Viatris 隐私声明

最后更新：2020年9月

Viatris Inc.、其关联公司和子公司（统称为“Viatris”、“公司”、“我们的”和“我们”）致力于保护我们处理的与已识别或可识别的自然人有关的信息（“个人数据”）。

本Viatris 隐私声明（“声明”）旨在描述在与我们的网站、应用程序、服务和平台，以及您使用我们的网站、应用程序、服务和平台，我们的产品和服务的营销和提供，我们通过面对面、电话或邮件以及在我们的业务运营过程中的其他方式与您的互动的相关活动中，我们如何收集、使用、披露和保存个人数据。本声明还解释了根据适用法律，您可以如何控制我们对您个人数据的处理和行使其他权利。本声明并不适用于我们雇员在雇佣关系中的个人数据。

根据您与我们的互动方式，我们可能会不时向您提供关于我们对您的个人数据的处理的额外信息，以介绍具体的处理活动和情况。例如，当我们开展临床试验或向医疗服务提供者提供培训或其他服务时，单独的隐私声明可能适用于我们在这些或其他情况下处理个人数据。我们在这里把此类声明称为“补充声明”。补充声明应与本声明一起阅读。但是，如果补充声明的条款与本声明的条款有任何冲突或不一致，则以补充声明为准，但仅适用于受该补充声明约束的个人数据处理。

您与之互动的 Viatris 子公司或关联公司（如适用）是负责处理您的个人数据的数据控制者（或适用法律规定的其他同等主体）。您可以在本声明附录 1 中找到作为数据控制者的相关法律实体的名单。这些实体也可能有单独的补充声明。

我们已经为适用法律要求任命数据保护官(“DPO”)的司法管辖区任命了一名数据保护官。然而，如果对我们的个人数据处理活动或本声明的内容有疑问，任何司法管辖区的任何人都可以与我们的 DPO 联系。关于如何联系我们的 DPO 的信息，请参阅下面的“联系我们”部分。

在适用法律下定义的匿名数据、去标识化数据和汇总数据，在本声明的含义范围中不被视为“个人数据”。

本声明由以下部分组成：

1. 我们收集的个人数据 2. 我们为什么处理个人数据 3. 处理的合法性基础 4. 披露个人数据 5. 个人数据的跨境传输 6. 数据安全性和保存 7. 您的选择和权利 8. 儿童数据 9. 对本声明的修订 10. 联系我们 11. 适用于加州居民的声明 12. 附录 1

请注意，我们的网站、应用程序或平台可能会链接到第三方提供的内容，这些内容不受我们控制，我们对此也不承担任何责任。当您浏览此类内容时，相关的第三方可能会处理您的个人数据。我们鼓励您在离开我们的网站、应用程序或平台时阅读第三方的隐私和 Cookies 声明。

1. 我们收集的个人数据

Viatris 或代表我们行事的第三方可能从多个来源收集您的个人数据。我们可能会收集您提供的个人数据，例如当您在我们的网站注册账户、向我们提交求职申请、或报名参加网络研讨会或培训课程时。我们还可能会在您与我们互动时自动收集您的个人数据，例如通过 Cookies 或类似技术，收集您访问我们网站时的 IP 地址等信息（请参阅本节末尾关于 Cookies 的进一步说明）。我们还从第三方来源收集个人数据，例如从第三方供应商获取有关医疗资格的信息。

我们收集的有关任何特定人员的个人数据种类及数量将取决于我们与该人员的关系性质及我们使用该人员的个人数据的目的。我们收集来自不同类别人员的个人数据，包括但不限于以下人员：

• 访问我们数字财产（例如我们的网站和应用程序）的访客
• 医疗服务专业人士
• 我们服务提供商、供应商、承包商及业务合作伙伴的员工和代表
• 研究人员和科学团体的成员
• 求职者
• 试验参与者

您提供的个人数据

我们会收集您选择提供给我们的个人数据，例如当您注册参加临床试验、完成调查、与我们的客户支持代理交谈、报告药理学问题和其他投诉、访问我们的办公室或求职等其他互动时。

