maklumat peribadi - raytheon technologies

M A N U A L D A S A R K O R P O R A T

Kerja Tidak Diterbitkan • United Technologies Corporation • 2017

Maklumat Peribadi

A. RINGKASAN

B. KEBOLEHGUNAAN

C. DASAR

D. TANGGUNGJAWAB

E. RUJUKAN

F. SEMAKAN

Seksyen

24

Kod Etika

http://www.utc.com/utc/static files/governance/coe_english.pdf

http://ethics.utc.com/Code%20of%20Ethics/coe_english.pdf

M A N U A L D A S A R K O R P O R A T S E K S Y E N 2 4


Halaman 2 daripada 51

A. RINGKASAN

United Technologies Corporation (“Perbadanan” atau “UTC”)

menghormati kepentingan privasi individu yang sah yang daripada

mereka dikumpul, diproses, dan/atau dipindahkan Maklumat Peribadi,

seperti pengarah, pegawai, pekerja, pelanggan dan pembekalnya. Seperti

yang dikehendaki oleh dasar Perlindungan Data UTC (CPM 14), atau

sebaliknya dikehendaki oleh undang-undang, UTC akan mengambil

langkah yang sewajarnya untuk melindungi Maklumat Peribadi di bawah

kawalan daripada akses yang tidak dibenarkan, salah guna, pendedahan

yang tidak dibenarkan, pengubahan, atau pemusnahan yang tidak

dibenarkan. Maklumat Peribadi akan didedahkan hanya kepada

kakitangan UTC, Pembekal Perkhidmatan, dan Pihak Ketiga yang

mempunyai keperluan perniagaan yang sah untuk mengetahui, seperti

yang dibenarkan oleh undang-undang, dan di bawah undang-undang

berkaitan dan sekatan kontrak. Mana-mana Perniagaan Kendalian UTC

yang merupakan Entiti Dilindungi atau Sekutu Perniagaan juga akan

mematuhi keperluan Akta Kemudahalihan dan Akauntabiliti Insurans

Kesihatan Amerika Syarikat dan peraturan yang berkaitan

(“HIPAA”)_mengenai Maklumat Kesihatan yang Dilindungi.

Ekshibit 1 memberikan definisi bagi terma yang digunakan dalam Dasar

ini.

B. KEBOLEHGUNAAN

1. Dasar ini terpakai kepada UTC dan Perniagaan Kendaliannya

seperti yang ditetapkan dalam Ekshibit 1. Melainkan konteksnya

menunjukkan sebaliknya, rujukan kepada UTC termasuk semua

Perniagaan Kendalian, pengarah, pegawai, pekerja dan buruh

pajak mereka di tapak.

2. UTC akan berusaha untuk memastikan Pembekal

Perkhidmatannya mematuhi Dasar ini atau keperluan yang setara

dalam menjalankan perniagaan mereka dengan UTC melalui

keperluan kontrak yang berkenaan.

3. Undang-undang tempatan, peraturan dan sekatan lain yang

terpakai kepada UTC atau mana-mana Perniagaan Kendalian

hendaklah digunakan setakat mana tidak terdapat percanggahan

dengan Dasar ini. Untuk memastikan pematuhan undang-undang

tempatan tidak mengaitkan keperluan bidang kuasa lain, sebarang

penyimpangan daripada Dasar ini mesti diluluskan secara bertulis

oleh Penasihat Undang-Undang Bersekutu, Data Privasi dan

Keselamatan (“AGC DPS”) UTC sebelum pelaksanaan.




C. DASAR

1. Pematuhan dengan Undang-undang: Paling minimum, UTC

akan mematuhi semua undang-undang dan peraturan yang

berkaitan dengan perlindungan Maklumat Peribadi yang berkaitan

dengan Perniagaan Kendaliannya di seluruh dunia.

2. Prinsip Privasi: Dalam semua aktivitinya, UTC akan mematuhi

prinsip privasi berikut (yang diterangkan dengan lebih terperinci

dalam Ekshibit 5):

a) Mengumpul dan memproses Maklumat Peribadi secara adil

dan menurut

undang-undang;

b) Mengenal pasti tujuan yang baginya ia mengumpul Maklumat

Peribadi dan tidak memproses Maklumat Peribadi untuk

sebarang tujuan yang berbeza melainkan jika disokong dengan

persetujuan, kewajipan undang-undang, ancaman kecederaan

fizikal, atau (seperti yang dibenarkan oleh undang-undang)

kepentingan yang sah;

c) Berusaha untuk memastikan bahawa pengumpulan,

pemprosesan, dan pemindahan Maklumat Peribadi adalah

mencukupi, relevan (jumlah minimum yang diperlukan) dan

tidak berlebihan berhubung dengan tujuan atau tujuan-tujuan

di mana maklumat tersebut diproses;

d) Mengambil usaha yang munasabah untuk mengesahkan

bahawa Maklumat Peribadi yang dimiliki adalah tepat dan

terkini;

e) Tidak menyimpan Maklumat Peribadi lebih lama daripada

yang diperlukan bagi tujuan yang ia dikumpulkan, kecuali jika

sebaliknya dikehendaki oleh

undang-undang atau dengan persetujuan;

f) Memberi hak akses, pembetulan, bantahan dan

pengemaskinian yang berkenaan;

g) Menggunakan langkah teknikal dan organisasi yang sesuai

untuk menghalang pemprosesan Maklumat Peribadi yang tidak

dibenarkan atau menyalahi

undang-undang dan untuk mencegah kehilangan atau

kemusnahan atau kerosakan kepada, Maklumat Peribadi;




h) Tidak memindahkan Maklumat Peribadi dari satu negara ke

negara lain atau dari satu entiti sah kepada yang lain kecuali

disokong dengan baik oleh undang-undang dan proses yang

cukup selamat;

i) Memberikan notis bertulis yang bersesuaian kepada individu

yang Maklumat Peribadinya dikumpul, diproses, dan/atau

dipindahkan mengenai amalannya mengenai Maklumat

Peribadi;

j) Menawarkan peluang yang sesuai untuk memilih keluar

apabila menggunakan Maklumat Peribadi untuk pemasaran

langsung;

k) Memastikan seseorang itu diberi peluang untuk

membincangkan hasil sebarang pembuatan keputusan

automatik (seperti semakan latar belakang) sebelum sebarang

tindakan negatif diambil berdasarkan pembuatan keputusan

tersebut;

l) Memastikan pengendalian Maklumat Peribadi pekerja adalah

selaras dengan Notis Privasi Pekerja, tertakluk pada tambahan

atau pindaan tempatan bagi memastikan pematuhan kepada

undang-undang tempatan yang hendaklah boleh diakses oleh

pekerja di http://privacy.utc.com/Pages/Privacy-Notice.aspx;

m) Hanya mengumpulkan Maklumat Peribadi Sensitif apabila

dikehendaki oleh undang-undang atau untuk tujuan perniagaan

yang sah dan hanya seperti yang dibenarkan oleh undang-

undang, yang mungkin perlu mendapatkan kebenaran yang

jelas;

n) Menjaga dengan baik nombor pengenalan yang dikeluarkan

oleh kerajaan (seperti Nombor Keselamatan Sosial di Amerika

Syarikat dan Perancis, Nombor Kebangsaan di Belgium,

Nombor Insurans Sosial di Kanada, Sistem Elektroniczny

Powszechny Ewidencji Ludności di Poland, nombor Kad

Pengenalan Pendaftaran Kebangsaan di Singapura, dan

Nombor Pendaftaran Residen di Korea Selatan) dengan

melindungi kerahsiaan, menghadkan pengumpulan,

memastikan akses berdasarkan keperluan untuk mengetahui,

melaksanakan perlindungan yang sesuai, termasuk tetapi tidak

terhad pada penyulitan, dan memastikan pelupusan yang betul

selaras dengan Manual Dasar Korporat Seksyen 46 UTC;

dan

http://ethics.utc.com/Corporate%20Policy%20Manual/en_section_46.docx




o) Mengekalkan Pelan Tindak Balas Insiden Pelanggaran Data

yang mantap, memberi tindak balas kepada dan membetulkan

semula sebarang Insiden Pelanggaran Data sebenar,

melibatkan pasukan Komunikasi Krisis UTC dan yang lain,

mengikut keperluan, dan mendedahkan Insiden Pelanggaran

Data yang melibatkan Maklumat Peribadi, sebagaimana sesuai

dan seperti yang dikehendaki undang-undang.

3. Keselamatan: Seperti yang dikehendaki oleh dasar Perlindungan

Data UTC (CPM 14), atau seperti yang dikehendaki oleh undang-

undang, UTC akan memastikan ia mengekalkan perlindungan

yang munasabah dan teknikal, fizikal, dan pentadbiran bersesuaian

untuk melindungi Maklumat Peribadi yang ia kumpulkan, proses,

dan pindahkan. Langkah ini termasuk sekatan yang munasabah

terhadap akses fizikal kepada rekod salinan keras yang

mengandungi Maklumat Peribadi dan penyimpanan rekod tersebut

dalam kemudahan berkunci, kawasan penyimpanan atau bekas.

UTC akan secara berkala menilai semula langkah yang diambil

bagi memastikan ia kekal munasabah dan sesuai.

4. Privasi Dalam Talian: UTC akan memastikan bahawa setiap

laman web dalam taliannya yang mengumpulkan Maklumat

Peribadi akan menyediakan notis privasi. Notis privasi mesti

mengenal pasti:

a) Maklumat Peribadi yang akan dikumpulkan;

b) tujuan yang Maklumat Peribadi akan dikumpulkan;

c) cara UTC akan menggunakan Maklumat Peribadi ini;

d) “kuki” yang digunakan oleh laman web yang menghadap ke

luar dan, jika digunakan, cara mengkonfigurasi semula pelayar

untuk menolak kuki;

e) pihak ketiga yang UTC akan berkongsi maklumat ini;

f) pilihan yang diberikan kepada individu, sebab untuk

menghadkan pengumpulan, penggunaan dan pendedahan

Maklumat Peribadi, dan akibat pilihan tersebut; dan

g) cara menghubungi UTC dengan soalan atau aduan mengenai

hal ehwal privasi berkenaan laman web tersebut.

Setiap notis privasi mesti disemak oleh pemilik laman web sekali

setiap tiga tahun untuk memastikan bahawa ia adalah terkini dan




tepat. Selepas semakan seterusnya, laman web menghadap ke luar

UTC yang mengumpul Maklumat Peribadi hendaklah

menggunakan notis privasi templat yang terkandung di dalam

Ekshibit 3, dengan sebarang pengubahsuaian yang diperlukan,

kecuali kebenaran telah diperoleh secara bertulis daripada

Profesional Privasi yang ditetapkan atau Penasihat Undang-

Undang Bersekutu, Privasi Data dan Keselamatan UTC. Selepas

semakan seterusnya, laman web menghadap ke dalam UTC yang

mengumpul Maklumat Peribadi hendaklah menggunakan notis

privasi templat yang terkandung di dalam Ekshibit 4, dengan

sebarang pengubahsuaian yang diperlukan, kecuali kebenaran

telah diperoleh secara bertulis daripada Profesional Privasi yang

ditetapkan atau AGC DPS. Apabila diperlukan oleh

undang-undang, UTC akan memastikan Maklumat Peribadi

Sensitif dikumpulkan dalam talian hanya dengan persetujuan

individu yang jelas, melalui pendekatan memilih masuk yang

bermakna, dan dilindungi sewajarnya daripada penggunaan yang

tidak betul.

5. Pembekal Perkhidmatan: UTC akan memasuki perjanjian

bertulis yang mewajibkan Pembekal Perkhidmatan yang

mengumpul, memproses, mengakses atau memiliki Maklumat

Peribadi bagi pihak UTC agar mematuhi Dasar ini atau keperluan

yang setara. Perjanjian bertulis mesti menggunakan terma dan

syarat standard, yang boleh diperoleh daripada Profesional Privasi

yang ditetapkan dan AGC DPS, akan dipastikan agar tersedia di

laman web dalaman atau luaran. Pengubahsuaian mesti diluluskan

oleh Profesional Privasi. Penggunaan Pembekal Perkhidmatan

juga tertakluk kepada pematuhan prosedur IT yang mengawal

Perlindungan Data UTC yang Diamanahkan kepada Pihak Ketiga

(IT-08-108).

6. HIPAA: Perniagaan Kendalian UTC yang tertakluk kepada

HIPAA mestilah:

a) Mengekalkan langkah yang munasabah untuk melindungi

privasi Maklumat Kesihatan yang Dilindungi;

b) Mengedarkan notis mengenai amalan privasi kepada individu

yang Maklumat Kesihatan Dilindungi dikumpul dan mengepos

notis tersebut, seperti yang diperlukan oleh HIPAA;

c) Memasuki Perjanjian Rakan Sekutu Perniagaan dengan Rakan

Sekutu Perniagaan bagi Perniagaan Kendalian Memastikan

pemberitahuan yang betul dan segera bagi sebarang Insiden




Pelanggaran Data, seperti yang dinyatakan dalam Pelan Tindak

Balas Insiden Pelanggaran Data, yang merupakan Ekshibit 4

dalam Manual Dasar Korporat Seksyen 14.

d) Penasihat Undang-Undang Bersekutu UTC, Pampasan &

Faedah Global Eksekutif akan berkhidmat sebagai Pegawai

Privasi HIPAA UTC; dan

e) Mematuhi keperluan khusus HIPAA lain yang dinyatakan

dalam dasar dan prosedur UTC.

7. Kebenaran Pemindahan: UTC dan Perniagaan Kendaliannya

telah mengamalkan Peraturan Korporat Mengikat (“BCR”), seperti

yang dinyatakan dalam ekshibit 5 dan disiarkan pada

www.utc.com. BCR membenarkan pemindahan Maklumat

Peribadi dari negara-negara di Kawasan Ekonomi Eropah dan

Switzerland setakat yang dibenarkan oleh undang-undang. Di

negara yang undang-undang tempatan belum lagi membenarkan

pemindahan di bawah BCR, UTC dan Perniagaan Kendaliannya telah melaksanakan klausa model (juga dikenali sebagai klausa

kontrak standard) yang diguna pakai oleh Suruhanjaya Eropah

sebagai suatu kebenaran bagi pemindahan Maklumat Peribadi. UTC

dan Perniagaan Kendaliannya hendaklah mematuhi BCR dan

keperluan klausa model untuk pemindahan dalam syarikat.

Untuk membenarkan pemindahan Maklumat Peribadi kepada

pembekal perkhidmatan, UTC dan/atau Perniagaan Kendaliannya

boleh memasuki klausa model dengan pembekal perkhidmatan. Di

mana UTC dan/atau Perniagaan Kendaliannya masuk ke dalam

model klausa, mana-mana entiti UTC yang merupakan klausa model

hendaklah mematuhinya.

8. Penilaian Risiko Privasi: UTC akan melaksanakan dan

mengekalkan proses penilaian risiko privasi yang berkesan untuk

menilai risiko di seluruh syarikat dan pelan mitigasi yang sesuai.

Proses Penilaian Risiko Privasi akan menyemak pengumpulan,

pemprosesan (termasuk simpanan dan kemusnahan), dan

pemindahan Maklumat Peribadi keseluruhan UTC dan akan

dikemas kini secara berkala.

9. Penilaian Kesan Privasi: Penilaian Kesan Privasi bertulis mesti

dilengkapkan terlebih dahulu apabila Perniagaan Kendalian

meminta untuk: (1) melaksanakan sistem baharu atau yang diubah

suai atau proses berulang (seperti tinjauan); (2) menggunakan

yang baharu atau mengubah suai penggunaan Pembekal

Perkhidmatan; atau (3) membangunkan, mereka bentuk atau

http://www.utc.com/




melancarkan teknologi, produk atau perkhidmatan yang baharu

atau diubah suai – jika sistem, proses, Pembekal Perkhidmatan,

teknologi, produk atau perkhidmatan akan mengumpul,

memproses, atau memindah Maklumat Peribadi. Penilaian Kesan

Privasi tidak perlu dilengkapkan bagi: (1) sistem atau pembekal

perkhidmatan yang tidak mengumpul, memproses, atau memindah

Maklumat Peribadi; (2) tindakan individu, seperti menghantar e-

mel atau memegang panggilan, tetapi ia mesti diluluskan untuk

pelancaran sistem baharu atau pembekal perkhidmatan atau

pengubahsuaian besar sistem atau penggunaan pembekal

perkhidmatan; (3) kegunaan yang baharu atau yang diubah suai

Pembekal Perkhidmatan yang hanya melibatkan pertukaran

Maklumat Hubungan Perniagaan untuk bilangan individu terhad

yang bekerja secara langsung dengan transaksi (s); dan (4)

penjualan atau pembelian perkakasan atau komoditi, melainkan

jika ia juga melibatkan penyediaan perkhidmatan atau sistem

baharu yang menjejaki Maklumat Peribadi di luar Maklumat

Hubungan Perniagaan atas mereka yang terlibat dalam transaksi.

Penilaian Kesan Privasi mesti menggunakan borang yang

terkandung dalam Ekshibit 2 atau sebarang bentuk borang yang

diluluskan oleh AGC DPS dan disemak dan diluluskan oleh

Pegawai Perlindungan Data untuk tapak jika ada, atau Profesional

Privasi yang ditetapkan, atau, jika tiada yang tersedia, AGC DPS.

