BAGIAN A: Umum
Penerapan
Dokumen ini adalah versi operasional terkini dari kebijakan Kepatuhan GDPR yang berlaku mulai tanggal 25 Mei 2018 dan berlaku untuk aktivitas TechVersions yang terdiri dari entitas berikut.
TechVersions, sebuah perusahaan publikasi teknologi, 8000 Towers Crescent Drive, Lantai 13 Wina, VA 22182
Perkenalan
Aktivitas inti TechVersions adalah memberikan dukungan kepada pelanggannya dalam memasarkan produk B2B dengan menghasilkan arahan yang efektif dari target pasar.
Pembuatan prospek dilakukan melalui riset pasar cerdas yang mengumpulkan data relevan untuk mengidentifikasi niat pembelian perusahaan yang dapat diandalkan melalui berbagai saluran termasuk melalui mitra bisnis yang menggunakan teknologi relevan dalam pemasaran media sosial, pemasaran web, pemasaran email, dan pemasaran jarak jauh.
Dalam proses aktivitas tersebut, TechVersions bertindak sebagai perantara yang memberikan nilai tambah pada rantai pemasaran B2B. Informasi kampanye disediakan oleh Pelanggan yang disempurnakan dan diubah menjadi materi kampanye untuk didistribusikan ke ruang pasar potensial.
Distribusi ke konsumen sasaran akhir dengan penempatan materi kampanye di media yang relevan dilakukan melalui penerbit eksternal yang menghasilkan arahan. Sebagian prospek dihasilkan oleh aktivitas penerbitan internal dan penggunaan alat pemasaran niat korporat inovatif yang dikembangkan oleh tim R&D TechVersions.
Prospek yang dihasilkan oleh penerbit disaring secara cerdas untuk meningkatkan kualitasnya dan diubah menjadi target pemasaran yang dapat ditindaklanjuti sebelum diteruskan ke pelanggan.
TechVersions telah mengembangkan produk, proses, dan sistem pembangkitan informasi yang mencakup pengembangan vendor yang andal dan tenaga kerja terlatih, yang bersama-sama mencerminkan proposisi nilai yang dibawa TechVersions ke ekosistem pemasaran B2B di seluruh dunia. Mempertahankan dan memupuk keahlian ini dan menggunakannya untuk memanfaatkan peluang komersial merupakan kepentingan sah TechVersions.
Kode Kepatuhan GDPR yang diadopsi oleh TechVersions menyatakan bahwa TechVersions berkomitmen terhadap konsep “Privasi sebagai hak dasar warga negara dalam masyarakat demokratis” di seluruh dunia dan dengan itikad baik akan menerapkan semua prinsip Privasi yang diamanatkan berdasarkan GDPR di mana pun. berlaku.
Namun TechVersions mengungkapkan bahwa merupakan kepentingan sahnya untuk menjalankan operasi bisnis yang sah di seluruh dunia sebagai perantara pasar B2B dan merupakan hak demokratis TechVersions untuk menjalankan bisnisnya dengan itikad baik tanpa bertentangan dengan hak-hak TechVersions. individu yang Privasinya ingin dilindungi berdasarkan GDPR.
TechVersions juga mengungkapkan bahwa model bisnisnya mengharuskan pengumpulan hanya Data entitas bisnis yang berada di luar lingkup GDPR dan data Kontak Bisnis yang bukan merupakan data pribadi tetapi mungkin mencakup sebagian informasi identitas pribadi tetapi tidak mencakup data pribadi anak-anak dan Data pribadi yang diklasifikasikan sebagai “Kategori khusus” berdasarkan GDPR.
Paparan GDPR
TechVersionsGroup pada dasarnya adalah “perantara pemasaran B2B” yang beroperasi di seluruh dunia menghasilkan arahan pemasaran dan melayani klien di banyak negara. TechVersions tidak beroperasi di pasar konsumen dan karenanya tidak secara langsung atau tidak langsung mengumpulkan informasi pribadi subjek data UE. Data yang dikumpulkan TechVersions umumnya dalam kategori Data Kontak Bisnis karyawan perusahaan yang antara lain memuat nama, email kantor, dan nomor telepon kantor.
Sebagian dari prospek pemasaran B2B dihasilkan di negara-negara UE dan Inggris. Beberapa Pelanggan yang berlokasi di UE/Inggris juga dapat memanfaatkan layanan TechVersions. Saat ini, sebagian besar interaksi dengan Pelanggan terjadi di AS dan sebagian besar interaksi dengan mitra bisnis Penghasil Prospek terjadi di India.
