Kebijakan Privasi

Everynet BV

Kebijakan Perlindungan Data (Ditinjau Agustus 2019)

1. Pendahuluan

Kebijakan ini menetapkan kewajiban Everynet BV, sebuah perusahaan yang terdaftar di Belanda dengan nomor dagang 63446529, yang berkantor di Whitepark, Poortweg 4-6, 2612 PA, Delft (“Perusahaan”) terkait perlindungan data dan hak-hak pelanggannya, calon pelanggan, mitra teknologi, dan pemasok, sehubungan dengan data pribadi mereka di bawah Regulasi Uni Eropa 2016/679 Peraturan Perlindungan Data Umum (“GDPR”).

GDPR mendefinisikan “data pribadi” sebagai informasi apa pun yang berkaitan dengan orang pribadi yang teridentifikasi atau dapat diidentifikasi (“subjek data”); orang pribadi yang dapat diidentifikasi adalah orang yang dapat diidentifikasi, baik secara langsung maupun tidak langsung, khususnya dengan merujuk pada pengenal seperti nama, nomor identifikasi, data lokasi, pengenal online, atau pada satu atau beberapa faktor khusus untuk identitas fisik, fisiologis, genetik, mental, ekonomi, budaya, atau sosial orang pribadi tersebut.

Kebijakan ini menetapkan kewajiban Perusahaan terkait pengumpulan, pemrosesan, pemindahan, penyimpanan, dan pembuangan data pribadi. Prosedur dan prinsip-prinsip yang ditetapkan di sini harus dipatuhi setiap saat oleh Perusahaan, karyawan, agen, kontraktor, atau pihak lain yang bekerja atas nama Perusahaan.

Perusahaan berkomitmen tidak hanya pada hukum tertulis, tetapi juga pada semangat hukum dan sangat mementingkan penanganan yang benar, sah, dan adil atas semua data pribadi, menghormati hak-hak hukum, privasi, dan kepercayaan semua individu yang bertransaksi dengannya.

2. Prinsip Perlindungan Data

Kebijakan ini bertujuan untuk memastikan kepatuhan terhadap GDPR. GDPR menetapkan prinsip-prinsip berikut yang harus dipatuhi oleh semua pihak yang menangani data pribadi. Semua data pribadi harus ada:

  • Diproses secara sah, adil, dan transparan terkait dengan subjek data.
  • Dikumpulkan untuk tujuan tertentu, eksplisit, dan sah, dan tidak diproses lebih lanjut dengan cara yang tidak sesuai dengan tujuan tersebut. Pemrosesan lebih lanjut untuk tujuan pengarsipan demi kepentingan publik, tujuan penelitian ilmiah atau sejarah, atau tujuan statistik tidak boleh dianggap tidak sesuai dengan tujuan awal.
  • Memadai, relevan, dan terbatas pada apa yang diperlukan sehubungan dengan tujuan pemrosesan.
  • Akurat dan, jika perlu, selalu diperbarui. Setiap langkah yang wajar harus diambil untuk memastikan bahwa data pribadi yang tidak akurat, dengan memperhatikan tujuan pemrosesan data tersebut, dihapus, atau diperbaiki tanpa penundaan.
  • Disimpan dalam bentuk yang memungkinkan identifikasi subjek data tidak lebih lama dari yang diperlukan untuk tujuan pemrosesan data pribadi. Data pribadi dapat disimpan untuk jangka waktu yang lebih lama selama data pribadi akan diproses semata-mata untuk tujuan pengarsipan demi kepentingan publik, tujuan penelitian ilmiah atau historis, atau tujuan statistik, dengan tunduk pada penerapan langkah-langkah teknis dan organisasi yang sesuai yang diwajibkan oleh GDPR untuk melindungi hak-hak dan kebebasan subjek data.
  • Diproses dengan cara yang memastikan keamanan data pribadi yang sesuai, termasuk perlindungan terhadap pemrosesan yang tidak sah atau melanggar hukum dan terhadap kehilangan, penghancuran, atau kerusakan yang tidak disengaja, dengan menggunakan tindakan teknis atau organisasi yang sesuai.

3. Hak-hak Subjek Data

GDPR menetapkan hak-hak berikut yang berlaku untuk subjek data (silakan lihat bagian dari kebijakan ini yang ditunjukkan untuk perincian lebih lanjut):

  • Hak untuk mendapatkan informasi (Bagian 12).
  • Hak akses (Bagian 13);
  • Hak untuk melakukan perbaikan (Bagian 14);
  • Hak untuk menghapus (juga dikenal sebagai ‘hak untuk dilupakan’) (Bagian 15);
  • Hak untuk membatasi pemrosesan (Bagian 16);
  • Hak atas portabilitas data (Bagian 17);
  • Hak untuk mengajukan keberatan (Bagian 18); dan
  • Hak-hak yang berkaitan dengan pengambilan keputusan dan pembuatan profil secara otomatis (Bagian 19 dan 20).

