EN
BM

Privacy Policy

Effective Date : 26 Nov 2025

Applicability

This Policy applies to all individuals whose personal data is collected, used, disclosed, or processed by INFINITIUM, including customers and business partners. It outlines how we handle personal data in accordance with applicable data protection laws and regulations. As INFINITIUM is a subsidiary of EURONET Worldwide, this policy is aligned with and adheres to the data protection standards, and privacy frameworks mandated by EURONET. All personal data processed by INFINITIUM is handled consistently across all affiliated entities. By interacting with INFINITIUM’s services, individuals acknowledge and agree to the practices described in this Policy.

Interpretations

In this policy, unless the context requires:

  1. The English version shall be the official text for reference in the event of any dispute arising out of the interpretation of this Policy.
  2. Words importing the masculine shall be deemed and take to include the feminine gender and vice versa.
  3. Words importing the singular shall be deemed and taken to include the plural and vice versa.
  4. References to “you” in this policy refers to any person to whom this policy applies to. Where more specific references are used (such as “employee”), the more specific reference is intended.
    1. This policy outlines Euronet’s global framework for processing Personal Data responsibly and lawfully. This Policy and its associated procedures facilitate Euronet’s compliance with applicable privacy laws and ensure the privacy rights of individuals.
    2. This Policy establishes Euronet’s Privacy function under the direction of the Privacy Officer. The intention is to advise Euronet on lawful ways to process Personal Data and ensure an adequate level of protection for all Personal Data.
    3. This Policy applies to Infinitium and aligns with Euronet Group Privacy Policies and Code of Conduct.
    1. This Policy should be read in conjunction with the INFINITIUM Code of Conduct and Euronet Code of Conduct, and the policies issued by the Privacy Office, including the:
      • Retention Policy
      • Personal Data Subject Rights Request Policy
      • Personal Data Access Control Policy
      • Legal Review Policy
      • Corporate Information Security Policy
      • Global Incident Response Plan
    2. This Policy along with the polices provided above will ensure that there is a management system in place for the protection of personal information.
    3. This Policy extends to all countries where Euronet operates including countries where legal entity data is considered Personal Data.
    1. All Employees and Third Parties with access to Personal Data belonging to Euronet must comply with this Policy and any related communications. Should, in addition to this Policy, Euronet establish and adopt specific procedures related to its processing of Personal Data, such procedures must be followed by all Employees to enable Euronet’s compliance with applicable privacy laws.
    2. Failure to comply with this Policy and related procedures may subject Euronet and its Employees to serious civil and/or criminal liability. An employee’s failure to comply with this Policy may result in disciplinary sanctions, including suspension or termination.
    3. Questions regarding this Policy should be directed to the Group Privacy Officer by email at dpo@euronetworldwide.com
    4. Unless otherwise stipulated by legal requirements, Euronet Group Entities are not entitled to adopt regulations that deviate from this Policy.
    5. If compliance with this Policy would result in a violation of national law, or if regulations required under national law deviate from this Policy, this must be reported to the Privacy Officer for data protection law monitoring. In the event of conflict between national laws and this Policy, the Privacy Officer will work with the responsible Entity to find a practical solution that fulfils the purpose of this Policy.
    1. All Employees and Third Parties are required to adhere to the following privacy principles (the “Euronet Privacy Principles”) in accordance with applicable privacy laws:
      • Be Transparent: Inform Data Subjects about Euronet’s practices and policies related to Personal Data (e.g., website notices, receipts, emails). Data Subjects should be informed of the Personal Data collected, the purposes for the processing, and any additional processing activities involving their data. This information should be easily accessible and understandable (i.e., written in plain language) and must be presented to the Data Subjects at the time of collection, every time additional Personal Data is collected, or when there is a new processing activity.
      • Identify a Lawful Basis or Authorized Business Purpose: For each processing activity, identify a lawful basis or authorized business purpose that is in accordance with the applicable privacy laws. Personal Data collected by Euronet shall be obtained by fair and lawful means, and where appropriate, with the consent of the Data Subject.
      • Limit Collection: Collection of Personal Data should be limited to only the type of Personal Data that is necessary to achieve the purpose.
      • Minimize Collection: Collect the minimum amount of Personal Data necessary to achieve the purpose.
      • Minimize Retention: Only retain Personal Data for as long as necessary to achieve the purpose for which it was collected or to comply with applicable laws.
      • Implement Reasonable Security Safeguards: Implement reasonable security safeguards to protect Personal Data against risks, such as loss or unauthorized access, destruction, use, modification, or disclosure.
      • Data Subject Rights Requests: Enable individuals (i.e., Customers and Employees) to exercise their rights in relation to their Personal Data in accordance with applicable privacy laws.
      • Employment data: Euronet considers Employees as Data Subjects under this Policy irrespective of the local regulatory requirements.
      • Minors: Only process the Personal Data of minors where necessary and in accordance with applicable laws.
      • Accuracy: Personal data collected by Euronet should be accurate and kept up to date.
    1. Euronet will handle Personal Data provided by any customer, Employee or third party in line with the purposes described at the time of collection of the Personal Data.
    2. All personnel with access to Personal Data shall be aware of the limitations and purpose of processing and shall agree to avoid any additional processing which has not been previously authorized.
    3. Euronet will ensure that Personal Data is processed in a lawful manner and in good faith. This applies to data processing between Euronet Group Entities. The mere fact that both the transferring and receiving Group are affiliated with the Euronet Group Entity does not constitute an adequate legal basis.
