Asana berkomitmen melindungi dan menghormati hak privasi global Anda. Sejalan dengan sejumlah yurisdiksi yang telah meresmikan undang-undang yang memengaruhi cara perusahaan menangani informasi pribadi, kami ingin meluangkan waktu sejenak untuk menyoroti beberapa tindakan yang telah dilakukan Asana untuk mematuhi undang-undang dan peraturan privasi global yang terus berubah serta untuk menekankan komitmen Asana yang berkelanjutan terhadap privasi.

Kepatuhan dan Komunikasi Berkesinambungan

Saat undang-undang, peraturan, dan panduan dari otoritas dan regulator perlindungan data terus berkembang serta semakin banyak negara yang mengesahkan undang-undang dan peraturan perlindungan data baru, kami akan terus mengikuti perkembangan ini dengan saksama dan mengevaluasi program kami untuk setiap perubahan atau peningkatan yang diperlukan.

Kami menghargai komunikasi dengan para pelanggan. Jika Anda punya pertanyaan tentang praktik perlindungan data kami, silakan hubungi kami di privacy@asana.com

Regulasi Perlindungan Data Umum (GDPR)

GDPR adalah undang-undang Eropa yang menetapkan perlindungan terhadap data pribadi milik warga UE yang mulai berlaku sejak 25 Mei 2018. Di bawah GDPR, organisasi yang mengumpulkan, menyimpan, menggunakan, atau memproses data pribadi milik warga UE (di mana pun lokasi organisasi itu) harus menerapkan perlindungan privasi dan pengamanan tertentu terhadap data tersebut. Asana telah membuat program kepatuhan GDPR yang komprehensif dan berkomitmen untuk bermitra dengan para pelanggan dan vendornya dalam upaya mematuhi GDPR. Beberapa langkah signifikan yang dilakukan oleh Asana untuk menyelaraskan praktiknya dengan GPRD termasuk:

• Merevisi kebijakan dan kontrak dengan para mitra, vendor, dan pengguna kami seperlunya saat persyaratan berubah

• Meningkatkan praktik dan prosedur keamanan kami

• Secara saksama meninjau dan memetakan data yang kami kumpulkan, gunakan, dan bagikan

• Membuat dokumentasi privasi dan keamanan internal yang lebih tangguh

• Melatih pegawai tentang persyaratan GDPR dan praktik terbaik untuk privasi dan keamanan secara umum

• Secara hati-hati mengevaluasi dan membangun kebijakan hak subjek data dan proses respons

Di bawah ini, kami menyediakan detail tambahan tentang area inti dari program kepatuhan GDPR milik Asana dan bagaimana pelanggan dapat menggunakan Asana untuk mendukung inisiatif kepatuhan GDPR-nya sendiri.

Perjanjian Pemrosesan Data

Di bawah GDPR, "pengendali data" (yaitu entitas yang menentukan tujuan dan cara pemrosesan data) diwajibkan membuat perjanjian dengan entitas lain yang memproses data atas namanya (disebut "pemroses data"). Asana menawarkan kepada pelanggannya, yang merupakan pengendali data pribadi UE, opsi untuk membuat Adendum Pemrosesan Data di mana Asana berkomitmen untuk memproses dan melindungi data pribadi sesuai dengan ketentuan GDPR. Ini termasuk komitmen Asana untuk memproses data pribadi yang konsisten dengan petunjuk dari pengendali data.

Transfer Data Internasional

Program Kerangka Privasi Data UE-AS, Ekstensi Inggris Raya untuk DPF UE-AS, dan Kerangka Privasi Data Swiss-AS

Asana mematuhi program Kerangka Privasi Data UE-AS (DPF UE-AS), Ekstensi Inggris Raya untuk DPF UE-AS, dan program Kerangka Privasi Data Swiss-AS (DPF Swiss-AS) sebagaimana ditetapkan oleh Departemen Perdagangan AS. Asana telah menyatakan kepada Departemen Perdagangan AS bahwa pihaknya mematuhi Prinsip Kerangka Privasi Data UE-AS (Prinsip DPF UE-AS) sehubungan dengan pemrosesan data pribadi yang diterima dari Uni Eropa atas dasar DPF UE-AS serta dari Inggris Raya (dan Gibraltar) atas dasar Ekstensi Inggris Raya untuk DPF UE-AS. Asana telah menyatakan kepada Departemen Perdagangan AS bahwa pihaknya mematuhi Prinsip Kerangka Privasi Data Swiss-AS (Prinsip DPF Swiss-AS) sehubungan dengan pemrosesan data pribadi yang diterima dari Swiss atas dasar DPF Swiss-AS.

