Dasar Privasi
I. PERNYATAAN DAN TUJUAN
II. SKOP
III. DEFINISI
- “Sekutu” bermaksud mana-mana entiti, yang sebahagiannya atau sepenuhnya dikawal oleh, mengawal atau berada dalam kawalan bersama dengan entiti masing-masing.
- “Undang-undang yang Terpakai” bermaksud GDPR dan mana-mana undang-undang negara yang melaksanakan GDPR di negara-negara EEA.
- “Membuat Keputusan Automatik” bermaksud proses membuat keputusan berdasarkan pada Pemprosesan automatik semata-mata, termasuk Pemprofilan, Data Peribadi, yang menghasilkan kesan undang-undang tentang Subjek Data.
- “Pengawal” bermaksud mana-mana orang sebenar atau orang perundangan, pihak berkuasa awam, agensi atau badan lain, yang, secara bersendirian atau bersama dengan orang lain, menentukan tujuan dan cara Pemprosesan Data Peribadi.
- “Subjek Data” bermaksud orang sebenar yang dikenali atau dapat dikenal pasti yang berkaitan dengan Data Peribadi. Orang yang boleh dikenal pasti ialah orang yang dapat dikenal pasti, secara langsung atau tidak langsung, khususnya dengan merujuk kepada pengenal pasti seperti nama, nombor pengenalan, data lokasi, pengenal pasti dalam talian atau merujuk kepada satu atau lebih faktor yang khusus untuk identiti fizikal, fisiologi, genetik, mental, ekonomi, budaya atau sosial orang sebenar itu.
- “EEA” bermaksud Kawasan Ekonomi Eropah (European Economic Area), yang merangkumi semua Negara Anggota EU berserta dengan Iceland, Liechtenstein dan Norway.
- “Tarikh Berkuat Kuasa” bermaksud 25 Mei 2018.
- “Pekerja” bermaksud pekerja sepenuh masa, pekerja sambilan, pekerja sementara, pekerja yang dilantik semula, pekerja yang diganti semula dan pekerja yang telah bersara dan bekas pekerja dan pelatih.
- “Organisasi” membayangkan aktiviti yang berkesan dan nyata melalui pengaturan yang stabil; bentuk sah untuk pengaturan sedemikian, sama ada melalui cawangan atau anak syarikat dengan personaliti undang-undang, adalah tidak relevan.
- “EU” bermaksud Kesatuan Eropah (European Union).
- “GDPR” bermaksud Peraturan (EU) 2016/679 Parlimen dan Majlis Eropah pada 27 April 2016 tentang perlindungan orang sebenar berkenaan dengan pemprosesan data peribadi dan pergerakan bebas data tersebut, dan memansuhkan Arahan 95/46/EC (Peraturan Perlindungan Data Am).
- “Data Peribadi” bermaksud apa-apa maklumat yang berkaitan dengan Subjek Data. Data Peribadi merangkumi Data Peribadi Kategori Khas.
- “Dasar” bermaksud Dasar Privasi Am ini.
- “Pegawai Privasi” bermaksud individu yang ditetapkan bawah Bahagian XII di bawah.
- “Pemprofilan” bermaksud apa-apa bentuk Pemprosesan Data Peribadi secara automatik yang terdiri daripada penggunaan Data Peribadi untuk menilai aspek peribadi tertentu yang berkaitan dengan orang sebenar, khususnya untuk menganalisis atau meramalkan aspek-aspek yang berkaitan dengan prestasi orang sebenar itu di tempat kerja, keadaan ekonomi, kesihatan, pilihan peribadi, minat, kebolehpercayaan, tingkah laku, lokasi atau pergerakan.
- “Pemprosesan” bermaksud apa-apa operasi atau set operasi yang dilakukan terhadap Data Peribadi atau set-set Data Peribadi, sama ada dengan cara automatik ataupun tidak, seperti pengumpulan, rakaman, penyusunan, penstrukturan, penyimpanan, penyesuaian atau pengubahan, dapatan semula, perundingan, penggunaan, penzahiran melalui penghantaran, penyebaran atau sebaliknya penyediaan, penjajaran atau penggabungan, penyekatan, pemadaman atau pemusnahan.
- “Pelanggaran Data Peribadi” bermaksud pelanggaran keselamatan yang membawa kepada, secara tidak sengaja atau menyalahi undang-undang, pemusnahan, kerugian, pengubahan, penzahiran atau akses kepada tanpa kebenaran, Data Peribadi yang dihantar, disimpan atau sebaliknya Diproses oleh sistem entiti.
