-який процес автоматичного ухвалення рішень, включно з профілюванням, що здійснюватиметься нами; 14) посилання на цю політику, якщо це можливо і доречно. Наші загальні повідомлення про конфіденційність для багатьох наших зацікавлених сторін доступні в Інтернеті за адресою: https://www.organon.com/privacy/contact/.
    • Якщо персональні дані отримують за допомогою спостереження, датчиків чи інших непрямих засобів, безпосереднє надання особі повідомлення про конфіденційність під час збирання інформації може бути неможливим. У таких випадках ми забезпечуємо прозорість за допомогою інших засобів, як-от розміщення або друк інформації на пристрої, або за допомогою матеріалів, пов’язаних із пристроєм, який отримує інформацію.
    • Якщо персональні дані збирають за допомогою вебсайту, мобільного додатка або іншої онлайнової програми чи ресурсу, ми застосовуємо стандарти залежно від застосовуваної технології, викладені в нашій Політиці конфіденційності даних в Інтернеті і Глобальній політиці відстеження за допомогою файлів cookie для виконання вимог про прозорість відповідно до цієї політики.
    • Якщо персональні дані збирають з інших джерел і не за спеціальною вказівкою нашої Компанії, то перед отриманням інформації ми повинні мати письмове підтвердження того, що постачальник інформації поінформував людей про способи та цілі, для яких наша Компанія має намір використати цю інформацію. У разі неможливості отримання письмового підтвердження від постачальника інформації ми використовуємо лише знеособлені або деідентифіковані дані або перед використанням персональних даних повідомляємо відповідним особам за допомогою повідомлення про конфіденційність або подібних заходів: 1) дані організації або організацій нашої Компанії, відповідальних за обробку інформації; 2) контактну інформацію Директора з питань конфіденційності даних і (або) регіонального чи місцевого керівника служби забезпечення захисту даних; 3) яку інформацію наша Компанія планує використовувати; 4) цілі, для яких наша компанія буде використовувати її; 5) юридичні підстави для обробки інформації нашою Компанією; 6) кому наша Компанія надаватиме її; 7) чи буде наша Компанія передавати персональні дані до інших країн, включно з визначенням відповідних країн, якщо це можливо; 8) скільки часу інформація зберігатиметься, або критерії, за якими наша Компанія визначає цей час; 9) як вони можуть задавати питання, виказувати занепокоєння або застосовувати права, пов’язані з їхніми персональними даними; 10) як вони можуть відкликати надану згоду; 11) що вони мають право подати скаргу до органу державного регулювання; 12) про будь-які зобов’язання надати персональні дані та наслідки їхнього невиконання; 13) про будь-який процес автоматичного ухвалення рішень, включно з профілюванням, що здійснюватиметься нашою Компанією; 14) посилання на цю політику, якщо це можливо і доречно.
    • Ми переконуємося в тому, що необхідні механізми забезпечення прозорості, включно з (якщо це можливо) механізмами, що підтримують запити щодо особистих прав, передбачені в будь-яких забезпечувальних технологіях і що сторонні особи, які підтримують діяльність чи процес, не обробляють інформацію про людей у такий спосіб, що суперечить тим способам, які були повідомлені особі за допомогою повідомлення про конфіденційність або інших перевірених засобів і які наша компанія та інші особи, що працюють на нашу компанію, використовуватимуть для обробки інформації.
    • Коли ми запитуємо згоду, ми отримуємо та документуємо підтвердження згоди засобами наших забезпечувальних технологій.

    4. Обмеження мети: ми використовуємо персональні дані лише відповідно до принципів необхідності та прозорості.

