Pencarian: Apa yang ingin Anda pelajari?
Masuk
Berlangganan
Pencarian: Apa yang ingin Anda pelajari?
Berlangganan
Masuk
Pencarian: Apa yang ingin Anda pelajari?
Beranda Peraturan Perlindungan Data Umum (GDPR)

Peraturan Perlindungan Data Umum (GDPR)

BAGIAN A: Umum

Penerapan

Dokumen ini adalah versi operasional terkini dari kebijakan Kepatuhan GDPR yang berlaku efektif sejak 25 Mei 2018 dan berlaku untuk aktivitas TechVersions yang terdiri dari entitas berikut.

TechVersions, sebuah perusahaan penerbitan teknologi, 8000 Towers Crescent Drive, Lantai 13 Vienna, VA 22182

Perkenalan

Aktivitas inti TechVersions adalah memberikan dukungan kepada pelanggannya dalam memasarkan produk B2B dengan menghasilkan arahan yang efektif dari target pasar.

Proses menghasilkan prospek dilakukan melalui riset pasar yang cerdas dengan mengumpulkan data yang relevan untuk mengidentifikasi niat pembelian yang dapat diandalkan dari perusahaan melalui berbagai saluran, termasuk melalui mitra bisnis, dengan menggunakan teknologi yang relevan dalam pemasaran media sosial, pemasaran web, pemasaran email, dan telemarketing.

Dalam proses aktivitas ini, TechVersions bertindak sebagai perantara yang menambah nilai pada rantai pemasaran B2B. Informasi kampanye disediakan oleh Pelanggan yang kemudian disempurnakan dan diubah menjadi materi kampanye untuk didistribusikan ke pasar potensial.

Distribusi kepada pelanggan target akhir melalui penempatan materi kampanye di media yang relevan dilakukan melalui penerbit eksternal yang menghasilkan prospek. Sebagian prospek dihasilkan oleh aktivitas penerbitan internal dan penggunaan alat pemasaran berbasis niat perusahaan yang inovatif yang dikembangkan oleh tim Litbang TechVersions.

Prospek yang dihasilkan oleh penerbit disaring secara cerdas untuk meningkatkan kualitasnya dan diubah menjadi target pemasaran yang dapat ditindaklanjuti sebelum diteruskan ke pelanggan.

TechVersions telah mengembangkan produk, proses, dan sistem penghasil informasi yang bersifat eksklusif, termasuk pengembangan vendor yang andal dan tenaga kerja terlatih, yang secara bersama-sama mencerminkan proposisi nilai yang dibawa TechVersions ke ekosistem pemasaran B2B di seluruh dunia. Mempertahankan dan memelihara keahlian ini serta menggunakannya untuk memanfaatkan peluang komersial merupakan kepentingan yang sah bagi TechVersions.

Kode Kepatuhan GDPR yang diadopsi oleh TechVersions ini menyatakan bahwa TechVersions berkomitmen pada konsep “Privasi sebagai hak mendasar warga negara dalam masyarakat demokratis” di seluruh dunia dan dengan itikad baik akan menerapkan semua prinsip Privasi yang diamanatkan berdasarkan GDPR di mana pun berlaku.

Namun, TechVersions menyatakan bahwa merupakan kepentingan sahnya untuk menjalankan operasi bisnis yang sah di seluruh dunia sebagai perantara pasar B2B, dan merupakan hak demokratis TechVersions untuk menjalankan bisnisnya dengan itikad baik tanpa bertentangan dengan hak-hak individu yang privasinya ingin dilindungi berdasarkan GDPR.

TechVersions juga mengungkapkan bahwa model bisnisnya hanya memerlukan pengumpulan Data entitas bisnis yang berada di luar cakupan GDPR dan data Kontak Bisnis yang bukan data pribadi tetapi mungkin mencakup informasi yang dapat diidentifikasi secara pribadi sebagian, namun tidak termasuk data pribadi anak-anak dan Data Pribadi yang diklasifikasikan sebagai "Kategori Khusus" berdasarkan GDPR.

Paparan GDPR

TechVersionsGroup pada dasarnya adalah "perantara pemasaran B2B" yang beroperasi di seluruh dunia, menghasilkan prospek pemasaran dan melayani klien di banyak negara. TechVersions tidak beroperasi di pasar konsumen dan karenanya tidak secara langsung maupun tidak langsung mengumpulkan informasi pribadi subjek data Uni Eropa. Data yang dikumpulkan TechVersions umumnya termasuk dalam kategori Data Kontak Bisnis karyawan perusahaan yang antara lain berisi nama, email kantor, dan nomor telepon kantor.

