KEBIJAKAN REGULASI PERLINDUNGAN DATA UMUM (GDPR)
1. Pernyataan Kebijakan
Setiap hari bisnis kami akan menerima, menggunakan, dan menyimpan informasi pribadi tentang pelanggan, pemasok, kandidat wawancara, dan rekan kerja kami. Penting bahwa informasi ini ditangani secara sah dan tepat sesuai dengan persyaratan [Undang-Undang Perlindungan Data 2018] dan Peraturan Perlindungan Data Umum (secara kolektif disebut sebagai "Persyaratan Perlindungan Data").
Kami serius dalam menjalankan tugas perlindungan data kami, karena kami menghormati kepercayaan yang diberikan kepada kami untuk menggunakan informasi pribadi dengan tepat dan bertanggung jawab.
2. Tentang Kebijakan Ini
Kebijakan ini, dan dokumen lain yang dirujuk di dalamnya, menetapkan dasar untuk kami memproses data pribadi yang kami kumpulkan atau proses.
Kebijakan ini tidak menjadi bagian dari kontrak kerja karyawan dan dapat diubah kapan saja.
Alex Smit adalah Pejabat Perlindungan Data (DPO) kami, dan bertanggung jawab untuk memastikan kesesuaian perusahaan dengan Persyaratan Perlindungan Data dan dengan kebijakan ini. Pertanyaan tentang operasional kebijakan ini atau setiap kekhawatiran bahwa kebijakan ini tidak diikuti, harus dirujuk terlebih dahulu ke DPO, atau dilaporkan sesuai dengan Kebijakan Pengaduan perusahaan kami (lihat Handbuch Karyawan).
3. Apa itu Data Pribadi?
Data pribadi berarti data (baik disimpan secara elektronik atau berbasis kertas) yang berkaitan dengan individu yang masih hidup yang dapat diidentifikasi secara langsung atau tidak langsung dari data tersebut (atau dari data tersebut dan informasi lain yang kami miliki).
Proses adalah setiap aktivitas yang melibatkan penggunaan data pribadi. Ini termasuk mendapatkan, mencatat atau menyimpan data, mengatur, mengubah, mengambil, menggunakan, mengungkapkan, menghapus, atau menghancurkannya. Proses juga termasuk mentransfer data pribadi ke pihak ketiga.
Data pribadi sensitif meliputi data pribadi tentang asal rasial atau etnis seseorang, pendapat politik, keyakinan agama atau filosofis, keanggotaan serikat dagang, genetik, biometrik, kondisi kesehatan fisik atau mental, orientasi seksual, atau kehidupan seksual. Hal ini juga dapat mencakup data tentang pelanggaran hukum atau vonis. Data pribadi sensitif hanya dapat diproses dalam kondisi yang ketat, termasuk dengan persetujuan individu.
4. Prinsip Perlindungan Data
Setiap orang yang memproses data pribadi, harus memastikan bahwa data tersebut:
a. Diproses secara adil, sah, dan dengan cara yang transparan.
b. Dikumpulkan untuk tujuan yang ditentukan, eksplisit, dan sah, dan setiap pemrosesan lebih lanjut dilakukan untuk tujuan yang kompatibel.
c. Memadai, relevan, dan terbatas pada apa yang diperlukan untuk tujuan yang dimaksud.
d. Akurat, dan jika diperlukan, diperbarui.
e. Disimpan dalam bentuk yang memungkinkan identifikasi tidak lebih dari yang diperlukan untuk tujuan yang dimaksud.
f. Diproses sesuai dengan hak-hak individu dan dengan cara yang memastikan keamanan yang tepat dari data pribadi, termasuk perlindungan terhadap pemrosesan yang tidak sah atau melanggar hukum dan terhadap kehilangan, penghancuran, atau kerusakan yang tidak sengaja, menggunakan langkah-langkah teknis atau organisasi yang sesuai.
g. Tidak ditransfer kepada orang atau organisasi yang berada di negara-negara tanpa perlindungan yang memadai dan tanpa terlebih dahulu memberitahu individu tersebut.
5. Pemrosesan yang Adil dan Sah
Persyaratan Perlindungan Data tidak dimaksudkan untuk mencegah pemrosesan data pribadi, tetapi untuk memastikan bahwa hal itu dilakukan secara adil dan tanpa merugikan hak-hak individu.
