Privacy Policy

Kebijakan Perlindungan Data Pribadi Aboitiz Foods

Kebijakan ini dengan ini diadopsi oleh Aboitiz Foods untuk:

  1. Mematuhi kewajiban hukum yang ditetapkan dalam Undang-Undang Perlindungan Data Pribadi  No. 27 Tahun 2022, yang telah berlaku sejak tanggal 24 Oktober 2024 (Undang Undang Perlindungan Data Pribadi”).
  2. Memastikan pemrosesan data pribadi subjek data yang adil dan sesuai dengan Peraturan Perundang-undangan  termasuk karyawan, klien, pelanggan, pemegang saham, dan individu lainnya.
  3. Memberikan panduan kepada anggota tim tentang penanganan data pribadi yang tepat.
  4. Memastikan kerahasiaan, integritas, dan ketersediaan data pribadi di bawah
  5. mengendalikan Perusahaan.
  6. Memastikan kerahasiaan, integritas, dan ketersediaan data pribadi di bawah
  7. mengendalikan Perusahaan.

RUANG LINGKUP

Kebijakan ini mencakup semua data pribadi dalam bentuk apa pun (misalnya, fisik atau digital), dan pemrosesan data pribadi dengan cara apa pun (misalnya, manual atau otomatis) oleh Aboitiz Foods, direktur, pejabat, dan seluruh karyawannya.

PERNYATAAN KEBIJAKAN

Definisi

  1. Aboitiz Foods” mengacu pada Aboitiz Foods dengan seluruh subsidiarinya di Indonesia;
  2. Subjek data” mengacu pada individu yang informasi pribadinya, informasi pribadi yang sensitif, atau informasi yang memiliki hak istimewa diproses;
  3. Sistem pemrosesan data” mengacu pada struktur dan prosedur yang digunakan untuk mengumpulkan data pribadi dan memprosesnya lebih lanjut dalam sistem informasi dan komunikasi atau sistem pengarsipan yang relevan, termasuk tujuan dan hasil yang diinginkan dari pemrosesan tersebut;
  4. Pembagian data” adalah pengungkapan atau pemindahan data pribadi ke entitas lain yang berada di bawah pengawasan perusahaan. Istilah ini tidak termasuk outsourcing, atau pengungkapan atau pemindahan data pribadi oleh perusahaan kepada Vendor;
  5. Pemasaran langsung” mengacu pada komunikasi dengan cara apa pun dalam bentuk iklan atau materi pemasaran yang ditujukan kepada individu tertentu;
  6. Data pribadi” mengacu pada semua jenis informasi pribadi termasuk informasi pribadi yang sensitif dan informasi rahasia;
  7. Pelanggaran data pribadi” mengacu pada pelanggaran keamanan yang mengarah pada penghancuran, kehilangan, pengubahan, pengungkapan yang tidak disengaja atau melanggar hukum, pengungkapan yang tidak sah, atau akses ke data pribadi yang dikirimkan, disimpan, atau diproses. Pelanggaran data pribadi dapat berupa:
    1. Pelanggaran ketersediaan yang diakibatkan oleh kehilangan, perusakan data pribadi yang tidak disengaja atau melanggar hukum;
    2. Pelanggaran integritas yang diakibatkan oleh perubahan data pribadi; dan/atau
    3. Pelanggaran kerahasiaan yang diakibatkan oleh pengungkapan atau akses yang tidak sah ke data pribadi.
  8. Informasi pribadi” mengacu pada informasi apa pun yang darinya identitas seseorang terlihat jelas atau dapat dipastikan secara wajar dan langsung, atau jika digabungkan dengan informasi lain dapat secara langsung dan pasti mengidentifikasi seseorang;
  9. Pemrosesan” mengacu pada setiap operasi atau serangkaian operasi yang dilakukan pada data pribadi termasuk pengumpulan, pencatatan, pengorganisasian, penyimpanan, pembaruan atau modifikasi, pengambilan, konsultasi, penggunaan, konsolidasi, pemblokiran, penghapusan, atau penghancuran data. Pemrosesan dapat dilakukan secara otomatis atau manual;
  10. Profiling” mengacu pada segala bentuk pemrosesan otomatis data pribadi yang terdiri dari penggunaan data pribadi untuk mengevaluasi aspek-aspek pribadi tertentu dari seseorang, khususnya untuk menganalisis atau memprediksi aspek-aspek yang berkaitan dengan Kinerja seseorang di tempat kerja, situasi ekonomi, kesehatan, preferensi pribadi, minat, keandalan, perilaku, lokasi, atau pergerakan;
  11. Informasi istimewa” mengacu pada setiap dan semua bentuk data yang dianggap sebagai komunikasi istimewa berdasarkan undang-undang terkait, termasuk komunikasi suami-istri, komunikasi pengacara-klien, dan komunikasi dokter-pasien;
  12. Insiden keamanan” adalah peristiwa atau kejadian yang memengaruhi atau cenderung mempengaruhi perlindungan data, atau dapat membahayakan ketersediaan, integritas, dan kerahasiaan data pribadi. Hal ini termasuk insiden yang akan mengakibatkan pelanggaran data pribadi, jika bukan karena perlindungan yang telah diterapkan;
  13. Informasi pribadi yang sensitif mengacu pada informasi pribadi: Mengenai ras, asal etnis, status perkawinan, usia, warna kulit, dan afiliasi agama, filosofi, atau politik seseorang;
    1. Tentang kesehatan, pendidikan, genetik, atau kehidupan seksual seseorang, atau untuk setiap proses untuk setiap pelanggaran yang dilakukan atau diduga telah dilakukan oleh orang tersebut, pembuangan proses tersebut, atau
    2. hukuman dari pengadilan manapun dalam proses tersebut;
    3. Diterbitkan oleh lembaga pemerintah yang khusus untuk individu termasuk nomor jaminan sosial, catatan kesehatan sebelumnya atau saat ini, lisensi atau penolakannya, penangguhan atau pencabutannya, dan pengembalian pajak; dan
    4. Secara khusus ditetapkan oleh hukum untuk dirahasiakan.