- “Data Peribadi Kategori Khas” merangkumi Data Peribadi yang mendedahkan asal usul kaum atau etnik, pendapat politik, kepercayaan agama atau falsafah atau keahlian kesatuan sekerja, dan data genetik, data biometrik yang Diproses untuk tujuan mengenal pasti orang sebenar secara unik, data tentang kesihatan atau data tentang kehidupan seks atau orientasi seksual orang sebenar.
- “Kumpulan Superior Essex”, “kami” bermaksud Superior Essex Inc., sebuah syarikat Delaware, didaftarkan di Corporation Service Company, 251 Little Falls Drive, Wilmington, DE 19808, Essex Group, Inc., sebuah syarikat Michigan, didaftarkan di CSC-Lawyers Incorporating Service (Syarikat), 601 Abbot Road, East Lansing, MI 48823, Superior Essex International LP, sebuah perkongsian terhad Delaware, didaftarkan di Corporation Service Company, 251 Little Falls Drive, Wilmington, DE 19808, dan Sekutu mereka masing-masing.
IV. PRINSIP-PRINSIP PERLINDUNGAN DATA UTAMA
- Kami akan Memproses Data Peribadi dengan cara yang sah di sisi undang-undang, saksama dan telus berhubung dengan Subjek Data (kemudian daripada ini, “Prinsip Kesahan, Kesaksamaan dan Ketelusan”);
- Kami hanya akan mengumpulkan Data Peribadi untuk tujuan-tujuan yang tertentu, jelas dan sah dan kami tidak akan Memprosesnya selanjutnya dengan cara yang tidak bersesuaian dengan tujuan tersebut (kemudian daripada ini, “Prinsip Pembatasan Tujuan”);
- Kami akan memastikan bahawa Data Peribadi adalah mencukupi, berkaitan dan terhad kepada perkara yang perlu berhubung dengan tujuan-tujuan Pemprosesannya (kemudian daripada ini, “Prinsip Peminimuman Data”);
- Kami akan memastikan bahawa Data Peribadi adalah tepat dan, jika perlu, sentiasa dikemas kini dan setiap langkah yang munasabah akan diambil bagi memastikan bahawa Data Peribadi yang tidak tepat, dengan mengambil kira tujuan data itu Diproses, dipadam atau dibetulkan tanpa berlengah (kemudian daripada ini, “Prinsip Ketepatan”);
- Kami tidak akan menyimpan Data Peribadi dalam bentuk yang membolehkan pengenalpastian Subjek Data untuk tempoh lebih lama daripada yang diperlukan bagi tujuan-tujuan Data Peribadi itu Diproses (kemudian daripada ini, “Prinsip Pembatasan Penyimpanan”);
- Kami akan Memproses Data Peribadi selaras dengan hak Subjek Data (kemudian daripada ini, “Hak Subjek Data”); dan
- Kami akan memastikan bahawa langkah-langkah teknikal, organisasi dan keselamatan yang sewajarnya diambil untuk melindungi Data Peribadi apabila Diproses, termasuklah melindungi daripada Pemprosesan yang tidak dibenarkan atau menyalahi undang-undang dan daripada kehilangan, kemusnahan atau kerosakan tidak sengaja (kemudian daripada ini, “Prinsip Keutuhan, Kerahsiaan dan Keselamatan”).
A. Prinsip Pembatasan Tujuan
Semasa menjalankan perniagaan kami, kami mengumpulkan dan Memproses jenis Data Peribadi yang berlainan daripada kategori Subjek Data yang berlainan untuk berbagai-bagai tujuan. Kami akan mengenal pasti tujuan khusus, jelas dan sah terlebih dahulu dan kami akan mendokumenkannya dalam Rekod Aktiviti Pemprosesan kami (lihat Bahagian VIII). Kami akan memaklumkan kepada Subjek Data tentang tujuan ini apabila kami mula-mula mengumpulkan Data Peribadi atau secepat yang mungkin selepas itu (lihat subbahagian B seterusnya), melainkan pengecualian yang berkaitan diterima pakai.
Kami tidak akan Memproses Data Peribadi yang telah dikumpulkan untuk tujuan khusus, untuk tujuan tidak serasi yang berbeza, kecuali dibenarkan oleh Undang-undang yang Terpakai.
Jika anda berhasrat untuk Memproses Data Peribadi bagi tujuan yang berbeza daripada tujuan yang telah dikenal pasti pada mulanya, sila berhubung dengan Pegawai Privasi sebelum memulakan aktiviti Pemprosesan.