Sesuai dengan Persyaratan Perlindungan Data, kami hanya akan memproses data pribadi ketika itu diperlukan untuk tujuan yang sah. Tujuan yang sah termasuk (antara lain): apakah individu tersebut telah memberikan persetujuan mereka, pemrosesan diperlukan untuk melakukan kontrak dengan individu, untuk mematuhi kewajiban hukum, atau untuk kepentingan sah bisnis. Ketika data pribadi sensitif sedang diproses, harus dipenuhi syarat tambahan.
6. Pemrosesan untuk Tujuan Terbatas
Selama kegiatan bisnis kami, kami mungkin mengumpulkan dan memproses data pribadi. Hal ini mungkin termasuk data yang kami terima langsung dari subjek data (misalnya, dengan mengisi formulir atau dengan berkomunikasi dengan kami melalui surat, telepon, email, atau cara lain) dan data yang kami terima dari sumber lain (termasuk, misalnya, data lokasi, mitra bisnis, subkontraktor dalam layanan teknis, pembayaran, dan pengiriman, lembaga referensi kredit, dan lainnya).
Kami hanya akan memproses data pribadi untuk tujuan-tujuan khusus yang diatur dalam Jadwal 1 atau untuk tujuan-tujuan lain yang secara khusus diizinkan oleh Persyaratan Perlindungan Data. Kami akan memberitahukan tujuan-tujuan tersebut kepada subjek data ketika kami pertama kali mengumpulkan data atau secepat mungkin sesudahnya.
7. Memberitahukan kepada Individu
Jika kami mengumpulkan data pribadi langsung dari seorang individu, kami akan memberitahunya tentang:
a. Tujuan atau tujuan di mana kami bermaksud untuk memproses data pribadi tersebut, serta dasar hukum untuk pemrosesan tersebut.
b. Jika kami mengandalkan kepentingan sah bisnis untuk memproses data pribadi, kepentingan sah yang dikejar.
c. Jenis pihak ketiga, jika ada, dengan yang akan kami bagikan atau ungkapkan data pribadi tersebut.
d. Bagaimana individu dapat membatasi penggunaan dan pengungkapan data pribadi mereka oleh kami.
e. Informasi tentang periode di mana informasi mereka akan disimpan, atau kriteria yang digunakan untuk menentukan periode tersebut.
f. Hak mereka untuk meminta dari kami sebagai kontroler akses dan koreksi atau penghapusan data pribadi atau pembatasan pemrosesan.
g. Hak mereka untuk keberatan terhadap pemrosesan dan hak mereka untuk portabilitas data.
h. Hak mereka untuk mencabut persetujuan mereka kapan saja (jika persetujuan diberikan) tanpa memengaruhi keabsahan pemrosesan sebelum persetujuan dicabut.
i. Hak untuk mengajukan keluhan ke Kantor Komisioner Informasi.
j. Sumber-sumber lain dari mana data pribadi tentang individu berasal dan apakah itu berasal dari sumber yang dapat diakses oleh publik.
k. Apakah penyediaan data pribadi tersebut merupakan persyaratan yang diatur secara undang-undang atau kontraktual, atau persyaratan yang diperlukan untuk masuk ke dalam kontrak, serta apakah individu tersebut wajib untuk menyediakan data pribadi dan konsekuensi dari kegagalan untuk menyediakan data tersebut.
Jika kami menerima data pribadi tentang seseorang dari sumber lain, kami akan memberikan informasi ini kepada mereka secepat mungkin (selain memberitahu mereka tentang kategori data pribadi yang terkait) tetapi paling lambat dalam waktu 1 bulan.
Kami juga akan memberitahu subjek data yang data pribadi kami proses, bahwa kami adalah pengendali data terkait data tersebut, detail kontak kami, dan siapa DPO-nya.
8. Pemrosesan yang Memadai, Relevan, dan Tidak Berlebihan
Kami hanya akan mengumpulkan data pribadi sejauh yang diperlukan untuk tujuan spesifik yang telah kami informasikan kepada subjek data.
9. Data yang Akurat
Kami akan memastikan bahwa data pribadi yang kami pegang adalah akurat dan diperbarui. Kami akan memeriksa keakuratan setiap data pribadi pada saat pengumpulan dan pada interval reguler setelahnya. Kami akan mengambil semua langkah yang wajar untuk menghapus atau memperbarui data yang tidak akurat atau sudah kadaluwarsa.