    • Якщо для персональних даних, що були зібрані раніше, визначені нові законні комерційні цілі, ми або отримуємо згоду особи на нове використання персональних даних, або ми забезпечуємо, щоб нова комерційна ціль була сумісною із цілями та суттєво подібною до цілей, описаних у повідомленні про конфіденційність або іншому механізмі забезпечення прозорості, який був наданий особі раніше. Ми визначаємо сумісність, виходячи зі: 1) зв’язків між початковими цілями та запропонованою новою метою; 2) розумних очікувань особи; 3) характеру персональних даних; 4) наслідків подальшої обробки для особи; 5) заходів безпеки, запроваджених нашою компанією.
    • Ми не застосовуємо цей принцип до знеособленої або деідентифікованої інформації або якщо ми використовуємо персональні дані виключно для архівних цілей і проведення наукових досліджень і якщо: 1) Комітет з етики або інший контрольний орган встановив, що ризик такого використання для конфіденційності та інших прав фізичних осіб є прийнятним; 2) ми запровадили відповідні заходи безпеки для забезпечення мінімізації даних; 3) персональні дані псевдонімізуються; та 4) дотримуються всі інші застосовні закони.
    • Ми обов’язково передбачаємо обмеження мети в усіх забезпечувальних технологіях, включаючи всі засоби повідомлення та подальший обмін даними.

    5. Якість даних: ми прагнемо забезпечувати точність, повноту та актуальність персональних даних залежно від передбаченого застосування.

    • Ми обов’язково передбачаємо наявність в усіх забезпечувальних технологіях механізмів періодичного перегляду даних для перевірки вірності даних у системах подальшої обробки відповідно до даних вихідних систем.
    • Ми переконуємося, що конфіденційна інформація є точною та актуальною, перед її використанням, оцінкою, аналізом, повідомленням чи іншим видом обробки, якщо використання неточних чи застарілих даних створює ризик необ’єктивності.
    • Якщо ми або треті особи, що працюють на нашу Компанію, вносять зміни до персональних даних, ми повідомляємо про зміни відповідних осіб в установлені строки, якщо це можливо.

    6. Безпека: ми захищаємо персональні дані та конфіденційну інформацію від втрати, неправильного використання та несанкціонованого доступу, розкриття, зміни чи знищення.

    • Ми впровадили комплексну програму захисту інформації, а також застосовуємо засоби контролю безпеки та запобіжні заходи відповідно до характеру та ступеня конфіденційності інформації та ступеня ризику від провадження діяльності, з урахуванням успішного досвіду застосування сучасних технологій і вартості впровадження. Наша політика функціональної безпеки включає стандарти забезпечення безперервності діяльності та аварійного відновлення, шифрування, управління ідентифікацією та доступом, класифікацію інформації, управління порушеннями інформаційної безпеки, контролю доступу до мережі, фізичної безпеки та управління ризиками.

    7. Передача даних: ми відповідаємо за підтримку засобів захисту конфіденційності персональних даних під час їхньої передачі до інших організацій або в інші країни.

    (1) Ми передаємо персональні дані в межах Компанії в описаних нижче випадках:

    (a) надання необхідне для досягнення цілей, для яких персональні дані збиралися із самого початку, або в інших законних інтересах Компанії; (b) мета та факт їхньої передачі відповідають повідомленню про конфіденційність або іншим механізмам забезпечення прозорості, які раніше були надані фізичній особі під час первинного збирання персональних даних, і фізична особа надала свою згоду, якщо це необхідно; (c) якщо одне дочірнє підприємство нашої Компанії діє виключно від імені інших дочірніх підприємств нашої Компанії під час обробки персональних даних; (d) якщо це вимагається згідно із законом, дочірні підприємства нашої Компанії укладають внутрішню угоду про обробку даних відповідно до принципу 8 цієї політики або; (e) якщо такої передачі вимагає ІТ-інфраструктура, за умови, що вжито всіх необхідних заходів безпеки та організаційних заходів для дотримання застосовних вимог під час передачі.