B. Prinsip Kesahan, Kesaksamaan dan Ketelusan
- Kami hanya akan Memproses Data Peribadi berdasarkan salah satu alasan perundangan dibenarkan yang tersenarai dalam Undang-undang yang Terpakai. Alasan perundangan untuk Pemprosesan Data Peribadi yang kami paling lazim gunakan termasuk, tetapi tidak terhad kepada yang berikut:
- Keperluan untuk melaksanakan kontrak yang Subjek Data menjadi pihaknya;
- Keperluan untuk mematuhi kewajipan undang-undang yang berasal dari EU dan kami tertakluk kepadanya;
- Keperluan untuk tujuan kepentingan sah yang kami laksanakan sebagai Pengawal atau oleh pihak ketiga; dan/atau
- Keizinan diberi oleh Subjek Data.
- Kami menyasarkan untuk meminimumkan jumlah Data Peribadi Kategori Khas yang kami Proses. Kami hanya akan Memproses Data Peribadi Kategori Khas, jika dibenarkan di bawah Undang-undang yang Terpakai, sebagai contoh, apabila kami dikehendaki di sisi undang-undang untuk berbuat demikian atau dengan keizinan secara nyata daripada Subjek Data.
- Kami akan mengenal pasti asas perundangan yang sewajarnya terlebih dahulu dan mendokumenkannya dalam Rekod Aktiviti Pemprosesan kami (lihat Bahagian VIII di bawah).
- Identiti dan butiran hubungan entiti(-entiti) Kumpulan Superior Essex, yang merupakan Pengawal yang berkaitan;
- Kategori Data Peribadi yang kami Proses;
- Tujuan kami Memproses Data Peribadi dan asas sah untuk melakukannya;
- Kepada siapa kami menzahirkan Data Peribadi;
- Sama ada kami memindahkan Data Peribadi di luar EEA (termasuk negara destinasi dan mekanisme pemindahan yang digunakan);
- Tempoh kami menyimpan Data Peribadi (atau, jika itu tidak dapat dinyatakan, kriteria yang kami gunakan untuk menentukan tempoh itu);
- Hak-hak yang boleh dijalankan oleh Subjek Data berkenaan dengan Pemprosesan Data Peribadi mereka;
- Sama ada peruntukan Data Peribadi merupakan keperluan statutori atau kontraktual, atau syarat yang diperlukan untuk mengikat kontrak, serta sama ada Subjek Data berkewajipan untuk memberikan Data Peribadi dan akibat yang mungkin berlaku kerana kegagalan untuk memberikan data sedemikian; dan
- Kewujudan Membuat Keputusan Automatik, termasuk Pemprofilan dan dalam kes yang dikehendaki oleh GDPR, maklumat bermakna tentang logik yang terlibat, serta kepentingan dan akibat yang dijangkakan bagi Pemprosesan sedemikian untuk Subjek Data.
C. Prinsip Peminimuman Tujuan
D. Prinsip Ketepatan
E. Prinsip Pembatasan Penyimpanan
F. Hak Subjek Data
- Hak akses: Subjek Data boleh meminta maklumat tentang Data Peribadi mereka yang kami bertanggungjawab menyimpannya dan meminta salinan data tersebut.
- Hak untuk pembetulan: Subjek Data boleh meminta pembetulan Data Peribadi yang tidak tepat dan meminta data yang tidak lengkap supaya dilengkapkan.
- Hak untuk memadam: Subjek Data boleh meminta pemadaman Data Peribadi mereka, jika data tidak tepat atau Diproses dengan cara yang tidak bersesuaian dengan tujuan kami.
- Hak untuk kemudahalihan data: jika kami Memproses Data Peribadi atas dasar kontrak dengan Subjek Data ataupun berdasarkan keizinannya, Subjek Data boleh meminta untuk menerima Data Peribadinya dalam format berstruktur yang biasa digunakan dan boleh dibaca oleh mesin, dan meminta kami memindahkan data sedemikian kepada pihak ketiga, jika secara teknikal perkara itu dapat dilaksanakan.
- Hak untuk menyekat: Subjek Data boleh meminta untuk mengehadkan Pemprosesan Data Peribadinya.
- Hak untuk membantah: Subjek Data boleh membantah atau menentang Pemprosesan Data Peribadinya.
- Hak untuk membuat aduan: Subjek Data boleh membuat aduan dengan pihak berkuasa penyeliaan yang kompeten di dalam Kesatuan Eropah (EU) yang terletak di tempat tinggal biasa mereka, tempat kerja atau tempat dakwaan pelanggaran.