10. Pemrosesan yang Tepat Waktu
Kami tidak akan menyimpan data pribadi lebih lama dari yang diperlukan untuk tujuan di mana data tersebut dikumpulkan. Kami akan mengambil semua langkah yang wajar untuk menghancurkan, atau menghapus dari sistem kami, semua data yang tidak lagi diperlukan.
11. Pemrosesan sesuai dengan Hak Subjek Data
Kami akan memproses semua data pribadi sesuai dengan hak-hak subjek data, khususnya hak mereka untuk:
a. Konfirmasi apakah data pribadi tentang individu tersebut sedang diproses atau tidak.
b. Meminta akses ke semua data yang dipegang tentang mereka oleh pengendali data.
c. Meminta koreksi, penghapusan, atau pembatasan pemrosesan data pribadi mereka.
d. Mengajukan keluhan ke otoritas pengawas.
e. Keberatan terhadap pemrosesan termasuk untuk pemasaran langsung.
12. Keamanan Data
Kami akan mengambil langkah-langkah keamanan yang sesuai terhadap pemrosesan data pribadi yang tidak sah atau tanpa izin, dan terhadap kerusakan, kerusakan, kehilangan, perubahan, pengungkapan yang tidak diizinkan, atau akses ke data pribadi yang dikirim, disimpan, atau diproses lainnya yang melanggar hukum. Jika terjadi transfer data yang melanggar hukum, hal ini akan diselidiki oleh pejabat yang berwenang dan prosedur disiplin perusahaan akan diterapkan. Kami akan menetapkan prosedur dan teknologi untuk menjaga keamanan semua data pribadi mulai dari titik penentuan cara pemrosesan dan titik pengumpulan data hingga titik penghapusan. Data pribadi hanya akan ditransfer ke penangan data jika dia setuju untuk mematuhi prosedur dan kebijakan tersebut, atau jika dia menetapkan langkah-langkah yang memadai sendiri. Kami akan menjaga keamanan data dengan melindungi kerahasiaan, integritas, dan ketersediaan data pribadi, yang didefinisikan sebagai berikut:a. Kerahasiaan berarti bahwa hanya orang yang diizinkan untuk menggunakan data yang dapat mengaksesnya.
b. Integritas berarti bahwa data pribadi harus akurat dan sesuai untuk tujuan di mana data tersebut diproses.
c. Ketersediaan berarti bahwa pengguna yang diizinkan harus dapat mengakses data jika mereka membutuhkannya untuk tujuan yang diizinkan. Oleh karena itu, data pribadi harus disimpan pada sistem komputer pusat perusahaan kami daripada PC individu.
Prosedur keamanan meliputi:
a. Kontrol akses masuk. Setiap orang asing yang terlihat di area yang terkendali harus dilaporkan.
b. Meja dan lemari yang terkunci dengan aman. Meja dan lemari harus tetap terkunci jika mereka menyimpan informasi rahasia apa pun. (Informasi pribadi selalu dianggap rahasia.)
c. Minimasi data.
d. Metode pembuangan. Dokumen kertas harus dihancurkan. Perangkat penyimpanan digital harus dihancurkan secara fisik ketika tidak lagi diperlukan.
e. Perlengkapan. Staf harus memastikan bahwa monitor individu tidak menampilkan informasi rahasia kepada orang yang lewat dan bahwa mereka keluar dari PC mereka ketika tidak diawasi.
13. Permintaan Akses Subjek
Individu harus membuat permintaan resmi untuk informasi yang kami miliki tentang mereka. Karyawan yang menerima permintaan harus segera meneruskannya ke DPO atau anggota Sumber Daya Manusia.
Ketika menerima pertanyaan melalui telepon, kami hanya akan memberikan data pribadi yang kami pegang di sistem kami jika kondisi-kondisi berikut dipenuhi:
a. Kami akan memeriksa identitas penelepon untuk memastikan bahwa informasi hanya diberikan kepada orang yang berhak mendapatkannya.
b. Kami akan menyarankan agar penelepon menulis permintaan mereka jika kami tidak yakin tentang identitas penelepon dan di mana identitas mereka tidak dapat diverifikasi.
Jika permintaan dibuat secara elektronik, data akan disediakan secara elektronik jika memungkinkan.
Karyawan kami akan merujuk permintaan kepada manajer langsung mereka untuk bantuan dalam situasi yang sulit.
14. Perubahan Kebijakan Ini
Kami berhak untuk mengubah kebijakan ini kapan saja. Jika sesuai, kami akan memberitahukan perubahan dengan banner cookie di situs web.