    4. Each Employee or third party with access to Euronet’s Personal Data must notify the Privacy Officer immediately if they believe the processing or the instructions provided do not comply with applicable law.
    1. All processing activities carried out by Euronet will be recorded by the Privacy Office in collaboration with business’s unit. The intention is to have a proper inventory and analysis of all the processing activities.
    2. Each processing activity described in the Record of Processing Activities (ROPA) shall include, at least:
      • Data Subjects involved
      • Categories of data processed
      • Purpose of processing
      • How long the data is to be retained.
      • The technical and organizational security measures
    3. Even though the legal obligation to create a ROPA only exists in certain jurisdictions, Euronet has adopted this practice in all Euronet Group Entities as a tool to have an internal control and demonstrate Euronet’s compliance and implication towards privacy.
    4. The ROPA will be utilized to ensure compliance with the Privacy Principles such as data minimization, security measures, and retention of data. Each time a ROPA is completed, an action plan for compliance with processing and data protection rules is established.
    1. Upon processing of Personal Data or in the event of a significant change to an existing processing of Personal Data (particularly using new technologies), assess whether the processing poses a high risk to the privacy of Data Subjects. The nature, scope, context and purposes of the data being processed must also be considered. As part of the risk analysis, the business unit shall be responsible in assessing the impact of the new processing or changes to the existing Personal Data. The DPIA will be carried out by the Privacy Office in collaboration with the business unit in charge of the processing. The business unit and the Privacy Office shall collaborate to enable the Privacy Office to be informed of all the necessary details, data flows, and parties involved in the processing activity.
    2. Should the risk to the rights and freedoms of Data Subjects remain high after the completion of the PIA and after the use of appropriate security measures, the Privacy Office, with the collaboration of the business unit affected, shall remain the processing to be on hold until the measures to lower the risk are established.
    1. The principle of "Privacy by Design" aims to ensure business units define state-of-the-art internal strategies and adopt measures to integrate data protection principles into the specifications and architecture of business models/processes and IT systems for data processing from the very beginning or during the phase of conceptualization and technical design.
    2. In accordance with the principle of "Privacy by Design," the procedures and systems for processing Personal Data must be designed in such that the default settings are restricted to only the data processing necessary to fulfil the purpose (principle of “Privacy by Default”). This includes the processing scope, retention period, and accessibility. Further measures may include:
      • pseudonymization of Personal Data as soon as possible.
      • providing transparency about the functions and processing of Personal Data.
      • allowing the Data Subjects to decide on the processing of their Personal Data.
      • implementing appropriate security measures during storing, transmitting and processing of Personal Data.
      Every Euronet Group Entity shall implement and maintain appropriate technical and organizational measures throughout the entire life cycle of its processing activities, to ensure that the above principles are always complied with.
    1. Governance of Incidents
      • In the event of a potential breach that affects the Personal Data of Euronet customer’s, Employee’s and any other Data Subject that may interact with Euronet, the Employee or third party that becomes aware of such breach must notify the Security, Legal, the business unit affected and the Privacy Office in accordance with the “Corporate Incident Response Guidance (CiRP)”.
      • Once notified internally, each breach will be analysed on a case-by-case basis, taking into consideration the type of breach, the security measures taken to mitigate the negative impact on the Data Subject’s affected, the Personal Data affected, and the extent of the Personal Data exposed.
    2. Incidents related to Personal Data or Personal Data Breaches
      • A Personal Data breach occurs whenever there is a breach of:
        • Confidentiality: where there is an unauthorized or accidental disclosure of, or access to, Personal Data.
        • Integrity: where there is an unauthorized or accidental alteration of Personal Data.
        • Availability: where there is an accidental or unauthorized loss of access to, or destruction of, Personal Data.
    3. A Personal Data breach may occur if any Employee loses any electronic device with access to Euronet’s Personal Data or when there is an external attack on our systems. At any time, Personal Data is at risk (human attack, human error, force majeure), the protocol in CiRP guidelines must be followed.
    1. Euronet only processes Personal Data to ensure compliance with local regulations and to provide the requested services to the customers.
    2. Euronet receives no economic benefit or other valuable consideration for Customer or Employee’s data. Should Euronet sell Data Subjects’ information to provide the requested services, as defined by applicable local legislation, Euronet will ensure the appropriate notices are in place and Data Subjects are provided with an opportunity to opt out.
  11. also known as the Financial Services Modernization Act of 1999
    1. Euronet is a financial institution, as defined under the GLBA. Therefore, the exemptions under applicable United State privacy laws apply, allowing Euronet to process Personal Data in the USA according to the standards described herein. This exemption applies only to U.S. operations. For Malaysia, Singapore, and Indonesia, local laws prevail.
    1. All Employees must safeguard confidential information and Personal Data from accidental loss or disclosure to unauthorized parties unless you are legally obligated to disclose such information. You should contact the Legal department before making any disclosure of this nature. Confidential information and Personal Data must not be used for personal advantage.
    1. Privacy rights may be different depending on where a Data Subject is located. Euronet’s Privacy Office has specialists who can assist all Data Subjects from where if they want to exercise their rights.
    2. When a Data Subject exercises their rights by requesting access to their personal data or information on how it’s being used, Euronet will provide the relevant details and a copy of the data subject’s personal data stored in its systems unless applicable local legislations have limits on what is allowed to be shared.