    (2) Ми передаємо персональні дані третім особам або дозволяємо третім особам обробляти персональні дані лише у випадку виконання зазначених нижче вимог. Ми підтверджуємо, що треті особи дотримуватимуться таких вимог:

    • Якщо роль третьої особи полягає в обробці персональних даних для або від імені нашої компанії, перш ніж надавати персональні дані третім особам або залучати їх, ми: 1) проводимо повну оцінку методів збереження конфіденційності та ризиків, пов’язаних із такою третьою особою; 2) отримуємо від цих третіх осіб договірні гарантії того, що вони (і) оброблятимуть персональні дані лише відповідно до інструкцій нашої Компанії та цієї політики, включно з усіма 8-ма (вісьмома) принципами конфіденційності та іншими стандартами, викладеними в цій політиці та відповідних законах; (іі) що вони негайно повідомлятимуть нашу Компанію про будь-яке порушення конфіденційності, включно з недотриманням стандартів, викладених у цій політиці та чинних законах, або порушенням безпеки, та співпрацюватимуть, аби негайно усунути будь-яке обґрунтоване порушення та відновити права осіб, викладені в розділі 2 нижче; (ііі) що вони не залучатимуть іншу компанію для обробки персональних даних без письмового дозволу та без укладання угоди, що передбачає еквівалентні зобов’язання щодо захисту даних; (іv) що вони надійно вилучатимуть або повертатимуть нашій Компанії усі персональні дані після завершення надання послуг нашій Компанії або за запитом або розпорядженням нашої Компанії; (v) що вони дозволятимуть нашій Компанії перевіряти й контролювати їхні методи для дотримання цих вимог протягом періоду обробки. Окрім того, якщо третя особа обробляє персональні дані, які походять із країни чи території, законодавство якої обмежує передачу персональних даних, ми гарантуємо, що передача третій особі відповідатиме вимогам щодо передачі даних, описаним у пункті 3) нижче.
    • Якщо роль третьої особи полягає в наданні персональних даних нашій Компанії, то перш ніж отримувати персональні дані від третьої особи, ми переконуємося в дотриманні вимоги щодо прозорості під час збирання персональних даних з інших джерел, а не за дорученням нашої Компанії, а також отримуємо від третьої особи договірні запевнення в тому, що вона не порушує жодного закону чи прав будь-якої третьої особи через надання персональних даних нашій компанії.
    • Якщо роль третьої особи полягає в тому, щоб отримувати персональні дані від нашої компанії для обробки не за дорученням нашої компанії, то перед наданням персональних даних третій особі ми переконуємося в тому, що інформація була знеособлена або деідентифікована, а також отримуємо письмові гарантії від третьої особи щодо того, що вона використовуватиме інформацію лише для конкретних комерційних цілей, визначених в угоді, та відповідно до початкового повідомлення та чинного законодавства і що вона не намагатиметься повторно ідентифікувати інформацію.
    • Якщо передача третій особі потрібна для захисту законних інтересів особи чи Компанії, ми можемо передавати інформацію: 1) з метою запобігання шахрайству або дотримання чи захисту прав і майна компанії; 2) для захисту особистої безпеки наших працівників або третіх осіб, що перебувають у нашій Компанії; 3) для захисту наших активів шляхом вжиття коригувальних заходів, якщо ми маємо підстави підозрювати, що відбулася неправомірна діяльність або серйозне порушення правил.
    • Якщо наша Компанія зацікавлена в придбанні третьої особи або контрольного пакету її акцій:, 1) перш ніж укладати угоду про придбання третьої особи або контрольного пакету акцій третьої особи, ми проводимо повну оцінку методів збереження конфіденційності та ризиків, пов’язаних із придбанням цієї третьої особи або контрольного пакету акцій цієї особи; 2) ми укладаємо угоду про передачу персональних даних, у якій зазначені умови, за якими дозволяється розкрити персональні дані, а також відповідні зобов’язання нашої компанії та третьої особи.
    • Якщо роль третьої особи полягає в придбанні всієї або частини бізнесу нашої Компанії, перед тим, як надавати будь-які персональні дані у зв’язку з відчуженням будь-якої частини бізнесу нашої Компанії, ми: 1) укладаємо угоду про передачу даних, в якій визначені умови, за якими покупцеві можна розкрити персональні дані, включно з відповідними обмеженнями щодо дозволеного використання персональних даних та дотримання стандарту, встановленого цією політикою та відповідними законами; 2) обмежуємо передачу елементів даних лише тим обсягу, в якому такі дані є необхідними; 3) отримуємо згоду на передачу персональних даних або конфіденційної інформації відповідно до принципів прозорості та обмеження мети цієї політики; 4) вимагаємо від третьої особи негайно повідомити нашу Компанію про будь-яке порушення конфіденційності, включно з будь-яким недотриманням стандартів, викладених у цій політиці та застосовних законах, а також співпрацювати, щоб негайно усунути будь-яке обґрунтоване порушення або припинити обробку відповідних персональних даних.

