Diskon 20% Sarung Tangan Wanita
Outlet Pria - Diskon Hingga 50%
Outlet Wanita - Diskon Hingga 50%
NIKMATI DISKON 10% UNTUK PEMESANAN PERTAMA ANDA SAAT BERLANGGANAN SURAT BERITA KAMI
Dents Dents
Cari
Masuk
Cari
Cari
Tas Saya
Tas Saya
Tas Saya
Cari
Close

Kata Pengantar

Kebijakan Perlindungan Data Perusahaan kami menetapkan persyaratan ketat untuk pemrosesan data pribadi yang berkaitan dengan pelanggan, prospek, mitra bisnis, dan karyawan. Ini memenuhi persyaratan Arahan Perlindungan Data Eropa (GDPR) dan memastikan kepatuhan terhadap prinsip-prinsip undang-undang perlindungan data nasional dan internasional.

Kebijakan ini menetapkan standar perlindungan data dan keamanan yang berlaku untuk perusahaan kami dan mengatur pembagian informasi antara perusahaan Grup kami. Kami telah menetapkan tujuh prinsip perlindungan data – di antaranya transparansi, ekonomi data, dan keamanan data – sebagai pedoman kami.

Manajer dan karyawan kami wajib mematuhi Kebijakan ini dan mematuhi undang-undang perlindungan data lokal mereka.

Sebagai orang yang bertanggung jawab atas Perlindungan Data Perusahaan, adalah tugas saya untuk memastikan bahwa aturan dan prinsip perlindungan data di Dents diikuti.

Robert Yentob

Ketua

23/5/18

Isi

I. Tujuan Kebijakan Perlindungan Data

II. Ruang lingkup Kebijakan Perlindungan Data

III. Penerapan undang-undang nasional

IV. Prinsip-prinsip untuk pemrosesan data pribadi

1. Keadilan dan keabsahan

2. Pembatasan pada tujuan tertentu

3. Transparansi

4. Pengurangan data dan ekonomi data

5. Penghapusan

6. Ketepatan fakta; data terkini

7. Kerahasiaan dan keamanan data

V. Keandalan pemrosesan data

1. Data pelanggan dan mitra

1.1 Pemrosesan data untuk hubungan kontraktual

1.2 Pemrosesan data untuk tujuan periklanan

1.3 Persetujuan untuk pemrosesan data

1.4 Pemrosesan data berdasarkan otorisasi hukum

1.5 Pemrosesan data berdasarkan kepentingan sah

1.6 Pemrosesan data yang sangat sensitif

1.7 Keputusan individu otomatis

1.8 Data pengguna dan internet

2. Data karyawan

2.1 Pemrosesan data untuk hubungan kerja

2.2 Pemrosesan data berdasarkan otorisasi hukum

2.3 Persetujuan untuk pemrosesan data

2.4 Pemrosesan data berdasarkan kepentingan yang sah

2.5 Pemrosesan data yang sangat sensitif

2.6 Keputusan otomatis

2.7 Telekomunikasi dan internet

VI. Transmisi data pribadi

VII. Pemrosesan data kontrak

VIII. Hak subjek data

IX. Kerahasiaan pemrosesan

X. Keamanan pemrosesan

XI. Pengendalian perlindungan data

XII. Insiden perlindungan data

XIII. Tanggung jawab dan sanksi

  1. I. Tujuan Kebijakan Perlindungan Data

Sebagai bagian dari tanggung jawab sosialnya, Dewhurst Dent Group (Grup) berkomitmen untuk mematuhi undang-undang perlindungan data. Kebijakan Perlindungan Data ini berlaku secara global untuk Grup dan didasarkan pada prinsip dasar perlindungan data yang diterima secara global. Menjamin perlindungan data adalah dasar dari hubungan bisnis yang dapat dipercaya dan reputasi semua perusahaan dalam Grup sebagai pemberi kerja yang menarik.

Kebijakan Perlindungan Data menyediakan salah satu kondisi kerangka kerja yang diperlukan untuk lintas batas

transmisi data antar perusahaan Grup. Ini memastikan tingkat perlindungan data yang memadai

yang diatur oleh GDPR dan undang-undang nasional untuk transmisi data lintas batas, termasuk di negara-negara yang belum memiliki undang-undang perlindungan data yang memadai.

  1. II. Ruang lingkup Kebijakan Perlindungan Data

Kebijakan Perlindungan Data ini berlaku untuk semua perusahaan dan divisi dalam Grup, yaitu Dents, Gaby, Dents Australia Pty, Corgi Hosiery Ltd, D.Charles Astle (Auctioneers) dan Hersil Fabrics.