Sebagian dari prospek pemasaran B2B dihasilkan di negara-negara Uni Eropa dan Inggris. Beberapa pelanggan yang berlokasi di Uni Eropa/Inggris juga dapat memanfaatkan layanan TechVersions. Saat ini, sebagian besar interaksi dengan pelanggan berada di AS dan sebagian besar interaksi dengan mitra bisnis penghasil prospek berada di India.

Oleh karena itu, kerentanan GDPR yang dialami TechVersions diakui ketika Data Kontak Bisnis dikumpulkan dari organisasi bisnis yang beroperasi di wilayah Uni Eropa/Inggris Raya.

Pendekatan terhadap Kepatuhan GDPR

Untuk memungkinkan penerapan norma seketat mungkin pada pemrosesan data yang berisiko terhadap kepatuhan GDPR, TechVersions mengadopsi kebijakan untuk memperlakukan Data Sensitif GDPR (GSD) sebagai "Data Sensitif" yang mengalir melalui sumber daya TechVersions dengan memberi tag pada data yang masuk dengan tag yang sesuai untuk mengklasifikasikannya sebagai GSD jika berlaku.

Perlindungan privasi subjek data dan keamanan informasi terkait perlindungan privasi sehubungan dengan data yang diberi tag GSD diperhitungkan dalam desain struktur pendukung.

Meskipun data diproses di lokasi tertentu dan infrastruktur teknis untuk pemrosesan GSD (General Data Sites) berada di lokasi yang telah ditentukan tersebut, kesadaran GDPR di tingkat perusahaan telah diciptakan dan akan terus diupayakan agar prinsip-prinsip Kode Etik GDPR ini meresap ke seluruh organisasi, tidak hanya dalam pemrosesan GSD, tetapi juga mencakup fungsi Pemasaran, Keuangan, dan Manajerial yang mungkin berlokasi di tempat yang berbeda dengan infrastruktur teknis dan administratif mereka sendiri.

Untuk mengimplementasikan keamanan secara efektif bagi seluruh infrastruktur pengolahan data, Perusahaan telah mengadopsi kebijakan keamanan informasi komprehensif yang mencakup berbagai sub-kebijakan terkait akses data, penyimpanan pengolahan, transmisi, dan lain sebagainya.

Komitmen Privasi

TechVersions menyadari bahwa “Privasi” adalah hak demokratis yang penting dalam masyarakat sipil. Sebagai entitas korporasi yang bertanggung jawab, TechVersions berkomitmen untuk melindungi privasi semua individu yang data pribadinya masuk ke dalam basis data perusahaan untuk diproses.

Mengingat adanya Pelanggan di Uni Eropa/Inggris dan pemantauan aktivitas karyawan perusahaan yang berdomisili di Uni Eropa/Inggris, TechVersions telah memilih untuk mengadopsi standar Kepatuhan GDPR untuk melindungi Privasi semua individu yang mungkin berinteraksi dengan grup tersebut, bahkan jika interaksi tersebut hanya dalam kapasitas mereka sebagai karyawan dari entitas bisnis yang berbeda yang mengejar tujuan bisnis dari organisasi bisnis masing-masing.

Kepentingan yang Sah

Aktivitas inti TechVersions melibatkan pemrosesan data terkait pembelian berbagai produk untuk penggunaan perusahaan. Spektrum aktivitas meliputi Pengumpulan, Agregasi, Analisis, Segmentasi, dan pemantauan tujuan. Dalam proses pemrosesan tersebut, TechVersions menambahkan nilai pada data mentah yang dikumpulkan dari lingkungan bisnis dan mengubahnya menjadi informasi pendukung pengambilan keputusan bisnis yang bernilai tambah.

Data mentah yang dikumpulkan diakui sebagai data milik subjek data dan hak-hak subjek data berdasarkan GDPR berlaku terhadap data tersebut. Nilai tambah pada data yang terjadi selama proses tersebut muncul dari kemampuan pemrosesan data milik TechVersions yang atasnya TechVersions memiliki klaim hak kekayaan intelektual tertentu.

Jika ada data yang telah dianonimkan, data anonim yang bernilai tambah tersebut akan dianggap sebagai data yang menjadi kepentingan sah TechVersions untuk digunakan dalam penelitian lebih lanjut. Data yang tidak dianonimkan, bahkan dalam keadaan bernilai tambah, tetap tunduk pada pelaksanaan hak-hak Subjek Data seperti Akses, Koreksi, Pembatasan, Portabilitas, dan Penghapusan. Data anonim, jika ada, tidak akan diklasifikasikan sebagai data sensitif GDPR.

TechVersions mempunyai kepentingan bisnis yang sah sebagaimana diakui berdasarkan Pasal 6(1)(f) peraturan GDPR Uni Eropa, dalam pengumpulan dan pengolahan data terkait bisnis seperti firmografi dan data kontak bisnis pejabat pengambil keputusan di entitas bisnis.