Oleh karena itu, paparan GDPR TechVersions dikenali ketika Data Kontak Bisnis dikumpulkan dari organisasi bisnis yang beroperasi di wilayah UE/Inggris Raya.
Pendekatan terhadap Kepatuhan GDPR
Untuk memungkinkan penerapan norma seketat mungkin pada pemrosesan data yang terkena Risiko Kepatuhan GDPR, TechVersions mengadopsi kebijakan untuk memperlakukan Data Sensitif GDPR (GSD) sebagai “Data Sensitif” yang mengalir melalui sumber daya TechVersions dengan menandai data masuk dengan tag yang sesuai untuk mengklasifikasikannya sebagai GSD jika memungkinkan.
Perlindungan Privasi subjek data dan Keamanan informasi terkait Perlindungan privasi sehubungan dengan data yang diberi tag GSD diperhitungkan dalam desain struktur pendukung.
Meskipun data diproses di lokasi tertentu dan infrastruktur teknis untuk memproses GSD berlokasi di lokasi tertentu, kesadaran GDPR tingkat perusahaan telah tercipta dan akan terus diupayakan sehingga prinsip Kode Etik GDPR ini meresap ke seluruh organisasi di luar pemrosesan GSD untuk mencakup fungsi Pemasaran, Keuangan, dan Manajerial yang mungkin berlokasi di lokasi berbeda dengan infrastruktur teknis dan administratifnya sendiri.
Untuk menerapkan keamanan secara efektif untuk seluruh infrastruktur pemrosesan data, Perusahaan telah mengadopsi kebijakan keamanan informasi komprehensif yang mencakup beberapa sub-kebijakan mengenai akses data, penyimpanan pemrosesan, transmisi, dll.
Komitmen Privasi
TechVersions menyadari bahwa “Privasi” adalah hak demokratis yang penting dalam masyarakat sipil. Sebagai entitas perusahaan yang bertanggung jawab, TechVersions berkomitmen terhadap perlindungan privasi semua individu yang data pribadinya dimasukkan ke dalam penyimpanan data perusahaan untuk diproses.
Mengingat kehadiran Pelanggan di UE/Inggris dan pemantauan aktivitas karyawan perusahaan yang tinggal di UE/Inggris, TechVersions telah memilih untuk mengadopsi standar Kepatuhan GDPR terhadap perlindungan Privasi semua orang yang mungkin berinteraksi dengan grup meskipun interaksi tersebut hanya dalam kapasitasnya sebagai pegawai dari badan usaha yang berbeda untuk mencapai tujuan bisnis dari organisasi usahanya masing-masing.
Kepentingan Sah
Aktivitas Inti TechVersions melibatkan pemrosesan data terkait pembelian berbagai produk untuk penggunaan korporat. Spektrum aktivitas meliputi Pengumpulan, Agregasi, Analisis, Segmentasi, dan pemantauan maksud. Dalam proses pemrosesan tersebut, TechVersions menambahkan nilai pada data mentah yang dikumpulkan dari lingkungan bisnis dan mengubahnya menjadi informasi bantuan keputusan bisnis yang bernilai tambah.
Data Mentah yang dikumpulkan diakui sebagai data milik subjek data dan hak Subjek Data berdasarkan GDPR berlaku. Nilai tambah pada data yang terjadi selama proses timbul dari kemampuan pemrosesan data milik TechVersions yang mana TechVersions memiliki klaim hak kekayaan intelektual pada tingkat tertentu.
Jika ada data yang telah disamarkan, data yang diberi nama samaran tersebut akan dianggap sebagai data yang TechVersions mempunyai kepentingan sah untuk digunakan dalam penelitian lebih lanjut. Data yang tidak disamarkan bahkan dalam status nilai tambah tunduk pada pelaksanaan hak Subjek Data seperti Akses, Perbaikan, Pembatasan, Portabilitas, dan Penghapusan. Data yang disamarkan, jika ada, tidak akan diklasifikasikan sebagai sensitif terhadap GDPR.
TechVersions memiliki kepentingan bisnis yang sah sebagaimana diakui berdasarkan Pasal 6(1)(f) peraturan GDPR UE, dalam pengumpulan dan pemrosesan data terkait Bisnis seperti firmografi dan data Kontak Bisnis pejabat pengambil keputusan di entitas bisnis
Selain itu, bisnis TechVersions melibatkan operasi di dalam dan di luar negara-negara UE dan karenanya tunduk pada kewajiban hukum berbagai negara terkait Pemrosesan Data serta undang-undang lain yang berlaku untuk bisnis pada umumnya dan aktivitas terkait TI pada khususnya, sebagaimana diatur dalam Pasal 6 (1)(c) peraturan GDPR UE.
