Kepatuhan GDPR

Pemberitahuan GDPR ini menjelaskan bagaimana RemotIQ Pty Ltd menangani data pribadi ketika General Data Protection Regulation (Regulation (EU) 2016/679, GDPR) dan United Kingdom General Data Protection Regulation (UK GDPR) berlaku. Pemberitahuan ini melengkapi Kebijakan Privasi kami. Sepanjang ada ketidaksesuaian pada topik yang secara khusus diatur oleh GDPR atau UK GDPR, pemberitahuan ini berlaku bagi orang yang termasuk dalam cakupan.

Berlaku untuk siapa

GDPR berlaku untuk pemrosesan data pribadi orang di European Economic Area (EEA). UK GDPR berlaku untuk pemrosesan data pribadi orang di Inggris. Kami mematuhi keduanya bila berlaku. Rujukan ke GDPR dalam pemberitahuan ini harus dibaca sebagai rujukan ke UK GDPR untuk orang di Inggris.

Peran kami: controller dan processor

Kami punya dua peran berbeda tergantung aktivitas. Sebagai controller, kami menentukan tujuan dan cara pemrosesan untuk pengunjung situs, prospek, pelanggan, pemasok, pelamar, dan kontak korporat. Kebijakan Privasi kami menjelaskan pemrosesan tersebut. Sebagai processor, kami memproses data pribadi atas nama pelanggan saat memberikan layanan — misalnya saat kami mengoperasikan atau memelihara sistem yang berisi data pengguna akhir pelanggan. Dalam hal ini, pelanggan adalah controller dan pemrosesan kami diatur instruksi terdokumentasi mereka serta Data Processing Agreement (DPA) yang ditandatangani.

Kategori data pribadi

Sebagai controller kami biasanya memproses: data identifikasi dan kontak (nama, email, telepon, jabatan, perusahaan); data komersial (proposal, faktur, metadata pembayaran); data teknis (alamat IP, identifier perangkat, browser fingerprint bila benar-benar diperlukan, log interaksi); data pelamar (nama, kontak, CV, dan informasi tambahan yang Anda berikan). Sebagai processor, kategori ditentukan oleh pelanggan dan tercantum di DPA serta instruksi mereka; kami tidak mengumpulkan data tambahan atas inisiatif sendiri.

Dasar hukum (saat kami sebagai controller)

Kami bersandar pada dasar hukum berikut menurut Pasal 6 GDPR. Pelaksanaan kontrak — untuk memberikan layanan, mengelola akun, menerbitkan faktur, dan menanggapi permintaan. Kepentingan sah — untuk berkomunikasi dengan prospek yang mengontak kami, memelihara dan meningkatkan layanan, mengelola catatan, keamanan, dan menjalankan bisnis secara proporsional. Persetujuan — untuk cookie non-esensial, komunikasi pemasaran bila diperlukan, dan pemrosesan apa pun yang paling tepat berdasar persetujuan; persetujuan dapat ditarik kapan saja. Kewajiban hukum — untuk mematuhi hukum yang berlaku, termasuk pajak, akuntansi, anti-pencucian uang, dan permintaan sah dari otoritas. Kami tidak menggunakan keputusan otomatis dengan dampak hukum atau setara menurut Pasal 22 GDPR.

Pemrosesan atas nama pelanggan (saat kami sebagai processor)

Saat bertindak sebagai processor, kami mematuhi Pasal 28 GDPR. Kami memproses data pribadi hanya berdasarkan instruksi terdokumentasi dari controller, termasuk transfer internasional, kecuali diharuskan hukum. Kami memastikan personel yang punya akses terikat kerahasiaan. Kami menerapkan langkah teknis dan organisasi yang memadai. Kami melibatkan sub-processor hanya dengan otorisasi controller dan meneruskan kewajiban setara. Kami membantu controller, dengan mempertimbangkan sifat pemrosesan dan informasi yang tersedia, dalam memenuhi kewajiban kepada subjek data dan kewajiban keamanan serta notifikasi pelanggaran. Kami menghapus atau mengembalikan data pribadi di akhir kerja sama, kecuali retensi diharuskan hukum.

Sub-processor

Kami melibatkan sub-processor terpilih dengan cermat — misalnya penyedia infrastruktur, email, dan pemrosesan pembayaran. Daftar terbaru tersedia bagi pelanggan di bawah DPA. Kami memberi tahu pelanggan terlebih dahulu tentang sub-processor baru atau pengganti dan memberi controller hak untuk keberatan. Kami memastikan secara kontraktual bahwa sub-processor tunduk pada kewajiban perlindungan data yang sama seperti DPA, khususnya menyediakan jaminan langkah teknis dan organisasi yang memadai.

Transfer internasional

Kami berkantor pusat di Australia, yang belum ditetapkan oleh Komisi Eropa sebagai yurisdiksi yang memadai menurut Pasal 45 GDPR. Saat kami mentransfer data pribadi dari EEA atau Inggris ke Australia atau negara ketiga lain, kami bersandar pada Standard Contractual Clauses (Implementing Decision (EU) 2021/914) untuk transfer dari EEA, dan UK International Data Transfer Addendum yang diterbitkan ICO untuk transfer dari Inggris. Kami melakukan transfer impact assessment dan menerapkan langkah tambahan — enkripsi saat transit dan saat disimpan, kontrol akses, dan pseudonimisasi bila perlu — untuk melindungi data. Salinan mekanisme transfer tersedia atas permintaan ke privacy@remotiq.com.au.

