SESI 1 · PRINSIP PERLINDUNGAN DATA PERIBADI 1. ... Pelaksanaan 7 Prinsip APDP Prinsip Keselamatan...

of 66/66
SESI 1 PERSIDANGAN PEMATUHAN AKTA PERLINDUNGAN DATA PERIBADI 2010
  • date post

    18-Jul-2019
  • Category

    Documents

  • view

    238
  • download

    0

Embed Size (px)

Transcript of SESI 1 · PRINSIP PERLINDUNGAN DATA PERIBADI 1. ... Pelaksanaan 7 Prinsip APDP Prinsip Keselamatan...

  • SESI 1

    PERSIDANGAN

    PEMATUHAN AKTA PERLINDUNGAN DATA PERIBADI 2010

  • AKTA 709&

    PEMATUHANNYA

  • Terdiri dari 146 seksyen, 11 bahagian.

    Mula berkuat kuasa - 15 November 2013.

    Pengguna Data mula tertakluk kepada Akta dan Subjek Data

    mula dilindungi.

    11 golongan PD [PUA 336] tempoh 3 bulan untuk mendaftar.

    Tempoh pendaftaran dan pematuhan oleh PD(sedia ada)

    berakhir 14 Febuari 2014.

    4

    LATAR BELAKANG AKTA

  • 3 bulan tempoh pematuhan prinsip PD sedia ada.

    Pematuhan sepenuhnya oleh semua PD dalam transaksi

    komersial - 15 Febuari 2014.

    Penguatkuasaan pendaftaran, pemeriksaan sistem (s.101),

    pemantauan, siasatan aduan dll. telah bermula 15 Febuari

    2014.5

    1 tahun 9 bulan

    yang lalu

    LATAR BELAKANG AKTA

  • 6

    BIDANGKUASA UMUM

    AKTA 709

    APDP 2010

    (Akta 709)

    bertujuan

    melindungi

    -DP; dan

    -DP Sensitif

    setiap subjek

    data

    dari sebarang

    bentuk

    prosesan

    oleh

    Pengguna

    Data

    dengan

    mematuhi 7P

    PDP

    -di dalam

    Malaysia

    -kelengkapan

    di Malaysia

    berhubung

    transaksi

    komersial

    selepas 15

    Nov 2013

  • 7

    3 golongan PD di Malaysia :

    1. Dikecualikan kerajaan, proses luar Malaysia, bukan

    komersial

    2. Perlu patuh semua PD selain pihak yang dikecualikan

    3. Perlu patuh dan berdaftar 11 golongan [PUA 336]

  • 8

    3 aspek penting pematuhan Akta 709:

    1. Pendaftaran bagi yang perlu berdaftar 11 golongan

    setakat ini

    2. Patuhi 7 prinsip sepanjang memproses DP semua PD,

    berdaftar/ tidak

    3. Tunaikan hak SD yang diberikan oleh Akta

    4. Penguatkuasaan/ siasatan beri kerjasama

  • TAFSIRAN ISTILAH (s.4)

    9

    DATA PERIBADI

    Apa-apamaklumatberkaitan

    seorang SD

    Diproses berkenaan transaksi komersial

    Direkod secara

    manual @ elektronik

    Dikenal pasti @ boleh

    dikenal pasti

    Termasuk DP Sensitif

    Termasuk pendapat

    tentang SD itu

    Kecualidiprosesoleh APK

  • 10

    Data peribadisensitif

    maklumat peribadi lain seperti rekodperubatan, tahap kesihatan, ideologipolitik, kepercayaan agama dll

    Orang yang

    berkaitan

    SD < 18 Tahun: Ibu,bapa, penjaga

    OTU: Lantikan mahkamah/ diberi kuasabertulis

    SD Biasa: orang diberi kuasa bertulis untukbuat permintaan akses/ pembetulan data bagipihaknya

  • 11

    Penggunadata

    Individu/ organisasi yang proses DP @mempunyai kawalan/ benarkanpemprosesan DP. Tidak termasukpemproses data.