Selain itu, bisnis TechVersions melibatkan operasi di dalam dan di luar negara-negara Uni Eropa dan oleh karena itu tunduk pada kewajiban hukum dari berbagai negara terkait Pemrosesan Data serta hukum lain yang berlaku untuk bisnis secara umum dan aktivitas terkait TI secara khusus, sebagaimana diatur dalam Pasal 6(1)(c) peraturan GDPR Uni Eropa.

Selanjutnya, TechVersions telah mengadopsi praktik bisnis untuk pemrosesan yang sah dengan menggabungkan prinsip-prinsip GDPR Uni Eropa sebagaimana diuraikan dalam Pasal 6, termasuk memperoleh persetujuan eksplisit yang diinformasikan jika diperlukan dan mematuhi persyaratan kewajiban kontraktual dengan subjek data jika ada.

Oleh karena itu, kebijakan TechVersions tentang Privasi dan Perlindungan Data disusun dengan kontrol Privasi dan Keamanan Informasi spesifik yang menangani masalah identifikasi data sensitif GDPR pada tahap asal dan masuknya ke dalam sistem TechVersions serta pemberian tag pada data tersebut sepanjang siklus pemrosesannya.

Memperluas Cakupan Kepatuhan pada Ekosistem Pemrosesan Data

Lebih lanjut, dengan tetap memperhatikan tujuan legislatif untuk melindungi hak fundamental atas privasi individu, sebagaimana diatur dalam GDPR Uni Eropa, kontrol Teknis dan Organisasi/Administratif yang tepat dipertahankan untuk memastikan bahwa semua rekan bisnis hilir yang mungkin memiliki akses ke data sensitif GDPR untuk diproses atas nama TechVersions juga mematuhi GDPR.

TechVersions menyadari bahwa dalam sebagian besar operasinya, pihaknya bukanlah "Pengontrol Data" melainkan "Pengolah Data" untuk tujuan GDPR. Pihaknya dapat berperan sebagai "Pengontrol Bersama" ketika menggunakan jasa subkontraktor untuk bagian mana pun dari pemrosesannya.

Dengan mempertimbangkan peran-peran ini, kebijakan dan kontrol TechVersions disusun untuk memastikan kepatuhan GDPR, termasuk pemeliharaan kontrol Teknis dan Organisasi/Administratif yang sesuai agar selalu mendapat informasi terkini tentang aktivitas kepatuhan GDPR dari mitra bisnisnya, serta berbagi dengan mereka langkah-langkah Kepatuhan GDPR TechVersions sendiri jika diperlukan.

Keterbatasan Dokumen Ini

Paragraf-paragraf berikut ini menyajikan kebijakan umum TechVersions untuk kepatuhan GDPR di tingkat Korporasi, yang menyoroti pendekatan TechVersions dalam mencapai tingkat kepatuhan yang memuaskan terhadap prinsip-prinsip GDPR dalam operasinya.

Dokumen kebijakan ini dimaksudkan untuk dibagikan secara terbatas kepada pemangku kepentingan termasuk entitas bisnis di luar TechVersions dan oleh karena itu tidak mencakup informasi rahasia tentang pemrosesan di mana hal itu penting untuk melindungi Kekayaan Intelektual organisasi.

Permintaan pengungkapan informasi apa pun di luar apa yang dinyatakan di sini akan ditangani berdasarkan Kebijakan Pengungkapan Data TechVersions dan permintaan tersebut dapat diarahkan kepada Manajer Privasi melalui email terautentikasi yang tidak terpercaya.

Bagian B: Garis Besar Kebijakan Spesifik

  1. Tanggung Jawab yang Ditugaskan

TechVersions telah menunjuk seorang Manajer Privasi yang akan menjadi orang yang dihubungi untuk menangani semua permintaan dan keluhan subjek data. Dengan mempertimbangkan tingkat risiko paparan data sensitif GDPR saat ini di TechVersions, dianggap bahwa aktivitas inti TechVersions tidak melibatkan pemantauan subjek data Uni Eropa dalam skala besar dan sistematis, maupun penawaran layanan apa pun kepada individu di Uni Eropa, dan oleh karena itu tidak ada persyaratan untuk menunjuk "Petugas Perlindungan Data" sebagaimana diatur dalam GDPR.

Komite Tata Kelola Keamanan Informasi (ISGC) akan bertanggung jawab penuh atas Keamanan Informasi, termasuk kepatuhan GDPR. ISGC akan menjadi badan pembuat kebijakan tertinggi di TechVersions, bertanggung jawab untuk menetapkan semua kebijakan keamanan informasi, termasuk kebijakan GDPR, dan akan memantau kebutuhan untuk menunjuk seseorang atau konsultan sebagai Petugas Perlindungan Data pada waktunya.