Sesuai dengan DPF UE-AS, Ekstensi Inggris Raya untuk DPF UE-AS, dan DPF Swiss-AS, Asana berkomitmen untuk merujuk keluhan yang belum terselesaikan terkait penanganan data pribadi kami yang diterima dengan mengandalkan DPF UE-AS, Ekstensi Inggris Raya untuk DPF UE-AS, dan DPF Swiss-AS ke BBB National Programs, penyedia penyelesaian sengketa alternatif yang berbasis di Amerika Serikat. Apabila Anda tidak menerima pemberitahuan secara tepat waktu mengenai keluhan terkait Prinsip DPF dari kami, atau jika kami tidak menanggapi keluhan terkait Prinsip DPF Anda secara memuaskan, kunjungi situs web Proses Penyelesaian Sengketa BBB National Programs di https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers untuk informasi lebih lanjut atau untuk mengajukan keluhan. Layanan BBB National Programs diberikan untuk Anda secara gratis.

Harap diperhatikan bahwa jika keluhan Anda tidak diselesaikan melalui saluran ini, dalam keadaan terbatas, pilihan arbitrase yang mengikat mungkin tersedia seperti yang ditetapkan di Lampiran I Prinsip DPF. Asana tunduk pada kekuasaan penyelidikan dan penegakan hukum dari Komisi Perdagangan Federal (FTC) sehubungan dengan kepatuhannya terhadap ketentuan DPF UE-AS, Ekstensi Inggris Raya untuk DPF UE-AS, dan DPF Swiss-AS.

Asana akan mengambil langkah-langkah wajar dan sesuai yang diperlukan untuk memastikan bahwa pihak ketiga yang bertindak sebagai “pemroses data” berdasarkan terminologi UE, Inggris Raya, dan Swiss memproses data pribadi yang kami percayakan kepada mereka dengan cara yang konsisten dengan Prinsip DPF. Asana mungkin bertanggung jawab dalam kasus pengalihan lanjutan ke pihak ketiga atas data individu UE, Inggris Raya, dan Swiss yang diterima masing-masing sesuai dengan DPF UE-AS, Ekstensi Inggris Raya untuk DPF UE-AS, dan DPF Swiss-AS.

Apabila terdapat pertentangan antara ketentuan dalam pernyataan privasi ini dan Prinsip DPF UE-AS dan/atau Prinsip DPF Swiss-AS, Prinsip yang akan mengatur.

Untuk mempelajari selengkapnya seputar program Kerangka Privasi Data (DPF) dan melihat sertifikasi kami, kunjungilah https://www.dataprivacyframework.gov/.

Apabila DPF UE-AS, Ekstensi Inggris Raya untuk DPF UE-AS, dan DPF Swiss-AS tidak berlaku, Asana mengandalkan mekanisme transfer data lain untuk mengalihkan data ke luar EEA, Inggris Raya, dan Swiss, seperti Klausul Kontraktual Standar

Alat untuk Akses, Manajemen, dan Portabilitas Data

GDPR memberi setiap subjek data dalam kondisi tertentu hak untuk, di antaranya, mengakses, menghapus, dan mengoreksi data pribadinya. Asana berkomitmen untuk memfasilitasi permintaan subjek data yang konsisten dengan GDPR, sebagaimana dijelaskan dalam Pernyataan Privasi kami.

Dokumentasi Privasi

Pada intinya, GDPR berfokus pada transparansi, keadilan, dan akuntabilitas. Karenanya, hukum menuntut organisasi menyimpan dokumentasi tentang praktik privasinya dan keputusannya tentang caranya menangani data pribadi individu. Asana memiliki komitmen yang sama dengan GDPR terhadap prinsip-prinsip ini dan telah menyertakannya ke dalam dokumentasi program kepatuhan GDPR, yang terus berjalan, tentang aktivitas pengumpulan dan pemrosesan datanya, serta berbagai kebijakan dan panduan yang dipatuhinya yang sesuai dengan GDPR. Anda dapat mempelajari cara Asana mengumpulkan, menggunakan, dan mengungkap data pribadi dengan mengunjungi Pernyataan Privasi Asana.

