SESI 1 · PRINSIP PERLINDUNGAN DATA PERIBADI 1. ... Pelaksanaan 7 Prinsip APDP Prinsip Keselamatan...

66
SESI 1 PERSIDANGAN PEMATUHAN AKTA PERLINDUNGAN DATA PERIBADI 2010

Transcript of SESI 1 · PRINSIP PERLINDUNGAN DATA PERIBADI 1. ... Pelaksanaan 7 Prinsip APDP Prinsip Keselamatan...

SESI 1

PERSIDANGAN

PEMATUHAN AKTA PERLINDUNGAN DATA PERIBADI 2010

AKTA 709&

PEMATUHANNYA

• Terdiri dari 146 seksyen, 11 bahagian.

• Mula berkuat kuasa - 15 November 2013.

• ‘Pengguna Data’ mula tertakluk kepada Akta dan ‘Subjek Data’

mula dilindungi.

• 11 golongan PD [PUA 336] – tempoh 3 bulan untuk mendaftar.

• Tempoh pendaftaran dan pematuhan oleh PD(sedia ada) –

berakhir 14 Febuari 2014.

4

LATAR BELAKANG AKTA

• 3 bulan tempoh pematuhan prinsip – PD sedia ada.

• Pematuhan sepenuhnya – oleh semua PD dalam transaksi

komersial - 15 Febuari 2014.

• Penguatkuasaan pendaftaran, pemeriksaan sistem (s.101),

pemantauan, siasatan aduan dll. – telah bermula 15 Febuari

2014.5

1 tahun 9 bulan

yang lalu

LATAR BELAKANG AKTA

6

BIDANGKUASA UMUM

AKTA 709

APDP 2010

(Akta 709)

bertujuan

melindungi

-DP; dan

-DP Sensitif

setiap subjek

data

dari sebarang

bentuk

prosesan

oleh

Pengguna

Data

dengan

mematuhi 7P

PDP

-di dalam

Malaysia

-kelengkapan

di Malaysia

berhubung

transaksi

komersial

selepas 15

Nov 2013

7

3 golongan PD di Malaysia :

1. Dikecualikan – kerajaan, proses luar Malaysia, bukan

komersial

2. Perlu patuh – semua PD selain pihak yang dikecualikan

3. Perlu patuh dan berdaftar – 11 golongan [PUA 336]

8

3 aspek penting pematuhan Akta 709:

1. Pendaftaran – bagi yang perlu berdaftar – 11 golongan

setakat ini

2. Patuhi 7 prinsip sepanjang memproses DP – semua PD,

berdaftar/ tidak

3. Tunaikan hak SD yang diberikan oleh Akta

4. Penguatkuasaan/ siasatan – beri kerjasama

TAFSIRAN ISTILAH (s.4)

9

DATA PERIBADI

Apa-apamaklumatberkaitan

seorang SD

Diproses berkenaan transaksi komersial

Direkod secara

manual @ elektronik

Dikenal pasti @ boleh

dikenal pasti

Termasuk DP Sensitif

Termasuk pendapat

tentang SD itu

Kecualidiprosesoleh APK

10

Data peribadisensitif

maklumat peribadi lain seperti rekodperubatan, tahap kesihatan, ideologipolitik, kepercayaan agama dll

Orang yang

berkaitan

SD < 18 Tahun: Ibu,bapa, penjaga

OTU: Lantikan mahkamah/ diberi kuasabertulis

SD Biasa: orang diberi kuasa bertulis untukbuat permintaan akses/ pembetulan data bagipihaknya

11

Penggunadata

Individu/ organisasi yang proses DP @mempunyai kawalan/ benarkanpemprosesan DP. Tidak termasukpemproses data.

Proses

kumpul, rekod, pegang, simpan DP; atau

Kendalikan DP - termasuk membuatpenyusunan, suaian, ubah, dapatkan kembali,hantar, pindah, sebar, jajar, gabung, padam,musnah

Subjekdata

individu yang menjadi subjek kepadaDP itu.

Transaksikomersial

apa-apa transaksi bersifat komersial – kontrak/tidak – termasuk perkara berhubung pembekalan/pertukaran barang/ perkhidmatan, agensi,pelaburan, pembiayaan, bank dan insuran.

Tidak termasuk perniagaan pelaporan kredit olehAPK.

