Ketentuan Privasi Dan Persetujuan
diperbarui per 17 September 2023
- 1. Definisi
- 2. Data Pribadi Yang Dikumpulkan, Disimpan, Digunakan Dan Dibagikan
- 3. Kewajiban Dan Tindakan Keamanan Organisasi
- 4. Tindakan Keamanan Teknis
- 5. Hak Subjek Data
- 6. Pelanggaran Data Dan Insiden Keamanan
- 7. Penyelesaian Sengketa Dan Hukum Acara
- 8. Outsourcing Dan Subkontrak
- 9. Ringkasan Aktivitas Pemrosesan Oleh Produk
- 10. Menghubungi Brankas
Bab III - Kewajiban Dan Tindakan Keamanan Organisasi
Bagian 3.1
Prinsip Perlindungan Data Pribadi - Semua Pemrosesan Data Pribadi dalam Brankas akan dilakukan sesuai dengan prinsip perlindungan data sebagai berikut:
- pengumpulan Data Pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, patut, dan transparan;
- pemrosesan Data Pribadi dilakukan sesuai dengan tujuannya;
- pemrosesan Data Pribadi dilakukan dengan menjamin hak Subjek Data;
- pemrosesan Data Pribadi dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan;
- pemrosesan Data Pribadi dilakukan dengan melindungi keamanan Data Pribadi dari pengaksesan yang tidak sah, pengungkapan yang tidak sah, pengubahan yang tidak sah, penyalahgunaan, perusakan, dan/atau kehilangan Data Pribadi;
- pemrosesan Data Pribadi dilakukan dengan memberitahukan tujuan dan aktivitas pemrosesan, serta kegagalan perlindungan Data Pribadi;
- pemrosesan Data Pribadi dilakukan secara bertanggung jawab dengan memenuhi pelaksanaan prinsip perlindungan Data Pribadi dan dapat dibuktikan secara jelas.
- Pemusnahan dan/atau penghapusan setelah masa retensi berakhir atau berdasarkan permintaan Subjek Data kecuali ditentukan lain oleh peraturan perundang-undangan; dan
Bagian 3.2
Catatan Pemrosesan Data - Brankas akan menyimpan catatan yang memadai dan terbaru dari aktivitas Pemrosesan Data Pribadi setiap saat. Catatan ini minimal harus mencakup:
- Informasi tentang tujuan Pemrosesan Data Pribadi, termasuk Pemrosesan atau pembagian data yang dimaksudkan di masa mendatang;
- Penjelasan tentang semua kategori Subjek Data, Data Pribadi, dan penerima Data Pribadi tersebut yang akan terlibat dalam Pemrosesan;
- Informasi umum tentang aliran data di dalam Brankas, dari waktu pengumpulan dan penyimpanan, termasuk batas waktu penyimpanan atau penghapusan Data Pribadi;
- Penjelasan umum tentang tindakan pengamanan organisasi, fisik, dan teknis yang ada di Brankas; dan
- Nama dan rincian kontak dari setiap staf yang bertanggung jawab untuk memastikan kepatuhan terhadap hukum dan peraturan yang berlaku untuk perlindungan data pribadi dan keamanan siber.
Brankas, secara tahunan, melakukan penilaian dampak privasi (privacy impact assessment) yang berhubungan dengan semua aktivitas, proyek, dan sistem yang melibatkan Pemrosesan Data Pribadi sejalan dengan kebijakan internal Brankas. Brankas akan melakukan peninjauan secara periodik terhadap kebijakan keamanan, melakukan penilaian kerentanan dan melakukan pengujian penetrasi, sebagaimana berlaku dalam Brankas dengan jadwal reguler yang akan ditentukan oleh Tim IT Brankas.
Bagian 3.3
Manajemen Data Pribadi - Brankas akan mengembangkan dan menerapkan langkah-langkah untuk memastikan bahwa semua staf Brankas yang memiliki akses ke Data Pribadi akan secara ketat memproses data tersebut sesuai dengan hukum dan peraturan yang berlaku. Langkah-langkah ini termasuk menyusun ataupun memperbaharui kebijakan relevan Brankas dan melakukan pembelajaran dan program pengembangan atau mensponsori program pelatihan untuk mendidik pemegang saham, direktur, pejabat, karyawan, agen, dan pihak berkepentingan lainnya yang terkait dengan perlindungan data pribadi.
Brankas akan mendapatkan persetujuan eksplisit Anda, dibuktikan dengan cara tertulis, elektronik atau direkam, sehubungan dengan:
- Pemrosesan Data Pribadi Anda, untuk tujuan memelihara catatan Brankas;
- Transmisi Data Pribadi Anda dengan pihak ketiga, apabila hal itu diperlukan dan sungguh terjadi dengan tunduk pada persyaratan bahwa Anda akan diberikan informasi tersebut sebelum Data Pribadi Anda dibagikan:
- Identitas pihak ketiga yang akan diberi akses ke Data Pribadi;
- Tujuan transmisi data;
- Kategori Data Pribadi terkait;
- Penerima yang dituju dan kategori penerima Data Pribadi;
- Adanya hak Anda sebagai Subjek Data, termasuk hak untuk mengakses dan mengoreksi, dan hak untuk menolak pemrosesan; dan
- Informasi lain yang cukup untuk memberi tahu Anda tentang sifat dan luas pembagian data dan cara pemrosesan.