Lebih lanjut, TechVersions telah mengadopsi praktik bisnis untuk pemrosesan yang sah dengan menggabungkan prinsip-prinsip GDPR UE sebagaimana dinyatakan dalam Pasal 6, termasuk mendapatkan persetujuan eksplisit jika diperlukan dan mematuhi persyaratan kewajiban kontrak dengan subjek data jika ada.
Oleh karena itu, kebijakan TechVersions tentang Privasi dan Perlindungan Data disusun dengan kontrol Privasi dan Keamanan Informasi khusus yang mengatasi masalah pengidentifikasian data sensitif GDPR pada tahap asal dan masuk ke sistem TechVersions dan menandainya sepanjang siklus hidup pemrosesannya.
Memperluas Cakupan Kepatuhan terhadap Ekosistem Pemrosesan Data
Lebih jauh lagi, dengan tetap menjaga tujuan legislatif untuk melindungi hak fundamental atas privasi individu, yang dinyatakan dalam GDPR UE, kontrol Teknis dan Organisasi/Administrasi yang sesuai dipertahankan untuk memastikan bahwa semua rekan bisnis hilir yang mungkin memiliki akses ke data sensitif GDPR untuk diproses atas nama TechVersions juga mematuhi GDPR.
TechVersions menyadari bahwa di sebagian besar operasinya, ini bukanlah “Pengontrol Data” namun merupakan “Pemroses Data” untuk tujuan GDPR. Ia dapat mengambil peran sebagai “Pengendali Bersama” ketika ia menggunakan jasa sub-kontraktor untuk setiap bagian pemrosesannya.
Dengan tetap memperhatikan peran-peran ini, kebijakan dan kontrol TechVersions disusun untuk memastikan kepatuhan terhadap GDPR, termasuk pemeliharaan kontrol Teknis dan Organisasi/Administrasi yang sesuai agar mereka selalu mendapat informasi tentang aktivitas kepatuhan GDPR dari mitra bisnisnya dan juga berbagi dengan mereka tentang Kepatuhan GDPR milik TechVersions. tindakan yang mungkin diperlukan.
Keterbatasan Dokumen Ini
Paragraf berikut memberikan kebijakan umum TechVersions untuk kepatuhan GDPR di tingkat Perusahaan yang menyoroti pendekatan TechVersions dalam mencapai tingkat kepatuhan yang memuaskan terhadap prinsip-prinsip GDPR dalam operasinya.
Dokumen kebijakan ini dimaksudkan untuk dibagikan secara terbatas kepada pemangku kepentingan termasuk entitas bisnis di luar TechVersions dan karenanya mengecualikan informasi kepemilikan pada pemrosesan yang penting untuk melindungi Kekayaan Intelektual organisasi.
Setiap permintaan pengungkapan informasi di luar apa yang dinyatakan di sini akan ditangani berdasarkan Kebijakan Pengungkapan Data TechVersions dan permintaan tersebut dapat diarahkan ke Manajer Privasi melalui email terotentikasi yang tidak bereputasi baik.
Bagian B: Garis Besar Kebijakan Khusus
- Tanggung Jawab yang Ditugaskan
TechVersions telah menunjuk Manajer Privasi yang akan menjadi penghubung untuk menangani semua permintaan dan keluhan subjek data. Mengingat tingkat paparan risiko terhadap data sensitif GDPR saat ini di TechVersions, aktivitas inti TechVersions dianggap tidak melibatkan pemantauan sistematis dan skala besar terhadap subjek data UE atau menawarkan layanan apa pun kepada individu di UE dan oleh karena itu terdapat tidak ada persyaratan untuk menunjuk “Petugas Perlindungan Data” sebagaimana diatur dalam GDPR.
Komite Tata Kelola Keamanan Informasi (ISGC) akan bertanggung jawab secara keseluruhan atas Keamanan Informasi termasuk kepatuhan GDPR. Badan ini akan menjadi badan pembuat kebijakan tertinggi di TechVersions, yang bertanggung jawab untuk menetapkan semua kebijakan keamanan informasi termasuk kebijakan GDPR dan akan memantau kebutuhan untuk menunjuk seseorang atau konsultan sebagai Petugas Perlindungan Data pada waktunya.