Kebijakan Perlindungan Data ini berlaku untuk semua pemrosesan data pribadi

  1. III. Penerapan undang-undang nasional

Kebijakan Perlindungan Data ini mencakup prinsip privasi data yang diterima secara internasional

tanpa menggantikan undang-undang nasional yang ada. Ini melengkapi undang-undang privasi data nasional. The

hukum nasional yang relevan akan diutamakan jika bertentangan dengan Kebijakan Perlindungan Data ini

Kebijakan, atau memiliki persyaratan yang lebih ketat daripada Kebijakan ini. Isi Kebijakan Perlindungan Data ini

juga harus dipatuhi jika tidak ada undang-undang nasional yang sesuai. Pelaporan

persyaratan untuk pemrosesan data berdasarkan hukum nasional harus dipatuhi.

Setiap perusahaan dalam Grup bertanggung jawab atas kepatuhan terhadap Kebijakan Perlindungan Data ini dan kewajiban hukum. Semua karyawan harus membaca, memahami, dan mematuhi kebijakan ini serta kebijakan terkait saat memproses data pribadi dan setiap pelanggaran dapat mengakibatkan tindakan disipliner.

  1. IV. Prinsip untuk memproses data pribadi

1. Keadilan dan keabsahan

Saat memproses data pribadi, hak individu dari subjek data harus dilindungi.

Data pribadi harus dikumpulkan dan diproses secara sah dan adil. Peraturan perlindungan data memungkinkan pemrosesan untuk tujuan tertentu, yang dijelaskan dalam kebijakan ini. Subjek data akan diberitahu tentang tujuan pemrosesan data pribadi mereka yang dapat ditemukan dalam Pemberitahuan Privasi Karyawan perusahaan.

2. Pembatasan pada tujuan yang spesifik, eksplisit, dan sah

Data pribadi hanya dapat diproses untuk tujuan yang ditentukan, eksplisit, dan sah serta tidak akan diproses dengan cara yang tidak sesuai dengan tujuan tersebut. Perubahan tujuan selanjutnya hanya mungkin dalam batas terbatas dan memerlukan pembenaran.


3. Transparansi

Subjek data harus diberitahu bagaimana data mereka ditangani. [Karyawan akan diberikan Pemberitahuan Privasi yang menginformasikan bagaimana data mereka diproses.] Informasi akan singkat, transparan, mudah diakses, dan dalam bahasa yang jelas dan sederhana.

Secara umum, data pribadi akan dikumpulkan langsung dari individu yang bersangkutan. Saat data dikumpulkan, subjek data harus sadar atau diberi tahu tentang:

» Identitas Pengendali Data

» Tujuan pemrosesan data

» Pihak ketiga atau kategori pihak ketiga yang mungkin menerima data

Data pribadi juga dapat dikumpulkan secara tidak langsung (misalnya, dari pihak ketiga atau sumber yang tersedia untuk umum). Subjek data akan diberitahu tentang informasi di atas sesegera mungkin setelah data dikumpulkan/diterima.

4. Pengurangan data dan ekonomi data

Data pribadi harus memadai, relevan, dan terbatas pada apa yang diperlukan sehubungan dengan tujuan pemrosesan. Sebelum memproses data pribadi, Anda harus menentukan apakah dan sejauh mana pemrosesan data pribadi diperlukan untuk mencapai tujuan yang dimaksud.

Jika tujuan memungkinkan dan biaya yang terlibat sebanding dengan tujuan yang dikejar, data anonim atau statistik harus digunakan. Data pribadi tidak boleh dikumpulkan terlebih dahulu dan disimpan untuk tujuan potensial di masa depan kecuali diwajibkan atau diizinkan oleh hukum nasional.

5. Penghapusan

Ketika data pribadi tidak lagi diperlukan, data tersebut akan dihapus sesuai dengan pedoman dan kebijakan retensi data Perusahaan. Subjek data akan diberitahu tentang periode penyimpanan data dan bagaimana periode tersebut ditentukan dalam Kebijakan Privasi.

Pihak ketiga harus diwajibkan untuk menghapus data yang tidak lagi diperlukan jika berlaku.

6. Ketepatan fakta; data terkini

Data pribadi yang tersimpan harus akurat, dan – jika perlu – diperbarui. Langkah-langkah yang sesuai harus diambil untuk memastikan bahwa data yang tidak akurat atau tidak lengkap dihapus, dikoreksi, dilengkapi, atau diperbarui.

