Versi 2
Protokol Pemprosesan Data ini (“Protokol”) menjelaskan bagaimana Willis Towers Watson mengendalikan data peribadi bagi pihak klien, pelanggan atau pemegang lesennya (bersama-sama dikenali sebagai “Klien”).
Protokol ini merupakan sebahagian daripada perjanjian antara entiti Willis Towers Watson dan Klien yang secara jelas merujuk kepadanya (“Perjanjian”). Apabila Protokol ini menggunakan istilah yang ditakrifkan dalam undang-undang privasi negara masing-masing di Asia dan Australasia yang berkaitan dengan Perjanjian tersebut (“Negara Yang Berkaitan”), definisi yang dinyatakan dalam undang-undang privasi itu akan dipakai.
Entiti Willis Towers Watson yang memproses data peribadi adalah entiti yang telah memeterai Perjanjian dengan Klien (“Entiti Willis Towers Watson Yang Berkaitan”). Maklumat hubungan Entiti Willis Towers Watson Yang Berkaitan boleh didapati dalam Perjanjian. Maklumat hubungan Pegawai Perlindungan Data, jika diperlukan untuk dilantik di bawah undang-undang privasi Negara Yang Berkaitan, dapat diperoleh melalui Entiti Willis Towers Watson Yang Berkaitan.
Segala permintaan atau maklum balas, termasuk hak yang dimiliki oleh Klien atau subjek data di bawah undang-undang privasi Negara Yang Berkaitan boleh diarahkan ke Entiti Willis Towers Watson Yang Berkaitan.
Dalam kebanyakan kes, Klien atau subjek data juga boleh merujuk maklum balas mereka kepada pihak berkuasa perlindungan data dari Negara Yang Berkaitan
Pemprosesan Data
Berkenaan dengan data peribadi yang diproses oleh Entiti Willis Towers Watson Yang Berkaitan bagi pihak Klien (lihat Lampiran 1), Entiti Watson Willis Towers Yang Berkaitan akan mematuhi syarat-syarat berikut:
Batasan Penggunaan. Entiti Willis Towers Watson Yang Berkaitan akan memproses data peribadi hanya untuk memberi perkhidmatan yang berkaitan seperti yang diarahkan secara bertulis oleh Klien dari semasa ke semasa atau sebagaimana yang dikehendaki oleh undang-undang.
Kerahsiaan. Entiti Willis Towers Watson Yang Berkaitan akan menyimpan data peribadi secara rahsia dan memerlukan kakitangan Entiti Willis Towers Watson Yang Berkaitan yang memproses data peribadi untuk melindungi semua data peribadi, tertakluk dengan syarat-syarat Protokol ini.
Program Keselamatan Maklumat. Entiti Willis Towers Watson Yang Berkaitan akan mengekalkan program keselamatan maklumat bertulis yang mengandungi perlindungan pentadbiran, teknikal dan fizikal yang sesuai bagi melindungi data peribadi daripada ancaman atau bahaya yang dijangkakan terhadap keselamatan, kerahsiaan atau integriti. Program keselamatan sedemikian akan menjalani semakan berkala.
Bantuan
Entiti Willis Towers Watson Yang Berkaitan akan, dengan mempertimbangkan sifat pemprosesan dan maklumat yang ada untuknya:
- I. memberi bantuan yang munasabah bagi menolong Klien memenuhi kewajipannya untuk bertindak balas terhadap segala permintaan dari individu yang melaksanakan haknya di bawah undang-undang privasi di Negara Yang Berkaitan. Bantuan seperti ini mungkin tidak disediakan jika diizinkan oleh undang-undang privasi yang berkaitan, misalnya, jika ia mungkin mengakibatkan pendedahan maklumat yang berkaitan dengan subjek data lain, atau jika pendedahan boleh menjejaskan segala penyiasatan; dan
- II. di mana dikehendaki secara jelas di bawah undang-undang privasi Negara Yang Berkaitan:
- membantu Klien dalam mematuhi kewajipan Klien untuk menyediakan kepada Klien semua maklumat yang diminta oleh Klien bagi membantunya dalam membuktikan kepatuhan terhadap kewajipan yang ditetapkan dalam undang-undang privasi Negara Yang Berkaitan;
- akan segera memberitahu Klien jika, menurut pendapatnya, ada arahan yang melanggar undang-undang privasi Negara Yang Berkaitan.