- Hak untuk menolak atau menarik balik keizinan: Subjek Data boleh menolak daripada memberikan keizinan Pemprosesan Data Peribadi mereka dan boleh menarik balik keizinan pada bila-bila tanpa apa-apa kesan negatif yang buruk.
- Hak untuk tidak tertakluk kepada keputusan yang berdasarkan Pemprosesan automatik semata-mata: Subjek Data mempunyai hak untuk tidak tertakluk kepada keputusan yang berdasarkan Pemprosesan automatik semata-mata (iaitu, Membuat Keputusan Automatik), termasuk Pemprofilan yang menghasilkan kesan undang-undang berkenaan dengannya atau secara serupa menjejaskannya dengan ketara, tertakluk kepada pengecualian yang diberi oleh GDPR.
G. Prinsip Keutuhan, Kerahsiaan dan Keselamatan
Untuk melindungi Data Peribadi yang kami Proses, kami akan melaksanakan langkah-langkah teknikal dan organisasi yang munasabah terhadap Pemprosesan Data Peribadi yang tidak dibenarkan atau melanggar undang-undang dan terhadap kehilangan, kemusnahan atau kerosakan Data Peribadi yang tidak disengajakan.
Langkah-langkah sedemikian akan merangkumi seperti yang bersesuaian:
- Menggunakan pseudonim dan penyulitan Data Peribadi;
- Keupayaan untuk memastikan kerahsiaan, keutuhan, ketersediaan dan ketahanan sistem dan perkhidmatan Pemprosesan yang berterusan;
- Keupayaan untuk memulihkan ketersediaan dan akses kepada Data Peribadi pada masa yang tepat sekiranya berlaku kejadian fizikal atau teknikal;
- Proses untuk menguji, menaksir dan menilai keberkesanan langkah-langkah teknikal dan organisasi secara tetap bagi memastikan keselamatan Pemprosesan.
V. PERLINDUNGAN DATA SECARA TERATUR DAN SECARA LALAI
Kami akan melakukan usaha yang munasabah, pada masa penentuan kaedah Pemprosesan dan juga pada masa Pemprosesan itu sendiri, untuk melaksanakan langkah-langkah teknikal dan organisasi yang sesuai, menggunakan pseudonim yang direka untuk melaksanakan prinsip-prinsip perlindungan data utama yang ditetapkan dalam Bahagian III Dasar ini dengan cara yang berkesan dan untuk menyepadukan perlindungan yang diperlukan dengan Pemprosesan bagi memenuhi keperluan Undang-undang yang Terpakai.
Kami akan mengambil langkah yang munasabah untuk melaksanakan langkah-langkah teknikal dan organisasi yang sesuai supaya, secara lalai, hanya Data Peribadi yang diperlukan bagi setiap tujuan tertentu dalam Pemprosesan yang Diproses.
Sesetengah Pemprosesan yang kami jalankan boleh menyebabkan risiko privasi, hak dan kebebasan individu dan, apabila diperlukan oleh Undang-undang yang Terpakai, kami akan menjalankan penilaian kesan terhadap perlindungan data untuk menilai kesan operasi Pemprosesan yang dijangkakan terhadap perlindungan Data Peribadi, keperluan dan perkadaran operasi Pemprosesan berhubung dengan tujuan dan risiko terhadap hak dan kebebasan individu yang berkenaan serta langkah-langkah yang diambil untuk menangani risiko tersebut.
VI. AMALAN PENZAHIRAN DATA PERIBADI
A. Intrakumpulan
B. Pihak Ketiga
VII. AMALAN PEMINDAHAN DATA ANTARABANGSA
A. Intrakumpulan
B. Pihak Ketiga
VIII. REKOD PEMPROSESAN
- Nama dan butiran hubungan Pengawal;
- Tujuan dan asas perundangan untuk Pemprosesan;
- Penerangan tentang kategori Subjek Data dan kategori Data Peribadi;
- Kategori penerima yang kepadanya Data Peribadi telah atau akan dizahirkan termasuk penerima di negara ketiga atau organisasi antarabangsa;
- Mekanisme pemindahan yang digunakan untuk pemindahan antarabangsa Data Peribadi dan organisasi negara/antarabangsa yang dipindahkan ke;
- Had masa yang dijangkakan untuk memadam kategori Data Peribadi yang berlainan; dan
- Penerangan umum langkah-langkah keselamatan teknikal dan organisasi untuk melindungi Data Peribadi.