12

LAWATANPEMANTUAN :

SIRI 1

SIRI LAWATANCIMBTELEKOM M’SIA BHD JESSELTON

MEDICAL CENTRE

ZAMANI &

CO

SUTERA HARBOUR

BANK RAKYAT

TH TRAVEL

POS M’SIA BHD

SP SETIA

ASTRO

LAWATANPEMANTUAN :

SIRI 2

KOPERASI PEGAWAI KERAJAAN

NEGERI KEDAH

SPORTS PLANET

PUTRA PALACE

A FAMOSA GOLF

RESORT

MAYFAIRRed ONE

TUJUAN LAWATAN

Fasa II pelaksanaan APDP - tertumpu kepada penyediaan Kod

Tata Amalan dan penggubalan Standard Keselamatan, Integriti

Data dan Penyimpanan (standard)

Kod Tata Amalan dan standard - memperlihatkan penekanan

Kerajaan kepada aspek pemakaian self-regulatory di kalanganpemain industri pemprosesan data peribadi

Hasil lawatan akan digunakan bagi mengenal pasti, merancang,

dan memantau penguatkuasaan APDP bagi tujuan berikut –

i) Menyediakan Kod Tata Amalan dan standard berkaitan;

ii) Mengawal selia aspek pematuhan Akta; dan

iii) Merangka program-program pendidikan dan kesedaran

di kalangan pengguna data.

TUJUAN LAWATAN

Fokus :

Langkah-langkah pematuhan Akta Perlindungan Data Peribadi

(APDP) 2010 oleh pengguna data

a. Unit/pegawai bertanggungjawab (Focal Point)

b. Pelaksanaan 7 Prinsip APDP

*Prinsip Am

*Prinsip Notis & Pilihan

*Prinsip Penzahiran

SKOP LAWATAN

*Prinsip Keselamatan

*Prinsip Penyimpanan

*Prinsip Integriti Data

*Prinsip Akses

c. Program Kesedaran berkenaan APDP

SKOP LAWATAN

LANGKAH-LANGKAH PEMATUHAN AKTA PERLINDUNGAN

DATA PERIBADI (APDP) 2010 OLEH PENGGUNA DATA

a. Unit/pegawai bertanggungjawab(Focal Point)

Hanya separuh daripada organisasi pengguna data telah

melantik pegawai pematuhan khusus yang bertanggungjawab

bagi melihat pelaksanaan dan pematuhan APDP di organisasi

masing-masing

a. Unit/pegawai bertanggungjawab(Focal Point)

Namun, ada di kalangan pegawai pematuhan tidak benar-

benar memahami peranan dan tanggungjawab serta

tindakan yang perlu dilaksanakan bagi memastikan

pematuhan organisasi masing-masing terhadap APDP

PRINSIP PERLINDUNGAN DATA PERIBADI

1. Prinsip Am [s.6]: PD tidak boleh proses DP SD tanpa persetujuannya

KECUALI:

i. Bagi laksanakan kontrak dengan SD;

ii. Atas permintaan SD bagi membuat kontrak;

iii. Mematuhi obligasi undang-undang;

iv. Melindungi kepentingan vital (kehidupan, kematian atau keselamatan)

SD;

v. Mentadbir keadilan; dan

vi. Menjalankan fungsi undang-undang.23

24

Prinsip Am

Proses DP

OTU urus diri

sendiri dengan

kebenaran

Proses DP SD di

bawah 18 tahun

dengan

kebenaran

1 persetujuan

hanya untuk 1

transaksasi

komersial

Ada bukti

persetujuan

(boleh rekod dan

disenggara)

Proses DP

dengan

persetujuan SD

Maksud sah;

berkaitan

dengan aktiviti

PD

Perlu atau

berhubung

langsung dengan

maksud itu

Cukup, TETAPI

tidak lebih dari

keperluan itu

Bagi mematuhi Prinsip Am juga, PD hendaklah mengambil

kira:

i. Beban pembuktian persetujuan yang terletak kepada

mereka [Ptn.3(5)]; dan

ii. Persetujuan yang nyata telah diperolehi daripada SD

sekiranya pemprosesan turut melibatkan DP sensitif

[s.40(1)].

25

b. Pelaksanaan 7 Prinsip APDP

Prinsip Am

Persetujuan subjek data tidak direkod dengan

sempurna– tiada frasa persetujuan, hanya

tandatangan, dalam bentuk lisan, dan tidak direkod

b. Pelaksanaan 7 Prinsip APDP

Prinsip Am

Tiada persetujuan subjek data untuk memproses dan

menzahirkan data peribadi mereka kepada pihak ketiga

secara jelas dalam bentuk bertulis

b. Pelaksanaan 7 Prinsip APDP

Prinsip Am

Frasa persetujuan subjek data dihubungkait dengan tujuan

yang lain daripada tujuan asal pengumpulan data

b. Pelaksanaan 7 Prinsip APDP

Prinsip Am

Pengumpulan data peribadi yang berlebihan (elemen yang

berlebihan di dalam borang yang tidak berkenaan dengan

maksud/tujuan yang dipersetujui oleh subjek data)

2. Prinsip Notis dan Pilihan [s.7]:

a) PD hendaklah maklumkan SD – secepat yang dapat mengenai

prosesan DPnya;

b) Notis & Pilihan hendaklah bertulis (kaunter, premis, portal, sms,

emel dll); dan

c) Sekurang-kurangnya dalam BK dan BI.

d) Bentuk tidak ditentukan (frame, poster, flyers, leaflet, booklet dll).

e) Mengandungi elemen wajib yang telah ditetapkan.