    Proses

    kumpul, rekod, pegang, simpan DP; atau

    Kendalikan DP - termasuk membuatpenyusunan, suaian, ubah, dapatkan kembali,hantar, pindah, sebar, jajar, gabung, padam,musnah

  • Subjekdata

    individu yang menjadi subjek kepadaDP itu.

    Transaksikomersial

    apa-apa transaksi bersifat komersial kontrak/tidak termasuk perkara berhubung pembekalan/pertukaran barang/ perkhidmatan, agensi,pelaburan, pembiayaan, bank dan insuran.

    Tidak termasuk perniagaan pelaporan kredit olehAPK.

    12

  • LAWATANPEMANTUAN :

    SIRI 1

  • SIRI LAWATANCIMB TELEKOM MSIA BHD JESSELTON MEDICAL CENTRE

    ZAMANI &

    CO

    SUTERA HARBOUR

    BANK RAKYAT

    TH TRAVEL

    POS MSIA BHD

    SP SETIA

    ASTRO

  • LAWATANPEMANTUAN :

    SIRI 2

  • KOPERASI PEGAWAI KERAJAAN

    NEGERI KEDAH

    SPORTS PLANET

    PUTRA PALACE

    A FAMOSA GOLF

    RESORT

    MAYFAIRRed ONE

  • TUJUAN LAWATAN

    Fasa II pelaksanaan APDP - tertumpu kepada penyediaan Kod

    Tata Amalan dan penggubalan Standard Keselamatan, Integriti

    Data dan Penyimpanan (standard)

    Kod Tata Amalan dan standard - memperlihatkan penekanan

    Kerajaan kepada aspek pemakaian self-regulatory di kalanganpemain industri pemprosesan data peribadi

  • Hasil lawatan akan digunakan bagi mengenal pasti, merancang,

    dan memantau penguatkuasaan APDP bagi tujuan berikut

    i) Menyediakan Kod Tata Amalan dan standard berkaitan;

    ii) Mengawal selia aspek pematuhan Akta; dan

    iii) Merangka program-program pendidikan dan kesedaran

    di kalangan pengguna data.

    TUJUAN LAWATAN

  • Fokus :

    Langkah-langkah pematuhan Akta Perlindungan Data Peribadi

    (APDP) 2010 oleh pengguna data

    a. Unit/pegawai bertanggungjawab (Focal Point)

    b. Pelaksanaan 7 Prinsip APDP

    *Prinsip Am

    *Prinsip Notis & Pilihan

    *Prinsip Penzahiran

    SKOP LAWATAN

  • *Prinsip Keselamatan

    *Prinsip Penyimpanan

    *Prinsip Integriti Data

    *Prinsip Akses

    c. Program Kesedaran berkenaan APDP

    SKOP LAWATAN

  • LANGKAH-LANGKAH PEMATUHAN AKTA PERLINDUNGAN

    DATA PERIBADI (APDP) 2010 OLEH PENGGUNA DATA

    a. Unit/pegawai bertanggungjawab(Focal Point)

    Hanya separuh daripada organisasi pengguna data telah

    melantik pegawai pematuhan khusus yang bertanggungjawab

    bagi melihat pelaksanaan dan pematuhan APDP di organisasi

    masing-masing

  • a. Unit/pegawai bertanggungjawab(Focal Point)

    Namun, ada di kalangan pegawai pematuhan tidak benar-

    benar memahami peranan dan tanggungjawab serta

    tindakan yang perlu dilaksanakan bagi memastikan

    pematuhan organisasi masing-masing terhadap APDP

  • PRINSIP PERLINDUNGAN DATA PERIBADI

    1. Prinsip Am [s.6]: PD tidak boleh proses DP SD tanpa persetujuannya

    KECUALI:

    i. Bagi laksanakan kontrak dengan SD;

    ii. Atas permintaan SD bagi membuat kontrak;

    iii. Mematuhi obligasi undang-undang;

    iv. Melindungi kepentingan vital (kehidupan, kematian atau keselamatan)

