Versi 2
Protokol Pemrosesan Data (“Protokol”) ini menjelaskan cara Willis Towers Watson menangani data pribadi atas nama klien, pelanggan, atau penerima lisensinya (secara bersama-sama, “Klien”).
Protokol ini merupakan bagian dari perjanjian apa pun yang berlaku antara entitas Willis Towers Watson dan Klien yang secara tegas merujuk protokol (“Perjanjian”) tersebut. Apabila Protokol ini menggunakan istilah yang didefinisikan dalam hukum privasi negara terkait di Asia dan Australasia yang berhubungan dengan Perjanjian yang dimaksud (“Negara Terkait”), definisi yang ditetapkan dalam hukum privasi tersebut akan diberlakukan.
Entitas Willis Towers Watson yang memproses data pribadi adalah entitas yang menandatangani Perjanjian dengan Klien (“Entitas Willis Towers Watson Terkait”). Informasi kontak Entitas Willis Towers Watson Terkait dapat ditemukan dalam Perjanjian. Informasi kontak Petugas Perlindungan Data, jika diminta untuk ditunjuk berdasarkan hukum privasi Negara Terkait, dapat diperoleh dari Entitas Willis Towers Watson Terkait.
Setiap permintaan atau umpan balik, termasuk hak apa pun yang dimiliki Klien atau subjek data berdasarkan hukum privasi di Negara Terkait, dapat disampaikan kepada Entitas Willis Towers Watson Terkait.
Dalam kebanyakan hal, Klien atau subjek data juga dapat menyampaikan umpan balik mereka kepada otoritas perlindungan data Negara Terkait.
Pemrosesan Data
Sehubungan dengan data pribadi yang diproses oleh Entitas Willis Towers Watson Terkait atas nama Klien (lihat Lampiran 1), Entitas Willis Towers Watson Terkait akan mematuhi persyaratan berikut:
Pembatasan Penggunaan. Entitas Willis Towers Watson Terkait hanya akan memproses data pribadi untuk menyediakan layanan terkait, sesuai instruksi tertulis dari Klien dari waktu ke waktu, atau sebagaimana diwajibkan oleh hukum.
Kerahasiaan. Entitas Willis Towers Watson Terkait akan menyimpan data pribadi secara rahasia dan mewajibkan personel Entitas Willis Towers Watson Terkait yang akan memproses data pribadi untuk melindungi semua data pribadi sesuai dengan persyaratan Protokol ini.
Program Keamanan Informasi. Entitas Willis Towers Watson Terkait akan mengelola program keamanan informasi tertulis yang memuat pengamanan administratif, teknis, dan fisik yang sesuai untuk melindungi data pribadi dari ancaman atau bahaya yang diperkirakan terjadi terhadap keamanan, kerahasiaan, atau integritas data pribadi. Program keamanan tersebut akan ditinjau secara berkala.
Bantuan
Dengan mempertimbangkan sifat pemrosesan dan informasi yang tersedia, Entitas Willis Towers Watson Terkait akan:
- I. menyediakan bantuan yang diperlukan untuk membantu Klien memenuhi kewajibannya guna menanggapi permintaan apa pun dari individu yang menerapkan haknya berdasarkan hukum privasi di Negara Terkait. Bantuan tersebut mungkin tidak disediakan jika diizinkan oleh hukum privasi yang berlaku, sebagai contoh, jika ini mungkin menimbulkan pengungkapan informasi terkait subjek data lain atau jika pengungkapan dapat membahayakan penyelidikan apa pun; dan
- II. apabila diwajibkan secara tegas sebelumnya berdasarkan hukum privasi Negara Terkait:
- membantu Klien mematuhi kewajiban Klien untuk menyediakan kepada Klien semua informasi yang secara wajar dapat diminta oleh Klien guna menunjukkan kepatuhan terhadap kewajiban yang dijabarkan dalam hukum privasi Negara Terkait;
- akan segera memberi tahu Klien jika, menurut pendapatnya, instruksi dapat melanggar hukum privasi Negara Terkait.
Entitas Willis Towers Watson Terkait dapat mengenakan biaya wajar untuk bantuan yang dijelaskan di atas, kecuali untuk bantuan yang wajib diberikan secara langsung akibat tindakan atau kelalaiannya, yang dalam hal ini bantuan tersebut akan diberikan dengan biaya Entitas Willis Towers Watson Terkait.