Setelah diluluskan, borang hendaklah dihantar melalui e-mel ke

[email protected] untuk tujuan penyimpanan rekod.

10. Tadbir urus: UTC akan memastikan bahawa Pegawai Etika dan

Pematuhan memahami dan dilatih untuk mengenal pasti

kebimbangan privasi, untuk menerima aduan privasi, dan

mengemukakan kedua-duanya kepada sumber yang sesuai untuk

semakan dan resolusi. Di samping itu, setiap Unit Perniagaan akan

melantik

sekurang-kurangnya satu Profesional Privasi untuk berkhidmat

sebagai sumber bagi Pegawai Etika dan Pematuhan dan yang lain

dalam Perniagaan Kendalian dengan isu berkaitan privasi. Peranan

Pegawai Etika dan Pematuhan yang berkaitan dengan Dasar ini

dan Profesional Privasi didefinisikan dalam Seksyen D di bawah.

UTC akan memastikan bahawa individu ini mempunyai sumber

yang mencukupi dan mempunyai autoriti bebas untuk

melaksanakan peranan mereka. UTC juga akan mewujudkan dan

mengekalkan Jawatankuasa Penasihat Privasi (“Jawatankuasa

Penasihat” atau “PAC”), yang akan bertanggungjawab bagi

pengawasan umum program pematuhan privasi UTC.

Jawatankuasa Penasihat akan mengandungi wakil dari setiap Unit

Perniagaan dan dari Sumber Manusia (“HR”), Teknologi

mailto:[email protected]




Maklumat (“IT”), Pematuhan Perdagangan Antarabangsa (“ITC”),

Persekitaran, Kesihatan dan Keselamatan (“EH&S”), Kewangan

dan Pengurusan Bekalan. Ahli lain boleh ditambah sama ada

secara sementara atau kekal, seperti yang diperlukan.

11. Latihan: UTC akan memastikan Pegawai Etika dan Pematuhan,

Profesional Privasi, pekerja yang mengendalikan Maklumat

Peribadi sebagai sebahagian daripada tanggungjawab mereka dan

pekerja yang terlibat dalam pembangunan sistem, alat,

perkhidmatan dan/atau produk yang digunakan untuk

mengumpulkan dan/atau memproses Maklumat Peribadi

menerima latihan tahunan mengenai privasi dan keselamatan data.

12. Komunikasi: UTC akan membangunkan dan melaksanakan pelan

komunikasi strategik untuk meningkatkan kesedaran dan mendidik

pekerja dan Pembekal Perkhidmatan, mengikut kesesuaian,

mengenai privasi dan keselamatan data.

13. Pengendalian Aduan dan Permintaan untuk Akses atau

Pembetulan: Permintaan daripada Individu mengenai

pemprosesan Maklumat Peribadi mereka akan dikemukakan

seperti yang ditetapkan di bawah.

a) Dalaman – Daripada Kakitangan dengan akses kepada Intranet

UTC

Kakitangan yang merupakan pekerja UTC langsung boleh

mengemukakan permintaan dan aduan mereka kepada wakil

Sumber Manusia tempatan mereka. Semua kakitangan, termasuk

pekerja, boleh menghubungi Pegawai Etika dan Pematuhan

(“ECO”) Tempatan, Wilayah atau Global mereka, Program

Ombudsman atau Pejabat Privasi. Sumber-sumber ini boleh

dihubungi seperti di bawah:

HR

Tempata

n

Hubungi menggunakan saluran dalaman anda yang biasa

ECO http://ethics.utc.com/Pages/Global%20Ethics%20and%20Complia

nce%20Officers.aspx

Ombuds

man

Internet: Ombudsman.confidential.utc.com

Telefon: Dari dalam A.S., Kanada dan Puerto Rico,

hubungi 800.871.9065. Apabila membuat panggilan dari

luar A.S., anda mesti mendail kod akses AT&T Direct

dahulu yang diberikan di sini. Dengarkan prom (suara atau

http://ethics.utc.com/Pages/Global%20Ethics%20and%20Compliance%20Officers.aspx





Aduan yang diserahkan kepada HR tempatan, ECO atau Pejabat

Privasi: aduan ini akan ditangani oleh kumpulan (HR, ECO atau

Pejabat Privasi) yang menerimanya, dengan bantuan daripada

Profesional Privasi yang sesuai atau AGC DPS (atau orang yang

dilantik) apabila diperlukan.

Aduan mengenai privasi yang diserahkan kepada Program

Ombudsman: selagi pengadu meminta respons selanjutnya dan

bersetuju, aduan itu akan ditujukan kepada Pejabat Privasi untuk

mendapatkan respons dan penyelesaian.

b) Luaran – Daripada semua Individu lain

Permintaan dan aduan daripada semua Individu lain boleh

dikemukakan kepada Program Ombudsman atau Pejabat Privasi,

yang boleh dihubungi seperti berikut:

Selagi pengadu meminta respons selanjutnya dan bersetuju, aduan

mengenai privasi yang diserahkan kepada Program Ombudsman

akan ditujukan kepada Pejabat Privasi untuk mendapatkan respons

nada), kemudian dail nombor bebas tol untuk Ombudsman.

Pos: United Technologies Corporation,

Attention: Ombudsman Program

10 Farm Springs Road, 10FS-2

Farmington, CT 06032-2526 USA

Pejabat

Privasi [email protected]

Ombudsman


Telefon: Dari dalam A.S., Kanada dan Puerto Rico,

hubungi 800.871.9065. Apabila membuat panggilan dari

luar A.S., anda mesti mendail kod akses AT&T Direct

dahulu yang diberikan di sini. Dengarkan prom (suara

atau nada), kemudian dail nombor bebas tol untuk

Ombudsman.

Pos: United Technologies Corporation,

Attention: Ombudsman Program



Pejabat







dan penyelesaian.

c) Maklumat tambahan mengenai pengendalian aduan

Aduan dan keputusan audit yang mendedahkan kelemahan

struktur secara global akan ditangani oleh AGC DPS melalui

Jawatankuasa Penasihat Privasi untuk memastikan penyelesaian

global secara kerjasama dengan Kebakaran & Keselamatan UTC

EMEA BVBA (“UTC F&S”) dan Profesional Privasi tempatan.

UTC F&S terlibat dalam proses ini sebagai entiti utama untuk

Peraturan Korporat kita (“BCR”), seperti yang diterangkan dengan

lebih terperinci dalam Ekshibit 5.

Bila-bila masa aduan tidak dapat diselesaikan sehingga pengadu

berpuas hati, HR tempatan, ECO atau Profesional Privasi akan

melaporkan isu tersebut kepada AGC DPS. Bagi aduan berkaitan

BCR, AGC DPS akan memberitahu Kebakaran & Keselamatan

UTC EMEA BVBA (yang merupakan entiti utama untuk BCR

UTC) jika aduan tidak dapat diselesaikan melalui prosedur

pengendalian aduan yang ada.

UTC akan berusaha untuk memberikan respons awal dalam

tempoh lima hari kerja selepas menerima permintaan/aduan.

Bergantung pada kerumitan dan skop permintaan/aduan, tempoh

ini mungkin lebih lama, tetapi tidak harus melebihi satu bulan.

14. Pantau dan Audit: Naib Presiden UTC, Setiausaha dan Penasihat

Undang-Undang Bersekutu dan Pengarah UTC Worldwide, Audit

Dalaman, akan mentadbir program jaminan dan audit untuk

menilai pematuhan kepada Dasar ini oleh organisasi kakitangan

dan Perniagaan Kendalian. Program audit akan meliputi

pematuhan kepada dasar ini, termasuk BCR. Keputusan audit yang

meliputi audit pematuhan BCR akan disampaikan kepada AGC

DPS, yang, seterusnya, akan memberitahu Naib Presiden UTC,

Setiausaha dan Penasihat Undang-Undang Bersekutu, UTC F&S

dan Jawatankuasa Penasihat Privasi.

15. Penguatkuasaan: UTC akan menguatkuasakan Dasar ini dan

prosedur yang dikeluarkan untuk melaksanakannya. Kegagalan

untuk mematuhi Dasar ini atau prosedur yang melaksanakannya

mungkin boleh membawa kepada tindakan disiplin untuk pekerja.

UTC akan mewujudkan prosedur disiplin yang jelas, adil dan

konsisten di seluruh perusahaan.




D. TANGGUNGJAWAB

1. Pekerja UTC dan buruh pajak (cth., pekerja kontrak di tapak)

mesti mematuhi Dasar ini dan semua prosedur yang dikeluarkan

untuk melaksanakannya. Semua pekerja dan buruh pajak mesti

melindungi Maklumat Peribadi dan melaporkan sebarang Insiden

Pelanggaran Data yang diketahui atau disyaki dengan segera

seperti yang diarahkan dalam Pelan Tindak Balas Insiden

Pelanggaran Data, yang merupakan Ekshibit 4 dalam Manual

Dasar Korporat Seksyen 14.

2. Naib Presiden Kanan, Digital dan Ketua Pegawai Maklumat

(CIO) perlu bertanggungjawab untuk mengekalkan, memantau dan

menambah baik, seperti yang diperlukan, perlindungan teknikal,

fizikal, dan pentadbiran yang munasabah dan sesuai untuk

melindungi Maklumat Peribadi yang UTC kumpul, proses, dan

pindahkan melalui aset dan sistem teknologi maklumat. CIO akan

memastikan bahawa organisasi IT menerima latihan mengenai

Dasar ini, menyediakan maklumat dan nasihat tentang di mana

data disimpan, diproses, dan dipindahkan, dan secara aktif bekerja

untuk memastikan integrasi keperluan Dasar ini dalam reka

bentuk, pelaksanaan, penyelenggaraan dan penggunaan sistem dan

aset IT UTC. CIO akan memastikan bahawa AGC DPS

dimaklumkan mengenai prosedur untuk keselamatan data dan

tindak balas Insiden Pelanggaran Data. CIO juga mesti mengenal

pasti seseorang untuk berkhidmat dalam Jawatankuasa Penasihat

untuk mewakili IT.

3. Naib Presiden Kanan, Sumber Manusia & Organisasi (NPK

SM) hendaklah bertanggungjawab bagi melaksanakan prosedur

untuk memastikan bahawa semua Maklumat Peribadi yang

dikumpul, diproses, dan dipindahkan oleh SM hendaklah

dilakukan selaras dengan Dasar ini. NPK SM hendaklah juga

mengenal pasti seorang ahli untuk Jawatankuasa Penasihat Privasi

untuk mewakili SM. NPK Sumber Manusia akan memastikan

bahawa SM tempatan mengambil bahagian dalam latihan tahunan

dan memahami peranan mereka dalam menggalakkan pematuhan

Dasar ini.

4. Presiden bagi setiap Unit Perniagaan akan mewujudkan dan

mengekalkan program pematuhan privasi yang konsisten dengan

Dasar ini. Presiden akan mengekalkan pengawasan umum dan

tanggungjawab pengurusan bagi program pematuhan privasi dan

fungsi berkesan orang yang melaksanakannya untuk organisasi

mereka. Presiden akan memastikan setiap Unit Perniagaan




mempunyai

sekurang-kurangnya satu orang yang boleh berfungsi sebagai

Profesional Privasi, yang boleh memberikan panduan mengenai

Dasar ini dan keperluannya. Profesional Privasi boleh berkhidmat

dalam kapasiti sepenuh masa atau separuh masa dan boleh berada

dalam Undang-undang, SM, IT atau Etika dan Pematuhan. Setiap

Profesional Privasi mesti mengambil bahagian dalam latihan

tahunan berkaitan privasi yang disediakan oleh UTC dan mesti

mengambil bahagian dalam sekurang-kurangnya satu persidangan

atau seminar luar setiap dua tahun. Setiap Profesional Privasi juga

mesti berkhidmat dalam Jawatankuasa Penasihat. Presiden akan

memastikan identiti Profesional Privasi dikomunikasikan

secukupnya di seluruh perniagaan.

5. Penasihat Undang-Undang bagi setiap Unit Perniagaan akan

memastikan bahawa jabatan undang-undang mereka dilatih, dan

menyediakan bantuan dalam, merangka dan merundingkan

perjanjian yang diperlukan bagi melaksanakan Dasar ini, termasuk

perjanjian pemindahan data yang diperlukan untuk menyokong

pemindahan rentas sempadan Maklumat Peribadi.

6. Naib Presiden Unit Perniagaan untuk ITC, EH&S, Kewangan

dan Pengurusan Bekalan mesti memastikan bahawa fungsi

mereka mematuhi Dasar ini, melantik seseorang untuk berkhidmat

dalam Jawatankuasa Penasihat untuk organisasi mereka, dan

memastikan bahawa individu dalam fungsi mereka yang dikenal

pasti sebagai mengendalikan Maklumat Peribadi sebagai elemen

penting dalam pekerjaan mereka menerima latihan tahunan

tentang Dasar ini. Naib Presiden Pengurusan Bekalan juga akan

memastikan bahawa AGC DPS dirujuk dalam pembangunan terma

standard bagi kontrak dan keperluan Pembekal Perkhidmatan yang

dinyatakan di atas dipenuhi.

7. Pegawai Etika dan Pematuhan (PEP) akan membantu

pematuhan pada Dasar ini dan menjadi titik hubungan bagi komen

dan aduan berkaitan Dasar ini. PEP mesti berpengetahuan tentang

sumber yang tersedia di UTC untuk menangani isu privasi. PEP

mesti mengambil bahagian dalam latihan tahunan.

8. Pegawai Perlindungan Data akan dilantik apabila dikehendaki

oleh undang-undang yang terpakai. Peranan Pegawai Perlindungan

Data akan didefinisikan oleh

undang-undang yang terpakai.

9. Profesional Privasi akan bertanggungjawab untuk memberi




panduan mengenai pelaksanaan Dasar ini dan pemahaman dan

penyelidikan undang-undang tempatan yang berkenaan untuk

memastikan bahawa sebarang keperluan undang-undang tambahan

dipenuhi. Bagi mana-mana tapak di mana tidak ada Pegawai

Perlindungan Data, Profesional Privasi bertanggungjawab untuk

menyemak dan meluluskan borang Penilaian Kesan Privasi yang

mana bersesuaian yang diserahkan dari Perniagaan Kendalian

mereka yang ditetapkan. Profesional Privasi mesti menghadiri

persidangan luar mengenai perlindungan privasi/data sekurang-

kurangnya sekali setiap dua tahun dan mesti mengambil bahagian

dalam latihan UTC tentang Dasar ini.

10. Jawatankuasa Penasihat Privasi akan mengenal pasti isu privasi

dan keselamatan data yang memerlukan resolusi dan akan

menasihati AGC DPS mengenai penggunaan dan penambahbaikan

Dasar ini serta prosedur yang digubal untuk melaksanakannya

untuk memastikan bahawa Dasar dan prosedur adalah berkesan

dan cekap.

11. Audit Dalaman UTC akan mengaudit fungsi dan Perniagaan

Kendalian untuk memastikan pematuhan pada Dasar ini.

12. Penasihat Undang-undang Bersekutu, Privasi dan

Keselamatan Data UTC (AGC DPS) akan menggunakan Dasar

ini dan memastikan bahawa ia adalah dilaksanakan dengan

berkesan dan cekap. AGC DPS juga akan bertanggungjawab untuk

latihan dan kempen kesedaran mengenai privasi data dan untuk

menyokong Profesional Privasi dan memastikan mereka dilatih, di

samping menggalakkan kewujudan dan tujuan keperluan privasi

data sebagai tambahan pada keperluan asas bagi melindungi

maklumat pemilik. AGC DPS akan mengekalkan templat Notis

Privasi Dalam Talian (Ekshibit 3) dan templat terma dan syarat

data privasi Pembekal Perkhidmatan dan menyemak pengecualian

pada templat tersebut. AGC DPS mesti berunding dengan IT

mengenai Insiden Pelanggaran Data dan Keselamatan IT berkaitan

dengan Maklumat Peribadi.

13. Naib Presiden, Setiausaha dan Penasihat Undang-Undang

Bersekutu UTC akan menyelia penyebarluasan dan pelaksanaan

Dasar ini dan program yang digunakan untuk melaksanakannya.

14. Pejabat Privasi terdiri daripada AGC DPS, Profesional Privasi

dan mana-mana Pegawai Perlindungan Data yang dilantik, serta

mana-mana kakitangan tambahan yang dilantik oleh Unit

Perniagaan atau Pejabat Korporat. Pejabat Privasi menyertai PAC,




menjawab dan menyelesaikan apa-apa komen atau aduan yang

dikemukakan kepada Pejabat Privasi atau kakitangan Ombudsman

dan membantu ECO menjawab dan menyelesaikan apa-apa komen

atau aduan yang diserahkan kepada pasukan ECO.

