Peraturan Perusahaan yang Mengikat

Tingkat perlindungan data yang memadai dan seragam

Fresenius harus mengikuti banyak undang-undang perlindungan data di seluruh dunia. Aturan Perusahaan yang Mengikat (BCR) menetapkan tingkat perlindungan data yang seragam dan memadai. Aturan ini memungkinkan pertukaran data pribadi secara internal antara entitas Fresenius yang tercakup.

Berlaku di seluruh dunia

BCR berlaku terhadap entitas Fresenius berikut:

•     Fresenius Kabi AG, termasuk semua anak perusahaan/afiliasi 
•     Fresenius Digital Technology GmbH (FDT)
•     Fresenius SE & Co. KGaA

Berlaku terhadap aktivitas tertentu

BCR berlaku terhadap aktivitas pemrosesan Data pribadi berikut: 

• Semua aktivitas oleh entitas Eropa
• Aktivitas oleh entitas di luar Eropa:

• Saat mereka mengumpulkan data pribadi atas nama entitas Fresenius Eropa atau 
• Saat mereka bekerja sama dengan entitas Fresenius Eropa 
• Saat mereka menerima data pribadi dari entitas Eropa
• Saat mereka mengumpulkan data pribadi dari orang yang berada di Eropa untuk menawarkan barang atau layanan atau terkait pemantauan perilaku.

BCR berlaku terhadap proses berbasis dokumen cetak atau digital. 
BCR berlaku terhadap semua proses yang memungkinkan pencarian data pribadi yang terstruktur.

BCR menentukan tingkat minimum

Apabila undang-undang perlindungan data pribadi mewajibkan aturan yang lebih ketat atau tambahan untuk pemrosesan data pribadi, undang-undang ini juga harus dipatuhi. 
Apabila undang-undang setempat bertentangan dengan BCR, Pejabat Perlindungan Data (Data Protection Officer atau DPO) harus diberi tahu. DPO akan menilai dampaknya dan menyelesaikan masalah ini. 
Apabila entitas menerima perintah dari otoritas yang berwenang untuk mengungkapkan data pribadi yang tidak selaras dengan persyaratan BCR, DPO harus diberi tahu. DPO akan memberi tahu otoritas pengawasan di Jerman.

BCR mengikat organisasi dan karyawan kita

BCR harus dipatuhi oleh dan mengikat bagi:

•     Semua entitas: mereka menandatangani kontrak 
•     Semua karyawan: mereka berkewajiban untuk mengikuti kebijakan perusahaan berdasarkan kontrak kerja mereka.

Organisasi dan karyawan dapat menerima hak berdasarkan kewajiban ini. 
Penegakan BCR dan sanksi potensial atas pelanggaran kebijakan ini sama dengan pelanggaran kebijakan lainnya.

Fresenius Group telah membentuk organisasi perlindungan data internal dan menetapkan peran dan tanggung jawab berikut:

• Pejabat Perlindungan Data (DPO) memantau, yakni memeriksa dan mengawasi jika BCR, undang-undang setempat, aturan, dan proses diikuti. DPO dapat melakukan audit, peninjauan, dan penyelidikan. DPO juga menjadi personel kontak untuk otoritas perlindungan data di Eropa.  Perincian kontak adalah:
  Pejabat Perlindungan Data:
  Else-Kröner-Str. 1
  61352 Bad Homburg v.d.H.
  Germany
  atau melalu email:
  Untuk Fresenius SE and FDT: dataprotectionofficer@fresenius.com
  Untuk Fresenius Kabi entities: dataprotectionofficer@fresenius-kabi.com
  
• Penasihat Perlindungan Data Setempat (LDPA) membantu dan memberi saran kepada karyawan setempat serta penanggung jawab proses kapan pun mereka memiliki pertanyaan atau kekhawatiran terkait perlindungan data. Apabila diperlukan, LDPA mendukung DPA dan DPO, misalnya atas permintaan dalam fungsi pemantauan atau kontak dengan otoritas pengawasan, misalnya dalam hal terdapat masalah bahasa.
• Penasihat Perlindungan Data (DPA)mengemban tugas dukungan dan konsultasi untuk LDPA dan bertanggung jawab atas sistem manajemen perlindungan data. Apabila diperlukan, DPA mendukung DPO atas permintaan dalam fungsi pemantauan atau kontak dengan Otoritas Pengawasan, misalnya dalam hal terdapat masalah bahasa.