Keamanan Data

GDPR mengharuskan organisasi menggunakan langkah-langkah teknis dan keorganisasian yang sesuai untuk melindungi keamanan, kerahasiaan, dan integritas data pribadi. Keamanan terus menjadi prioritas Asana dan ISO 27018 (Melindungi Data Pribadi di Cloud), ISO 27701 (Manajemen Informasi Privasi), dan sertifikasi kami lainnya menunjukkan komitmen kami terhadap standar privasi global. Selain itu, kami telah berhasil menyelesaikan audit SOC 2 (Tipe I) dan (Tipe II) untuk kontrol yang relevan dengan keamanan, ketersediaan, dan kerahasiaan. Ini berarti bahwa pihak ketiga yang independen telah memvalidasi proses dan praktik kami sehubungan dengan kriteria layanan kepercayaan ini dan mengonfirmasi kemampuan kami untuk mempertahankan kepatuhan terhadap kontrol yang telah kami terapkan. Kami juga telah menerapkan berbagai perlindungan untuk melindungi keamanan platform kami, termasuk mengenkripsi sambungan web untuk melindungi transmisi data, mereplikasi basis data kami untuk mendukung keandalan platform, serta mengontrol akses ke fasilitas dan jaringan kantor kami. Asana juga menawarkan kepada pelanggan kemampuan untuk menggunakan kontrol keamanan tambahan untuk lebih meningkatkan keamanan data timnya. Untuk informasi selengkapnya, silakan lihat Halaman Kepercayaan kami.

Menggunakan Hak Anda sesuai dengan Undang-Undang Privasi Global yang Relevan

Jika Anda ingin menggunakan hak Anda, silakan kirim permintaan dengan mengisi Formulir Permintaan Hak Perlindungan Data Global kami. Untuk informasi selengkapnya tentang cara Asana menyediakan kemampuan, kepada setiap pelanggan, untuk mengakses dan meminta penghapusan informasi pribadinya di bawah CCPA secara khusus, silakan baca Informasi Privasi untuk Warga California di Pernyataan Privasi kami.

Undang-Undang Privasi Konsumen California

CCPA (sebagaimana diubah oleh CPRA) adalah undang - undang yang memberi hak tertentu kepada konsumen di California sehubungan dengan informasi pribadi mereka. Secara khusus, hukum mewajibkan bisnis yang tunduk pada undang-undang tersebut memberi konsumen kemampuan untuk meminta akses ke dan penghapusan datanya, serta kemampuan untuk menolak beberapa bentuk pengungkapan informasi pribadinya. Undang-undang itu juga membatasi cara penyedia layanan yang memproses informasi pribadi atas nama bisnis untuk dapat menggunakan informasi tersebut.

Bagi bisnis yang tunduk pada CCPA telah menandatangani perjanjian layanan atau langganan dengan Asana, Asana akan bertindak sebagai penyedia layanan untuk bisnis tersebut. Secara khusus, Asana akan memproses informasi pribadi pelanggan tersebut hanya untuk tujuan yang ditetapkan dalam perjanjian yang berlaku, dan akan bekerja sama dengan pelanggan untuk memenuhi kewajibannya sehubungan dengan permintaan penghapusan atau akses.

Adendum Pemrosesan Data CCPA

Asana telah memperbarui Adendum Pemrosesan Data miliknya untuk secara spesifik merujuk pada kewajiban kami sesuai dengan CCPA (sebagaimana telah diubah oleh CPRA). Jika organisasi Anda adalah pelanggan Asana dan membutuhkan adendum, silakan hubungi dpa@asana.com.