4. Pemrosesan Data yang Sah, Adil, dan Transparan

4.1. GDPR berupaya memastikan bahwa data pribadi diproses secara sah, adil, dan transparan, tanpa memengaruhi hak-hak subjek data. GDPR menyatakan bahwa pemrosesan data pribadi harus sesuai dengan hukum jika setidaknya salah satu dari yang berikut ini berlaku:

  • Subjek data telah memberikan persetujuan atas pemrosesan data pribadi mereka untuk satu atau beberapa tujuan tertentu;
  • Pemrosesan diperlukan untuk pelaksanaan kontrak yang melibatkan subjek data, atau untuk mengambil langkah-langkah atas permintaan subjek data sebelum menandatangani kontrak dengan mereka;
  • Pemrosesan diperlukan untuk memenuhi kewajiban hukum yang menjadi subjek pengendali data;
  • Pemrosesan diperlukan untuk melindungi kepentingan vital subjek data atau orang perorangan lainnya;
  • Pemrosesan diperlukan untuk pelaksanaan tugas yang dilakukan demi kepentingan publik atau dalam pelaksanaan wewenang resmi yang diberikan kepada pengontrol data; atau
  • Pemrosesan diperlukan untuk tujuan kepentingan sah yang dikejar oleh pengontrol data atau oleh pihak ketiga, kecuali jika kepentingan tersebut dikesampingkan oleh hak-hak dasar dan kebebasan subjek data yang memerlukan perlindungan data pribadi, khususnya jika subjek data adalah anak-anak.

4.2. [Jika data pribadi yang dimaksud adalah “data kategori khusus” (juga dikenal sebagai “data pribadi sensitif”) (misalnya, data mengenai ras, etnis, politik, agama, keanggotaan serikat pekerja, genetika, biometrik (jika digunakan untuk tujuan identifikasi), kesehatan, kehidupan seks, atau orientasi seksual subjek data), setidaknya salah satu dari kondisi berikut harus dipenuhi:

  • Subjek data telah memberikan persetujuan eksplisit untuk pemrosesan data tersebut untuk satu atau beberapa tujuan tertentu (kecuali jika hukum Uni Eropa atau Negara Anggota UE melarangnya);
  • Pemrosesan diperlukan untuk tujuan melaksanakan kewajiban dan melaksanakan hak-hak khusus pengontrol data atau subjek data di bidang ketenagakerjaan, jaminan sosial, dan hukum perlindungan sosial (sejauh diizinkan oleh hukum Uni Eropa atau Negara Anggota UE atau perjanjian bersama sesuai dengan hukum Negara Anggota UE yang memberikan perlindungan yang sesuai untuk hak-hak dasar dan kepentingan subjek data);
  • Pemrosesan diperlukan untuk melindungi kepentingan vital subjek data atau orang perseorangan lain yang secara fisik atau hukum tidak mampu memberikan persetujuan;
  • Pengontrol data adalah yayasan, asosiasi, atau badan nirlaba lainnya yang bertujuan politik, filosofis, religius, atau serikat pekerja, dan pemrosesan dilakukan dalam rangka kegiatannya yang sah, asalkan pemrosesan tersebut hanya terkait dengan anggota atau mantan anggota badan tersebut atau dengan orang-orang yang memiliki kontak rutin dengannya sehubungan dengan tujuannya, dan data pribadi tidak diungkapkan di luar badan tersebut tanpa persetujuan dari subjek data;
  • Pemrosesan ini berkaitan dengan data pribadi yang secara jelas diumumkan kepada publik oleh subjek data;
  • Pemrosesan ini diperlukan untuk pelaksanaan tuntutan hukum atau kapan pun pengadilan bertindak dalam kapasitas yudisialnya;
  • Pemrosesan diperlukan untuk alasan kepentingan publik yang substansial, berdasarkan hukum Uni Eropa atau Negara Anggota UE yang harus proporsional dengan tujuan yang ingin dicapai, harus menghormati esensi hak atas perlindungan data, dan harus menyediakan langkah-langkah yang sesuai dan spesifik untuk melindungi hak-hak dasar dan kepentingan subjek data;
  • Pemrosesan ini diperlukan untuk tujuan pengobatan pencegahan atau pekerjaan, untuk penilaian kapasitas kerja karyawan, untuk diagnosis medis, untuk penyediaan perawatan atau pengobatan kesehatan atau sosial, atau pengelolaan sistem atau layanan kesehatan atau perawatan sosial berdasarkan hukum Uni Eropa atau Negara Anggota UE atau berdasarkan kontrak dengan profesional kesehatan, dengan tunduk pada ketentuan dan perlindungan yang disebutkan dalam Pasal 9 (3) GDPR;
  • Pemrosesan diperlukan untuk alasan kepentingan publik di bidang kesehatan masyarakat, misalnya, melindungi dari ancaman lintas batas yang serius terhadap kesehatan atau memastikan standar kualitas dan keamanan yang tinggi dari perawatan kesehatan dan produk obat atau alat kesehatan, berdasarkan hukum Uni Eropa atau Negara Anggota UE yang mengatur langkah-langkah yang sesuai dan spesifik untuk melindungi hak dan kebebasan subjek data (khususnya, kerahasiaan profesional); atau
  • Pemrosesan diperlukan untuk tujuan pengarsipan demi kepentingan publik, tujuan penelitian ilmiah atau historis, atau tujuan statistik sesuai dengan Pasal 89(1) GDPR berdasarkan hukum Uni Eropa atau Negara Anggota Uni Eropa yang harus sebanding dengan tujuan yang ingin dicapai, menghormati esensi hak atas perlindungan data, dan menyediakan langkah-langkah yang sesuai dan spesifik untuk melindungi hak-hak dasar dan kepentingan subjek data].

5. Tujuan Tertentu, Eksplisit, dan Sah

5.1. Perusahaan mengumpulkan dan memproses data pribadi yang ditetapkan dalam Bagian 21 Kebijakan ini. Ini termasuk:

  • Data pribadi yang dikumpulkan langsung dari subjek data
  • Data pribadi yang diperoleh dari pihak ketiga.

5.2. Perusahaan hanya mengumpulkan, memproses, dan menyimpan data pribadi untuk tujuan spesifik yang ditetapkan dalam Bagian 21 Kebijakan ini (atau untuk tujuan lain yang secara tegas diizinkan oleh GDPR).