E. RUJUKAN

Kod Etika UTC

Manual Dasar Korporat Seksyen 14 – Maklumat Pemilik

Manual Dasar Korporat Seksyen 37 – Media Sosial

Manual Dasar Korporat Seksyen 46 – Mengekalkan Rekod and Data

Indeks kepada Dasar, Prosedur dan Standard IT

Notis Privasi HIPAA UTC

Notis Privasi Pekerja UTC

F. SEMAKAN

Dasar ini akan disemak oleh Naib Presiden, Setiausaha dan Penasihat

Undang-Undang Bersekutu UTC pada selang 2 tahun setelah ia

diterbitkan, dan lebih kerap seperti yang ditentukan oleh perubahan

keperluan undang-undang. UTC akan memberitahu pekerja tentang

sebarang perubahan penting dan menyiarkan kemas kini berkaitan dengan

notis yang diperlukan.

http://ethics.utc.com/Code%20of%20Ethics/coe_english.pdf

http://ethics.utc.com/_layouts/WordViewer.aspx?id=/Corporate%20Policy%20Manual/en_section_37.docx&Source=http://ethics.utc.com/SitePages/UTC_Corporate_Policy_Manual.aspx?Paged=TRUE&p_SortBehavior=0&p_FileLeafRef=en%5fsection%5f26%2edocx&p_ID=26&PageFirstRow=31&FilterField1=Language&FilterValue1=English%20%2D%20English&&&View=%7B028BEA99-B42B-4446-95AF-DEEA3DE00047%7D&DefaultItemOpen=1

http://ethics.utc.com/_layouts/WordViewer.aspx?id=/Corporate%20Policy%20Manual/en_section_37.docx&Source=http://ethics.utc.com/SitePages/UTC_Corporate_Policy_Manual.aspx?Paged=TRUE&p_SortBehavior=0&p_FileLeafRef=en%5fsection%5f26%2edocx&p_ID=26&PageFirstRow=31&FilterField1=Language&FilterValue1=English%20%2D%20English&&&View=%7B028BEA99-B42B-4446-95AF-DEEA3DE00047%7D&DefaultItemOpen=1

http://ethics.utc.com/Corporate%20Policy%20Manual/en_section_46.docx

http://uusnww2b.corp.utc.com/ePolicy/Home.aspx

http://www.utc.com/Careers/Documents/HIPAA%20Privacy%20Notice/English.pdf

http://ethics.utc.com/Pages/Privacy.aspx



EKSHIBIT 1 - DEFINISI

“Sekutu Perniagaan” adalah orang atau entiti yang melakukan fungsi atau perkhidmatan tertentu

untuk atau bagi pihak Perniagaan Kendalian yang merupakan Entiti Dilindungi, di mana fungsi atau

perkhidmatan tersebut melibatkan penciptaan, penerimaan, pengekalan atau penghantaran Maklumat

Kesihatan Dilindungi. Terma termasuk, contohnya, pembekal perkhidmatan yang mencipta,

menerima, mengekalkan atau menghantar Maklumat Kesihatan Dilindungi bagi tujuan membantu

pemprosesan atau pentadbiran tuntutan insurans kesihatan atau hilang upaya, analisis data,

pemprosesan atau pentadbiran, semakan penggunaan, jaminan kualiti, pengebilan, pengurusan

manfaat, pengurusan amalan, atau pembekal perkhidmatan undang-undang, aktuari, perakaunan,

perundingan, pengagregatan data, pengurusan, pentadbiran, akreditasi, atau perkhidmatan kewangan

di mana penyediaan perkhidmatan melibatkan pendedahan kepada Maklumat Kesihatan Dilindungi.

Akta Kemudahalihan dan Akauntabiliti Insurans Kesihatan Amerika Syarikat (“HIPAA”)

mendefinisikan Sekutu Perniagaan dalam 45 C.F.R. § 160,103 (dan definisi tersebut mengawal

sehingga ke tahap di mana ia bercanggah dengan yang ini). Orang atau entiti (termasuk Perniagaan

Kendalian) yang merupakan subkontraktor Sekutu Perniagaan juga didefinisikan sebagai Sekutu

Perniagaan di bawah HIPAA jika subkontraktor tersebut melakukan fungsi atau perkhidmatan untuk

atau bagi pihak Sekutu Perniagaan yang melibatkan penciptaan, penerimaan, pengekalan atau

penghantaran Maklumat Kesihatan Dilindungi.

“Maklumat Hubungan Perniagaan” termasuk nama, telefon perniagaan, alamat perniagaan, dan

e-mel perniagaan untuk individu apabila digunakan dalam kapasiti kerja seseorang. Di kebanyakan

negara, Maklumat Hubungan Perniagaan dilindungi dan Dasar ini menganggap ia sebagai Maklumat

Peribadi.

“Unit Perniagaan” bermaksud segmen utama UTC, yang boleh berubah dari semasa ke semasa,

dan pada masa ini terdiri daripada Iklim, Kawalan & Keselamatan UTC, Otis, Pratt & Whitney,

Sistem Ruang Aeroangkasa UTC, Pusat Penyelidikan UTC dan Pejabat Korporat UTC.

“Entiti Dilindungi” adalah penyedia pelan insurans kesihatan, pusat penjelasan insurans kesihatan,

atau pembekal penjagaan kesihatan yang menghantar maklumat tertentu (seperti tuntutan atau

pembayaran) secara elektronik. HIPAA hanya terpakai kepada entiti yang beroperasi di Amerika

Syarikat. UTC dan subsidiari dan anak syarikatnya adalah Entiti Dilindungi jika mereka

menginsuranskan diri atau menyediakan perkhidmatan penjagaan kesihatan dari mana tuntutan,

pembayaran, atau maklumat rujukan dihantar secara elektronik. Akta Kemudahalihan dan

Akauntabiliti Insurans Kesihatan Amerika Syarikat (“HIPAA”) mendefinisikan Sekutu Perniagaan

dalam 45 C.F.R. § 160.103 (dan definisi tersebut mengawal hingga ke tahap di mana ia bercanggah

dengan yang ini).

“Insiden Pelanggaran Data” didefinisikan dalam Ekshibit 4 dalam Manual Dasar Korporat

Seksyen 14.

“Perniagaan Kendalian” bermaksud segmen perniagaan, unit dan bahagian UTC, dan semua entiti

operasi lain di mana sahaja ia berada (termasuk usaha sama terkawal, perkongsian dan urusan

M A N U A L D A S A R K O R P O R A T



perniagaan yang lain di mana UTC mempunyai sama ada kepentingan kawalan atau kawalan

pengurusan yang berkesan), selain Pejabat Korporat.

“Maklumat Peribadi” bermaksud maklumat yang berkaitan dengan orang yang dikenal pasti atau

boleh dikenal pasti secara semula jadi. Ini merupakan apa-apa maklumat yang berkaitan dengan

orang sebenar, yang dikenal pasti atau boleh dikenal pasti, secara langsung atau tidak langsung,

terutamanya melalui rujukan kepada pengecam, seperti nombor pengenalan, nama atau satu atau

lebih faktor yang khusus kepada identiti fizikal, fisiologi, mental, ekonomi, budaya atau sosial

seseorang. Sama ada individu boleh dikenal pasti bergantung pada cara yang berkemungkinan akan

digunakan oleh UTC atau orang lain untuk mengenal pasti individu tersebut. Apabila langkah-

langkah ini tidak berkemungkinan akan digunakan atau pengenalpastian tidak mungkin dapat

dilakukan, data tersebut adalah tanpa nama dan tidak diliputi oleh CPM 24. Terma termasuk

Maklumat Peribadi Sensitif. Maklumat Peribadi termasuk maklumat yang dikumpul, diproses,

dan/atau dipindahkan tanpa mengira medium, termasuk tetapi tidak terhad pada salinan cetak,

elektronik, rakaman video dan rakaman audio.

“Maklumat Kesihatan Dilindungi” atau “PHI” adalah terma unik untuk HIPAA, dan bermakna

semua Maklumat Kesihatan Boleh Dikenal pasti dipegang atau dihantar oleh Entiti Dilindungi,

dalam sebarang bentuk atau media, sama ada elektronik, kertas, atau lisan. “Maklumat Kesihatan

Individu Boleh Dikenal Pasti” adalah maklumat, termasuk data demografi, yang berkaitan dengan

masa lalu individu, keadaan kesihatan fizikal atau mental kini atau masa hadapan; penyediaan

penjagaan kesihatan kepada individu; atau masa lalu, sekarang, atau bayaran masa depan bagi

menyediakan penjagaan kesihatan kepada individu, dan yang mengenal pasti individu atau di mana

terdapat asas yang munasabah untuk mempercayai ia boleh digunakan untuk mengenal pasti

individu. Maklumat Kesihatan Individu Boleh Dikenal Pasti termasuk banyak pengecam biasa

(cth., nama, alamat, tarikh lahir, Nombor Keselamatan Sosial, dll.).

“Maklumat Peribadi Sensitif” adalah subset Maklumat Peribadi dan bermaksud maklumat yang

berhubungan dengan orang yang dikenal pasti atau boleh dikenal pasti yang melibatkan: asal-usul

bangsa atau etnik; pendapat politik; kepercayaan agama atau falsafah; keahlian kesatuan sekerja;

kesihatan; pilihan seksual; kehidupan seks; atau perlakuan atau dakwaan pelakuan sebarang jenayah

dan penalti yang mungkin.

“Pembekal Perkhidmatan” maksudnya mana-mana entiti atau orang yang memproses atau

sebaliknya diberikan akses kepada Maklumat Peribadi yang diproses oleh UTC melalui penyediaan

perkhidmatan terus kepada UTC.

“Pihak Ketiga” ialah individu atau entiti, selain daripada Perniagaan Kendalian dan pekerja mereka,

dan Pembekal Perkhidmatan.


E K S H I B I T 2 : P E N I L A I A N K E S A N P R I V A S I

Arahan: Jawab semua soalan menggunakan definisi yang diberikan dalam Ekshibit 1 hingga CPM 24. Untuk

soalan mengenai bila borang ini mesti dilengkapkan, rujuk kepada seksyen C.9 CPM 24. Setelah selesai, borang

ini hendaklah disemak dan diluluskan oleh Pegawai Perlindungan Data anda (jika ada satu di tapak anda),

Profesional Privasi yang ditetapkan, atau, jika tidak tersedia, Penasihat Undang-Undang Bersekutu, Privasi Data

dan Keselamatan UTC. Selepas semakan ini selesai, borang mesti dihantar melalui e-mel ke

[email protected].



Item Soalan Jawapan

1

Apakah nama orang yang melengkapkan borang ini dan tarikh ia

dilengkapkan? Borang ini hendaklah dilengkapkan oleh orang yang mempunyai

pengetahuan tentang maklumat apa yang akan dikumpul dan bagaimana ia akan

digunakan, seperti pengurus projek atau pemilik bagi proses yang sedang diubah.

Nama:

Tarikh:

Perniagaan/Tapak:

2

Apakah sistem baharu atau diubah suai, pembekal perkhidmatan atau

produk, teknologi atau perkhidmatan yang terlibat? Kenal pasti alat, projek,

syarikat, produk, perkhidmatan atau teknologi yang diliputi oleh borang ini.

Dengan kata lain, jika seseorang mahu kembali ke masa yang lalu untuk

menentukan sama ada borang telah dilengkapkan untuk projek ini, apakah yang

akan kita panggilnya? Borang tersebut boleh meliputi sekumpulan

projek/pembekal jika anda dapat menjawab soalan dengan tepat dan sepenuhnya

untuk setiap item yang diliputi. Pastikan untuk menyertakan semua nama yang

mungkin digunakan untuk projek itu supaya kita dapat mengikuti

perkembangannya.

3

Adakah sistem baharu atau yang diubah suai, pembekal perkhidmatan atau

produk, teknologi atau perkhidmatan mengumpul, menggunakan atau

memindahkan Maklumat Peribadi? “Maklumat Peribadi” ditakrifkan sebagai

maklumat yang berkaitan dengan orang hidup yang dikenal pasti atau boleh

dikenal pasti. Untuk maklumat tambahan, semak Ekshibit 1 hingga CPM 24.

☐ Ya

☐ Tidak

Jika Tidak, maka anda tidak perlu

melengkapkan borang ini.

Jika ya, bila-bila masa kami penyediakan

Maklumat Peribadi kepada Pembekal

Perkhidmatan, mesti terdapat terma kontrak

yang melindungi Maklumat Peribadi. Terma

standard UTC mesti digunakan atau anda

mesti mendapat kelulusan daripada

Profesional Privasi yang ditetapkan atau

Penasihat Undang-Undang, Privasi Data dan

Keselamatan UTC.

4

Apakah tujuan sistem, pembekal perkhidmatan, produk, teknologi atau

perkhidmatan? Pastikan untuk memberikan penerangan yang lengkap mengenai

apa yang akan dilakukan oleh produk, perkhidmatan, sistem, alat atau pembekal

perkhidmatan yang baharu atau perubahan tersebut. Kemukakan sebab kita

melakukan projek itu, tujuannya dan penerangan umum supaya orang yang

menyemak borang tersebut akan memahami kemunasabahan jawapan kepada

semua soalan lain dalam PIA.








[email protected].



Item Soalan Jawapan

5

Apakah Maklumat Peribadi yang sistem, pembekal perkhidmatan, produk,

teknologi atau perkhidmatan kumpul atau proses? Pastikan anda berfikir

dengan mendalam. Nama, maklumat kenalan, imej video dan rakaman audio,

maklumat lokasi dan banyak unsur data lain mungkin Maklumat Peribadi

(didefinisikan dalam Ekshibit 1 hingga CPM 24). Jika anda perlukan panduan

tentang apa merupakan atau bukan merupakan Maklumat Peribadi, sila

berunding dengan Profesional Privasi anda atau Pegawai Perlindungan Data yang

ditetapkan.

6

Adakah sistem, pembekal perkhidmatan, produk, teknologi atau

perkhidmatan akan mengumpul atau memproses Maklumat Peribadi

Sensitif, nombor pengenalan yang dikeluarkan oleh kerajaan, Maklumat

Kesihatan Dilindungi, atau maklumat kewangan (seperti gaji, maklumat

pampasan, data pembayaran atau nombor kad kredit atau akaun bank)?

“Maklumat Peribadi Sensitif” ialah Maklumat Peribadi yang melibatkan: asal-

usul bangsa atau etnik; pendapat politik; kepercayaan agama atau falsafah;

keahlian kesatuan sekerja; kesihatan; pilihan seksual; kehidupan seks; atau

perbuatan melakukan atau dakwaan perbuatan melakukan sebarang jenayah. Jika

ya kepada Maklumat Peribadi Sensitif, pastikan Maklumat Peribadi Sensitif yang

dikumpul dalam talian dilakukan hanya dengan persetujuan individu yang jelas

yang dikehendaki oleh undang-undang, melalui pendekatan pilih masuk yang

bermakna, dan sewajarnya dilindungi daripada penggunaan yang tidak betul.

Soalan ini turut bertanya tentang nombor pengenalan kerajaan dan maklumat

kewangan (gaji, maklumat pampasan, data pembayaran atau nombor akaun bank

dan nombor kad kredit) kerana mungkin terdapat keperluan tambahan. Bagi

mereka di Amerika Syarikat yang berurusan dengan Maklumat Kesihatan

Dilindungi, anda perlu mengambil kira keperluan HIPAA.

☐ Tiada apa-apa maklumat terlibat

☐ Ya, yang berikut terlibat (pilih semua

yang berkenaan dan tandakan sifat data di

bawah):

☐ Maklumat Peribadi Sensitif

☐ Nombor Pengenalan Yang Dikeluarkan

Oleh Kerajaan

☐ Maklumat Kesihatan Dilindungi

☐ Maklumat Kewangan

☐ Jika anda tandakan ya, sila nyatakan

unsur data tersebut:

Klik di sini untuk memasukkan teks.

7

Untuk siapakah Maklumat Peribadi dikumpulkan atau diproses? Adakah

projek ini akan melibatkan pekerja sahaja? Kontraktor? Pelanggan? Kakitangan

vendor, pembekal atau rakan kongsi lain? Lain-lain? Ia tidak penting sama ada

kita mengumpulkan maklumat terus daripada individu; kita perlu memahami

jenis orang yang maklumat mereka kita gunakan.

Sila pilih semua yang berkaitan:

☐ Pekerja

☐ Kontraktor (buruh khidmat luaran)

☐ Pelanggan runcit

☐ Kakitangan pelanggan perniagaan

☐ Kakitangan rakan kongsi, seperti vendor,

pembekal atau pembekal perkhidmatan

☐ Lain-lain, sila nyatakan:









[email protected].



Item Soalan Jawapan

8

Bagaimana Maklumat Peribadi akan dikumpul? Adakah individu

menyediakannya secara langsung? Adakah maklumat akan diperoleh dari

pangkalan data yang sedia ada? Adakah pihak ketiga - syarikat lain atau orang

lain - dihubungi untuk memberikan maklumat tentang individu? Dengan medium

apakah Maklumat Peribadi akan dikumpul - cth., dalam talian, mel, telefon?

Apakah Maklumat Peribadi (jika ada) yang akan diberikan oleh entiti UTC?

9

Bagi individu di negara apakah maklumat akan dikumpul atau diproses? Pertimbangkan lokasi orang, walaupun jika kita tidak mengumpulkan maklumat

terus daripada individu. Keperluannya berbeza berdasarkan lokasi individu yang

Maklumat Peribadi mereka anda kumpul dan/atau proses. Orang yang menyemak

borang anda akan memberitahu anda tentang sebarang keperluan tambahan.

10

Siapakah yang akan menyimpan maklumat peribadi? Apakah syarikat yang

akan menempatkannya (jika UTC, entiti UTC yang mana)? Adakah Pihak Ketiga

akan menyimpan Maklumat Peribadi? Jika pembekal perkhidmatan menyimpan

Maklumat Peribadi, adakah mereka menyimpannya di tempat mereka atau

menggunakan khidmat luaran?