7. Kerahasiaan dan keamanan data

Data pribadi tunduk pada kerahasiaan. Data harus diperlakukan sebagai rahasia secara pribadi dan diamankan dengan langkah-langkah organisasi dan teknis yang sesuai untuk mencegah akses yang tidak sah, pemrosesan atau distribusi ilegal, serta kehilangan, kerusakan, modifikasi, atau penghancuran yang tidak disengaja. Kami memiliki jaminan yang sesuai dengan ukuran, cakupan, sumber daya, dan risiko yang diidentifikasi yang akan dievaluasi dan diuji secara berkala. Kami telah menetapkan prosedur untuk menangani dugaan pelanggaran data pribadi dan akan memberi tahu subjek data atau regulator yang berlaku jika kami diwajibkan secara hukum untuk melakukannya.

Data pribadi hanya akan dipindahkan ke penyedia layanan pihak ketiga yang setuju untuk mematuhi kebijakan dan prosedur yang kami tetapkan dan yang setuju untuk menerapkan langkah-langkah yang memadai untuk menjaga keamanan data. Data pribadi tidak akan dipindahkan ke negara lain tanpa adanya jaminan yang sesuai.

  1. V. Keandalan pemrosesan data

Pengumpulan, pemrosesan, dan penggunaan data pribadi hanya diperbolehkan berdasarkan dasar hukum berikut.

Salah satu dasar hukum ini juga diperlukan jika tujuan pengumpulan, pemrosesan, dan penggunaan data pribadi akan diubah dari tujuan asli

1. Data pelanggan dan mitra

1.1 Pemrosesan data untuk hubungan kontraktual

Data pribadi dari prospek, pelanggan, dan mitra yang relevan dapat diproses untuk menetapkan, melaksanakan, dan mengakhiri kontrak. Ini juga termasuk layanan konsultasi untuk mitra berdasarkan kontrak jika ini terkait dengan tujuan kontraktual. Sebelum kontrak – selama fase inisiasi kontrak – data pribadi dapat diproses untuk menyiapkan penawaran atau pesanan pembelian atau untuk memenuhi permintaan lain dari prospek yang berkaitan dengan kesimpulan kontrak. Prospek dapat dihubungi selama proses persiapan kontrak menggunakan informasi yang telah mereka berikan. Setiap pembatasan yang diminta oleh prospek harus dipatuhi.

1.2 Pemrosesan data untuk tujuan periklanan

Jika subjek data menghubungi perusahaan Grup untuk meminta informasi (misalnya permintaan untuk menerima materi informasi tentang produk), pemrosesan data untuk memenuhi permintaan ini diperbolehkan.

Langkah-langkah loyalitas pelanggan atau iklan tunduk pada persyaratan hukum lebih lanjut. Data pribadi dapat diproses untuk tujuan iklan atau riset pasar dan opini, asalkan sesuai dengan tujuan pengumpulan data awal. Subjek data harus diberi informasi tentang penggunaan data mereka untuk tujuan iklan. Jika data dikumpulkan hanya untuk tujuan iklan, pengungkapan dari subjek data bersifat sukarela. Subjek data harus diberi tahu bahwa memberikan data untuk tujuan ini adalah sukarela. Saat berkomunikasi dengan subjek data, persetujuan harus diperoleh untuk memproses data untuk tujuan iklan. Saat memberikan persetujuan, subjek data harus diberi pilihan di antara bentuk kontak yang tersedia seperti surat biasa, e-mail, dan telepon (Persetujuan, lihat V.1.3). Jika subjek data menolak penggunaan data mereka untuk tujuan iklan, data tersebut tidak dapat lagi digunakan untuk tujuan ini dan harus diblokir dari penggunaan untuk tujuan tersebut. Pembatasan lain dari negara tertentu mengenai penggunaan data untuk tujuan iklan harus dipatuhi.

1.3 Persetujuan untuk pemrosesan data

Data dapat diproses setelah mendapat persetujuan dari subjek data. Sebelum memberikan persetujuan, subjek data harus diberi informasi sesuai dengan IV.3. dari Kebijakan Perlindungan Data ini. Pernyataan persetujuan harus diperoleh secara tertulis atau elektronik untuk tujuan dokumentasi. Dalam beberapa keadaan, seperti percakapan telepon, persetujuan dapat diberikan secara lisan. Pemberian persetujuan harus didokumentasikan.

1.4 Pemrosesan data berdasarkan otorisasi hukum

Pemrosesan data pribadi juga diperbolehkan jika peraturan nasional meminta, mengharuskan, atau mengizinkan hal ini. Jenis dan cakupan pemrosesan data harus diperlukan untuk aktivitas pemrosesan data yang sah secara hukum, dan harus mematuhi ketentuan perundang-undangan yang relevan.