    SD;

    v. Mentadbir keadilan; dan

    vi. Menjalankan fungsi undang-undang.23

  • 24

    Prinsip Am

    Proses DP

    OTU urus diri

    sendiri dengan

    kebenaran

    Proses DP SD di

    bawah 18 tahun

    dengan

    kebenaran

    1 persetujuan

    hanya untuk 1

    transaksasi

    komersial

    Ada bukti

    persetujuan

    (boleh rekod dan

    disenggara)

    Proses DP

    dengan

    persetujuan SD

    Maksud sah;

    berkaitan

    dengan aktiviti

    PD

    Perlu atau

    berhubung

    langsung dengan

    maksud itu

    Cukup, TETAPI

    tidak lebih dari

    keperluan itu

  • Bagi mematuhi Prinsip Am juga, PD hendaklah mengambil

    kira:

    i. Beban pembuktian persetujuan yang terletak kepada

    mereka [Ptn.3(5)]; dan

    ii. Persetujuan yang nyata telah diperolehi daripada SD

    sekiranya pemprosesan turut melibatkan DP sensitif

    [s.40(1)].

    25

  • b. Pelaksanaan 7 Prinsip APDP

    Prinsip Am

    Persetujuan subjek data tidak direkod dengan

    sempurna tiada frasa persetujuan, hanya

    tandatangan, dalam bentuk lisan, dan tidak direkod

  • b. Pelaksanaan 7 Prinsip APDP

    Prinsip Am

    Tiada persetujuan subjek data untuk memproses dan

    menzahirkan data peribadi mereka kepada pihak ketiga

    secara jelas dalam bentuk bertulis

  • b. Pelaksanaan 7 Prinsip APDP

    Prinsip Am

    Frasa persetujuan subjek data dihubungkait dengan tujuan

    yang lain daripada tujuan asal pengumpulan data

  • b. Pelaksanaan 7 Prinsip APDP

    Prinsip Am

    Pengumpulan data peribadi yang berlebihan (elemen yang

    berlebihan di dalam borang yang tidak berkenaan dengan

    maksud/tujuan yang dipersetujui oleh subjek data)

  • 2. Prinsip Notis dan Pilihan [s.7]:

    a) PD hendaklah maklumkan SD secepat yang dapat mengenai

    prosesan DPnya;

    b) Notis & Pilihan hendaklah bertulis (kaunter, premis, portal, sms,

    emel dll); dan

    c) Sekurang-kurangnya dalam BK dan BI.

    d) Bentuk tidak ditentukan (frame, poster, flyers, leaflet, booklet dll).

    e) Mengandungi elemen wajib yang telah ditetapkan.

    34

  • 35

    Kandungan

    Notis &

    Pilihan

    DP itu diproses

    oleh atau bagi

    pihak PD

    Jika wajib

    berikan DP itu,

    akibat sekiranya

    tidak diberi

    Sama ada wajib

    atau sukarela

    memberikan DPPilihan dan cara

    yang ditawarkan

    untuk hadkan

    pemprosesan

    Tujuan DP itu

    dikumpul dan

    akan diproses

    lanjut

    Maklumat

    sumber DP itu

    diperolehi

    Hak akses, buat

    pembetulan dan

    hubungi semula

    PD

    Golongan pihak

    ketiga yang

    akan dizahirkan

    DP itu

  • b. Pelaksanaan 7 Prinsip APDP

    Prinsip Notis & Pilihan

    Notis Privasi-tidak memberikan pilihan pemprosesan data

    kepada subjek data serta tidak menyatakan secara terperinci

    dan jelas perkara-perkara yang sewajarnya dimaklumkan

    kepada subjek data sepertimana yang ditetapkan oleh Akta

  • b. Pelaksanaan 7 Prinsip APDP

    Prinsip Notis & Pilihan

    Terlalu panjang dan dalam bahasa yang tidak mudah

    Tidak dipaparkan di lokasi yang mudah dilihat oleh subjekdata

  • b. Pelaksanaan 7 Prinsip APDP

    Prinsip Notis & Pilihan

    Pilihan yang diberikan kepada subjek data bersekali

    dengan perkhidmatan optional (promosi produk dan

    perkhidmatan lain)