5.3. Subjek data selalu diberi tahu mengenai tujuan atau tujuan penggunaan data pribadi mereka oleh Perusahaan. Lihat Bagian 12 untuk informasi lebih lanjut mengenai cara menjaga agar subjek data tetap mendapatkan informasi.

6. Pemrosesan Data yang Memadai, Relevan, dan Terbatas

Perusahaan hanya akan mengumpulkan dan memproses data pribadi untuk dan sejauh yang diperlukan untuk tujuan atau tujuan khusus yang telah diinformasikan kepada subjek data (atau akan diinformasikan) sebagaimana tercantum pada Bagian 5, di atas, dan sebagaimana tercantum pada Bagian 21, di bawah ini.

7. Keakuratan Data dan Menjaga Data Tetap Mutakhir

  • Perusahaan harus memastikan bahwa semua data pribadi yang dikumpulkan, diproses, dan disimpan olehnya selalu akurat dan mutakhir. Hal ini termasuk, namun tidak terbatas pada, perbaikan data pribadi atas permintaan subjek data, sebagaimana ditetapkan dalam Bagian 14, di bawah ini.
  • Keakuratan data pribadi harus diperiksa saat dikumpulkan dan secara berkala setelahnya. Jika ada data pribadi yang ditemukan tidak akurat atau kedaluwarsa, semua langkah yang wajar akan diambil tanpa penundaan untuk mengubah atau menghapus data tersebut, sebagaimana mestinya.

8. Penyimpanan Data

  • Perusahaan tidak akan menyimpan data pribadi lebih lama dari yang diperlukan mengingat tujuan atau tujuan awal data pribadi tersebut dikumpulkan, disimpan, dan diproses.
  • Jika data pribadi tidak lagi diperlukan, semua langkah yang wajar akan diambil untuk menghapus atau membuangnya tanpa penundaan.
  • Untuk perincian lengkap tentang pendekatan Perusahaan terhadap penyimpanan data, termasuk periode penyimpanan untuk jenis data pribadi tertentu yang dimiliki oleh Perusahaan, silakan lihat Kebijakan Penyimpanan Data kami.

9. Pemrosesan yang Aman

Perusahaan harus memastikan bahwa semua data pribadi yang dikumpulkan, disimpan, dan diproses dijaga keamanannya dan dilindungi dari pemrosesan yang tidak sah atau melanggar hukum serta dari kehilangan, kehancuran, atau kerusakan yang tidak disengaja. Rincian lebih lanjut mengenai langkah-langkah teknis dan organisasi yang harus diambil tersedia di Bagian 22 hingga 27 Kebijakan ini.

10. Akuntabilitas dan Pencatatan

10.1. Pejabat Perlindungan Data Perusahaan adalah Jonathan Pearce (lihat bagian 0 untuk rincian kontak)

10.2. Petugas Perlindungan Data bertanggung jawab untuk mengawasi penerapan Kebijakan ini dan untuk memantau kepatuhan terhadap Kebijakan ini, kebijakan terkait perlindungan data Perusahaan lainnya, dan terhadap GDPR serta undang-undang perlindungan data lainnya yang berlaku.

10.3. Perusahaan harus menyimpan catatan internal tertulis tentang semua pengumpulan, penyimpanan, dan pemrosesan data pribadi, yang harus mencakup informasi berikut ini:

  • Nama dan perincian Perusahaan, Petugas Perlindungan Data, dan pemroses data pihak ketiga yang berlaku;
  • Tujuan Perusahaan mengumpulkan, menyimpan, dan memproses data pribadi;
  • Rincian kategori data pribadi yang dikumpulkan, disimpan, dan diproses oleh Perusahaan, dan kategori data yang terkait dengan data pribadi tersebut;
  • Rincian setiap transfer data pribadi ke negara-negara non-EEA termasuk semua mekanisme dan perlindungan keamanan;
  • Rincian tentang berapa lama data pribadi akan disimpan oleh Perusahaan (silakan lihat Kebijakan Penyimpanan Data Perusahaan); dan
  • Penjelasan rinci tentang semua tindakan teknis dan organisasi yang diambil oleh Perusahaan untuk memastikan keamanan data pribadi.

11. Penilaian Dampak Perlindungan Data

11.1. Perusahaan harus melakukan Penilaian Dampak Perlindungan Data untuk setiap dan semua proyek baru dan/atau penggunaan baru data pribadi yang melibatkan penggunaan teknologi baru dan pemrosesan yang terlibat kemungkinan besar akan mengakibatkan risiko tinggi terhadap hak dan kebebasan subjek data berdasarkan GDPR.

11.2. Penilaian Dampak Perlindungan Data harus diawasi oleh Petugas Perlindungan Data dan harus membahas hal-hal berikut:

  • Jenis data pribadi yang akan dikumpulkan, disimpan, dan diproses;
  • Tujuan penggunaan data pribadi;
  • Tujuan Perusahaan;
  • Bagaimana data pribadi akan digunakan;
  • Pihak-pihak (internal dan/atau eksternal) yang akan dikonsultasikan;
  • Kebutuhan dan proporsionalitas pemrosesan data sehubungan dengan tujuan pemrosesan data;
  • Risiko yang ditimbulkan terhadap subjek data;
  • Risiko yang ditimbulkan baik di dalam maupun di luar Perusahaan; dan
  • Langkah-langkah yang diusulkan untuk meminimalkan dan menangani risiko yang teridentifikasi.