- Klasifikasi Data
TechVersions tidak terlibat dalam pemasaran kepada individu mana pun dan oleh karena itu biasanya tidak mengumpulkan data identitas pribadi berdasarkan ketentuan peraturan GDPR. Namun, semua data pribadi yang berpotensi dapat diidentifikasi seperti alamat email dan nomor telepon karyawan suatu organisasi diklasifikasikan sebagai “Sensitif GDPR” jika unit bisnis atau karyawan tersebut diketahui berlokasi di UE/Inggris Raya.
Oleh karena itu, seluruh kumpulan data Kontak Bisnis yang terkait dengan alamat lokasi fisik di UE/Inggris Raya diidentifikasi sebagai Data Sensitif GDPR (GSD) dan diberi tag selama pemrosesan lebih lanjut dalam organisasi.
Jika tidak ada informasi lokasi fisik subjek data, lokasi fisik organisasi bisnis terkait akan dianggap relevan.
- Audit Data
Sekali sebelum tanggal 25 Mei 2018 dan setelahnya pada interval bulanan atau sebagaimana ditentukan lain oleh ISGC, kumpulan data yang disimpan akan diverifikasi untuk menemukan GSD apa pun dan memverifikasi persyaratan kepatuhan yang terkait dengannya seperti apakah data perlu diarsipkan, dihapus, atau secara khusus. diamankan.
Kumpulan data GSD apa pun yang tidak disertai dengan “Persetujuan” atau “Catatan Bunga Sah” yang sesuai akan direkomendasikan untuk dihapus.
Saat dikonfirmasi, data tersebut akan dihapus secara forensik.
- Penilaian Dampak GDPR
Penilaian Kesenjangan GDPR telah dilakukan dan tindakan perbaikan telah diterapkan sebagaimana diperlukan sebelum tanggal 25 Mei 2018. Setelah tanggal 25 Mei 2018, Penilaian Dampak Perlindungan Data (DPIA) akan dilakukan setiap kali proyek baru yang signifikan dilaksanakan ketika ISGC mengidentifikasi kebutuhan.
- Kebijakan Penerimaan Bisnis Baru
Pada atau setelah tanggal 25 Mei 2018, seluruh komitmen bisnis baru yang melibatkan pemrosesan data akan tunduk pada persetujuan ISGC dengan catatan Penilaian Dampak GDPR khusus yang diserahkan dari DPO melalui konsultasi dengan tim Teknis yang bertanggung jawab atas pemrosesan tersebut.
- Kebijakan Penyimpanan Data GSD
GSD akan disimpan dalam sistem yang hanya dapat diakses oleh orang yang ditunjuk berdasarkan “Dasar Perlu Diketahui” yang ketat.
Setiap kumpulan GSD harus ditandai dengan Pengontrol Data yang menjadi sumbernya dan bertanggung jawab atas pengumpulan data berdasarkan persetujuan atau kontrak.
Pembatasan spesifik apa pun yang terkait dengan kumpulan data tersebut juga harus ditandai dengan kumpulan data tersebut.
Penyimpanan Data akan memungkinkan kumpulan data individual ditempatkan dan diproses untuk pelaksanaan hak Subjek Data seperti permintaan perbaikan data, portabilitas data, penghapusan data, atau akses data kapan saja selama siklus hidupnya.
- Kebijakan Akses Data GSD
GSD harus diakses sesuai dengan kebijakan Kontrol Akses yang memastikan bahwa setiap kumpulan data GSD harus memiliki parameter akses spesifik yang menentukan siapa yang dapat mengakses data dan cara mereka mengakses data. Hanya mereka yang ditetapkan sebagai tenaga kerja GSD yang boleh mengakses kumpulan data GSD.
Penggunaan parameter akses seperti Kata Sandi harus ditentukan dengan tingkat kerumitan dan keunikan sebagaimana diperlukan dan dilengkapi dengan tag Enkripsi dan ID Mesin sehingga data GSD hanya dapat diakses dari perangkat keras tertentu yang ditetapkan ke tenaga kerja GSD resmi.
Jika penyimpanan data dilakukan di cloud, hanya layanan cloud yang sesuai dengan GDPR yang akan digunakan bersama dengan kontrol tambahan yang mungkin diperlukan untuk memastikan bahwa data pada penyimpanan dan transit akan dilindungi dari akses yang tidak sah.
GSD khusus proyek harus disimpan sedemikian rupa sehingga hanya karyawan yang terkait dengan proyek tertentu yang dapat mengakses data tersebut. Akses lintas proyek diatur berdasarkan kebutuhan.
