Tujuan Dan Ruang Lingkup
Tujuan dari Kebijakan Privasi adalah untuk memastikan bahwa landasan dan kerangka kerja privasi yang kuat ditetapkan dan dipelihara oleh ASCC. Ini bertujuan untuk menyoroti bahwa ASCC mematuhi undang-undang Privasi dan perlindungan data yang relevan di negara tempat kami berada.
Ruang lingkup Kebijakan Privasi ini berlaku untuk semua informasi pribadi yang dikumpulkan, diproses, dan disimpan oleh ASCC, termasuk namun tidak terbatas pada nama, detail kontak, informasi pembayaran, dan data lain yang diperlukan untuk operasi bisnis kami. Kebijakan ini berlaku untuk semua manajemen, karyawan, kontraktor, sub-kontraktor, vendor, penyedia layanan, pelanggan, dan agen yang memiliki akses ke dan/atau memanfaatkan informasi pribadi yang dikumpulkan dan/atau disimpan oleh ASCC. Semua pihak harus mematuhi kebijakan ini. ASCC akan menegakkan kebijakan ini melalui pelatihan rutin, audit, dan pemeriksaan kepatuhan untuk memastikan kepatuhan dan melindungi informasi pribadi.
ASCC mengakui pentingnya mengakui tugas dan kewajiban khusus dari berbagai pemangku
kepentingan dalam organisasi kami terkait perlindungan data dan privasi. Setiap peran sangat
penting dalam menegakkan integritas praktik privasi kami. Semua informasi pribadi yang
dikumpulkan, disimpan, atau dibagikan oleh ASCC harus dilakukan sesuai dengan Kebijakan
Privasi ini. ASCC berhak untuk mengambil langkah-langkah yang wajar untuk memastikan bahwa Kebijakan Privasinya dipatuhi dengan benar. Ketidaktahuan tentang keberadaan kebijakan dan prosedur privasi tidak akan menjadi alasan yang dapat diterima untuk ketidakpatuhan.
Sumber Daya Manusia
- Memastikan bahwa karyawan menyadari tanggung jawab perlindungan data mereka
- Melakukan pemeriksaan latar belakang sesuai dengan undang-undang perlindungan data
- Mengelola data karyawan sesuai dengan kebijakan perlindungan data
Departemen IT
- Menerapkan kontrol teknis untuk melindungi data pribadi
- Memastikan semua sistem dan perangkat lunak yang digunakan untuk memproses data pribadi aman dan terkini
- Pantau kinerja dan keamanan sistem
- Membantu dalam investigasi dan penyelesaian pelanggaran data dan insiden keamanan
- Dukungan dalam memelihara dan meningkatkan langkah-langkah perlindungan data
Semua karyawan
- Memahami dan mematuhi kebijakan dan prosedur perlindungan data perusahaan
- Laporkan setiap pelanggaran data atau insiden keamanan segera kepada manajer dan departemen TI mereka
- Berpartisipasi dalam program pelatihan perlindungan data
- Pertahankan pengetahuan terbaru tentang perubahan atau kebijakan dan prosedur privasi baru
- Memastikan data pribadi akurat, terkini, dan lengkap
Tim eksekutif dan Manajemen
- Memberikan kepemimpinan dan memastikan integrasi privasi data ke dalam tujuan dan operasi strategis organisasi
- Alokasikan sumber daya yang diperlukan (keuangan, manusia, dan teknis) untuk menerapkan dan memelihara praktik privasi data
- Memastikan kepatuhan terhadap undang-undang dan peraturan perlindungan data yang berlaku di semua fungsi dan lokasi bisnis
Umumnya, ASCC mengumpulkan informasi pribadi langsung dari individu. Ini dapat terjadi secara langsung atau melalui telepon, dari korespondensi email atau survei non-anonim.
ASCC dapat mengumpulkan informasi pribadi dari sumber eksternal seperti milis pemasaran,
informasi yang tersedia untuk umum, dan detail pribadi yang tersedia secara komersial. Selain
itu, informasi pribadi dan profesional tentang karyawan mungkin berasal dari pihak ketiga,
seperti dari mantan pemberi kerja, referensi yang disediakan, atau entitas lain yang diberi
wewenang oleh Anda untuk mengungkapkan informasi kepada kami.
Pengumpulan informasi pribadi oleh ASCC akan masuk akal, sah, dan tidak mengganggu.