  • b. Pelaksanaan 7 Prinsip APDP

    Prinsip Notis & Pilihan

    Tiada notis dan pilihan kepada subjek data

    Kakitangan di kaunter - tiada kefahaman dan latihan

    berkenaan penerangan berkaitan notis privasi organisasikepada subjek data

  • 3. Prinsip Penzahiran [s.8]: DP tidak boleh dizahirkan kepada

    pihak lain tanpa persetujuan SD melainkan untuk tujuan asal

    dikumpul.

    Peraturan-Peraturan PDP 2013.

    Senarai penzahiran [Ptn.5]:

    Bagi maksud s.8(b) PD hendaklah menyimpan dan

    menyenggara suatu senarai penzahiran DP yang telah atau

    sedang diproses kepada pihak ketiga.48

  • b. Pelaksanaan 7 Prinsip APDP

    Prinsip Penzahiran

    Subjek data tidak dimaklumkan berkenaan siapakah pihak

    ketiga di mana data mereka dizahirkan

    Tiada senarai penzahiran data peribadi kepada pihak ketiga

    yang sepatutnya disediakan sepertimana ketetapan Akta

  • 4. Prinsip Keselamatan [s.9]: PD ambil langkah praktikal lindungi

    DP hilang, salah guna, ubah suai, akses/ penzahiran tanpa

    kebenaran/ tidak sengaja, pengubahan atau pemusnahan.

    Peraturan-Peraturan PDP 2013.

    Polisi keselamatan [Ptn.6]:

    1) Bagi maksud s.9: PD bangunkan dan laksanakan polisi

    keselamatan yang mematuhi Std Keselamatan ditetapkan oleh P.

    2) PD hendaklah pastikan Std Keselamatan turut dipatuhi oleh

    pemproses data bagi pihaknya.

  • Perkara

    yang mesti

    diambilkira

    Pastikan

    pemproses

    ambil langkah

    munasabah

    Pastikan

    pemproses beri

    jaminan

    mencukupi

    Langkah tambahan

    bagi pastikan

    pemindahan

    selamat

    Sifat DP dan

    kemudaratan

    akibat hilang,

    salah guna dllTempat/ lokasi

    penyimpanan

    Langkah

    tambahan

    dalam sistem

    penyimpanan

    Kejujuran, integriti

    dan wibawa

    personel boleh

    akses DP

  • b. Pelaksanaan 7 Prinsip APDP

    Prinsip Keselamatan

    Keselamatan infrastruktur yang

    digunakan dalam pemprosesan data

    peribadi pelanggan - perlu ditambah

    baik oleh organisasi termasuk yang

    paling asas

    Tiada kawalan dan penetapan akses

    (access privilege and control) ke atas

    data peribadi - kakitangan di bahagian

    lain boleh mengakses data peribadi

    pelanggan

  • b. Pelaksanaan 7 Prinsip APDP

    Prinsip Keselamatan

    Tiada sebarang log/rekod akses data

    dan tiada penetapan kata laluan bagi

    mengakses komputer dilaksanakan

    Penggunaan perisian Antivirus sebagai

    perlindungan kepada persekitaran

    elektronik

    Pemilikan infrastruktur pemprosesan

    data (in-house/outsource-kontrak)

  • b. Pelaksanaan 7 Prinsip APDP

    Prinsip Keselamatan

    Pemasangan kamera litar tertutup di

    premis - tiada sebarang notis makluman

    dipaparkan

    Tiada backup/redundancy data-data yang

    diproses

  • b. Pelaksanaan 7 Prinsip APDP

    Prinsip Keselamatan

    Data peribadi tidak dimusnahkan dengan

    sempurna rincihan fizikal/digital wipe

    dsb.