Audit. Entitas Willis Towers Watson Terkait akan mengizinkan dan berkontribusi terhadap audit yang dilakukan oleh Klien atau auditor lain yang dipilih oleh Klien atas kewajiban privasi sebagaimana disetujui dan/atau berdasarkan hukum privasi Negara Terkait. Klien akan memberikan pemberitahuan dalam waktu tiga puluh (30) hari sebelumnya kepada Entitas Willis Towers Watson Terkait atas permintaan audit apa pun dan kedua pihak akan menyetujui waktu dan cakupan audit yang dapat diterima. Klien tidak boleh terlibat dalam audit yang dapat melanggar kewajiban kerahasiaan klien atau pelanggan lainnya dari Entitas Willis Towers Watson Terkait dan, jika pihaknya ingin menunjuk auditor lain untuk melakukan audit, akan memastikan auditor tersebut menandatangani perjanjian kerahasiaan dengan Entitas Willis Towers Watson Terkait sebagaimana diwajibkan oleh Entitas Willis Towers Watson Terkait. Entitas Willis Towers Watson Terkait dapat mengenakan biaya untuk semua biaya dan pengeluaran wajar akibat penyediaan bantuan tersebut.
Pemberitahuan. Entitas Willis Towers Watson Terkait, tanpa penundaan yang tidak wajar, akan memberi tahu Klien setiap kali terjadi pelanggaran atas data yang dikonfirmasi sebagaimana ditetapkan dalam Hukum privasi Negara Terkait, serta setiap pelanggaran atas keamanan yang dikonfirmasi menimbulkan pemusnahan yang tidak sengaja atau melanggar hukum, kehilangan, perubahan, pengungkapan tanpa izin, atau akses tanpa izin ke data pribadi yang diproses oleh pihaknya dalam konteks Protokol ini.
Pengembalian atau Pembuangan. Klien dapat meminta Entitas Willis Towers Watson Terkait untuk menghapus atau mengembalikan data pribadi pada akhir periode pemrosesan data pribadi Klien tersebut, sebagaimana ditetapkan dalam Lampiran 1. Namun demikian, mungkin terdapat keadaan di mana Entitas Willis Towers Watson Terkait akan menyimpan data pribadi dalam arsip sejauh diperlukan untuk bisnis yang sah dan/atau tujuan yang sah.
Subprocessing
Klien memahami bahwa Entitas Willis Towers Watson Terkait dapat menggunakan subprocessor untuk menyediakan layanan berdasarkan Perjanjian. Entitas Willis Towers Watson Terkait utamanya akan tetap bertanggung jawab penuh atas pelaksanaan kewajibannya berdasarkan Protokol ini.
Data yang Dianonimkan dan Disamarkan
Klien mengakui bahwa layanan meliputi penyamaran dan pengaburan informasi atau anonimisasi untuk tujuan riset (tren) dan pelaporan agregat, dan menyetujui bahwa Entitas Willis Towers Watson Terkait dapat menggunakan data yang disamarkan dan dianonimkan untuk tujuan bisnisnya sendiri, dan Entitas Willis Towers Watson Terkait akan mematuhi seluruh perlindungan data yang berlaku sehubungan dengan pemrosesan tersebut.
Transfer Data
Klien mengonfirmasi bahwa Entitas Willis Towers Watson Terkait dapat mentransfer data pribadi kepada afiliasi dan subprocessornya baik di dalam maupun di luar Negara Terkait untuk tujuan dukungan dan pencadangan. Daftar afiliasi dan subprocessor tersebut dapat diperoleh dari Entitas Willis Towers Watson Terkait dan, sejauh dapat dilaksanakan, Entitas Willis Towers Watson Terkait akan memberi tahu Klien negara tempat penerima tersebut mungkin berlokasi. Entitas Willis Towers Watson Terkait telah menetapkan pengamanan untuk melindungi data pribadi yang ditransfer tersebut pada tingkat yang dapat dibandingkan setidaknya dengan hukum Negara Terkait.