11

Di manakah Maklumat Peribadi akan disimpan? Adakah ini satu-satunya

lokasi untuk simpanan? Jika maklumat dikumpul dari sebuah negara dalam

Kawasan Ekonomi Eropah (“EEA”) dan dihantar ke negara lain di luar EEA,

UTC perlu memastikan bahawa penerima terletak di sebuah negara yang telah

dianggap oleh EU telah mempunyai perlindungan data privasi yang “mencukupi”

atau perlindungan lain adalah tersedia. Keperluan ini wujud di negara lain yang

tertentu di luar EEA juga, seperti Israel. Amerika Syarikat telah tidak dianggap

mencukupi. Jika menghantar data dari satu negara ke negara lain, anda perlu

berbincang dengan Profesional Privasi anda atau Pegawai Perlindungan Data

untuk menentukan sama ada Perjanjian Pemindahan Data diperlukan dan sama

ada notis kepada satu atau lebih agensi kerajaan diperlukan. (Walaupun tidak

terdapat pemindahan rentas sempadan, kita masih memerlukan terma kontrak

untuk menangani isu pemprosesan jika Maklumat Peribadi dikongsi dengan entiti

lain.)

12

Bagaimanakah data akan dijamin selamat? Berikan penerangan peringkat

tinggi. Adakah maklumat akan disulitkan? Jika tidak, mengapa tidak? Apakah

langkah keselamatan yang lain akan terlibat? Jika data dipindahkan, adakah ia

akan disulitkan semasa pemindahan? Jika tidak, mengapa tidak?

http://www.efta.int/eea








[email protected].



Item Soalan Jawapan

13

Adakah proses Penilaian Pihak Ketiga Keselamatan IT UTC (dahulunya

dikenali sebagai IT-08-622) telah dimulakan atau dilengkapkan? ☐ Ya

☐ Tidak – Keselamatan IT mengesahkan

bahawa ia tidak diperlukan atau tiada

pembekal perkhidmatan terlibat

☐ Belum lagi – Saya memahami bahawa

saya tidak boleh menerima kelulusan PIA ini

sehingga proses Semakan Pihak Ketiga

Keselamatan IT telah dimulakan

14

Bagaimanakah Maklumat Peribadi akan digunakan? Pastikan anda berfikir

tentang semua kemungkinan sebab yang Maklumat Peribadi boleh digunakan,

memandangkan Maklumat Peribadi hanya boleh digunakan atas sebab yang

telah dinyatakan pada Notis Privasi (dengan pengecualian tertentu yang kecil).

Adakah pengurusan akan memerlukan akses kepada data? Adakah pengawal

selia kerajaan akan meminta data? Apakah data digunakan untuk semua jenis

laporan? Adakah maklumat akan digunakan untuk menghubungi individu?








[email protected].



Item Soalan Jawapan

15

Apakah asas perundangan bagi pengumpulan dan penggunaan Maklumat

Peribadi? Untuk mengumpul Maklumat Peribadi, mesti ada asas

undang-undang. Kenal pasti asas yang boleh digunakan.

☐ Individu yang data peribadi adalah

mengenainya telah bersetuju dengan

pemprosesan. Asas ini hendaklah jarang

digunakan, kerana ia mungkin tidak

mencukupi mengikut undang-undang.

Syarikat tidak boleh bersetuju untuk

pekerjanya (kebenaran mestilah daripada

individu), kita tidak boleh mendapatkan

kebenaran daripada pekerja kita kecuali

aktiviti bukan diperlukan atau sebahagian

penting pekerjaan, dan kebenaran hanya sah

jika ia boleh ditarik balik.

☐ Pemprosesan adalah perlu bagi kontrak

yang mana individu masuk atau kerana

individu telah meminta untuk sesuatu

dilakukan. Ingat bahawa permintaan itu

mestilah daripada individu dan bukan

majikan mereka.

☐ Pemprosesan adalah perlu kerana obligasi

undang-undang Kesatuan Eropah yang boleh

digunakan terus kepada entiti undang-undang

yang menggunakan Maklumat Peribadi. Jika

kewajipan undang-undang adalah untuk

negara di luar EU atau tidak terpakai

langsung, pilihan faedah yang sah di bawah

mungkin terpakai.

☐ Kami mempunyai kepentingan yang sah

(keperluan perniagaan yang munasabah)

untuk memungut dan/atau menggunakan

Maklumat Peribadi yang mengatasi

kepentingan privasi individu. (Ini merupakan

pilihan yang paling biasa dan digunakan

dalam majoriti kes.) Jika ya, nyatakan

keperluan perniagaan yang sah tersebut:









[email protected].



Item Soalan Jawapan

16

Bagaimana individu akan menerima notis mengenai pengumpulan

Maklumat Peribadi? Jika kita mengumpul Maklumat Peribadi secara langsung

daripada individu, maka secara amnya kita bertanggungjawab untuk memberikan

notis tentang apa yang dikumpul dan bagaimana ia akan digunakan. Bagi

pekerja, rujukan kepada Notis Privasi Pekerja (tersedia di privacy.utc.com dalam

berbilang bahasa) selalunya mencukupi. Bagi orang lain, rujukan kepada Notis

Privasi Umum (tersedia di www.utc.com dalam bahasa Inggeris sahaja) mungkin

mencukupi. Selain itu, templat notis privasi dalam talian terkandung dalam

Ekshibit 3 hingga CPM 24. Jika Pihak Ketiga mengumpul Maklumat Peribadi

(atau telah mengumpulnya), maka kita perlu memastikan bahawa pihak yang satu

lagi mempunyai atau akan menyediakan notis.

17

Bolehkah anda mengesahkan bahawa Notis Privasi berkenaan mengenal

pasti semua elemen data yang dikenal pasti dalam item 5 dan kegunaan

yang dikenal pasti dalam item 14?

☐ Ya

☐ Tidak

Jika Tidak, notis ini perlu diubah suai

sebelum anda boleh meneruskan.

18

Siapa akan mempunyai akses kepada Maklumat Peribadi? Mengapa? Soalan

ini tidak mencari individu tertentu, tetapi peranan atau jenis Pihak Ketiga.

Sebagai contoh, maklumat yang akan dikongsi dengan orang yang bekerja di

Penggajian untuk membenarkan pemprosesan gaji. Akses mesti dihadkan

kepada hanya mereka yang mempunyai keperluan perniagaan yang sah.

19

Adakah data akan dikongsi dengan mana-mana entiti undang-undang

selain daripada yang mengisi borang ini atau mana-mana pembekal

perkhidmatan yang telah dikenal pasti di atas bagi memberi respons kepada

item 2?

☐ Ya – sila nyatakan:


☐ Tidak

20

Bolehkah anda mengesahkan bahawa Notis Privasi untuk sistem ini atau

menangani pengumpulan data untuk pembekal perkhidmatan ini meliputi

semua penerima yang dikenal pasti dalam butiran 2, 18 dan 19?

☐ Ya, ia meliputi mereka semua atau tiada

yang dikenal pasti

☐ Tidak, ia tidak meliputi mereka semua

Jika Tidak, notis ini perlu diubah suai

sebelum anda boleh meneruskan.

http://www.utc.com/








[email protected].



Item Soalan Jawapan

21

Di negara manakah orang akan mempunyai akses? Jika Pihak Ketiga akan

mempunyai akses di negara lain, itu dianggap pemindahan. Jika maklumat

dikumpul dari sebuah negara dalam Kawasan Ekonomi Eropah (“EEA”) dan

dihantar ke negara lain di luar EEA, UTC perlu memastikan bahawa penerima

terletak di sebuah negara yang telah dianggap oleh EU telah mempunyai

perlindungan data privasi yang “mencukupi” atau perlindungan lain adalah

tersedia. Keperluan ini wujud di negara lain yang tertentu di luar EEA juga,

seperti Israel. Amerika Syarikat telah tidak dianggap mencukupi. Jika

menghantar data dari satu negara ke negara lain, anda perlu berbincang dengan

Profesional Privasi anda atau Pegawai Perlindungan Data yang ditetapkan untuk

menentukan sama ada Perjanjian Pemindahan Data diperlukan dan sama ada

notis kepada satu atau lebih pengawal selia kerajaan diperlukan.

Jika senarai adalah panjang, pertimbangkan

untuk menyediakan melalui lampiran.

22

Adakah terdapat pelan pengekalan data bagi Maklumat Peribadi? Bilakah

UTC akan melupuskan data? UTC perlu memastikan bahawa terdapat rancangan

untuk melupuskan maklumat peribadi yang tidak lagi diperlukan, di samping

konsisten dengan sebarang obligasi undang-undang yang terpakai bagi

memelihara. Tempoh masa tertentu mesti dinyatakan; respons seperti “selagi

diperlukan oleh undang-undang” tidak mencukupi. Respons tersebut juga mesti

menyatakan cara Maklumat Peribadi akan dihapuskan apabila tempoh masa telah

tamat.

☐ Ya – sila nyatakan tempoh masa data

akan dikekalkan dan cara ia akan

dihapuskan:


☐ Tidak – Jika tidak, maka pelan mesti

dibangunkan sebelum anda boleh

meneruskan.

23

Adakah terdapat proses untuk memastikan bahawa Maklumat Peribadi

adalah seberapa tepat dan terkini yang boleh? Proses ini mungkin melibatkan

membolehkan individu untuk mengemas kini dan membetulkan maklumat

peribadi mereka, mengikut keperluan. Keperluan ini terpakai walaupun kita tidak

mengumpulkan data, tetapi hanya memprosesnya.

☐ Ya – sila nyatakan:


☐ Tidak – Jika tidak, maka proses mesti

dibangunkan sebelum anda boleh

meneruskan.

24

Apakah cara bagi seorang individu untuk menghubungi UTC untuk

membolehkan data diperbetulkan, dikemas kini atau dipadam atau untuk

membantah pemprosesan Maklumat Peribadinya? Undang-undang di

kebanyakan negara membenarkan individu membantah penggunaan Maklumat

Peribadi mereka. Selain itu, undang-undang dan juga amalan terbaik

menghendaki bahawa proses (seperti e-mel atau nombor telefon) disediakan

untuk individu menghubungi kita. Proses tersebut mesti termasuk rancangan

bagaimana untuk bertindak balas, termasuk dalam keadaan apakah kita akan

menolak permintaan tersebut.

25

Adakah terdapat keupayaan untuk memilih keluar daripada menyediakan

maklumat keseluruhan atau sebahagian? Jika seseorang memilih untuk

memilih keluar, apakah akibatnya?

☐ Ya – sila nyatakan (termasuk akibat bagi

memilih keluar):


☐ Tidak – jelaskan mengapa tidak:


http://www.efta.int/eea








[email protected].



Item Soalan Jawapan

26

Adakah sistem, produk, teknologi atau perkhidmatan melibatkan laman

web dalam talian menghadap ke luar boleh meletakkan kuki pada

komputer? Jika ya, apakah tujuan kuki dan apakah akibatnya jika seseorang

memilih untuk keluar daripada penempatan kuki? Laman web luaran ialah laman

web yang tersedia di luar rangkaian atau tembok api UTC.

☐ Ya dan laman web ini akan ditumpukan

ke arah individu termasuk di EEA, jadi saya

mengesahkan bahawa kami mempunyai

sepanduk kuki

☐ Ya, bagaimanapun laman web tidak

dimaksudkan untuk individu di EEA dan

notis privasi untuk laman web menunjukkan

dan menerangkan penggunaan kuki

☐ Tidak – tidak terdapat laman web

menghadap ke luar yang terlibat

☐ Tidak – terdapat laman web menghadap

ke luar untuk pengguna EEA, tetapi tidak

terdapat sepanduk kuki dan saya memahami

bahawa ini mesti diselesaikan sebelum saya

boleh menerima kelulusan

27

Adakah terdapat sebarang cara yang kurang mengganggu bagi mencapai

matlamat yang sama? Sebagai contoh, bolehkah UTC mengumpul kurang

Maklumat Peribadi? Jika maklumat peribadi dikongsi bersama dengan atau

disimpan oleh syarikat UTC selain daripada yang menggaji individu atau yang

mengumpulnya, bolehkah kita mencapai matlamat yang sama tanpa

memindahkan maklumat merentasi entiti yang sah? Jika Maklumat Peribadi

datang dari EEA ke lokasi di luar EEA (cth., Amerika Syarikat), adakah mungkin

untuk menyempurnakan objektif yang sama dalam EEA? Pengawal selia akan

mahu kita menggunakan pendekatan yang paling kurang mengganggu dan akan

menuntut keadaan yang luar biasa untuk menerangkan sebaliknya.

☐ Ya – sila nyatakan dan terangkan

mengapa pendekatan tidak digunakan:


☐ Tidak – jelaskan mengapa tidak:


28

Adakah sistem atau penyedia perkhidmatan melibatkan teknologi atau proses

yang mungkin dianggap sebagai mengganggu, yang, sebagai contoh, mungkin

termasuk pengesanan atau pemantauan atau penggunaan teknologi, seperti

biometrik, pengecaman wajah atau GPS? Bergantung pada keadaan, projek yang

dicadangkan mungkin dianggap mengganggu. Jika ya, anda akan perlu

membangunkan rancangan untuk menangani kebimbangan ini secara proaktif.

☐ Ya – sila nyatakan rancangan untuk

menangani sebarang kebimbangan yang

mungkin (termasuk penglibatan komunikasi):


☐ Tidak








[email protected].



Item Soalan Jawapan

29

Jika koleksi ini akan melibatkan pekerja dari Kawasan Ekonomi Eropah

(yang bagi tujuan UTC ialah Kesatuan Eropah di samping Norway), adakah

UTC telah menangani sebarang keperluan yang berkenaan untuk

berunding atau menyelaras dengan majlis kerja? Sebarang keperluan majlis

kerja perlu ditangani sebelum meneruskan.

☐ Ya – sila berikan butiran:


☐ TBD – mesti ditangani sebelum sebelum

kelulusan boleh diberikan

☐ Tidak diperlukan – jika anda memilih

pilihan ini, sila tandakan sebab pemberitahun

majlis kerja tidak diperlukan:

☐ Pekerja tidak terlibat

☐ Tiada pekerja EU terlibat

☐ IR HR telah mengesahkan bahawa

tidak ada keperluan majlis kerja

30

Siapakah yang akan memantau sistem atau perkhidmatan ini untuk

memastikan bahawa semua tanggungjawab dan janji dipenuhi dan

memastikan bahawa Penilaian Kesan Privasi selesai jika ada jawapan yang

berubah? Seseorang (melalui nama atau peranan) daripada UTC atau entiti BU

mesti dikenal pasti sebelum anda boleh meneruskan. Orang ini menyatakan

kesanggupannya untuk menyerahkan borang yang dikemas kini jika jawapannya

berubah.

Untuk dilengkapkan oleh Pegawai Perlindungan Data anda (jika ada satu untuk tapak anda), Profesional Privasi yang

ditetapkanl, atau, jika tiada tersedia, Penasihat Undang-Undang Bersekutu, Privasi dan Keselamatan Data UTC

Nama Penyemak:

Tarikh Disemak:

Adakah borang ini lengkap? Anda tidak boleh

memberikan kelulusan jika sebarang item material

hilang.

☐ Ya ☐ Tidak, jika benar kenal pasti item yang hilang: Klik di sini untuk memasukkan teks.

Adakah anda mengesahkan sama ada undang-undang tempatan yang berkenaan memerlukan sebarang keperluan tambahan? Anda tidak boleh memberi kelulusan tanpa menyemak keperluan tempatan.

☐ Ya, Saya telah mengesahkan dan tiada keperluan tambahan

☐ Ya, saya telah mengesahkan dan tiada keperluan tambahan yang telah

dilengkapkan semuanya

☐ Ya, saya telah mengesahkan dan terdapat keperluan tambahan, yang

disenaraikan di bawah di seksyen bawah

Jika pelan yang dicadangkan melibatkan Maklumat Peribadi pekerja, sudahkah anda

☐ Ya

☐ Tidak








[email protected].



mengesahkan bahawa ia adalah selaras dengan Notis Privasi pekerja?