Saat memproses data pribadi, kami akan mengikuti beberapa prinsip untuk melindungi hak asasi dan kebebasan individu sehubungan dengan BCR. Setiap entitas harus mematuhi prinsip berikut saat memproses data pribadi:

Prinsip 1: Ketaatan Hukum

Memiliki dasar hukum yang terdokumentasi saat mengumpulkan, menggunakan, dan memproses data pribadi. Landasan hukum di bawah ini bukan daftar lengkap. Contohnya meliputi: 

• Pemrosesan diperlukan untuk pelaksanaan kontrak dengan individu, seperti kontrak karyawan dan kontrak penjualan
• Individu telah memberikan persetujuan
• Kepentingan sah Fresenius lebih besar daripada konsekuensi negatif terhadap individu
• Kebutuhan untuk memenuhi kewajiban hukum, seperti undang-undang pajak, persyaratan kewaspadaan, atau persyaratan GxP.

Kategori data khusus, seperti data kesehatan, memerlukan landasan hukum tambahan.
Apabila hukum setempat memerlukan ketentuan tambahan atau berbeda, ketentuan ini juga harus diikuti (misalnya, ini mungkin relevan untuk data karyawan).

Prinsip 2: Transparansi dan Keadilan

Menangani data pribadi secara adil dan transparan. Memberi tahu individu sebelum atau pada saat pengumpulan dan penggunaan data mengenai: 

• Personel yang bertanggung jawab dan cara kami dapat dihubungi
• Data yang dikumpulkan
• Cara data dikumpulkan
• Mengapa data dibutuhkan (tujuan)
• Organisasi yang menerima data dari kami
• Apakah data dibagikan ke negara lain
• Berapa lama data disimpan
• Landasan hukum untuk pengumpulan dan penggunaan data serta penjelasannya (prinsip 1)
• Apakah profil individu dibuat
• Apakah kami mengambil keputusan dengan sarana otomatis
• Apakah data harus disediakan dan konsekuensi jika data tidak disediakan
• Perincian kontak DPO dan otoritas
• Hak yang dimiliki individu.

Semua informasi ini akan disediakan dalam bentuk yang komprehensif dan mudah diakses, serta menggunakan bahasa yang jelas dan lugas..

Prinsip 3: Pembatasan Tujuan

Hanya menggunakan data sesuai dengan tujuan pengumpulan yang ditentukan secara tegas dan sah. Penggunaan lebih jauh tidak diizinkan, kecuali jika penggunaan lebih jauh ini selaras dengan tujuan awal dan/atau langkah tambahan diambil.
Tujuan pemrosesan lebih jauh yang umumnya dianggap selaras dengan tujuan awal adalah: 

• Pengarsipan
• Audit internal 
• Penyelidikan.
  

DPA atau LDPA akan dapat memberikan panduan jika perubahan tujuan diizinkan. Dalam hal perubahan tujuan diizinkan, Individu harus diberi tahu mengenai perubahan tersebut.

Prinsip 4: Hanya Data yang Diperlukan

Hanya mengumpulkan dan menggunakan data pribadi yang diperlukan untuk tujuan yang ditetapkan dalam komunikasi dengan individu. Hal ini berarti memastikan data pribadi relevan dan tidak berlebihan sehubungan dengan tujuannya.

Prinsip 5: Akurasi

Pastikan data pribadi akurat dan diperbarui. Prosedur harus diterapkan untuk memastikan bahwadata yang tidak akurat dihapus, diperbaiki, atau diperbarui tanpa penundaan.

Prinsip 6: Pembatasan Penyimpanan

Jangan menyimpan data pribadi lebih lama dari yang diperlukan untuk tujuan pengumpulannya, kecuali jika diwajibkan oleh hukum. Dalam hal tersebut, akses ke data harus dibatasi. Menghapus atau menganonimkan data pribadi jika tidak ada alasan hukum atau tujuan apa pun.

Prinsip 7: Keamanan, Integritas, dan Kerahasiaan

Mengambil langkah teknis dan organisasi yang sesuai untuk melindungi data pribadi dari penghancuran, kehilangan, perubahan, pengungkapan, atau akses ke data pribadi (misalnya melalui penetapan peran & hak yang sesuai, pencadangan dan pemulihan, atau menggunakan enkripsi). 
Saat menerapkan langkah tersebut, risiko terhadap individu harus dipertimbangkan. Keamanan sistem TI harus dinilai sehubungan dengan risiko ini saat menginstal dan memelihara sistem TI. 
Dokumentasikan dan laporkan setiap pelanggaran keamanan yang mungkin berisiko bagi individu yang terdampak kepada organisasi perlindungan data. Bergantung pada situasi, pelanggaran tersebut mungkin juga harus dilaporkan kepada otoritas pengawasan, individu, atau organisasi lainnya.

