Siapa kita?
Berikan nama dan detail kontak pengontrol data. Ini biasanya akan menjadi bisnis Anda atau Anda, jika Anda adalah seorang pedagang tunggal. Jika memungkinkan, Anda harus menyertakan identitas dan detail kontak perwakilan pengontrol dan/atau petugas perlindungan data.
Informasi apa yang kami kumpulkan?
Tentukan jenis informasi pribadi yang Anda kumpulkan, misalnya nama, alamat, nama pengguna, dll. Anda harus menyertakan detail spesifik tentang:
bagaimana Anda mengumpulkan data (misalnya ketika pengguna mendaftar, membeli atau menggunakan layanan Anda, melengkapi formulir kontak, mendaftar ke buletin, dll)
data spesifik apa yang Anda kumpulkan melalui masing-masing metode pengumpulan data
jika Anda mengumpulkan data dari pihak ketiga, Anda harus menentukan kategori data dan sumbernya
jika Anda memproses data pribadi atau informasi keuangan yang sensitif, dan bagaimana Anda menanganinya
Anda mungkin ingin memberikan definisi yang relevan kepada pengguna terkait dengan data pribadi dan data pribadi yang sensitif.
Bagaimana kami menggunakan informasi pribadi?
Jelaskan secara rinci semua tujuan terkait layanan dan bisnis yang datanya akan Anda proses. Misalnya, ini mungkin termasuk hal-hal seperti:
personalisasi konten, informasi bisnis, atau pengalaman pengguna
pengaturan dan administrasi akun
menyampaikan komunikasi pemasaran dan acara
melakukan jajak pendapat dan survei
tujuan penelitian dan pengembangan internal
menyediakan barang dan jasa
kewajiban hukum (misalnya pencegahan penipuan)
memenuhi persyaratan audit internal
Harap dicatat daftar ini tidak lengkap. Anda perlu mencatat semua tujuan yang Anda gunakan untuk memproses data pribadi.
Apa dasar hukum yang kami miliki untuk memproses data pribadi Anda?
Jelaskan kondisi pemrosesan yang relevan yang terdapat dalam GDPR. Ada enam kemungkinan dasar hukum:
izin
kontrak
kepentingan yang sah
kepentingan vital
tugas umum
kewajiban hukum
Berikan informasi terperinci tentang semua alasan yang berlaku untuk pemrosesan Anda, dan alasannya. Jika Anda mengandalkan persetujuan, jelaskan bagaimana individu dapat menarik dan mengelola persetujuan mereka. Jika Anda mengandalkan kepentingan yang sah, jelaskan dengan jelas apa itu.
Jika Anda memproses data pribadi kategori khusus, Anda harus memenuhi setidaknya satu dari enam kondisi pemrosesan, serta persyaratan tambahan untuk pemrosesan berdasarkan GDPR. Berikan informasi tentang semua alasan tambahan yang berlaku.
Kapan kami membagikan data pribadi?
Jelaskan bahwa Anda akan memperlakukan data pribadi secara rahasia dan menjelaskan keadaan saat Anda mungkin mengungkapkan atau membagikannya. Misalnya, bila perlu untuk menyediakan layanan Anda atau menjalankan operasi bisnis Anda, sebagaimana diuraikan dalam tujuan pemrosesan Anda. Anda harus memberikan informasi tentang:
bagaimana Anda akan membagikan data
perlindungan apa yang akan Anda miliki
dengan pihak mana Anda dapat berbagi data dan mengapa
Di mana kami menyimpan dan memproses data pribadi?
Jika berlaku, jelaskan jika Anda bermaksud menyimpan dan memproses data di luar negara asal subjek data. Uraikan langkah-langkah yang akan Anda ambil untuk memastikan data diproses sesuai dengan kebijakan privasi Anda dan hukum yang berlaku di negara tempat data berada.
Jika Anda mentransfer data di luar Wilayah Ekonomi Eropa, jelaskan tindakan yang akan Anda lakukan untuk memberikan tingkat perlindungan privasi data yang sesuai. Misalnya klausul kontrak, perjanjian transfer data, dll.
Bagaimana kami mengamankan data pribadi?
