Post on 16-Oct-2021
M A N U A L D A S A R K O R P O R A T
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Maklumat Peribadi
A. RINGKASAN
B. KEBOLEHGUNAAN
C. DASAR
D. TANGGUNGJAWAB
E. RUJUKAN
F. SEMAKAN
Seksyen
24
Kod Etika
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 2 daripada 51
A. RINGKASAN
United Technologies Corporation (“Perbadanan” atau “UTC”)
menghormati kepentingan privasi individu yang sah yang daripada
mereka dikumpul, diproses, dan/atau dipindahkan Maklumat Peribadi,
seperti pengarah, pegawai, pekerja, pelanggan dan pembekalnya. Seperti
yang dikehendaki oleh dasar Perlindungan Data UTC (CPM 14), atau
sebaliknya dikehendaki oleh undang-undang, UTC akan mengambil
langkah yang sewajarnya untuk melindungi Maklumat Peribadi di bawah
kawalan daripada akses yang tidak dibenarkan, salah guna, pendedahan
yang tidak dibenarkan, pengubahan, atau pemusnahan yang tidak
dibenarkan. Maklumat Peribadi akan didedahkan hanya kepada
kakitangan UTC, Pembekal Perkhidmatan, dan Pihak Ketiga yang
mempunyai keperluan perniagaan yang sah untuk mengetahui, seperti
yang dibenarkan oleh undang-undang, dan di bawah undang-undang
berkaitan dan sekatan kontrak. Mana-mana Perniagaan Kendalian UTC
yang merupakan Entiti Dilindungi atau Sekutu Perniagaan juga akan
mematuhi keperluan Akta Kemudahalihan dan Akauntabiliti Insurans
Kesihatan Amerika Syarikat dan peraturan yang berkaitan
(“HIPAA”)_mengenai Maklumat Kesihatan yang Dilindungi.
Ekshibit 1 memberikan definisi bagi terma yang digunakan dalam Dasar
ini.
B. KEBOLEHGUNAAN
1. Dasar ini terpakai kepada UTC dan Perniagaan Kendaliannya
seperti yang ditetapkan dalam Ekshibit 1. Melainkan konteksnya
menunjukkan sebaliknya, rujukan kepada UTC termasuk semua
Perniagaan Kendalian, pengarah, pegawai, pekerja dan buruh
pajak mereka di tapak.
2. UTC akan berusaha untuk memastikan Pembekal
Perkhidmatannya mematuhi Dasar ini atau keperluan yang setara
dalam menjalankan perniagaan mereka dengan UTC melalui
keperluan kontrak yang berkenaan.
3. Undang-undang tempatan, peraturan dan sekatan lain yang
terpakai kepada UTC atau mana-mana Perniagaan Kendalian
hendaklah digunakan setakat mana tidak terdapat percanggahan
dengan Dasar ini. Untuk memastikan pematuhan undang-undang
tempatan tidak mengaitkan keperluan bidang kuasa lain, sebarang
penyimpangan daripada Dasar ini mesti diluluskan secara bertulis
oleh Penasihat Undang-Undang Bersekutu, Data Privasi dan
Keselamatan (“AGC DPS”) UTC sebelum pelaksanaan.
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 3 daripada 51
C. DASAR
1. Pematuhan dengan Undang-undang: Paling minimum, UTC
akan mematuhi semua undang-undang dan peraturan yang
berkaitan dengan perlindungan Maklumat Peribadi yang berkaitan
dengan Perniagaan Kendaliannya di seluruh dunia.
2. Prinsip Privasi: Dalam semua aktivitinya, UTC akan mematuhi
prinsip privasi berikut (yang diterangkan dengan lebih terperinci
dalam Ekshibit 5):
a) Mengumpul dan memproses Maklumat Peribadi secara adil
dan menurut
undang-undang;
b) Mengenal pasti tujuan yang baginya ia mengumpul Maklumat
Peribadi dan tidak memproses Maklumat Peribadi untuk
sebarang tujuan yang berbeza melainkan jika disokong dengan
persetujuan, kewajipan undang-undang, ancaman kecederaan
fizikal, atau (seperti yang dibenarkan oleh undang-undang)
kepentingan yang sah;
c) Berusaha untuk memastikan bahawa pengumpulan,
pemprosesan, dan pemindahan Maklumat Peribadi adalah
mencukupi, relevan (jumlah minimum yang diperlukan) dan
tidak berlebihan berhubung dengan tujuan atau tujuan-tujuan
di mana maklumat tersebut diproses;
d) Mengambil usaha yang munasabah untuk mengesahkan
bahawa Maklumat Peribadi yang dimiliki adalah tepat dan
terkini;
e) Tidak menyimpan Maklumat Peribadi lebih lama daripada
yang diperlukan bagi tujuan yang ia dikumpulkan, kecuali jika
sebaliknya dikehendaki oleh
undang-undang atau dengan persetujuan;
f) Memberi hak akses, pembetulan, bantahan dan
pengemaskinian yang berkenaan;
g) Menggunakan langkah teknikal dan organisasi yang sesuai
untuk menghalang pemprosesan Maklumat Peribadi yang tidak
dibenarkan atau menyalahi
undang-undang dan untuk mencegah kehilangan atau
kemusnahan atau kerosakan kepada, Maklumat Peribadi;
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 4 daripada 51
h) Tidak memindahkan Maklumat Peribadi dari satu negara ke
negara lain atau dari satu entiti sah kepada yang lain kecuali
disokong dengan baik oleh undang-undang dan proses yang
cukup selamat;
i) Memberikan notis bertulis yang bersesuaian kepada individu
yang Maklumat Peribadinya dikumpul, diproses, dan/atau
dipindahkan mengenai amalannya mengenai Maklumat
Peribadi;
j) Menawarkan peluang yang sesuai untuk memilih keluar
apabila menggunakan Maklumat Peribadi untuk pemasaran
langsung;
k) Memastikan seseorang itu diberi peluang untuk
membincangkan hasil sebarang pembuatan keputusan
automatik (seperti semakan latar belakang) sebelum sebarang
tindakan negatif diambil berdasarkan pembuatan keputusan
tersebut;
l) Memastikan pengendalian Maklumat Peribadi pekerja adalah
selaras dengan Notis Privasi Pekerja, tertakluk pada tambahan
atau pindaan tempatan bagi memastikan pematuhan kepada
undang-undang tempatan yang hendaklah boleh diakses oleh
pekerja di http://privacy.utc.com/Pages/Privacy-Notice.aspx;
m) Hanya mengumpulkan Maklumat Peribadi Sensitif apabila
dikehendaki oleh undang-undang atau untuk tujuan perniagaan
yang sah dan hanya seperti yang dibenarkan oleh undang-
undang, yang mungkin perlu mendapatkan kebenaran yang
jelas;
n) Menjaga dengan baik nombor pengenalan yang dikeluarkan
oleh kerajaan (seperti Nombor Keselamatan Sosial di Amerika
Syarikat dan Perancis, Nombor Kebangsaan di Belgium,
Nombor Insurans Sosial di Kanada, Sistem Elektroniczny
Powszechny Ewidencji Ludności di Poland, nombor Kad
Pengenalan Pendaftaran Kebangsaan di Singapura, dan
Nombor Pendaftaran Residen di Korea Selatan) dengan
melindungi kerahsiaan, menghadkan pengumpulan,
memastikan akses berdasarkan keperluan untuk mengetahui,
melaksanakan perlindungan yang sesuai, termasuk tetapi tidak
terhad pada penyulitan, dan memastikan pelupusan yang betul
selaras dengan Manual Dasar Korporat Seksyen 46 UTC;
dan
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 5 daripada 51
o) Mengekalkan Pelan Tindak Balas Insiden Pelanggaran Data
yang mantap, memberi tindak balas kepada dan membetulkan
semula sebarang Insiden Pelanggaran Data sebenar,
melibatkan pasukan Komunikasi Krisis UTC dan yang lain,
mengikut keperluan, dan mendedahkan Insiden Pelanggaran
Data yang melibatkan Maklumat Peribadi, sebagaimana sesuai
dan seperti yang dikehendaki undang-undang.
3. Keselamatan: Seperti yang dikehendaki oleh dasar Perlindungan
Data UTC (CPM 14), atau seperti yang dikehendaki oleh undang-
undang, UTC akan memastikan ia mengekalkan perlindungan
yang munasabah dan teknikal, fizikal, dan pentadbiran bersesuaian
untuk melindungi Maklumat Peribadi yang ia kumpulkan, proses,
dan pindahkan. Langkah ini termasuk sekatan yang munasabah
terhadap akses fizikal kepada rekod salinan keras yang
mengandungi Maklumat Peribadi dan penyimpanan rekod tersebut
dalam kemudahan berkunci, kawasan penyimpanan atau bekas.
UTC akan secara berkala menilai semula langkah yang diambil
bagi memastikan ia kekal munasabah dan sesuai.
4. Privasi Dalam Talian: UTC akan memastikan bahawa setiap
laman web dalam taliannya yang mengumpulkan Maklumat
Peribadi akan menyediakan notis privasi. Notis privasi mesti
mengenal pasti:
a) Maklumat Peribadi yang akan dikumpulkan;
b) tujuan yang Maklumat Peribadi akan dikumpulkan;
c) cara UTC akan menggunakan Maklumat Peribadi ini;
d) “kuki” yang digunakan oleh laman web yang menghadap ke
luar dan, jika digunakan, cara mengkonfigurasi semula pelayar
untuk menolak kuki;
e) pihak ketiga yang UTC akan berkongsi maklumat ini;
f) pilihan yang diberikan kepada individu, sebab untuk
menghadkan pengumpulan, penggunaan dan pendedahan
Maklumat Peribadi, dan akibat pilihan tersebut; dan
g) cara menghubungi UTC dengan soalan atau aduan mengenai
hal ehwal privasi berkenaan laman web tersebut.
Setiap notis privasi mesti disemak oleh pemilik laman web sekali
setiap tiga tahun untuk memastikan bahawa ia adalah terkini dan
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 6 daripada 51
tepat. Selepas semakan seterusnya, laman web menghadap ke luar
UTC yang mengumpul Maklumat Peribadi hendaklah
menggunakan notis privasi templat yang terkandung di dalam
Ekshibit 3, dengan sebarang pengubahsuaian yang diperlukan,
kecuali kebenaran telah diperoleh secara bertulis daripada
Profesional Privasi yang ditetapkan atau Penasihat Undang-
Undang Bersekutu, Privasi Data dan Keselamatan UTC. Selepas
semakan seterusnya, laman web menghadap ke dalam UTC yang
mengumpul Maklumat Peribadi hendaklah menggunakan notis
privasi templat yang terkandung di dalam Ekshibit 4, dengan
sebarang pengubahsuaian yang diperlukan, kecuali kebenaran
telah diperoleh secara bertulis daripada Profesional Privasi yang
ditetapkan atau AGC DPS. Apabila diperlukan oleh
undang-undang, UTC akan memastikan Maklumat Peribadi
Sensitif dikumpulkan dalam talian hanya dengan persetujuan
individu yang jelas, melalui pendekatan memilih masuk yang
bermakna, dan dilindungi sewajarnya daripada penggunaan yang
tidak betul.
5. Pembekal Perkhidmatan: UTC akan memasuki perjanjian
bertulis yang mewajibkan Pembekal Perkhidmatan yang
mengumpul, memproses, mengakses atau memiliki Maklumat
Peribadi bagi pihak UTC agar mematuhi Dasar ini atau keperluan
yang setara. Perjanjian bertulis mesti menggunakan terma dan
syarat standard, yang boleh diperoleh daripada Profesional Privasi
yang ditetapkan dan AGC DPS, akan dipastikan agar tersedia di
laman web dalaman atau luaran. Pengubahsuaian mesti diluluskan
oleh Profesional Privasi. Penggunaan Pembekal Perkhidmatan
juga tertakluk kepada pematuhan prosedur IT yang mengawal
Perlindungan Data UTC yang Diamanahkan kepada Pihak Ketiga
(IT-08-108).
6. HIPAA: Perniagaan Kendalian UTC yang tertakluk kepada
HIPAA mestilah:
a) Mengekalkan langkah yang munasabah untuk melindungi
privasi Maklumat Kesihatan yang Dilindungi;
b) Mengedarkan notis mengenai amalan privasi kepada individu
yang Maklumat Kesihatan Dilindungi dikumpul dan mengepos
notis tersebut, seperti yang diperlukan oleh HIPAA;
c) Memasuki Perjanjian Rakan Sekutu Perniagaan dengan Rakan
Sekutu Perniagaan bagi Perniagaan Kendalian Memastikan
pemberitahuan yang betul dan segera bagi sebarang Insiden
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 7 daripada 51
Pelanggaran Data, seperti yang dinyatakan dalam Pelan Tindak
Balas Insiden Pelanggaran Data, yang merupakan Ekshibit 4
dalam Manual Dasar Korporat Seksyen 14.
d) Penasihat Undang-Undang Bersekutu UTC, Pampasan &
Faedah Global Eksekutif akan berkhidmat sebagai Pegawai
Privasi HIPAA UTC; dan
e) Mematuhi keperluan khusus HIPAA lain yang dinyatakan
dalam dasar dan prosedur UTC.
7. Kebenaran Pemindahan: UTC dan Perniagaan Kendaliannya
telah mengamalkan Peraturan Korporat Mengikat (“BCR”), seperti
yang dinyatakan dalam ekshibit 5 dan disiarkan pada
www.utc.com. BCR membenarkan pemindahan Maklumat
Peribadi dari negara-negara di Kawasan Ekonomi Eropah dan
Switzerland setakat yang dibenarkan oleh undang-undang. Di
negara yang undang-undang tempatan belum lagi membenarkan
pemindahan di bawah BCR, UTC dan Perniagaan Kendaliannya telah melaksanakan klausa model (juga dikenali sebagai klausa
kontrak standard) yang diguna pakai oleh Suruhanjaya Eropah
sebagai suatu kebenaran bagi pemindahan Maklumat Peribadi. UTC
dan Perniagaan Kendaliannya hendaklah mematuhi BCR dan
keperluan klausa model untuk pemindahan dalam syarikat.
Untuk membenarkan pemindahan Maklumat Peribadi kepada
pembekal perkhidmatan, UTC dan/atau Perniagaan Kendaliannya
boleh memasuki klausa model dengan pembekal perkhidmatan. Di
mana UTC dan/atau Perniagaan Kendaliannya masuk ke dalam
model klausa, mana-mana entiti UTC yang merupakan klausa model
hendaklah mematuhinya.
8. Penilaian Risiko Privasi: UTC akan melaksanakan dan
mengekalkan proses penilaian risiko privasi yang berkesan untuk
menilai risiko di seluruh syarikat dan pelan mitigasi yang sesuai.
Proses Penilaian Risiko Privasi akan menyemak pengumpulan,
pemprosesan (termasuk simpanan dan kemusnahan), dan
pemindahan Maklumat Peribadi keseluruhan UTC dan akan
dikemas kini secara berkala.
9. Penilaian Kesan Privasi: Penilaian Kesan Privasi bertulis mesti
dilengkapkan terlebih dahulu apabila Perniagaan Kendalian
meminta untuk: (1) melaksanakan sistem baharu atau yang diubah
suai atau proses berulang (seperti tinjauan); (2) menggunakan
yang baharu atau mengubah suai penggunaan Pembekal
Perkhidmatan; atau (3) membangunkan, mereka bentuk atau
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 8 daripada 51
melancarkan teknologi, produk atau perkhidmatan yang baharu
atau diubah suai – jika sistem, proses, Pembekal Perkhidmatan,
teknologi, produk atau perkhidmatan akan mengumpul,
memproses, atau memindah Maklumat Peribadi. Penilaian Kesan
Privasi tidak perlu dilengkapkan bagi: (1) sistem atau pembekal
perkhidmatan yang tidak mengumpul, memproses, atau memindah
Maklumat Peribadi; (2) tindakan individu, seperti menghantar e-
mel atau memegang panggilan, tetapi ia mesti diluluskan untuk
pelancaran sistem baharu atau pembekal perkhidmatan atau
pengubahsuaian besar sistem atau penggunaan pembekal
perkhidmatan; (3) kegunaan yang baharu atau yang diubah suai
Pembekal Perkhidmatan yang hanya melibatkan pertukaran
Maklumat Hubungan Perniagaan untuk bilangan individu terhad
yang bekerja secara langsung dengan transaksi (s); dan (4)
penjualan atau pembelian perkakasan atau komoditi, melainkan
jika ia juga melibatkan penyediaan perkhidmatan atau sistem
baharu yang menjejaki Maklumat Peribadi di luar Maklumat
Hubungan Perniagaan atas mereka yang terlibat dalam transaksi.
Penilaian Kesan Privasi mesti menggunakan borang yang
terkandung dalam Ekshibit 2 atau sebarang bentuk borang yang
diluluskan oleh AGC DPS dan disemak dan diluluskan oleh
Pegawai Perlindungan Data untuk tapak jika ada, atau Profesional
Privasi yang ditetapkan, atau, jika tiada yang tersedia, AGC DPS.
Setelah diluluskan, borang hendaklah dihantar melalui e-mel ke
privacy.compliance@utc.com untuk tujuan penyimpanan rekod.
10. Tadbir urus: UTC akan memastikan bahawa Pegawai Etika dan
Pematuhan memahami dan dilatih untuk mengenal pasti
kebimbangan privasi, untuk menerima aduan privasi, dan
mengemukakan kedua-duanya kepada sumber yang sesuai untuk
semakan dan resolusi. Di samping itu, setiap Unit Perniagaan akan
melantik
sekurang-kurangnya satu Profesional Privasi untuk berkhidmat
sebagai sumber bagi Pegawai Etika dan Pematuhan dan yang lain
dalam Perniagaan Kendalian dengan isu berkaitan privasi. Peranan
Pegawai Etika dan Pematuhan yang berkaitan dengan Dasar ini
dan Profesional Privasi didefinisikan dalam Seksyen D di bawah.
