DASAR PERUNDANGAN REGULASI DATA AM
1. Pernyataan Dasar
Setiap hari perniagaan kita akan menerima, menggunakan dan menyimpan maklumat peribadi mengenai pelanggan, pembekal, calon temuduga dan rakan sekerja kita. Adalah penting bahawa maklumat ini dikendalikan secara sah dan sewajarnya selaras dengan keperluan Akta Perlindungan Data 2018 dan Peraturan Perlindungan Data Umum (secara kolektif dirujuk sebagai 'Keperluan Perlindungan Data').
Kami mengambil tanggungjawab perlindungan data kita dengan serius, kerana kami menghormati kepercayaan yang diberikan kepada kami untuk menggunakan maklumat peribadi secara sewajarnya dan bertanggungjawab.
2. Mengenai Dasar Ini
Dasar ini, dan sebarang dokumen lain yang dirujuk di dalamnya, menetapkan dasar di mana kami akan memproses mana-mana data peribadi yang kami kumpul atau proseskan.
Dasar ini tidak membentuk sebahagian daripada kontrak pekerjaan mana-mana pekerja dan boleh dipinda pada bila-bila masa.
Alex Smit adalah Pegawai Perlindungan Data (DPO) kami, dan bertanggungjawab untuk memastikan pematuhan syarikat dengan Keperluan Perlindungan Data dan dengan dasar ini. Sebarang pertanyaan mengenai operasi dasar ini atau sebarang kebimbangan bahawa dasar ini tidak dipatuhi, hendaklah dirujukkan pada DPO syarikat, atau dilaporkan selaras dengan dasar Penderitaan syarikat kami (rujuk kepada Buku Panduan Pekerja).
3. Apakah Data Peribadi?
Data peribadi bermaksud data (sama ada disimpan secara elektronik atau berdasarkan kertas) yang berkaitan dengan individu yang hidup yang boleh dikenalpasti secara langsung atau tidak langsung daripada data tersebut (atau daripada data tersebut dan maklumat lain yang kami miliki).
Pemprosesan adalah sebarang aktiviti yang melibatkan penggunaan data peribadi. Ia termasuk mendapatkan, Merekodkan atau menyimpan data, mengatur, meminda, mengambil semula, menggunakan, mendedahkan, memadam atau menghancurkannya. Pemprosesan juga termasuk pemindahan data peribadi kepada pihak ketiga.
Data peribadi sensitif termasuk data peribadi mengenai asal usul ras atau etnik seseorang, pendapat politik, kepercayaan agama atau falsafah, keahlian kesatuan sekerja, genetik, biometrik, keadaan kesihatan fizikal atau mental, orientasi seksual atau kehidupan seksual. Ia juga boleh merangkumi data mengenai kesalahan atau kesalahan jenayah. Data peribadi sensitif hanya boleh diproses di bawah syarat-syarat yang ketat, termasuk dengan persetujuan individu.
4. Prinsip Perlindungan Data
Sesiapa yang memproses data peribadi, harus memastikan bahawa data tersebut:
a. Diproses secara adil, sah dan secara terbuka.
b. Dikumpul untuk tujuan yang dinyatakan, jelas dan sah serta sebarang pemprosesan lanjut dilakukan untuk tujuan yang serasi.
c. Mencukupi, berkaitan dan terhad kepada apa yang diperlukan untuk tujuan yang dimaksudkan.
d. Tepat, dan jika perlu, dikekalkan sehingga kini.
e. Disimpan dalam bentuk yang membenarkan pengenalpastian tidak lebih lama daripada yang diperlukan untuk tujuan yang dimaksudkan.
f. Diproses selaras dengan hak individu dan dengan cara yang memastikan keselamatan yang sesuai bagi data peribadi, termasuk perlindungan daripada pemprosesan yang tidak dibenarkan atau melawan undang-undang dan daripada kehilangan, pemusnahan atau kerosakan secara tidak sengaja, menggunakan langkah-langkah teknikal atau organisasi yang sesuai.
g. Tidak dipindahkan kepada individu atau organisasi yang berada di negara tanpa perlindungan yang mencukupi dan tanpa memberi amaran terlebih dahulu kepada individu.
5. Pemprosesan yang Adil dan Sah
Keperluan Perlindungan Data tidak bertujuan untuk menghalang pemprosesan data peribadi, tetapi untuk memastikan bahawa ia dilakukan secara adil dan tanpa menjejaskan hak individu.