  1. Klasifikasi Data

TechVersions tidak terlibat dalam pemasaran kepada individu mana pun dan oleh karena itu biasanya tidak mengumpulkan data yang dapat diidentifikasi secara pribadi yang berada di bawah ketentuan peraturan GDPR. Namun, semua data pribadi yang berpotensi dapat diidentifikasi seperti alamat email dan nomor telepon karyawan suatu organisasi diklasifikasikan sebagai "Sensitif GDPR" jika unit bisnis atau karyawan tersebut diketahui berlokasi di Uni Eropa/Inggris Raya.

Oleh karena itu, seluruh kumpulan data kontak bisnis yang terkait dengan alamat lokasi fisik di Uni Eropa/Inggris diidentifikasi sebagai Data Sensitif GDPR (GSD) dan diberi tag selama pemrosesan lebih lanjut di dalam organisasi.

Jika informasi lokasi fisik subjek data tidak tersedia, maka lokasi fisik organisasi bisnis terkait akan dianggap relevan.

  1. Audit Data

Sebelum tanggal 25 Mei 2018 dan selanjutnya setiap bulan atau sebagaimana ditentukan lain oleh ISGC, kumpulan data yang tersimpan akan diverifikasi untuk menemukan GSD (Global Storage Data) dan memverifikasi persyaratan kepatuhan yang terkait dengannya, seperti apakah data tersebut perlu diarsipkan, dihapus, atau diamankan secara khusus.

Setiap kumpulan data GSD yang tidak disertai dengan "Persetujuan" atau "Catatan Kepentingan Sah" yang sesuai akan direkomendasikan untuk dihapus.
Setelah dikonfirmasi, data tersebut akan dihapus secara forensik.

  1. Penilaian Dampak GDPR

Penilaian kesenjangan GDPR telah dilakukan dan tindakan korektif telah diimplementasikan sesuai persyaratan sebelum 25 Mei 2018. Setelah 25 Mei 2018, Penilaian Dampak Perlindungan Data (DPIA) akan dilakukan setiap kali proyek baru yang signifikan dilaksanakan, sesuai dengan kebutuhan yang diidentifikasi oleh ISGC.

  1. Kebijakan Penerimaan Bisnis Baru

Pada atau setelah tanggal 25 Mei 2018, semua komitmen bisnis baru yang melibatkan pemrosesan data akan tunduk pada persetujuan ISGC dengan catatan Penilaian Dampak GDPR khusus yang diajukan oleh DPO setelah berkonsultasi dengan tim Teknis yang bertanggung jawab atas pemrosesan tersebut.

  1. Kebijakan Penyimpanan Data GSD

GSD harus disimpan dalam sistem yang hanya dapat diakses oleh orang-orang yang ditunjuk berdasarkan prinsip “Kebutuhan untuk Mengetahui” yang ketat.

Setiap set GSD harus diberi label dengan Pengontrol Data dari mana set tersebut berasal dan yang bertanggung jawab atas pengumpulan data berdasarkan persetujuan atau kontrak.

Segala pembatasan khusus yang terkait dengan kumpulan data tersebut juga harus dicantumkan bersama dengan kumpulan data tersebut.

Penyimpanan data harus memungkinkan setiap set data untuk ditemukan dan diproses guna pelaksanaan hak-hak Subjek Data, seperti permintaan perbaikan data, portabilitas data, penghapusan data, atau akses data kapan saja selama siklus hidupnya.

  1. Kebijakan Akses Data GSD

Akses ke GSD harus dilakukan sesuai dengan kebijakan Kontrol Akses yang memastikan bahwa setiap kumpulan data GSD memiliki parameter akses spesifik yang mendefinisikan siapa yang dapat mengakses data dan bagaimana mereka mengakses data tersebut. Hanya mereka yang ditunjuk sebagai tenaga kerja GSD yang diizinkan mengakses kumpulan data GSD.

Penggunaan parameter akses seperti kata sandi harus didefinisikan dengan tingkat kompleksitas dan keunikan yang diperlukan dan dilengkapi dengan enkripsi dan tag ID mesin sehingga data GSD hanya dapat diakses dari perangkat keras tertentu yang ditugaskan kepada tenaga kerja GSD yang berwenang.

Jika penyimpanan data berada di cloud, hanya layanan cloud yang sesuai dengan GDPR yang boleh digunakan, bersama dengan kontrol tambahan yang mungkin diperlukan untuk memastikan bahwa data saat penyimpanan dan pengiriman terlindungi dari akses yang tidak sah.

Data GSD khusus proyek harus disimpan sedemikian rupa sehingga hanya karyawan yang terkait dengan proyek tertentu yang dapat mengakses data tersebut. Akses lintas proyek akan diatur berdasarkan kebutuhan.