UTC akan memastikan bahawa individu ini mempunyai sumber
yang mencukupi dan mempunyai autoriti bebas untuk
melaksanakan peranan mereka. UTC juga akan mewujudkan dan
mengekalkan Jawatankuasa Penasihat Privasi (“Jawatankuasa
Penasihat” atau “PAC”), yang akan bertanggungjawab bagi
pengawasan umum program pematuhan privasi UTC.
Jawatankuasa Penasihat akan mengandungi wakil dari setiap Unit
Perniagaan dan dari Sumber Manusia (“HR”), Teknologi
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 9 daripada 51
Maklumat (“IT”), Pematuhan Perdagangan Antarabangsa (“ITC”),
Persekitaran, Kesihatan dan Keselamatan (“EH&S”), Kewangan
dan Pengurusan Bekalan. Ahli lain boleh ditambah sama ada
secara sementara atau kekal, seperti yang diperlukan.
11. Latihan: UTC akan memastikan Pegawai Etika dan Pematuhan,
Profesional Privasi, pekerja yang mengendalikan Maklumat
Peribadi sebagai sebahagian daripada tanggungjawab mereka dan
pekerja yang terlibat dalam pembangunan sistem, alat,
perkhidmatan dan/atau produk yang digunakan untuk
mengumpulkan dan/atau memproses Maklumat Peribadi
menerima latihan tahunan mengenai privasi dan keselamatan data.
12. Komunikasi: UTC akan membangunkan dan melaksanakan pelan
komunikasi strategik untuk meningkatkan kesedaran dan mendidik
pekerja dan Pembekal Perkhidmatan, mengikut kesesuaian,
mengenai privasi dan keselamatan data.
13. Pengendalian Aduan dan Permintaan untuk Akses atau
Pembetulan: Permintaan daripada Individu mengenai
pemprosesan Maklumat Peribadi mereka akan dikemukakan
seperti yang ditetapkan di bawah.
a) Dalaman – Daripada Kakitangan dengan akses kepada Intranet
UTC
Kakitangan yang merupakan pekerja UTC langsung boleh
mengemukakan permintaan dan aduan mereka kepada wakil
Sumber Manusia tempatan mereka. Semua kakitangan, termasuk
pekerja, boleh menghubungi Pegawai Etika dan Pematuhan
(“ECO”) Tempatan, Wilayah atau Global mereka, Program
Ombudsman atau Pejabat Privasi. Sumber-sumber ini boleh
dihubungi seperti di bawah:
HR
Tempata
n
Hubungi menggunakan saluran dalaman anda yang biasa
ECO http://ethics.utc.com/Pages/Global%20Ethics%20and%20Complia
nce%20Officers.aspx
Ombuds
man
Internet: Ombudsman.confidential.utc.com
Telefon: Dari dalam A.S., Kanada dan Puerto Rico,
hubungi 800.871.9065. Apabila membuat panggilan dari
luar A.S., anda mesti mendail kod akses AT&T Direct
dahulu yang diberikan di sini. Dengarkan prom (suara atau
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 10 daripada 51
Aduan yang diserahkan kepada HR tempatan, ECO atau Pejabat
Privasi: aduan ini akan ditangani oleh kumpulan (HR, ECO atau
Pejabat Privasi) yang menerimanya, dengan bantuan daripada
Profesional Privasi yang sesuai atau AGC DPS (atau orang yang
dilantik) apabila diperlukan.
Aduan mengenai privasi yang diserahkan kepada Program
Ombudsman: selagi pengadu meminta respons selanjutnya dan
bersetuju, aduan itu akan ditujukan kepada Pejabat Privasi untuk
mendapatkan respons dan penyelesaian.
b) Luaran – Daripada semua Individu lain
Permintaan dan aduan daripada semua Individu lain boleh
dikemukakan kepada Program Ombudsman atau Pejabat Privasi,
yang boleh dihubungi seperti berikut:
Selagi pengadu meminta respons selanjutnya dan bersetuju, aduan
mengenai privasi yang diserahkan kepada Program Ombudsman
akan ditujukan kepada Pejabat Privasi untuk mendapatkan respons
nada), kemudian dail nombor bebas tol untuk Ombudsman.
Pos: United Technologies Corporation,
Attention: Ombudsman Program
10 Farm Springs Road, 10FS-2
Farmington, CT 06032-2526 USA
Pejabat
Privasi privacy.compliance@utc.com
Ombudsman
Internet: Ombudsman.confidential.utc.com
Telefon: Dari dalam A.S., Kanada dan Puerto Rico,
hubungi 800.871.9065. Apabila membuat panggilan dari
luar A.S., anda mesti mendail kod akses AT&T Direct
dahulu yang diberikan di sini. Dengarkan prom (suara
atau nada), kemudian dail nombor bebas tol untuk
Ombudsman.
Pos: United Technologies Corporation,
Attention: Ombudsman Program
10 Farm Springs Road, 10FS-2
Farmington, CT 06032-2526 USA
Pejabat
Privasi privacy.compliance@utc.com
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 11 daripada 51
dan penyelesaian.
c) Maklumat tambahan mengenai pengendalian aduan
Aduan dan keputusan audit yang mendedahkan kelemahan
struktur secara global akan ditangani oleh AGC DPS melalui
Jawatankuasa Penasihat Privasi untuk memastikan penyelesaian
global secara kerjasama dengan Kebakaran & Keselamatan UTC
EMEA BVBA (“UTC F&S”) dan Profesional Privasi tempatan.
UTC F&S terlibat dalam proses ini sebagai entiti utama untuk
Peraturan Korporat kita (“BCR”), seperti yang diterangkan dengan
lebih terperinci dalam Ekshibit 5.
Bila-bila masa aduan tidak dapat diselesaikan sehingga pengadu
berpuas hati, HR tempatan, ECO atau Profesional Privasi akan
melaporkan isu tersebut kepada AGC DPS. Bagi aduan berkaitan
BCR, AGC DPS akan memberitahu Kebakaran & Keselamatan
UTC EMEA BVBA (yang merupakan entiti utama untuk BCR
UTC) jika aduan tidak dapat diselesaikan melalui prosedur
pengendalian aduan yang ada.
UTC akan berusaha untuk memberikan respons awal dalam
tempoh lima hari kerja selepas menerima permintaan/aduan.
Bergantung pada kerumitan dan skop permintaan/aduan, tempoh
ini mungkin lebih lama, tetapi tidak harus melebihi satu bulan.
14. Pantau dan Audit: Naib Presiden UTC, Setiausaha dan Penasihat
Undang-Undang Bersekutu dan Pengarah UTC Worldwide, Audit
Dalaman, akan mentadbir program jaminan dan audit untuk
menilai pematuhan kepada Dasar ini oleh organisasi kakitangan
dan Perniagaan Kendalian. Program audit akan meliputi
pematuhan kepada dasar ini, termasuk BCR. Keputusan audit yang
meliputi audit pematuhan BCR akan disampaikan kepada AGC
DPS, yang, seterusnya, akan memberitahu Naib Presiden UTC,
Setiausaha dan Penasihat Undang-Undang Bersekutu, UTC F&S
dan Jawatankuasa Penasihat Privasi.
15. Penguatkuasaan: UTC akan menguatkuasakan Dasar ini dan
prosedur yang dikeluarkan untuk melaksanakannya. Kegagalan
untuk mematuhi Dasar ini atau prosedur yang melaksanakannya
mungkin boleh membawa kepada tindakan disiplin untuk pekerja.
UTC akan mewujudkan prosedur disiplin yang jelas, adil dan
konsisten di seluruh perusahaan.
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 12 daripada 51
D. TANGGUNGJAWAB
1. Pekerja UTC dan buruh pajak (cth., pekerja kontrak di tapak)
mesti mematuhi Dasar ini dan semua prosedur yang dikeluarkan
untuk melaksanakannya. Semua pekerja dan buruh pajak mesti
melindungi Maklumat Peribadi dan melaporkan sebarang Insiden
Pelanggaran Data yang diketahui atau disyaki dengan segera
seperti yang diarahkan dalam Pelan Tindak Balas Insiden
Pelanggaran Data, yang merupakan Ekshibit 4 dalam Manual
Dasar Korporat Seksyen 14.
2. Naib Presiden Kanan, Digital dan Ketua Pegawai Maklumat
(CIO) perlu bertanggungjawab untuk mengekalkan, memantau dan
menambah baik, seperti yang diperlukan, perlindungan teknikal,
fizikal, dan pentadbiran yang munasabah dan sesuai untuk
melindungi Maklumat Peribadi yang UTC kumpul, proses, dan
pindahkan melalui aset dan sistem teknologi maklumat. CIO akan
memastikan bahawa organisasi IT menerima latihan mengenai
Dasar ini, menyediakan maklumat dan nasihat tentang di mana
data disimpan, diproses, dan dipindahkan, dan secara aktif bekerja
untuk memastikan integrasi keperluan Dasar ini dalam reka
bentuk, pelaksanaan, penyelenggaraan dan penggunaan sistem dan
aset IT UTC. CIO akan memastikan bahawa AGC DPS
dimaklumkan mengenai prosedur untuk keselamatan data dan
tindak balas Insiden Pelanggaran Data. CIO juga mesti mengenal
pasti seseorang untuk berkhidmat dalam Jawatankuasa Penasihat
untuk mewakili IT.
3. Naib Presiden Kanan, Sumber Manusia & Organisasi (NPK
SM) hendaklah bertanggungjawab bagi melaksanakan prosedur
untuk memastikan bahawa semua Maklumat Peribadi yang
dikumpul, diproses, dan dipindahkan oleh SM hendaklah
dilakukan selaras dengan Dasar ini. NPK SM hendaklah juga
mengenal pasti seorang ahli untuk Jawatankuasa Penasihat Privasi
untuk mewakili SM. NPK Sumber Manusia akan memastikan
bahawa SM tempatan mengambil bahagian dalam latihan tahunan
dan memahami peranan mereka dalam menggalakkan pematuhan
Dasar ini.
4. Presiden bagi setiap Unit Perniagaan akan mewujudkan dan
mengekalkan program pematuhan privasi yang konsisten dengan
Dasar ini. Presiden akan mengekalkan pengawasan umum dan
tanggungjawab pengurusan bagi program pematuhan privasi dan
fungsi berkesan orang yang melaksanakannya untuk organisasi
mereka. Presiden akan memastikan setiap Unit Perniagaan
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 13 daripada 51
mempunyai
sekurang-kurangnya satu orang yang boleh berfungsi sebagai
Profesional Privasi, yang boleh memberikan panduan mengenai
Dasar ini dan keperluannya. Profesional Privasi boleh berkhidmat
dalam kapasiti sepenuh masa atau separuh masa dan boleh berada
dalam Undang-undang, SM, IT atau Etika dan Pematuhan. Setiap
Profesional Privasi mesti mengambil bahagian dalam latihan
tahunan berkaitan privasi yang disediakan oleh UTC dan mesti
mengambil bahagian dalam sekurang-kurangnya satu persidangan
atau seminar luar setiap dua tahun. Setiap Profesional Privasi juga
mesti berkhidmat dalam Jawatankuasa Penasihat. Presiden akan
memastikan identiti Profesional Privasi dikomunikasikan
secukupnya di seluruh perniagaan.
5. Penasihat Undang-Undang bagi setiap Unit Perniagaan akan
memastikan bahawa jabatan undang-undang mereka dilatih, dan
menyediakan bantuan dalam, merangka dan merundingkan
perjanjian yang diperlukan bagi melaksanakan Dasar ini, termasuk
perjanjian pemindahan data yang diperlukan untuk menyokong
pemindahan rentas sempadan Maklumat Peribadi.
6. Naib Presiden Unit Perniagaan untuk ITC, EH&S, Kewangan
dan Pengurusan Bekalan mesti memastikan bahawa fungsi
mereka mematuhi Dasar ini, melantik seseorang untuk berkhidmat
dalam Jawatankuasa Penasihat untuk organisasi mereka, dan
memastikan bahawa individu dalam fungsi mereka yang dikenal
pasti sebagai mengendalikan Maklumat Peribadi sebagai elemen
penting dalam pekerjaan mereka menerima latihan tahunan
tentang Dasar ini. Naib Presiden Pengurusan Bekalan juga akan
memastikan bahawa AGC DPS dirujuk dalam pembangunan terma
standard bagi kontrak dan keperluan Pembekal Perkhidmatan yang
dinyatakan di atas dipenuhi.
7. Pegawai Etika dan Pematuhan (PEP) akan membantu
pematuhan pada Dasar ini dan menjadi titik hubungan bagi komen
dan aduan berkaitan Dasar ini. PEP mesti berpengetahuan tentang
sumber yang tersedia di UTC untuk menangani isu privasi. PEP
mesti mengambil bahagian dalam latihan tahunan.
8. Pegawai Perlindungan Data akan dilantik apabila dikehendaki
oleh undang-undang yang terpakai. Peranan Pegawai Perlindungan
Data akan didefinisikan oleh
undang-undang yang terpakai.
9. Profesional Privasi akan bertanggungjawab untuk memberi
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 14 daripada 51
panduan mengenai pelaksanaan Dasar ini dan pemahaman dan
penyelidikan undang-undang tempatan yang berkenaan untuk
memastikan bahawa sebarang keperluan undang-undang tambahan
dipenuhi. Bagi mana-mana tapak di mana tidak ada Pegawai
Perlindungan Data, Profesional Privasi bertanggungjawab untuk
menyemak dan meluluskan borang Penilaian Kesan Privasi yang
mana bersesuaian yang diserahkan dari Perniagaan Kendalian
mereka yang ditetapkan. Profesional Privasi mesti menghadiri
persidangan luar mengenai perlindungan privasi/data sekurang-
kurangnya sekali setiap dua tahun dan mesti mengambil bahagian
dalam latihan UTC tentang Dasar ini.
10. Jawatankuasa Penasihat Privasi akan mengenal pasti isu privasi
dan keselamatan data yang memerlukan resolusi dan akan
menasihati AGC DPS mengenai penggunaan dan penambahbaikan
Dasar ini serta prosedur yang digubal untuk melaksanakannya
untuk memastikan bahawa Dasar dan prosedur adalah berkesan
dan cekap.
11. Audit Dalaman UTC akan mengaudit fungsi dan Perniagaan
Kendalian untuk memastikan pematuhan pada Dasar ini.
12. Penasihat Undang-undang Bersekutu, Privasi dan
Keselamatan Data UTC (AGC DPS) akan menggunakan Dasar
ini dan memastikan bahawa ia adalah dilaksanakan dengan
berkesan dan cekap. AGC DPS juga akan bertanggungjawab untuk
latihan dan kempen kesedaran mengenai privasi data dan untuk
menyokong Profesional Privasi dan memastikan mereka dilatih, di
samping menggalakkan kewujudan dan tujuan keperluan privasi
data sebagai tambahan pada keperluan asas bagi melindungi
maklumat pemilik. AGC DPS akan mengekalkan templat Notis
Privasi Dalam Talian (Ekshibit 3) dan templat terma dan syarat
data privasi Pembekal Perkhidmatan dan menyemak pengecualian
pada templat tersebut. AGC DPS mesti berunding dengan IT
mengenai Insiden Pelanggaran Data dan Keselamatan IT berkaitan
dengan Maklumat Peribadi.
13. Naib Presiden, Setiausaha dan Penasihat Undang-Undang
Bersekutu UTC akan menyelia penyebarluasan dan pelaksanaan
Dasar ini dan program yang digunakan untuk melaksanakannya.
14. Pejabat Privasi terdiri daripada AGC DPS, Profesional Privasi
dan mana-mana Pegawai Perlindungan Data yang dilantik, serta
mana-mana kakitangan tambahan yang dilantik oleh Unit
Perniagaan atau Pejabat Korporat. Pejabat Privasi menyertai PAC,
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 15 daripada 51
menjawab dan menyelesaikan apa-apa komen atau aduan yang
dikemukakan kepada Pejabat Privasi atau kakitangan Ombudsman
dan membantu ECO menjawab dan menyelesaikan apa-apa komen
atau aduan yang diserahkan kepada pasukan ECO.
E. RUJUKAN
Kod Etika UTC
Manual Dasar Korporat Seksyen 14 – Maklumat Pemilik
Manual Dasar Korporat Seksyen 37 – Media Sosial
Manual Dasar Korporat Seksyen 46 – Mengekalkan Rekod and Data
Indeks kepada Dasar, Prosedur dan Standard IT
Notis Privasi HIPAA UTC
Notis Privasi Pekerja UTC
F. SEMAKAN
Dasar ini akan disemak oleh Naib Presiden, Setiausaha dan Penasihat
Undang-Undang Bersekutu UTC pada selang 2 tahun setelah ia
diterbitkan, dan lebih kerap seperti yang ditentukan oleh perubahan
keperluan undang-undang. UTC akan memberitahu pekerja tentang
sebarang perubahan penting dan menyiarkan kemas kini berkaitan dengan
notis yang diperlukan.
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
EKSHIBIT 1 - DEFINISI
“Sekutu Perniagaan” adalah orang atau entiti yang melakukan fungsi atau perkhidmatan tertentu
untuk atau bagi pihak Perniagaan Kendalian yang merupakan Entiti Dilindungi, di mana fungsi atau
perkhidmatan tersebut melibatkan penciptaan, penerimaan, pengekalan atau penghantaran Maklumat
Kesihatan Dilindungi. Terma termasuk, contohnya, pembekal perkhidmatan yang mencipta,
menerima, mengekalkan atau menghantar Maklumat Kesihatan Dilindungi bagi tujuan membantu
pemprosesan atau pentadbiran tuntutan insurans kesihatan atau hilang upaya, analisis data,
pemprosesan atau pentadbiran, semakan penggunaan, jaminan kualiti, pengebilan, pengurusan
manfaat, pengurusan amalan, atau pembekal perkhidmatan undang-undang, aktuari, perakaunan,
perundingan, pengagregatan data, pengurusan, pentadbiran, akreditasi, atau perkhidmatan kewangan
di mana penyediaan perkhidmatan melibatkan pendedahan kepada Maklumat Kesihatan Dilindungi.