1.5 Pemrosesan data berdasarkan kepentingan sah

Data pribadi juga dapat diproses jika diperlukan untuk kepentingan sah Grup. Kepentingan sah umumnya bersifat hukum (misalnya penagihan piutang yang belum dibayar) atau komersial (misalnya menghindari pelanggaran kontrak). Data pribadi tidak boleh diproses untuk tujuan kepentingan sah jika, dalam kasus tertentu, ada bukti bahwa kepentingan subjek data layak dilindungi, dan hal ini lebih diutamakan. Sebelum data diproses, perlu ditentukan apakah ada kepentingan yang layak dilindungi.

1.6 Pemrosesan data yang sangat sensitif

Data pribadi yang sangat sensitif hanya dapat diproses jika hukum mengharuskan hal ini atau subjek data telah memberikan persetujuan tegas. Data ini juga dapat diproses jika wajib untuk menegakkan, melaksanakan, atau membela klaim hukum terkait subjek data. Jika ada rencana untuk memproses data yang sangat sensitif, Ketua atau CEO perusahaan terkait (yang merupakan petugas perlindungan data) harus diberitahu terlebih dahulu.

1.7 Keputusan individu otomatis

Pemrosesan otomatis data pribadi yang digunakan untuk mengevaluasi aspek tertentu (misalnya kelayakan kredit) tidak dapat menjadi satu-satunya dasar untuk keputusan yang memiliki konsekuensi hukum negatif atau dapat secara signifikan merugikan subjek data. Subjek data harus diberi tahu tentang fakta dan hasil keputusan individu otomatis serta kemungkinan untuk merespons. Untuk menghindari keputusan yang salah, harus dilakukan pengujian dan pemeriksaan kelayakan oleh seorang karyawan.

1.8 Data pengguna dan internet

Jika data pribadi dikumpulkan, diproses, dan digunakan di situs web atau aplikasi, subjek data harus diberi tahu tentang hal ini dalam pernyataan privasi dan, jika berlaku, informasi tentang cookie. Pernyataan privasi dan informasi cookie harus diintegrasikan sehingga mudah dikenali, dapat diakses langsung, dan selalu tersedia untuk subjek data. Jika profil penggunaan (pelacakan) dibuat untuk mengevaluasi penggunaan situs web dan aplikasi, subjek data harus selalu diberi tahu sesuai dalam pernyataan privasi. Pelacakan pribadi hanya boleh dilakukan jika diizinkan berdasarkan hukum nasional atau atas persetujuan subjek data. Jika pelacakan menggunakan pseudonim, subjek data harus diberi kesempatan untuk memilih keluar dalam pernyataan privasi. Jika situs web atau aplikasi dapat mengakses data pribadi di area yang dibatasi untuk pengguna terdaftar, identifikasi dan autentikasi subjek data harus menawarkan perlindungan yang memadai selama akses.

2. Data karyawan

2.1 Pemrosesan data untuk hubungan kerja

Dalam hubungan kerja, data pribadi dapat diproses jika diperlukan untuk melaksanakan kontrak kerja, termasuk untuk memulai, melaksanakan, dan mengakhiri pekerjaan. Saat memulai hubungan kerja, data pribadi pelamar dapat diproses. Jika kandidat ditolak, data dia harus dihapus dalam waktu 6 bulan kecuali pelamar telah setuju agar data tersebut tetap disimpan untuk proses seleksi di masa depan.

Dalam hubungan kerja yang ada, pemrosesan data mungkin diperlukan untuk tujuan pelaksanaan kontrak kerja, tetapi mungkin juga ada dasar hukum lain untuk pemrosesan tersebut, seperti yang dijelaskan di bawah ini. Jika selama prosedur aplikasi perlu mengumpulkan informasi tentang pelamar dari pihak ketiga, persyaratan undang-undang nasional yang bersangkutan harus dipatuhi. Dalam kasus keraguan, persetujuan harus diperoleh dari subjek data. Mungkin ada dasar hukum alternatif untuk memproses data pribadi yang terkait dengan hubungan kerja. Ini dapat mencakup persyaratan hukum, persetujuan karyawan, atau kepentingan sah perusahaan.

2.2 Pemrosesan data berdasarkan kewajiban hukum

Pemrosesan data pribadi karyawan juga diizinkan jika undang-undang nasional meminta, mengharuskan, atau mengizinkan hal ini. Jenis dan cakupan pemrosesan data harus diperlukan untuk aktivitas pemrosesan data yang sah secara hukum, dan harus mematuhi ketentuan perundang-undangan yang relevan.