TATA KELOLA PRIVASI DATA

  1. Pengawasan, Dewan Direksi Aboitiz Foods harus melakukan pengawasan secara keseluruhan terhadap kepatuhan terhadap Undang-Undang Perlindungan Data Pribadi dan penerapan kebijakan ini serta kebijakan terkait lainnya di Perusahaan.
  2. Petugas Privasi Data, Petugas Privasi Data (Data Privacy Officer/DPO), yang merupakan karyawan organik Aboitiz Foods, akan ditunjuk oleh Chief Executive Officer (CEO). DPO harus melapor langsung kepada CEO. Jika DPO memiliki fungsi pekerjaan lain dengan jalur pelaporan ke pejabat senior lainnya, dia harus memiliki jalur pelaporan langsung ke CEO untuk fungsi DPO-nya.
  3. OPD akan memiliki tugas dan tanggung jawab sebagai berikut:
    1. Memastikan kepatuhan terhadap Undang Undang Perlindungan Data Pribadi dan peraturan serta kebijakan ini dan kebijakan terkait lainnya dari Perusahaan;
    2. Memastikan peninjauan rutin (setidaknya setiap tahun) terhadap kebijakan, pedoman, dan prosedur terkait privasi Perusahaan;
    3. Berkoordinasi dengan pejabat terkait di Aboitiz Foods yang bertanggung jawab atas manajemen keamanan informasi untuk penerapan langkah-langkah keamanan informasi yang efektif di Perusahaan untuk memastikan kerahasiaan, integritas, dan ketersediaan data pribadi;
    4. Mengadakan pelatihan privasi dan keamanan informasi;
    5. Berkoordinasi dengan Tim Taktis Pelanggaran Data Aboitiz Foods dalam pengelolaan insiden keamanan dan pelanggaran data pribadi;
    6. Mengawasi dan mengkoordinasikan pelaksanaan penilaian dampak privasi untuk mengidentifikasi risiko data  privasi Aboitiz Foods;
    7. Mengembangkan dan mengimplementasikan rencana remediasi untuk risiko privasi dan keamanan informasi dengan berkoordinasi dengan petugas keamanan informasi dan pemilik proses;
    8. Memantau kepatuhan terhadap standar privasi dan keamanan informasi Aboitiz Foods dari penyedia jasa pihak ketiga dan entitas lain yang memiliki akses terhadap data pribadi di bawah kendali Aboitiz Foods;
    9. Memastikan kepatuhan Aboitiz Foods terhadap persyaratan pelaporan, pendaftaran, dan peraturan lainnya.
  4. Pemimpin Tim, Pemimpin tim dari setiap departemen yang memproses data pribadi harus memiliki tugas dan tanggung jawab sebagai berikut:
    1. Memahami kewajiban kepatuhan Aboitiz Foods berdasarkan Undang-Undang Perlindungani Data Pribadi dan peraturan terkait;
    2. Memastikan penerapan kebijakan dan pedoman yang dibuat untuk mematuhi Undang Undang Perlindungan Data Pribadi dan peraturan terkait, serta kebijakan ini dan kebijakan terkait privasi dan keamanan informasi Aboitiz Foods lainnya, dengan menanamkan kebijakan dan pedoman tersebut ke dalam proses dan prosedur sehari-hari di departemen;
    3. Melakukan penilaian dampak privasi yang mungkin diperlukan;
    4. Berkoordinasi dengan DPO dan petugas keamanan informasi dalam pengembangan kontrol dan rencana mitigasi untuk mengatasi risiko privasi yang teridentifikasi.
    5. Memastikan penerapan kontrol risiko dan rencana mitigasi di departemen;
    6. Mempromosikan budaya privasi di dalam departemen;
    7. Memastikan bahwa anggota tim memiliki kemampuan untuk mematuhi persyaratan privasi dan keamanan informasi sebagaimana ditentukan oleh hukum, peraturan, atau kebijakan dan pedoman internal perusahaan; dan
    8. Segera laporkan kepada DPO setiap insiden keamanan atau pelanggaran data sesuai dengan kebijakan dan prosedur tanggap darurat Perusahaan.
  5. Pemimpin Tim, Pemimpin tim dari setiap departemen yang memproses data pribadi harus memiliki tugas dan tanggung jawab sebagai berikut:
    1. Memahami kewajiban kepatuhan Perusahaan berdasarkan Undang Undang Perlindungan Data Pribadi dan peraturan terkait;
    2. Memahami dan mematuhi kebijakan dan prosedur privasi dan keamanan informasi dalam pemrosesan data pribadi;
    3. Melaporkan segera kepada TL masing-masing setiap insiden keamanan atau pelanggaran data sesuai dengan kebijakan dan prosedur respon insiden Perusahaan;
    4. Menerapkan kontrol dan rencana mitigasi untuk mengatasi risiko privasi; dan
    5. Secara teratur menghadiri atau menjalani pelatihan privasi dan kegiatan pembelajaran lainnya.