Akta Kemudahalihan dan Akauntabiliti Insurans Kesihatan Amerika Syarikat (“HIPAA”)
mendefinisikan Sekutu Perniagaan dalam 45 C.F.R. § 160,103 (dan definisi tersebut mengawal
sehingga ke tahap di mana ia bercanggah dengan yang ini). Orang atau entiti (termasuk Perniagaan
Kendalian) yang merupakan subkontraktor Sekutu Perniagaan juga didefinisikan sebagai Sekutu
Perniagaan di bawah HIPAA jika subkontraktor tersebut melakukan fungsi atau perkhidmatan untuk
atau bagi pihak Sekutu Perniagaan yang melibatkan penciptaan, penerimaan, pengekalan atau
penghantaran Maklumat Kesihatan Dilindungi.
“Maklumat Hubungan Perniagaan” termasuk nama, telefon perniagaan, alamat perniagaan, dan
e-mel perniagaan untuk individu apabila digunakan dalam kapasiti kerja seseorang. Di kebanyakan
negara, Maklumat Hubungan Perniagaan dilindungi dan Dasar ini menganggap ia sebagai Maklumat
Peribadi.
“Unit Perniagaan” bermaksud segmen utama UTC, yang boleh berubah dari semasa ke semasa,
dan pada masa ini terdiri daripada Iklim, Kawalan & Keselamatan UTC, Otis, Pratt & Whitney,
Sistem Ruang Aeroangkasa UTC, Pusat Penyelidikan UTC dan Pejabat Korporat UTC.
“Entiti Dilindungi” adalah penyedia pelan insurans kesihatan, pusat penjelasan insurans kesihatan,
atau pembekal penjagaan kesihatan yang menghantar maklumat tertentu (seperti tuntutan atau
pembayaran) secara elektronik. HIPAA hanya terpakai kepada entiti yang beroperasi di Amerika
Syarikat. UTC dan subsidiari dan anak syarikatnya adalah Entiti Dilindungi jika mereka
menginsuranskan diri atau menyediakan perkhidmatan penjagaan kesihatan dari mana tuntutan,
pembayaran, atau maklumat rujukan dihantar secara elektronik. Akta Kemudahalihan dan
Akauntabiliti Insurans Kesihatan Amerika Syarikat (“HIPAA”) mendefinisikan Sekutu Perniagaan
dalam 45 C.F.R. § 160.103 (dan definisi tersebut mengawal hingga ke tahap di mana ia bercanggah
dengan yang ini).
“Insiden Pelanggaran Data” didefinisikan dalam Ekshibit 4 dalam Manual Dasar Korporat
Seksyen 14.
“Perniagaan Kendalian” bermaksud segmen perniagaan, unit dan bahagian UTC, dan semua entiti
operasi lain di mana sahaja ia berada (termasuk usaha sama terkawal, perkongsian dan urusan
M A N U A L D A S A R K O R P O R A T
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 17 daripada 51
perniagaan yang lain di mana UTC mempunyai sama ada kepentingan kawalan atau kawalan
pengurusan yang berkesan), selain Pejabat Korporat.
“Maklumat Peribadi” bermaksud maklumat yang berkaitan dengan orang yang dikenal pasti atau
boleh dikenal pasti secara semula jadi. Ini merupakan apa-apa maklumat yang berkaitan dengan
orang sebenar, yang dikenal pasti atau boleh dikenal pasti, secara langsung atau tidak langsung,
terutamanya melalui rujukan kepada pengecam, seperti nombor pengenalan, nama atau satu atau
lebih faktor yang khusus kepada identiti fizikal, fisiologi, mental, ekonomi, budaya atau sosial
seseorang. Sama ada individu boleh dikenal pasti bergantung pada cara yang berkemungkinan akan
digunakan oleh UTC atau orang lain untuk mengenal pasti individu tersebut. Apabila langkah-
langkah ini tidak berkemungkinan akan digunakan atau pengenalpastian tidak mungkin dapat
dilakukan, data tersebut adalah tanpa nama dan tidak diliputi oleh CPM 24. Terma termasuk
Maklumat Peribadi Sensitif. Maklumat Peribadi termasuk maklumat yang dikumpul, diproses,
dan/atau dipindahkan tanpa mengira medium, termasuk tetapi tidak terhad pada salinan cetak,
elektronik, rakaman video dan rakaman audio.
“Maklumat Kesihatan Dilindungi” atau “PHI” adalah terma unik untuk HIPAA, dan bermakna
semua Maklumat Kesihatan Boleh Dikenal pasti dipegang atau dihantar oleh Entiti Dilindungi,
dalam sebarang bentuk atau media, sama ada elektronik, kertas, atau lisan. “Maklumat Kesihatan
Individu Boleh Dikenal Pasti” adalah maklumat, termasuk data demografi, yang berkaitan dengan
masa lalu individu, keadaan kesihatan fizikal atau mental kini atau masa hadapan; penyediaan
penjagaan kesihatan kepada individu; atau masa lalu, sekarang, atau bayaran masa depan bagi
menyediakan penjagaan kesihatan kepada individu, dan yang mengenal pasti individu atau di mana
terdapat asas yang munasabah untuk mempercayai ia boleh digunakan untuk mengenal pasti
individu. Maklumat Kesihatan Individu Boleh Dikenal Pasti termasuk banyak pengecam biasa
(cth., nama, alamat, tarikh lahir, Nombor Keselamatan Sosial, dll.).
“Maklumat Peribadi Sensitif” adalah subset Maklumat Peribadi dan bermaksud maklumat yang
berhubungan dengan orang yang dikenal pasti atau boleh dikenal pasti yang melibatkan: asal-usul
bangsa atau etnik; pendapat politik; kepercayaan agama atau falsafah; keahlian kesatuan sekerja;
kesihatan; pilihan seksual; kehidupan seks; atau perlakuan atau dakwaan pelakuan sebarang jenayah
dan penalti yang mungkin.
“Pembekal Perkhidmatan” maksudnya mana-mana entiti atau orang yang memproses atau
sebaliknya diberikan akses kepada Maklumat Peribadi yang diproses oleh UTC melalui penyediaan
perkhidmatan terus kepada UTC.
“Pihak Ketiga” ialah individu atau entiti, selain daripada Perniagaan Kendalian dan pekerja mereka,
dan Pembekal Perkhidmatan.
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
E K S H I B I T 2 : P E N I L A I A N K E S A N P R I V A S I
Arahan: Jawab semua soalan menggunakan definisi yang diberikan dalam Ekshibit 1 hingga CPM 24. Untuk
soalan mengenai bila borang ini mesti dilengkapkan, rujuk kepada seksyen C.9 CPM 24. Setelah selesai, borang
ini hendaklah disemak dan diluluskan oleh Pegawai Perlindungan Data anda (jika ada satu di tapak anda),
Profesional Privasi yang ditetapkan, atau, jika tidak tersedia, Penasihat Undang-Undang Bersekutu, Privasi Data
dan Keselamatan UTC. Selepas semakan ini selesai, borang mesti dihantar melalui e-mel ke
privacy.compliance@utc.com.
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 18 daripada 51
Item Soalan Jawapan
1
Apakah nama orang yang melengkapkan borang ini dan tarikh ia
dilengkapkan? Borang ini hendaklah dilengkapkan oleh orang yang mempunyai
pengetahuan tentang maklumat apa yang akan dikumpul dan bagaimana ia akan
digunakan, seperti pengurus projek atau pemilik bagi proses yang sedang diubah.
Nama:
Tarikh:
Perniagaan/Tapak:
2
Apakah sistem baharu atau diubah suai, pembekal perkhidmatan atau
produk, teknologi atau perkhidmatan yang terlibat? Kenal pasti alat, projek,
syarikat, produk, perkhidmatan atau teknologi yang diliputi oleh borang ini.
Dengan kata lain, jika seseorang mahu kembali ke masa yang lalu untuk
menentukan sama ada borang telah dilengkapkan untuk projek ini, apakah yang
akan kita panggilnya? Borang tersebut boleh meliputi sekumpulan
projek/pembekal jika anda dapat menjawab soalan dengan tepat dan sepenuhnya
untuk setiap item yang diliputi. Pastikan untuk menyertakan semua nama yang
mungkin digunakan untuk projek itu supaya kita dapat mengikuti
perkembangannya.
3
Adakah sistem baharu atau yang diubah suai, pembekal perkhidmatan atau
produk, teknologi atau perkhidmatan mengumpul, menggunakan atau
memindahkan Maklumat Peribadi? “Maklumat Peribadi” ditakrifkan sebagai
maklumat yang berkaitan dengan orang hidup yang dikenal pasti atau boleh
dikenal pasti. Untuk maklumat tambahan, semak Ekshibit 1 hingga CPM 24.
☐ Ya
☐ Tidak
Jika Tidak, maka anda tidak perlu
melengkapkan borang ini.
Jika ya, bila-bila masa kami penyediakan
Maklumat Peribadi kepada Pembekal
Perkhidmatan, mesti terdapat terma kontrak
yang melindungi Maklumat Peribadi. Terma
standard UTC mesti digunakan atau anda
mesti mendapat kelulusan daripada
Profesional Privasi yang ditetapkan atau
Penasihat Undang-Undang, Privasi Data dan
Keselamatan UTC.
4
Apakah tujuan sistem, pembekal perkhidmatan, produk, teknologi atau
perkhidmatan? Pastikan untuk memberikan penerangan yang lengkap mengenai
apa yang akan dilakukan oleh produk, perkhidmatan, sistem, alat atau pembekal
perkhidmatan yang baharu atau perubahan tersebut. Kemukakan sebab kita
melakukan projek itu, tujuannya dan penerangan umum supaya orang yang
menyemak borang tersebut akan memahami kemunasabahan jawapan kepada
semua soalan lain dalam PIA.
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
E K S H I B I T 2 : P E N I L A I A N K E S A N P R I V A S I
Arahan: Jawab semua soalan menggunakan definisi yang diberikan dalam Ekshibit 1 hingga CPM 24. Untuk
soalan mengenai bila borang ini mesti dilengkapkan, rujuk kepada seksyen C.9 CPM 24. Setelah selesai, borang
ini hendaklah disemak dan diluluskan oleh Pegawai Perlindungan Data anda (jika ada satu di tapak anda),
Profesional Privasi yang ditetapkan, atau, jika tidak tersedia, Penasihat Undang-Undang Bersekutu, Privasi Data
dan Keselamatan UTC. Selepas semakan ini selesai, borang mesti dihantar melalui e-mel ke
privacy.compliance@utc.com.
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 19 daripada 51
Item Soalan Jawapan
5
Apakah Maklumat Peribadi yang sistem, pembekal perkhidmatan, produk,
teknologi atau perkhidmatan kumpul atau proses? Pastikan anda berfikir
dengan mendalam. Nama, maklumat kenalan, imej video dan rakaman audio,
maklumat lokasi dan banyak unsur data lain mungkin Maklumat Peribadi
(didefinisikan dalam Ekshibit 1 hingga CPM 24). Jika anda perlukan panduan
tentang apa merupakan atau bukan merupakan Maklumat Peribadi, sila
berunding dengan Profesional Privasi anda atau Pegawai Perlindungan Data yang
ditetapkan.
6
Adakah sistem, pembekal perkhidmatan, produk, teknologi atau
perkhidmatan akan mengumpul atau memproses Maklumat Peribadi
Sensitif, nombor pengenalan yang dikeluarkan oleh kerajaan, Maklumat
Kesihatan Dilindungi, atau maklumat kewangan (seperti gaji, maklumat
pampasan, data pembayaran atau nombor kad kredit atau akaun bank)?
“Maklumat Peribadi Sensitif” ialah Maklumat Peribadi yang melibatkan: asal-
usul bangsa atau etnik; pendapat politik; kepercayaan agama atau falsafah;
keahlian kesatuan sekerja; kesihatan; pilihan seksual; kehidupan seks; atau
perbuatan melakukan atau dakwaan perbuatan melakukan sebarang jenayah. Jika
ya kepada Maklumat Peribadi Sensitif, pastikan Maklumat Peribadi Sensitif yang
dikumpul dalam talian dilakukan hanya dengan persetujuan individu yang jelas
yang dikehendaki oleh undang-undang, melalui pendekatan pilih masuk yang
bermakna, dan sewajarnya dilindungi daripada penggunaan yang tidak betul.
Soalan ini turut bertanya tentang nombor pengenalan kerajaan dan maklumat
kewangan (gaji, maklumat pampasan, data pembayaran atau nombor akaun bank
dan nombor kad kredit) kerana mungkin terdapat keperluan tambahan. Bagi
mereka di Amerika Syarikat yang berurusan dengan Maklumat Kesihatan
Dilindungi, anda perlu mengambil kira keperluan HIPAA.
☐ Tiada apa-apa maklumat terlibat
☐ Ya, yang berikut terlibat (pilih semua
yang berkenaan dan tandakan sifat data di
bawah):
☐ Maklumat Peribadi Sensitif
☐ Nombor Pengenalan Yang Dikeluarkan
Oleh Kerajaan
☐ Maklumat Kesihatan Dilindungi
☐ Maklumat Kewangan
☐ Jika anda tandakan ya, sila nyatakan
unsur data tersebut:
Klik di sini untuk memasukkan teks.
7
Untuk siapakah Maklumat Peribadi dikumpulkan atau diproses? Adakah
projek ini akan melibatkan pekerja sahaja? Kontraktor? Pelanggan? Kakitangan
vendor, pembekal atau rakan kongsi lain? Lain-lain? Ia tidak penting sama ada
kita mengumpulkan maklumat terus daripada individu; kita perlu memahami
jenis orang yang maklumat mereka kita gunakan.
Sila pilih semua yang berkaitan:
☐ Pekerja
☐ Kontraktor (buruh khidmat luaran)
☐ Pelanggan runcit
☐ Kakitangan pelanggan perniagaan
☐ Kakitangan rakan kongsi, seperti vendor,
pembekal atau pembekal perkhidmatan
☐ Lain-lain, sila nyatakan:
Klik di sini untuk memasukkan teks.
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
E K S H I B I T 2 : P E N I L A I A N K E S A N P R I V A S I
Arahan: Jawab semua soalan menggunakan definisi yang diberikan dalam Ekshibit 1 hingga CPM 24. Untuk
soalan mengenai bila borang ini mesti dilengkapkan, rujuk kepada seksyen C.9 CPM 24. Setelah selesai, borang
ini hendaklah disemak dan diluluskan oleh Pegawai Perlindungan Data anda (jika ada satu di tapak anda),
Profesional Privasi yang ditetapkan, atau, jika tidak tersedia, Penasihat Undang-Undang Bersekutu, Privasi Data
dan Keselamatan UTC. Selepas semakan ini selesai, borang mesti dihantar melalui e-mel ke
privacy.compliance@utc.com.
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 20 daripada 51
Item Soalan Jawapan
8
Bagaimana Maklumat Peribadi akan dikumpul? Adakah individu
menyediakannya secara langsung? Adakah maklumat akan diperoleh dari
pangkalan data yang sedia ada? Adakah pihak ketiga - syarikat lain atau orang
lain - dihubungi untuk memberikan maklumat tentang individu? Dengan medium
apakah Maklumat Peribadi akan dikumpul - cth., dalam talian, mel, telefon?
Apakah Maklumat Peribadi (jika ada) yang akan diberikan oleh entiti UTC?
9
Bagi individu di negara apakah maklumat akan dikumpul atau diproses? Pertimbangkan lokasi orang, walaupun jika kita tidak mengumpulkan maklumat
terus daripada individu. Keperluannya berbeza berdasarkan lokasi individu yang
Maklumat Peribadi mereka anda kumpul dan/atau proses. Orang yang menyemak
borang anda akan memberitahu anda tentang sebarang keperluan tambahan.
10
Siapakah yang akan menyimpan maklumat peribadi? Apakah syarikat yang
akan menempatkannya (jika UTC, entiti UTC yang mana)? Adakah Pihak Ketiga
akan menyimpan Maklumat Peribadi? Jika pembekal perkhidmatan menyimpan
Maklumat Peribadi, adakah mereka menyimpannya di tempat mereka atau
menggunakan khidmat luaran?
11
Di manakah Maklumat Peribadi akan disimpan? Adakah ini satu-satunya
lokasi untuk simpanan? Jika maklumat dikumpul dari sebuah negara dalam
Kawasan Ekonomi Eropah (“EEA”) dan dihantar ke negara lain di luar EEA,
UTC perlu memastikan bahawa penerima terletak di sebuah negara yang telah
dianggap oleh EU telah mempunyai perlindungan data privasi yang “mencukupi”
atau perlindungan lain adalah tersedia. Keperluan ini wujud di negara lain yang
tertentu di luar EEA juga, seperti Israel. Amerika Syarikat telah tidak dianggap
mencukupi. Jika menghantar data dari satu negara ke negara lain, anda perlu
berbincang dengan Profesional Privasi anda atau Pegawai Perlindungan Data
untuk menentukan sama ada Perjanjian Pemindahan Data diperlukan dan sama
ada notis kepada satu atau lebih agensi kerajaan diperlukan. (Walaupun tidak
terdapat pemindahan rentas sempadan, kita masih memerlukan terma kontrak
untuk menangani isu pemprosesan jika Maklumat Peribadi dikongsi dengan entiti
lain.)
12
Bagaimanakah data akan dijamin selamat? Berikan penerangan peringkat
tinggi. Adakah maklumat akan disulitkan? Jika tidak, mengapa tidak? Apakah
langkah keselamatan yang lain akan terlibat? Jika data dipindahkan, adakah ia
akan disulitkan semasa pemindahan? Jika tidak, mengapa tidak?
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
E K S H I B I T 2 : P E N I L A I A N K E S A N P R I V A S I
Arahan: Jawab semua soalan menggunakan definisi yang diberikan dalam Ekshibit 1 hingga CPM 24. Untuk
soalan mengenai bila borang ini mesti dilengkapkan, rujuk kepada seksyen C.9 CPM 24. Setelah selesai, borang
ini hendaklah disemak dan diluluskan oleh Pegawai Perlindungan Data anda (jika ada satu di tapak anda),
Profesional Privasi yang ditetapkan, atau, jika tidak tersedia, Penasihat Undang-Undang Bersekutu, Privasi Data
dan Keselamatan UTC. Selepas semakan ini selesai, borang mesti dihantar melalui e-mel ke
privacy.compliance@utc.com.