    (3) Ми передаємо персональні дані через кордони країни, зокрема до Сполучених Штатів Америки (США) — місцезнаходження головного офісу нашої Компанії, від імені нашої Компанії відповідно до цієї політики. Ми також застосовуємо цю політику до передачі персональних даних із будь-якої іншої країни чи території, законодавство якої обмежує передачу персональних даних, і виконуємо всі вимоги, встановлені цими законами (включно з використанням будь-яких механізмів, необхідних для транскордонної передачі даних у країни, в яких не запроваджені такі самі стандарти захисту даних, як у країні, з якої дані передаються).

    8. Дозволеність за законодавством: ми ніколи не обробляємо персональні дані, якщо не дотримані вимоги чинного законодавства.

    • Незважаючи на те, що інші 7 (сім) принципів конфіденційності даних, а також вимоги щодо прав фізичних осіб, описані нижче, призначені для того, аби забезпечити дотримання багатьох законів про конфіденційність і захист даних, які застосовуються до нашої компанії в усьому світі, у деяких країнах може знадобитися виконати додаткові вимоги, зокрема такі:

      1) якщо необхідно, ми отримуємо спеціальні форми згоди на певну обробку персональних даних, включно зі схваленням обробки радами робітників та іншими профспілками;

      2) якщо необхідно, ми реєструємо обробку персональних даних у відповідному контрольному органі у сфері забезпечення конфіденційності чи захисту даних або отримуємо від нього дозвіл на обробку;

      3) якщо необхідно, ми надаємо ширші права (наприклад, доступу та виправлення), ніж зазначені в цій політиці;

      4) якщо необхідно, ми додатково обмежуємо строк зберігання персональних даних;

      5) якщо необхідно, ми укладаємо угоди, що містять спеціальні положення, включно з угодами про транскордонну передачу даних третім особам; i

      6) якщо необхідно, ми розкриваємо персональні дані у відповідь на законні запити органів державної влади, зокрема для виконання вимог органів державної безпеки чи правоохоронних органів.

      У разі виникнення протиріч між цією політикою та чинним законодавством перевагу має норма, що забезпечує більший захист фізичних осіб.