Entiti Willis Towers Watson Yang Berkaitan boleh mengenakan bayaran yang munasabah untuk bantuan yang dijelaskan di atas kecuali jika bantuan itu diperlukan secara langsung sebagai akibat daripada tindakan atau peninggalannya sendiri, yang mana dalam kes ini bantuan tersebut akan ditanggung oleh Entiti Willis Towers Watson Yang Berkaitan.
Audit. Entiti Willis Towers Watson Yang Berkaitan akan mengizin dan menyumbang kepada audit yang dilakukan oleh Klien atau juruaudit lain yang dicalonkan oleh Klien mengenai kewajipan privasi sebagaimana yang dipersetujui dan/atau di bawah undang-undang privasi Negara Yang Berkaitan. Klien akan memberi notis awal tiga puluh (30) hari berkenaan permintaan audit kepada Entiti Willis Towers Watson Yang Berkaitan dan kedua-dua pihak akan bersetuju mengenai masa dan skop audit yang boleh diterima bersama. Klien tidak boleh melakukan audit yang akan menjejaskan kewajipan kerahsiaan kepada klien dan pelanggan lain Entiti Willis Towers Watson Yang Berkaitan dan jika ia ingin mencalonkan juruaudit lain untuk menjalankan audit, ia perlu memastikan bahawa juruaudit mengadakan perjanjian kerahsiaan dengan Entiti Willis Towers Watson Yang Berkaitan dalam bentuk seperti yang dikehendaki oleh Entiti Watson Willis Towers Yang Berkaitan. Entiti Watson Willis Towers Yang Berkaitan boleh mengenakan bayaran untuk semua kos dan perbelanjaan yang munasabah yang timbul kerana memberi bantuan tersebut.
Pemberitahuan. Entiti Watson Willis Towers Yang Berkaitan akan, tanpa kelewatan memaklumkan kepada Klien jika terdapat pelanggaran data yang sah seperti yang ditakrifkan dalam Undang-undang privasi Negara Yang Berkaitan serta pelanggaran keselamatan lain yang disahkan yang menyebabkan kemusnahan tidak sengaja atau tidak sah, kehilangan, pengubahan, pendedahan yang tidak dibenarkan atau akses ke, data peribadi yang diproses olehnya dalam konteks Protokol ini.
Pemulangan atau Pelupusan. Klien boleh mengarahkan Entiti Willis Towers Watson Yang Berkaitan untuk menghapuskan atau memulangkan data peribadi pada akhir tempoh di mana ia akan memproses data peribadi Klien tersebut seperti yang dinyatakan dalam Lampiran 1. Walau bagaimanapun, mungkin terdapat contoh di mana Entiti Willis Towers Watson Yang Berkaitan akan menyimpan data peribadi dalam arkib selama yang diperlukan untuk tujuan perniagaan dan/atau tujuan yang sah.
Subpemprosesan
Klien memahami bahawa Entiti Willis Towers Watson Yang Berkaitan boleh menggunakan subpemproses bagi menyediakan perkhidmatan di bawah Perjanjian. Entiti Willis Towers Watson Yang Berkaitan akan tetap bertanggungjawab terutamanya bagi melaksanakan kewajipannya di bawah Protokol ini.
Data Tanpa Nama dan Data Nama Samaran
Klien mengakui bahawa perkhidmatan tersebut termasuk nama samaran dan tanpa nama untuk tujuan laporan agregat dan (trend) penyelidikan serta bersetuju bahawa Entiti Willis Towers Watson Yang Berkaitan boleh menggunakan data nama samaran dan tanpa nama untuk tujuan perniagaannya sendiri. Selain itu, Entiti Watson Willis Towers Yang Berkaitan akan mematuhi semua undang-undang perlindungan data yang terpakai berkaitan dengan pemprosesan tersebut.
Pemindahan Data
Klien mengesahkan bahawa Entiti Willis Towers Watson Yang Berkaitan boleh memindahkan data peribadi kepada sekutunya dan subpemproses di dalam dan di luar Negara Berkaitan bagi tujuan sokongan serta sandaran. Senarai sekutu dan subpemproses boleh didapati dari Entiti Willis Towers Watson Yang Berkaitan dan setakat yang boleh berbuat demikian, Entiti Watson Willis Towers Yang Berkaitan akan memaklumkan kepada Klien negara-negara lokasi penerima tersebut. Entiti Willis Towers Watson Yang Berkaitan telah menetapkan perlindungan untuk melindungi data peribadi yang dipindahkan tersebut pada tahap yang sekurang-kurangnya setanding dengan undang-undang Negara Yang Berkaitan.