Lampiran 1 - Deskripsi pemrosesan data pribadi
1. Permasalahan Pokok, Sifat, dan Tujuan
Seluruh kegiatan pemrosesan (termasuk pengumpulan, penyusunan, dan analisis data pribadi) secara wajar diwajibkan untuk memfasilitasi atau mendukung penyediaan layanan yang dijelaskan berdasarkan Perjanjian.
Apabila Klien/subjek data menolak untuk mengizinkan Entitas Willis Towers Watson Terkait memproses data pribadi, penolakan tersebut dapat berpotensi merugikan atau menghalangi penyediaan layanan yang dijelaskan berdasarkan Perjanjian. Selain itu, Entitas Willis Towers Watson Terkait mungkin memproses data pribadi tanpa mempertimbangkan keinginan Klien/subjek data selama hukum mengizinkan/mewajibkan Entitas Willis Towers Watson Terkait untuk melakukannya.
2. Durasi pemrosesan dan penyimpanan data pribadi
Entitas Willis Towers Watson Terkait akan memproses data pribadi selama pihaknya menyediakan layanan bagi Klien dan akan menyimpan data pribadi dalam arsip setelah tanggal tersebut sejauh diperlukan untuk bisnis yang sah dan/atau tujuan yang sah.
3. Kategori individu
Subjek data dapat meliputi individu yang disebutkan dalam polis atau skema apa pun sehubungan dengan Entitas Willis Towers Watson Terkait yang dilibatkan untuk menyediakan layanan dan/atau individu yang merupakan penerima manfaat dari, atau telah mengajukan klaim berdasarkan, atau terlibat dalam, polis atau skema tersebut. Subjek data yang paling umum akan mencakup: (1) karyawan, kontraktor, atau pekerja lain dari Klien (“Pekerja”) dan/atau anggota keluarga mereka, perwakilan, atau pihak lain yang berhubungan dengan Pekerja; (2) klien sebelumnya, yang sudah ada, atau calon klien dari Klien, dan/atau karyawan mereka atau individu lain yang berhubungan dengan mereka, dan/atau anggota keluarga mereka, perwakilan, atau pihak lain yang berhubungan dengan mereka; dan/atau (3) pengadu atau penuntut sebelumnya, yang sudah ada, atau calon pengadu atau penuntut, sehubungan dengan polis asuransi apa pun, dan/atau anggota keluarga mereka, perwakilan, atau pihak lain yang berhubungan dengan mereka.
4. Jenis data pribadi
Layanan berdasarkan Perjanjian dapat melibatkan pemrosesan jenis data pribadi berikut:
- nama dan informasi kontak, termasuk, namun tidak terbatas pada alamat rumah dan nomor telepon;
- informasi demografis (seperti jenis kelamin, usia, tanggal lahir, status perkawinan, kewarganegaraan, riwayat pendidikan/pekerjaan, kualifikasi akademis/profesional, perincian ketenagakerjaan, hobi, komposisi keluarga, dan tanggungan);
- nomor identifikasi karyawan;
- informasi terkait penyediaan layanan, seperti informasi polis dan informasi klaim, termasuk informasi terkait insiden yang menimbulkan klaim dan kerugian terkait;
- informasi akses pengguna sistem, namun tidak terbatas pada alamat email, nama pengguna, dan kata sandi; dan
- data sumber daya manusia, seperti jabatan dan peran pekerjaan; informasi tunjangan dan kompensasi; informasi tanggungan/penerima manfaat; informasi kualifikasi pendidikan, akademis, dan profesional; informasi kontak darurat; dan informasi manajemen kinerja.
5. Jenis data yang mungkin bersifat lebih sensitif:
Data pribadi yang diproses oleh Entitas Willis Towers Watson Terkait dapat mencakup sejumlah kategori data pribadi: karakteristik pribadi dan keadaan sifat sensitif, seperti ras atau asal suku, kehidupan seks atau orientasi seksual, kesehatan mental dan fisik, informasi genetik, detail cedera, pengobatan/perawatan medis yang diterima, gaya hidup seperti kebiasaan merokok dan konsumsi minuman beralkohol, dan catatan kejahatan, denda, serta catatan yudisial lain semacamnya, dokumentasi identifikasi pribadi dan informasi terkait seperti nomor paspor, data keuangan dan pembayaran seperti nomor rekening bank dan informasi transaksi.