34

35

Kandungan

Notis &

Pilihan

DP itu diproses

oleh atau bagi

pihak PD

Jika wajib

berikan DP itu,

akibat sekiranya

tidak diberi

Sama ada wajib

atau sukarela

memberikan DPPilihan dan cara

yang ditawarkan

untuk hadkan

pemprosesan

Tujuan DP itu

dikumpul dan

akan diproses

lanjut

Maklumat

sumber DP itu

diperolehi

Hak akses, buat

pembetulan dan

hubungi semula

PD

Golongan pihak

ketiga yang

akan dizahirkan

DP itu

b. Pelaksanaan 7 Prinsip APDP

Prinsip Notis & Pilihan

Notis Privasi-tidak memberikan pilihan pemprosesan data

kepada subjek data serta tidak menyatakan secara terperinci

dan jelas perkara-perkara yang sewajarnya dimaklumkan

kepada subjek data sepertimana yang ditetapkan oleh Akta

b. Pelaksanaan 7 Prinsip APDP

Prinsip Notis & Pilihan

Terlalu panjang dan dalam bahasa yang tidak mudah

Tidak dipaparkan di lokasi yang mudah dilihat oleh subjekdata

b. Pelaksanaan 7 Prinsip APDP

Prinsip Notis & Pilihan

Pilihan yang diberikan kepada subjek data bersekali

dengan perkhidmatan optional (promosi produk dan

perkhidmatan lain)

b. Pelaksanaan 7 Prinsip APDP

Prinsip Notis & Pilihan

Tiada notis dan pilihan kepada subjek data

Kakitangan di kaunter - tiada kefahaman dan latihan

berkenaan penerangan berkaitan notis privasi organisasikepada subjek data

3. Prinsip Penzahiran [s.8]: DP tidak boleh dizahirkan kepada

pihak lain tanpa persetujuan SD melainkan untuk tujuan asal

dikumpul.

Peraturan-Peraturan PDP 2013.

Senarai penzahiran [Ptn.5]:

Bagi maksud s.8(b) – PD hendaklah menyimpan dan

menyenggara suatu senarai penzahiran DP yang telah atau

sedang diproses kepada pihak ketiga.48

b. Pelaksanaan 7 Prinsip APDP

Prinsip Penzahiran

Subjek data tidak dimaklumkan berkenaan siapakah pihak

ketiga di mana data mereka dizahirkan

Tiada senarai penzahiran data peribadi kepada pihak ketiga

yang sepatutnya disediakan sepertimana ketetapan Akta

4. Prinsip Keselamatan [s.9]: PD – ambil langkah praktikal – lindungi

DP – hilang, salah guna, ubah suai, akses/ penzahiran tanpa

kebenaran/ tidak sengaja, pengubahan atau pemusnahan.

Peraturan-Peraturan PDP 2013.

Polisi keselamatan [Ptn.6]:

1) Bagi maksud s.9: PD – bangunkan dan laksanakan polisi

keselamatan yang mematuhi Std Keselamatan ditetapkan oleh P.

2) PD hendaklah pastikan Std Keselamatan turut dipatuhi oleh

pemproses data bagi pihaknya.

Perkara

yang mesti

diambilkira

Pastikan

pemproses

ambil langkah

munasabah

Pastikan

pemproses beri

jaminan

mencukupi

Langkah tambahan

bagi pastikan

pemindahan

selamat

Sifat DP dan

kemudaratan

akibat hilang,

salah guna dllTempat/ lokasi

penyimpanan

Langkah

tambahan

dalam sistem

penyimpanan

Kejujuran, integriti

dan wibawa

personel boleh

akses DP

b. Pelaksanaan 7 Prinsip APDP

Prinsip Keselamatan

Keselamatan infrastruktur yang

digunakan dalam pemprosesan data

peribadi pelanggan - perlu ditambah

baik oleh organisasi termasuk yang

paling asas

Tiada kawalan dan penetapan akses

(access privilege and control) ke atas

data peribadi - kakitangan di bahagian

lain boleh mengakses data peribadi

pelanggan

b. Pelaksanaan 7 Prinsip APDP

Prinsip Keselamatan

Tiada sebarang log/rekod akses data

dan tiada penetapan kata laluan bagi

mengakses komputer dilaksanakan

Penggunaan perisian Antivirus sebagai

perlindungan kepada persekitaran

elektronik

Pemilikan infrastruktur pemprosesan

data (in-house/outsource-kontrak)

b. Pelaksanaan 7 Prinsip APDP

Prinsip Keselamatan

Pemasangan kamera litar tertutup di

premis - tiada sebarang notis makluman

dipaparkan

Tiada backup/redundancy data-data yang

diproses

b. Pelaksanaan 7 Prinsip APDP

Prinsip Keselamatan

Data peribadi tidak dimusnahkan dengan

sempurna – rincihan fizikal/digital wipe

dsb.