- Kebijakan Penyimpanan Data GSD
GSD harus disimpan dalam lingkungan proses aktif hanya untuk jangka waktu minimum yang diperlukan untuk pemrosesan. Setelah itu, data harus diarsipkan dengan aman sesuai persyaratan yang diidentifikasi berdasarkan kepentingan yang sah, misalnya hingga siklus penagihan proyek selesai.
Selanjutnya, data akan disimpan dalam pengarsipan yang aman atau dimusnahkan sesuai dengan persyaratan kepentingan sah Perusahaan yang teridentifikasi.
Tinjauan bulanan terhadap data yang diarsipkan harus dilakukan untuk mengidentifikasi data yang tidak lagi diperlukan yang harus dirujuk ke ISGC untuk instruksi pembuangan.
Kewajiban hukum mengenai penyimpanan data yang mungkin timbul karena peraturan perundang-undangan yang tumpang tindih harus diperhitungkan dalam penilaian kepentingan yang sah.
- Kebijakan Pengungkapan Data GSD
Setiap permintaan pengungkapan GSD biasanya hanya diterima dari Pengontrol Data sumber.
Diketahui bahwa permintaan yang diterima langsung dari subjek data memiliki risiko phishing dan permintaan tersebut, jika ada, akan dirujuk ke Pengontrol Data terkait yang mengumpulkan data dari subjek data berdasarkan persetujuan atau kontrak yang mungkin ada di antara mereka.
Data yang akan diungkapkan hanya akan dikirim ke Pengontrol Data untuk transmisi selanjutnya ke Subjek Data setelah mengautentikasi dengan benar identitas perwakilan Pengontrol Data yang mengajukan permintaan.
Dalam keadaan luar biasa di mana data perlu diungkapkan secara langsung kepada subjek data atau perwakilan resminya atau otoritas penegak hukum, otentikasi yang memadai atas identitas orang yang mengajukan permintaan harus dipastikan.
Semua permintaan pengungkapan data harus disetujui oleh ISGC sebelum data dirilis dan permintaan serta dokumen penilaian harus dianggap sebagai dokumentasi kepatuhan GDPR yang diwajibkan.
- Kebijakan Manajemen Insiden Data GSD
Sebuah “Insiden” berdasarkan kode ini adalah pengamatan apa pun yang berpotensi menunjukkan bahwa kode kepatuhan GSD atau kebijakan atau prosedur apa pun di dalamnya telah dilanggar baik ada data yang diduga telah disusupi atau tidak.
Kebijakan pelapor pelanggaran (whistleblower) dapat digunakan untuk memastikan bahwa insiden dilaporkan dengan segera oleh pengamat mana pun, baik di dalam maupun di luar Perusahaan.
Setiap insiden yang diketahui oleh TechVersions harus dicatat dalam Daftar Manajemen Insiden GSD dan dirujuk ke DPO untuk segera ditindaklanjuti.
DPO harus meninjau laporan insiden dan mengambil langkah segera untuk menyelesaikan insiden tersebut dan juga melaporkan insiden tersebut ke ISGC.
ISGC akan segera mengadakan pertemuan dan mengevaluasi insiden tersebut untuk mengidentifikasi apakah insiden tersebut melibatkan dugaan pelanggaran data. Jika diperlukan, ISGC dapat segera memerintahkan audit techno legal untuk melakukan penilaian risiko atas insiden tersebut. Berdasarkan penilaian risiko, ISGC akan memutuskan perlunya tindakan lebih lanjut termasuk mengirimkan pemberitahuan pelanggaran data kepada Pengendali Data yang terkait dengan Data.
Sebuah insiden dimana GSD telah diakses oleh karyawan lain dalam organisasi dianggap sebagai Insiden Keamanan dan belum tentu merupakan “Pelanggaran”. Namun, insiden tersebut harus diselidiki untuk mengetahui penyebab akses yang tidak sah dan jika itu adalah akses yang tidak disengaja, hal tersebut dapat diselesaikan dengan tindakan disipliner internal yang sesuai sesuai dengan kebijakan SDM. Jika data tidak dipindahkan atau diakses oleh pihak luar, insiden tersebut dapat diklasifikasikan sebagai kecelakaan data internal yang bukan merupakan pelanggaran.
Jika akses atau data yang dipindahkan diketahui berada dalam bentuk terenkripsi dan berada dalam kondisi yang tidak dapat diuraikan oleh penerima, tergantung pada penyelidikan internal yang sesuai mengenai keamanan kunci dekripsi terkait, akses tersebut dapat diklasifikasikan sebagai kecelakaan data internal yang bukan merupakan pelanggaran.