☐ Tiada Maklumat Peribadi pekerja yang terlibat

Adakah sebarang susulan diperlukan? ☐ Ya

☐ Tidak

Jika susulan diperlukan, manakah yang berikut

diperlukan? ☐ Penjanjian Pemindahan Data diperlukan

☐ Notis bertulis mesti disediakan kepada individu

☐ Notis/Keizinan daripada majlis kerja diperlukan

☐ Pendaftaran/Notis kepada pengawal selia kerajaan diperlukan

☐Kelulusan pengawal selia kerajaan diperlukan

☐ Kelulusan Pegawai Perlindungan Data diperlukan (hanya apabila terdapat satu

di tapak)

☐ Kontrak untuk melindungi data yang diberikan kepada Pembekal

Perkhidmatan diperlukan

☐ Melengkapkan Semakan Pihak Ketiga Keselamatan IT

☐ Pelan pengekalan data perlu dibangunkan dan/atau dilaksanakan

☐ Lain-lain: (nyatakan) ___________________________

☐ Tiada tambahan diperlukan

Keputusan: ☐ Diluluskan – teruskan sekarang

☐ Diluluskan – teruskan sebaik sahaja penyelesaian item di atas didokumenkan

☐ Tidak diluluskan – jangan teruskan

☐ Tidak boleh diluluskan – borang masih belum lengkap

Apa-apa kelulusan adalah berdasarkan pemahaman saya bahawa tindakan yang berikut telah pun dilengkapkan:

☐ Penjanjian Pemindahan Data diperlukan

☐ Notis bertulis mesti disediakan kepada individu

☐ Notis/Keizinan daripada majlis kerja diperlukan

☐ Pendaftaran/Notis kepada pengawal selia kerajaan diperlukan

☐ Kelulusan pengawal selia kerajaan diperlukan

☐ Kelulusan Pegawai Perlindungan Data diperlukan (hanya apabila terdapat satu

di tapak)

☐ Kontrak untuk melindungi data yang diberikan kepada Pembekal

Perkhidmatan diperlukan

☐ Melengkapkan Semakan Pihak Ketiga Keselamatan IT

☐ Pelan pengekalan data telah dibangunkan dan/atau dilaksanakan

☐ Lain-lain: (nyatakan) ___________________________

☐ Tiada

Pengadaran Risiko GDPR: HANYA untuk projek yang melibatkan Maklumat Peribadi

☐ Risiko Rendah

☐ Risiko Sederhana








[email protected].



individu dari EU. Tandakan sama ada projek itu risiko rendah, sederhana atau tinggi, mempertimbangkan kesan terhadap hak privasi individu yang terlibat (ujian “seram”), kemungkinan penemuan pelanggaran oleh pengawal selia dan/atau tindakan undang-undang serta risiko pelanggaran (berbanding dengan projek lain, memandangkan sentiasa terdapat risiko pelanggaran). Sila maklum bahawa apa-apa projek yang mempunyai risiko TINGGI di mana risiko tersebut tidak dapat dikurangkan mesti memperoleh semakan pengawal selia.

☐ Risiko Tinggi:

☐ Pengurangan ada - nyatakan: Klik di sini untuk memasukkan teks.

☐ Pengurangan tidak mungkin – terangkan mengapa: Klik di sini untuk memasukkan teks.

☐ Tidak melibatkan Maklumat Peribadi individu dari EU

Komen (pilihan): Masukkan sebarang maklumat yang diperoleh dalam perbincangan susulan, isu yang ditangani atau diatasi hasil daripada perbincangan sedemikian atau komen yang lain.




Ekshibit 3: Templat Notis Privasi Dalam Talian Untuk Laman Web Menghadap Ke Luar

NOTIS PRIVASI

United Technologies Corporation dan anak syarikat dan sekutu (secara kolektif, “UTC”), termasuk

[masukkan nama syarikat UTC yang bertanggungjawab atas laman web atau memadam teks yang

diserlahkan], adalah bertanggungjawab untuk laman web ini [dan versi mudah alihnya]. UTC

komited untuk melindungi privasi pelawat ke laman web ini [dan aplikasi mudah alihnya / atau

“kedua-duanya”]. UTC telah melaksanakan langkah teknikal, pentadbiran dan fizikal untuk

melindungi maklumat peribadi yang kami ingin kumpulkan.

Notis Privasi ini menerangkan amalan kita berkaitan dengan maklumat peribadi yang dikumpulkan

melalui laman web dan aplikasi mudah alih UTC, melainkan terdapat notis privasi yang berasingan

untuk laman web atau aplikasi mudah alih tertentu.

[SETAKAT TERPAKAI, JUGA TERMASUK: UTC mempunyai Notis Dasar Am berasingan yang

meliputi maklumat peribadi yang UTC mungkin kumpul dan proses berasingan dan selain laman

web dan aplikasi mudah alihnya. Jika anda memohon pekerjaan melalui laman web ini, penggunaan

oleh UTC ke atas maklumat peribadi yang anda berikan melalui bahagian Kerjaya akan dikawal

oleh Notis Privasi Pemohon Kerjaya UTC dan bukannya Notis Privasi ini. Bagi individu di

Amerika Syarikat, UTC mempunyai Notis Privasi HIPAA dan Dasar Perlindungan Privasi untuk

Nombor Keselamatan Sosial.

Adakah Notis ini terpakai kepada semua Laman Web UTC?

Notis Privasi ini terpakai kepada semua pelawat ke laman web UTC yang berkait dengan Notis Privasi

ini. Laman web individu untuk entiti, perkhidmatan dan produk UTC mungkin mengamalkan notis

privasi yang berbeza kerana transaksi yang berlaku di laman web tersebut mungkin berbeza. Jika

sesuatu laman web UTC mempunyai notis privasinya sendiri, peruntukan notis itu terpakai untuk

laman web itu.]

Nota Pelaksanaan: Notis privasi dalam talian ini mesti disesuaikan untuk menangani perkara

yang diketengahkan, untuk menambah nama entiti (jika perlu), dan untuk memastikan bahawa

jawapan kepada soalan sepadan dengan aktiviti tertentu yang terlibat dalam laman web tertentu.

Jangan tinggalkan mana-mana bahagian (soalan) tanpa merujuk kepada Profesional Privasi anda,

kecuali dinyatakan sebaliknya. Pastikan notis dengan betul mengenal pasti entiti korporat yang

bertanggungjawab untuk notis dalam yang pertama dan skop notis. Juga, pastikan bahawa notis

diterjemahkan ke dalam bahasa yang ditutur oleh orang yang laman web tujukan. Sebarang

pertanyaan tentang penyesuaian atau penggunaan templat ini harus ditujukan kepada Profesional

Privasi anda. Pastikan anda memadam semua nota pelaksanaan dan menghapuskan semua

penyerlahan dalam versi akhir notis. Perubahan yang tidak substantif mungkin dibuat tanpa

kelulusan.

http://www.utc.com/Documents/UTC%20Privacy%20Notice%20%28non%20website%29%20072616.pdf

http://www.utc.com/Careers/Work-With-Us/Pages/default.aspx

http://www.utc.com/Careers/Documents/Application%20Privacy%20Notice/Applicant%20Privacy%20Notice%20%28English%29.pdf

http://www.utc.com/Careers/Documents/HIPAA%20Privacy%20Notice/English.pdf

http://www.utc.com/Documents/social_security_numbers.pdf

http://www.utc.com/Documents/social_security_numbers.pdf




Apakah maklumat peribadi yang UTC kumpul?

UTC memantau pola trafik pengguna di seluruh laman web mengikut nama domain pengguna, jenis

pelayar, tarikh dan masa akses, dan halaman yang dilihat. Pelayan web kami mengumpul nama

domain tetapi bukan alamat e-mel pelawat. Maklumat ini dikumpulkan untuk mengukur bilangan

pelawat ke laman web kami dan untuk menentukan kawasan di pengguna laman web dapati berguna

berdasarkan jumlah trafik ke kawasan tertentu. UTC menggunakan maklumat ini untuk

meningkatkan pengalaman pengguna di laman web dan untuk lebih baik menyediakan kandungan

masa depan berdasarkan kepentingan pengguna.

Pelawat ke laman web kami mungkin akan diminta untuk memberikan maklumat peribadi untuk

menerima jawapan atau beberapa perkhidmatan lain dari UTC. Maklumat peribadi yang anda

mungkin akan diminta untuk berikan termasuk nama, alamat e-mel, dan [NYATAKAN] anda.

Pengumpulan maklumat akan telus kepada anda - anda akan diminta untuknya dan akan mempunyai

peluang untuk memutuskan sama ada atau tidak untuk memberikannya. Jika anda memilih untuk

tidak memberikan sebarang maklumat peribadi yang diminta, UTC mungkin tidak dapat

menyelesaikan transaksi yang telah diminta.

Untuk menggunakan seksyen tertentu dalam laman web kami, anda perlu mendaftar. Jika anda

mendaftar, kami akan meminta anda memberikan [NYATAKAN – jika suatu senarai panjang,

pertimbangkan untuk menyisipkan senarai berbulet]. Anda tidak akan dapat mendaftar tanpa

memberikan maklumat tersebut. [Masukkan sebarang maklumat mengenai proses pendaftaran,

seperti maklumat yang opsyenal, atau memadam perenggan ini jika laman web tidak melibatkan

pendaftaran.]

Pembekal perkhidmatan mudah alih anda mungkin mempunyai pendirian privasi yang bercanggah

yang merakam maklumat peribadi apabila anda melawat laman web kami, tetapi UTC tidak

bertanggungjawab terhadap dan tidak mengawal cara pihak lain mungkin mengumpulkan maklumat

anda apabila anda mengakses laman web kami.

Bagaimanakah UTC menggunakan maklumat peribadi jika dikumpul?

Maklumat peribadi yang dikumpulkan hanya akan digunakan untuk:

menjalankan operasi perniagaan yang asas, seperti berkomunikasi dengan pelanggan dan

perancangan perniagaan;

menyediakan perkhidmatan pelabur;

memberi maklumat, item atau perkhidmatan yang anda minta;

berkomunikasi dengan anda tentang produk, perkhidmatan dan acara yang berkaitan dengan

UTC;

memperbaiki produk, perkhidmatan dan laman web kami;

menilai minat anda dalam dan/atau membenarkan anda untuk memohon pekerjaan dengan

UTC;




mengesahkan identiti anda untuk memastikan keselamatan untuk salah satu tujuan lain yang

disenaraikan di sini;

memastikan atau meningkatkan keselamatan sistem elektronik UTC;

melindungi daripada penipuan;

melindungi terhadap sekatan dan senarai anti keganasan seperti yang dikehendaki oleh

undang-undang;

memberi respons kepada permintaan undang-undang yang sah daripada pihak berkuasa

penguatkuasaan undang-undang atau pengawal selia kerajaan yang lain;

menyiasat aktiviti haram yang disyaki atau sebenar;

mengelakkan kecederaan fizikal atau kerugian kewangan;

menyokong penjualan atau pemindahan semua atau sebahagian daripada perniagaan atau aset

(termasuk melalui kebankrapan) kami; dan/atau

menjalankan siasatan untuk memastikan pematuhan dengan, dan mematuhi tanggungjawab

undang-undang.

Kecuali apabila digunakan untuk menyokong kontrak dengan anda atau untuk memenuhi obligasi

undang-undang, penggunaan maklumat peribadi anda oleh kami adalah bagi kepentingan perniagaan

yang sah sahaja seperti yang dinyatakan di atas.

Di manakah UTC menyimpan maklumat anda?

Kerana UTC adalah sebuah syarikat global dengan lokasi di negara yang berbeza, kita boleh

memindahkan maklumat anda dari satu entiti sah kepada yang lain atau dari satu negara ke negara

lain untuk mencapai tujuan yang disenaraikan di atas. Negara-negara ini termasuk, sekurang-

kurangnya, Amerika Syarikat, kebanyakan negara ahli Kesatuan Eropah, Kanada dan negara-negara

lain, termasuk beberapa negara di Asia. Kami akan memindahkan maklumat peribadi anda selaras

dengan keperluan undang-undang yang berkaitan dan hanya setakat yang perlu bagi tujuan yang

dinyatakan di atas.

UTC bergantung pada mekanisme undang-undang yang ada untuk membolehkan pemindahan

maklumat peribadi yang sah di sisi undang-undang merentasi sempadan. Setakat kebergantungan

UTC pada klausa kontrak standard (juga dikenali sebagai klausa model) atau Peraturan Korporat

Mengikat untuk membenarkan pemindahan, UTC akan mematuhi keperluan tersebut, termasuk

apabila mungkin terdapat percanggahan antara keperluan tersebut dengan Notis ini. Untuk membaca

Peraturan Korporat Mengikat UTC, klik di sini untuk memilih versi dalam Bahasa pilihan anda.

Adakah UTC menggunakan maklumat peribadi anda untuk menghubungi anda?

UTC mungkin menggunakan maklumat peribadi yang anda berikan untuk menghubungi anda

mengenai produk, perkhidmatan, promosi, tawaran istimewa, tinjauan dan maklumat lain yang

mungkin menarik minat anda. Jika anda lebih suka untuk tidak menerima komunikasi tersebut, sila

gunakan fungsi “berhenti melanggan” dalam laman web atau beritahu kami dengan menghantar

e-mel kepada [masukkan hubungan e-mel dan pautan]. Juga, UTC akan memastikan bahawa

sebarang komunikasi pemasaran yang dihantar secara elektronik akan menyediakan satu kaedah

http://www.utc.com/Pages/Privacy.aspx#bcr

http://www.utc.com/Pages/Contacts.aspx




yang mudah bagi anda untuk memilih keluar atau berhenti melanggan. Jika anda berhenti melanggan

komunikasi pemasaran, anda boleh terus menerima komunikasi mengenai akaun anda atau transaksi

dengan kami.

Adakah UTC berkongsi maklumat yang dikumpul?

UTC mungkin berkongsi Maklumat Peribadi anda dengan anak syarikat dan syarikat sekutu (“Kumpulan

UTC”). UTC tidak akan menjual atau berkongsi maklumat peribadi anda di luar Kumpulan UTC,

kecuali kepada:

pembekal perkhidmatan UTC telah dikekalkan untuk menjalankan perkhidmatan bagi pihak

kami. UTC hanya akan berkongsi maklumat peribadi anda dengan pembekal perkhidmatan

yang mana UTC telah secara kontrak disekat daripada menggunakan atau mendedahkan

maklumat itu kecuali sebagaimana yang perlu untuk melaksanakan perkhidmatan bagi pihak

kami atau untuk mematuhi keperluan undang-undang;

mematuhi undang-undang, termasuk tetapi tidak terhad kepada respons kepada permintaan

undang-undang yang sah daripada pihak berkuasa undang-undang, mahkamah atau pengawal

selia atau pihak berkuasa kerajaan yang lain;

menyiasat aktiviti haram yang disyaki atau sebenar;

mengelakkan kecederaan fizikal atau kerugian kewangan; atau

menyokong penjualan atau pemindahan semua atau sebahagian daripada perniagaan atau aset

(termasuk melalui kebankrapan).

Maklumat peribadi anda juga mungkin dikekalkan dan diproses oleh pembekal perkhidmatan kami

di negara-negara selain negara ia dikumpulkan, seperti Amerika Syarikat, negara ahli Kesatuan

Eropah, Kanada dan bidang kuasa lain.

Berapa lamakah UTC mengekalkan maklumat peribadi?

UTC akan mengekalkan maklumat peribadi selagi diperlukan untuk mematuhi obligasi kontraktual

dan undang-undangnya. Jika maklumat peribadi tidak tertakluk pada obligasi kontraktual atau

undang-undang, UTC akan mengekalkan data selagi diperlukan bagi tujuan asal ia dikumpulkan.

Bagaimanakah UTC menggunakan kuki atau teknologi pengesanan yang lain?

UTC mungkin menggunakan kuki di laman web ini. Kuki adalah fail teks kecil yang dihantar kepada

dan disimpan dalam komputer pengguna yang membenarkan laman web untuk mengenali pengguna

berulang, memudahkan akses pengguna ke laman web, dan membenarkan laman web untuk

menyusun data agregat yang akan membolehkan peningkatan kandungan Kuki tidak merosakkan

komputer atau fail pengguna. Jika anda tidak mahu kuki boleh diakses oleh ini atau mana-mana

laman web UTC lain, anda perlu melaras tetapan pada program pelayar anda untuk menafikan atau

menyahdaya penggunaan kuki.




Laman web ini juga boleh menggunakan bikon web. Bikon web biasanya piksel pada laman web

yang boleh digunakan untuk menjejak sama ada pengguna telah melawat laman web tertentu untuk

menyampaikan pengiklanan yang disasarkan. Bikon web digunakan dalam kombinasi dengan kuki,

yang bermaksud bahawa, jika anda mematikan kuki pelayar anda, bikon web tidak akan dapat

mengesan aktiviti anda. Bikon web masih akan mengira lawatan ke Lawan Web, tetapi maklumat

unik anda tidak akan direkodkan.

United Technologies juga mungkin menggunakan kuki dan teknologi yang sama yang diletakkan

oleh salah seorang rakan kongsi kami untuk membolehkan UTC untuk mengetahui iklan yang mana

membawa pengguna ke laman web kami. Untuk maklumat lanjut mengenai kuki dan teknologi

pengesanan yang lain, klik di sini.

Apa yang perlu anda faham tentang pautan pihak ketiga yang mungkin muncul di laman web ini?

Dalam keadaan tertentu, UTC boleh menyediakan pautan ke laman web yang bukan dikawal UTC,

yang UTC akan membuat usaha yang munasabah untuk mengenal pasti seperti itu. Walau

bagaimanapun, UTC tidak mengawal laman web pihak ketiga tersebut, dan tidak boleh

bertanggungjawab untuk kandungan atau amalan privasi yang digunakan oleh laman web lain.

Apakah maklumat tambahan yang harus diketahui oleh pengguna tertentu?

Ibu Bapa, Penjaga dan Kanak-kanak: Laman web ini adalah bertujuan untuk pelawat yang

berumur sekurang-kurangnya 18 tahun dan umur dewasa dalam bidang kuasa kediaman mereka.

UTC tidak secara sedar mendapatkan maklumat daripada, atau memasarkan produk atau perkhidmatan

kepada kanak-kanak. Jika anda tidak memenuhi syarat umur yang ditetapkan di atas, jangan

masukkan maklumat peribadi anda di sini atau mana-mana laman web UTC yang lain.