    3. Data Subjects have the right to request the deletion of their data in accordance with applicable privacy laws. Some request may be denied if legal or compliance obligations take priority. In this case, Euronet will not fulfil the request but will restrict access to the personal data, allowing accessibility to authorized personnel in compliance to applicable legal requirements. Once the legal requirements are met, the Personal Data will automatically be deleted because it is no longer needed for the purpose it was collected.
    4. Data Subjects are entitled to withdraw from the processing of their Personal Data for specific purposes unless the withdrawal makes it impossible for Euronet to provide the Services requested by the Data Subject.
    5. Each time a Data Subject right is exercised, Euronet will ensure the Data Subject receives an adequate answer within the legal time frame specified by the applicable law.
    6. Data Subjects are provided with a list of rights they may wish to exercise.
    1. Personal Data must be protected from unauthorized access and unlawful processing or transfer, as well as from accidental loss, alteration or destruction. Prior to introducing a new method of data processing, particularly a new IT system, technical and organizational measures must be defined and implemented to protect Personal Data. These measures must be based on state-of-the-art technology while considering the risks of processing and the need to protect Personal Data.
    2. The technical and organizational measures relevant to data protection must be documented by the controller in the context of the Data Protection Impact Assessment (DPIA) and the Record of Processing Activities (ROPA).
    1. Euronet’s Group Entities maintain an international presence. The data servers and processing centers are located globally. As a result, Euronet will transfer Personal Data to various countries. Several of those countries can be categorized as “third countries” in accordance with the applicable data protection law.
    2. To protect the Data Subjects, regardless of their country of residence, Euronet shall:
      • Ensures that each time there is a cross-border transaction, the third country provides an adequate level of data protection in accordance with local standards.
      • Ensures the transfer is subject to the Standard Contractual Clauses, when applicable. If needed, an assessment of local laws may be required. The assessment includes a determination on whether the level of protection required by local law is equivalent in the third country. If this is not the case, supplementary measures to ensure an equivalent level of protection, as provided in the local law, will be taken into consideration and applied.
      • All Euronet Group Entities maintain an intercompany processing agreement that ensures that the highest standards of security are met and that all rights and obligations are respected, regardless of the country of origin.
    1. Biometric Data
      • Euronet entities may process Biometric Data only when it is strictly necessary to provide its services.
      • Euronet entities will ensure the processing of Biometric Data complies with all the standards expressed in section 4.1 of this Privacy Policy.
      • Data Subjects will always be informed when Euronet entities requires the necessary Biometric Data. Euronet will make sure to obtain a freely given and informed consent from the Data Subject to process Biometric Data.
      • Euronet entities shall offer a suitable alternative mechanism to the data subjects who choose not to consent to the processing of biometric data.
    2. Employment Personal Data
      • Personal Data can be processed when it’s needed to establish, perform, and terminate the employment relationship. For instance, Personal data of candidates can be processed to assist in the decision of whether to engage the candidates into an employment relationship. If a candidate is rejected, his/her data must be deleted in observance of the required retention period, unless the candidate has agreed to remain on file for a future selection process.
      • Consent is needed for Euronet to use the data for further application processes or before sharing the application with other Euronet Entities. In the existing employment relationship, data processing must always relate to the purpose of the employment relationship.
      • During the application process where there is a collection of applicant’s Personal Data from a third party, the requirements of the applicable local laws must be observed.
      • A legal basis, as referenced above, must be met to process Personal Data that is related to the Employee.
    3. Emerging Technologies
      • Technologies which encompass software, cloud applications, or any technical solutions processing Personal Data, must adhere to the following guidelines:
      • The use of technology must be permitted by law.
      • Prior to implementation, the Privacy Office will be engaged, and the Data Protection Impact Assessment will be completed.
      • Confirm that only necessary Personal Data is processed when implementing emerging technologies.
      • Apply robust security measures to protect the Personal Data processed by technology.
      • Ensure that any decisions resulting from the technology are scrutinized to prevent discrimination or biased outcomes.
      • Regularly review the results to ensure ongoing compliance with regulatory requirements.
      • Usage of production data, including Personal Data, for either production or testing purposes, is strictly prohibited without prior documented approval via DPIA.
      • The adoption of emerging technologies involving automated decision-making (even if it involves service limitations) is permissible only when there is an oversight mechanism implemented, and transparency is ensured during the decision making.
    4. Automated decision making
      • Data Subjects may be subject to a fully automated decision that could have a legal or similarly negative impact on the Data Subject if the following conditions apply:
      • The automated decision making is necessary to conclude or perform a contract.
      • The Data Subject granted consent.
      • Automated decision making is necessary to provide the services in accordance with applicable law.
      • This automated decision can include profiling in some cases, i.e., the processing of Personal Data that evaluates individual personality characteristics such as creditworthiness. In this case, the Data Subject must be notified about the occurrence and outcome of an automated individual decision and be given the opportunity to have an individual review performed by Euronet.
    1. Global Privacy Officer (GPO) is responsible for:
      • The GPO, as the owner of this Policy, is responsible for reviewing this Policy annually (at a minimum) and when it is deemed necessary to ensure ongoing compliance with applicable privacy laws.
      • The GPO is responsible for overseeing the Privacy Office’s advice to Euronet Group Entities and Employees on the processing of Personal Data.
    2. Data Protection Officers (DPO)
      • A DPO position is created where applicable local privacy laws dictate the need for a local privacy representative within the company. The GPO holds the role of overseeing DPO appointments and ensuring alignment with local legal obligations.
      • For any data protection issues requiring reporting to local authorities, the GPO must first be notified. The GPO will collaborate closely with the local DPO to ensure full compliance with reporting obligations.