- Kebijakan Pemberitahuan Pelanggaran Data GSD
Insiden “Pelanggaran Data” adalah insiden di mana TechVersions, setelah melakukan penyelidikan yang diperlukan, mengetahui bahwa akses ke kumpulan data tertentu di bawah GSD telah disusupi dan entitas eksternal telah mengakses atau mengirimkan kumpulan GSD.
Insiden pelanggaran data tersebut harus segera dilaporkan ke ISGC yang tanpa penundaan lebih lanjut akan memberi tahu Pengendali Data terkait dengan kumpulan data beserta rincian insiden yang relevan.
Laporan tersebut harus merinci sifat dan tingkat pelanggaran, waktu dan tanggal pelanggaran, rincian subjek data yang terkena dampak, tindakan yang diambil setelah mengetahui adanya pelanggaran, dll. Jika diperlukan, pelanggaran data juga dapat dilaporkan ke a otoritas pengawas.
- Kebijakan Manajemen Hak Subjek Data GSD
Sistem pemrosesan data TechVersions telah memasukkan “Privasi dan Keamanan berdasarkan desain” sehingga memungkinkan kepatuhan terhadap persyaratan GDPR khususnya sehubungan dengan Hak Subjek Data yang diberikan berdasarkan GDPR.
Untuk memenuhi hak-hak subjek data seperti “Akses”, “Perbaikan”, “Penghapusan”, “Portabilitas”, dan Hak untuk menerapkan “Pembatasan”, TechVersions telah mengaktifkan penyimpanan GSD dan sistem aksesnya sedemikian rupa sehingga a kumpulan data milik subjek data tertentu dapat diekstraksi secara terpisah dan diproses.
Oleh karena itu, sistem ini telah dirancang agar mematuhi persyaratan GDPR yang paling ketat.
Setiap kali permintaan untuk melaksanakan hak tersebut diterima dari Subjek Data, sesuai dengan kebijakan pengungkapan Data, permintaan tersebut terlebih dahulu divalidasi dan kemudian jika data telah diterima dari Pengontrol Data, pengontrol data akan diminta untuk mengonfirmasi keterbukaan data.
Biasanya, permintaan diproses dalam komunikasi dengan pengontrol data dan jika ingin di-porting, permintaan tersebut dikembalikan ke pengontrol data.
Dalam keadaan luar biasa ketika TechVersions harus menangani permintaan subjek data tanpa kerja sama pengontrol data, tindakan pencegahan yang tepat akan diambil untuk mencegah pengungkapan yang salah karena akan menjadi kepentingan sah TechVersions untuk mendapat ganti rugi terhadap kemungkinan pengungkapan yang salah. .
- Kebijakan Transmisi Data GSD
Data GSD biasanya mengalir ke sistem melalui antarmuka aplikasi (API). Akses ke antarmuka dilakukan melalui sistem akses kata sandi aman yang dilengkapi dengan autentikasi faktor kedua yang sesuai jika risiko GSD signifikan teridentifikasi.
Transmisi data didasarkan pada enkripsi yang tunduk pada manajemen keamanan transmisi yang mencakup kerentanan yang diketahui.
Aplikasi itu sendiri beserta elemen penyimpanan dan pemrosesan yang melekat serta API diamankan dari akses tidak sah dan serangan berbahaya oleh malware yang sesuai dan sistem manajemen akses yang aman
Apabila kumpulan GSD juga dikirimkan ke Pelanggan atau Subkontraktor, transmisi tersebut dikelola melalui saluran komunikasi terenkripsi baik melalui API atau email terenkripsi.
- Kebijakan Penggunaan Pemasaran GSD
Ketika TechVersions menggunakan GSD untuk tujuan pemasaran apa pun baik melalui Email atau Telecalling atau lainnya, kehati-hatian dilakukan untuk memastikan bahwa ada persetujuan atau kontrak yang sesuai untuk memungkinkan komunikasi tersebut.
TechVersions juga menegaskan bahwa mitranya baik penghasil utama, pemroses subkontrak, dan pelanggan tidak menggunakan GSD kecuali sesuai izin yang tersedia.
Jika persetujuan yang jelas tidak tersedia, tidak ada data kontak bisnis yang dikumpulkan dari penghasil prospek atau diteruskan ke pelanggan atau diproses melalui subkontraktor.
Data tersebut akan dimatikan pertama kali ketika memasuki sistem TechVersions dan diidentifikasi sebagai “GSD tanpa persetujuan pemrosesan yang tepat”.