PEMROSESAN DATA PRIBADI

Hak-hak Subjek Data. Hak-hak subjek data sebagaimana diatur dalam:

  1. Undang-Undang Perlindungan Data pribadi harus diperhatikan saat memproses data pribadi.
    1. Hak untuk mendapatkan informasi. Subjek data memiliki hak untuk mendapatkan informasi mengenai hal-hal berikut ini:
      1. Apakah data pribadinya akan, sedang, atau telah diproses;
      2. Jenis data pribadi yang akan dimasukkan ke dalam sistem pemrosesan data;
      3. Tujuan pemrosesan;
      4. Ruang lingkup dan metode pemrosesan;
      5. Pihak-pihak yang dapat menerima pengungkapan data pribadi;
      6. Metode yang digunakan untuk akses otomatis jika diizinkan oleh subjek data;
      7. Rincian kontak perusahaan atau perwakilannya
      8. Jangka waktu penyimpanan data pribadi; dan
      9. Keberadaan hak-hak mereka sebagai subjek data.
    2. Hak untuk menolak. Subjek data memiliki hak untuk menolak pemrosesan yang dapat menyebabkan kerusakan atau kesusahan baginya, serta pemrosesan untuk pemasaran langsung, pemrosesan otomatis, atau pembuatan profil.
    3. Hak untuk mengakses. Subjek data memiliki hak atas akses yang wajar, berdasarkan permintaan, ke hal-hal berikut ini:
      1. Isi data pribadinya yang diproses;
      2. Sumber-sumber dari mana informasi pribadi diperoleh;
      3. Nama dan alamat penerima data pribadi;
      4. Cara pemrosesan data pribadi;
      5. Alasan pengungkapan data pribadi kepada penerima;
      6. Informasi tentang proses otomatis di mana data pribadi akan atau kemungkinan besar akan dibuat sebagai satu-satunya dasar untuk keputusan apapun yang secara signifikan mempengaruhi atau yang akan mempengaruhi subjek data;
      7. Tanggal ketika data pribadinya terakhir kali diakses atau dimodifikasi; dan
      8. Nama, alamat, dan rincian kontak perusahaan atau perwakilannya.
    4. Hak untuk mendapatkan ganti rugi. Subjek data memiliki hak untuk mendapatkan ganti rugi atas segala kerusakan yang diderita akibat penggunaan data pribadi yang tidak akurat, tidak lengkap, salah, diperoleh secara tidak sah, atau tidak sah.
    5. Hak atas portabilitas data. Subjek data berhak untuk mendapatkan salinan data pribadinya dari perusahaan dalam format elektronik atau terstruktur yang memungkinkan untuk digunakan lebih lanjut, jika data pribadinya diproses dalam format elektronik atau terstruktur sesuai dengan spesifikasi, standar teknis, modalitas, prosedur, dan aturan lain untuk pemindahan data pribadi tersebut dalam format elektronik atau terstruktur. Hak-hak di atas dapat digunakan oleh ahli waris atau penerima hak yang sah dari subjek data jika subjek data meninggal dunia atau tidak mampu.
  2. Sistem Pengolahan Data. Untuk memastikan kepatuhan privasi dan manajemen risiko yang efektif,
  3. Aboitiz Foods harus mendokumentasikan hal-hal berikut ini:
    1. Departemen, karyawan, atau pihak ketiga yang memiliki fungsi yang berkaitan dengan pemrosesan data pribadi.
    2. Kategori dan inventarisasi subjek data dan jenis data pribadi yang sedang diproses.
    3. Penjelasan tentang aliran informasi, mulai dari titik pengumpulan hingga pembuangan data pribadi, termasuk pemrosesan apa pun yang dilakukan di antaranya, serta cara dan tingkat pemrosesan.
    4. Tujuan pemrosesan termasuk pemrosesan atau pembagian data yang dimaksudkan di masa mendatang.
    5. Penerima atau penerima yang dituju dari data pribadi.