Pengguna dari California: Setiap tahun penduduk California boleh meminta dan mendapatkan

maklumat yang dikongsi oleh UTC dengan perniagaan lain untuk kegunaan pemasaran langsung

mereka sendiri dalam tahun kalendar sebelumnya (seperti yang didefiniskan oleh “Undang-undang

Shine the Light” California). Jika berkenaan, maklumat ini akan termasuk satu senarai kategori

maklumat peribadi yang dikongsi dan nama dan alamat semua pihak ketiga yang mana UTC

berkongsi maklumat ini dalam tahun kalendar yang sebelumnya. Untuk mendapatkan maklumat ini,

sila hantarkan mesej e-mel kepada [masukkan e-mel hubungan dengan hiperpautan] dengan

“California Shine the Light Privacy Request” dalam baris subjek dan juga dalam badan mesej anda.

Nota Pelaksanaan: Semua seksyen kecuali yang pertama boleh ditinggalkan jika ia tidak

berkaitan. Sebagai contoh, seksyen “Pengguna dari California” dan “Pengguna dari AS” boleh

ditinggalkan jika laman web adalah untuk entiti Jerman, dalam bahasa Jerman dan bertujuan

untuk pengguna di negara Jerman. Pastikan anda memadam nota ini dalam versi akhir dasar.

http://www.webopedia.com/TERM/W/Web_site.html

http://www.webopedia.com/TERM/C/cookie.html

http://www.allaboutcookies.org/





Pengguna dari Kesatuan Eropah: Anda berhak membuat aduan kepada pihak berkuasa

perlindungan data negara atau negeri anda, yang mungkin juga dikenali sebagai pihak berkuasa

penyeliaan. Anda juga berhak meminta akses kepada dan pembetulan atau pemadaman maklumat

peribadi anda, mendapatkan sekatan terhadap atau membantah pemprosesan maklumat peribadi

tertentu dan mendapatkan kemudahalihan data di bawah keadaan-keadaan tertentu. Untuk

menghubungi UTC mengenai permintaan untuk mengakses, membetulkan, memadam, membantah

atau mendapatkan sekatan atau kemudahalihan, sila gunakan kaedah hubungan yang dinyatakan di

bahagian hujung notis ini.

Pengguna dari Amerika Syarikat: UTC tidak mengumpul Nombor Keselamatan Sosial melalui

laman webnya. Walau bagaimanapun, UTC mengumpul Nombor Keselamatan Sosial apabila

diperlukan oleh undang-undang, seperti bagi tujuan cukai dan gaji untuk pekerjanya. Apabila UTC

mengumpul dan/atau menggunakan Nombor Keselamatan Sosial, UTC akan mengambil langkah

berjaga-jaga yang sewajarnya dengan melindungi kerahsiaan, mengehadkan akses berdasarkan

keperluan untuk mengetahui dan melaksanakan perlindungan teknikal dan pelan pengekalan yang

sesuai.

Bagaimana UTC mungkin mengubah polisi ini?

Sambil UTC mengembang dan memperbaiki laman web ini, kami mungkin perlu mengemas kini

dasar ini. Dasar ini boleh diubah suai dari semasa ke semasa tanpa notis terlebih dahulu. Kami

menggalakkan anda agar menyemak dasar ini dari semasa ke semasa untuk sebarang perubahan.

Perubahan substantif akan dikenal pasti di bahagian atas dasar.

Bagaimana anda boleh menghubungi UTC?

Jika anda ingin mengakses, membetulkan atau mengemas kini maklumat peribadi anda, jika anda

mempunyai sebarang komen atau soalan atau jika terdapat perkara lain yang boleh kita lakukan

untuk memaksimumkan nilai laman web kepada anda, sila e-mel [masukkan e-mel hubungan dengan

pautan]. Jika anda mempunyai soalan tentang amalan privasi UTC secara umum, sila e-mel

[email protected].


mailto:%[email protected]

mailto:%[email protected]




Ekshibit 4: Templat Notis Privasi Dalam Talian Bagi Laman Web Menghadap Ke Dalam dan

Aliran Kerja

PILIHAN 1

NOTIS PRIVASI: [Masukkan nama syarikat] meminta anda untuk memberikan maklumat peribadi

anda di [laman web/aliran kerja] ini. [laman web/aliran kerja] meminta [senarai semua elemen,

seperti “nama anda, e-mel, gelaran, penyelia, nombor telefon perniagaan, dan lokasi kerja anda”

Kenal pasti jika mana-mana elemen adalah opsyenal dan apa, jika ada, adalah akibat untuk tidak

memberikan maklumat]. Maklumat tersebut digunakan untuk: [masukkan semua tujuan yang mana

maklumat peribadi akan digunakan, seperti “(1) semak permintaan anda; (2) patuh dengan

tanggungjawab undang-undang yang terpakai; (3) pantau bajet dan perbelanjaan; (4) rancang untuk

masa depan; (5) melindungi dari penipuan dan risiko pematuhan yang lain, termasuk tanpa sekatan

menjalankan penyiasatan dalaman; (6) untuk memudahkan penjualan atau pemindahan beberapa

atau semua aset UTC; dan (7) menangani permintaan kerajaan atau mengemukakan tuntutan

undang-undang atau pertahanan.” Sentiasa masukkan item tiga yang terakhir.]. Maklumat yang

dikumpul mungkin dikongsi antara entiti UTC dan dengan pembekal perkhidmatan UTC, tetapi

hanya untuk tujuan yang dikenal pasti di sini. Bagi melengkapkan salah satu tujuan yang dikenal

pasti, UTC mungkin perlu untuk memindahkan maklumat yang diberikan kepada negara lain, tetapi

akan berbuat demikian dengan perlindungan yang sewajarnya. Untuk mengemas kini, membetulkan

atau mendapatkan akses yang munasabah kepada data peribadi anda, sila hubungi [masukkan e-mel

atau hubungan yang lain]. [Jika terdapat sebarang keupayaan untuk memilih keluar, maka tunjukkan.

Sebagai contoh: “Jika anda ingin memilih keluar daripada mempunyai maklumat hubungan yang

dikongsi dengan peserta persidangan yang lain, sila tandakan kotak di bawah.”] Untuk maklumat

lanjut mengenai bagaimana UTC mengendalikan maklumat peribadi anda, semak Manual Dasar

Korporat 24 atau e-mel [email protected].

PILIHAN 2 – boleh digunakan jika notis privasi yang dikenal pasti meliputi aktiviti

[Laman web/aliran kerja] ini adalah tertakluk pada Notis Privasi Pekerja UTC untuk maklumat

peribadi yang dikumpulkan daripada pekerja dan Notis Privasi Umum untuk maklumat peribadi

yang dikumpulkan daripada semua orang lain.


http://privacy.utc.com/Pages/Privacy-Notice.aspx

http://www.utc.com/Documents/UTC%20Privacy%20Notice%20(non%20website)%20072616.pdf




Barang Pamer 5: Peraturan Korporat yang Mengikat

Peraturan Korporat yang Mengikat

A. PENGENALAN

B. KEBOLEHGUNAAN

C. SKOP

D. POLISI

E. RUJUKAN

F. KAJIAN SEMULA

Diterbitkan: 15 Mei 2017

Kajian Semula Terakhir: 15 Mei 2017

Semakan Terakhir: 15 Mei 2017




A. PENGENALAN

B.

C. UTC menghormati kepentingan peribadi masyarakat yang daripadanya Maklumat Peribadi

Diproses, seperti pengarah, pegawai, pekerja, kontraktor, pelanggan, pembekal dan vendor.

D.

E. UTC telah menerima pakai Peraturan Korporat yang Mengikat ( “BCR”) untuk Maklumat

Peribadi Individu yang Diproses. UTC Fire & Security EMEA BVBA (“UTC F&S”)1

merupakan Gabungan Utama dan, dengan kerjasama Pejabat Korporat UTC (ibu pejabat U.S.),

bertanggungjawab dalam memperbaiki pelanggaran BCR.

F.

G. Bahan Pamer A memberikan definisi untuk terma dan akronim yang digunakan dalam BCR ini.

H.

I. UTC memindahkan Maklumat Peribadi termasuk maklumat sumber manusia (pekerja dan

buruh yang dipajak); maklumat hubungan perniagaan untuk pelanggan perniagaan, pembekal,

penjual, wakil jualan, dan rakan niaga yang lain; maklumat daripada pengguna produk UTC,

secara amnya maklumat waranti dan maklumat yang terhad, seperti nama dan alamat, kepada

pengguna yang mempunyai kontrak perkhidmatan dengan Perniagaan Operasi; maklumat

kepada pengunjung dan wakil jualan bukan kakitangan dan pengedar; dan maklumat yang

dikumpul mengenai penggunaan produk dan perkhidmatan Otis dan CCS oleh pengguna

produk dan perkhidmatan. Maklumat peribadi yang dipindahkan dalam UTC bergantung

kepada produk dan perkhidmatan yang diberikan dan sokongan yang diperlukan untuk

perkhidmatan atau projek tertentu. Sebahagian besar maklumat peribadi dipindahkan ke

Pejabat Korporat UTC, bertempat di Amerika Syarikat.

B. KEBOLEHGUNAAN

1. BCR ini adalah mandatori bagi Pejabat Korporat UTC dan Perniagaan Operasi yang telah

melaksanakan Perjanjian Intra-Group. Entiti ini perlu memastikan bahawa kakitangan

mereka mematuhi BCR apabila Memproses Maklumat Peribadi seseorang. UTC akan

mewujudkan kawalan yang jelas dan konsisten di seluruh perusahaan untuk

memastikan pematuhan kepada BCR.

2. Sekurang-kurangnya, UTC akan mematuhi semua undang-undang dan peraturan yang

berkaitan dengan perlindungan Maklumat Peribadi yang terpakai baginya di seluruh

dunia. Peruntukan undang-undang tempatan, peraturan dan sekatan lain yang terpakai

bagi UTC yang mengenakan tahap perlindungan data yang lebih tinggi perlu

mempunyai duluan dari BCR. Jika konflik undang-undang dengan BCR terjadi

disebabkan mungkin menghalang Pejabat Korporat UTC sama ada satu atau lebih

Perniagaan Operasi daripada memenuhi tanggungjawab mereka di bawah BCR dan

1 UTC Fire & Security EMEA BVBA, Kouterveldstraat 2, 1831 Diegem, Belgium.




mempunyai kesan yang besar kepada jaminan yang disediakan di dalamnya, entiti yang

berkenaan hendaklah dengan segera memberitahu Ketua Peguam Bersekutu UTC, Data

Privasi dan Keselamatan ( “AGC DPS”), kecuali jika memberikan maklumat itu adalah

dilarang oleh pihak berkuasa penguatkuasaan undang-undang atau undang-undang.

UTC AGC DPS, dengan kerjasama Jawatankuasa Penasihat Privasi dan entiti dan Unit

Perniagaan berkenaan, hendaklah menentukan tindakan yang patut diambil dan, dalam

hal keraguan, berunding dengan pihak berkuasa perlindungan data yang berwibawa.

3. BCR ini juga terpakai bagi perniagaan yang beroperasi dan kepada Pejabat Korporat

apabila mereka memproses maklumat peribadi seseorang bagi pihak entiti UTC yang

lain. Pemprosesan entiti mesti terikat dengan Fasal Pemprosesan Dalaman yang

dibentangkan dalam Carta B untuk BCR ini.

4. Sekiranya berlaku percanggahan antara BCR dan Manual Polisi Korporat Seksyen 24, BCR

ini diguna pakai untuk Maklumat Peribadi yang berasal secara langsung atau tidak

langsung daripada Kawasan Ekonomi Eropah atau Switzerland.

C. SKOP

D. BCR ini mentadbir Pemprosesan Maklumat Peribadi Individu oleh UTC di mana sahaja ,

kecuali (i) keperluan untuk mendapatkan kebenaran yang jelas untuk Maklumat Peribadi

Sensitif, (ii) peruntukan yang terkandung dalam Seksyen D.6, perenggan 1 hingga 6 mengenai

penguatkuasaan hak-hak individu dan jaminan, (iii) Seksyen B.4 berkaitan dengan

percanggahan di antara BCR dan Manual Korporat Seksyen 24, dan (iv) bahagian Seksyen D.1

(f) yang berhubungan dengan perkongsian data dengan penguatkuasaan undang-undang dan

pihak berkuasa , hendaklah hanya terpakai kepada Maklumat Peribadi yang berasal secara

langsung atau tidak langsung daripada Kawasan Ekonomi Eropah atau Switzerland.

E.

D. POLISI

1. Prinsip Privasi: Dalam semua aktiviti, UTC perlu:

a) Memproses Maklumat Peribadi secara adil dan sah

Maklumat peribadi individu akan diproses untuk tujuan yang dikenal pasti (1) atas

dasar persetujuan; (2) apabila dikehendaki atau dibenarkan oleh undang-undang di

negara asal, atau (3) untuk tujuan yang sah, seperti pengurusan sumber manusia,

interaksi perniagaan dengan pelanggan dan pembekal, dan ancaman kecederaan

fizikal.

Maklumat Peribadi Sensitif individu hanya akan diproses apabila: (1) diperlukan

oleh undang-undang di negara asal data; (2) dengan keizinan yang jelas daripada

Individu yang dibenarkan oleh undang-undang; atau (3) apabila perlu untuk

melindungi kepentingan perseorangan atau, aktiviti, atau pertahanan tuntutan

undang-undang oleh Pejabat Korporat atau Perniagaan Operasi.

Maklumat Peribadi individu tidak boleh diproses untuk sebarang tujuan yang tidak

sesuai kecuali dibenarkan di bawah salah satu daripada syarat yang ditetapkan

dalam perenggan yang sebelum ini sahaja, sebagai contoh, dengan mendapatkan

persetujuan baru.




b) Proses Maklumat Peribadi yang berkaitan sahaja

UTC perlu melaksanakan usaha yang munasabah untuk memastikan bahawa

Pemprosesan Maklumat Peribadi Individu 'adalah mencukupi, relevan dan tidak

berlebihan berhubung dengan maksud atau maksud-maksud yang maklumat

tersebut diproses. Di samping itu, UTC tidak akan menyimpan Maklumat Peribadi

Individu dengan lebih lama daripada yang diperlukan bagi maksud yang mana ia

dikumpulkan, kecuali dengan kebenaran apabila digunakan untuk suatu maksud

baru atau yang dikehendaki oleh undang-undang, peraturan, prosiding mahkamah,

prosiding pentadbiran , prosiding timbang tara, atau keperluan audit. UTC akan

melaksanakan usaha yang munasabah untuk memastikan bahawa Maklumat

Peribadi Individu dalam milikannya adalah tepat dan terkini.

c) Menyediakan notis yang sesuai untuk individu yang mana Maklumat Peribadi

adalah Proses Operasi Perniagaan

Melainkan jika individu telah tahu maklumat ini, Pejabat Korporat dan / atau Lesen

Pengendalian berkaitan hendaklah, pada masa mengumpul Maklumat Peribadi,

memberikan notis kepada Individu yang Maklumat Peribadi hendak diambil; entiti

UTC yang bertanggungjawab bagi Maklumat Peribadi yang dikumpul; tujuan

Maklumat Peribadi diambil; oleh pihak ketiga yang UTC akan berkongsi maklumat

itu; pilihan dan hak-hak yang diberikan kepada individu; cara-cara untuk

menghadkan pengumpulan, penggunaan dan pendedahan Maklumat Peribadi, dan

akibat orang-orang pilihan; dan bagaimana untuk menghubungi UTC dengan soalan

atau aduan mengenai perkara-perkara yang privasi. Dalam kes-kes yang terpencil,

di mana menyediakan notis ini merupakan satu beban yang tidak seimbang (di mana

Maklumat Peribadi tidak diperoleh daripada individu itu sendiri), UTC boleh,

selepas memberikan pertimbangan, membuat keputusan untuk tidak memberikan

notis kepada Individu atau untuk menangguhkan menyediakan notis.

d) Menghormati hak privasi sah Individu untuk meminta akses dan pembetulan

maklumat peribadi mereka.

UTC boleh membenarkan individu untuk meminta akses dan pembetulan maklumat

peribadi mereka. Pejabat Korporat dan/atau Operasi Perniagaan berkenaan akan

mematuhi permintaan dalam tempoh masa yang munasabah, dengan syarat

permintaan tersebut jelas tidak berasas atau berlebihan. Pejabat Korporat dan/atau

Lesen Pengendalian berkaitan hendaklah menanggung beban yang nyata tidak

berasas atau berlebihan melalui permintaan itu. Individu dikehendaki untuk

mengemukakan bukti pengenalan dan mungkin tertakluk kepada yuran servis yang

dibenarkan oleh undang-undang.

Atas alasan yang sah, Individu boleh membantah Pemprosesan Maklumat Peribadi

mereka atau meminta menyekat atau pemadaman Maklumat Peribadi mereka. UTC

akan mematuhi permintaan itu, melainkan jika pengekalan Maklumat Peribadi

dikehendaki oleh obligasi kontrak, keperluan audit, kewajipan peraturan atau

undang-undang, atau untuk mempertahankan syarikat itu terhadap tuntutan undang-

undang. Individu akan dimaklumkan tentang akibat yang mungkin timbul

disebabkan daripada pilihan mereka dengan UTC tidak memproses maklumat

peribadi mereka, seperti ketidakupayaan UTC untuk menyediakan perkhidmatan

yang diminta atau membuat transaksi. Individu juga akan dimaklumkan mengenai




keputusan permohonan mereka.