  2. Ми негайно розглядаємо запити фізичних осіб щодо доступу, редагування, виправлення чи видалення персональних даних, щодо заперечення проти обробки персональних даних або щодо здійснення інших прав стосовно їхніх персональних даних.
    1. Доступ, виправлення, видалення та інші права. За законами більшості країн, в яких ми здійснюємо діяльність, особи мають право на доступ до своїх персональних даних, а також право редагувати, виправляти або подавати запити на те, щоб Компанія видалила неточні, неповні або застарілі персональні дані. Ми виконуємо всі запити щодо доступу, виправлення та видалення персональних даних усіх осіб відповідно до розділу 3а нижче і в порядку, передбаченому чинним законодавством. Якщо запит щодо доступу, виправлення та видалення персональних даних регулюється чинним законодавством, яке передбачає більший захист фізичних осіб, ми забезпечуємо виконання додаткових вимог законодавства.
      У деяких країнах фізичні особи можуть мати інші права щодо своїх персональних даних, наприклад, право обмежувати обробку, заперечувати проти обробки (див. також розділ 2b нижче) і передачі їхніх даних іншому постачальнику послуг. Ми забезпечуємо реалізацію прав щодо даних відповідно до чинного законодавства. Деякі права, наприклад право видалення даних, можуть бути обмежені через інші вимоги органів регулювання або встановлені на законодавчому рівні вимоги, або необхідність виконання місцевих вимог щодо обов’язкової звітності. У цьому разі ми повідомимо вас про такі обмеження відповідним чином.
    2. Вибір. Відповідно до наших принципів поваги та довіри, ми виконуємо окремі запити на заперечення проти обробки персональних даних, включно з відмовою від участі у програмах чи заходах, у яких особи раніше погодилися брати участь, обробкою персональних даних для прямого маркетингу, надсилання повідомлень, націлених на осіб на основі їхніх персональних даних, а також оцінки або ухвалення рішень щодо них, які можуть суттєво вплинути на них, за допомогою засобів автоматизації чи алгоритмів.
      1. За винятком тих випадків, коли це заборонено згідно із законодавством, ми маємо право відмовити у наданні можливості, якщо конкретний запит перешкоджатиме нашій Компанії: 1) дотримуватися законодавства або етичних зобов’язань, зокрема якщо ми зобов’язані розкривати персональні дані у відповідь на законні запити органів державної влади, зокрема для виконання вимог органів державної безпеки чи правоохоронних органів; 2) розслідувати, подавати чи оскаржувати юридичні позови; 3) виконувати договори, керувати відносинами або займатися іншими дозволеними видами комерційної діяльності, що відповідають принципам прозорості та обмеження мети і були укладені з використанням інформації відповідних людей. Ми документуємо та повідомляємо рішення ініціаторові запиту протягом 15 (п’ятнадцяти) робочих днів із дати ухвалення рішення про відхилення запиту відповідно до цієї політики, якщо чинним законодавством не передбачено інше.
  3. Ми швидко відповідаємо на всі запитання, скарги та занепокоєння, пов’язані з конфіденційністю даних, і реагуємо на будь-які потенційні порушення конфіденційності та безпеки даних, а також передаємо їх на розгляд керівництву.
    1. Будь-яка особа, чиї персональні дані ми обробляємо відповідно до цієї політики, має право будь-коли задати питання, подати скаргу чи висловити занепокоєння нашій Компанії, включно із запитами на надання переліку всіх дочірніх підприємств нашої Компанії, на які розповсюджується дія цієї політики. Ми очікуємо, що наші співробітники та інші особи, які працюють від імені нашої Компанії, оперативно повідомлять нас, якщо вони матимуть підстави вважати, що чинне законодавство може перешкоджати їм дотримуватися цієї політики. Співробітники або будь-які інші особи, які працюють від імені нашої компанії, мають спрямовувати будь-які питання, скарги чи занепокоєння або будь-які повідомлення до Глобальної служби з питань конфіденційності:
      1. Для осіб-резидентів країн Європейської економічної зони (ЄЕЗ) — електронною поштою на адресу: euprivacydpo@organon.com