Keamanan

Kami menerapkan langkah teknis dan organisasi yang memadai untuk melindungi data pribadi dari pemusnahan tidak disengaja atau melawan hukum, kehilangan, perubahan, pengungkapan atau akses yang tidak sah. Termasuk: enkripsi saat transit (TLS) dan saat disimpan bila didukung; kontrol akses berbasis prinsip hak akses minimum; autentikasi multi-faktor untuk akun administratif; praktik pengembangan aman; pemisahan antar lingkungan pelanggan; manajemen risiko vendor; logging dan monitoring; backup dan restorasi yang diuji; serta prosedur respons insiden. Kami meninjau ulang langkah-langkah ini secara berkala dan memperbaruinya sesuai risiko dan teknologi terkini.

Notifikasi pelanggaran data

Sebagai controller, kami memberitahu otoritas pengawas yang berwenang tentang pelanggaran data tanpa penundaan tidak wajar dan, bila memungkinkan, paling lambat 72 jam setelah mengetahuinya, kecuali pelanggaran tidak mungkin menimbulkan risiko terhadap hak dan kebebasan orang. Bila pelanggaran berisiko tinggi, kami memberitahu orang yang terdampak tanpa penundaan tidak wajar. Sebagai processor, kami memberitahu controller tanpa penundaan tidak wajar setelah mengetahui pelanggaran yang memengaruhi datanya, dengan informasi yang diperlukan agar controller memenuhi kewajibannya.

Hak Anda

Orang di EEA dan Inggris memiliki hak berikut: hak atas informasi; hak akses; hak rektifikasi; hak penghapusan (hak untuk dilupakan) dalam keadaan tertentu; hak pembatasan pemrosesan; hak portabilitas atas data yang telah Anda berikan bila pemrosesan berdasar persetujuan atau kontrak dan otomatis; hak keberatan terhadap pemrosesan berbasis kepentingan sah (termasuk profil) dan terhadap pemasaran langsung kapan pun; hak menarik persetujuan kapan saja tanpa memengaruhi keabsahan pemrosesan sebelumnya; hak untuk tidak dikenai keputusan yang semata-mata berdasarkan pemrosesan otomatis dengan dampak hukum atau setara.

Cara menggunakan hak Anda

Bila kami adalah controller atas data Anda, tulis ke privacy@remotiq.com.au. Kami menjawab dalam 30 hari; permintaan kompleks atau banyak dapat kami perpanjang hingga dua bulan tambahan dengan menjelaskan alasannya. Kami tidak memungut biaya, kecuali permintaan jelas tidak berdasar atau berlebihan. Kami mungkin perlu memverifikasi identitas Anda untuk melindungi data. Bila kami menyimpan data Anda hanya sebagai processor atas nama pelanggan, permintaan Anda akan kami teruskan ke pelanggan tersebut (controller) tanpa penundaan; Anda juga bisa menghubungi pelanggan langsung.

Anak-anak

Layanan kami ditujukan untuk organisasi dan profesional di dalamnya. Kami tidak dengan sengaja mengumpulkan data pribadi anak di bawah 16 tahun (atau usia persetujuan digital sesuai hukum lokal) tanpa persetujuan terverifikasi orang tua atau wali. Bila Anda yakin kami menyimpan data anak, hubungi privacy@remotiq.com.au dan akan kami hapus.

Retensi

Sebagai controller, kami menyimpan data pribadi hanya selama diperlukan untuk tujuan pengumpulan, termasuk persyaratan hukum, akuntansi, atau pelaporan. Periode retensi tipikal ada di Kebijakan Privasi. Sebagai processor, kami menyimpan data pelanggan selama masa kerja sama dan menghapus atau mengembalikan di akhir sesuai DPA, kecuali retensi diwajibkan hukum.

Data Processing Agreement (DPA)

Pelanggan yang memerlukan DPA dapat memperoleh DPA standar kami dari privacy@remotiq.com.au. DPA mencakup EU Standard Contractual Clauses dan UK International Data Transfer Addendum bila berlaku, mengatur tata kelola sub-processor, langkah keamanan, notifikasi pelanggaran, dan bantuan terhadap hak subjek data. Kami menandatangani DPA sebelum memproses data pribadi atas nama pelanggan bila GDPR atau UK GDPR berlaku.

Otoritas pengawas

Anda berhak mengajukan keluhan kepada otoritas pengawas, terutama di Negara Anggota tempat tinggal biasa, tempat kerja, atau tempat dugaan pelanggaran. Di Inggris, otoritasnya adalah Information Commissioner's Office (ICO) — ico.org.uk. Daftar otoritas Uni Eropa diterbitkan European Data Protection Board di edpb.europa.eu. Walau begitu, kami menghargai bila Anda menyampaikan keprihatinan terlebih dulu kepada kami — privacy@remotiq.com.au.

Perwakilan UE dan Inggris

Saat ini kami tidak memiliki kantor di UE atau Inggris. Bila Pasal 27 GDPR atau UK GDPR mensyaratkan penunjukan perwakilan, kami akan menunjuknya dan memperbarui pemberitahuan ini dengan kontaknya. Sementara itu, semua pertanyaan harap dialamatkan ke privacy@remotiq.com.au.

Perubahan pemberitahuan

Kami memperbarui pemberitahuan ini saat pemrosesan kami berubah atau ketika panduan otoritas atau yurisprudensi membuat klarifikasi tepat dilakukan. Tanggal berlaku menunjukkan versi terkini. Perubahan material akan dikomunikasikan terlebih dahulu kepada orang dan pelanggan yang terdampak.

Kontak

Privasi dan GDPR: privacy@remotiq.com.au. Pos: RemotIQ Pty Ltd, #203 Hampton Rd, Northampton WA 6535, Australia.