- Kebijakan Izin GSD
Semua informasi yang diklasifikasikan sebagai GSD berdasarkan subjek data yang berlokasi di UE/Inggris Raya atau perusahaannya berlokasi di UE/Inggris Raya akan diterima hanya jika subjek data telah memberikan persetujuan eksplisit berdasarkan format yang diwajibkan berdasarkan GDPR.
Dalam skenario pra-GDPR, persetujuan tersebut umumnya dikumpulkan berdasarkan prinsip pemrosesan data pribadi yang mencakup Pemberitahuan Privasi. Pemberitahuan Privasi tersebut menunjukkan informasi apa yang dikumpulkan, tujuan pengumpulan, waktu penyimpanannya, cara mengamankannya, apakah informasi tersebut akurat, apakah informasi tersebut akan ditransfer ke luar UE untuk diproses, dll., Beberapa persetujuan didasarkan pada prinsip “Ikut serta” sebagai pengaturan default.
Berdasarkan GDPR, data pribadi harus dikumpulkan hanya berdasarkan Persetujuan Eksplisit di mana “Tidak Memilih” adalah opsi default dan hanya berdasarkan tindakan afirmatif yang menunjukkan penerimaan, maka persetujuan tersebut akan diterima.
Selain itu, pemberitahuan Privasi juga harus menunjukkan bahwa subjek Data memiliki hak-hak tertentu seperti “Hak untuk diberitahu tentang identitas pemroses hilir”, “Hak untuk mengakses dan memperbaiki”, “Hak atas Portabilitas dan Penghapusan”.
Mengingat persyaratan baru ini, semua persetujuan yang diperoleh dalam format pra-GDPR akan dianggap tidak valid dan data tersebut akan dibuang oleh TechVersions.
Penerbit Eksternal yang menghasilkan Prospek untuk TechVersions harus mengonfirmasi melalui kontrak mereka bahwa mereka hanya akan memberikan prospek yang dihasilkan dengan bentuk persetujuan baru jika subjek data berlokasi di UE/Inggris Raya.
- Kebijakan Komunikasi Pemangku Kepentingan GSD
TechVersions beroperasi melalui banyak organisasi eksternal yang merupakan pemangku kepentingan dalam program kepatuhan GDPR TechVersions. Organisasi tersebut mencakup Pelanggan, Penghasil Utama, Sub-Kontraktor, dll.
Untuk kepatuhan yang efektif, data GSD tidak boleh dipertukarkan dalam komunikasi apa pun dengan pemangku kepentingan kecuali melalui transmisi yang aman dan hanya kepada perwakilan resmi.
Meskipun komunikasi melalui API dikontrol oleh kebijakan akses, komunikasi lainnya melalui email harus dikontrol dengan kebijakan Komunikasi Email.
Pada dasarnya, kebijakan Komunikasi Email harus menetapkan bahwa pembagian informasi kepatuhan GSD atau GDPR kepada pemangku kepentingan hanya boleh dilakukan melalui alamat email kontak yang diberitahukan, yang dalam sebagian besar kasus akan menjadi DPO organisasi lain, jika diperlukan Komunikasi email dapat dienkripsi dan diautentikasi dengan tanda tangan digital.
- Kebijakan Identifikasi Kepentingan Sah GSD
TechVersions mengakui bahwa hak-hak tertentu dari subjek data seperti Penghapusan Data atau Perbaikan Data dapat bertentangan dengan persyaratan kepentingan sah TechVersionsor mungkin bertentangan dengan undang-undang penyimpanan data yang mungkin berlaku untuk data mengingat kewajiban undang-undang lainnya .
Dalam semua kasus Hak Subjek Data diterapkan, TechVersions akan mengevaluasi permintaan tersebut sebelum mengambil tindakan lebih lanjut. Jika TechVersions menyadari adanya kebutuhan untuk menolak permintaan atau memodifikasinya agar dapat diterima, alasannya akan didokumentasikan dan catatan kepentingan GSD Sah akan dikembangkan oleh ISGC.
Jika data tidak diperlukan untuk aktif, data tersebut dapat diarsipkan dengan aman hingga kepentingan sahnya berakhir.
Alasan untuk menggunakan argumen kepentingan yang sah untuk memproses permintaan subjek data harus disampaikan kepada Pengendali Data yang bertanggung jawab atas Subjek Data untuk transmisi selanjutnya ke subjek data.
- Kebijakan Manajemen Sumber Daya Manusia GSD
GSD akan dianggap sebagai kumpulan data yang memerlukan perhatian eksklusif dan khusus dalam hal keamanan informasi selama berada dalam pengawasan TechVersions.