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 21 daripada 51
Item Soalan Jawapan
13
Adakah proses Penilaian Pihak Ketiga Keselamatan IT UTC (dahulunya
dikenali sebagai IT-08-622) telah dimulakan atau dilengkapkan? ☐ Ya
☐ Tidak – Keselamatan IT mengesahkan
bahawa ia tidak diperlukan atau tiada
pembekal perkhidmatan terlibat
☐ Belum lagi – Saya memahami bahawa
saya tidak boleh menerima kelulusan PIA ini
sehingga proses Semakan Pihak Ketiga
Keselamatan IT telah dimulakan
14
Bagaimanakah Maklumat Peribadi akan digunakan? Pastikan anda berfikir
tentang semua kemungkinan sebab yang Maklumat Peribadi boleh digunakan,
memandangkan Maklumat Peribadi hanya boleh digunakan atas sebab yang
telah dinyatakan pada Notis Privasi (dengan pengecualian tertentu yang kecil).
Adakah pengurusan akan memerlukan akses kepada data? Adakah pengawal
selia kerajaan akan meminta data? Apakah data digunakan untuk semua jenis
laporan? Adakah maklumat akan digunakan untuk menghubungi individu?
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
E K S H I B I T 2 : P E N I L A I A N K E S A N P R I V A S I
Arahan: Jawab semua soalan menggunakan definisi yang diberikan dalam Ekshibit 1 hingga CPM 24. Untuk
soalan mengenai bila borang ini mesti dilengkapkan, rujuk kepada seksyen C.9 CPM 24. Setelah selesai, borang
ini hendaklah disemak dan diluluskan oleh Pegawai Perlindungan Data anda (jika ada satu di tapak anda),
Profesional Privasi yang ditetapkan, atau, jika tidak tersedia, Penasihat Undang-Undang Bersekutu, Privasi Data
dan Keselamatan UTC. Selepas semakan ini selesai, borang mesti dihantar melalui e-mel ke
privacy.compliance@utc.com.
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 22 daripada 51
Item Soalan Jawapan
15
Apakah asas perundangan bagi pengumpulan dan penggunaan Maklumat
Peribadi? Untuk mengumpul Maklumat Peribadi, mesti ada asas
undang-undang. Kenal pasti asas yang boleh digunakan.
☐ Individu yang data peribadi adalah
mengenainya telah bersetuju dengan
pemprosesan. Asas ini hendaklah jarang
digunakan, kerana ia mungkin tidak
mencukupi mengikut undang-undang.
Syarikat tidak boleh bersetuju untuk
pekerjanya (kebenaran mestilah daripada
individu), kita tidak boleh mendapatkan
kebenaran daripada pekerja kita kecuali
aktiviti bukan diperlukan atau sebahagian
penting pekerjaan, dan kebenaran hanya sah
jika ia boleh ditarik balik.
☐ Pemprosesan adalah perlu bagi kontrak
yang mana individu masuk atau kerana
individu telah meminta untuk sesuatu
dilakukan. Ingat bahawa permintaan itu
mestilah daripada individu dan bukan
majikan mereka.
☐ Pemprosesan adalah perlu kerana obligasi
undang-undang Kesatuan Eropah yang boleh
digunakan terus kepada entiti undang-undang
yang menggunakan Maklumat Peribadi. Jika
kewajipan undang-undang adalah untuk
negara di luar EU atau tidak terpakai
langsung, pilihan faedah yang sah di bawah
mungkin terpakai.
☐ Kami mempunyai kepentingan yang sah
(keperluan perniagaan yang munasabah)
untuk memungut dan/atau menggunakan
Maklumat Peribadi yang mengatasi
kepentingan privasi individu. (Ini merupakan
pilihan yang paling biasa dan digunakan
dalam majoriti kes.) Jika ya, nyatakan
keperluan perniagaan yang sah tersebut:
Klik di sini untuk memasukkan teks.
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
E K S H I B I T 2 : P E N I L A I A N K E S A N P R I V A S I
Arahan: Jawab semua soalan menggunakan definisi yang diberikan dalam Ekshibit 1 hingga CPM 24. Untuk
soalan mengenai bila borang ini mesti dilengkapkan, rujuk kepada seksyen C.9 CPM 24. Setelah selesai, borang
ini hendaklah disemak dan diluluskan oleh Pegawai Perlindungan Data anda (jika ada satu di tapak anda),
Profesional Privasi yang ditetapkan, atau, jika tidak tersedia, Penasihat Undang-Undang Bersekutu, Privasi Data
dan Keselamatan UTC. Selepas semakan ini selesai, borang mesti dihantar melalui e-mel ke
privacy.compliance@utc.com.
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 23 daripada 51
Item Soalan Jawapan
16
Bagaimana individu akan menerima notis mengenai pengumpulan
Maklumat Peribadi? Jika kita mengumpul Maklumat Peribadi secara langsung
daripada individu, maka secara amnya kita bertanggungjawab untuk memberikan
notis tentang apa yang dikumpul dan bagaimana ia akan digunakan. Bagi
pekerja, rujukan kepada Notis Privasi Pekerja (tersedia di privacy.utc.com dalam
berbilang bahasa) selalunya mencukupi. Bagi orang lain, rujukan kepada Notis
Privasi Umum (tersedia di www.utc.com dalam bahasa Inggeris sahaja) mungkin
mencukupi. Selain itu, templat notis privasi dalam talian terkandung dalam
Ekshibit 3 hingga CPM 24. Jika Pihak Ketiga mengumpul Maklumat Peribadi
(atau telah mengumpulnya), maka kita perlu memastikan bahawa pihak yang satu
lagi mempunyai atau akan menyediakan notis.
17
Bolehkah anda mengesahkan bahawa Notis Privasi berkenaan mengenal
pasti semua elemen data yang dikenal pasti dalam item 5 dan kegunaan
yang dikenal pasti dalam item 14?
☐ Ya
☐ Tidak
Jika Tidak, notis ini perlu diubah suai
sebelum anda boleh meneruskan.
18
Siapa akan mempunyai akses kepada Maklumat Peribadi? Mengapa? Soalan
ini tidak mencari individu tertentu, tetapi peranan atau jenis Pihak Ketiga.
Sebagai contoh, maklumat yang akan dikongsi dengan orang yang bekerja di
Penggajian untuk membenarkan pemprosesan gaji. Akses mesti dihadkan
kepada hanya mereka yang mempunyai keperluan perniagaan yang sah.
19
Adakah data akan dikongsi dengan mana-mana entiti undang-undang
selain daripada yang mengisi borang ini atau mana-mana pembekal
perkhidmatan yang telah dikenal pasti di atas bagi memberi respons kepada
item 2?
☐ Ya – sila nyatakan:
Klik di sini untuk memasukkan teks.
☐ Tidak
20
Bolehkah anda mengesahkan bahawa Notis Privasi untuk sistem ini atau
menangani pengumpulan data untuk pembekal perkhidmatan ini meliputi
semua penerima yang dikenal pasti dalam butiran 2, 18 dan 19?
☐ Ya, ia meliputi mereka semua atau tiada
yang dikenal pasti
☐ Tidak, ia tidak meliputi mereka semua
Jika Tidak, notis ini perlu diubah suai
sebelum anda boleh meneruskan.
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
E K S H I B I T 2 : P E N I L A I A N K E S A N P R I V A S I
Arahan: Jawab semua soalan menggunakan definisi yang diberikan dalam Ekshibit 1 hingga CPM 24. Untuk
soalan mengenai bila borang ini mesti dilengkapkan, rujuk kepada seksyen C.9 CPM 24. Setelah selesai, borang
ini hendaklah disemak dan diluluskan oleh Pegawai Perlindungan Data anda (jika ada satu di tapak anda),
Profesional Privasi yang ditetapkan, atau, jika tidak tersedia, Penasihat Undang-Undang Bersekutu, Privasi Data
dan Keselamatan UTC. Selepas semakan ini selesai, borang mesti dihantar melalui e-mel ke
privacy.compliance@utc.com.
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 24 daripada 51
Item Soalan Jawapan
21
Di negara manakah orang akan mempunyai akses? Jika Pihak Ketiga akan
mempunyai akses di negara lain, itu dianggap pemindahan. Jika maklumat
dikumpul dari sebuah negara dalam Kawasan Ekonomi Eropah (“EEA”) dan
dihantar ke negara lain di luar EEA, UTC perlu memastikan bahawa penerima
terletak di sebuah negara yang telah dianggap oleh EU telah mempunyai
perlindungan data privasi yang “mencukupi” atau perlindungan lain adalah
tersedia. Keperluan ini wujud di negara lain yang tertentu di luar EEA juga,
seperti Israel. Amerika Syarikat telah tidak dianggap mencukupi. Jika
menghantar data dari satu negara ke negara lain, anda perlu berbincang dengan
Profesional Privasi anda atau Pegawai Perlindungan Data yang ditetapkan untuk
menentukan sama ada Perjanjian Pemindahan Data diperlukan dan sama ada
notis kepada satu atau lebih pengawal selia kerajaan diperlukan.
Jika senarai adalah panjang, pertimbangkan
untuk menyediakan melalui lampiran.
22
Adakah terdapat pelan pengekalan data bagi Maklumat Peribadi? Bilakah
UTC akan melupuskan data? UTC perlu memastikan bahawa terdapat rancangan
untuk melupuskan maklumat peribadi yang tidak lagi diperlukan, di samping
konsisten dengan sebarang obligasi undang-undang yang terpakai bagi
memelihara. Tempoh masa tertentu mesti dinyatakan; respons seperti “selagi
diperlukan oleh undang-undang” tidak mencukupi. Respons tersebut juga mesti
menyatakan cara Maklumat Peribadi akan dihapuskan apabila tempoh masa telah
tamat.
☐ Ya – sila nyatakan tempoh masa data
akan dikekalkan dan cara ia akan
dihapuskan:
Klik di sini untuk memasukkan teks.
☐ Tidak – Jika tidak, maka pelan mesti
dibangunkan sebelum anda boleh
meneruskan.
23
Adakah terdapat proses untuk memastikan bahawa Maklumat Peribadi
adalah seberapa tepat dan terkini yang boleh? Proses ini mungkin melibatkan
membolehkan individu untuk mengemas kini dan membetulkan maklumat
peribadi mereka, mengikut keperluan. Keperluan ini terpakai walaupun kita tidak
mengumpulkan data, tetapi hanya memprosesnya.
☐ Ya – sila nyatakan:
Klik di sini untuk memasukkan teks.
☐ Tidak – Jika tidak, maka proses mesti
dibangunkan sebelum anda boleh
meneruskan.
24
Apakah cara bagi seorang individu untuk menghubungi UTC untuk
membolehkan data diperbetulkan, dikemas kini atau dipadam atau untuk
membantah pemprosesan Maklumat Peribadinya? Undang-undang di
kebanyakan negara membenarkan individu membantah penggunaan Maklumat
Peribadi mereka. Selain itu, undang-undang dan juga amalan terbaik
menghendaki bahawa proses (seperti e-mel atau nombor telefon) disediakan
untuk individu menghubungi kita. Proses tersebut mesti termasuk rancangan
bagaimana untuk bertindak balas, termasuk dalam keadaan apakah kita akan
menolak permintaan tersebut.
25
Adakah terdapat keupayaan untuk memilih keluar daripada menyediakan
maklumat keseluruhan atau sebahagian? Jika seseorang memilih untuk
memilih keluar, apakah akibatnya?
☐ Ya – sila nyatakan (termasuk akibat bagi
memilih keluar):
Klik di sini untuk memasukkan teks.
☐ Tidak – jelaskan mengapa tidak:
Klik di sini untuk memasukkan teks.
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
E K S H I B I T 2 : P E N I L A I A N K E S A N P R I V A S I
Arahan: Jawab semua soalan menggunakan definisi yang diberikan dalam Ekshibit 1 hingga CPM 24. Untuk
soalan mengenai bila borang ini mesti dilengkapkan, rujuk kepada seksyen C.9 CPM 24. Setelah selesai, borang
ini hendaklah disemak dan diluluskan oleh Pegawai Perlindungan Data anda (jika ada satu di tapak anda),
Profesional Privasi yang ditetapkan, atau, jika tidak tersedia, Penasihat Undang-Undang Bersekutu, Privasi Data
dan Keselamatan UTC. Selepas semakan ini selesai, borang mesti dihantar melalui e-mel ke
privacy.compliance@utc.com.
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 25 daripada 51
Item Soalan Jawapan
26
Adakah sistem, produk, teknologi atau perkhidmatan melibatkan laman
web dalam talian menghadap ke luar boleh meletakkan kuki pada
komputer? Jika ya, apakah tujuan kuki dan apakah akibatnya jika seseorang
memilih untuk keluar daripada penempatan kuki? Laman web luaran ialah laman
web yang tersedia di luar rangkaian atau tembok api UTC.
☐ Ya dan laman web ini akan ditumpukan
ke arah individu termasuk di EEA, jadi saya
mengesahkan bahawa kami mempunyai
sepanduk kuki
☐ Ya, bagaimanapun laman web tidak
dimaksudkan untuk individu di EEA dan
notis privasi untuk laman web menunjukkan
dan menerangkan penggunaan kuki
☐ Tidak – tidak terdapat laman web
menghadap ke luar yang terlibat
☐ Tidak – terdapat laman web menghadap
ke luar untuk pengguna EEA, tetapi tidak
terdapat sepanduk kuki dan saya memahami
bahawa ini mesti diselesaikan sebelum saya
boleh menerima kelulusan
27
Adakah terdapat sebarang cara yang kurang mengganggu bagi mencapai
matlamat yang sama? Sebagai contoh, bolehkah UTC mengumpul kurang
Maklumat Peribadi? Jika maklumat peribadi dikongsi bersama dengan atau
disimpan oleh syarikat UTC selain daripada yang menggaji individu atau yang
mengumpulnya, bolehkah kita mencapai matlamat yang sama tanpa
memindahkan maklumat merentasi entiti yang sah? Jika Maklumat Peribadi
datang dari EEA ke lokasi di luar EEA (cth., Amerika Syarikat), adakah mungkin
untuk menyempurnakan objektif yang sama dalam EEA? Pengawal selia akan
mahu kita menggunakan pendekatan yang paling kurang mengganggu dan akan
menuntut keadaan yang luar biasa untuk menerangkan sebaliknya.
☐ Ya – sila nyatakan dan terangkan
mengapa pendekatan tidak digunakan:
Klik di sini untuk memasukkan teks.
☐ Tidak – jelaskan mengapa tidak:
Klik di sini untuk memasukkan teks.
28
Adakah sistem atau penyedia perkhidmatan melibatkan teknologi atau proses
yang mungkin dianggap sebagai mengganggu, yang, sebagai contoh, mungkin
termasuk pengesanan atau pemantauan atau penggunaan teknologi, seperti
biometrik, pengecaman wajah atau GPS? Bergantung pada keadaan, projek yang
dicadangkan mungkin dianggap mengganggu. Jika ya, anda akan perlu
membangunkan rancangan untuk menangani kebimbangan ini secara proaktif.
☐ Ya – sila nyatakan rancangan untuk
menangani sebarang kebimbangan yang
mungkin (termasuk penglibatan komunikasi):
Klik di sini untuk memasukkan teks.
☐ Tidak
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
E K S H I B I T 2 : P E N I L A I A N K E S A N P R I V A S I
Arahan: Jawab semua soalan menggunakan definisi yang diberikan dalam Ekshibit 1 hingga CPM 24. Untuk
soalan mengenai bila borang ini mesti dilengkapkan, rujuk kepada seksyen C.9 CPM 24. Setelah selesai, borang
ini hendaklah disemak dan diluluskan oleh Pegawai Perlindungan Data anda (jika ada satu di tapak anda),
Profesional Privasi yang ditetapkan, atau, jika tidak tersedia, Penasihat Undang-Undang Bersekutu, Privasi Data
dan Keselamatan UTC. Selepas semakan ini selesai, borang mesti dihantar melalui e-mel ke
privacy.compliance@utc.com.
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 26 daripada 51
Item Soalan Jawapan
29
Jika koleksi ini akan melibatkan pekerja dari Kawasan Ekonomi Eropah
(yang bagi tujuan UTC ialah Kesatuan Eropah di samping Norway), adakah
UTC telah menangani sebarang keperluan yang berkenaan untuk
berunding atau menyelaras dengan majlis kerja? Sebarang keperluan majlis
kerja perlu ditangani sebelum meneruskan.
☐ Ya – sila berikan butiran:
Klik di sini untuk memasukkan teks.
☐ TBD – mesti ditangani sebelum sebelum
kelulusan boleh diberikan
☐ Tidak diperlukan – jika anda memilih
pilihan ini, sila tandakan sebab pemberitahun
majlis kerja tidak diperlukan:
☐ Pekerja tidak terlibat
☐ Tiada pekerja EU terlibat
☐ IR HR telah mengesahkan bahawa
tidak ada keperluan majlis kerja
30
Siapakah yang akan memantau sistem atau perkhidmatan ini untuk
memastikan bahawa semua tanggungjawab dan janji dipenuhi dan
memastikan bahawa Penilaian Kesan Privasi selesai jika ada jawapan yang
berubah? Seseorang (melalui nama atau peranan) daripada UTC atau entiti BU
mesti dikenal pasti sebelum anda boleh meneruskan. Orang ini menyatakan
kesanggupannya untuk menyerahkan borang yang dikemas kini jika jawapannya
berubah.
Untuk dilengkapkan oleh Pegawai Perlindungan Data anda (jika ada satu untuk tapak anda), Profesional Privasi yang
ditetapkanl, atau, jika tiada tersedia, Penasihat Undang-Undang Bersekutu, Privasi dan Keselamatan Data UTC
Nama Penyemak:
Tarikh Disemak:
Adakah borang ini lengkap? Anda tidak boleh
memberikan kelulusan jika sebarang item material
hilang.
☐ Ya ☐ Tidak, jika benar kenal pasti item yang hilang: Klik di sini untuk memasukkan teks.
Adakah anda mengesahkan sama ada undang-undang tempatan yang berkenaan memerlukan sebarang keperluan tambahan? Anda tidak boleh memberi kelulusan tanpa menyemak keperluan tempatan.