    3. The Euronet Privacy Office (Privacy Office) Responsibilities:
      • The Privacy Office is exclusively responsible for advising Euronet Group Entities and Employees on the processing of Personal Data and compliance with applicable privacy laws. If another department receives a privacy-related request, the request must be forwarded to the Privacy Office immediately by email to dpo@euronetworldwide.com
      • The Privacy Office is responsible for making this Policy and any associated procedures available to Employees and aiding, as needed.

Kebijakan Privasi v.1.0

Tarikh Berkuatkuasa : 26 Nov 2025

Penafsiran

Dalam dokumen Kebijakan Privasi ini, kecuali jika diperlukan konteksnya:

  1. Versi bahasa Inggris akan menjadi teks resmi untuk dipergunakan sebagai referensi apabila terjadi perselisihan yang timbul akibat penafsiran Kebijakan Privasi ini.
  2. Kata-kata yang mengandung makna maskulin dianggap dan dianggap mencakup jenis kelamin feminin dan sebaliknya.
  3. Kata-kata yang mengandung makna tunggal berlaku dan dianggap mencakup makna jamak dan sebaliknya.
  4. Referensi terhadap kata “Anda” dalam Kebijakan Privasi ini merujuk kepada setiap orang yang kepadanya Kebijakan Privasi ini berlaku. apabila referensi yang lebih spesifik digunakan (seperti “karyawan”), referensi yang lebih spesifik yang diutamakan.
    1. Kebijakan ini menguraikan kerangka kerja global Euronet untuk memproses Data Pribadi secara bertanggung jawab dan sah secara hukum. Kebijakan ini beserta prosedur terkaitnya memfasilitasi kepatuhan Euronet terhadap undang-undang privasi yang berlaku dan memastikan hak privasi dari para individu terkait.
    2. Kebijakan ini menetapkan fungsi Privasi Euronet di bawah arahan Pejabat Privasi. Tujuannya adalah untuk memberi nasihat kepada Euronet tentang cara-cara yang sah untuk memproses Data Pribadi dan memastikan tingkat perlindungan yang memadai untuk semua Data Pribadi.
    3. Kebijakan ini berlaku untuk Infinitium dan selaras dengan Kebijakan Privasi dan Kode Etik Grup Euronet.
    1. Kebijakan ini harus dibaca bersamaan dengan dokumen Kode Etik INFINITIUM dan Kode Etik Euronet, serta kebijakan lain yang dikeluarkan oleh Departemen Privasi, termasuk:
      • Kebijakan Retensi
      • Kebijakan Permintaan Hak Subjek Data Pribadi
      • Kebijakan Kontrol Akses Data Pribadi
      • Kebijakan Tinjauan Hukum
      • Kebijakan Keamanan Informasi Perusahaan
      • Rencana Respons Insiden Global
    2. Kebijakan ini beserta kebijakan-kebijakan yang diberikan di atas akan memastikan adanya sistem manajemen untuk perlindungan informasi pribadi.
    3. Kebijakan ini berlaku untuk seluruh negara tempat Euronet beroperasi termasuk negara-negara di mana data badan hukum dianggap sebagai Data Pribadi.
    1. Semua Karyawan dan Pihak Ketiga yang memiliki akses ke Data Pribadi milik Euronet harus mematuhi Kebijakan ini dan segala komunikasi yang terkait. Apabila, selain Kebijakan ini, Euronet menetapkan dan menerapkan prosedur khusus terkait pemrosesan Data Pribadi, prosedur tersebut harus diikuti oleh semua Karyawan untuk memungkinkan kepatuhan Euronet terhadap undang-undang privasi yang berlaku.
    2. Kegagalan untuk mematuhi Kebijakan ini dan prosedur terkait dapat menyebabkan Euronet dan Karyawannya menghadapi tanggung jawab perdata dan/atau pidana yang serius. Kegagalan seorang karyawan untuk mematuhi Kebijakan ini dapat mengakibatkan sanksi disipliner, termasuk skorsing atau pemutusan hubungan kerja.
    3. Seluruh pertanyaan mengenai Kebijakan ini harus ditujukan kepada Pejabat Privasi Grup melalui email di dpo@euronetworldwide.com
    4. Terkecuali ditentukan lain oleh persyaratan hukum, Entitas Grup Euronet tidak berhak menerapkan peraturan yang menyimpang dari Kebijakan ini.
    5. Apabila kepatuhan terhadap Kebijakan ini akan mengakibatkan pelanggaran terhadap hukum nasional, atau apabila peraturan yang diwajibkan berdasarkan hukum nasional menyimpang dari Kebijakan ini, hal ini harus dilaporkan kepada Pejabat Privasi untuk dilaksanakan pemantauan hukum perlindungan data. Dan apabila terjadi pertentangan antara undang-undang nasional dan Kebijakan ini, Pejabat Privasi akan bekerja sama dengan Entitas yang bertanggung jawab untuk menemukan solusi praktis yang memenuhi tujuan dari Kebijakan ini
    1. Semua Karyawan dan Pihak Ketiga diharuskan mematuhi prinsip privasi berikut (“Prinsip Privasi Euronet”) sesuai dengan undang-undang privasi yang berlaku:
      • Transparan: Menginformasikan Subjek Data tentang praktik dan kebijakan Euronet terkait Data Pribadi (misalnya, pemberitahuan situs web, tanda terima, email). Subjek Data harus diberi tahu mengenai Data Pribadi yang dikumpulkan, tujuan pemrosesan, dan aktivitas pemrosesan tambahan apa pun yang melibatkan data mereka. Informasi ini harus mudah diakses dan dipahami (yaitu, ditulis dalam bahasa sederhana) dan harus disajikan kepada Subjek Data pada saat pengumpulan, setiap kali Data Pribadi tambahan dikumpulkan, atau ketika terdapat aktivitas pemrosesan baru.