Selaras dengan Keperluan Perlindungan Data, kami hanya akan memproses data peribadi di mana ia diperlukan untuk tujuan yang sah. Tujuan yang sah termasuk (antara lain): sama ada individu tersebut telah memberi persetujuan, pemprosesan adalah diperlukan untuk melaksanakan kontrak dengan individu, untuk mematuhi kewajipan undang-undang, atau untuk kepentingan sah perniagaan. Apabila data peribadi sensitif diproses, syarat-syarat tambahan harus dipenuhi.
6. Pemprosesan untuk Tujuan Terhad
Semasa perniagaan kita, kami mungkin mengumpul dan memproses data peribadi. Ini mungkin termasuk data yang kami terima secara langsung dari subjek data (contohnya, dengan mengisi borang atau dengan berkomunikasi dengan kami melalui mel, telefon, emel atau sebaliknya) dan data yang kami terima dari sumber lain (termasuk, sebagai contoh, data lokasi, rakan niaga, sub-kontraktor dalam perkhidmatan teknikal, pembayaran dan penghantaran, agensi rujukan kredit dan lain-lain).
Kami hanya akan memproses data peribadi untuk tujuan yang khusus seperti yang tertera dalam Jadual 1 atau untuk sebarang tujuan lain yang secara khusus dibenarkan oleh Keperluan Perlindungan Data. Kami akan memberitahu tujuan-tujuan tersebut kepada subjek data apabila kami mengumpulkan data pertama kali atau secepat mungkin selepas itu.
7. Memaklumkan Individu
Jika kami mengumpul data peribadi secara langsung dari seorang individu, kami akan memaklumkan kepada mereka mengenai:
a. Tujuan atau tujuan di mana kami bercadang untuk memproses data peribadi tersebut, serta asas undang-undang untuk pemprosesan tersebut.
b. Di mana kami bergantung kepada kepentingan sah perniagaan untuk memproses data peribadi, kepentingan sah yang dikejar.
c. Jenis pihak ketiga, jika ada, dengan mana kami akan berkongsi atau mendedahkan data peribadi tersebut.
d. Bagaimana individu boleh mengehadkan penggunaan dan pendedahan data peribadi mereka oleh kami.
e. Maklumat mengenai tempoh di mana maklumat mereka akan disimpan, atau kriteria yang digunakan untuk menentukan tempoh tersebut.
f. Hak mereka untuk meminta dari kami sebagai pihak kawal akses kepada dan pembetulan atau pemadaman data peribadi atau sekatan pemprosesan.
g. Hak mereka untuk memberi bantahan terhadap pemprosesan dan hak mereka untuk pemudah alihan data.
h. Hak mereka untuk menarik balik persetujuan mereka pada bila-bila masa (jika persetujuan telah diberikan) tanpa menjejaskan kebolehsahan pemprosesan sebelum persetujuan ditarik balik.
i. Hak untuk membuat aduan kepada Pejabat Pengerusi Maklumat.
j. Sumber-sumber lain di mana data peribadi mengenai individu itu berasal dan sama ada data itu datang dari sumber-sumber yang boleh diakses oleh umum.
k. Sama ada pembekalan data peribadi itu adalah keperluan statutori atau kontraktual, atau keperluan yang diperlukan untuk memasuki kontrak, serta sama ada individu tersebut diwajibkan untuk memberikan data peribadi dan apa-apa akibat kegagalan untuk memberikan data.
Jika kami menerima data peribadi mengenai seorang individu dari sumber-sumber lain, kami akan menyediakan maklumat ini kepada mereka secepat mungkin (selain daripada memberitahu mereka mengenai kategori data peribadi yang berkenaan) tetapi paling lambat dalam tempoh 1 bulan.
Kami juga akan memaklumkan kepada subjek data yang data peribadi mereka diproses, bahawa kami adalah pengawal data berkenaan data itu, maklumat hubungan kami dan siapa DPO.
8. Pemprosesan yang Cukup, Berkaitan dan Tidak Berlebihan
Kami hanya akan mengumpulkan data peribadi sejauh yang diperlukan untuk tujuan khusus yang dimaklumkan kepada subjek data.
9. Data yang Tepat
Kami akan memastikan bahawa data peribadi yang kami miliki adalah tepat dan dikemaskini. Kami akan memeriksa ketepatan mana-mana data peribadi pada ketika pengumpulan dan pada selang masa yang teratur seterusnya. Kami akan mengambil langkah-langkah yang munasabah untuk memusnahkan atau meminda data yang tidak tepat atau usang.