☐ Ya, Saya telah mengesahkan dan tiada keperluan tambahan
☐ Ya, saya telah mengesahkan dan tiada keperluan tambahan yang telah
dilengkapkan semuanya
☐ Ya, saya telah mengesahkan dan terdapat keperluan tambahan, yang
disenaraikan di bawah di seksyen bawah
Jika pelan yang dicadangkan melibatkan Maklumat Peribadi pekerja, sudahkah anda
☐ Ya
☐ Tidak
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
E K S H I B I T 2 : P E N I L A I A N K E S A N P R I V A S I
Arahan: Jawab semua soalan menggunakan definisi yang diberikan dalam Ekshibit 1 hingga CPM 24. Untuk
soalan mengenai bila borang ini mesti dilengkapkan, rujuk kepada seksyen C.9 CPM 24. Setelah selesai, borang
ini hendaklah disemak dan diluluskan oleh Pegawai Perlindungan Data anda (jika ada satu di tapak anda),
Profesional Privasi yang ditetapkan, atau, jika tidak tersedia, Penasihat Undang-Undang Bersekutu, Privasi Data
dan Keselamatan UTC. Selepas semakan ini selesai, borang mesti dihantar melalui e-mel ke
privacy.compliance@utc.com.
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 27 daripada 51
mengesahkan bahawa ia adalah selaras dengan Notis Privasi pekerja?
☐ Tiada Maklumat Peribadi pekerja yang terlibat
Adakah sebarang susulan diperlukan? ☐ Ya
☐ Tidak
Jika susulan diperlukan, manakah yang berikut
diperlukan? ☐ Penjanjian Pemindahan Data diperlukan
☐ Notis bertulis mesti disediakan kepada individu
☐ Notis/Keizinan daripada majlis kerja diperlukan
☐ Pendaftaran/Notis kepada pengawal selia kerajaan diperlukan
☐Kelulusan pengawal selia kerajaan diperlukan
☐ Kelulusan Pegawai Perlindungan Data diperlukan (hanya apabila terdapat satu
di tapak)
☐ Kontrak untuk melindungi data yang diberikan kepada Pembekal
Perkhidmatan diperlukan
☐ Melengkapkan Semakan Pihak Ketiga Keselamatan IT
☐ Pelan pengekalan data perlu dibangunkan dan/atau dilaksanakan
☐ Lain-lain: (nyatakan) ___________________________
☐ Tiada tambahan diperlukan
Keputusan: ☐ Diluluskan – teruskan sekarang
☐ Diluluskan – teruskan sebaik sahaja penyelesaian item di atas didokumenkan
☐ Tidak diluluskan – jangan teruskan
☐ Tidak boleh diluluskan – borang masih belum lengkap
Apa-apa kelulusan adalah berdasarkan pemahaman saya bahawa tindakan yang berikut telah pun dilengkapkan:
☐ Penjanjian Pemindahan Data diperlukan
☐ Notis bertulis mesti disediakan kepada individu
☐ Notis/Keizinan daripada majlis kerja diperlukan
☐ Pendaftaran/Notis kepada pengawal selia kerajaan diperlukan
☐ Kelulusan pengawal selia kerajaan diperlukan
☐ Kelulusan Pegawai Perlindungan Data diperlukan (hanya apabila terdapat satu
di tapak)
☐ Kontrak untuk melindungi data yang diberikan kepada Pembekal
Perkhidmatan diperlukan
☐ Melengkapkan Semakan Pihak Ketiga Keselamatan IT
☐ Pelan pengekalan data telah dibangunkan dan/atau dilaksanakan
☐ Lain-lain: (nyatakan) ___________________________
☐ Tiada
Pengadaran Risiko GDPR: HANYA untuk projek yang melibatkan Maklumat Peribadi
☐ Risiko Rendah
☐ Risiko Sederhana
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
E K S H I B I T 2 : P E N I L A I A N K E S A N P R I V A S I
Arahan: Jawab semua soalan menggunakan definisi yang diberikan dalam Ekshibit 1 hingga CPM 24. Untuk
soalan mengenai bila borang ini mesti dilengkapkan, rujuk kepada seksyen C.9 CPM 24. Setelah selesai, borang
ini hendaklah disemak dan diluluskan oleh Pegawai Perlindungan Data anda (jika ada satu di tapak anda),
Profesional Privasi yang ditetapkan, atau, jika tidak tersedia, Penasihat Undang-Undang Bersekutu, Privasi Data
dan Keselamatan UTC. Selepas semakan ini selesai, borang mesti dihantar melalui e-mel ke
privacy.compliance@utc.com.
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 28 daripada 51
individu dari EU. Tandakan sama ada projek itu risiko rendah, sederhana atau tinggi, mempertimbangkan kesan terhadap hak privasi individu yang terlibat (ujian “seram”), kemungkinan penemuan pelanggaran oleh pengawal selia dan/atau tindakan undang-undang serta risiko pelanggaran (berbanding dengan projek lain, memandangkan sentiasa terdapat risiko pelanggaran). Sila maklum bahawa apa-apa projek yang mempunyai risiko TINGGI di mana risiko tersebut tidak dapat dikurangkan mesti memperoleh semakan pengawal selia.
☐ Risiko Tinggi:
☐ Pengurangan ada - nyatakan: Klik di sini untuk memasukkan teks.
☐ Pengurangan tidak mungkin – terangkan mengapa: Klik di sini untuk memasukkan teks.
☐ Tidak melibatkan Maklumat Peribadi individu dari EU
Komen (pilihan): Masukkan sebarang maklumat yang diperoleh dalam perbincangan susulan, isu yang ditangani atau diatasi hasil daripada perbincangan sedemikian atau komen yang lain.
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 29 daripada 51
Ekshibit 3: Templat Notis Privasi Dalam Talian Untuk Laman Web Menghadap Ke Luar
NOTIS PRIVASI
United Technologies Corporation dan anak syarikat dan sekutu (secara kolektif, “UTC”), termasuk
[masukkan nama syarikat UTC yang bertanggungjawab atas laman web atau memadam teks yang
diserlahkan], adalah bertanggungjawab untuk laman web ini [dan versi mudah alihnya]. UTC
komited untuk melindungi privasi pelawat ke laman web ini [dan aplikasi mudah alihnya / atau
“kedua-duanya”]. UTC telah melaksanakan langkah teknikal, pentadbiran dan fizikal untuk
melindungi maklumat peribadi yang kami ingin kumpulkan.
Notis Privasi ini menerangkan amalan kita berkaitan dengan maklumat peribadi yang dikumpulkan
melalui laman web dan aplikasi mudah alih UTC, melainkan terdapat notis privasi yang berasingan
untuk laman web atau aplikasi mudah alih tertentu.
[SETAKAT TERPAKAI, JUGA TERMASUK: UTC mempunyai Notis Dasar Am berasingan yang
meliputi maklumat peribadi yang UTC mungkin kumpul dan proses berasingan dan selain laman
web dan aplikasi mudah alihnya. Jika anda memohon pekerjaan melalui laman web ini, penggunaan
oleh UTC ke atas maklumat peribadi yang anda berikan melalui bahagian Kerjaya akan dikawal
oleh Notis Privasi Pemohon Kerjaya UTC dan bukannya Notis Privasi ini. Bagi individu di
Amerika Syarikat, UTC mempunyai Notis Privasi HIPAA dan Dasar Perlindungan Privasi untuk
Nombor Keselamatan Sosial.
Adakah Notis ini terpakai kepada semua Laman Web UTC?
Notis Privasi ini terpakai kepada semua pelawat ke laman web UTC yang berkait dengan Notis Privasi
ini. Laman web individu untuk entiti, perkhidmatan dan produk UTC mungkin mengamalkan notis
privasi yang berbeza kerana transaksi yang berlaku di laman web tersebut mungkin berbeza. Jika
sesuatu laman web UTC mempunyai notis privasinya sendiri, peruntukan notis itu terpakai untuk
laman web itu.]
Nota Pelaksanaan: Notis privasi dalam talian ini mesti disesuaikan untuk menangani perkara
yang diketengahkan, untuk menambah nama entiti (jika perlu), dan untuk memastikan bahawa
jawapan kepada soalan sepadan dengan aktiviti tertentu yang terlibat dalam laman web tertentu.
Jangan tinggalkan mana-mana bahagian (soalan) tanpa merujuk kepada Profesional Privasi anda,
kecuali dinyatakan sebaliknya. Pastikan notis dengan betul mengenal pasti entiti korporat yang
bertanggungjawab untuk notis dalam yang pertama dan skop notis. Juga, pastikan bahawa notis
diterjemahkan ke dalam bahasa yang ditutur oleh orang yang laman web tujukan. Sebarang
pertanyaan tentang penyesuaian atau penggunaan templat ini harus ditujukan kepada Profesional
Privasi anda. Pastikan anda memadam semua nota pelaksanaan dan menghapuskan semua
penyerlahan dalam versi akhir notis. Perubahan yang tidak substantif mungkin dibuat tanpa
kelulusan.
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 30 daripada 51
Apakah maklumat peribadi yang UTC kumpul?
UTC memantau pola trafik pengguna di seluruh laman web mengikut nama domain pengguna, jenis
pelayar, tarikh dan masa akses, dan halaman yang dilihat. Pelayan web kami mengumpul nama
domain tetapi bukan alamat e-mel pelawat. Maklumat ini dikumpulkan untuk mengukur bilangan
pelawat ke laman web kami dan untuk menentukan kawasan di pengguna laman web dapati berguna
berdasarkan jumlah trafik ke kawasan tertentu. UTC menggunakan maklumat ini untuk
meningkatkan pengalaman pengguna di laman web dan untuk lebih baik menyediakan kandungan
masa depan berdasarkan kepentingan pengguna.
Pelawat ke laman web kami mungkin akan diminta untuk memberikan maklumat peribadi untuk
menerima jawapan atau beberapa perkhidmatan lain dari UTC. Maklumat peribadi yang anda
mungkin akan diminta untuk berikan termasuk nama, alamat e-mel, dan [NYATAKAN] anda.
Pengumpulan maklumat akan telus kepada anda - anda akan diminta untuknya dan akan mempunyai
peluang untuk memutuskan sama ada atau tidak untuk memberikannya. Jika anda memilih untuk
tidak memberikan sebarang maklumat peribadi yang diminta, UTC mungkin tidak dapat
menyelesaikan transaksi yang telah diminta.
Untuk menggunakan seksyen tertentu dalam laman web kami, anda perlu mendaftar. Jika anda
mendaftar, kami akan meminta anda memberikan [NYATAKAN – jika suatu senarai panjang,
pertimbangkan untuk menyisipkan senarai berbulet]. Anda tidak akan dapat mendaftar tanpa
memberikan maklumat tersebut. [Masukkan sebarang maklumat mengenai proses pendaftaran,
seperti maklumat yang opsyenal, atau memadam perenggan ini jika laman web tidak melibatkan
pendaftaran.]
Pembekal perkhidmatan mudah alih anda mungkin mempunyai pendirian privasi yang bercanggah
yang merakam maklumat peribadi apabila anda melawat laman web kami, tetapi UTC tidak
bertanggungjawab terhadap dan tidak mengawal cara pihak lain mungkin mengumpulkan maklumat
anda apabila anda mengakses laman web kami.
Bagaimanakah UTC menggunakan maklumat peribadi jika dikumpul?
Maklumat peribadi yang dikumpulkan hanya akan digunakan untuk:
menjalankan operasi perniagaan yang asas, seperti berkomunikasi dengan pelanggan dan
perancangan perniagaan;
menyediakan perkhidmatan pelabur;
memberi maklumat, item atau perkhidmatan yang anda minta;
berkomunikasi dengan anda tentang produk, perkhidmatan dan acara yang berkaitan dengan
UTC;
memperbaiki produk, perkhidmatan dan laman web kami;
menilai minat anda dalam dan/atau membenarkan anda untuk memohon pekerjaan dengan
UTC;
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 31 daripada 51
mengesahkan identiti anda untuk memastikan keselamatan untuk salah satu tujuan lain yang
disenaraikan di sini;
memastikan atau meningkatkan keselamatan sistem elektronik UTC;
melindungi daripada penipuan;
melindungi terhadap sekatan dan senarai anti keganasan seperti yang dikehendaki oleh
undang-undang;
memberi respons kepada permintaan undang-undang yang sah daripada pihak berkuasa
penguatkuasaan undang-undang atau pengawal selia kerajaan yang lain;
menyiasat aktiviti haram yang disyaki atau sebenar;
mengelakkan kecederaan fizikal atau kerugian kewangan;
menyokong penjualan atau pemindahan semua atau sebahagian daripada perniagaan atau aset
(termasuk melalui kebankrapan) kami; dan/atau
menjalankan siasatan untuk memastikan pematuhan dengan, dan mematuhi tanggungjawab
undang-undang.
Kecuali apabila digunakan untuk menyokong kontrak dengan anda atau untuk memenuhi obligasi
undang-undang, penggunaan maklumat peribadi anda oleh kami adalah bagi kepentingan perniagaan
yang sah sahaja seperti yang dinyatakan di atas.
Di manakah UTC menyimpan maklumat anda?
Kerana UTC adalah sebuah syarikat global dengan lokasi di negara yang berbeza, kita boleh
memindahkan maklumat anda dari satu entiti sah kepada yang lain atau dari satu negara ke negara
lain untuk mencapai tujuan yang disenaraikan di atas. Negara-negara ini termasuk, sekurang-
kurangnya, Amerika Syarikat, kebanyakan negara ahli Kesatuan Eropah, Kanada dan negara-negara
lain, termasuk beberapa negara di Asia. Kami akan memindahkan maklumat peribadi anda selaras
dengan keperluan undang-undang yang berkaitan dan hanya setakat yang perlu bagi tujuan yang
dinyatakan di atas.
UTC bergantung pada mekanisme undang-undang yang ada untuk membolehkan pemindahan
maklumat peribadi yang sah di sisi undang-undang merentasi sempadan. Setakat kebergantungan
UTC pada klausa kontrak standard (juga dikenali sebagai klausa model) atau Peraturan Korporat
Mengikat untuk membenarkan pemindahan, UTC akan mematuhi keperluan tersebut, termasuk
apabila mungkin terdapat percanggahan antara keperluan tersebut dengan Notis ini. Untuk membaca
Peraturan Korporat Mengikat UTC, klik di sini untuk memilih versi dalam Bahasa pilihan anda.
Adakah UTC menggunakan maklumat peribadi anda untuk menghubungi anda?
UTC mungkin menggunakan maklumat peribadi yang anda berikan untuk menghubungi anda
mengenai produk, perkhidmatan, promosi, tawaran istimewa, tinjauan dan maklumat lain yang
mungkin menarik minat anda. Jika anda lebih suka untuk tidak menerima komunikasi tersebut, sila
gunakan fungsi “berhenti melanggan” dalam laman web atau beritahu kami dengan menghantar
e-mel kepada [masukkan hubungan e-mel dan pautan]. Juga, UTC akan memastikan bahawa
sebarang komunikasi pemasaran yang dihantar secara elektronik akan menyediakan satu kaedah
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 32 daripada 51
yang mudah bagi anda untuk memilih keluar atau berhenti melanggan. Jika anda berhenti melanggan
komunikasi pemasaran, anda boleh terus menerima komunikasi mengenai akaun anda atau transaksi
dengan kami.
Adakah UTC berkongsi maklumat yang dikumpul?
UTC mungkin berkongsi Maklumat Peribadi anda dengan anak syarikat dan syarikat sekutu (“Kumpulan
UTC”). UTC tidak akan menjual atau berkongsi maklumat peribadi anda di luar Kumpulan UTC,
kecuali kepada:
pembekal perkhidmatan UTC telah dikekalkan untuk menjalankan perkhidmatan bagi pihak
kami. UTC hanya akan berkongsi maklumat peribadi anda dengan pembekal perkhidmatan
yang mana UTC telah secara kontrak disekat daripada menggunakan atau mendedahkan
maklumat itu kecuali sebagaimana yang perlu untuk melaksanakan perkhidmatan bagi pihak
kami atau untuk mematuhi keperluan undang-undang;
mematuhi undang-undang, termasuk tetapi tidak terhad kepada respons kepada permintaan
undang-undang yang sah daripada pihak berkuasa undang-undang, mahkamah atau pengawal
selia atau pihak berkuasa kerajaan yang lain;
menyiasat aktiviti haram yang disyaki atau sebenar;
mengelakkan kecederaan fizikal atau kerugian kewangan; atau
menyokong penjualan atau pemindahan semua atau sebahagian daripada perniagaan atau aset
(termasuk melalui kebankrapan).
Maklumat peribadi anda juga mungkin dikekalkan dan diproses oleh pembekal perkhidmatan kami
di negara-negara selain negara ia dikumpulkan, seperti Amerika Syarikat, negara ahli Kesatuan
Eropah, Kanada dan bidang kuasa lain.
Berapa lamakah UTC mengekalkan maklumat peribadi?
UTC akan mengekalkan maklumat peribadi selagi diperlukan untuk mematuhi obligasi kontraktual
dan undang-undangnya. Jika maklumat peribadi tidak tertakluk pada obligasi kontraktual atau
undang-undang, UTC akan mengekalkan data selagi diperlukan bagi tujuan asal ia dikumpulkan.
Bagaimanakah UTC menggunakan kuki atau teknologi pengesanan yang lain?
UTC mungkin menggunakan kuki di laman web ini. Kuki adalah fail teks kecil yang dihantar kepada
dan disimpan dalam komputer pengguna yang membenarkan laman web untuk mengenali pengguna
berulang, memudahkan akses pengguna ke laman web, dan membenarkan laman web untuk
menyusun data agregat yang akan membolehkan peningkatan kandungan Kuki tidak merosakkan
komputer atau fail pengguna. Jika anda tidak mahu kuki boleh diakses oleh ini atau mana-mana
laman web UTC lain, anda perlu melaras tetapan pada program pelayar anda untuk menafikan atau
menyahdaya penggunaan kuki.