Lampiran 1 - Penerangan pemprosesan data peribadi
1. Perkara Subjek, Sifat dan Tujuan
Semua aktiviti pemprosesan (termasuk pengumpulan, penyusunan dan analisis data peribadi) sebagaimana yang diperlukan untuk memudahkan atau menyokong penyediaan perkhidmatan yang dijelaskan di bawah Perjanjian.
Sekiranya Klien/subjek data enggan membenarkan Entiti Willis Towers Watson Yang Berkaitan memproses data peribadi, penolakan tersebut berpotensi merugi atau menggagalkan penyediaan perkhidmatan yang dijelaskan di bawah Perjanjian. Sebagai tambahan, Entiti Willis Towers Watson Yang Berkaitan mungkin memproses data peribadi tanpa menghiraukan kehendak Klien/subjek data di mana undang-undang membenarkan/menghendaki Entiti Willis Towers Watson Yang Berkaitan untuk melakukannya.
2. Tempoh pemprosesan dan penyimpanan data peribadi
Entiti Willis Towers Watson Yang Berkaitan akan memproses data peribadi selama ia memberi perkhidmatan kepada Klien dan akan menyimpan data peribadi tersebut dalam arkib selepas tarikh tersebut setakat yang diperlukan untuk tujuan perniagaan dan/atau tujuan yang sah.
3. Kategori individu
Subjek data boleh merangkumi individu yang dinamakan dalam mana-mana polisi atau skim, yang berkenaan dengan pelantikan Entiti Willis Towers Watson Yang Berkaitan untuk menyediakan perkhidmatannya dan/atau individu yang menjadi penerima manfaat atau telah membuat tuntutan di bawah, atau sebaliknya terlibat dalam, mana-mana dasar atau skim sepertinya. Biasanya subjek data akan merangkumi: (1) pekerja, kontraktor atau pekerja lain Klien ("Pekerja") dan/atau ahli keluarga mereka, wakil atau individu lain yang berkaitan dengan Pekerja; (2) klien kepada Klien yang lalu, klien kepada Klien yang sedia ada atau bakal, dan/atau pekerja mereka atau individu lain yang berkaitan dengan mereka, dan/atau ahli keluarga mereka, wakil atau individu lain yang berkaitan dengan mereka; dan/atau (3) pengadu atau penuntut yang lalu, yang sedia ada atau bakal yang berkaitan dengan mana-mana polisi insurans, dan/atau ahli keluarga, wakil atau individu lain yang berkaitan dengan mereka.
4. Jenis data peribadi
Perkhidmatan di bawah Perjanjian mungkin melibatkan pemprosesan jenis data peribadi berikut:
- nama dan maklumat hubungan, termasuk tetapi tidak terhad kepada alamat rumah dan nombor telefon;
- maklumat demografi (seperti jantina, umur, tarikh lahir, status perkahwinan, kewarganegaraan, sejarah pendidikan/pekerjaan, kelayakan akademik/profesional, perincian pekerjaan, hobi, komposisi keluarga serta tanggungan);
- nombor pengenalan pekerja;
- maklumat yang berkaitan dengan penyediaan perkhidmatan seperti maklumat polisi dan maklumat tuntutan, termasuk maklumat yang berkaitan dengan insiden yang menimbulkan tuntutan dan kerugian yang berkaitan;
- kelayakan pengguna sistem termasuk tetapi tidak terhad kepada alamat e-mel, nama pengguna dan kata laluan; dan
- data sumber manusia seperti nama pekerjaan dan peranan; maklumat faedah dan pampasan; maklumat tanggungan/penerima manfaat; maklumat kelayakan pendidikan, akademik dan profesional; maklumat hubungan kecemasan; dan maklumat pengurusan prestasi.
5. Jenis data yang mungkin lebih sensitif:
Data peribadi yang diproses oleh Entiti Willis Towers Watson Yang Berkaitan mungkin merangkumi beberapa kategori data peribadi: ciri-ciri peribadi dan keadaan yang sensitif seperti asal kaum atau etnik, kehidupan seks atau orientasi seksual, kesihatan mental dan fizikal, maklumat genetik, perincian mengenai kecederaan, ubat/rawatan yang diterima, gaya hidup seperti merokok dan tabiat minum, dan rekod jenayah, denda dan lain-lain seperti rekod kehakiman, dokumen pengenalan diri serta maklumat berkaitan seperti nombor pasport, data kewangan dan pembayaran seperti nombor akaun bank dan maklumat urus niaga.