12. Menjaga Subjek Data Tetap Terinformasi

12.1. Perusahaan harus memberikan informasi yang ditetapkan dalam Bagian 12.2 kepada setiap subjek data:

  • Apabila data pribadi dikumpulkan secara langsung dari subjek data, subjek data tersebut akan diberitahu tentang tujuannya pada saat pengumpulan; dan
  • Apabila data pribadi diperoleh dari pihak ketiga, subjek data yang bersangkutan akan diberitahu tentang tujuannya:
    jika data pribadi digunakan untuk berkomunikasi dengan subjek data, saat komunikasi pertama kali dilakukan; atau
    jika data pribadi akan ditransfer ke pihak lain, sebelum transfer tersebut dilakukan; atau
    sesegera mungkin dan dalam hal apa pun tidak lebih dari satu bulan setelah data pribadi diperoleh.

12.2. Informasi berikut ini harus diberikan:

  • Rincian Perusahaan termasuk, namun tidak terbatas pada, identitas Petugas Perlindungan Data;
  • Tujuan pengumpulan dan pemrosesan data pribadi (sebagaimana dirinci dalam Bagian 21 Kebijakan ini) dan dasar hukum yang membenarkan pengumpulan dan pemrosesan tersebut;
  • Jika berlaku, kepentingan sah yang menjadi dasar Perusahaan untuk mengumpulkan dan memproses data pribadi;
  • Apabila data pribadi tidak diperoleh secara langsung dari subjek data, kategori data pribadi yang dikumpulkan dan diproses;
  • Jika data pribadi akan ditransfer ke satu atau lebih pihak ketiga, rincian pihak-pihak tersebut;
  • Apabila data pribadi akan ditransfer ke pihak ketiga yang berada di luar Wilayah Ekonomi Eropa (“EEA”), rincian transfer tersebut, termasuk namun tidak terbatas pada perlindungan yang diterapkan (lihat Bagian 28 Kebijakan ini untuk detail lebih lanjut);
  • Rincian penyimpanan data;
  • Rincian hak-hak subjek data di bawah GDPR;
  • Rincian hak subjek data untuk menarik persetujuan mereka atas pemrosesan data pribadi mereka oleh Perusahaan kapan saja;
  • Rincian hak subjek data untuk mengajukan keluhan kepada Kantor Komisioner Informasi (“otoritas pengawas” menurut GDPR);
  • Jika berlaku, rincian persyaratan atau kewajiban hukum atau kontrak apa pun yang mengharuskan pengumpulan dan pemrosesan data pribadi dan rincian konsekuensi apa pun jika tidak memberikannya;
  • Rincian pengambilan keputusan atau pembuatan profil otomatis apa pun yang akan dilakukan dengan menggunakan data pribadi, termasuk informasi tentang bagaimana keputusan akan diambil, pentingnya keputusan tersebut, dan segala konsekuensinya.

13. Akses Subjek Data

  • Subjek data dapat mengajukan permintaan akses subjek (“SAR”) kapan saja untuk mengetahui lebih lanjut tentang data pribadi yang dimiliki Perusahaan tentang mereka, apa yang dilakukan dengan data pribadi tersebut, dan alasannya.
  • Karyawan yang ingin membuat SAR harus menggunakan Formulir Permintaan Akses Subjek, dengan mengirimkan formulir tersebut ke Petugas Perlindungan Data Perusahaan (lihat bagian 0).
  • Tanggapan terhadap SAR biasanya akan diberikan dalam waktu satu bulan setelah diterima, namun hal ini dapat diperpanjang hingga dua bulan jika SAR tersebut rumit dan/atau banyak permintaan yang diajukan. Jika waktu tambahan tersebut diperlukan, subjek data harus diberi tahu.
  • Semua SAR yang diterima harus ditangani oleh Petugas Perlindungan Data Perusahaan (lihat bagian 0).
  • Perusahaan tidak mengenakan biaya untuk penanganan SAR normal. Perusahaan berhak untuk mengenakan biaya yang wajar untuk salinan informasi tambahan yang telah diberikan kepada subjek data, dan untuk permintaan yang secara nyata tidak berdasar atau berlebihan, terutama jika permintaan tersebut berulang.

14. Perbaikan Data Pribadi

  • Subjek data memiliki hak untuk meminta Perusahaan memperbaiki data pribadi mereka yang tidak akurat atau tidak lengkap.
  • Perusahaan harus memperbaiki data pribadi yang dipermasalahkan, dan memberi tahu subjek data tentang perbaikan tersebut, dalam waktu satu bulan sejak subjek data memberi tahu Perusahaan tentang masalah tersebut. Jangka waktu tersebut dapat diperpanjang hingga dua bulan untuk permintaan yang rumit. Jika waktu tambahan tersebut diperlukan, subjek data harus diberi tahu.
  • Apabila data pribadi yang terpengaruh telah diungkapkan kepada pihak ketiga, pihak-pihak tersebut akan diberitahu tentang perbaikan yang harus dilakukan terhadap data pribadi tersebut.