  1. Kebijakan Retensi Data GSD

GSD hanya akan disimpan dalam lingkungan proses aktif selama periode minimum yang diperlukan untuk pemrosesan. Setelah itu, data akan diarsipkan dengan aman sesuai dengan persyaratan yang diidentifikasi berdasarkan kepentingan yang sah, misalnya hingga siklus penagihan proyek selesai.

Selanjutnya, data akan disimpan dalam arsip yang aman atau dimusnahkan sesuai dengan persyaratan kepentingan sah yang telah ditentukan oleh Perusahaan.

Peninjauan bulanan terhadap data arsip akan dilakukan untuk mengidentifikasi data yang tidak lagi diperlukan, yang kemudian akan dirujuk ke ISGC untuk petunjuk penghapusan.

Kewajiban hukum terkait penyimpanan data yang mungkin timbul karena adanya undang-undang yang tumpang tindih harus diperhitungkan dalam penilaian kepentingan yang sah.

  1. Kebijakan Pengungkapan Data GSD

Permintaan pengungkapan GSD biasanya hanya akan diterima dari Pengontrol Data sumber.

Diakui bahwa permintaan yang diterima langsung dari subjek data rentan terhadap risiko phishing dan permintaan tersebut, jika ada, akan dirujuk ke Pengontrol Data terkait yang mengumpulkan data dari subjek data berdasarkan persetujuan atau kontrak yang mungkin ada di antara mereka.

Data yang akan diungkapkan hanya akan dikirimkan kepada Pengontrol Data untuk diteruskan kepada Subjek Data setelah identitas perwakilan Pengontrol Data yang mengajukan permintaan diverifikasi dengan benar.

Dalam keadaan luar biasa di mana data perlu diungkapkan secara langsung kepada subjek data atau perwakilan resminya atau kepada otoritas penegak hukum, otentikasi yang memadai atas identitas orang yang mengajukan permintaan harus dipastikan.

Semua permintaan pengungkapan data harus disetujui oleh ISGC sebelum data dirilis, dan permintaan serta dokumen penilaian akan dianggap sebagai dokumentasi kepatuhan GDPR yang diperlukan.

  1. Kebijakan Manajemen Insiden Data GSD

“Insiden” berdasarkan kode ini adalah setiap pengamatan yang berpotensi menunjukkan bahwa kode kepatuhan GSD atau kebijakan atau prosedur apa pun di bawahnya telah dilanggar, terlepas dari apakah ada dugaan data yang telah disalahgunakan atau tidak.

Kebijakan pelapor pelanggaran dapat digunakan untuk memastikan bahwa insiden dilaporkan dengan segera oleh pengamat mana pun, baik di dalam Perusahaan maupun di luar Perusahaan.

Setiap insiden semacam itu yang diketahui oleh TechVersions harus dicatat dalam Register Manajemen Insiden GSD dan dirujuk ke DPO untuk tindakan segera.

DPO (Data Protection Officer) akan meninjau laporan insiden dan mengambil langkah-langkah segera untuk menyelesaikan insiden tersebut serta melaporkan insiden tersebut kepada ISGC (Independent System of Green Council).

ISGC akan segera mengadakan pertemuan dan mengevaluasi insiden tersebut untuk mengidentifikasi apakah ada dugaan pelanggaran data. Jika perlu, ISGC dapat memerintahkan audit teknis dan hukum segera untuk penilaian risiko insiden tersebut. Berdasarkan penilaian risiko, ISGC akan memutuskan perlunya tindakan lebih lanjut, termasuk mengirimkan pemberitahuan pelanggaran data kepada Pengontrol Data yang terkait dengan Data tersebut.

Suatu insiden di mana GSD diakses oleh karyawan lain di organisasi tersebut dianggap sebagai Insiden Keamanan dan bukan berarti "Pelanggaran". Namun, insiden tersebut harus diselidiki penyebab akses tidak sah tersebut, dan jika itu adalah akses tidak disengaja, dapat diselesaikan dengan tindakan disiplin internal yang sesuai dengan kebijakan SDM. Jika data belum dipindahkan atau diakses oleh pihak luar, insiden tersebut dapat diklasifikasikan sebagai kecelakaan data internal yang tidak termasuk pelanggaran.

Apabila akses atau data yang dipindahkan diketahui dalam bentuk terenkripsi dan berada dalam keadaan yang tidak dapat diuraikan oleh penerima, dan setelah dilakukan investigasi internal yang sesuai mengenai keamanan kunci dekripsi terkait, akses tersebut dapat diklasifikasikan sebagai kecelakaan data internal yang tidak termasuk pelanggaran.