Prinsip 8: Akuntabilitas

Mampu menunjukkan kepatuhan terhadap BCR. Ini dilakukan dengan membuat dan memelihara dokumentasi, misalnya: 

• Catatan aktivitas pemrosesan 
• Langkah teknis dan organisasi yang diambil untuk mematuhi prinsip perlindungan data dan mengatasi risiko.
• Penilaian risiko dan kontrol perlindungan data

Keterlibatan Pemroses

Hanya libatkan pemroses yang menyediakan jaminan yang memadai untuk menerapkan langkah teknis dan organisasi yang sesuai sehingga pemrosesan memenuhi persyaratan BCR dan undang-undang perlindungan data setempat. Ini memastikan kontrak perlindungan data antara entitas yang bersangkutan dan pemroses.

(Lebih lanjut) Transfer data pribadi 

Menerapkan langkah untuk mengamankan transfer data pribadi secara memadai ke organisasi lain yang berada di luar AEE (Area Ekonomi Eropa) berdasarkan BCR ini. Hal ini dapat dilakukan dengan menyetujui klausul kontraktual standar sebagaimana diterapkan oleh Komisi Eropa bersama organisasi lainnya.

Penilaian risiko perlindungan data

Untuk setiap aktivitas pemrosesan data, penilaian risiko perlindungan data harus dilakukan. Penilaian ini adalah proses penilaian formal terhadap dampak aktivitas pada hak dan kebebasan masing-masing subjek data yang bersangkutan. 
Celah kontrol dan risiko potensial yang teridentifikasi harus dilaporkan dan didokumentasikan. Langkah penanggulangan teknis dan organisasi harus diterapkan sebelum aktivitas pemrosesan data dimulai..

Penilaian dampak perlindungan data

Apabila hasil penilaian risiko perlindungan data menunjukkan risiko tinggi, Penilaian Dampak Perlindungan Data (DPIA) harus dilakukan.  DPO akan memberikan saran.
Apabila DPIA mengidentifikasi risiko tinggi untuk aktivitas pemrosesan data tertentu, langkah yang memadai harus diterapkan untuk menanggulangi risiko tersebut sebelum aktivitas pemrosesan dimulai. Apabila DPIA masih menunjukkan risiko tinggi setelah langkah diterapkan, Anda harus berkonsultasi dengan otoritas pengawasan yang bersangkutan sebelum memproses data.

Individu harus dapat menjalankan hak mereka(hak subjek data):

• Hak untuk mengakses data pribadi: Individu dapat meminta akses ke/menerima informasi tentang data pribadi individu yang diproses oleh Fresenius (mis. tujuan pemrosesan, kategori data pribadi yang diproses, penerima, periode penyimpanan, setiap proses pengambilan keputusan otomatis).
• Hak untuk Memperbaiki data pribadi: Individu dapat meminta perbaikan pada data pribadi yang tidak akurat atau tidak lengkap.
• Hak untuk menghapus data pribadi: Individu dapat meminta data pribadinya dihapus kecuali jika data harus dipertahankan, misalnya karena persyaratan retensi hukum. 
• Hak untuk membatasi pemrosesan data pribadi:Individu dapat meminta pemrosesan data pribadinya dibatasi jika keakuratan data pribadi dipertanyakan atau jika pemrosesan dianggap melanggar hukum (tidak lagi diperlukan untuk tujuan awalnya).
• Hak untuk menerima data pribadi: alam format portabel: Individu dapat meminta data pribadi  mereka dikirimkan dalam format yang paling umum dan dapat dibaca oleh mesin, jika kondisi berikut dipenuhi: 
  • Data pribadi disediakan oleh individu tersebut 
  •                 •    Pemrosesan didasarkan pada persetujuan individu atau kontrak dengan individu
  •                 •    Pemrosesan dilakukan dengan sarana otomatis.
• Hak untuk mengajukan keberatan atas pemrosesan data pribadi: Karena situasi pribadinya, individu dapat mengajukan keberatan atas pemrosesan data pribadinya berdasarkan kepentingan sah atau publik. Permintaan tersebut harus dinilai. Lebih lanjut, individu dapat mengajukan keberatan atas pemasaran langsung atau pembuatan profil. Apabila demikian, pemrosesan harus dihentikan, 
• Hak untuk menolak pengambilan keputusan otomatis: Individu berhak untuk menolak pengambilan keputusan otomatis (termasuk pembuatan profil) yang dapat mengakibatkan dampak hukum atau dampak serupa yang signifikan terhadap individu, kecuali jika:
  • Diperlukan untuk menandatangani atau melaksanakan kontrak antara individu dan entitas yang bersangkutan
  • Didasarkan pada persetujuan tegas individu

