1. Privasi berkaitan dengan informasi yang dikumpulkan tentang individu yang dapat diidentifikasi.

Kerahasiaan berkaitan dengan kekayaan intelektual organisasi dan informasi serupa yang
dikumpulkan / dibagikan dengan mitra bisnis.

Ada peraturan tentang tanggung jawab untuk melindungi privasi; tidak ada peraturan luas yang ada
sehubungan dengan kerahasiaan.

2. Dua: informasi pribadi dan informasi pribadi yang sensitif. Contoh diberikan pada halaman 4
dokumen GAPP (yang direproduksi di bawah ini dan disorot dengan warna kuning):

Informasi Pribadi Informasi pribadi (kadang-kadang disebut sebagai informasi yang dapat diidentifikasi
secara pribadi) adalah informasi yang mengenai, atau dapat dikaitkan dengan, individu yang dapat
diidentifikasi. Ini mencakup informasi apa pun yang dapat dikaitkan dengan seseorang atau digunakan
untuk secara langsung atau tidak langsung mengidentifikasi seseorang. Beberapa contoh informasi
pribadi adalah sebagai berikut:

• Nama
• Alamat rumah atau email
• Nomor identifikasi (misalnya, Jaminan Sosial atau Nomor Asuransi Sosial)
• Karakter fisik
• Riwayat pembelian konsumen

Beberapa informasi pribadi dianggap sensitif. Beberapa undang-undang dan peraturan mendefinisikan
hal-hal berikut sebagai informasi pribadi yang sensitif:

• Informasi tentang kondisi medis atau kesehatan

• Informasi keuangan
• Asal ras atau etnis
• Pendapat politik
• Keyakinan agama atau filosofis
• Kenggotaan serikat pekerja
• Preferensi seksual
• Informasi yang terkait dengan pelanggaran atau hukuman pidana
3. Informasi pribadi yang sensitif membutuhkan persetujuan eksplisit (mis., Ikut serta). Informasi
pribadi lainnya dapat dikumpulkan melalui persetujuan eksplisit (opt-in) atau implisit (opt-out).
4. Tidak. Bagian tentang “Pengalihdayaan dan Privasi” di halaman 3 secara khusus menyatakan bahwa
organisasi tidak dapat sepenuhnya menghilangkan tanggung jawab mereka untuk mematuhi
peraturan privasi ketika mereka melakukan outsourcing pengumpulan, penggunaan, dll. Dari
informasi pribadi.
5. Merupakan tanggung jawab manajemen puncak untuk menetapkan manajemen privasi kepada
individu atau tim tertentu (kriteria manajemen 1.1.2). Sebagai kontrol ilustratif untuk kriteria ini,
Dewan Direksi harus meninjau kebijakan privasi setidaknya setiap tahun.
6. Itu harus diberikan secara anonim (semua informasi yang diidentifikasi secara pribadi dihapus).
7. Jawaban akan bervariasi. Poin kuncinya adalah alasan yang diberikan mengapa kebijakan itu (tidak)
jelas dan mudah dipahami.
8. Organisasi harus mengembangkan program dan prosedur untuk memastikan bahwa jika pelanggan
ingin menonaktifkan cookie, organisasi itu mematuhi keinginan itu.
9. Pengumpulan data secara sembunyi-sembunyi melalui cookie rahasia atau suar web
· Menghubungkan informasi yang dikumpulkan dengan informasi yang dikumpulkan dari sumber
lain tanpa memberi tahu individu
· Penggunaan pihak ketiga untuk mengumpulkan informasi untuk menghindari keharusan
memberikan pemberitahuan kepada orang-orang bahwa organisasi mengumpulkan informasi
pribadi tentang mereka.
10. Organisasi memerlukan kebijakan penyimpanan dan harus secara teratur menginventarisir informasi
yang mereka simpan dan menghapusnya jika tidak lagi relevan.
11. Organisasi perlu menghancurkan media dengan informasi sensitif. Perhatikan bahwa terkadang ini
membutuhkan penghancuran seluruh file atau basis data (mis., Tidak bisa hanya menghancurkan
satu trek pada CD atau DVD). Jika dokumen dirilis, informasi pribadi perlu dihapus.
12. Organisasi perlu mengautentikasi identitas orang yang meminta akses ke informasi pribadi mereka.
JANGAN gunakan Nomor Jaminan Sosial untuk otentikasi tersebut.
13. Organisasi seharusnya
· Mengungkapkan bahwa mereka berniat untuk berbagi informasi dengan pihak ketiga (kriteria
manajemen 7.1.1)
· Memberikan kebijakan privasi organisasi kepada pihak ketiga (kriteria manajemen 7.1.2)
· Hanya berbagi informasi dengan pihak ketiga yang memiliki sistem untuk memberikan tingkat
perlindungan privasi yang sama dengan organisasi berbagi (kriteria manajemen 7.2.2)
· Mengambil tindakan perbaikan terhadap pihak ketiga yang menyalahgunakan informasi pribadi
yang diungkapkan kepada mereka (kriteria manajemen 7.2.4)
14. Informasi pribadi harus dienkripsi setiap kali dikirimkan (kriteria manajemen 8.2.5) atau disimpan di
media portabel (kriteria manajemen 8.2.6).
15. Prinsip 9 menekankan pentingnya menjaga catatan yang akurat. Prinsip 10 mensyaratkan bahwa
proses penyelesaian pengaduan harus ada. Salah satu penyebab keluhan yang paling sering muncul
adalah pelanggan menemukan, ketika diberikan akses sesuai prinsip 6, kesalahan dan
ketidakakuratan dalam catatan mereka yang gagal diperbaiki oleh organisasi tepat waktu.