15. Penghapusan Data Pribadi

15.1. Subjek data memiliki hak untuk meminta Perusahaan menghapus data pribadi yang disimpan tentang mereka dalam keadaan berikut:

  • Perusahaan tidak perlu lagi menyimpan data pribadi tersebut sehubungan dengan tujuan awal data tersebut dikumpulkan atau diproses;
  • Subjek data ingin menarik persetujuan mereka terhadap Perusahaan yang memegang dan memproses data pribadi mereka;
  • Subjek data berkeberatan terhadap Perusahaan yang menyimpan dan memproses data pribadi mereka (dan tidak ada kepentingan sah yang mengesampingkan untuk mengizinkan Perusahaan untuk terus melakukannya) (lihat Bagian 18 Kebijakan ini untuk perincian lebih lanjut tentang hak untuk mengajukan keberatan);
  • Data pribadi telah diproses secara tidak sah;
  • Data pribadi perlu dihapus agar Perusahaan dapat mematuhi kewajiban hukum tertentu

15.2. Kecuali jika Perusahaan memiliki alasan yang masuk akal untuk menolak menghapus data pribadi, semua permintaan penghapusan harus dipenuhi, dan subjek data diberitahu tentang penghapusan tersebut, dalam waktu satu bulan sejak diterimanya permintaan subjek data. Jangka waktu tersebut dapat diperpanjang hingga dua bulan untuk permintaan yang rumit. Jika waktu tambahan tersebut diperlukan, subjek data harus diberi tahu.

15.3. Jika ada data pribadi yang akan dihapus sebagai tanggapan atas permintaan subjek data yang telah diungkapkan kepada pihak ketiga, pihak-pihak tersebut harus diberitahu tentang penghapusan tersebut (kecuali jika tidak mungkin atau akan membutuhkan upaya yang tidak proporsional untuk melakukannya).

16. Pembatasan Pemrosesan Data Pribadi

  • Subjek data dapat meminta agar Perusahaan berhenti memproses data pribadi yang dimilikinya tentang mereka. Jika subjek data membuat permintaan seperti itu, Perusahaan hanya akan menyimpan sejumlah data pribadi terkait subjek data tersebut (jika ada) yang diperlukan untuk memastikan bahwa data pribadi tersebut tidak diproses lebih lanjut.
  • Apabila data pribadi yang terpengaruh telah diungkapkan kepada pihak ketiga, pihak-pihak tersebut harus diberitahu tentang pembatasan yang berlaku dalam memprosesnya (kecuali jika tidak mungkin atau akan membutuhkan upaya yang tidak proporsional untuk melakukannya).

17. Portabilitas Data

17.1 Perusahaan memproses data pribadi dengan menggunakan cara-cara otomatis seperti melalui sistem perangkat lunak, email, dan metode elektronik lainnya.

17.2. Apabila subjek data telah memberikan persetujuan kepada Perusahaan untuk memproses data pribadi mereka dengan cara seperti itu, atau pemrosesan tersebut diperlukan untuk pelaksanaan kontrak antara Perusahaan dan subjek data, subjek data memiliki hak, berdasarkan GDPR, untuk menerima salinan data pribadi mereka dan menggunakannya untuk tujuan lain (misalnya mengirimkannya ke pengontrol data lain).

17.3. Untuk memfasilitasi hak portabilitas data, Perusahaan harus menyediakan semua data pribadi yang berlaku untuk subjek data dalam format berikut:

  • Secara tertulis
  • melalui email

17.4. Jika memungkinkan secara teknis, jika diminta oleh subjek data, data pribadi harus dikirim langsung ke pengontrol data yang diperlukan.

17.5. Semua permintaan salinan data pribadi harus dipenuhi dalam waktu satu bulan sejak permintaan subjek data. Periode ini dapat diperpanjang hingga dua bulan jika ada permintaan yang rumit atau banyak. Jika waktu tambahan tersebut diperlukan, subjek data harus diberi tahu.

18. Keberatan terhadap Pemrosesan Data Pribadi

  • Subjek data memiliki hak untuk menolak Perusahaan memproses data pribadi mereka berdasarkan kepentingan yang sah, pemasaran langsung (termasuk pembuatan profil).
  • Jika subjek data keberatan dengan Perusahaan yang memproses data pribadi mereka berdasarkan kepentingannya yang sah, Perusahaan harus segera menghentikan pemrosesan tersebut, kecuali jika dapat ditunjukkan bahwa alasan sah Perusahaan untuk pemrosesan tersebut mengesampingkan kepentingan, hak, dan kebebasan subjek data, atau bahwa pemrosesan tersebut diperlukan untuk pelaksanaan klaim hukum.
  • Jika subjek data keberatan dengan Perusahaan yang memproses data pribadi mereka untuk tujuan pemasaran langsung, Perusahaan harus segera menghentikan pemrosesan tersebut.

19. Pengambilan Keputusan Otomatis

19.1. Perusahaan menggunakan data pribadi dalam proses pengambilan keputusan otomatis untuk referensi

19.2. Apabila keputusan tersebut memiliki dampak hukum (atau dampak yang sama signifikannya) terhadap subjek data, subjek data tersebut memiliki hak untuk mengajukan keberatan atas keputusan tersebut berdasarkan GDPR, meminta campur tangan manusia, mengungkapkan sudut pandang mereka sendiri, dan mendapatkan penjelasan atas keputusan tersebut dari Perusahaan.

19.3. Hak yang dijelaskan dalam Bagian 19.2 tidak berlaku dalam keadaan berikut ini:

  • Keputusan tersebut diperlukan untuk masuk ke dalam, atau pelaksanaan, kontrak antara Perusahaan dan subjek data;
  • Keputusan tersebut disahkan oleh hukum; atau
  • Subjek data telah memberikan persetujuan secara eksplisit.

20. Pembuatan profil

20.1. Perusahaan menggunakan data pribadi untuk tujuan pembuatan profil. Misalnya, untuk mencocokkan produk dan layanan dengan persyaratan yang telah ditentukan sebelumnya oleh pelanggan.