UU Gramm-Leach-Bliley

UU Gramm-Leach-Bliley (GLBA) mewajibkan lembaga keuangan – perusahaan yang menawarkan produk atau layanan keuangan kepada konsumen seperti pinjaman, nasihat keuangan atau investasi, atau asuransi – untuk menjelaskan praktik pembagian informasi mereka kepada nasabah dan melindungi data sensitif. Penyedia layanan yang diizinkan oleh lembaga keuangan untuk mengakses informasi pribadi non-publik (NPI) milik nasabah mereka juga diwajibkan untuk mematuhi GLBA. Asana mematuhi Aturan Privasi dan Aturan Perlindungan GLBA. Selain menerapkan perlindungan keamanan, kami hanya menggunakan konten pekerjaan pelanggan untuk menyediakan layanan kami, dan bukan untuk tujuan lain apa pun. Pelanggan tidak boleh menyimpan data pribadi yang sensitif (termasuk nomor rekening keuangan dan nomor jaminan sosial) di Asana.

Undang-Undang Hak Pendidikan Keluarga dan Privasi

Undang-Undang Hak dan Privasi Pendidikan Keluarga (FERPA) adalah undang-undang pemerintah federal yang mewajibkan lembaga akademis seperti perguruan tinggi dan universitas untuk melindungi privasi catatan pendidikan siswa. Asana memungkinkan pelanggan kami untuk mematuhi FERPA dengan memastikan data pribadi tetap aman dan hanya digunakan untuk menyediakan layanan kami seperti yang dijelaskan dalam Ketentuan Layanan dan Kebijakan Privasi kami. Asana, berdasarkan perjanjian, berkomitmen untuk tidak mengungkap data pelanggan kecuali sebagaimana diarahkan oleh institusi akademis yang membuat kontrak, sebagaimana diizinkan oleh persyaratan kami, atau sebagaimana diwajibkan oleh hukum.

HIPAA

Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996 (HIPAA) adalah undang-undang federal di Amerika Serikat yang mewajibkan pembuatan standar nasional untuk melindungi informasi kesehatan pasien yang sensitif agar tidak diungkapkan tanpa persetujuan atau sepengetahuan pasien. Bisnis yang tunduk pada Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996 (“HIPAA”) dapat menggunakan Asana untuk mendukung manajemen kerja yang sesuai dengan HIPAA.

Kepatuhan HIPAA untuk Asana diatur oleh Business Associate Addendum (BAA) milik Asana. Untuk detail tambahan tentang HIPAA dan Asana, silakan lihat Lembar Data HIPAA.

Undang-Undang Perlindungan Informasi Pribadi

Undang-Undang Perlindungan Informasi Pribadi (APPI) adalah undang-undang perlindungan data utama di Jepang yang mengatur perlindungan informasi pribadi. Undang-undang ini berlaku untuk pelaku bisnis yang menangani informasi pribadi individu di Jepang. APPI telah diubah sejak pertama ditetapkan pada 2003, dan perubahan terbaru akan berlaku mulai 1 April 2022.

Mirip dengan perbedaan antara "pengontrol data" dan "pemroses data" berdasarkan GDPR, APPI membedakan "pelaku bisnis", atau entitas yang memiliki wewenang untuk mengontrol dan mengambil keputusan tentang informasi pribadi yang disimpan (misalnya, pelanggan Asana), dengan penyedia layanan pihak ketiga yang menangani informasi pribadi atas nama pelaku bisnis (misalnya, Asana).

APPI juga memberlakukan larangan transfer informasi pribadi lintas batas di luar Jepang. Informasi pribadi dapat ditransfer ke penerima di luar negeri jika terdapat perjanjian kontrak yang berlaku yang memastikan kepatuhan terhadap standar perlindungan data di Jepang.

Asana berkomitmen untuk memproses dan melindungi informasi pribadi sebagaimana diwajibkan oleh APPI dan amendemennya. Adendum Pemrosesan Data Asana mencakup (1) komitmen perlindungan data kami untuk memastikan bahwa kami mematuhi APPI; (2) cara kami membantu pelanggan kami terkait kewajiban mereka berdasarkan APPI; dan (3) langkah-langkah teknis dan organisatoris yang diterapkan untuk melindungi informasi pribadi. Untuk informasi selengkapnya tentang keamanan dan praktik perlindungan data Asana, silakan lihat Halaman Kepercayaan kami.

Sumber Daya Terkait

• Pernyataan Privasi Asana

• Adendum Pemrosesan Data Asana

• Halaman Kepercayaan Asana

• Sertifikasi Pelindungan Privasi UE-AS dan Swiss-AS

• Teks GDPR Lengkap

• Teks CCPA Lengkap (sebagaimana telah diubah oleh CPRA)