根据您与我们的关系，您可能会向我们提供以下类别的个人数据：

• 标识符和联系数据，例如您的姓名、别名、邮政地址、电子邮箱地址、电话号码、居住的城市、州和国家、政府签发的标识符（如护照号码或驾照）、帐户名称和密码、健康保险号码、财产帐户号码，以及类似的标识符。
• 人口学数据，例如您的收入水平、婚姻状况、种族、性别、年龄、性取向、国籍、残疾状况、公民身份和工作许可状况。
• 健康数据，例如您被诊断出的疾病、服用 Viatris 产品后出现的症状、药物使用情况、饮食限制以及其他与您的身体、精神或情绪健康相关的数据。
• 商业数据，例如发票、付款条件和时间表、财务账户信息和关于提供的服务的信息。
• 生物识别数据，例如面部几何特征、虹膜图案和其他生物测量信息。
• 专业数据，例如医疗资格证号码、当前和以前的雇主、当前和以前的工资、教育历史、在简历上提供的信息，以及您的照片和录音。
• 偏好和调查回复，例如您对沟通方式的偏好和您对调查（包括客户满意度调查）的回复。

我们自动收集的个人数据

当您与我们互动时，我们可能会自动收集构成个人数据的信息，例如，当您访问我们的数字财产、阅读我们的营销通讯（包括电子邮件）、联系我们、从我们这里购买产品、申请工作或参加我们主办的活动以及进行其他互动时。

根据您和我们的互动，我们可能会收集以下类别的个人数据：

• 标识符和联系数据，如设备标识符（例如，IP 和 MAC地址、Cookies 标识符、设备广告标识符）、用户名和密码、电子邮箱地址、电话号码以及类似的标识符。
• 使用数据和设备数据，例如访问的网站、浏览器类型和版本、时区设置和位置、浏览器插件类型和版本、操作系统和平台、用于访问我们网站和应用程序的设备上的其他技术、传输的数据量、位置数据（如通过 IP 地址推断或通过 GPS 获取）以及与广告的交互。
• 健康数据，例如根据您的浏览活动推断您可能正在经历的疾病。
• 商业数据，例如购买或抽样的产品和服务的详细信息。
• 生物识别数据，例如面部几何特征、虹膜扫描和其他生物测量信息。

我们会在电子邮件和数字财产中使用 Cookies 和相关的数字跟踪技术（“Cookies”）。这可能涉及我们或第三方在一段时间内通过不同第三方网站或在线服务收集有关在线活动的个人数据。有关我们使用 Cookies 的更多信息，请阅读我们的 Cookies 声明。我们目前不响应 web 浏览器的“禁止追踪”信号或类似的机制。

我们从第三方收集的个人数据

我们可能会从第三方获取与您有关的个人数据，例如从营销供应商获取联系数据来支持我们的营销和销售计划，或者获得专业资格信息来确认医疗服务提供者提供的信息。

我们一般从以下类型的第三方获得个人数据：

• 政府来源
• 公开可访问的数据
• 社交媒体平台
• 营销供应商
• 广告合作伙伴
• 分析服务提供商
• 支付处理机构
• 数据补充供应商
• 业务合作伙伴，例如活动联合赞助商

我们从第三方收集以下类别的个人数据：

• 标识符和联系数据，如姓名、邮政地址、电子邮箱地址、电话号码、大致位置（如城市、州和国家）、用户名和设备标识符（包括 Cookies 标识符和设备广告标识符）。
• 人口学数据，例如关于收入水平、年龄、性别、性取向、国籍和残疾状况的信息。
• 使用数据和设备数据，例如浏览和搜索历史以及与广告的交互。
• 健康数据，比如在社交媒体平台上提供的关于对 Viatris 产品的反应信息。
• 使用数据和设备数据，例如访问的网站、浏览器类型和版本、时区设置和位置、浏览器插件类型和版本、操作系统和平台、用于访问我们网站和应用程序的设备上的其他技术、传输的数据量、位置数据（如通过 IP 地址推断或通过 GPS 获取）以及与广告的交互。
• 商业数据，例如购买或抽样的产品和服务的详细信息，以及关于您可能属于的人群的推断。