Jelaskan pendekatan Anda terhadap keamanan data serta teknologi dan prosedur yang Anda gunakan untuk melindungi informasi pribadi. Misalnya, ini mungkin tindakan:
untuk melindungi data dari kehilangan yang tidak disengaja
untuk mencegah akses, penggunaan, perusakan, atau pengungkapan yang tidak sah
untuk memastikan kelangsungan bisnis dan pemulihan bencana
untuk membatasi akses ke informasi pribadi
untuk melakukan penilaian dampak privasi sesuai dengan hukum dan kebijakan bisnis Anda
untuk melatih staf dan kontraktor tentang keamanan data
untuk mengelola risiko pihak ketiga, melalui penggunaan kontrak dan tinjauan keamanan
Harap dicatat daftar ini tidak lengkap. Anda harus mencatat semua mekanisme yang Anda andalkan untuk melindungi data pribadi. Anda juga harus menyatakan apakah organisasi Anda mematuhi standar atau persyaratan peraturan tertentu yang diterima.
Berapa lama kami menyimpan data pribadi Anda?
Berikan informasi spesifik tentang jangka waktu Anda menyimpan informasi terkait dengan setiap tujuan pemrosesan. GDPR mengharuskan Anda untuk menyimpan data tidak lebih dari yang diperlukan secara wajar. Sertakan detail jadwal penyimpanan data atau catatan Anda, atau tautkan ke sumber daya tambahan tempat hal ini dipublikasikan.
Jika Anda tidak dapat menyatakan periode tertentu, Anda perlu menetapkan kriteria yang akan Anda terapkan untuk menentukan berapa lama data akan disimpan (misalnya undang-undang setempat, kewajiban kontrak, dll)
Anda juga harus menguraikan cara Anda membuang data dengan aman setelah Anda tidak lagi membutuhkannya.
Hak Anda terkait dengan data pribadi
Berdasarkan GDPR, Anda harus menghormati hak subjek data untuk mengakses dan mengontrol data pribadi mereka. Dalam pemberitahuan privasi Anda, Anda harus menguraikan hak-hak mereka sehubungan dengan:
akses ke informasi pribadi
koreksi dan penghapusan
penarikan persetujuan (jika memproses data dengan syarat persetujuan)
portabilitas data
pembatasan pemrosesan dan keberatan
mengajukan keluhan ke Kantor Komisaris Informasi
Anda harus menjelaskan bagaimana individu dapat menggunakan hak mereka, dan bagaimana Anda berencana untuk menanggapi permintaan data subjek. Nyatakan jika ada pengecualian yang relevan yang mungkin berlaku dan tetapkan prosedur verifikasi identitas apa pun yang dapat Anda andalkan.
Sertakan rincian keadaan di mana hak subjek data mungkin terbatas, misalnya jika memenuhi permintaan subjek data dapat mengekspos data pribadi tentang orang lain, atau jika Anda diminta untuk menghapus data yang harus Anda simpan oleh hukum.
Penggunaan pengambilan keputusan dan pembuatan profil otomatis
Jika Anda menggunakan pembuatan profil atau pengambilan keputusan otomatis lainnya, Anda harus mengungkapkannya dalam kebijakan privasi Anda. Dalam kasus seperti itu, Anda harus memberikan perincian tentang keberadaan pengambilan keputusan otomatis apa pun, bersama dengan informasi tentang logika yang terlibat, dan kemungkinan signifikansi dan konsekuensi dari pemrosesan individu tersebut.
Bagaimana cara menghubungi kami?
Jelaskan bagaimana subjek data dapat menghubungi jika mereka memiliki pertanyaan atau kekhawatiran tentang praktik privasi Anda, informasi pribadi mereka, atau jika mereka ingin mengajukan keluhan. Jelaskan semua cara mereka dapat menghubungi Anda – misalnya online, melalui email atau surat pos.
Jika berlaku, Anda juga dapat menyertakan informasi tentang:
Penggunaan cookie dan teknologi lainnya
Anda dapat menyertakan tautan ke informasi lebih lanjut, atau menjelaskan dalam kebijakan jika Anda bermaksud untuk mengatur dan menggunakan cookie, pelacakan, dan teknologi serupa untuk menyimpan dan mengelola preferensi pengguna di situs web Anda, mengiklankan, mengaktifkan konten, atau menganalisis data pengguna dan penggunaan. Berikan informasi tentang jenis cookie dan teknologi apa yang Anda gunakan, mengapa Anda menggunakannya, dan bagaimana seseorang dapat mengontrol dan mengelolanya.
Menautkan ke situs web lain / konten pihak ketiga
Jika Anda menautkan ke situs eksternal dan sumber daya dari situs web Anda, jelaskan secara spesifik apakah ini merupakan dukungan, dan jika Anda bertanggung jawab atas konten (atau informasi yang terkandung di dalam) situs web tertaut mana pun.
Anda mungkin ingin mempertimbangkan untuk menambahkan klausul opsional lain ke kebijakan privasi Anda, tergantung pada keadaan bisnis Anda.