Pengumpulan Data

  1. Subjek data harus diberi tahu dalam bahasa yang jelas dan sederhana bahwa data pribadinya sedang atau akan dikumpulkan dan diproses. Untuk tujuan ini, pernyataan privasi yang berisi informasi berikut harus diberikan kepada subjek data pada saat pengumpulan (misalnya, situs web, intranet, situs mikro, aplikasi seluler, formulir pelanggan dan karyawan):
    1. Deskripsi data pribadi yang akan diproses;
    2. Tujuan pemrosesan;
    3. Cakupan dan metode pemrosesan;
    4. Pihak-pihak yang dapat menerima pengungkapan data pribadi;
    5. Rincian kontak perusahaan atau Petugas Privasi Data;
    6. Periode retensi; dan
    7. Haknya sebagai subjek data.
  2. Pemberitahuan sebelumnya kepada subjek data harus dilakukan jika terjadi perubahan pernyataan privasi.
  3. Kecuali dalam kasus yang diizinkan oleh hukum atau peraturan, persetujuan dari subjek data yang akan diproses harus diperoleh sebelum pengumpulan. Dalam hal pemrosesan informasi sensitif atau informasi rahasia, semua pihak harus memberikan persetujuan mereka sebelum pemrosesan.

Pemrosesan yang Adil dan Sesuai Hukum

  1. Pemrosesan harus untuk tujuan yang tidak bertentangan dengan hukum, moral, atau kebijakan publik. Data pribadi tidak boleh disalahgunakan dan pemrosesan harus sesuai dengan tujuan yang dinyatakan dan ditentukan. Langkah-langkah yang tepat harus diterapkan untuk mencegah penyalahgunaan data pribadi yang dapat membahayakan subjek data.
  2. Kualitas Data. Kualitas data harus dipastikan saat memproses data pribadi. Data pribadi harus akurat, relevan, dan, jika diperlukan untuk tujuan penggunaannya, harus selalu diperbarui.
  3. Data yang tidak akurat atau tidak lengkap harus dikoreksi, dilengkapi, dimusnahkan, atau dibatasi pemrosesan lebih lanjut.
  4. Proporsionalitas Pemrosesan. Pemrosesan harus memadai dan tidak berlebihan dalam kaitannya dengan tujuan pengumpulan dan pemrosesan data.
  5. Penyimpanan. Data pribadi hanya akan disimpan selama diperlukan untuk memenuhi tujuan perolehan data tersebut, atau untuk pendirian, pelaksanaan, atau pembelaan atau tuntutan hukum, atau untuk tujuan bisnis yang sah, atau sebagaimana ditentukan oleh hukum.
  6. Berbagi Data.
    1. Persetujuan dari subjek data untuk berbagi data harus diperoleh bahkan ketika data tersebut akan dibagikan dengan induk, anak perusahaan, atau afiliasi Perusahaan.
    2. Setiap pengaturan pembagian data harus dicakup oleh perjanjian pembagian data yang akan mengatur, antara lain, standar privasi dan keamanan data yang harus dipatuhi.
  7. Tindakan Keamanan. Dengan mempertimbangkan profil risikonya, Perusahaan harus menerapkan langkah-langkah keamanan organisasi, fisik, dan teknis yang sesuai untuk memastikan privasi dan perlindungan data.
  8. Mempromosikan kesadaran privasi dan perlindungan data di perusahaan melalui pelatihan dan komunikasi rutin.
  9. Menetapkan pengembangan keterampilan dan pelatihan bagi karyawan yang menangani data pribadi untuk memastikan perlindungan data pribadi. Pelatihan mengenai kebijakan dan prosedur privasi data dan keamanan informasi harus menjadi bagian dari proses orientasi karyawan baru yang menangani data pribadi.