- Kewajiban kerahasiaan yang berkelanjutan yang dibebankan kepada pemegang saham, direktur, pejabat, karyawan, agen, atau pihak yang berkepentingan lainnya sehubungan dengan Data Pribadi yang mungkin mereka temui selama periode mereka di Brankas. Kewajiban ini akan tetap berlaku setelah mereka berhenti bekerja dengan Brankas karena alasan apa pun.
Bagian 3.4
Prosedur Pengumpulan Data - Brankas akan mendokumentasikan prosedur Pemrosesan Data Pribadi Brankas. Brankas memastikan bahwa prosedur ini diperbarui dan bahwa persetujuan eksplisit Anda diperoleh dengan semestinya jika diwajibkan oleh hukum dan dibuktikan secara tertulis, elektronik, atau terekam. Prosedur ini juga akan dipantau, dimodifikasi, dan diperbarui secara berkala untuk memastikan bahwa hak Anda sebagai Subjek Data tetap terjamin.
Bagian 3.5
Penundaan dan Pembatasan Pemrosesan data – Brankas akan melakukan penundaan dan pembatasan pemrosesan Data Pribadi baik sebagian atau seluruhnya paling lambat dalam waktu 2 (dua) hari kerja terhitung sejak Brankas menerima permintaan penundaan dan pembatasan pemrosesan Data Pribadi dari Subjek Data.
Bagian 3.6
Pengawasan Internal – Brankas akan secara teratur melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan Data Pribadi di bawah kendali Brankas.
Bagian 3.7
Penyediaan akses Data Pribadi – Brankas memberikan akses kepada Subjek Data terhadap Data Pribadi yang diproses beserta rekam jejak pemrosesan Data Pribadi sesuai dengan jangka waktu penyimpanan Data Pribadi. Penyediaan akses tersebut diberikan paling lambat 3 (tiga) hari kerja terhitung sejak Pengendali Data Pribadi menerima permintaan akses.
Bagian 3.8
Penolakan akses Data Pribadi – Brankas dapat menolak memberikan akses perubahan terhadap Data Pribadi kepada Subjek Data dalam hal diketahui atau sepatutnya diduga:
- membahayakan keamanan atau kesehatan fisik atau kesehatan mental Subjek Data dan/atau orang lain;
- berdampak pada pengungkapan Data Pribadi milik orang lain; dan/atau
- bertentangan dengan kepentingan pertahanan dan keamanan nasional.
Bagian 3.9
Pembaruan dan Perbaikan Data Pribadi – Brankas akan memperbarui dan/atau memperbaiki kesalahan dan/atau ketidakakuratan Data Pribadi dalam waktu 3 (tiga) hari kerja terhitung sejak Brankas menerima permintaan pembaruan dan/atau perbaikan Data Pribadi melalui privacy@brankas.com atau layanan obrolan yang disematkan di sudut kanan bawah pada https://brankas.com/.
Bagian 3.10
Jaminan atas akurasi, kelengkapan, dan konsistensi Data Pribadi – Brankas menjamin akurasi, kelengkapan, dan konsistensi Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan yang berlaku. Brankas melakukan verifikasi terhadap Data Pribadi yang diproses tersebut.
Bagian 3.11
Pengakhiran pemrosesan Data Pribadi – Brankas akan mengakhiri pemrosesan Data Pribadi jika:
- telah mencapai masa retensi;
- tujuan pemrosesan Data Pribadi telah tercapai; atau
- terdapat permintaan dari Subjek Data.
Bagian 3.12
Penghapusan atau pemusnahan Data Pribadi – Brankas akan menghapus Data Pribadi jika:
- Data Pribadi tidak lagi diperlukan untuk pencapaian tujuan pemrosesan Data Pribadi;
- Subjek Data telah melakukan penarikan kembali persetujuan pemrosesan Data Pribadi;
- terdapat permintaan dari Subjek Data; atau
- masa retensi telah berakhir; atau
- Data Pribadi diperoleh dan/atau diproses dengan cara melawan hukum.
Bagian 3.13
Penunjukan Pejabat Perlindungan Data Pribadi – Brankas dapat menunjuk seorang pejabat atau petugas yang melaksanakan fungsi perlindungan Data Pribadi (Data Protection Officer) yang memiliki kewajiban dan tanggung jawab sebagai berikut:
- menginformasikan dan memberikan saran untuk Brankas sebagai pengendali/prosesor, sebagaimana berlaku, Data Pribadi agar mematuhi ketentuan dalam peraturan perundang-undangan yang berlaku;
- memantau dan memastikan kepatuhan terhadap peraturan perundang-undangan yang berlaku dan Kebijakan Privasi, termasuk penugasan, tanggung jawab, peningkatan kesadaran dan pelatihan pihak yang terlibat dalam pemrosesan Data Pribadi, dan audit terkait;
- memberikan saran mengenai penilaian dampak aktivitas pemrosesan dan memantau kinerja Brankas sebagai pengendali data pribadi dan prosesor data pribadi; dan
- berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan Data Pribadi, termasuk melakukan konsultasi mengenai mitigasi risiko dan/atau hal lainnya.
Pejabat atau petugas yang melaksanakan fungsi perlindungan Data Pribadi tersebut harus ditunjuk berdasarkan kualitas profesional, pengetahuan mengenai hukum dan praktik perlindungan Data Pribadi, dan kemampuan untuk memenuhi tugas-tugasnya, serta memperhatikan risiko terkait pemrosesan Data Pribadi, dengan mempertimbangkan sifat, ruang lingkup, konteks, dan tujuan pemrosesan.