Kecuali Individu yang memilih untuk tidak menerima komunikasi tertentu dan

mengikut undang-undang, UTC boleh memproses Maklumat Peribadi Individu

'untuk menyasarkan komunikasi pada individu berdasarkan minat mereka. Individu

yang tidak mahu menerima komunikasi pemasaran daripada UTC akan ditawarkan

cara akses yang mudah untuk menentang pengiklanan, misalnya, dalam tetapan

akaun mereka atau dengan mengikuti arahan yang disediakan dalam e-mel atau dari

pautan dalam komunikasi. Apabila mempunyai keraguan tentang permohonan

peraturan anti-spam, sila hubungi [email protected].

Di mana UTC akan membuat keputusan automatik tentang Individu atas dasar

maklumat peribadi mereka, ia akan menyediakan langkah-langkah yang sesuai

untuk melindungi kepentingan sah Individu, seperti menyediakan maklumat

mengenai logik di sebalik keputusan itu dan peluang untuk mempunyai keputusan

yang dikaji semula dan membenarkan Individu untuk memberikan pandangan

mereka.

e) Melaksanakan langkah-langkah keselamatan teknikal dan organisasi yang sesuai

Untuk mengelakkan pemprosesan yang tidak dibenarkan atau menyalahi undang-

undang Maklumat Peribadi dan untuk mencegah pengubahan dengan sengaja,

pendedahan atau akses yang tidak dibenarkan, kehilangan atau kemusnahan atau

kerosakan kepada Maklumat Peribadi, UTC akan melaksanakan langkah-langkah

keselamatan yang sesuai dengan mengambil kira sensitiviti dan risiko Pemprosesan

berkenaan, sifat Maklumat peribadi dan dasar korporat yang berkenaan. Perniagaan

yang beroperasi akan melaksanakan Pelan Tindakan Kejadian Pelanggaran Data

atau mematuhi Pelan Tindakan Insiden Pelanggaran Data UTC, yang akan

menangani tindak balas yang sesuai untuk pemulihan dan apa-apa Pelanggaran Data

yang sebenar.

UTC akan melaksanakan perjanjian bertulis mewajibkan mana-mana Penyedia

Perkhidmatan untuk menghormati BCR atau keperluan setara dan hanya memproses

Maklumat Peribadi mengikut arahan UTC. Perjanjian bertulis mesti menggunakan

terma-terma dan syarat-syarat standard yang disediakan oleh UTC atau

pengubahsuaian yang diluluskan oleh Unit Perniagaan Privasi yang ditetapkan

Professional atau AGC DPS UTC.

f) Tidak berpindah Maklumat Peribadi Individu kepada Pihak Ketiga atau Pembekal

Perkhidmatan di luar EEA dan Switzerland tanpa perlindungan sesuai

Di mana UTC memindahkan Maklumat Peribadi Individu kepada Pihak Ketiga atau

Pembekal Perkhidmatan yang bukan sebahagian daripada UTC dan yang (1) berada

di negara-negara yang tidak memberikan tahap perlindungan yang mencukupi

(dalam maksud Arahan 95/46 / EC) , (2) tidak dilindungi oleh peraturan korporat

mengikat yang diluluskan, atau (3) tidak mempunyai perkiraan lain yang akan

memenuhi keperluan kecukupan EU, Pejabat korporat dan/atau Lesen pengendalian

berkaitan hendaklah memastikan berhubung dengan:

─ Pihak Ketiga, bahawa mereka akan melaksanakan kawalan kontrak yang

sesuai, seperti klausa model kontrak, menyediakan tahap perlindungan

setimpal dengan BCR atau, sebagai alternatif, memastikan bahawa

pemindahan (1) berlaku dengan keizinan yang jelas daripada Individu, (2)




perlu untuk membuat kesimpulan atau melaksanakan sesuatu kontrak yang

dibuat dengan Individu, (3) adalah perlu atau dikehendaki secara sah atas

alasan kepentingan awam2, (4) adalah perlu untuk melindungi kepentingan asas

Individu; atau (5) adalah perlu bagi pertubuhan, menjalankan atau

mempertahankan tuntutan undang-undang.

─ Pemproses, bahawa mereka akan melaksanakan kawalan kontrak, seperti

klausa model kontrak, memberikan tahap perlindungan setimpal dengan BCR

ini.

2. Tadbir Urus: UTC komited untuk mengekalkan infrastruktur mampu tadbir bagi

memastikan pematuhan BCR. Infrastruktur ini terdiri daripada:

a) Etika dan Pegawai Pematuhan (“ECO”): Pegawai ini memudahkan pematuhan

BCR dan merupakan titik hubungan dalaman bagi komen dalaman dan aduan

berkaitan dengan BCR. UTC akan memastikan Pegawai Etika dan Pematuhan yang

dilatih untuk menerima dan menyiasat aduan privasi, untuk membantu dengan

resolusi kebimbangan privasi, dan untuk mengemukakan aduan kepada sumber-

sumber yang sesuai, seperti Profesional atau Privasi yang sesuai Pejabat Privasi,

untuk semakan dan resolusi yang mana diperlukan.

b) Program Ombudsman: Individu yang menjadi sebahagian daripada Program

Ombudsman akan mengekalkan mekanisme untuk menerima komen dan aduan

dalaman dan luaran yang berkaitan dengan BCR. Program Ombudsman UTC

menyediakan saluran yang selamat dan sulit untuk Individu, Pembekal

Perkhidmatan dan Pihak Ketiga untuk mendapatkan panduan, bertanya soalan,

membuat komen dan melaporkan sebarang salah laku. Program Ombudsman

memajukan aduan kepada sumber-sumber yang sesuai, seperti Privasi Profesional

yang sesuai atau Pejabat Privasi, untuk semakan dan resolusi yang mana diperlukan,

dengan syarat pengadu bersetuju.

c) Professionals Privasi: setiap Unit Perniagaan akan melantik sekurang-kurangnya

satu Profesional Privasi untuk berkhidmat sebagai sumber untuk Pegawai Etika dan

Pematuhan dan lain-lain di Unit Perniagaan dengan isu-isu berkaitan privasi.

Profesional Privasi membantu pihak pengurusan dalam memastikan pematuhan

tempatan dengan BCR dan dalam mengenal pasti kelemahan dalam Unit

Perniagaan. UTC akan memastikan bahawa Professional Privasi mempunyai

sumber yang mencukupi dan pihak berkuasa bebas untuk melaksanakan peranan

mereka.

d) Pegawai Perlindungan Data (“DPO”): peranan DPO yang ditakrifkan oleh

undang-undang. DPO dilantik di mana dikehendaki oleh undang-undang. DPO

2 In accordance with applicable law, Operating Businesses may share Personal Information with law enforcement and regulatory

authorities when necessary in a democratic society to safeguard national and public security, defense, the prevention, investigation,

detection and prosecution of criminal offenses and to comply with sanctions as laid down in international and/or national instruments.




menyelaras secara tetap dengan AGC DPS UTC.

e) Jawatankuasa Penasihat Privasi (“PAC”): PAC akan bertanggungjawab bagi

pengawasan umum program pematuhan privasi UTC, termasuk pelaksanaan BCR.

PAC akan mengandungi Professional Privasi, mewakili Unit Perniagaan masing-

masing, serta wakil-wakil dari Sumber Manusia (“HR”), Teknologi Maklumat

(“IT”), Pematuhan Perdagangan Antarabangsa (“ITC”), Alam Sekitar, Kesihatan &

Keselamatan (“EH&S”), Kewangan, Pengurusan Bekalan dan F & S UTC. Ahli-

ahli lain boleh ditambah sama ada secara sementara atau tetap, apabila diperlukan.

PAC, dengan kerjasama AGC DPS UTC dan Pejabat Privasi, membangun dan

memastikan pelaksanaan pematuhan rancangan global untuk memastikan jaminan

dan audit pasukan.

f) Ketua Peguam Bersekutu UTC, Privasi Data dan Keselamatan (AGC DPS): AGC

DPS, dengan kerjasama Professional Privasi, akan menggunakan BCR dan

memastikan bahawa ianya dilaksanakan secara berkesan dan cekap. AGC DPS

juga akan bertanggungjawab untuk latihan dan kempen kesedaran mengenai data

privasi dan menyokong Professional Privasi bagi memastikan mereka dilatih, di

samping menggalakkan kewujudan dan tujuan keperluan data privasi selain

daripada keperluan asas untuk melindungi maklumat pemilik. AGC DPS akan

memberikan hala tuju dan membawa Jawatankuasa Penasihat Privasi . AGC DPS

akan menjadi Profesional Privasi untuk Pejabat Korporat.

g) Pejabat Privasi: Pejabat Privasi terdiri daripada AGC DPS, Professional Privasi,

dan mana-mana Pegawai Perlindungan Data yang dilantik, serta mana-mana

anggota tambahan yang dilantik oleh Operasi Perniagaan atau Pejabat Korporat.

Pejabat Privasi mengambil bahagian di PAC, menjawab dan menyelesaikan

sebarang komen atau aduan yang melalui Pejabat Privasi atau kakitangan

Ombudsman, dan membantu ECO dalam bertindak balas dan menyelesaikan

sebarang komen atau aduan yang dikemukakan kepada pihak ECO.

h) F&S UTC: F&S UTC akan mengambil bahagian di PAC melalui Profesional

Privasi atau DPO. Sekiranya terdapat bukti pelanggaran BCR, PAC atau AGC DPS

akan memaklumkan kepada F&S UTC dan, dengan kerjasama F&S UTC, bekerja

dengan Pejabat Korporat dan/atau Operasi Perniagaan relevan dan Profesional

Privasi untuk melaksanakan langkah-langkah pemulihan yang sesuai.

3. Latihan: UTC akan memastikan kategori berikut iaitu Personel, menerima latihan tahunan

mengenai data privasi, keselamatan, dan/atau peraturan anti-spam:

Pegawai Pematuhan dan Etika;

Professional Privasi;

Pegawai yang mengendalikan Maklumat Peribadi Individu sebagai

sebahagian daripada tanggungjawab mereka; dan

Kakitangan yang terlibat dalam pembangunan alat yang digunakan untuk

memproses maklumat peribadi.

4. Memantau dan Audit: Naib Presiden UTC, Audit Dalaman, menyelia Jabatan Audit

Dalaman, akan mentadbir program jaminan dan audit secara berkala untuk menilai

pematuhan BCR dan melaksanakan tindakan susulan dengan Operasi Perniagaan bagi

memastikan bahawa langkah-langkah pembaikan telah diambil. Naib Presiden, Audit




Dalaman, dengan bantuan kakitangan Jabatan Audit Dalaman, AGC DPS, dan Operasi

Perniagaan, akan menentukan skop yang sesuai bagi program audit BCR untuk

menghadapi sistem dan proses yang perlu mematuhi BCR.

Keputusan audit pematuhan BCR akan dimaklumkan kepada AGC DPS, yang mana,

akan memaklumkan kepada Naib Presiden UTC, Setiausaha dan Ketua Peguam

Bersekutu, F&S UTC, dan Jawatankuasa Penasihat Privasi. Pihak Berkuasa

Perlindungan Data yang kompeten di EEA dan Switzerland, atas permintaan, boleh

menerima akses kepada keputusan audit yang berkaitan dengan BCR.

5. Pengendalian Permintaan untuk Akses atau Pembetulan dan Aduan: Permintaan

daripada Individu mengenai Pemprosesan Maklumat Peribadi mereka akan ditangani

seperti yang dinyatakan di bawah.

b) Dalaman - Dari Personnel dengan akses kepada Intranet UTC

Anggota yang merupakan kakitangan UTC boleh memaklumkan permintaan dan aduan

mereka kepada wakil Sumber Manusia tempatan mereka. Semua kakitangan, termasuk

pekerja, boleh menghubungi Pegawai Pematuhan dan Etika (“ECO”) Tempatan,

Wilayah atau Global , Program Ombudsman atau Pejabat Privasi. Sumber-sumber ini

boleh dihubungi seperti berikut:

Aduan yang dikemukakan kepada HR, ECO atau Pejabat Privasi tempatan: aduan ini

akan ditangani oleh kumpulan (HR, ECO, atau Pejabat Privasi) yang telah menerima

aduan tersebut, dengan bantuan dari Profesional Privasi yang sesuai atau AGC DPS

(atau dilantik) yang mana diperlukan.

Aduan privasi yang diserahkan kepada Program Ombudsman: selagi pengadu bertujuan

dan bersetuju, aduan tersebut akan dikemukakan kepada Pejabat Privasi.

b) Luaran - Daripada Individu lain

HR

Tempatan Hubungi menggunakan saluran dalaman biasa anda

ECO http://ethics.utc.com/Pages/Global%20Ethics%20and%20Compliance%20Officers.aspx

Ombudsman


Telefon: Dalam U.S., Canada and Puerto Rico, hubungi 800.871.9065.

Apabila membuat panggilan dari luar U.S, anda mesti mendail kod akses

langsung AT&T yang didapati di sini. Sila dengar (suara atau nada),

kemudian dail nombor bebas tol Ombudsman.

Mel: United Technologies Corporation, Untuk Perhatian: Ombudsman

Program



Pejabat



http://www.business.att.com/bt/access.jsp





Permintaan dan aduan daripada semua Individu lain boleh ditujukan kepada Program

Ombudsman atau Pejabat Privasi, yang boleh dikunjungi seperti berikut:

Selagi pengadu bertujuan dan bersetuju, aduan privasi yang diserahkan kepada Program

Ombudsman akan dikemukakan kepada Pejabat Privasi untuk maklum balas dan

resolusi.

c) Maklumat tambahan mengenai pengendalian aduan

Aduan dan keputusan audit mendedahkan kelemahan struktur global akan ditangani oleh

AGC DPS melalui PAC bagi memastikan resolusi global dengan kerjasama UTC F & S

dan Profesional Privasi tempatan.

Pada masa aduan tidak dapat diselesaikan dengan kepuasan pengadu, HR tempatan, ECO,

atau Profesional Privasi akan melaporkan isu tersebut kepada AGC DPS. Seterusnya

AGC DPS, akan memaklumkan F&S UTC tentang setiap aduan yang tidak dapat

diselesaikan melalui prosedur pengendalian aduan yang tersedia.

UTC akan berusaha untuk memberi maklum balas awal dalam tempoh lima hari bekerja

daripada penerimaan permintaan/aduan. Bergantung kepada kerumitan dan skop

permohonan/aduan, tempoh ini mungkin lebih lama, tetapi tidak boleh melebihi satu

bulan.

Tiada peruntukan bahawa BCR boleh menyentuh hak Individu di bawah undang-undang

tempatan yang berkaitan untuk mengemukakan aduan kepada pihak berkuasa

perlindungan data berwibawa atau mahkamah berhubung dengan pelanggaran undang-

undang oleh Operasi Perniagaan yang terletak di EEA atau Switzerland.

6. Hak penguatkuasaan Individu dan Jaminan: Individu akan mendapat manfaat

daripada hak-hak yang diberikan secara jelas kepada mereka menurut Seksyen ini,

Seksyen B, C, D.1, D.5, D.7, D.8 dan D.9, serta manfaat daripada jaminan yang

diberikan oleh F&S UTC dalam Bahagian ini.

Atas dakwaan pelanggaran BCR oleh Pejabat Korporat dan/atau mana-mana Operasi

Ombudsman


Telefon: Dalam U.S., Canada and Puerto Rico, hubungi 800.871.9065.

Apabila membuat panggilan dari luar U.S, anda mesti mendail kod akses

langsung AT&T yang didapati di sini. Sila dengar (suara atau nada),

kemudian dail nombor bebas tol Ombudsman.

Mel: United Technologies Corporation, Untuk Perhatian: Ombudsman

Program



Pejabat


http://www.business.att.com/bt/access.jsp





Perniagaan yang terletak di luar EEA atau Switzerland, Individu boleh:

memfailkan aduan dengan Lembaga Perlindungan Data Belgium atau pihak

berkuasa perlindungan data berwibawa dalam bidang kuasa ;

membawa tindakan terhadap F&S UTC di mahkamah Belgium, atau

membawa tindakan terhadap entiti UTC di Kawasan Ekonomi Eropah atau

Switzerland yang memindahkan Maklumat Peribadi, dalam bidang kuasa

masing-masing.

Bagi pelanggaran undang-undang oleh EEA/Operasi Perniagaan Swiss, Individu

mendapat manfaat daripada prosedur tebus rugi statutori yang diperuntukkan di bawah

kuat kuasa undang-undang negara tersebut.

Dengan bantuan daripada Pejabat Korporat UTC, F&S UTC akan bertanggungjawab

untuk memastikan bahawa tindakan yang diambil (1) untuk membetulkan pelanggaran

yang dilakukan oleh Pejabat Korporat UTC atau Operasi Perniagaan di luar EEA; dan

(2) untuk membayar pampasan kepada Individu yang dianugerahkan oleh mahkamah

yang disebut dalam seksyen ini bagi mana-mana kerosakan akibat daripada pelanggaran

BCR oleh Pejabat Korporat dan/atau Operasi Perniagaan di luar EEA dan Switzerland,

kecuali Operasi Perniagaan berkenaan telah dibayar pampasan atau mematuhi perintah

tersebut.