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 33 daripada 51
Laman web ini juga boleh menggunakan bikon web. Bikon web biasanya piksel pada laman web
yang boleh digunakan untuk menjejak sama ada pengguna telah melawat laman web tertentu untuk
menyampaikan pengiklanan yang disasarkan. Bikon web digunakan dalam kombinasi dengan kuki,
yang bermaksud bahawa, jika anda mematikan kuki pelayar anda, bikon web tidak akan dapat
mengesan aktiviti anda. Bikon web masih akan mengira lawatan ke Lawan Web, tetapi maklumat
unik anda tidak akan direkodkan.
United Technologies juga mungkin menggunakan kuki dan teknologi yang sama yang diletakkan
oleh salah seorang rakan kongsi kami untuk membolehkan UTC untuk mengetahui iklan yang mana
membawa pengguna ke laman web kami. Untuk maklumat lanjut mengenai kuki dan teknologi
pengesanan yang lain, klik di sini.
Apa yang perlu anda faham tentang pautan pihak ketiga yang mungkin muncul di laman web ini?
Dalam keadaan tertentu, UTC boleh menyediakan pautan ke laman web yang bukan dikawal UTC,
yang UTC akan membuat usaha yang munasabah untuk mengenal pasti seperti itu. Walau
bagaimanapun, UTC tidak mengawal laman web pihak ketiga tersebut, dan tidak boleh
bertanggungjawab untuk kandungan atau amalan privasi yang digunakan oleh laman web lain.
Apakah maklumat tambahan yang harus diketahui oleh pengguna tertentu?
Ibu Bapa, Penjaga dan Kanak-kanak: Laman web ini adalah bertujuan untuk pelawat yang
berumur sekurang-kurangnya 18 tahun dan umur dewasa dalam bidang kuasa kediaman mereka.
UTC tidak secara sedar mendapatkan maklumat daripada, atau memasarkan produk atau perkhidmatan
kepada kanak-kanak. Jika anda tidak memenuhi syarat umur yang ditetapkan di atas, jangan
masukkan maklumat peribadi anda di sini atau mana-mana laman web UTC yang lain.
Pengguna dari California: Setiap tahun penduduk California boleh meminta dan mendapatkan
maklumat yang dikongsi oleh UTC dengan perniagaan lain untuk kegunaan pemasaran langsung
mereka sendiri dalam tahun kalendar sebelumnya (seperti yang didefiniskan oleh “Undang-undang
Shine the Light” California). Jika berkenaan, maklumat ini akan termasuk satu senarai kategori
maklumat peribadi yang dikongsi dan nama dan alamat semua pihak ketiga yang mana UTC
berkongsi maklumat ini dalam tahun kalendar yang sebelumnya. Untuk mendapatkan maklumat ini,
sila hantarkan mesej e-mel kepada [masukkan e-mel hubungan dengan hiperpautan] dengan
“California Shine the Light Privacy Request” dalam baris subjek dan juga dalam badan mesej anda.
Nota Pelaksanaan: Semua seksyen kecuali yang pertama boleh ditinggalkan jika ia tidak
berkaitan. Sebagai contoh, seksyen “Pengguna dari California” dan “Pengguna dari AS” boleh
ditinggalkan jika laman web adalah untuk entiti Jerman, dalam bahasa Jerman dan bertujuan
untuk pengguna di negara Jerman. Pastikan anda memadam nota ini dalam versi akhir dasar.
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 34 daripada 51
Pengguna dari Kesatuan Eropah: Anda berhak membuat aduan kepada pihak berkuasa
perlindungan data negara atau negeri anda, yang mungkin juga dikenali sebagai pihak berkuasa
penyeliaan. Anda juga berhak meminta akses kepada dan pembetulan atau pemadaman maklumat
peribadi anda, mendapatkan sekatan terhadap atau membantah pemprosesan maklumat peribadi
tertentu dan mendapatkan kemudahalihan data di bawah keadaan-keadaan tertentu. Untuk
menghubungi UTC mengenai permintaan untuk mengakses, membetulkan, memadam, membantah
atau mendapatkan sekatan atau kemudahalihan, sila gunakan kaedah hubungan yang dinyatakan di
bahagian hujung notis ini.
Pengguna dari Amerika Syarikat: UTC tidak mengumpul Nombor Keselamatan Sosial melalui
laman webnya. Walau bagaimanapun, UTC mengumpul Nombor Keselamatan Sosial apabila
diperlukan oleh undang-undang, seperti bagi tujuan cukai dan gaji untuk pekerjanya. Apabila UTC
mengumpul dan/atau menggunakan Nombor Keselamatan Sosial, UTC akan mengambil langkah
berjaga-jaga yang sewajarnya dengan melindungi kerahsiaan, mengehadkan akses berdasarkan
keperluan untuk mengetahui dan melaksanakan perlindungan teknikal dan pelan pengekalan yang
sesuai.
Bagaimana UTC mungkin mengubah polisi ini?
Sambil UTC mengembang dan memperbaiki laman web ini, kami mungkin perlu mengemas kini
dasar ini. Dasar ini boleh diubah suai dari semasa ke semasa tanpa notis terlebih dahulu. Kami
menggalakkan anda agar menyemak dasar ini dari semasa ke semasa untuk sebarang perubahan.
Perubahan substantif akan dikenal pasti di bahagian atas dasar.
Bagaimana anda boleh menghubungi UTC?
Jika anda ingin mengakses, membetulkan atau mengemas kini maklumat peribadi anda, jika anda
mempunyai sebarang komen atau soalan atau jika terdapat perkara lain yang boleh kita lakukan
untuk memaksimumkan nilai laman web kepada anda, sila e-mel [masukkan e-mel hubungan dengan
pautan]. Jika anda mempunyai soalan tentang amalan privasi UTC secara umum, sila e-mel
privacy.compliance@utc.com.
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 35 daripada 51
Ekshibit 4: Templat Notis Privasi Dalam Talian Bagi Laman Web Menghadap Ke Dalam dan
Aliran Kerja
PILIHAN 1
NOTIS PRIVASI: [Masukkan nama syarikat] meminta anda untuk memberikan maklumat peribadi
anda di [laman web/aliran kerja] ini. [laman web/aliran kerja] meminta [senarai semua elemen,
seperti “nama anda, e-mel, gelaran, penyelia, nombor telefon perniagaan, dan lokasi kerja anda”
Kenal pasti jika mana-mana elemen adalah opsyenal dan apa, jika ada, adalah akibat untuk tidak
memberikan maklumat]. Maklumat tersebut digunakan untuk: [masukkan semua tujuan yang mana
maklumat peribadi akan digunakan, seperti “(1) semak permintaan anda; (2) patuh dengan
tanggungjawab undang-undang yang terpakai; (3) pantau bajet dan perbelanjaan; (4) rancang untuk
masa depan; (5) melindungi dari penipuan dan risiko pematuhan yang lain, termasuk tanpa sekatan
menjalankan penyiasatan dalaman; (6) untuk memudahkan penjualan atau pemindahan beberapa
atau semua aset UTC; dan (7) menangani permintaan kerajaan atau mengemukakan tuntutan
undang-undang atau pertahanan.” Sentiasa masukkan item tiga yang terakhir.]. Maklumat yang
dikumpul mungkin dikongsi antara entiti UTC dan dengan pembekal perkhidmatan UTC, tetapi
hanya untuk tujuan yang dikenal pasti di sini. Bagi melengkapkan salah satu tujuan yang dikenal
pasti, UTC mungkin perlu untuk memindahkan maklumat yang diberikan kepada negara lain, tetapi
akan berbuat demikian dengan perlindungan yang sewajarnya. Untuk mengemas kini, membetulkan
atau mendapatkan akses yang munasabah kepada data peribadi anda, sila hubungi [masukkan e-mel
atau hubungan yang lain]. [Jika terdapat sebarang keupayaan untuk memilih keluar, maka tunjukkan.
Sebagai contoh: “Jika anda ingin memilih keluar daripada mempunyai maklumat hubungan yang
dikongsi dengan peserta persidangan yang lain, sila tandakan kotak di bawah.”] Untuk maklumat
lanjut mengenai bagaimana UTC mengendalikan maklumat peribadi anda, semak Manual Dasar
Korporat 24 atau e-mel privacy.compliance@utc.com.
PILIHAN 2 – boleh digunakan jika notis privasi yang dikenal pasti meliputi aktiviti
[Laman web/aliran kerja] ini adalah tertakluk pada Notis Privasi Pekerja UTC untuk maklumat
peribadi yang dikumpulkan daripada pekerja dan Notis Privasi Umum untuk maklumat peribadi
yang dikumpulkan daripada semua orang lain.
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 36 daripada 51
Barang Pamer 5: Peraturan Korporat yang Mengikat
Peraturan Korporat yang Mengikat
A. PENGENALAN
B. KEBOLEHGUNAAN
C. SKOP
D. POLISI
E. RUJUKAN
F. KAJIAN SEMULA
Diterbitkan: 15 Mei 2017
Kajian Semula Terakhir: 15 Mei 2017
Semakan Terakhir: 15 Mei 2017
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 37 daripada 51
A. PENGENALAN
B.
C. UTC menghormati kepentingan peribadi masyarakat yang daripadanya Maklumat Peribadi
Diproses, seperti pengarah, pegawai, pekerja, kontraktor, pelanggan, pembekal dan vendor.
D.
E. UTC telah menerima pakai Peraturan Korporat yang Mengikat ( “BCR”) untuk Maklumat
Peribadi Individu yang Diproses. UTC Fire & Security EMEA BVBA (“UTC F&S”)1
merupakan Gabungan Utama dan, dengan kerjasama Pejabat Korporat UTC (ibu pejabat U.S.),
bertanggungjawab dalam memperbaiki pelanggaran BCR.
F.
G. Bahan Pamer A memberikan definisi untuk terma dan akronim yang digunakan dalam BCR ini.
H.
I. UTC memindahkan Maklumat Peribadi termasuk maklumat sumber manusia (pekerja dan
buruh yang dipajak); maklumat hubungan perniagaan untuk pelanggan perniagaan, pembekal,
penjual, wakil jualan, dan rakan niaga yang lain; maklumat daripada pengguna produk UTC,
secara amnya maklumat waranti dan maklumat yang terhad, seperti nama dan alamat, kepada
pengguna yang mempunyai kontrak perkhidmatan dengan Perniagaan Operasi; maklumat
kepada pengunjung dan wakil jualan bukan kakitangan dan pengedar; dan maklumat yang
dikumpul mengenai penggunaan produk dan perkhidmatan Otis dan CCS oleh pengguna
produk dan perkhidmatan. Maklumat peribadi yang dipindahkan dalam UTC bergantung
kepada produk dan perkhidmatan yang diberikan dan sokongan yang diperlukan untuk
perkhidmatan atau projek tertentu. Sebahagian besar maklumat peribadi dipindahkan ke
Pejabat Korporat UTC, bertempat di Amerika Syarikat.
B. KEBOLEHGUNAAN
1. BCR ini adalah mandatori bagi Pejabat Korporat UTC dan Perniagaan Operasi yang telah
melaksanakan Perjanjian Intra-Group. Entiti ini perlu memastikan bahawa kakitangan
mereka mematuhi BCR apabila Memproses Maklumat Peribadi seseorang. UTC akan
mewujudkan kawalan yang jelas dan konsisten di seluruh perusahaan untuk
memastikan pematuhan kepada BCR.
2. Sekurang-kurangnya, UTC akan mematuhi semua undang-undang dan peraturan yang
berkaitan dengan perlindungan Maklumat Peribadi yang terpakai baginya di seluruh
dunia. Peruntukan undang-undang tempatan, peraturan dan sekatan lain yang terpakai
bagi UTC yang mengenakan tahap perlindungan data yang lebih tinggi perlu
mempunyai duluan dari BCR. Jika konflik undang-undang dengan BCR terjadi
disebabkan mungkin menghalang Pejabat Korporat UTC sama ada satu atau lebih
Perniagaan Operasi daripada memenuhi tanggungjawab mereka di bawah BCR dan
1 UTC Fire & Security EMEA BVBA, Kouterveldstraat 2, 1831 Diegem, Belgium.
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 38 daripada 51
mempunyai kesan yang besar kepada jaminan yang disediakan di dalamnya, entiti yang
berkenaan hendaklah dengan segera memberitahu Ketua Peguam Bersekutu UTC, Data
Privasi dan Keselamatan ( “AGC DPS”), kecuali jika memberikan maklumat itu adalah
dilarang oleh pihak berkuasa penguatkuasaan undang-undang atau undang-undang.
UTC AGC DPS, dengan kerjasama Jawatankuasa Penasihat Privasi dan entiti dan Unit
Perniagaan berkenaan, hendaklah menentukan tindakan yang patut diambil dan, dalam
hal keraguan, berunding dengan pihak berkuasa perlindungan data yang berwibawa.
3. BCR ini juga terpakai bagi perniagaan yang beroperasi dan kepada Pejabat Korporat
apabila mereka memproses maklumat peribadi seseorang bagi pihak entiti UTC yang
lain. Pemprosesan entiti mesti terikat dengan Fasal Pemprosesan Dalaman yang
dibentangkan dalam Carta B untuk BCR ini.
4. Sekiranya berlaku percanggahan antara BCR dan Manual Polisi Korporat Seksyen 24, BCR
ini diguna pakai untuk Maklumat Peribadi yang berasal secara langsung atau tidak
langsung daripada Kawasan Ekonomi Eropah atau Switzerland.
C. SKOP
D. BCR ini mentadbir Pemprosesan Maklumat Peribadi Individu oleh UTC di mana sahaja ,
kecuali (i) keperluan untuk mendapatkan kebenaran yang jelas untuk Maklumat Peribadi
Sensitif, (ii) peruntukan yang terkandung dalam Seksyen D.6, perenggan 1 hingga 6 mengenai
penguatkuasaan hak-hak individu dan jaminan, (iii) Seksyen B.4 berkaitan dengan
percanggahan di antara BCR dan Manual Korporat Seksyen 24, dan (iv) bahagian Seksyen D.1
(f) yang berhubungan dengan perkongsian data dengan penguatkuasaan undang-undang dan
pihak berkuasa , hendaklah hanya terpakai kepada Maklumat Peribadi yang berasal secara
langsung atau tidak langsung daripada Kawasan Ekonomi Eropah atau Switzerland.
E.
D. POLISI
1. Prinsip Privasi: Dalam semua aktiviti, UTC perlu:
a) Memproses Maklumat Peribadi secara adil dan sah
Maklumat peribadi individu akan diproses untuk tujuan yang dikenal pasti (1) atas
dasar persetujuan; (2) apabila dikehendaki atau dibenarkan oleh undang-undang di
negara asal, atau (3) untuk tujuan yang sah, seperti pengurusan sumber manusia,
interaksi perniagaan dengan pelanggan dan pembekal, dan ancaman kecederaan
fizikal.
Maklumat Peribadi Sensitif individu hanya akan diproses apabila: (1) diperlukan
oleh undang-undang di negara asal data; (2) dengan keizinan yang jelas daripada
Individu yang dibenarkan oleh undang-undang; atau (3) apabila perlu untuk
melindungi kepentingan perseorangan atau, aktiviti, atau pertahanan tuntutan
undang-undang oleh Pejabat Korporat atau Perniagaan Operasi.
Maklumat Peribadi individu tidak boleh diproses untuk sebarang tujuan yang tidak
sesuai kecuali dibenarkan di bawah salah satu daripada syarat yang ditetapkan
dalam perenggan yang sebelum ini sahaja, sebagai contoh, dengan mendapatkan
persetujuan baru.
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 39 daripada 51
b) Proses Maklumat Peribadi yang berkaitan sahaja
UTC perlu melaksanakan usaha yang munasabah untuk memastikan bahawa
Pemprosesan Maklumat Peribadi Individu 'adalah mencukupi, relevan dan tidak
berlebihan berhubung dengan maksud atau maksud-maksud yang maklumat
tersebut diproses. Di samping itu, UTC tidak akan menyimpan Maklumat Peribadi
Individu dengan lebih lama daripada yang diperlukan bagi maksud yang mana ia
dikumpulkan, kecuali dengan kebenaran apabila digunakan untuk suatu maksud
baru atau yang dikehendaki oleh undang-undang, peraturan, prosiding mahkamah,
prosiding pentadbiran , prosiding timbang tara, atau keperluan audit. UTC akan
melaksanakan usaha yang munasabah untuk memastikan bahawa Maklumat
Peribadi Individu dalam milikannya adalah tepat dan terkini.
c) Menyediakan notis yang sesuai untuk individu yang mana Maklumat Peribadi
adalah Proses Operasi Perniagaan
Melainkan jika individu telah tahu maklumat ini, Pejabat Korporat dan / atau Lesen
Pengendalian berkaitan hendaklah, pada masa mengumpul Maklumat Peribadi,
memberikan notis kepada Individu yang Maklumat Peribadi hendak diambil; entiti
UTC yang bertanggungjawab bagi Maklumat Peribadi yang dikumpul; tujuan
Maklumat Peribadi diambil; oleh pihak ketiga yang UTC akan berkongsi maklumat
itu; pilihan dan hak-hak yang diberikan kepada individu; cara-cara untuk
menghadkan pengumpulan, penggunaan dan pendedahan Maklumat Peribadi, dan
akibat orang-orang pilihan; dan bagaimana untuk menghubungi UTC dengan soalan
atau aduan mengenai perkara-perkara yang privasi. Dalam kes-kes yang terpencil,
di mana menyediakan notis ini merupakan satu beban yang tidak seimbang (di mana
Maklumat Peribadi tidak diperoleh daripada individu itu sendiri), UTC boleh,
selepas memberikan pertimbangan, membuat keputusan untuk tidak memberikan
notis kepada Individu atau untuk menangguhkan menyediakan notis.
d) Menghormati hak privasi sah Individu untuk meminta akses dan pembetulan
maklumat peribadi mereka.
UTC boleh membenarkan individu untuk meminta akses dan pembetulan maklumat
peribadi mereka. Pejabat Korporat dan/atau Operasi Perniagaan berkenaan akan
mematuhi permintaan dalam tempoh masa yang munasabah, dengan syarat
permintaan tersebut jelas tidak berasas atau berlebihan. Pejabat Korporat dan/atau
Lesen Pengendalian berkaitan hendaklah menanggung beban yang nyata tidak
berasas atau berlebihan melalui permintaan itu. Individu dikehendaki untuk
mengemukakan bukti pengenalan dan mungkin tertakluk kepada yuran servis yang
dibenarkan oleh undang-undang.