Keselamatan fizikal – tiada kabinet dan

bilik berkunci bagi menyimpan data yang

dikumpul) – diletakkan di tempat terbuka

b. Pelaksanaan 7 Prinsip APDP

Prinsip Keselamatan

Tiada DRP and BCP

5. Prinsip Penyimpanan [s.10]: DP tidak boleh disimpan lebih

lama dari tempoh diperlukan. PD wajib memastikan DP dimusnah

atau dipadam secara kekal setelah selesai tujuan asal DP itu

diproses.

Peraturan-Peraturan PDP 2013.

Standard penyimpanan [p.7]:

Bagi maksud s.10 – DP seorang SD hendaklah disimpan

mengikut Std Penyimpanan yang ditetapkan oleh P.57

b. Pelaksanaan 7 Prinsip APDP

Prinsip Penyimpanan

Penyimpanan data yang melangkaui tempoh

Tiada rujukan kepada sebarang undang-undang khusus mahupun

undang-undang berkaitan industri dalam penyimpanan data oleh

organisasi

Data yang tidak aktif tidak dimusnahkan (tiada

justifikasi bagi menyimpan data)

6. Prinsip Integriti Data [s.11]: PD perlu mengambil langkah

munasabah untuk memastikan DP yang diproses tepat,

lengkap, terkini dan tidak mengelirukan.

Peraturan-Peraturan PDP 2013.

Standard Integriti Data [Ptn.8]:

Bagi maksud s.11 – PD hendaklah memproses DP mengikut

Std Integriti Data yang ditetapkan oleh P.

59

b. Pelaksanaan 7 Prinsip APDP

Prinsip Integriti Data

Inisiatif serta prosedur dan medium khusus (borang khas, online

update, contact person dsb.) yang disediakan oleh organisasi

bagi memastikan data peribadi yang dikumpul dan diproses

adalah tepat, lengkap, tidak mengelirukan dan terkini

Pengemaskinian data - berdasarkan pemintaan

pelanggan

b. Pelaksanaan 7 Prinsip APDP

Prinsip Integriti Data

Hanya sebahagian kecil organisasi pengguna data yang

kreatif dan inovatif dalam melaksanakan pengemaskinian

data (melalui bil, surat-menyurat yang berhubung dengan

data subjek)

7. Prinsip Akses [s.12]: SD hendaklah diberi akses kepada

DPnya, dan boleh betulkannya jika tidak tepat, tidak

lengkap, mengeliru atau tidak terkini KECUALI keengganan

yang dibenarkan oleh Akta [rujuk s.32].

62

b. Pelaksanaan 7 Prinsip APDP

Prinsip Akses

Hak subjek data bagi mengakses data peribadi - berdasarkan

permintaan pelanggan

Tiada pemberitahuan diberikan kepada subjek data mengenai

prosedur mengakses data mereka

c. Program Kesedaran berkenaan APDP

Program kesedaran berkenaan APDP kepada kakitangan –

dilaksanakan oleh sebilangan kecil organisasi pengguna data

Hanya sebahagian organisasi yang proaktif melaksanakan

program kesedaran berkenaan APDP(e-learning, kursus,

taklimat dsb) sebagai program tahunan

RUMUSAN LAWATAN

• Tahap Pematuhan :

Keseluruhan – Rendah

Inisiatif pematuhan - Rendah

Komitmen pengurusan atasan organisasi

Tahap pematuhan yang baik –

organisasi yang ISMS compliant

RUMUSAN LAWATAN

Organisasi dengan cawangan yang banyak – komunikasi ibu

pejabat berkenaan polisi privasi dan langkah pematuhan yang

sewajarnya dilakukan kepada cawangan tidak diterima dengan

jelas/difahami

Kontrak dengan pemproses data (iaitu salah satu pihak ketiga

dimana data dizahirkan dalam jumlah yg banyak bagi tujuan

pemprosesan data) tidak mengambil kira dan memasukkanklausa berkaitan pematuhan terhadap APDP 2010

SEKIAN

TERIMA KASIH