Di mana Individu boleh menunjukkan bahawa mereka telah mengalami kerosakan,

maka hendaklah F&S UTC, dengan kerjasama Pejabat Korporat UTC, membuktikan

bahawa pejabat Korporat dan Operasi Perniagaan berkenaan tidak melanggar

obligasinya di bawah BCR. Di mana bukti itu dapat disediakan, F&S UTC boleh

melepaskan dirinya daripada sebarang tanggungjawab di bawah BCR.

Pejabat Korporat UTC, hendaklah bertanggungjawab untuk memastikan bahawa

tindakan yang diambil untuk remedi kemungkiran yang dilakukan oleh Operasi

Perniagaan di luar EEA dan Switzerland berkenaan dengan Maklumat Peribadi yang

tidak berasal secara langsung atau tidak langsung daripada Kawasan Ekonomi Eropah

atau Switzerland.

Bagi negara-negara selain daripada Ahli Syarikat EEA dan Switzerland, yang

mengiktiraf BCR sebagai instrumen yang sah untuk memindahkan maklumat peribadi,

Individu di negara-negara tersebut ada bahagian daripada hak-hak yang diberikan

secara jelas kepada mereka menurut Seksyen D. 1, D. 5, D. 7 dan D. 9. Oleh itu,

individu yang terlibat di negara-negara ini boleh mengambil apa-apa tindakan di negara

mereka untuk menguatkuasakan peruntukan-peruntukan ini terhadap Operasi

Perniagaan melanggar BCR.

7. Kerjasama dengan Pihak Berkuasa Perlindungan Data: Operasi Perniagaan

hendaklah memberikan apa-apa bantuan berpatutan yang diperlukan oleh pihak

berkuasa perlindungan data berwibawa yang berkaitan dengan pertanyaan dan

pengesahan mereka berhubung dengan BCR, termasuk menyediakan keputusan audit




Sekiranya diminta.

UTC perlu mematuhi keputusan pihak berkuasa perlindungan data EEA/Swiss yang

berwibawa yang akhir, iaitu, keputusan terhadap mana tiada rayuan boleh dilakukan

atau keputusan yang UTC memutuskan untuk tidak membuat rayuan. UTC perlu

menerima bahawa pematuhannya dengan BCR boleh diaudit oleh pihak berkuasa

perlindungan data yang cekap sebagai mematuhi undang-undang.

8. Pengubahsuaian kepada BCR: F&S UTC hendaklah dengan segera memberitahu

Lembaga Perlindungan Data Belgium sekiranya apa-apa pindaan atau perubahan

penting untuk BCR yang secara material mengubah tahap perlindungan seperti yang

dinyatakan di dalamnya; sekali setahun, F&S UTC hendaklah memberitahu Lembaga

Perlindungan Data Belgium semua perubahan yang berlaku pada tahun sebelumnya.

F&S UTC hendaklah menyenggarakan senarai terkini semua Operasi Perniagaan yang

telah melaksanakan Perjanjian Intra-Kumpulan dan semua kemas kini BCR. Senarai itu

hendaklah disediakan kepada operasi perniagaan, individu, atau pihak berkuasa

EEA/perlindungan data Swiss, sekiranya diminta. Dalam apa jua keadaan, F&S UTC

hendaklah memberi Pihak Berkuasa Perlindungan Data Belgium satu salinan senarai

terkini semua Operasi Perniagaan yang telah melaksanakan Perjanjian Peraturan

Korporat tidak kurang daripada sekali setahun.

UTC bersetuju bahawa ia tidak boleh bergantung kepada BCR untuk memindahkan

Individu Maklumat Peribadi Individu kepada ahli-ahli kumpulan UTC sehingga masa

ahli-ahli kumpulan yang berkaitan telah melaksanakan Perjanjian Intra-Kumpulan dan

boleh mematuhinya.

9. Komunikasi BCR:Dengan tujuan untuk memastikan Individu dimaklumkan tentang

hak-hak mereka di bawah BCR ini, Operasi Perniagaan di EEA dan Switzerland akan

mengepos atau mengekalkan pautan ke BCR pada laman web luar mereka. UTC akan

mengepos atau mengekalkan pautan BCR pada www.utc.com atau mana-mana laman

web berkaitan

10.

BAHAN PAMER A - DEFINISI

11.

12. “Unit Perniagaan” bermakna segmen utama UTC, yang mungkin berubah dari semasa ke

semasa, dan pada masa ini terdiri daripada Climate, Controls & Security, Otis, Pratt &

Whitney, UTC Aerospace Space, UTC Research Center, adan Pejabat Korporat UTC.

13. “CCS” merujuk kepada unit perniagaan UTC’s Climate, Controls & Security.

14. “Pejabat Korporat” merujuk kepada ibu pejabat korporat di U.S. di 10 Farm Springs Road,

Farmington, CT 06032 USA.

15. “Pelanggaran Data” bermakna pengambilalihan yang tidak dibenarkan atau penggunaan

Maklumat Peribadi yang tidak disulitkan, atau Maklumat Peribadi disulitkan jika ada

kompromi kepada proses sulit atau utama, yang mampu menjejaskan keselamatan, kerahsiaan,

http://www.utc.com/




atau integriti Maklumat Peribadi yang membawa kepada risiko kemudaratan besar kepada satu

atau lebih individu. Risiko bahaya termasuk kemungkinan kecurian identiti, potensi untuk rasa

malu, pelepasan maklumat peribadi, atau kesan sampingan yang lain. Niat yang baik tetapi

pengambilan Maklumat Peribadi yang tidak dibenarkan oleh UTC atau Personnel atau

Pembekal Perkhidmatan untuk tujuan yang sah bukan Pelanggaran Keselamatan Data kecuali

maklumat peribadi yang digunakan dalam cara yang tidak dibenarkan adalah tertakluk kepada

pendedahan lanjut yang tidak dibenarkan.

16. “Individu-Individu” bermakna kakitangan yang asal, pelanggan UTC atau pembekal, dan

pengguna produk dan perkhidmatan UTC.

17. “Operasi Perniagaan” bermakna segmen perniagaan UTC, unit dan bahagian, dan semua

entiti operasi lain di mana sahaja berada (termasuk usaha sama, perkongsian dan urusan

perniagaan yang lain di mana UTC mempunyai sama ada kepentingan kawalan atau kawalan

pengurusan yang berkesan), selain daripada Pejabat Korporat.

18. “Maklumat Peribadi” bermaksud maklumat yang berhubungan dengan orang yang dikenal

pasti atau boleh dikenal pasti. Ini adalah apa-apa maklumat yang berhubung dengan orang

sebenar, yang dikenal pasti atau boleh dikenal pasti, secara langsung atau tidak langsung,

khususnya dengan merujuk kepada pengecam, seperti nombor pengenalan, nama atau satu atau

lebih faktor yang khusus kepada orang itu iaitu fizikal, fisiologi, mental, ekonomi, identiti

budaya atau sosial. Sama ada individu yang boleh dikenal pasti bergantung kepada cara

munasabahnya mungkin untuk digunakan oleh UTC atau orang lain untuk mengenal pasti

Individu tersebut. Di mana langkah-langkah ini tidak munasabah mungkin digunakan atau

pengenalan adalah mustahil, data berkenaan adalah tanpa nama dan tidak dilindungi oleh BCR.

Istilah ini termasuk Maklumat Peribadi Sensitif. Maklumat peribadi termasuk maklumat yang

dikumpul, diproses, dan/atau dipindahkan tanpa mengambil kira medium, termasuk tetapi tidak

terhad kepada salinan cetak, elektronik, rakaman video dan rakaman audio.

19. “Personel” bermakna pekerja UTC, termasuk pengarah dan pegawai UTC, dan pekerja

sementara, kontraktor, buruh dipajak dan buruh kontrak yang dikekalkan oleh UTC.

20. “Proses” bermakna apa-apa operasi atau set operasi yang dilakukan ke atas Maklumat

Peribadi, sama ada secara automatik atau tidak, seperti koleksi, rakaman, organisasi,

penyimpanan, adaptasi atau perubahan, mendapatkan semula, perundingan, penggunaan,

pendedahan melalui penghantaran, pemindahan, penyebaran atau selainnya menyediakan,

penjajaran atau kombinasi, menyekat, memadamkan atau memusnahkan.

21. “Maklumat Peribadi Sensitif” adalah subset kepada Maklumat Peribadi dan bermaksud

maklumat yang berkaitan kepada orang yang dikenal pasti atau boleh dikenal pasti yang

melibatkan: asal bangsa atau etnik; pendapat politik; kepercayaan agama atau falsafah;

keahlian kesatuan sekerja; kesihatan; keutamaan seksual; kehidupan seks; atau perlakuan atau

perlakuan apa-apa jenayah dan hukuman yang boleh dikenakan.

22.

23. “Pembekal Perkhidmatan” bermakna mana-mana entiti atau orang/yang diproses, atau

sebaliknya dibenarkan akses kepada Maklumat Peribadi Diproses oleh UTC melalui

peruntukan untuk menyediakan perkhidmatan terus ke UTC.

24.

25. “Pihak Ketiga”ialah individu atau entiti, selain daripada Pejabat Korporat UTC dan Operasi

Perniagaan yang melaksanakan Perjanjian Peraturan Korporat dengan kakitangan mereka, dan

Pembekal Perkhidmatan.




26.

27. “UTC” bermakna Pejabat Korporat UTC dan Perniagaan Operasi.




BAHAN PAMER B - FASAL PROSES DALAMAN

Fasal ini terpakai apabila Operasi Perniagaan yang terikat dengan BCR (selepas ini: “Prinsipal

UTC”) mengamanahkan projek lain yang mengikat Operasi Perniagaan (selepas ini: “Pemproses

UTC”) melibatkan pemprosesan Data Peribadi yang dilindungi. Setakat mana projek itu melibatkan

Perintah Kerja antara Prinsipal UTC dan Pemproses UTC, Tata Kerja hendaklah rujukan Fasal

Proses Dalaman dalam syarat-syarat berikut: “Perkhidmatan yang dinyatakan dalam Perintah Kerja

ini ditadbir oleh Fasal Proses Dalaman yang dinyatakan dalam yang BCR UTC untuk melindungi

maklumat peribadi.”

Syarat yang dinyatakan dalam fasal ini merujuk kepada terma yang ditakrifkan dalam UTC BCR.

1. Prinsipal UTC dan Pemproses UTC bersetuju untuk terus terikat UTC BCR untuk keseluruhan

tempoh Perintah Kerja. Fasal berkenaan tempoh Tata Kerja. Peruntukan Seksyen [4.2, 4.4] fasal

ini hendaklah berkenaan penamatan Perintah Kerja.

2. Dalam melaksanakan perkhidmatannya, Pemproses UTC akan memproses Maklumat Peribadi

bagi pihak Prinsipal UTC.

3. Obligasi Prinsipal UTC:

3.1. Prinsipal UTC hendaklah menyediakan Pemproses UTC dengan arahan yang jelas

berkaitan dengan tujuan dan pemprosesan maklumat peribadi yang relevan. Arahan ini

hendaklah cukup jelas untuk membenarkan Pemproses UTC k memenuhi

tanggungjawabnya di bawah fasal dan BCR UTC. Khususnya, arahan Prinsipal UTC

boleh mengawal penggunaan sub-kontraktor, pendedahan Maklumat Peribadi dan

obligasi lain oleh Pemproses UTC.

3.2. Prinsipal UTC hendaklah memaklumkan Pemproses UTC tentang semua pindaan kepada

undang-undang perlindungan data negara dan instrumen berkanun berkaitan, peraturan,

perintah, dan instrumen yang serupa yang relevan kepada Pemprosesan yang dilakukan

oleh Pemproses UTC di bawah fasal ini, dan memberikan arahan mengenai cara

Pemproses UTC perlu mematuhi apa-apa pindaan.

4. Obligasi Pemproses UTC

4.1. Pemproses UTC akan memproses Maklumat Peribadi mengikut arahan Prinsipal UTC

seperti yang ditetapkan dalam Tata Kerja dan disampaikan secara bertulis. Pemproses

UTC tidak boleh menjalankan Pemprosesan Maklumat Peribadi yang berkaitan untuk

sebarang tujuan lain atau dalam apa-apa cara lain.

4.2. Pemproses UTC hendaklah mematuhi semua peruntukan BCR UTC dan khususnya

Seksyen D.1.e.




4.3. Pemproses UTC tidak boleh mendedahkan atau memindahkan Maklumat Peribadi yang

berkaitan dengan mana-mana Pihak Ketiga, selain daripada sub-pemproses menurut

Seksyen 4.6 fasal ini, tanpa kebenaran terlebih dahulu, secara bertulis, Prinsipal UTC.

4.4. Di mana, menurut BCR UTC (Seksyen D.1.f.), Pemproses UTC diperlukan untuk

menjalankan pemprosesan hasil daripada obligasi undang-undang yang sah, ia hendaklah

berbuat demikian walau apa pun keperluan Seksyen 4. Dalam kes sedemikian,

Pemproses UTC hendaklah memberitahu Prinsipal UTC secara bertulis sebelum

mematuhi apa-apa kehendak sedemikian, melainkan jika undang-undang-undang,

peraturan, atau pihak berkuasa kerajaan melarang memberikan notis itu, dan hendaklah

mematuhi segala arahan Prinsipal UTC yang munasabah dengan pendedahan tersebut.

4.5. Pemproses UTC hendaklah memberitahu Prinsipal UTC dalam tempoh tiga (3) hari

bekerja dari tarikh apa-apa komunikasi yang diterima daripada mana-mana individu yang

berkaitan dengan hak-hak yang Individu untuk mengakses, mengubahsuai Maklumat

Peribadi berkaitan dengan dia dan hendaklah mematuhi semua arahan Prinsipal UTC

dalam bertindak balas kepada komunikasi tersebut. Di samping itu, Pemproses UTC

hendaklah memberikan apa-apa bantuan yang diperlukan oleh Prinsipal UTC untuk

menjawab mana-mana komunikasi dari mana-mana individu yang berkaitan dengan hak-

hak Individu untuk mengakses, mengubahsuai Maklumat Peribadi yang berkaitan

dengannya.

4.6. Pemproses UTC boleh melantik sub-pemproses untuk membantunya dalam memenuhi

obligasinya di bawah Tata Kerja dengan syarat ia telah mendapat kelulusan bertulis

terlebih dahulu daripada Prinsipal UTC. Pemproses UTC akan mengadakan perjanjian

bertulis dengan mana-mana sub-pemproses, yang mengenakan kewajipan ke atas sub-

pemproses yang tidak kurang membebankan daripada dan setanding dalam semua aspek

dengan kewajipan yang dikenakan ke atas Pemproses UTC di bawah fasal ini.

Pemproses UTC mesti mematuhi BCR UTC Seksyen D.1.f.

4.7. Pemproses UTC memberi jaminan apa jua dalam mana-mana undang-undang

perlindungan data (atau mana-mana undang-undang atau peraturan-peraturan lain) di

mana ia tertakluk, menghalang ia daripada memenuhi obligasinya di bawah fasal ini.

Sekiranya berlaku perubahan dalam mana-mana undang-undang tersebut yang mungkin

memberi kesan sampingan yang ketara ke atas pematuhan Pemproses UTC dengan

klausa ini atau dalam keadaan di mana pemproses UTC sebaliknya tidak boleh mematuhi

klausa ini, pemproses UTC hendaklah memberitahu Prinsipal UTC dalam tempoh lima

belas (15) hari dan Prinsipal UTC berhak untuk menamatkan Perintah Kerja yang

berkuatkuasa serta merta.

4.8. Pemproses UTC bersetuju bahawa Prinsipal UTC boleh meminta Pemproses UTC

mematuhi bahawa klausa ini diaudit mengikut BCR UTC Seksyen D.4.

5. Sekiranya berlaku penamatan Tata Kerja, Pemproses UTC hendaklah menghantar kepada

Prinsipal UTC semua Maklumat Peribadi yang berkaitan yang dipegang oleh Pemproses UTC,




bersama-sama dengan semua salinan di mana-mana media data tersebut atau memusnahkan,

kecuali Pemproses UTC diperlukan, oleh mana-mana undang-undang, peraturan atau pihak

berkuasa kerajaan, untuk mengekalkan Maklumat peribadi tersebut atau sebahagian

daripadanya.

6. Fasal ini akan ditadbir dan ditafsirkan mengikut undang-undang negara di mana Prinsipal UTC

ditubuhkan. Tanpa menjejaskan BCR UTC Seksyen D.6, setiap pihak kepada fasal ini tidak

boleh menarik balik penyerahan bidang kuasa eksklusif Prinsipal UTC ke atas apa-apa tuntutan

atau perkara yang timbul di bawah atau berkaitan dengan fasal ini.

7. Pelbagai.

7.1. Peruntukan fasal ini adalah diasingkan. Jika mana-mana frasa, klausa atau peruntukan

tidak sah atau tidak boleh dikuatkuasakan secara keseluruhan atau sebahagian, hanya

memberi kesan seperti frasa, klausa atau peruntukan, dan seluruh fasal ini hendaklah

terus berkuat kuasa dan berkesan sepenuhnya.

7.2. Peruntukan fasal ini hendaklah dibiasakan bagi manfaat dan akan mengikat Prinsipal

UTC dan Pemproses UTC dan pengganti serta penerima serah hak masing-masing.