2.3 Persetujuan untuk pemrosesan data

Data karyawan dapat diproses atas persetujuan orang yang bersangkutan. Pernyataan persetujuan harus diserahkan secara sukarela. Persetujuan yang tidak sukarela tidak sah. Pernyataan persetujuan harus diperoleh secara tertulis atau elektronik untuk tujuan dokumentasi. Dalam keadaan tertentu, persetujuan dapat diberikan secara lisan, dalam hal ini harus didokumentasikan dengan baik.

Seorang karyawan menyetujui pemrosesan data pribadinya jika mereka menunjukkan persetujuan dengan jelas baik melalui pernyataan atau tindakan positif terhadap pemrosesan tersebut. Jika persetujuan diberikan dalam dokumen yang membahas hal lain, persetujuan harus dipisahkan dari hal-hal lain tersebut. Karyawan harus dapat dengan mudah menarik persetujuan kapan saja.

Kecuali ada dasar hukum lain untuk pemrosesan, persetujuan eksplisit diperlukan untuk pemrosesan kategori data khusus (lihat paragraf 2.5 di bawah). Biasanya Perusahaan akan mengandalkan dasar hukum lain dan tidak memerlukan persetujuan eksplisit untuk memproses data kategori khusus.

2.4 Pemrosesan data berdasarkan kepentingan sah

Data pribadi juga dapat diproses jika diperlukan untuk tujuan kepentingan sah Grup atau pihak ketiga. Kepentingan sah umumnya bersifat hukum (misalnya pengajuan, penegakan, atau pembelaan terhadap klaim hukum), keuangan (misalnya penilaian perusahaan) atau sifat lain (misalnya Perlindungan kepentingan vital individu atau orang lain diperlukan atau Diperlukan untuk pelaksanaan tugas yang dilakukan demi kepentingan umum)

Data pribadi tidak boleh diproses berdasarkan kepentingan yang sah jika, dalam kasus individu, kepentingan tersebut diabaikan oleh kepentingan atau hak dan kebebasan fundamental subjek data yang memerlukan perlindungan data pribadi. Kepentingan sah yang dijadikan dasar akan dijelaskan dalam Pemberitahuan Privasi yang berlaku. Selain itu, persyaratan tambahan berdasarkan hukum nasional (misalnya hak partisipasi untuk perwakilan karyawan dan hak informasi subjek data) harus diperhitungkan.

2.5 Pemrosesan data yang sangat sensitif

Data pribadi yang sangat sensitif hanya dapat diproses dalam kondisi tertentu. Data yang sangat sensitif adalah data tentang asal ras dan etnis, pendapat politik, kepercayaan agama atau filosofis, keanggotaan serikat pekerja, data genetik, data biometrik, data kesehatan, dan data tentang kehidupan seksual serta orientasi subjek data. Berdasarkan hukum nasional, kategori data lain dapat dianggap sangat sensitif atau isi kategori data dapat diisi secara berbeda. Selain itu, data yang berkaitan dengan hukuman pidana dan pelanggaran seringkali hanya dapat diproses dengan persyaratan khusus menurut hukum nasional. Pemrosesan harus secara tegas diizinkan atau diatur oleh hukum nasional. Selain itu, pemrosesan dapat diizinkan jika diperlukan bagi otoritas yang bertanggung jawab untuk memenuhi hak dan kewajibannya di bidang hukum ketenagakerjaan. Karyawan juga dapat memberikan persetujuan secara eksplisit untuk pemrosesan. Jika ada rencana untuk memproses data yang sangat sensitif, Manajer Perlindungan Data harus diberitahu terlebih dahulu.

Data yang sangat sensitif dapat diproses dalam keadaan berikut:

  • Dengan persetujuan eksplisit dari subjek data
  • Jika pemrosesan diperlukan untuk melaksanakan atau menjalankan kewajiban atau hak yang diberlakukan oleh hukum pada pengendali data atau subjek data sehubungan dengan pekerjaan, jaminan sosial, atau perlindungan sosial dan pemberi kerja memiliki dokumen kebijakan yang sesuai serta perlindungan tambahan yang diterapkan
  • Jika pemrosesan diperlukan untuk melindungi kepentingan vital individu atau orang lain dan individu tersebut tidak mampu memberikan persetujuan
  • Jika pemrosesan berkaitan dengan data pribadi yang telah dipublikasikan oleh individu tersebut
  • Jika pemrosesan diperlukan untuk menetapkan, melaksanakan, atau membela klaim hukum
  • Jika pemrosesan diperlukan karena alasan kepentingan publik yang substansial, dengan syarat bahwa pemberi kerja memiliki dokumen kebijakan yang sesuai dan perlindungan tambahan yang diterapkan. Ini dapat mencakup pemrosesan data untuk tujuan mempromosikan kesetaraan perlakuan
  • Jika pemrosesan diperlukan untuk penilaian kapasitas kerja individu atau berdasarkan kontak dengan profesional kesehatan, dan tunduk pada perlindungan kerahasiaan