2. 我们为什么处理个人数据

Viatris 处理个人数据的具体目的因我们与个人的关系而有所不同。一般而言，Viatris 处理个人数据的目的如下：

• 为了开展合法商业活动，包括但不限于营销、促销、向客户销售、客户支持、收款、签订合同协议、与第三方服务供应商签约、识别临床试验的研究者、防止欺诈以及采购商品或服务。
• 为了交付我们的产品、商品或服务，包括完成您请求的交易，并在必要时确认您符合资格标准（如果所请求的产品、商品或服务仅限于某些群体）。
• 为了与个人进行沟通，包括回复来自客户、用户和其他个人的问题、疑问和投诉，回复为捐赠、赞助、奖学金或慈善作出的请求，以及告知个人 Viatris 提供的工作机会。
• 提供有关我们认为对您有用、相关或您会感兴趣的商品、服务和产品的信息和广告，如数字广告或直接营销。
• 提供培训、教育和资助，例如我们为卫生保健专业人士提供的培训和教育项目，或者当我们提供卫生保健专业人士可以申请的资助时。
• 评估候选人资格，比如在处理 Viatris 团队的空缺职位的申请时，或者在评估是否授予资助时。
• 进行研究和开发，包括用于改进现有产品和服务，以及开发新产品和服务。
• 提供、维护、开发和改进我们的数字财产，包括我们的网站、应用程序、服务和平台。
• 维护、改进和调查我们系统和数字财产的安全。
• 遵守法律义务，例如与医药产品和其他保健产品的研究、开发、药物警戒、营销和推广有关的义务，以及回应法律程序或来自当局的询问。
• 保护我们、您和任何第三方的权利、利益和安全，以及行使和捍卫我们的权利。
• 创建匿名数据、去标识化数据或汇总数据。此类数据集不是受本声明约束的“个人数据”。我们可能为任何目的而使用匿名数据、去标识化数据或汇总数据。

在相关、必要以及适用的当地法律允许的范围内，我们可能会为了以下额外目的而处理被某些司法管辖区法律视为特殊类别的个人数据：

• 人口学数据 - 我们将出于特定原因而使用关于您的性取向、种族、民族和残疾的信息，如临床试验所必需的信息，或根据某些司法管辖区法律的要求，为了确保平等就业机会监测和报告而必需的信息。
• 生物识别数据 - 我们将出于特定原因而使用生物识别数据，如临床试验所必需的数据。
• 健康数据 - 我们会将健康数据用于患者支持项目，并且在某些情况下，可能会接收用于临床试验和相关活动的健康数据。

3. 处理的合法性基础

某些司法管辖区要求我们有合法性基础来证明我们处理您的个人数据是合理的。在适用情况下，Viatris 证明某一特定处理活动的合理性时依赖的合法性基础可能与证明另一种处理活动的合理性时所依赖的合法性基础不同。在适用法律允许的情况下，Viatris 依赖以下合法性基础来处理个人数据：

• 为谈判、签署或履行合同必要而进行处理
• 为了遵守法律和监管义务而进行处理
• 为了公共卫生领域的公共利益而进行处理
• 为了促进我们的正当利益而进行处理，包括我们开展正当商业活动的权益（例如改进我们的产品和服务、与您沟通、保护我们的系统，以及其他正当利益）
• 根据您的同意进行处理

当法律要求时，我们会在收集和使用某些类型的个人数据时取得您的同意（例如，关于我们的直接营销活动和我们使用 cookies）。如果我们寻求您同意处理您的个人数据，您可随时使用本声明末尾的详细信息联系我们，以撤回您的同意。撤回您的同意不会影响在撤回之前基于同意进行的处理的合法性。

如果法律要求，我们可能会获取您的明确同意来收集和使用关于您的特殊类别数据（见上文第 2 节末尾）。我们处理特殊类别数据的其他法律基础可能包括：适用法律允许；为了科学研究；为了预防性医学或专业医学目的或基于与医疗服务提供者或其他医疗专业人员的合同；为了就业、社会保障或社会保护法律；为了重大公共利益，或者为了确立、行使或捍卫法律权利要求而需要进行处理。

4. 披露个人数据

如果适用法律要求，除非我们得到您的许可，否则 Viatris 不会将您的个人数据出租、出售或分享给非关联人士，用于其直接营销目的。但是，在适用法律允许的情况下，我们可能会在未得到您同意的情况下，向以下类别的第三方披露您的个人数据：

• Viatris Corporate Group 的成员，包括我们位于美国的关联公司、子公司和 Viatris Inc.。
• 服务提供商，即代表 Viatris 处理个人数据的实体。
• 有权访问个人数据的人士，包括（视情况而定）执法机构、情报机构、主管行政和司法当局，以及持有有效传票、逮捕令或其他法律程序形式的人士；以及
• 涉及潜在商业交易的各方，包括潜在收购者和进行合并或重组（例如收购、合资、转让、分拆、剥离或破产）的其他利益相关者。