Atas alasan yang sah, Individu boleh membantah Pemprosesan Maklumat Peribadi
mereka atau meminta menyekat atau pemadaman Maklumat Peribadi mereka. UTC
akan mematuhi permintaan itu, melainkan jika pengekalan Maklumat Peribadi
dikehendaki oleh obligasi kontrak, keperluan audit, kewajipan peraturan atau
undang-undang, atau untuk mempertahankan syarikat itu terhadap tuntutan undang-
undang. Individu akan dimaklumkan tentang akibat yang mungkin timbul
disebabkan daripada pilihan mereka dengan UTC tidak memproses maklumat
peribadi mereka, seperti ketidakupayaan UTC untuk menyediakan perkhidmatan
yang diminta atau membuat transaksi. Individu juga akan dimaklumkan mengenai
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 40 daripada 51
keputusan permohonan mereka.
Kecuali Individu yang memilih untuk tidak menerima komunikasi tertentu dan
mengikut undang-undang, UTC boleh memproses Maklumat Peribadi Individu
'untuk menyasarkan komunikasi pada individu berdasarkan minat mereka. Individu
yang tidak mahu menerima komunikasi pemasaran daripada UTC akan ditawarkan
cara akses yang mudah untuk menentang pengiklanan, misalnya, dalam tetapan
akaun mereka atau dengan mengikuti arahan yang disediakan dalam e-mel atau dari
pautan dalam komunikasi. Apabila mempunyai keraguan tentang permohonan
peraturan anti-spam, sila hubungi privacy.compliance@utc.com.
Di mana UTC akan membuat keputusan automatik tentang Individu atas dasar
maklumat peribadi mereka, ia akan menyediakan langkah-langkah yang sesuai
untuk melindungi kepentingan sah Individu, seperti menyediakan maklumat
mengenai logik di sebalik keputusan itu dan peluang untuk mempunyai keputusan
yang dikaji semula dan membenarkan Individu untuk memberikan pandangan
mereka.
e) Melaksanakan langkah-langkah keselamatan teknikal dan organisasi yang sesuai
Untuk mengelakkan pemprosesan yang tidak dibenarkan atau menyalahi undang-
undang Maklumat Peribadi dan untuk mencegah pengubahan dengan sengaja,
pendedahan atau akses yang tidak dibenarkan, kehilangan atau kemusnahan atau
kerosakan kepada Maklumat Peribadi, UTC akan melaksanakan langkah-langkah
keselamatan yang sesuai dengan mengambil kira sensitiviti dan risiko Pemprosesan
berkenaan, sifat Maklumat peribadi dan dasar korporat yang berkenaan. Perniagaan
yang beroperasi akan melaksanakan Pelan Tindakan Kejadian Pelanggaran Data
atau mematuhi Pelan Tindakan Insiden Pelanggaran Data UTC, yang akan
menangani tindak balas yang sesuai untuk pemulihan dan apa-apa Pelanggaran Data
yang sebenar.
UTC akan melaksanakan perjanjian bertulis mewajibkan mana-mana Penyedia
Perkhidmatan untuk menghormati BCR atau keperluan setara dan hanya memproses
Maklumat Peribadi mengikut arahan UTC. Perjanjian bertulis mesti menggunakan
terma-terma dan syarat-syarat standard yang disediakan oleh UTC atau
pengubahsuaian yang diluluskan oleh Unit Perniagaan Privasi yang ditetapkan
Professional atau AGC DPS UTC.
f) Tidak berpindah Maklumat Peribadi Individu kepada Pihak Ketiga atau Pembekal
Perkhidmatan di luar EEA dan Switzerland tanpa perlindungan sesuai
Di mana UTC memindahkan Maklumat Peribadi Individu kepada Pihak Ketiga atau
Pembekal Perkhidmatan yang bukan sebahagian daripada UTC dan yang (1) berada
di negara-negara yang tidak memberikan tahap perlindungan yang mencukupi
(dalam maksud Arahan 95/46 / EC) , (2) tidak dilindungi oleh peraturan korporat
mengikat yang diluluskan, atau (3) tidak mempunyai perkiraan lain yang akan
memenuhi keperluan kecukupan EU, Pejabat korporat dan/atau Lesen pengendalian
berkaitan hendaklah memastikan berhubung dengan:
─ Pihak Ketiga, bahawa mereka akan melaksanakan kawalan kontrak yang
sesuai, seperti klausa model kontrak, menyediakan tahap perlindungan
setimpal dengan BCR atau, sebagai alternatif, memastikan bahawa
pemindahan (1) berlaku dengan keizinan yang jelas daripada Individu, (2)
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 41 daripada 51
perlu untuk membuat kesimpulan atau melaksanakan sesuatu kontrak yang
dibuat dengan Individu, (3) adalah perlu atau dikehendaki secara sah atas
alasan kepentingan awam2, (4) adalah perlu untuk melindungi kepentingan asas
Individu; atau (5) adalah perlu bagi pertubuhan, menjalankan atau
mempertahankan tuntutan undang-undang.
─ Pemproses, bahawa mereka akan melaksanakan kawalan kontrak, seperti
klausa model kontrak, memberikan tahap perlindungan setimpal dengan BCR
ini.
2. Tadbir Urus: UTC komited untuk mengekalkan infrastruktur mampu tadbir bagi
memastikan pematuhan BCR. Infrastruktur ini terdiri daripada:
a) Etika dan Pegawai Pematuhan (“ECO”): Pegawai ini memudahkan pematuhan
BCR dan merupakan titik hubungan dalaman bagi komen dalaman dan aduan
berkaitan dengan BCR. UTC akan memastikan Pegawai Etika dan Pematuhan yang
dilatih untuk menerima dan menyiasat aduan privasi, untuk membantu dengan
resolusi kebimbangan privasi, dan untuk mengemukakan aduan kepada sumber-
sumber yang sesuai, seperti Profesional atau Privasi yang sesuai Pejabat Privasi,
untuk semakan dan resolusi yang mana diperlukan.
b) Program Ombudsman: Individu yang menjadi sebahagian daripada Program
Ombudsman akan mengekalkan mekanisme untuk menerima komen dan aduan
dalaman dan luaran yang berkaitan dengan BCR. Program Ombudsman UTC
menyediakan saluran yang selamat dan sulit untuk Individu, Pembekal
Perkhidmatan dan Pihak Ketiga untuk mendapatkan panduan, bertanya soalan,
membuat komen dan melaporkan sebarang salah laku. Program Ombudsman
memajukan aduan kepada sumber-sumber yang sesuai, seperti Privasi Profesional
yang sesuai atau Pejabat Privasi, untuk semakan dan resolusi yang mana diperlukan,
dengan syarat pengadu bersetuju.
c) Professionals Privasi: setiap Unit Perniagaan akan melantik sekurang-kurangnya
satu Profesional Privasi untuk berkhidmat sebagai sumber untuk Pegawai Etika dan
Pematuhan dan lain-lain di Unit Perniagaan dengan isu-isu berkaitan privasi.
Profesional Privasi membantu pihak pengurusan dalam memastikan pematuhan
tempatan dengan BCR dan dalam mengenal pasti kelemahan dalam Unit
Perniagaan. UTC akan memastikan bahawa Professional Privasi mempunyai
sumber yang mencukupi dan pihak berkuasa bebas untuk melaksanakan peranan
mereka.
d) Pegawai Perlindungan Data (“DPO”): peranan DPO yang ditakrifkan oleh
undang-undang. DPO dilantik di mana dikehendaki oleh undang-undang. DPO
2 In accordance with applicable law, Operating Businesses may share Personal Information with law enforcement and regulatory
authorities when necessary in a democratic society to safeguard national and public security, defense, the prevention, investigation,
detection and prosecution of criminal offenses and to comply with sanctions as laid down in international and/or national instruments.
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 42 daripada 51
menyelaras secara tetap dengan AGC DPS UTC.
e) Jawatankuasa Penasihat Privasi (“PAC”): PAC akan bertanggungjawab bagi
pengawasan umum program pematuhan privasi UTC, termasuk pelaksanaan BCR.
PAC akan mengandungi Professional Privasi, mewakili Unit Perniagaan masing-
masing, serta wakil-wakil dari Sumber Manusia (“HR”), Teknologi Maklumat
(“IT”), Pematuhan Perdagangan Antarabangsa (“ITC”), Alam Sekitar, Kesihatan &
Keselamatan (“EH&S”), Kewangan, Pengurusan Bekalan dan F & S UTC. Ahli-
ahli lain boleh ditambah sama ada secara sementara atau tetap, apabila diperlukan.
PAC, dengan kerjasama AGC DPS UTC dan Pejabat Privasi, membangun dan
memastikan pelaksanaan pematuhan rancangan global untuk memastikan jaminan
dan audit pasukan.
f) Ketua Peguam Bersekutu UTC, Privasi Data dan Keselamatan (AGC DPS): AGC
DPS, dengan kerjasama Professional Privasi, akan menggunakan BCR dan
memastikan bahawa ianya dilaksanakan secara berkesan dan cekap. AGC DPS
juga akan bertanggungjawab untuk latihan dan kempen kesedaran mengenai data
privasi dan menyokong Professional Privasi bagi memastikan mereka dilatih, di
samping menggalakkan kewujudan dan tujuan keperluan data privasi selain
daripada keperluan asas untuk melindungi maklumat pemilik. AGC DPS akan
memberikan hala tuju dan membawa Jawatankuasa Penasihat Privasi . AGC DPS
akan menjadi Profesional Privasi untuk Pejabat Korporat.
g) Pejabat Privasi: Pejabat Privasi terdiri daripada AGC DPS, Professional Privasi,
dan mana-mana Pegawai Perlindungan Data yang dilantik, serta mana-mana
anggota tambahan yang dilantik oleh Operasi Perniagaan atau Pejabat Korporat.
Pejabat Privasi mengambil bahagian di PAC, menjawab dan menyelesaikan
sebarang komen atau aduan yang melalui Pejabat Privasi atau kakitangan
Ombudsman, dan membantu ECO dalam bertindak balas dan menyelesaikan
sebarang komen atau aduan yang dikemukakan kepada pihak ECO.
h) F&S UTC: F&S UTC akan mengambil bahagian di PAC melalui Profesional
Privasi atau DPO. Sekiranya terdapat bukti pelanggaran BCR, PAC atau AGC DPS
akan memaklumkan kepada F&S UTC dan, dengan kerjasama F&S UTC, bekerja
dengan Pejabat Korporat dan/atau Operasi Perniagaan relevan dan Profesional
Privasi untuk melaksanakan langkah-langkah pemulihan yang sesuai.
3. Latihan: UTC akan memastikan kategori berikut iaitu Personel, menerima latihan tahunan
mengenai data privasi, keselamatan, dan/atau peraturan anti-spam:
Pegawai Pematuhan dan Etika;
Professional Privasi;
Pegawai yang mengendalikan Maklumat Peribadi Individu sebagai
sebahagian daripada tanggungjawab mereka; dan
Kakitangan yang terlibat dalam pembangunan alat yang digunakan untuk
memproses maklumat peribadi.
4. Memantau dan Audit: Naib Presiden UTC, Audit Dalaman, menyelia Jabatan Audit
Dalaman, akan mentadbir program jaminan dan audit secara berkala untuk menilai
pematuhan BCR dan melaksanakan tindakan susulan dengan Operasi Perniagaan bagi
memastikan bahawa langkah-langkah pembaikan telah diambil. Naib Presiden, Audit
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 43 daripada 51
Dalaman, dengan bantuan kakitangan Jabatan Audit Dalaman, AGC DPS, dan Operasi
Perniagaan, akan menentukan skop yang sesuai bagi program audit BCR untuk
menghadapi sistem dan proses yang perlu mematuhi BCR.
Keputusan audit pematuhan BCR akan dimaklumkan kepada AGC DPS, yang mana,
akan memaklumkan kepada Naib Presiden UTC, Setiausaha dan Ketua Peguam
Bersekutu, F&S UTC, dan Jawatankuasa Penasihat Privasi. Pihak Berkuasa
Perlindungan Data yang kompeten di EEA dan Switzerland, atas permintaan, boleh
menerima akses kepada keputusan audit yang berkaitan dengan BCR.
5. Pengendalian Permintaan untuk Akses atau Pembetulan dan Aduan: Permintaan
daripada Individu mengenai Pemprosesan Maklumat Peribadi mereka akan ditangani
seperti yang dinyatakan di bawah.
b) Dalaman - Dari Personnel dengan akses kepada Intranet UTC
Anggota yang merupakan kakitangan UTC boleh memaklumkan permintaan dan aduan
mereka kepada wakil Sumber Manusia tempatan mereka. Semua kakitangan, termasuk
pekerja, boleh menghubungi Pegawai Pematuhan dan Etika (“ECO”) Tempatan,
Wilayah atau Global , Program Ombudsman atau Pejabat Privasi. Sumber-sumber ini
boleh dihubungi seperti berikut:
Aduan yang dikemukakan kepada HR, ECO atau Pejabat Privasi tempatan: aduan ini
akan ditangani oleh kumpulan (HR, ECO, atau Pejabat Privasi) yang telah menerima
aduan tersebut, dengan bantuan dari Profesional Privasi yang sesuai atau AGC DPS
(atau dilantik) yang mana diperlukan.
Aduan privasi yang diserahkan kepada Program Ombudsman: selagi pengadu bertujuan
dan bersetuju, aduan tersebut akan dikemukakan kepada Pejabat Privasi.
b) Luaran - Daripada Individu lain
HR
Tempatan Hubungi menggunakan saluran dalaman biasa anda
ECO http://ethics.utc.com/Pages/Global%20Ethics%20and%20Compliance%20Officers.aspx
Ombudsman
Internet: Ombudsman.confidential.utc.com
Telefon: Dalam U.S., Canada and Puerto Rico, hubungi 800.871.9065.
Apabila membuat panggilan dari luar U.S, anda mesti mendail kod akses
langsung AT&T yang didapati di sini. Sila dengar (suara atau nada),
kemudian dail nombor bebas tol Ombudsman.
Mel: United Technologies Corporation, Untuk Perhatian: Ombudsman
Program
10 Farm Springs Road, 10FS-2
Farmington, CT 06032-2526 USA
Pejabat
Privasi privacy.compliance@utc.com
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 44 daripada 51
Permintaan dan aduan daripada semua Individu lain boleh ditujukan kepada Program
Ombudsman atau Pejabat Privasi, yang boleh dikunjungi seperti berikut:
Selagi pengadu bertujuan dan bersetuju, aduan privasi yang diserahkan kepada Program
Ombudsman akan dikemukakan kepada Pejabat Privasi untuk maklum balas dan
resolusi.
c) Maklumat tambahan mengenai pengendalian aduan
Aduan dan keputusan audit mendedahkan kelemahan struktur global akan ditangani oleh
AGC DPS melalui PAC bagi memastikan resolusi global dengan kerjasama UTC F & S
dan Profesional Privasi tempatan.
Pada masa aduan tidak dapat diselesaikan dengan kepuasan pengadu, HR tempatan, ECO,
atau Profesional Privasi akan melaporkan isu tersebut kepada AGC DPS. Seterusnya
AGC DPS, akan memaklumkan F&S UTC tentang setiap aduan yang tidak dapat
diselesaikan melalui prosedur pengendalian aduan yang tersedia.
UTC akan berusaha untuk memberi maklum balas awal dalam tempoh lima hari bekerja
daripada penerimaan permintaan/aduan. Bergantung kepada kerumitan dan skop
permohonan/aduan, tempoh ini mungkin lebih lama, tetapi tidak boleh melebihi satu
bulan.
Tiada peruntukan bahawa BCR boleh menyentuh hak Individu di bawah undang-undang
tempatan yang berkaitan untuk mengemukakan aduan kepada pihak berkuasa
perlindungan data berwibawa atau mahkamah berhubung dengan pelanggaran undang-
undang oleh Operasi Perniagaan yang terletak di EEA atau Switzerland.
6. Hak penguatkuasaan Individu dan Jaminan: Individu akan mendapat manfaat
daripada hak-hak yang diberikan secara jelas kepada mereka menurut Seksyen ini,
Seksyen B, C, D.1, D.5, D.7, D.8 dan D.9, serta manfaat daripada jaminan yang
diberikan oleh F&S UTC dalam Bahagian ini.
Atas dakwaan pelanggaran BCR oleh Pejabat Korporat dan/atau mana-mana Operasi
Ombudsman
Internet: Ombudsman.confidential.utc.com
Telefon: Dalam U.S., Canada and Puerto Rico, hubungi 800.871.9065.
Apabila membuat panggilan dari luar U.S, anda mesti mendail kod akses
langsung AT&T yang didapati di sini. Sila dengar (suara atau nada),
kemudian dail nombor bebas tol Ombudsman.
Mel: United Technologies Corporation, Untuk Perhatian: Ombudsman
Program
10 Farm Springs Road, 10FS-2
Farmington, CT 06032-2526 USA
Pejabat
Privasi privacy.compliance@utc.com
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 45 daripada 51
Perniagaan yang terletak di luar EEA atau Switzerland, Individu boleh:
memfailkan aduan dengan Lembaga Perlindungan Data Belgium atau pihak
berkuasa perlindungan data berwibawa dalam bidang kuasa ;
membawa tindakan terhadap F&S UTC di mahkamah Belgium, atau
membawa tindakan terhadap entiti UTC di Kawasan Ekonomi Eropah atau
Switzerland yang memindahkan Maklumat Peribadi, dalam bidang kuasa
masing-masing.
Bagi pelanggaran undang-undang oleh EEA/Operasi Perniagaan Swiss, Individu
mendapat manfaat daripada prosedur tebus rugi statutori yang diperuntukkan di bawah
kuat kuasa undang-undang negara tersebut.