    Keselamatan fizikal tiada kabinet dan

    bilik berkunci bagi menyimpan data yang

    dikumpul) diletakkan di tempat terbuka

  • b. Pelaksanaan 7 Prinsip APDP

    Prinsip Keselamatan

    Tiada DRP and BCP

  • 5. Prinsip Penyimpanan [s.10]: DP tidak boleh disimpan lebih

    lama dari tempoh diperlukan. PD wajib memastikan DP dimusnah

    atau dipadam secara kekal setelah selesai tujuan asal DP itu

    diproses.

    Peraturan-Peraturan PDP 2013.

    Standard penyimpanan [p.7]:

    Bagi maksud s.10 DP seorang SD hendaklah disimpan

    mengikut Std Penyimpanan yang ditetapkan oleh P.57

  • b. Pelaksanaan 7 Prinsip APDP

    Prinsip Penyimpanan

    Penyimpanan data yang melangkaui tempoh

    Tiada rujukan kepada sebarang undang-undang khusus mahupun

    undang-undang berkaitan industri dalam penyimpanan data oleh

    organisasi

    Data yang tidak aktif tidak dimusnahkan (tiada

    justifikasi bagi menyimpan data)

  • 6. Prinsip Integriti Data [s.11]: PD perlu mengambil langkah

    munasabah untuk memastikan DP yang diproses tepat,

    lengkap, terkini dan tidak mengelirukan.

    Peraturan-Peraturan PDP 2013.

    Standard Integriti Data [Ptn.8]:

    Bagi maksud s.11 PD hendaklah memproses DP mengikut

    Std Integriti Data yang ditetapkan oleh P.

    59

  • b. Pelaksanaan 7 Prinsip APDP

    Prinsip Integriti Data

    Inisiatif serta prosedur dan medium khusus (borang khas, online

    update, contact person dsb.) yang disediakan oleh organisasi

    bagi memastikan data peribadi yang dikumpul dan diproses

    adalah tepat, lengkap, tidak mengelirukan dan terkini

    Pengemaskinian data - berdasarkan pemintaan

    pelanggan

  • b. Pelaksanaan 7 Prinsip APDP

    Prinsip Integriti Data

    Hanya sebahagian kecil organisasi pengguna data yang

    kreatif dan inovatif dalam melaksanakan pengemaskinian

    data (melalui bil, surat-menyurat yang berhubung dengan

    data subjek)

  • 7. Prinsip Akses [s.12]: SD hendaklah diberi akses kepada

    DPnya, dan boleh betulkannya jika tidak tepat, tidak

    lengkap, mengeliru atau tidak terkini KECUALI keengganan

    yang dibenarkan oleh Akta [rujuk s.32].

    62

  • b. Pelaksanaan 7 Prinsip APDP

    Prinsip Akses

    Hak subjek data bagi mengakses data peribadi - berdasarkan

    permintaan pelanggan

    Tiada pemberitahuan diberikan kepada subjek data mengenai

    prosedur mengakses data mereka

  • c. Program Kesedaran berkenaan APDP

    Program kesedaran berkenaan APDP kepada kakitangan

    dilaksanakan oleh sebilangan kecil organisasi pengguna data

    Hanya sebahagian organisasi yang proaktif melaksanakan

    program kesedaran berkenaan APDP(e-learning, kursus,

    taklimat dsb) sebagai program tahunan

  • RUMUSAN LAWATAN

    Tahap Pematuhan :

    Keseluruhan Rendah

    Inisiatif pematuhan - Rendah

    Komitmen pengurusan atasan organisasi

    Tahap pematuhan yang baik

    organisasi yang ISMS compliant

  • RUMUSAN LAWATAN

    Organisasi dengan cawangan yang banyak komunikasi ibu

    pejabat berkenaan polisi privasi dan langkah pematuhan yang

    sewajarnya dilakukan kepada cawangan tidak diterima dengan

    jelas/difahami

    Kontrak dengan pemproses data (iaitu salah satu pihak ketiga

    dimana data dizahirkan dalam jumlah yg banyak bagi tujuan

    pemprosesan data) tidak mengambil kira dan memasukkanklausa berkaitan pematuhan terhadap APDP 2010

  • SEKIAN

    TERIMA KASIH