2.6 Keputusan otomatis

Jika data pribadi diproses secara otomatis sebagai bagian dari hubungan kerja, dan rincian pribadi tertentu dievaluasi (misalnya sebagai bagian dari seleksi personel atau evaluasi profil keterampilan), pemrosesan otomatis ini tidak dapat menjadi satu-satunya dasar untuk keputusan yang akan memiliki konsekuensi negatif atau dampak signifikan pada karyawan yang bersangkutan. Untuk menghindari keputusan yang salah, proses otomatis harus memastikan bahwa seorang manusia mengevaluasi isi situasi, dan evaluasi ini menjadi dasar keputusan. Subjek data juga harus diberitahu tentang fakta dan hasil pemrosesan otomatis serta kemungkinan untuk merespons. Perusahaan tidak berencana menggunakan pengambilan keputusan otomatis tetapi akan memberitahu staf secara tertulis jika posisi berubah.

2.7 Telekomunikasi dan internet

Peralatan telepon, alamat e-mail, intranet dan internet bersama dengan jejaring sosial internal disediakan oleh perusahaan terutama untuk tugas terkait pekerjaan. Mereka adalah alat dan sumber daya perusahaan. Mereka dapat digunakan sesuai dengan peraturan hukum yang berlaku dan kebijakan internal perusahaan. Dalam hal penggunaan yang diizinkan untuk tujuan pribadi, undang-undang tentang kerahasiaan telekomunikasi dan undang-undang telekomunikasi nasional yang relevan harus dipatuhi jika berlaku. Tidak akan ada pemantauan umum terhadap komunikasi telepon dan e-mail atau penggunaan intranet/internet. Untuk melindungi dari serangan terhadap infrastruktur TI atau pengguna individu, langkah-langkah perlindungan dapat diterapkan untuk koneksi ke jaringan perusahaan Grup yang memblokir konten berbahaya secara teknis atau yang menganalisis pola serangan. Untuk alasan keamanan, penggunaan peralatan telepon, alamat e-mail, intranet/internet dan jejaring sosial internal dapat dicatat untuk periode sementara. Evaluasi data ini dari orang tertentu hanya dapat dilakukan dalam kasus dugaan pelanggaran hukum atau kebijakan Grup. Undang-undang nasional yang relevan harus dipatuhi dengan cara yang sama seperti peraturan Grup.

  1. VI. Pengiriman data pribadi

Pengiriman data pribadi kepada penerima di luar atau di dalam Grup tunduk pada persyaratan otorisasi untuk pemrosesan data pribadi berdasarkan Bagian V. Data pribadi tidak akan dibagikan dengan pihak ketiga kecuali jaminan dan pengaturan kontraktual tertentu telah diterapkan. Penerima data harus diwajibkan menggunakan data hanya untuk tujuan yang ditentukan dan sesuai dengan instruksi kami.

Jika data dikirimkan kepada penerima di luar Grup ke negara ketiga, termasuk negara di luar UE, kami akan memastikan bahwa ada tingkat perlindungan yang memadai di negara tersebut untuk melindungi data pribadi setara dengan tingkat perlindungan yang diatur dalam Kebijakan Perlindungan Data ini. Jika data dikirimkan oleh pihak ketiga ke perusahaan Grup, harus dipastikan bahwa data akan digunakan untuk tujuan yang dimaksud.

  1. VII. Pemrosesan data kontrak

Pemrosesan data atas nama berarti bahwa penyedia disewa untuk memproses data pribadi, tanpa

ditugaskan tanggung jawab untuk proses bisnis terkait. Dalam kasus ini, sebuah perjanjian

tentang Pemrosesan Data atas Nama harus diselesaikan dengan penyedia eksternal dan antar perusahaan

dalam Grup. Klien mempertahankan tanggung jawab penuh atas pelaksanaan pemrosesan data yang benar. Penyedia hanya dapat memproses data pribadi sesuai dengan instruksi dari klien. Saat mengeluarkan pesanan, persyaratan berikut harus dipatuhi; departemen yang mengeluarkan pesanan harus memastikan bahwa persyaratan tersebut terpenuhi.