20.2. Ketika data pribadi digunakan untuk tujuan pembuatan profil, hal-hal berikut ini akan berlaku:

  • Informasi yang jelas yang menjelaskan pembuatan profil harus diberikan kepada subjek data, termasuk signifikansi dan kemungkinan konsekuensi dari pembuatan profil tersebut;
  • Prosedur matematis atau statistik yang tepat harus digunakan;
  • Langkah-langkah teknis dan organisasi harus diterapkan untuk meminimalkan risiko kesalahan. Jika terjadi kesalahan, tindakan tersebut harus memungkinkan kesalahan tersebut dapat diperbaiki dengan mudah; dan
  • Semua data pribadi yang diproses untuk tujuan pembuatan profil harus diamankan untuk mencegah efek diskriminatif yang timbul dari pembuatan profil (lihat Bagian 22 hingga 26 Kebijakan ini untuk perincian lebih lanjut tentang keamanan data).

21. Data Pribadi yang Dikumpulkan, Disimpan, dan Diproses

Data pribadi berikut ini dikumpulkan, disimpan, dan diproses oleh Perusahaan (untuk rincian penyimpanan data, silakan lihat Kebijakan Penyimpanan Data Perusahaan):

Perlu melakukan verifikasi terhadap formulir kontak situs web dan sumber data lainnya

Data Ref.

Jenis Data

Tujuan Data

Pelanggan 1

Nama Perusahaan Detail Kontak

Diperlukan untuk mengidentifikasi dan mengkategorikan pelanggan, untuk menerima berita & pembaruan yang benar

Halaman web yang dikunjungi

Ketertarikan terhadap produk/layanan

Informasi penagihan

22. Keamanan Data – Mentransfer Data Pribadi dan Komunikasi

Perusahaan harus memastikan bahwa langkah-langkah berikut ini diambil sehubungan dengan semua komunikasi dan transfer lain yang melibatkan data pribadi:

  • Semua email yang berisi data pribadi harus dienkripsi Semua email yang berisi data pribadi harus ditandai sebagai “rahasia”;
  • Data pribadi hanya dapat dikirimkan melalui jaringan yang aman; transmisi melalui jaringan yang tidak aman tidak diizinkan dalam keadaan apa pun;
  • Data pribadi tidak boleh dikirim melalui jaringan nirkabel jika ada alternatif kabel yang dapat dilakukan secara wajar;
  • Data pribadi yang terdapat dalam badan email, baik yang dikirim maupun yang diterima, harus disalin dari badan email tersebut dan disimpan dengan aman. Email itu sendiri harus dihapus. Semua file sementara yang terkait dengan file tersebut juga harus dihapus.
  • Jika data pribadi akan dikirim melalui transmisi faksimili, penerima harus diberitahu terlebih dahulu tentang pengiriman tersebut dan harus menunggu di dekat mesin faks untuk menerima data;
  • Jika data pribadi akan ditransfer dalam bentuk cetak, data tersebut harus diserahkan langsung kepada penerima melalui pos atau diberikan kepada penerima secara langsung.
  • Semua data pribadi yang akan ditransfer secara fisik, baik dalam bentuk hardcopy maupun media elektronik yang dapat dipindahkan harus ditransfer dalam wadah yang sesuai dan bertanda “rahasia”.

23. Keamanan Data – Penyimpanan

Perusahaan harus memastikan bahwa langkah-langkah berikut ini diambil sehubungan dengan penyimpanan data pribadi:

  • Semua salinan elektronik data pribadi harus disimpan dengan aman menggunakan kata sandi dan enkripsi data;
  • Semua salinan cetak data pribadi, bersama dengan salinan elektronik yang disimpan dalam media fisik yang dapat dipindahkan harus disimpan dengan aman di dalam kotak, laci, lemari, atau sejenisnya yang terkunci;
  • Semua data pribadi yang disimpan secara elektronik harus dicadangkan setiap hari dengan cadangan yang disimpan di lokasi dan di luar lokasi. Semua cadangan harus dienkripsi
  • Tidak ada data pribadi yang boleh disimpan di perangkat seluler apa pun (termasuk, namun tidak terbatas pada, laptop, tablet, dan ponsel pintar), baik perangkat tersebut milik Perusahaan atau tidak, tanpa persetujuan tertulis resmi dari Petugas Perlindungan Data Perusahaan (lihat bagian 0) dan, jika ada persetujuan semacam itu, secara ketat sesuai dengan semua instruksi dan batasan yang dijelaskan pada saat persetujuan diberikan, dan tidak lebih lama dari yang benar-benar diperlukan; dan
  • Data pribadi tidak boleh ditransfer ke perangkat apa pun yang dimiliki secara pribadi oleh karyawan dan data pribadi hanya boleh ditransfer ke perangkat milik agen, kontraktor, atau pihak lain yang bekerja atas nama Perusahaan di mana pihak yang bersangkutan telah setuju untuk mematuhi sepenuhnya isi dan semangat Kebijakan ini dan GDPR (yang mungkin termasuk menunjukkan kepada Perusahaan bahwa semua tindakan teknis dan organisasi yang sesuai telah diambil).

24. Keamanan Data – Pembuangan

Jika ada data pribadi yang akan dihapus atau dibuang karena alasan apa pun (termasuk jika salinannya sudah dibuat dan tidak lagi diperlukan), data tersebut harus dihapus dan dibuang dengan aman. Untuk informasi lebih lanjut mengenai penghapusan dan pembuangan data pribadi, silakan lihat Kebijakan Penyimpanan Data Perusahaan.