      2. Для інших осіб — електронною поштою на адресу: privacyoffice@organon.com
    2. Поштою на адресу: Chief Privacy Officer, Organon & Co., 30 Hudson Street, Jersey City, NJ 07302, США. Співробітники та підрядники повинні швидко інформувати Глобальну службу з питань конфіденційності або керівника з практики ведення бізнесу їхнього підрозділу про будь-які питання, скарги або побоювання, пов’язані з методами нашої Компанії щодо збереження конфіденційності даних.
    3. Глобальна служба з питань конфіденційності самостійно або разом із колегами з відділу з питань етики, юридичного відділу та відділу дотримання законодавства розглядають і розслідують усі питання, скарги чи занепокоєння, пов’язані з методами нашої Компанії щодо збереження конфіденційності даних, незалежно від того, чи вони отримані від співробітників, інших осіб або третіх сторін, включно з органами державного регулювання, органами нагляду та іншими державними органами. Ми відповідаємо на питання, скаргу чи занепокоєння фізичної чи юридичної особи протягом 30 (тридцяти) календарних днів, якщо законодавство або третя особа, яка подає запит, не вимагає відповіді в коротший період часу, або якщо обставини, як-от державне розслідування, не вимагають більш тривалого періоду часу; у цьому випадку фізична особа або третя особа, яка подає запит, буде в письмовій формі повідомлена про загальних характер обставин, що спричиняють затримку.
    4. Глобальна служба з питань конфіденційності у співпраці з колегами з юридичного відділу та відділу з питань дотримання законодавства разом реагуватимуть на будь-який запит, перевірку чи розслідування з боку органу захисту конфіденційних даних.
    5. Усі особи, що проживають в ЄЕЗ, або особи, чиї персональні дані підпадають під дію законодавства про захист даних ЄЕЗ та передаються за межі ЄЕЗ, чиї персональні дані обробляються відповідно до цієї політики, мають право, якщо передача їхніх персональних даних регулюється Стандартними договірними положеннями ЄС, в будь-який час забезпечити виконання вимог Стандартних договірних положень в якості сторонніх бенефіціарів, включно з правом подавати судові позови для застосування засобів правового захисту в разі порушення прав відповідно до Стандартних договірних положень, і правом на відшкодування збитків, спричинених таким порушенням. Усі особи, що проживають в ЄЕЗ, або особи, чиї персональні дані підпадають під дію законодавства про захист даних ЄЕЗ та передаються за межі ЄЕЗ (зокрема до США), мають право подати скаргу чи претензію відповідно до Стандартних договірних положень проти Компанії до:
      компетентних органів із захисту даних (зокрема в країні-учасниці за місцем їхнього звичайного проживання, місцем роботи або місцем нібито скоєного порушення). Контактна інформація органів із захисту даних наведена тут: Країни-члени | Європейська рада захисту даних (europa.eu)
    6. Наша Компанія відповідає на питання, скаргу чи занепокоєння фізичної чи юридичної особи в строки, встановлені чинним законодавством, якщо третя особа, яка подає запит, не вимагає відповіді у коротший період часу, або якщо обставини не вимагають більш тривалого періоду часу, про що фізична особа або третя особа, яка подає запит, буде повідомлена в письмовій формі.
  4. Ми відповідаємо за дотримання наших принципів і стандартів забезпечення конфіденційності.
    1. Дочірнє підприємство нашої Компанії, відповідальне за дію, що призводить до підтвердженого доказами порушення конфіденційності або безпеки, несе фінансову відповідальність за сплату суми відшкодування збитків за будь-яким позовом або сплату штрафу або пені, що виникли внаслідок порушення конфіденційності або безпеки.
      1. Разом із Глобальною службою з питань конфіденційності та за її вказівкою директор із питань захисту даних в Європі відповідає за забезпечення необхідних дій для усунення будь-яких заявлених порушень цієї політики дочірніми підприємствами нашої Компанії поза межами ЄЕЗ, що стосуються осіб, які проживають в ЄЕЗ, або осіб, чиї персональні дані підпадають під дію законодавства ЄЕЗ про захист даних і передаються за межі ЄЕЗ.