Seseorang yang meminta informasi pribadi harus diberitahu:
- Nama perusahaan (jika eksternal perusahaan)
- Tujuan pengumpulan
- Bahwa mereka bisa mendapatkan akses ke informasi pribadi mereka untuk memeriksa keakuratannya; dan
- Apa yang akan dilakukan dengan informasi
ASCC memiliki kewajiban hukum untuk mendapatkan persetujuan dan hanya akan menggunakan informasi pribadi ketika dan jika ada alasan yang sah untuk melakukannya. Alasannya mungkin termasuk:
- Untuk perjanjian kerja termasuk alasan terkait seperti penggajian, pajak, pensiun, dan layanan akuntansi dan kesejahteraan
- Hal-hal yang mungkin memerlukan personel darurat jika terjadi penyakit atau cedera
- Untuk tujuan yang berkaitan dengan mempekerjakan personel, kontraktor, dan subkontraktor kami termasuk, perekrutan seperti menghubungi wasit, memproses lamaran, penilaian kesesuaian untuk posisi di masa mendatang, pemeriksaan latar belakang, dan tujuan analitik berkelanjutan seperti memastikan kami menjangkau beragam kandidat
- Untuk tujuan tata kelola dan kepatuhan, termasuk, mengelola masalah kualitas, perilaku, atau manajemen risiko termasuk konflik kepentingan atau independensi (termasuk independensi auditor), kewajiban, atau situasi
- Memenuhi kewajiban peraturan di mana kami diharuskan atau diberi wewenang oleh undang-undang atau kode industri, arahan atau standar untuk melakukannya
- Untuk tujuan bisnis seperti akuisisi, disposisi, merger, atau bisnis yang aktual (atau diusulkan) atau memasuki aliansi, usaha patungan, atau pengaturan rujukan
ASCC hanya akan menggunakan atau mengungkapkan informasi untuk tujuan yang dikumpulkan kecuali salah satu dari berikut ini berlaku: individu telah menyetujui, tujuan sekunder terkait dengan tujuan utama dan diharapkan secara wajar, penggunaannya untuk pemasaran langsung dalam keadaan tertentu dengan izin individu, atau penggunaan diperlukan untuk alasan kepentingan publik seperti penegakan hukum dan kesehatan dan keselamatan.
ASCC akan mengambil semua langkah yang wajar untuk melindungi informasi pribadi yang
dimilikinya dari penyalahgunaan dan kehilangan dan dari akses, modifikasi, atau pengungkapan yang tidak sah. Untuk informasi terperinci tentang kontrol akses dan langkah-langkah keamanan data, lihat Kontrol Akses GC001 dan Pedoman Keamanan Data.
Sangat penting bagi semua karyawan untuk memastikan bahwa setiap informasi pribadi yang
disimpan oleh ASCC akurat, terkini, dan lengkap. Jika detail Anda berubah atau jika Anda yakin
bahwa informasi pribadi yang dikumpulkan oleh ASCC tidak akurat, silakan hubungi kami. Kami akan mengambil langkah-langkah yang wajar untuk memperbaikinya sesuai dengan persyaratan Undang-Undang Privasi yang relevan di negara tempat kami beroperasi.
Semua pemangku kepentingan berhak untuk memeriksa informasi pribadi yang kami miliki dan meminta koreksi informasi ini kapan saja jika salah.
Perjanjian kontraktual dan Syarat dan Ketentuan ASCC menyatakan bahwa tidak ada Informasi
Identitas Pribadi (PII) yang diberikan kepada pihak ketiga. Selain itu, tidak ada data Industri Kartu Pembayaran (PCI) yang disimpan secara elektronik atau manual.
Komunikasi
Kami berkomitmen untuk menjaga transparansi tentang praktik perlindungan data kami dan
memastikan bahwa semua pemangku kepentingan diberitahu tentang hak mereka dan
kewajiban kami berdasarkan undang-undang perlindungan data yang berlaku.
Sesi pelatihan rutin dilakukan untuk karyawan untuk memastikan mereka mengetahui dan
memahami kebijakan privasi kami, prosedur perlindungan data, dan tanggung jawab individu
mereka.
Kami mendorong komunikasi terbuka dengan semua pemangku kepentingan, termasuk
karyawan, pelanggan, mitra, dan otoritas pengatur, mengenai praktik perlindungan data kami.
Setiap pembaruan kebijakan privasi atau praktik perlindungan data kami segera dikomunikasikan kepada semua pihak terkait melalui saluran yang sesuai, termasuk pemberitahuan email, komunikasi internal, dan pembaruan di situs web kami.
Penegakan
Ketidakpatuhan terhadap kebijakan privasi dan prosedur perlindungan data kami oleh karyawan atau kontraktor akan mengakibatkan tindakan disipliner yang sesuai, yang mungkin termasuk pelatihan ulang, penangguhan, atau pemutusan hubungan kerja, tergantung pada tingkat keparahan pelanggaran. Kami memastikan bahwa semua tindakan disipliner bersifat adil, konsisten, dan sesuai dengan peraturan perundang-undangan yang berlaku.
Pelaporan
Kami telah menetapkan prosedur yang jelas untuk melaporkan pelanggaran data dan insiden
keamanan. Semua karyawan dilatih untuk segera mengenali dan melaporkan potensi
pelanggaran data. Setelah mengidentifikasi pelanggaran data, kami mengikuti rencana respons terstruktur yang mencakup pemberitahuan individu yang terkena dampak dan otoritas pengatur terkait dalam jangka waktu yang diperlukan.
Kami menjaga komunikasi terbuka dengan otoritas perlindungan data terkait dan segera
melaporkan setiap pelanggaran data atau masalah kepatuhan yang signifikan sebagaimana
diwajibkan oleh hukum. Semua laporan ditanggapi dengan serius, segera diselidiki, dan ditangani secara rahasia untuk melindungi identitas pelapor.
Versi 4.0