      • Identifikasi Dasar yang Sah atau Tujuan Bisnis yang Sah: Untuk setiap aktivitas pemrosesan, identifikasikan dasar hukum atau tujuan bisnis yang sah yang sesuai dengan undang-undang privasi yang berlaku. Data Pribadi yang dikumpulkan oleh Euronet akan diperoleh dengan cara yang adil dan sah secara hukum, dan apabila diperlukan, dengan persetujuan dari Subjek Data.
      • Batasi Pengumpulan: Pengumpulan Data Pribadi harus dibatasi hanya pada jenis Data Pribadi yang diperlukan untuk mencapai tujuan.
      • Minimalkan Pengumpulan: Kumpulkan Data Pribadi dalam jumlah minimum yang diperlukan untuk mencapai tujuan.
      • Minimalkan Penyimpanan: Hanya menyimpan Data Pribadi selama diperlukan untuk mencapai tujuan pengumpulannya atau untuk mematuhi hukum yang berlaku.
      • Menerapkan Perlindungan Keamanan yang Wajar: Menerapkan perlindungan keamanan yang wajar untuk melindungi Data Pribadi dari risiko, seperti kehilangan atau akses tidak sah, penghancuran, penggunaan, modifikasi, atau pengungkapan.
      • Permintaan Hak Subjek Data: Memungkinkan individu (yaitu Pelanggan dan Karyawan) untuk menggunakan hak mereka sehubungan dengan Data Pribadi mereka sesuai dengan undang-undang privasi yang berlaku.
      • Data ketenagakerjaan: Euronet menganggap Karyawan sebagai Subjek Data berdasarkan Kebijakan ini terlepas dari persyaratan peraturan setempat.
      • Anak di Bawah Umur: Hanya memproses Data Pribadi anak di bawah umur jika diperlukan dan sesuai dengan hukum yang berlaku.
      • Akurasi: Data pribadi yang dikumpulkan oleh Euronet harus akurat dan selalu diperbarui
    1. Euronet akan menangani Data Pribadi yang diberikan oleh pelanggan, Karyawan, atau pihak ketiga mana pun sesuai dengan tujuan yang dijelaskan pada saat pengumpulan Data Pribadi.
    2. Seluruh personel yang memiliki akses ke Data Pribadi harus menyadari keterbatasan dan tujuan pemrosesan serta harus sepakat untuk menghindari pemrosesan tambahan apa pun yang sebelumnya tidak diizinkan.
    3. Euronet akan memastikan bahwa Data Pribadi diproses dengan cara yang sah secara hukum dan dengan itikad baik. Hal ini berlaku untuk pemrosesan data yang terjadi diantara Entitas Grup Euronet. Apabila hanya dikarenakan Grup yang mentransfer dan menerima Data Pribadi berafiliasi dengan Entitas Grup Euronet tidak dapat dijadikan dasar hukum yang memadai.
    4. Setiap Karyawan atau pihak ketiga yang memiliki akses kepada Data Pribadi Euronet harus segera memberi tahu Pejabat Privasi apabila mereka yakin pemrosesan atau instruksi yang diberikan tidak mematuhi hukum yang berlaku.
    1. Seluruh aktivitas pemrosesan yang dilakukan oleh Euronet akan dicatat oleh Departemen Privasi bekerja sama dengan unit bisnis. Tujuannya adalah untuk memiliki inventarisasi dan analisis yang tepat atas semua aktivitas pemrosesan.
    2. Setiap kegiatan pengolahan yang diuraikan dalam Catatan Kegiatan Pengolahan (ROPA) paling sedikitnya harus mencakup hal-hal berikut:
      • Subyek Data yang terlibat
      • Kategori data yang diproses
      • Tujuan pemrosesan
      • Berapa lama data akan disimpan.
      • Langkah-langkah keamanan teknis dan organisasi yang digunakan
    3. Meskipun kewajiban hukum untuk membuat ROPA hanya terdapat pada yurisdiksi tertentu, Euronet telah mengadopsi praktik ini di semua Entitas Grup Euronet sebagai alat untuk kontrol internal dan untuk menunjukkan kepatuhan dan implikasi Euronet terhadap privasi.
    4. ROPA akan digunakan untuk memastikan kepatuhan terhadap Prinsip Privasi seperti minimalisasi data, langkah-langkah keamanan, dan penyimpanan data. Setiap kali ROPA diselesaikan, rencana tindak lanjut untuk mematuhi aturan pemrosesan dan perlindungan data akan ditetapkan.
    1. Pada saat pemrosesan Data Pribadi atau jika terjadi perubahan signifikan terhadap pemrosesan Data Pribadi yang sudah ada (khususnya yang menggunakan teknologi baru), lakukan penilaian apakah pemrosesan tersebut menimbulkan risiko yang tinggi terhadap privasi Subjek Data. Sifat, ruang lingkup, konteks dan tujuan data yang diolah juga harus dipertimbangkan. Sebagai bagian dari analisis risiko, unit bisnis bertanggung jawab dalam menilai dampak pemrosesan baru ataupun perubahan terhadap Data Pribadi yang ada. DPIA akan dilaksanakan oleh Departemen Privasi bekerja sama dengan unit bisnis yang bertanggung jawab atas pemrosesan. Unit bisnis dan Departemen Privasi harus berkolaborasi untuk memungkinkan Departemen Privasi mendapat informasi mengenai seluruh rincian yang diperlukan, aliran data, dan pihak-pihak yang terlibat dalam aktivitas pemrosesan.