Нагляд і контроль

Для запевнення органів державного регулювання та інших зацікавлених осіб у тому, що наша Компанія несе відповідальність за виконання своїх зобов’язань щодо дотримання корпоративних стандартів ділової етики та відповідального ведення бізнесу, Компанія створила групу з нагляду й контролю під головуванням директора з питань конфіденційності даних разом із Глобальною службою з питань конфіденційності (ГСПК); спостереження за роботою групи здійснює Рада із забезпечення конфіденційності та захисту даних, призначений начальник служби з питань конфіденційності в ЄС, начальник служби з питань конфіденційності в певній країні, якщо це потрібно згідно із законодавством або вимогами місцевих органів влади, керівники з практики ведення бізнесу, яких призначає вище керівництво та які виконують функції проміжної ланки між Глобальною службою з питань конфіденційності та підрозділами організації, в яких вони працюють.

Терміни, які потрібно знати

  • Деідентифікація. Видалення явних і прихованих персональних ідентифікаторів. У багатьох випадках вихідні дані, що ідентифікують особу, зберігаються окремо.
  • Знеособлений. Зміна, скорочення, знищення або інше редагування чи зміна персональних даних, аби унеможливити їхнє використання окремо або в поєднанні з іншою інформацією для ідентифікації, пошуку або зв’язку з особою.
  • Законодавство. Усі відповідні закони, норми, положення та постанови, що мають силу закону в будь-якій країні, в якій наша Компанія здійснює діяльність або в якій наша Компанія або інші особи обробляють персональні дані від імені нашої компанії. Включає в себе всі програми конфіденційності, згідно з якими наша компанія була сертифікована, включно із Системою правил забезпечення конфіденційності даних під час транскордонної передачі («ПКДТП») Азіатсько-Тихоокеанського економічного співробітництва («АТЕС»).
  • Інцидент безпеки. Інцидент інформаційної безпеки складається з однієї або декількох небажаних або неочікуваних подій інформаційної безпеки, які можуть порушити безпеку інформації та послабити або погіршити ділові операції.
  • Компанія. Organon & Co., її правонаступники, дочірні підприємства та підрозділи в усьому світі, за винятком спільних підприємств, учасником яких є наша компанія.
  • Персональні дані. Будь-які дані, що стосуються ідентифікованої особи чи особи, яку можна ідентифікувати, включно з даними, які ідентифікують особу або які можуть використовуватися для ідентифікації, пошуку, відстеження або зв’язку з особою. Персональні дані включають у себе як інформацію, що дозволяє безпосередньо ідентифікувати особу, як-от ім’я, ідентифікаційний номер або унікальна назва посади, так і інформацію, що дозволяє опосередковано ідентифікувати особу, як-от дата народження, унікальний ідентифікатор мобільного або портативного пристрою, номер телефону, а також кодовані дані, онлайн-ідентифікатори, як-от IP-адреси, або особиста діяльність, поведінка або уподобання, які можуть збиратися для надання послуг або продуктів.
  • Порушення конфіденційності. Порушення цієї Політики або законодавства про конфіденційність і захист даних; також включає в себе порушення безпеки. Визначення того, чи сталося порушення конфіденційності та чи потрібно підняти його пріоритет до витоку персональних даних, робить Глобальна служба з питань конфіденційності, відділ управління ризиками бізнес-технологій (ВУРБТ), а також юридичний відділ.
  • Обробка. Виконання будь-якої операції або набору операцій з інформацією про людей з використанням автоматичних або неавтоматичних засобів, зокрема збирання, запис, організація, зберігання, доступ, адаптація, зміна, пошук, надання, використання, оцінювання, аналіз, повідомлення, обмін, розкриття, розповсюдження, передача, узгодження, об’єднання, блокування, видалення, стирання або знищення.
  • Порушення правил захисту персональних даних. Порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних, або обґрунтоване припущення нашої Компанії про те, що така дія мала місце. Доступ до персональних даних із боку нашої Компанії або від її імені без наміру порушувати цю політику не є порушенням правил захисту персональних даних за умови, що доступ до персональних даних, їхнє подальше використання та розкриття відповідають цій політиці.
  • Конфіденційна інформація. Будь-яка інформація про людей, яка несе в собі ризик потенційної шкоди фізичним особам, включно з інформацією, визначеною законодавством як конфіденційна, зокрема інформація, що стосується здоров’я, генетична інформація, біометрія, расова чи етнічна приналежність, релігійні, політичні або філософські думки чи переконання, судимості, інформація про точне географічне розташування, номери банківських чи інших фінансових рахунків, державні ідентифікаційні номери, інформація неповнолітніх дітей, сексуальне життя, сексуальна орієнтація, приналежність до профспілок, інформація про страхування, соціальне забезпечення та інші пільги, надані роботодавцем або урядом.
  • Третя особа. Будь-яка юридична особа, об’єднання чи фізична особа, яка не належить нашій Компанії або в якій наша Компанія не має контрольного пакета акцій, або яка не є працівником нашої Компанії. Афілійовані особи нашої Компанії не вважаються третіми особами.

Зміна політики

До цієї політики можуть періодично вноситися зміни відповідно до вимог чинного законодавства. Якщо ця політика буде змінена суттєво, на вебсторінці нашої компанії про конфіденційність (https://www.organon.com/privacy) буде опубліковане повідомлення протягом 60 (шістдесяти) календарних днів.