  1. Kebijakan Pemberitahuan Pelanggaran Data GSD

Insiden “Pelanggaran Data” adalah insiden di mana TechVersions, setelah melakukan investigasi yang diperlukan, mengetahui bahwa akses ke kumpulan data tertentu di bawah GSD telah disusupi dan entitas eksternal telah mengakses atau mengirimkan kumpulan data GSD tersebut.

Insiden pelanggaran data tersebut harus segera dilaporkan kepada ISGC, yang selanjutnya tanpa penundaan akan memberitahu Pengontrol Data yang terkait dengan kumpulan data tersebut beserta detail relevan dari insiden tersebut.

Laporan tersebut harus merinci sifat dan luasnya pelanggaran, waktu dan tanggal pelanggaran, rincian subjek data yang terpengaruh, tindakan yang diambil setelah mengetahui adanya pelanggaran, dan lain sebagainya. Jika perlu, pelanggaran data juga dapat dilaporkan kepada otoritas pengawas.

  1. Kebijakan Manajemen Hak Subjek Data GSD

Sistem pemrosesan data TechVersions telah menerapkan “Privasi dan Keamanan sejak tahap perancangan” untuk memungkinkan kepatuhan terhadap persyaratan GDPR, khususnya terkait Hak Subjek Data yang diatur dalam GDPR.

Untuk memenuhi hak-hak subjek data seperti “Akses”, “Koreksi”, “Penghapusan”, “Portabilitas” dan Hak untuk memberlakukan “Pembatasan”, TechVersions telah mengaktifkan sistem penyimpanan dan akses GSD-nya sedemikian rupa sehingga kumpulan data milik subjek data tertentu dapat diekstrak secara terpisah dan diproses.

Oleh karena itu, sistem ini telah dirancang agar sesuai dengan persyaratan GDPR yang paling ketat.

Setiap kali permintaan untuk menggunakan hak-hak tersebut diterima dari Subjek Data, sesuai dengan kebijakan pengungkapan data, permintaan tersebut pertama-tama divalidasi dan kemudian, jika data tersebut diterima dari Pengontrol Data, Pengontrol Data akan diminta untuk mengkonfirmasi pengungkapan data tersebut.

Biasanya, permintaan diproses melalui komunikasi dengan pengontrol data dan jika perlu dipindahkan, permintaan tersebut dikembalikan ke pengontrol data.

Dalam keadaan luar biasa di mana TechVersions harus menangani permintaan subjek data tanpa kerja sama dari pengontrol data, tindakan pencegahan yang tepat akan diambil untuk mencegah pengungkapan yang salah karena merupakan kepentingan sah TechVersions untuk mendapatkan ganti rugi terhadap kemungkinan pengungkapan yang salah.

  1. Kebijakan Transmisi Data GSD

Data GSD biasanya dapat masuk ke dalam sistem melalui antarmuka aplikasi (API). Akses ke antarmuka dilakukan melalui sistem akses kata sandi yang aman yang dilengkapi dengan otentikasi faktor kedua yang sesuai jika risiko GSD yang signifikan teridentifikasi.

Transmisi data dilakukan berdasarkan enkripsi yang tunduk pada manajemen keamanan transmisi yang mencakup kerentanan yang diketahui.

Aplikasi itu sendiri beserta elemen penyimpanan dan pemrosesannya serta API diamankan dari akses tidak sah dan serangan berbahaya oleh perangkat lunak anti-malware yang sesuai dan sistem manajemen akses yang aman.

Apabila set GSD dikirimkan ke Pelanggan atau Subkontraktor, pengiriman tersebut dikelola melalui saluran komunikasi terenkripsi baik melalui API atau email terenkripsi.

  1. Kebijakan Penggunaan Pemasaran GSD

Ketika TechVersions menggunakan GSD untuk tujuan pemasaran apa pun, baik melalui email, telemarketing, atau cara lain, kami berhati-hati untuk memastikan adanya persetujuan atau kontrak yang sesuai untuk memungkinkan komunikasi tersebut.

TechVersions juga menegaskan bahwa para mitranya, baik penghasil prospek, pemroses subkontrak, maupun pelanggan, tidak menggunakan GSD kecuali sesuai dengan izin yang tersedia.

Jika persetujuan yang jelas tidak tersedia, tidak ada data kontak bisnis yang dikumpulkan dari penghasil prospek atau diteruskan kepada pelanggan atau diproses melalui subkontraktor.

Data tersebut akan langsung dihapus begitu masuk ke sistem TechVersions dan diidentifikasi sebagai "GSD tanpa persetujuan pemrosesan yang semestinya".

  1. Kebijakan Persetujuan GSD

Semua informasi yang diklasifikasikan sebagai GSD berdasarkan fakta bahwa subjek data berada di Uni Eropa/Inggris Raya atau pemberi kerjanya berada di Uni Eropa/Inggris Raya hanya akan diterima jika subjek data telah memberikan persetujuan eksplisit berdasarkan format yang dipersyaratkan dalam GDPR.