如果您指示我们与第三方（如社交网络和其他网站）或不属于上述类别之一的其他实体分享您的个人数据，我们也可能向此类第三方披露您的个人数据。

5. 个人数据的跨境传输

Viatris在全球开展业务，并且我们根据适用法律，可能会在不被视为能提供与您所在司法管辖区相同级别的个人数据保护的司法管辖区处理您的个人数据。

在跨境传输个人数据时，我们会根据适用法律的要求，采取保障措施来保护此类个人数据。这些保障措施可包括：

• 把个人数据传输至被视为能提供充分个人数据保护的国家（包括当个人数据源自欧盟时），或传输至被欧盟委员会视为已提供充分个人数据保护的国家；以及
• 签订包含合同保障条款的协议，例如已被欧盟委员会批准的标准合同条款。

如果您对您的个人数据的传输有任何疑问，请随时与我们联系（见“联系我们”）。

6. 数据安全性和保存

Viatris采取不同的技术、行政、物理和组织措施，以保护个人数据的安全和保密。虽然我们会采取措施保护您的个人数据，但我们无法保证我们处理的个人数据将一直保持安全。

如果法律要求，Viatris 只会在为完成收集个人数据的目的所需要的时间内或适用法律规定的时间内（以时间较长者为准）保留个人数据。

为确定您的个人数据的适当保留期限，Viatris会考虑以下因素：

• 个人数据的数量、性质及敏感性；
• 未经授权的使用或披露造成损害的潜在风险；
• 我们处理数据的目的，以及我们是否可以通过其他手段达到这些目的；以及
• 适用的法律要求。

当收集您的个人数据的目的不再需要保留此类个人数据，或法律不再要求我们保留此类个人数据时，我们将删除、匿名化、去标识化或汇总个人数据，使其不再与您关联。

7. 您的选择和权利

有些司法管辖区就处理个人数据向个人提供了某些权利。如果您或与您互动的 Viatris 子公司或关联公司位于欧盟或英国，则存在此类权利，但这些权利也可能在其他司法管辖区提供。这些权利并非适用于所有人，也不一定适用于所有情况。根据适用法律，您可能有权：

• 请求访问您的个人数据。
• 请求更正您的个人数据（如果您的个人数据不准确、不完整或过时）。
• 请求删除您的个人数据。
• 撤回您对处理的同意（当我们基于您的同意来处理个人数据时）。请注意，撤回您的同意只适用于未来的处理活动。
• 反对处理您的个人数据。
• 请求对处理您的个人数据加以限制。
• 请求将您的个人数据传输给您或第三方。
• 选择不向第三方进行某些传输。

为了行使您认为您在适用法律下可能享有的权利，您可以与我们的 DPO 联系。在我们满足您的请求之前，我们可能需要验证您的身份（如果您是加州居民，请参阅下面的“适用于加州居民的声明”部分）。

如果您认为我们未满足您的请求或者未处理您的投诉，您也有权向您所在司法管辖区内的主管数据保护机构或其他监管机构投诉。

8. 儿童数据

除非适用法律允许，否则我们不会在明知未经未成年人监护人允许的情况下，处理与 16 周岁以下的个人有关的个人数据。如果您有理由相信我们在未经未成年人监护人允许的情况下处理未成年人的个人数据，请通过 dataprivacy@Viatris.com 通知我们。请注意，在某些情况下，我们可能会为了特定活动（如临床试验）而处理未成年人的个人数据。此类处理将遵循单独的政策和程序，包括补充声明。

9. 对本声明的修订

我们可能会不时更新本声明。我们鼓励您定期查阅本声明，以及本声明开始和结尾处所示的最后更新日期。当我们对本声明作出重大修改时，我们将尽力通过在我们的网站上发布通知来告知您，或以法律规定的其他方式进行通知。

10. 联系我们

如需行使您的权利或提出有关处理您的个人数据的请求，您可以通过以下方式联系我们：

• 通过 dataprivacy@Viatris.com 给我们发送电子邮件；
• 向我们寄送邮件，地址是 Head of Global Privacy, 1000 Mylan Boulevard, Canonsburg, PA 15317, United States；或
• 使用 Viatris 合规热线，通过 www.viatriscomplianceline.ethicspoint.com 上所示的电话号码。

11. 适用于加州居民的声明

点击这里了解适用于加州居民的补充声明。

12. 附录 - 控制者名单

点击这里查看适用的控制者和责任实体的名单。