Akses ke BCR

BCR harus disediakan kepada individu dengan cara yang sesuai. BCR akan dipublikasikan di internet dan intranet. 
Individu juga dapat mengakses BCR dengan menghubungi DPO masing-masing atau setiap anggota organisasi perlindungan data. 

Penanganan Keluhan BCR

Setiap individu berhak untuk:

• Melaporkan pelanggaran terhadap BCR, undang-undang perlindungan data setempat, perintah otoritas pengawasan, kebijakan dan pedoman internal, atau komitmen pribadi sukarela terkait perlindungan data
• Menjalankan hak individunya
• Menegakkan hak BCR lainnya.

Setiap keluhan tersebut dapat dikirimkan, misalnya melalui telepon, email, atau surat, maupun secara lisan dengan menemui DPO yang bersangkutan, DPA atau LDPA yang bersangkutan, atau melalui saluran langsung kepatuhan. 
Dalam hal keluhan dapat dibenarkan, entitas akan mengambil tindakan yang memadai untuk menangani keluhan dan memberi tahu individu yang bersangkutan dalam satu bulan.

Tanggung Jawab dan Penegakan

Individu yang terdampak oleh atau telah mengalami kerugian akibat pemrosesan Data Pribadi mereka, berhak untuk menegakkan bagian BCR ini dan, jika berlaku, menerima kompensasi di hadapan pengadilan yang kompeten.
Dalam hal pihak tertentu di luar UE atau AEE terbukti melakukan pelanggaran, FSE menerima tanggung jawab dan kewajiban atas setiap kerugian yang dialami Individu. Entitas yang menimbulkan kerugian akan memberikan bantuan yang wajar kepada FSE untuk menanggapi keluhan atau permintaan tersebut sesegera mungkin.

Kerja Sama dengan Otoritas Pengawasan

Setiap entitas wajib bekerja sama dengan otoritas pengawasan untuk mematuhi saran yang berhubungan dengan penafsiran BCR ini dan menerima audit yang dilakukan oleh otoritas pengawasan yang bersangkutan.

Pelatihan

Setiap entitas akan mendaftarkan dan mewajibkan karyawannya untuk mengikuti pelatihan BCR dan perlindungan data serta mengadakan kembali pelatihan secara berkala. Pelatihan umum harus disediakan dua kali setahun untuk semua karyawan yang relevan. Lebih lanjut, pelatihan khusus peran tertentu (mis. departemen SDM atau Pengadaan) disediakan dengan mempertimbangkan kebutuhan khusus peran atau personel tertentu.

Audit

Semua pihak berkomitmen untuk menjalani audit berkala (melalui audit terencana atau khusus) guna mengevaluasi dan menguji kepatuhan terhadap BCR serta menerapkan mekanisme yang memadai dan sesuai untuk memperbaiki ketidakpatuhan entitas terhadap BCR. Organisasi perlindungan data akan menindaklanjuti setiap audit yang dilakukan untuk menilai apakah tindakan korektif yang diusulkan telah diterapkan sebagaimana mestinya dan mendokumentasikan hasilnya dalam laporan audit. Masing-masing entitas akan menyediakan laporan audit bagi otoritas pengawasan, jika diminta. 

Pembaruan BCR

Parties will review local data protection laws and indicate if changes to BCR are necessary. Fresenius can amend the BCR if needed. Any significant changes to the BCR will promptly be reported to each entity and to the supervisory authority. Any other non-substantive amendments to the BCR will be reported to the parties as soon as practicable.

Manajemen Pengakhiran

Dalam hal entitas berhenti menaati BCR (yakni melalui pengakhiran perjanjian intragrup masing-masing), entitas tersebut akan 

• mengembalikan semua data pribadi kepada Pihak mana pun yang menyediakan data pribadi tersebut, atau 
• untuk mematuhi aturan retensi data setempat, menghancurkan semua data pribadi tersebut, atau 
• akan memberikan pengamanan yang memadai sehubungan dengan data pribadi tersebut (mis. dengan melaksanakan klausul kontraktual standar).