Dalam skenario sebelum GDPR, persetujuan tersebut umumnya dikumpulkan berdasarkan prinsip-prinsip pemrosesan data pribadi yang mencakup Pemberitahuan Privasi. Pemberitahuan Privasi tersebut menunjukkan informasi apa yang dikumpulkan, tujuan pengumpulan, jangka waktu penyimpanannya, bagaimana informasi tersebut diamankan, apakah informasi tersebut akurat, apakah informasi tersebut akan ditransfer keluar dari Uni Eropa untuk diproses, dan lain sebagainya. Beberapa persetujuan didasarkan pada prinsip "Opt-in" sebagai pengaturan default.

Berdasarkan GDPR, sangat penting bahwa data pribadi hanya dikumpulkan berdasarkan Persetujuan Eksplisit di mana "Opt-Out" adalah opsi default dan hanya berdasarkan tindakan afirmatif yang menunjukkan penerimaan, persetujuan tersebut akan diterima.

Selain itu, pemberitahuan privasi juga harus menunjukkan bahwa subjek data memiliki hak-hak tertentu seperti “Hak untuk diberitahu tentang identitas pengolah data hilir”, “Hak untuk mengakses dan memperbaiki”, “Hak untuk portabilitas dan penghapusan”.

Sehubungan dengan persyaratan baru, semua persetujuan yang diperoleh dalam format pra-GDPR akan dianggap tidak valid dan data tersebut akan dibuang oleh TechVersions.

Penerbit Eksternal yang menghasilkan prospek untuk TechVersions harus mengkonfirmasi melalui kontrak mereka bahwa mereka hanya akan memberikan prospek yang dihasilkan dengan bentuk persetujuan baru jika subjek data berada di Uni Eropa/Inggris Raya.

  1. Kebijakan Komunikasi Pemangku Kepentingan GSD

TechVersions beroperasi melalui banyak organisasi eksternal yang merupakan pemangku kepentingan dalam program kepatuhan GDPR TechVersions. Organisasi-organisasi tersebut meliputi Pelanggan, Penghasil Prospek, Subkontraktor, dan lain sebagainya.

Untuk memastikan kepatuhan yang efektif, tidak ada data GSD yang boleh dipertukarkan dalam komunikasi apa pun dengan pemangku kepentingan kecuali melalui transmisi yang aman dan hanya kepada perwakilan yang berwenang.

Meskipun komunikasi melalui API dikendalikan oleh kebijakan akses, komunikasi lain melalui email harus dikendalikan dengan kebijakan Komunikasi Email.

Pada dasarnya, kebijakan Komunikasi Email harus menetapkan bahwa berbagi informasi kepatuhan GSD atau GDPR dengan pemangku kepentingan hanya boleh dilakukan melalui alamat Email kontak yang telah diberitahukan, yang dalam banyak kasus adalah DPO (Petugas Perlindungan Data) dari organisasi lain. Jika perlu, komunikasi Email dapat dienkripsi dan diautentikasi dengan tanda tangan digital.

  1. Kebijakan Identifikasi Kepentingan Sah GSD

TechVersions menyadari bahwa hak-hak tertentu dari subjek data, seperti penghapusan data atau perbaikan data, dapat bertentangan dengan persyaratan kepentingan sah TechVersions atau mungkin bertentangan dengan undang-undang penyimpanan data yang mungkin berlaku untuk data tersebut mengingat kewajiban legislatif lainnya.

Dalam semua kasus penerapan Hak Subjek Data, TechVersions akan mengevaluasi permintaan tersebut sebelum mengambil tindakan lebih lanjut. Jika TechVersions menyadari perlunya menolak permintaan atau memodifikasinya agar dapat diterima, alasannya akan didokumentasikan dan catatan kepentingan sah GSD akan dikembangkan oleh ISGC.

Jika data tersebut tidak lagi diperlukan untuk tetap aktif, data tersebut dapat diarsipkan dengan aman hingga kepentingan sahnya berakhir.

Alasan untuk menggunakan argumen kepentingan sah dalam memproses permintaan subjek data harus disampaikan kepada Pengontrol Data yang bertanggung jawab atas Subjek Data untuk diteruskan kepada subjek data.

  1. Kebijakan Manajemen SDM GSD

GSD akan dianggap sebagai kumpulan data yang memerlukan perhatian eksklusif dan khusus dalam hal keamanan informasi selama berada di bawah pengawasan TechVersions.

Oleh karena itu, GSD akan diberi label yang sesuai dan diproses berdasarkan prinsip "perlu diketahui" oleh sekelompok karyawan yang terlatih khusus.