10. Pemprosesan yang Segera
Kami tidak akan menyimpan data peribadi lebih lama daripada yang diperlukan untuk tujuan atau tujuan bagi yang data tersebut dikumpulkan. Kami akan mengambil semua langkah yang munasabah untuk memusnahkan, atau memadam dari sistem kami, semua data yang tidak lagi diperlukan.
11. Pemprosesan selaras dengan Hak Subjek Data
Kami akan memproses semua data peribadi selaras dengan hak subjek data, khususnya hak mereka untuk:
a. Pengesahan sama ada data peribadi mengenai individu tersebut sedang diproses atau tidak.
b. Permintaan akses kepada mana-mana data yang disimpan mengenai mereka oleh pengawal data
c. Permintaan pembetulan, pemadaman atau sekatan pemprosesan data peribadi mereka.
d. Mengemukakan aduan kepada pihak berkuasa penyeliaan.
e. Mengobjek kepada pemprosesan termasuk untuk pemasaran secara langsung.
12. Keselamatan Data
Kami akan mengambil langkah-langkah keselamatan yang sesuai menentang pemprosesan data peribadi secara haram atau tidak dibenarkan, dan menentang pemusnahan, kerosakan, kehilangan, perubahan yang tidak sah, pendedahan tidak dibenarkan atau akses ke data peribadi yang dihantar, disimpan atau diproses. Sekiranya berlaku pemindahan data yang tidak sah, ini akan disiasat oleh pegawai yang berkenaan dan prosedur disiplin syarikat akan dikenakan. Kami akan menetapkan prosedur dan teknologi untuk mengekalkan keselamatan semua data peribadi dari titik penentuan cara pemprosesan dan titik pengumpulan data hingga titik pemusnahan. Data peribadi hanya akan dipindahkan kepada pembekal data jika beliau bersetuju untuk mematuhi prosedur dan dasar tersebut, atau jika beliau sendiri melaksanakan langkah-langkah yang mencukupi. Kami akan mengekalkan keselamatan data dengan melindungi kerahsiaan, integriti dan ketersediaan data peribadi, yang ditakrifkan seperti berikut:a. Kerahsiaan bermaksud hanya orang yang diberi kuasa untuk menggunakan data itu boleh mengaksesnya.
b. Integriti bermaksud data peribadi harus tepat dan sesuai untuk tujuan di mana ia diproses.
c. Ketersediaan bermaksud pengguna yang diberi kuasa harus dapat mengakses data jika mereka memerlukan untuk tujuan yang dibenarkan. Oleh itu, data peribadi harus disimpan pada sistem komputer pusat syarikat kami dan bukan pada PC individu.
Prosedur keselamatan termasuk:
a. Kawalan masuk. Mana-mana orang asing yang dilihat dalam kawasan yang dikawal masuk harus dilaporkan.
b. Meja dan almari berkunci selamat. Meja dan almari harus dikunci jika mereka memegang maklumat sulit apa jua. (Maklumat peribadi sentiasa dianggap sulit.)
c. Minimisasi data.
d. Kaedah pembuangan. Dokumen kertas harus dihancurkan. Peranti storan digital harus dimusnahkan secara fizikal apabila mereka tidak lagi diperlukan.
e. Peralatan. Kakitangan harus memastikan bahawa monitor individu tidak menunjukkan maklumat sulit kepada orang yang lewat dan bahawa mereka log keluar dari PC mereka apabila ditinggalkan tanpa pengawasan.
13. Permintaan Akses Subjek
Individu harus membuat permintaan rasmi untuk maklumat yang kami pegang tentang mereka. Pekerja yang menerima permintaan harus meneruskannya kepada DPO atau ahli Sumber Manusia dengan segera.
Apa bila menerima pertanyaan telefon, kami hanya akan mendedahkan data peribadi yang kami miliki dalam sistem kami jika syarat-syarat berikut dipenuhi:
a. Kami akan menyemak identiti penelefon untuk memastikan bahawa maklumat hanya diberikan kepada orang yang berhak mendapatkannya.
b. Kami akan mengesyorkan agar penelefon menulis permintaan mereka sekiranya kami tidak yakin tentang identiti mereka dan di mana identiti mereka tidak dapat disemak.
Di mana permintaan dibuat secara elektronik, data akan disediakan secara elektronik jika memungkinkan.
Pekerja kami akan merujuk permintaan kepada pengurus barisan mereka untuk bantuan dalam situasi yang sukar.
14. Perubahan kepada Dasar Ini
Kami berhak untuk mengubah dasar ini pada bila-bila masa. Jika sesuai, kami akan memberitahu perubahan melalui bunyi kuki di laman web.