25. Keamanan Data – Penggunaan Data Pribadi

25.1 Perusahaan harus memastikan bahwa langkah-langkah berikut ini diambil sehubungan dengan penggunaan data pribadi:

  • Tidak ada data pribadi yang boleh dibagikan secara informal dan jika karyawan, agen, sub-kontraktor, atau pihak lain yang bekerja atas nama Perusahaan memerlukan akses ke data pribadi apa pun yang belum mereka miliki, akses tersebut harus diminta secara resmi kepada Petugas Perlindungan Data Perusahaan (lihat bagian 0). Tidak ada data pribadi yang boleh ditransfer ke karyawan, agen, kontraktor, atau pihak lain mana pun, baik pihak-pihak tersebut bekerja atas nama Perusahaan maupun tidak, tanpa otorisasi dari Petugas Perlindungan Data Perusahaan (lihat bagian 0). Data pribadi harus ditangani dengan hati-hati setiap saat dan tidak boleh ditinggalkan tanpa pengawasan atau terlihat oleh karyawan, agen, sub-kontraktor, atau

25.2 pihak-pihak lain setiap saat;

  • Jika data pribadi sedang dilihat di layar komputer dan komputer tersebut akan ditinggalkan tanpa pengawasan untuk jangka waktu tertentu, pengguna harus mengunci komputer dan layar sebelum meninggalkannya; dan
  • Apabila data pribadi yang dimiliki oleh Perusahaan digunakan untuk tujuan pemasaran, maka menjadi tanggung jawab Petugas Perlindungan Data Perusahaan (lihat bagian 0) untuk memastikan bahwa persetujuan yang sesuai telah diperoleh dan tidak ada subjek data yang memilih untuk tidak ikut serta, baik secara langsung maupun melalui layanan pihak ketiga.

26. Keamanan Data – Keamanan TI

Perusahaan harus memastikan bahwa langkah-langkah berikut ini diambil sehubungan dengan TI dan keamanan informasi:

  • Semua kata sandi yang digunakan untuk melindungi data pribadi harus diubah secara teratur dan tidak boleh menggunakan kata atau frasa yang mudah ditebak atau dikompromikan. Semua kata sandi harus berisi kombinasi huruf besar dan kecil, angka, dan simbol. Semua perangkat lunak yang digunakan oleh Perusahaan dirancang untuk memerlukan kata sandi tersebut ..;
  • Dalam situasi apa pun, kata sandi apa pun tidak boleh ditulis atau dibagikan kepada karyawan, agen, kontraktor, atau pihak lain yang bekerja atas nama Perusahaan, tanpa memandang senioritas atau departemen. Jika kata sandi terlupa, kata sandi harus diatur ulang menggunakan metode yang berlaku. Staf TI tidak memiliki akses ke kata sandi;
  • Semua perangkat lunak (termasuk, namun tidak terbatas pada, aplikasi dan sistem operasi) harus selalu diperbarui. Staf TI Perusahaan bertanggung jawab untuk menginstal setiap dan semua pembaruan terkait keamanan tidak lebih dari 6 bulan setelah pembaruan disediakan oleh penerbit atau produsen ATAU sesegera mungkin secara wajar dan praktis.

27. Langkah-langkah Organisasi

Perusahaan harus memastikan bahwa langkah-langkah berikut ini diambil sehubungan dengan pengumpulan, penyimpanan, dan pemrosesan data pribadi:

  • Semua karyawan, agen, kontraktor, atau pihak lain yang bekerja atas nama Perusahaan harus sepenuhnya menyadari tanggung jawab individu mereka dan tanggung jawab Perusahaan berdasarkan GDPR dan berdasarkan Kebijakan ini, dan harus diberikan salinan Kebijakan ini;
  • Hanya karyawan, agen, sub-kontraktor, atau pihak lain yang bekerja atas nama Perusahaan yang memerlukan akses ke, dan penggunaan, data pribadi untuk melaksanakan tugas mereka dengan benar yang dapat mengakses data pribadi yang disimpan oleh Perusahaan;
  • Semua karyawan, agen, kontraktor, atau pihak lain yang bekerja atas nama Perusahaan yang menangani data pribadi akan dilatih secara tepat untuk melakukannya;
  • Semua karyawan, agen, kontraktor, atau pihak lain yang bekerja atas nama Perusahaan yang menangani data pribadi akan diawasi dengan baik;
  • Semua karyawan, agen, kontraktor, atau pihak lain yang bekerja atas nama Perusahaan yang menangani data pribadi harus diwajibkan dan didorong untuk berhati-hati dan bijaksana saat membahas hal-hal terkait pekerjaan yang berhubungan dengan data pribadi, baik di tempat kerja maupun di tempat lain;
  • Metode pengumpulan, penyimpanan, dan pemrosesan data pribadi harus dievaluasi dan ditinjau secara berkala;
  • Semua data pribadi yang dimiliki oleh Perusahaan akan ditinjau secara berkala, sebagaimana diatur dalam Kebijakan Penyimpanan Data Perusahaan;
  • Kinerja karyawan, agen, kontraktor, atau pihak lain yang bekerja atas nama Perusahaan yang menangani data pribadi harus dievaluasi dan ditinjau secara berkala;
  • Semua karyawan, agen, kontraktor, atau pihak lain yang bekerja atas nama Perusahaan yang menangani data pribadi akan terikat untuk melakukannya sesuai dengan prinsip-prinsip GDPR dan Kebijakan ini berdasarkan kontrak;
  • Semua agen, kontraktor, atau pihak lain yang bekerja atas nama Perusahaan yang menangani data pribadi harus memastikan bahwa setiap dan semua karyawan mereka yang terlibat dalam pemrosesan data pribadi memiliki ketentuan yang sama dengan karyawan Perusahaan yang relevan yang timbul dari Kebijakan ini dan GDPR; dan
  • Apabila agen, kontraktor, atau pihak lain yang bekerja atas nama Perusahaan yang menangani data pribadi gagal dalam melaksanakan kewajibannya berdasarkan Kebijakan ini, maka pihak tersebut harus mengganti kerugian dan membebaskan Perusahaan dari segala biaya, tanggung jawab, kerusakan, kehilangan, klaim, atau proses hukum yang mungkin timbul dari kegagalan tersebut.