Para karyawan ini dan sistem tempat GSD akan disimpan, diakses, dan diproses akan dikelola secara aman dengan mempertimbangkan tingkat risiko yang terkait dengan GSD.

Penugasan orang-orang ke proses GSD ini dan pemindahan mereka akan dikelola dengan langkah-langkah keamanan yang sesuai, termasuk verifikasi latar belakang tingkat tinggi, pelatihan, identitas akses fisik, kebijakan sanksi, dan lain sebagainya.

Kebijakan SDM perlu ditingkatkan secara tepat untuk tenaga kerja GSD sesuai kebutuhan.

  1. Kebijakan Pseudonimisasi GSD

Diakui bahwa pseudonimisasi adalah strategi untuk mengurangi risiko dalam pemrosesan GSD.

Data pribadi yang dipseudonimkan tidak dianggap sebagai “Data Pribadi” untuk tujuan peraturan GDPR, asalkan proses pseudonimisasi tersebut terstruktur dengan baik.

Mengingat tingkat paparan operasionalnya saat ini terhadap Risiko GDPR, TechVersions belum menganggap perlu untuk menggunakan Pseudonimisasi sebagai strategi mitigasi risiko saat ini.

  1. Kebijakan GSD DRP-BCP

TechVersions menyadari pentingnya rencana Pemulihan Bencana dan Kelangsungan Bisnis yang efektif untuk operasionalnya, termasuk operasional yang melibatkan pemrosesan GSD.

TechVersions akan menjaga cadangan data GSD yang memadai dan kemampuan yang wajar untuk menjaga kelangsungan bisnis jika terjadi keadaan darurat.

  1. Kebijakan Dokumentasi Kepatuhan GSD

Langkah-langkah kepatuhan GDPR harus didokumentasikan agar dapat ditinjau. Dokumentasi kepatuhan harus disimpan minimal selama 6 tahun sejak dibuat.

Apabila suatu dokumen berpotensi menjadi bukti untuk keperluan penegakan hukum atau untuk membela kepentingan sah TechVersions, dokumen tersebut akan disimpan selama kebutuhan tersebut masih ada.

  1. Kebijakan Audit GSD

Tim audit keamanan internal TechVersions wajib mengaudit aset informasi TechVersions setidaknya sekali dalam setahun untuk menilai tingkat keamanan dan kepatuhan terhadap GDPR dan persyaratan peraturan lainnya.

Audit eksternal dapat dipertimbangkan berdasarkan penilaian oleh ISGC setiap kali terjadi perubahan substansial dalam profil bisnis.

TechVersions berhak untuk melakukan audit terhadap fasilitas subkontraktor mana pun untuk memastikan kepatuhan sesuai dengan kewajiban kontraktual.

Namun, TechVersions menyadari bahwa kewenangan untuk mengaudit fasilitas subkontraktor merupakan suatu bentuk keleluasaan dan hanya boleh digunakan dalam keadaan luar biasa. Hal ini tidak mengurangi tanggung jawab subkontraktor untuk memenuhi persyaratan kepatuhan di pihak mereka sesuai dengan jaminan kontraktual yang diberikan.

  1. Kebijakan Penanganan Keluhan GSD

TechVersions akan menyediakan kebijakan penyelesaian pengaduan bertingkat untuk mengatasi perselisihan apa pun dengan subjek data. Pengaduan tersebut akan ditangani oleh DPO di tingkat pertama, ISGC di tingkat kedua, dan Komite Penyelesaian Sengketa Daring yang dibentuk untuk tujuan tersebut oleh Dewan di tingkat ketiga.

Setiap pertanyaan dari otoritas pengawas GDPR akan ditangani oleh DPO dan diteruskan ke ISGC jika diperlukan.

Segala perselisihan dengan Pelanggan, Penerbit, atau Subkontraktor akan ditangani sesuai dengan perjanjian kontrak masing-masing.

  1. Kebijakan Keamanan Jaringan

Untuk memastikan bahwa infrastruktur TI yang digunakan oleh Perusahaan aman, TechVersions akan mengadopsi kebijakan keamanan informasi yang kuat termasuk Firewall, Sistem Deteksi Intrusi, sistem Pencegahan Malware, dan Penambalan Sistem, dll. sesuai kebutuhan.

Manajer Keamanan Informasi yang ditunjuk bertanggung jawab atas pemeliharaan keamanan jaringan.

PS: Kode ini dapat direvisi dari waktu ke waktu.

Versi Teknologi

TechVersions c/o Anteriad LLC
441 Lexington Avenue,
Suite 1404, New York, NY 10017

Solusi

Teknologi

Kebijakan

© 2025 TechVersions c/o Anteriad LLC. Seluruh hak cipta dilindungi undang-undang.