Oleh karena itu, GSD akan diberi tag dan diproses sesuai kebutuhan oleh sekelompok karyawan yang terlatih secara khusus.
Para karyawan ini dan sistem tempat GSD akan disimpan, diakses, dan diproses akan dikelola dengan aman dengan mempertimbangkan tingkat risiko yang terkait dengan GSD.
Penugasan orang-orang untuk pemrosesan GSD ini dan penghapusannya harus dikelola dengan langkah-langkah keamanan yang sesuai termasuk verifikasi latar belakang tingkat yang lebih tinggi, pelatihan, identitas akses fisik, kebijakan sanksi, dll.
Kebijakan SDM perlu ditingkatkan secara tepat untuk tenaga kerja GSD jika diperlukan.
- Kebijakan Pseudonimisasi GSD
Diketahui bahwa Pseudonimisasi merupakan strategi untuk mengurangi risiko dalam pemrosesan GSD.
Data pribadi yang disamarkan tidak dianggap sebagai “Data Pribadi” untuk tujuan peraturan GDPR asalkan proses Pseudonimisasi terstruktur secara memadai.
Mengingat tingkat paparan operasinya terhadap Risiko GDPR saat ini; TechVersions saat ini tidak menganggap perlu menggunakan nama samaran sebagai strategi mitigasi risiko.
- Kebijakan GSD DRP-BCP
TechVersions menyadari pentingnya rencana Pemulihan Bencana dan Kesinambungan Bisnis yang efektif untuk operasinya termasuk operasi yang melibatkan pemrosesan GSD.
TechVersions akan menjaga cadangan data GSD yang memadai dan kemampuan yang wajar untuk menjaga Kelangsungan Bisnis jika terjadi keadaan darurat.
- Kebijakan Dokumentasi Kepatuhan GSD
Langkah-langkah kepatuhan GDPR harus didokumentasikan agar tersedia untuk ditinjau. Dokumentasi Kepatuhan harus disimpan untuk jangka waktu minimal 6 tahun sejak pembuatannya.
Jika dokumen apa pun merupakan bukti potensial untuk persyaratan penegakan hukum atau untuk membela kepentingan sah TechVersions, dokumen tersebut akan disimpan selama persyaratan tersebut masih ada.
- Kebijakan Audit GSD
Tim audit Keamanan Internal TechVersions harus mengaudit aset informasi TechVersions setidaknya sekali dalam setahun untuk menilai tingkat keamanan dan kepatuhan terhadap GDPR dan persyaratan peraturan lainnya.
Audit eksternal dapat dipertimbangkan berdasarkan penilaian ISGC setiap kali terjadi perubahan substansial dalam profil bisnis.
TechVersions berhak melakukan audit terhadap fasilitas sub-kontraktornya untuk memastikan kepatuhan sesuai kewajiban kontrak.
Namun TechVersions mengakui bahwa kewenangan untuk mengaudit fasilitas subkontraktor adalah pemberdayaan dan hanya boleh digunakan dalam keadaan luar biasa. Hal ini tidak mengurangi tanggung jawab subkontraktor untuk memenuhi persyaratan kepatuhan pada akhirnya sesuai dengan jaminan kontrak yang diberikan.
- Kebijakan Penanganan Keluhan GSD
TechVersions akan memberikan kebijakan penyelesaian Keluhan multi-level untuk menyelesaikan perselisihan jika ada dengan subjek data apa pun. Keluhan tersebut akan ditangani oleh DPO di tingkat pertama, ISGC di tingkat kedua, dan Komite Penyelesaian Sengketa Online yang dibentuk untuk tujuan tersebut oleh Dewan di tingkat ketiga.
Setiap pertanyaan dari otoritas pengawas GDPR akan ditangani oleh DPO dan diteruskan ke ISGC jika diperlukan.
Setiap perselisihan dengan Pelanggan, Penerbit atau Sub Kontraktor akan ditangani sesuai perjanjian kontrak masing-masing.
- Kebijakan Keamanan Jaringan
Untuk memastikan bahwa infrastruktur TI yang digunakan oleh Perusahaan aman, TechVersions harus menerapkan kebijakan keamanan informasi yang kuat termasuk Firewall, Sistem Deteksi Intrusi, sistem Pencegahan Malware, dan Patching Sistem, dll. sesuai kebutuhan.
Manajer Keamanan Informasi yang ditunjuk bertanggung jawab atas pemeliharaan keamanan Jaringan.
PS: Kode ini dapat direvisi dari waktu ke waktu.