  10. Karyawan, penyedia layanan, dan pihak ketiga lainnya yang memiliki akses ke data pribadi yang tidak dimaksudkan untuk pengungkapan publik harus menjaga kerahasiaan data pribadi dengan sangat ketat bahkan setelah pemutusan hubungan kerja atau hubungan kontrak. Persyaratan ini harus diberlakukan melalui perjanjian kerahasiaan atau klausul kerahasiaan dalam perjanjian layanan.
  11. Langkah-langkah keamanan informasi harus diterapkan. Dalam hal ini, kebijakan manajemen keamanan informasi dianggap tercakup dalam kebijakan ini.
  12. Pengalihdayaan. Aboitiz Foods harus memastikan perlindungan data pribadi ketika melakukan kegiatan outsourcing yang melibatkan pemrosesan data pribadi. Di antara langkah-langkah yang dapat dilakukan untuk memastikan perlindungan data oleh kontraktor atau penyedia layanan adalah sebagai berikut:
    1. Menetapkan standar privasi dan keamanan yang sesuai (tindakan organisasi, fisik, dan teknis) yang harus dipatuhi oleh kontraktor atau penyedia layanan saat memproses data pribadi.
    2. Mempertimbangkan dalam proses akreditasi, perekrutan, dan evaluasi kinerja, kemampuan kontraktor atau penyedia layanan untuk memenuhi standar privasi dan keamanan yang ditetapkan oleh Aboitiz Foods.
    3. Menanamkan persyaratan privasi, standar keamanan, manajemen pelanggaran data
    4. protokol dan hak perusahaan untuk mengaudit kepatuhan terhadap persyaratan yang disebutkan di atas dalam perjanjian dengan kontraktor atau penyedia layanan.
    5. Melakukan audit kepatuhan jika diperlukan.

Pengumpulan Data

  1. Sebagai bagian dari sistem manajemen keamanan informasinya, Aboitiz Foods harus menetapkan kontrol detektif (yang, tergantung pada profil risiko perusahaan, dapat berupa kombinasi dari proses, sumber daya manusia, kontrol fisik dan teknologi) untuk mendeteksi insiden keamanan potensial atau aktual atau pelanggaran data serta keluhan, ketidakpatuhan, atau pelanggaran yang berkaitan dengan privasi dan perlindungan data.
  2. Aboitiz Foods harus menetapkan dan menerapkan kebijakan manajemen insiden keamanan, yang harus mencakup hal-hal berikut:
    1. Pembentukan tim tanggap pelanggaran data untuk memastikan bahwa tindakan yang tepat waktu dan tepat diambil jika terjadi insiden keamanan atau pelanggaran data pribadi.
    2. Penerapan prosedur tanggap insiden termasuk pelaksanaan tindakan korektif dan kontrol untuk:
      1. Mengandung atau mengurangi dampak negatif dari insiden keamanan, pelanggaran data, keluhan, ketidakpatuhan, atau kesalahan;
      2. Mengembalikan integritas sistem informasi dan komunikasi; dan
      3. Meningkatkan pencegahan dan deteksi insiden di masa mendatang.
      4. Pelaksanaan investigasi internal untuk memahami fakta, keadaan, akar penyebab dan penyelesaian yang tepat.
      5. Prosedur untuk menghubungi pihak penegak hukum jika terjadi tindak pidana.

TINDAKAN DISIPLINER

Pelanggaran terhadap kebijakan ini, Undang Undang Perlindungan Data Pribadi dan Peraturan dan Peraturan Pelaksananya, termasuk pelanggaran data, akan ditangani sesuai dengan tindakan disipliner yang telah ditetapkan dan tanggapan yang tepat untuk tindakan hukum yang potensial, termasuk tindakan perdata dan pidana.