    2. Apabila risiko terhadap hak dan kebebasan Subjek Data tetap tinggi setelah selesainya PIA dan setelah penggunaan langkah-langkah keamanan yang sesuai, Departemen Privasi, dengan kolaborasi unit bisnis yang terkena dampak, akan tetap menunda pemrosesan hingga langkah-langkah untuk menurunkan risiko ditetapkan.
    1. Prinsip "Privasi berdasarkan Desain" bertujuan untuk memastikan unit bisnis menentukan strategi internal yang canggih dan mengadopsi langkah-langkah untuk mengintegrasikan prinsip-prinsip perlindungan data ke dalam spesifikasi dan arsitektur model/proses bisnis dan sistem TI untuk pemrosesan data sejak awal atau selama fase konseptualisasi dan desain teknis.
    2. Sesuai dengan prinsip "Privasi Berdasarkan Desain", prosedur dan sistem pemrosesan Data Pribadi harus dirancang sedemikian rupa sehingga pengaturan default dibatasi hanya pada pemrosesan data yang diperlukan untuk memenuhi tujuan tersebut (prinsip "Privasi Secara Default"). Ini mencakup cakupan pemrosesan, periode penyimpanan, dan aksesibilitas. Tindakan lebih lanjut mungkin termasuk:
      • penyamaran Data Pribadi sesegera mungkin.
      • memberikan transparansi mengenai fungsi dan pemrosesan Data Pribadi.
      • mengizinkan Subjek Data untuk memutuskan pemrosesan Data Pribadi mereka.
      • menerapkan langkah-langkah keamanan yang tepat selama penyimpanan, transmisi.
      Setiap Entitas Grup Euronet harus menerapkan dan memelihara langkah-langkah teknis dan organisasi yang sesuai di seluruh siklus hidup aktivitas pemrosesannya, untuk memastikan bahwa prinsip-prinsip di atas selalu dipatuhi. Dan pemrosesan Data Pribadi.
    1. Tata Kelola Insiden:
      • Apabila terjadi potensi pelanggaran yang memengaruhi Data Pribadi pelanggan Euronet, Karyawan, dan Subjek Data lainnya yang mungkin berinteraksi dengan Euronet, Karyawan atau pihak ketiga yang mengetahui pelanggaran tersebut harus memberi tahu Bagian Keamanan, Legal, unit bisnis yang terkena dampak, dan Departemen Privasi sesuai dengan dokumen “Panduan Respons Insiden Perusahaan (CiRP)”.
      • Setelah diberitahukan secara internal, setiap pelanggaran akan dianalisis berdasarkan kasus per kasus, dengan mempertimbangkan jenis pelanggaran, langkah-langkah keamanan yang diambil untuk mengurangi dampak negatif terhadap Subjek Data yang terkena dampak, Data Pribadi yang terkena dampak, serta sejauh mana Data Pribadi terekspos.
    2. Insiden terkait Data Pribadi atau Pelanggaran Data Pribadi:
      • Pelanggaran Data Pribadi terjadi setiap kali ada pelanggaran terhadap:
        • Kerahasiaan:: apabila terdapat pengungkapan atau akses terhadap Data Pribadi yang tidak sah atau tidak disengaja.
        • Integritas:: apabila terdapat perubahan Data Pribadi yang tidak sah atau tidak disengaja.
        • Ketersediaan:: apabila terjadi hilangnya akses atau penghancuran Data Pribadi secara tidak disengaja atau tidak sah.
    3. Pelanggaran Data Pribadi dapat terjadi apabila karyawan kehilangan perangkat elektronik yang memiliki akses ke Data Pribadi Euronet atau ketika ada serangan eksternal pada sistem Euronet. Kapan pun Data Pribadi berisiko (serangan manusia, kesalahan manusia, force majeure), protokol dalam pedoman CiRP harus diikuti.
    1. Euronet hanya memproses Data Pribadi untuk memastikan kepatuhan terhadap peraturan setempat dan untuk menyediakan layanan yang diminta kepada pelanggan.
    2. Euronet tidak menerima manfaat ekonomi atau imbalan berharga lainnya atas data Pelanggan atau Karyawan. Apabila Euronet menjual informasi terkait Subjek Data untuk menyediakan layanan yang diminta, sebagaimana ditentukan oleh undang-undang setempat yang berlaku, Euronet akan memastikan adanya pemberitahuan yang sesuai dan Subjek Data diberi kesempatan untuk memilih tidak ikut serta
  11. juga dikenal sebagai Undang-Undang Modernisasi Jasa Keuangan tahun 1999
    1. Euronet adalah lembaga keuangan, sebagaimana didefinisikan dalam GLBA. Oleh karena itu, pengecualian berdasarkan undang-undang privasi Amerika Serikat yang berlaku berlaku, sehingga Euronet dapat memproses Data Pribadi di AS sesuai dengan standar yang dijelaskan di dalam dokumen ini. Pengecualian ini hanya berlaku untuk operasi di Amerika Serikat. Untuk Malaysia, Singapura, dan Indonesia, hukum setempat yang berlaku.