  1. Penyedia harus dipilih berdasarkan kemampuannya untuk memenuhi langkah-langkah perlindungan teknis dan organisasi yang diperlukan.
  2. Pesanan harus dibuat secara tertulis. Instruksi tentang pemrosesan data dan tanggung jawab klien serta penyedia harus didokumentasikan.
  3. Standar kontraktual untuk perlindungan data yang disediakan oleh Manajer Perlindungan Data harus dipertimbangkan.
  4. Sebelum pemrosesan data dimulai, klien harus yakin bahwa penyedia akan mematuhi kewajiban tersebut. Seorang penyedia dapat mendokumentasikan kepatuhannya terhadap persyaratan keamanan data dalam

terutama dengan menyajikan sertifikasi yang sesuai. Tergantung pada risiko pemrosesan data, tinjauan harus diulang secara berkala selama masa kontrak.

  1. Hanya menggunakan staf dan orang lain yang memiliki kewajiban kerahasiaan terkait data.
  2. Mematuhi kewajiban keamanan yang setara dengan yang dikenakan pada pemberi kerja berdasarkan GDPR.
  3. Memberitahukan pemberi kerja tentang setiap pelanggaran terkait data pribadi yang dibagikan oleh pemberi kerja.
  4. Menggunakan sub-prosesor hanya dengan izin sebelumnya dari pemberi kerja.
    1. Dalam hal pemrosesan data kontrak lintas batas, persyaratan nasional yang relevan untuk mengungkapkan data pribadi ke luar negeri harus dipenuhi. Secara khusus, data pribadi dari Wilayah Ekonomi Eropa hanya dapat diproses di negara ketiga jika penyedia dapat membuktikan bahwa ia memiliki standar perlindungan data yang setara dengan Kebijakan Perlindungan Data ini. Alat yang sesuai dapat berupa:
      1. Kesepakatan tentang klausul kontrak standar UE untuk pemrosesan data kontrak di negara ketiga dengan penyedia dan subkontraktor manapun.
      2. Partisipasi penyedia dalam sistem sertifikasi yang diakreditasi oleh UE untuk penyediaan tingkat perlindungan data yang memadai.
      3. Pengakuan terhadap aturan korporat yang mengikat dari penyedia untuk menciptakan tingkat perlindungan data yang sesuai oleh otoritas pengawas yang bertanggung jawab atas perlindungan data.

  1. VIII. Hak-hak subjek data

Setiap subjek data memiliki hak-hak berikut;

  1. Subjek data dapat meminta informasi tentang data pribadi apa saja yang berkaitan dengan dia telah disimpan, bagaimana data tersebut dikumpulkan, dan untuk tujuan apa. Jika ada hak lebih lanjut untuk

melihat dokumen pemberi kerja (misalnya berkas personalia) untuk hubungan kerja di bawah

undang-undang ketenagakerjaan yang relevan, ini akan tetap tidak terpengaruh.

  1. Jika data pribadi dikirimkan ke pihak ketiga, informasi harus diberikan tentang identitas

penerima atau kategori penerima.

  1. Jika data pribadi tidak benar atau tidak lengkap, subjek data dapat meminta agar data tersebut diperbaiki

atau dilengkapi.

  1. Subjek data dapat menolak pemrosesan data mereka untuk tujuan iklan atau riset pasar/opini. Data harus diblokir dari penggunaan jenis ini.
  2. Subjek data dapat meminta data mereka dihapus jika pemrosesan data tersebut tidak memiliki dasar hukum, atau jika dasar hukum tersebut sudah tidak berlaku. Hal yang sama berlaku jika tujuan di balik pemrosesan data telah berakhir atau tidak lagi berlaku karena alasan lain. Periode retensi yang ada dan kepentingan yang bertentangan yang perlu dilindungi harus diperhatikan.
  3. Subjek data umumnya memiliki hak untuk menolak pemrosesan data mereka jika kami mengandalkan kepentingan sah (atau kepentingan pihak ketiga) untuk pemrosesan dan ada sesuatu tentang situasi khusus subjek data yang membuat mereka ingin menolak pemrosesan atas dasar ini. Hal ini harus diperhitungkan jika perlindungan kepentingan mereka lebih diutamakan daripada kepentingan pengendali data karena situasi pribadi tertentu. Ini tidak berlaku jika ketentuan hukum mengharuskan data diproses atau jika pemrosesan diperlukan untuk pembentukan, pelaksanaan, atau pembelaan klaim hukum.
  4. Subjek data dapat meminta pembatasan pemrosesan informasi pribadi mereka. Ini memungkinkan subjek data untuk meminta penangguhan pemrosesan informasi pribadi, misalnya jika mereka ingin pemberi kerja memastikan keakuratannya atau alasan pemrosesannya.
  5. Subjek data dapat meminta pemindahan informasi pribadi mereka ke pihak lain dalam beberapa keadaan.