28. Mentransfer Data Pribadi ke Negara di Luar EEA

28.1. Perusahaan dari waktu ke waktu dapat memindahkan (‘memindahkan’ termasuk menyediakan data pribadi dari jarak jauh) ke negara-negara di luar EEA.

28.2. Pemindahan data pribadi ke negara di luar EEA hanya akan dilakukan jika salah satu atau beberapa hal berikut ini berlaku:

  • Pemindahan dilakukan ke suatu negara, wilayah, atau satu atau beberapa sektor tertentu di negara tersebut (atau organisasi internasional), yang telah ditentukan oleh Komisi Eropa untuk memastikan tingkat perlindungan yang memadai untuk data pribadi;
  • Pemindahan dilakukan ke negara (atau organisasi internasional) yang menyediakan perlindungan yang sesuai dalam bentuk perjanjian yang mengikat secara hukum antara otoritas atau badan publik; peraturan perusahaan yang mengikat; klausul perlindungan data standar yang diadopsi oleh Komisi Eropa; kepatuhan terhadap kode etik yang disetujui dan disahkan oleh otoritas pengawas (mis. Kantor Komisioner Informasi); sertifikasi di bawah mekanisme sertifikasi yang disetujui (seperti yang diatur dalam GDPR); klausul kontrak yang disetujui dan disahkan oleh otoritas pengawas yang berwenang; atau ketentuan yang disisipkan ke dalam pengaturan administratif antara otoritas atau badan publik yang disahkan oleh otoritas pengawas yang berwenang;
  • Pemindahan dilakukan dengan persetujuan dari subjek data yang relevan;
  • Pemindahan diperlukan untuk pelaksanaan kontrak antara subjek data dan Perusahaan (atau untuk langkah-langkah pra-kontrak yang diambil atas permintaan subjek data);
  • Pemindahan ini diperlukan untuk alasan kepentingan publik yang penting;
  • Pemindahan ini diperlukan untuk melakukan klaim hukum;
  • Pemindahan diperlukan untuk melindungi kepentingan vital subjek data atau individu lain di mana subjek data secara fisik atau hukum tidak dapat memberikan persetujuan mereka; atau
  • Transfer dilakukan dari daftar yang, menurut hukum Belanda atau Uni Eropa, dimaksudkan untuk memberikan informasi kepada publik dan yang terbuka untuk diakses oleh publik secara umum atau bagi mereka yang dapat menunjukkan kepentingan yang sah untuk mengakses daftar tersebut.

29. Pemberitahuan Pelanggaran Data

29.1 Semua pelanggaran data pribadi harus segera dilaporkan kepada Petugas Perlindungan Data Perusahaan.

29.2 Jika terjadi pelanggaran data pribadi dan pelanggaran tersebut kemungkinan besar mengakibatkan risiko terhadap hak dan kebebasan subjek data (misalnya kerugian finansial, pelanggaran kerahasiaan, diskriminasi, kerusakan reputasi, atau kerusakan sosial atau ekonomi yang signifikan lainnya), Petugas Perlindungan Data harus memastikan bahwa Kantor Komisioner Informasi diberitahu tentang pelanggaran tersebut tanpa penundaan, dan dalam hal apa pun, dalam waktu 72 jam setelah mengetahuinya.

29.3 Jika pelanggaran data pribadi kemungkinan besar akan mengakibatkan risiko tinggi (yaitu risiko yang lebih tinggi daripada yang dijelaskan dalam Bagian 29.2) terhadap hak dan kebebasan subjek data, Petugas Perlindungan Data harus memastikan bahwa semua subjek data yang terkena dampak diberitahu tentang pelanggaran tersebut secara langsung dan tanpa penundaan yang tidak semestinya.

29.4 Pemberitahuan pelanggaran data harus menyertakan informasi berikut:

  • Kategori dan perkiraan jumlah subjek data yang bersangkutan;
  • Kategori dan perkiraan jumlah catatan data pribadi yang bersangkutan;
  • Nama dan rincian kontak petugas perlindungan data Perusahaan (atau titik kontak lain di mana informasi lebih lanjut dapat diperoleh);
  • Konsekuensi yang mungkin timbul dari pelanggaran tersebut;
  • Rincian tindakan yang diambil, atau diusulkan untuk diambil, oleh Perusahaan untuk mengatasi pelanggaran tersebut termasuk, jika perlu, tindakan untuk mengurangi kemungkinan dampak buruknya.

30. Implementasi Kebijakan

Kebijakan ini berlaku efektif sejak tanggal 25 Mei 2018.

Tidak ada bagian dari Kebijakan ini yang berlaku surut dan dengan demikian hanya berlaku untuk hal-hal yang terjadi pada atau setelah tanggal ini.

Kebijakan ini telah disetujui dan disahkan oleh:

Nama: Jonathan Pearce

Jabatan Direktur Perusahaan

Tanggal: 28 Agustus 2019

Akan Ditinjau pada: 28 Agustus 2020

Tanda tangan:

Email: jdp@everynet.com

Telepon: +44 7585 123 576

Alamat 50 Sloane Avenue, London SW3 3DD Inggris