Dengan bantuan daripada Pejabat Korporat UTC, F&S UTC akan bertanggungjawab
untuk memastikan bahawa tindakan yang diambil (1) untuk membetulkan pelanggaran
yang dilakukan oleh Pejabat Korporat UTC atau Operasi Perniagaan di luar EEA; dan
(2) untuk membayar pampasan kepada Individu yang dianugerahkan oleh mahkamah
yang disebut dalam seksyen ini bagi mana-mana kerosakan akibat daripada pelanggaran
BCR oleh Pejabat Korporat dan/atau Operasi Perniagaan di luar EEA dan Switzerland,
kecuali Operasi Perniagaan berkenaan telah dibayar pampasan atau mematuhi perintah
tersebut.
Di mana Individu boleh menunjukkan bahawa mereka telah mengalami kerosakan,
maka hendaklah F&S UTC, dengan kerjasama Pejabat Korporat UTC, membuktikan
bahawa pejabat Korporat dan Operasi Perniagaan berkenaan tidak melanggar
obligasinya di bawah BCR. Di mana bukti itu dapat disediakan, F&S UTC boleh
melepaskan dirinya daripada sebarang tanggungjawab di bawah BCR.
Pejabat Korporat UTC, hendaklah bertanggungjawab untuk memastikan bahawa
tindakan yang diambil untuk remedi kemungkiran yang dilakukan oleh Operasi
Perniagaan di luar EEA dan Switzerland berkenaan dengan Maklumat Peribadi yang
tidak berasal secara langsung atau tidak langsung daripada Kawasan Ekonomi Eropah
atau Switzerland.
Bagi negara-negara selain daripada Ahli Syarikat EEA dan Switzerland, yang
mengiktiraf BCR sebagai instrumen yang sah untuk memindahkan maklumat peribadi,
Individu di negara-negara tersebut ada bahagian daripada hak-hak yang diberikan
secara jelas kepada mereka menurut Seksyen D. 1, D. 5, D. 7 dan D. 9. Oleh itu,
individu yang terlibat di negara-negara ini boleh mengambil apa-apa tindakan di negara
mereka untuk menguatkuasakan peruntukan-peruntukan ini terhadap Operasi
Perniagaan melanggar BCR.
7. Kerjasama dengan Pihak Berkuasa Perlindungan Data: Operasi Perniagaan
hendaklah memberikan apa-apa bantuan berpatutan yang diperlukan oleh pihak
berkuasa perlindungan data berwibawa yang berkaitan dengan pertanyaan dan
pengesahan mereka berhubung dengan BCR, termasuk menyediakan keputusan audit
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 46 daripada 51
Sekiranya diminta.
UTC perlu mematuhi keputusan pihak berkuasa perlindungan data EEA/Swiss yang
berwibawa yang akhir, iaitu, keputusan terhadap mana tiada rayuan boleh dilakukan
atau keputusan yang UTC memutuskan untuk tidak membuat rayuan. UTC perlu
menerima bahawa pematuhannya dengan BCR boleh diaudit oleh pihak berkuasa
perlindungan data yang cekap sebagai mematuhi undang-undang.
8. Pengubahsuaian kepada BCR: F&S UTC hendaklah dengan segera memberitahu
Lembaga Perlindungan Data Belgium sekiranya apa-apa pindaan atau perubahan
penting untuk BCR yang secara material mengubah tahap perlindungan seperti yang
dinyatakan di dalamnya; sekali setahun, F&S UTC hendaklah memberitahu Lembaga
Perlindungan Data Belgium semua perubahan yang berlaku pada tahun sebelumnya.
F&S UTC hendaklah menyenggarakan senarai terkini semua Operasi Perniagaan yang
telah melaksanakan Perjanjian Intra-Kumpulan dan semua kemas kini BCR. Senarai itu
hendaklah disediakan kepada operasi perniagaan, individu, atau pihak berkuasa
EEA/perlindungan data Swiss, sekiranya diminta. Dalam apa jua keadaan, F&S UTC
hendaklah memberi Pihak Berkuasa Perlindungan Data Belgium satu salinan senarai
terkini semua Operasi Perniagaan yang telah melaksanakan Perjanjian Peraturan
Korporat tidak kurang daripada sekali setahun.
UTC bersetuju bahawa ia tidak boleh bergantung kepada BCR untuk memindahkan
Individu Maklumat Peribadi Individu kepada ahli-ahli kumpulan UTC sehingga masa
ahli-ahli kumpulan yang berkaitan telah melaksanakan Perjanjian Intra-Kumpulan dan
boleh mematuhinya.
9. Komunikasi BCR:Dengan tujuan untuk memastikan Individu dimaklumkan tentang
hak-hak mereka di bawah BCR ini, Operasi Perniagaan di EEA dan Switzerland akan
mengepos atau mengekalkan pautan ke BCR pada laman web luar mereka. UTC akan
mengepos atau mengekalkan pautan BCR pada www.utc.com atau mana-mana laman
web berkaitan
10.
BAHAN PAMER A - DEFINISI
11.
12. “Unit Perniagaan” bermakna segmen utama UTC, yang mungkin berubah dari semasa ke
semasa, dan pada masa ini terdiri daripada Climate, Controls & Security, Otis, Pratt &
Whitney, UTC Aerospace Space, UTC Research Center, adan Pejabat Korporat UTC.
13. “CCS” merujuk kepada unit perniagaan UTC’s Climate, Controls & Security.
14. “Pejabat Korporat” merujuk kepada ibu pejabat korporat di U.S. di 10 Farm Springs Road,
Farmington, CT 06032 USA.
15. “Pelanggaran Data” bermakna pengambilalihan yang tidak dibenarkan atau penggunaan
Maklumat Peribadi yang tidak disulitkan, atau Maklumat Peribadi disulitkan jika ada
kompromi kepada proses sulit atau utama, yang mampu menjejaskan keselamatan, kerahsiaan,
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 47 daripada 51
atau integriti Maklumat Peribadi yang membawa kepada risiko kemudaratan besar kepada satu
atau lebih individu. Risiko bahaya termasuk kemungkinan kecurian identiti, potensi untuk rasa
malu, pelepasan maklumat peribadi, atau kesan sampingan yang lain. Niat yang baik tetapi
pengambilan Maklumat Peribadi yang tidak dibenarkan oleh UTC atau Personnel atau
Pembekal Perkhidmatan untuk tujuan yang sah bukan Pelanggaran Keselamatan Data kecuali
maklumat peribadi yang digunakan dalam cara yang tidak dibenarkan adalah tertakluk kepada
pendedahan lanjut yang tidak dibenarkan.
16. “Individu-Individu” bermakna kakitangan yang asal, pelanggan UTC atau pembekal, dan
pengguna produk dan perkhidmatan UTC.
17. “Operasi Perniagaan” bermakna segmen perniagaan UTC, unit dan bahagian, dan semua
entiti operasi lain di mana sahaja berada (termasuk usaha sama, perkongsian dan urusan
perniagaan yang lain di mana UTC mempunyai sama ada kepentingan kawalan atau kawalan
pengurusan yang berkesan), selain daripada Pejabat Korporat.
18. “Maklumat Peribadi” bermaksud maklumat yang berhubungan dengan orang yang dikenal
pasti atau boleh dikenal pasti. Ini adalah apa-apa maklumat yang berhubung dengan orang
sebenar, yang dikenal pasti atau boleh dikenal pasti, secara langsung atau tidak langsung,
khususnya dengan merujuk kepada pengecam, seperti nombor pengenalan, nama atau satu atau
lebih faktor yang khusus kepada orang itu iaitu fizikal, fisiologi, mental, ekonomi, identiti
budaya atau sosial. Sama ada individu yang boleh dikenal pasti bergantung kepada cara
munasabahnya mungkin untuk digunakan oleh UTC atau orang lain untuk mengenal pasti
Individu tersebut. Di mana langkah-langkah ini tidak munasabah mungkin digunakan atau
pengenalan adalah mustahil, data berkenaan adalah tanpa nama dan tidak dilindungi oleh BCR.
Istilah ini termasuk Maklumat Peribadi Sensitif. Maklumat peribadi termasuk maklumat yang
dikumpul, diproses, dan/atau dipindahkan tanpa mengambil kira medium, termasuk tetapi tidak
terhad kepada salinan cetak, elektronik, rakaman video dan rakaman audio.
19. “Personel” bermakna pekerja UTC, termasuk pengarah dan pegawai UTC, dan pekerja
sementara, kontraktor, buruh dipajak dan buruh kontrak yang dikekalkan oleh UTC.
20. “Proses” bermakna apa-apa operasi atau set operasi yang dilakukan ke atas Maklumat
Peribadi, sama ada secara automatik atau tidak, seperti koleksi, rakaman, organisasi,
penyimpanan, adaptasi atau perubahan, mendapatkan semula, perundingan, penggunaan,
pendedahan melalui penghantaran, pemindahan, penyebaran atau selainnya menyediakan,
penjajaran atau kombinasi, menyekat, memadamkan atau memusnahkan.
21. “Maklumat Peribadi Sensitif” adalah subset kepada Maklumat Peribadi dan bermaksud
maklumat yang berkaitan kepada orang yang dikenal pasti atau boleh dikenal pasti yang
melibatkan: asal bangsa atau etnik; pendapat politik; kepercayaan agama atau falsafah;
keahlian kesatuan sekerja; kesihatan; keutamaan seksual; kehidupan seks; atau perlakuan atau
perlakuan apa-apa jenayah dan hukuman yang boleh dikenakan.
22.
23. “Pembekal Perkhidmatan” bermakna mana-mana entiti atau orang/yang diproses, atau
sebaliknya dibenarkan akses kepada Maklumat Peribadi Diproses oleh UTC melalui
peruntukan untuk menyediakan perkhidmatan terus ke UTC.
24.
25. “Pihak Ketiga”ialah individu atau entiti, selain daripada Pejabat Korporat UTC dan Operasi
Perniagaan yang melaksanakan Perjanjian Peraturan Korporat dengan kakitangan mereka, dan
Pembekal Perkhidmatan.
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 48 daripada 51
26.
27. “UTC” bermakna Pejabat Korporat UTC dan Perniagaan Operasi.
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 49 daripada 51
BAHAN PAMER B - FASAL PROSES DALAMAN
Fasal ini terpakai apabila Operasi Perniagaan yang terikat dengan BCR (selepas ini: “Prinsipal
UTC”) mengamanahkan projek lain yang mengikat Operasi Perniagaan (selepas ini: “Pemproses
UTC”) melibatkan pemprosesan Data Peribadi yang dilindungi. Setakat mana projek itu melibatkan
Perintah Kerja antara Prinsipal UTC dan Pemproses UTC, Tata Kerja hendaklah rujukan Fasal
Proses Dalaman dalam syarat-syarat berikut: “Perkhidmatan yang dinyatakan dalam Perintah Kerja
ini ditadbir oleh Fasal Proses Dalaman yang dinyatakan dalam yang BCR UTC untuk melindungi
maklumat peribadi.”
Syarat yang dinyatakan dalam fasal ini merujuk kepada terma yang ditakrifkan dalam UTC BCR.
1. Prinsipal UTC dan Pemproses UTC bersetuju untuk terus terikat UTC BCR untuk keseluruhan
tempoh Perintah Kerja. Fasal berkenaan tempoh Tata Kerja. Peruntukan Seksyen [4.2, 4.4] fasal
ini hendaklah berkenaan penamatan Perintah Kerja.
2. Dalam melaksanakan perkhidmatannya, Pemproses UTC akan memproses Maklumat Peribadi
bagi pihak Prinsipal UTC.
3. Obligasi Prinsipal UTC:
3.1. Prinsipal UTC hendaklah menyediakan Pemproses UTC dengan arahan yang jelas
berkaitan dengan tujuan dan pemprosesan maklumat peribadi yang relevan. Arahan ini
hendaklah cukup jelas untuk membenarkan Pemproses UTC k memenuhi
tanggungjawabnya di bawah fasal dan BCR UTC. Khususnya, arahan Prinsipal UTC
boleh mengawal penggunaan sub-kontraktor, pendedahan Maklumat Peribadi dan
obligasi lain oleh Pemproses UTC.
3.2. Prinsipal UTC hendaklah memaklumkan Pemproses UTC tentang semua pindaan kepada
undang-undang perlindungan data negara dan instrumen berkanun berkaitan, peraturan,
perintah, dan instrumen yang serupa yang relevan kepada Pemprosesan yang dilakukan
oleh Pemproses UTC di bawah fasal ini, dan memberikan arahan mengenai cara
Pemproses UTC perlu mematuhi apa-apa pindaan.
4. Obligasi Pemproses UTC
4.1. Pemproses UTC akan memproses Maklumat Peribadi mengikut arahan Prinsipal UTC
seperti yang ditetapkan dalam Tata Kerja dan disampaikan secara bertulis. Pemproses
UTC tidak boleh menjalankan Pemprosesan Maklumat Peribadi yang berkaitan untuk
sebarang tujuan lain atau dalam apa-apa cara lain.
4.2. Pemproses UTC hendaklah mematuhi semua peruntukan BCR UTC dan khususnya
Seksyen D.1.e.
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 50 daripada 51
4.3. Pemproses UTC tidak boleh mendedahkan atau memindahkan Maklumat Peribadi yang
berkaitan dengan mana-mana Pihak Ketiga, selain daripada sub-pemproses menurut
Seksyen 4.6 fasal ini, tanpa kebenaran terlebih dahulu, secara bertulis, Prinsipal UTC.
4.4. Di mana, menurut BCR UTC (Seksyen D.1.f.), Pemproses UTC diperlukan untuk
menjalankan pemprosesan hasil daripada obligasi undang-undang yang sah, ia hendaklah
berbuat demikian walau apa pun keperluan Seksyen 4. Dalam kes sedemikian,
Pemproses UTC hendaklah memberitahu Prinsipal UTC secara bertulis sebelum
mematuhi apa-apa kehendak sedemikian, melainkan jika undang-undang-undang,
peraturan, atau pihak berkuasa kerajaan melarang memberikan notis itu, dan hendaklah
mematuhi segala arahan Prinsipal UTC yang munasabah dengan pendedahan tersebut.
4.5. Pemproses UTC hendaklah memberitahu Prinsipal UTC dalam tempoh tiga (3) hari
bekerja dari tarikh apa-apa komunikasi yang diterima daripada mana-mana individu yang
berkaitan dengan hak-hak yang Individu untuk mengakses, mengubahsuai Maklumat
Peribadi berkaitan dengan dia dan hendaklah mematuhi semua arahan Prinsipal UTC
dalam bertindak balas kepada komunikasi tersebut. Di samping itu, Pemproses UTC
hendaklah memberikan apa-apa bantuan yang diperlukan oleh Prinsipal UTC untuk
menjawab mana-mana komunikasi dari mana-mana individu yang berkaitan dengan hak-
hak Individu untuk mengakses, mengubahsuai Maklumat Peribadi yang berkaitan
dengannya.
4.6. Pemproses UTC boleh melantik sub-pemproses untuk membantunya dalam memenuhi
obligasinya di bawah Tata Kerja dengan syarat ia telah mendapat kelulusan bertulis
terlebih dahulu daripada Prinsipal UTC. Pemproses UTC akan mengadakan perjanjian
bertulis dengan mana-mana sub-pemproses, yang mengenakan kewajipan ke atas sub-
pemproses yang tidak kurang membebankan daripada dan setanding dalam semua aspek
dengan kewajipan yang dikenakan ke atas Pemproses UTC di bawah fasal ini.
Pemproses UTC mesti mematuhi BCR UTC Seksyen D.1.f.
4.7. Pemproses UTC memberi jaminan apa jua dalam mana-mana undang-undang
perlindungan data (atau mana-mana undang-undang atau peraturan-peraturan lain) di
mana ia tertakluk, menghalang ia daripada memenuhi obligasinya di bawah fasal ini.
Sekiranya berlaku perubahan dalam mana-mana undang-undang tersebut yang mungkin
memberi kesan sampingan yang ketara ke atas pematuhan Pemproses UTC dengan
klausa ini atau dalam keadaan di mana pemproses UTC sebaliknya tidak boleh mematuhi
klausa ini, pemproses UTC hendaklah memberitahu Prinsipal UTC dalam tempoh lima
belas (15) hari dan Prinsipal UTC berhak untuk menamatkan Perintah Kerja yang
berkuatkuasa serta merta.
4.8. Pemproses UTC bersetuju bahawa Prinsipal UTC boleh meminta Pemproses UTC
mematuhi bahawa klausa ini diaudit mengikut BCR UTC Seksyen D.4.
5. Sekiranya berlaku penamatan Tata Kerja, Pemproses UTC hendaklah menghantar kepada
Prinsipal UTC semua Maklumat Peribadi yang berkaitan yang dipegang oleh Pemproses UTC,
M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4
Kerja Tidak Diterbitkan • United Technologies Corporation • 2017
Halaman 51 daripada 51
bersama-sama dengan semua salinan di mana-mana media data tersebut atau memusnahkan,
kecuali Pemproses UTC diperlukan, oleh mana-mana undang-undang, peraturan atau pihak
berkuasa kerajaan, untuk mengekalkan Maklumat peribadi tersebut atau sebahagian
daripadanya.
6. Fasal ini akan ditadbir dan ditafsirkan mengikut undang-undang negara di mana Prinsipal UTC
ditubuhkan. Tanpa menjejaskan BCR UTC Seksyen D.6, setiap pihak kepada fasal ini tidak
boleh menarik balik penyerahan bidang kuasa eksklusif Prinsipal UTC ke atas apa-apa tuntutan
atau perkara yang timbul di bawah atau berkaitan dengan fasal ini.
7. Pelbagai.
7.1. Peruntukan fasal ini adalah diasingkan. Jika mana-mana frasa, klausa atau peruntukan
tidak sah atau tidak boleh dikuatkuasakan secara keseluruhan atau sebahagian, hanya
memberi kesan seperti frasa, klausa atau peruntukan, dan seluruh fasal ini hendaklah
terus berkuat kuasa dan berkesan sepenuhnya.
7.2. Peruntukan fasal ini hendaklah dibiasakan bagi manfaat dan akan mengikat Prinsipal
UTC dan Pemproses UTC dan pengganti serta penerima serah hak masing-masing.