  1. IX. Kerahasiaan pemrosesan

Data pribadi tunduk pada kerahasiaan. Setiap pengumpulan, pemrosesan, atau penggunaan data tersebut oleh karyawan tanpa izin dilarang. Setiap pemrosesan data yang dilakukan oleh karyawan yang tidak diizinkan untuk dilakukan sebagai bagian dari tugas sahnya adalah tidak sah. Prinsip "perlu tahu" berlaku. Karyawan hanya boleh mengakses informasi pribadi sesuai dengan jenis dan lingkup tugas yang bersangkutan. Hal ini memerlukan pemecahan dan pemisahan yang cermat, serta pelaksanaan, peran dan tanggung jawab. Karyawan dilarang menggunakan data pribadi untuk tujuan pribadi atau komersial, mengungkapkannya kepada orang yang tidak berwenang, atau membuatnya tersedia dengan cara lain. Pengawas harus memberi tahu karyawan mereka pada awal hubungan kerja tentang kewajiban untuk melindungi kerahasiaan data. Kewajiban ini tetap berlaku bahkan setelah hubungan kerja berakhir.

  1. X. Keamanan pemrosesan

Data pribadi harus dilindungi dari akses tidak sah dan pemrosesan atau pengungkapan yang melanggar hukum, serta kehilangan, modifikasi, atau penghancuran yang tidak disengaja. Ini berlaku terlepas dari apakah data diproses secara elektronik atau dalam bentuk kertas. Sebelum penerapan metode baru pemrosesan data, terutama sistem TI baru, langkah-langkah teknis dan organisasi untuk melindungi data pribadi harus ditentukan dan diterapkan. Langkah-langkah ini harus didasarkan pada teknologi terkini, risiko pemrosesan, dan kebutuhan untuk melindungi data (ditentukan oleh proses klasifikasi informasi). Secara khusus, departemen yang bertanggung jawab dapat berkonsultasi dengan Manajer Perlindungan Data mereka.

  1. XI. Kontrol perlindungan data

Kepatuhan terhadap Kebijakan Perlindungan Data dan perlindungan data yang berlaku undang-undang diperiksa secara berkala. Hasil kontrol perlindungan data harus dilaporkan kepada Manajer Perlindungan Data.

  1. XII. Insiden perlindungan data

Semua karyawan harus segera memberi tahu atasan atau manajer perlindungan data mereka tentang kasus pelanggaran Kebijakan Perlindungan Data ini atau peraturan lain tentang perlindungan data pribadi (insiden perlindungan data). Manajer yang bertanggung jawab atas fungsi atau unit diwajibkan untuk segera memberi tahu Manajer Perlindungan Data yang bertanggung jawab tentang insiden perlindungan data.

Dalam kasus

» pengiriman data pribadi yang tidak tepat kepada pihak ketiga,

» akses tidak sah oleh pihak ketiga ke data pribadi, atau

» kehilangan data pribadi

laporan perusahaan yang diperlukan (Manajemen Insiden Keamanan Informasi) harus dibuat

segera agar setiap kewajiban pelaporan berdasarkan hukum nasional dapat dipenuhi.

  1. XIII. Tanggung jawab dan sanksi

Badan eksekutif perusahaan Grup bertanggung jawab atas pemrosesan data di area tanggung jawab mereka. Oleh karena itu, mereka diwajibkan untuk memastikan bahwa persyaratan hukum, dan yang terkandung dalam Kebijakan Perlindungan Data, untuk perlindungan data terpenuhi (misalnya kewajiban pelaporan nasional). Staf manajemen bertanggung jawab untuk memastikan bahwa langkah-langkah organisasi, SDM, dan teknis diterapkan sehingga setiap pemrosesan data dilakukan sesuai dengan perlindungan data. Kepatuhan terhadap persyaratan ini adalah tanggung jawab karyawan terkait. Jika lembaga resmi melakukan kontrol perlindungan data, Manajer Perlindungan Data harus segera diberitahu. Pemrosesan data pribadi yang tidak tepat, atau pelanggaran lain terhadap undang-undang perlindungan data, dapat diproses secara pidana di banyak negara dan mengakibatkan klaim ganti rugi. Pelanggaran yang menjadi tanggung jawab karyawan individu dapat menyebabkan sanksi berdasarkan hukum ketenagakerjaan.