    1. Seluruh Karyawan harus menjaga informasi rahasia dan Data Pribadi dari kehilangan atau pengungkapan yang tidak disengaja kepada pihak yang tidak berwenang kecuali Anda diwajibkan secara hukum untuk mengungkapkan informasi tersebut. Anda harus menghubungi departemen Hukum sebelum melakukan pengungkapan informasi dalam bentuk apa pun. Informasi rahasia dan Data Pribadi tidak boleh digunakan untuk keuntungan pribadi.
    1. Hak privasi yang dimiliki mungkin berbeda tergantung di mana Subjek Data berada. Departemen Privasi Euronet memiliki spesialis yang dapat membantu semua Subjek Data dari mana saja apabila mereka ingin menggunakan haknya.
    2. Ketika Subjek Data menggunakan haknya dengan meminta akses ke data pribadinya atau informasi tentang cara penggunaannya, Euronet akan memberikan rincian yang relevan dan salinan data pribadi subjek data yang disimpan dalam sistemnya kecuali undang-undang setempat yang berlaku membatasi informasi apa yang boleh dibagikan.
    3. Subjek Data berhak meminta penghapusan datanya sesuai dengan undang-undang privasi yang berlaku. Beberapa permintaan penghapusan data yang diajukan mungkin ditolak apabila kewajiban hukum atau kepatuhan menjadi prioritas. Dalam hal ini, Euronet tidak akan memenuhi permintaan tersebut namun akan membatasi akses ke data pribadi, sehingga memungkinkan aksesibilitas kepada personel yang berwenang sesuai dengan persyaratan hukum yang berlaku. Setelah persyaratan hukum dipenuhi, Data Pribadi akan secara otomatis dihapus karena tidak diperlukan lagi untuk tujuan pengumpulannya.
    4. Subjek Data berhak untuk menarik diri dari pemrosesan Data Pribadi mereka untuk tujuan tertentu kecuali jika penarikan tersebut membuat Euronet tidak mungkin menyediakan Layanan yang diminta oleh Subjek Data.
    5. Setiap kali hak Subjek Data dilaksanakan, Euronet akan memastikan Subjek Data menerima jawaban yang memadai dalam jangka waktu hukum yang ditentukan oleh hukum yang berlaku.
    6. Subjek Data diberikan daftar hak yang mungkin ingin mereka terapkan.
    1. Data Pribadi harus dilindungi dari akses yang tidak sah dan pemrosesan atau transfer yang melanggar hukum, serta dari kehilangan, perubahan, atau penghancuran yang tidak disengaja. Sebelum memperkenalkan metode pemrosesan data baru, khususnya sistem TI baru, langkah-langkah yang bersifat teknis dan organisasional harus ditentukan dan diterapkan untuk melindungi Data Pribadi. Langkah-langkah ini harus didasarkan pada teknologi tercanggih dengan tetap mempertimbangkan risiko pemrosesan dan kebutuhan untuk melindungi Data Pribadi.
    2. Tindakan yang bersifat teknis dan organisasional yang relevan dengan perlindungan data harus didokumentasikan oleh pengontrol dalam konteks Penilaian Dampak Perlindungan Data (DPIA) dan Catatan Aktivitas Pemrosesan (ROPA).
    1. Entitas Grup Euronet memiliki kehadiran secara internasional. Server data dan pusat pemrosesan berlokasi secara global. Sebagai akibatnya, Euronet akan mentransfer Data Pribadi ke berbagai negara. Beberapa negara tersebut dapat dikategorikan sebagai “negara ketiga” sesuai dengan undang-undang perlindungan data yang berlaku.
    2. Untuk melindungi Subjek Data, terlepas dari negara tempat tinggalnya, Euronet akan:
      • Memastikan setiap kali terjadi transaksi lintas batas, negara ketiga memberikan tingkat perlindungan data yang memadai sesuai dengan standar lokal.
      • Memastikan pengalihan tersebut tunduk pada Klausul Kontrak Standar, jika berlaku. Apabila diperlukan, penilaian terhadap hukum setempat mungkin diperlukan. Penilaian tersebut mencakup penentuan apakah tingkat perlindungan yang diwajibkan oleh hukum setempat setara di negara ketiga. Jika hal ini tidak terjadi, langkah-langkah tambahan untuk memastikan tingkat perlindungan yang setara, sebagaimana diatur dalam undang-undang setempat, akan dipertimbangkan dan diterapkan.
      • Seluruh Entitas Grup Euronet memiliki perjanjian pemrosesan antar perusahaan yang memastikan bahwa standar keamanan tertinggi terpenuhi dan semua hak dan kewajiban dihormati, terlepas dari negara asalnya.
    1. Data biometrik
      • Entitas Euronet dapat memproses Data Biometrik hanya jika diperlukan untuk menyediakan layanannya.
      • Entitas Euronet akan memastikan pemrosesan Data Biometrik mematuhi semua standar yang dinyatakan dalam bagian 4.1 Kebijakan Privasi ini.
      • Subjek Data akan selalu diberitahu ketika entitas Euronet memerlukan Data Biometrik yang diperlukan. Euronet akan memastikan untuk mendapatkan persetujuan yang diberikan secara bebas dan diinformasikan dari Subjek Data untuk memproses Data Biometrik.
      • Entitas Euronet harus menawarkan mekanisme alternatif yang sesuai kepada subjek data yang memilih untuk tidak menyetujui pemrosesan data biometric.
    2. Data Pribadi Ketenagakerjaan
      • Data Pribadi dapat diproses ketika diperlukan untuk membuat, melaksanakan, dan mengakhiri sebuah hubungan kerja. Misalnya, Data pribadi kandidat dapat diproses untuk membantu pengambilan keputusan apakah akan melibatkan kandidat dalam suatu hubungan kerja. Apabila seorang kandidat ditolak, datanya harus dihapus sesuai dengan periode penyimpanan yang disyaratkan, kecuali kandidat tersebut telah setuju untuk tetap disimpan untuk proses seleksi di masa depan.
      • Diperlukan sebuah persetujuan bagi Euronet untuk dapat menggunakan data tersebut untuk proses permohonan lebih lanjut atau sebelum membagikan aplikasi tersebut dengan Entitas Euronet lainnya. Dalam hubungan kerja yang ada, pengolahan data harus selalu berhubungan dengan tujuan hubungan kerja tersebut.
      • Selama proses lamaran dimana terdapat pengumpulan Data Pribadi pemohon dari pihak ketiga, persyaratan hukum setempat yang berlaku harus dipatuhi.
      • Dasar hukum sebagaimana dimaksud di atas harus dipenuhi untuk memproses Data Pribadi yang berkaitan dengan Karyawan
    3. Teknologi yang Sedang Berkembang
      • Teknologi yang mencakup perangkat lunak, aplikasi cloud, atau solusi teknis apa pun yang memproses Data Pribadi, harus mematuhi pedoman berikut:
      • Penggunaan teknologi harus diizinkan oleh hukum.
      • Sebelum penerapan, Departemen Privasi akan dilibatkan, dan Penilaian Dampak Perlindungan Data akan diselesaikan.
      • Memastikan bahwa hanya Data Pribadi yang diperlukan yang diproses saat menerapkan teknologi yang sedang berkembang.
      • Menerapkan langkah-langkah keamanan yang kuat untuk melindungi Data Pribadi yang diproses oleh teknologi.
      • Memastikan bahwa setiap keputusan yang dihasilkan dari teknologi ini diteliti dengan cermat untuk mencegah diskriminasi atau hasil yang bias.
      • Secara teratur meninjau hasilnya untuk memastikan kepatuhan terhadap persyaratan peraturan.
      • Penggunaan data produksi, termasuk Data Pribadi, untuk tujuan produksi atau pengujian, dilarang keras tanpa persetujuan terdokumentasi sebelumnya melalui DPIA.
      • Penerapan teknologi baru yang melibatkan pengambilan keputusan otomatis (walaupun melibatkan keterbatasan layanan) hanya diperbolehkan jika ada mekanisme pengawasan yang diterapkan dan transparansi terjamin selama pengambilan Keputusan.
    4. Pengambilan Keputusan secara otomatis
      • Subjek Data dapat tunduk pada keputusan yang sepenuhnya otomatis yang dapat menimbulkan dampak hukum atau dampak negative yang serupa pada Subjek Data apabila ketentuan berikut berlaku:
      • Pengambilan keputusan otomatis diperlukan untuk menyimpulkan atau melaksanakan sebuah kontrak.
      • Subjek Data memberikan persetujuan.
      • Pengambilan keputusan otomatis diperlukan untuk menyediakan layanan sesuai dengan hukum yang berlaku.
      • Keputusan otomatis ini dapat mencakup pembuatan profil dalam beberapa kasus, misalnya pemrosesan Data Pribadi yang mengevaluasi karakteristik kepribadian individu seperti kelayakan kredit. Dalam hal ini, Subjek Data harus diberitahu tentang kejadian dan hasil keputusan individu otomatis dan diberi kesempatan untuk melakukan peninjauan individu oleh Euronet.
    1. Pejabat Privasi Global (GPO) bertanggung jawab untuk:
      • GPO, sebagai pemilik Kebijakan ini, bertanggung jawab untuk meninjau Kebijakan ini setiap tahun (minimal) dan apabila dianggap perlu untuk memastikan kepatuhan berkelanjutan terhadap undang-undang privasi yang berlaku.
      • GPO bertanggung jawab untuk mengawasi saran Kantor Privasi kepada Entitas Grup Euronet dan Karyawan mengenai pemrosesan Data Pribadi.
    2. Pejabat Perlindungan Data (DPO)
      • Posisi DPO dibentuk apabila undang-undang privasi lokal yang berlaku menentukan perlunya terdapat perwakilan privasi lokal di dalam perusahaan. GPO berperan mengawasi penunjukan DPO dan memastikan keselarasan dengan kewajiban hukum setempat.
      • Untuk masalah perlindungan data apa pun yang memerlukan pelaporan kepada otoritas setempat, GPO harus diberitahu terlebih dahulu. GPO akan berkolaborasi erat dengan DPO lokal untuk memastikan kepatuhan penuh terhadap kewajiban pelaporan
    3. Tanggung Jawab Departemen Privasi Euronet (Departemen Privasi):
      • Kantor Privasi secara eksklusif bertanggung jawab untuk memberi saran kepada Entitas dan Karyawan Grup Euronet mengenai pemrosesan Data Pribadi dan kepatuhan terhadap undang-undang privasi yang berlaku. Jika departemen lain menerima permintaan terkait privasi, permintaan tersebut harus segera diteruskan ke Kantor Privasi melalui email ke dpo@euronetworldwide.com
      • Kantor Privasi bertanggung jawab untuk membuat Kebijakan ini dan segala prosedur terkait tersedia bagi Karyawan dan membantu, jika diperlukan.