PERLINDUNGAN DATA
PERIBADI
Oleh :
Mohd Fairuz Mohd Yusof
Penolong
Pengarah
Pusat Bank
Data Negara dan Inovasi
ICU JPM
TUJUAN
Perlindungan Data Peribadi bertujuan untuk memberi
perlindungan kepada maklumat peribadi seseorang individu yang diproses untuk
tujuan transaksi komersial. Semua individu dan organisasi yang memproses data
peribadi dalam urusan mereka mesti mematuhi peraturan-peraturan yang ditetapkan
dalam Akta Perlindungan Data Peribadi 2010. Kerajaan Persekutuan dan Kerajaan
Negeri dikecualikan.
DATA
PERIBADI
Data yang dilindungi dalam akta ini adalah ‘sebarang
data yang membolehkan seseorang individu yang masih hidup dikenalpasti’. Contoh
data boleh dianggap sebagai data peribadi selagi seseorang individu yang masih
hidup boleh dikenalpasti daripada maklumat atau data tersebut:
i.
Nama dan alamat
ii.
Nombor kad
pengenalan
iii.
Nombor pasport
iv.
Maklumat
kesihatan
v.
Alamat e-mel
vi.
Gambar
vii.
lmej dalam
rakaman litar tertutup (CCTV)
viii.
Maklumat dalam
fail peribadi
PENGGUNA
DATA
Seseorang individu dan organisasi adalah terpakai di
bawah Akta Perlindungan Data Peribadi sekiranya mereka adalah ‘pengguna data’.
Istilah ‘pengguna data’ adalah individu atau organisasi yang:
i.
Memproses data
peribadi, atau
ii.
Mempunyai
kawalan terhadap pemprosesan data peribadi, atau
iii.
Membenarkan
pemprosesan data peribadi
Seseorang pengguna data tidak boleh
i.
dalam hal data peribadi selain
data peribadi sensitif, memproses data peribadi mengenai seorang subjek data
melainkan jika subjek data itu telah memberikan persetujuannya bagi pemprosesan
data peribadi itu; atau
ii.
dalam hal data peribadi sensitif,
memproses data peribadi sensitif mengenai seorang subjek data kecuali mengikut
peruntukan seksyen 40.
MEMPROSES
DATA
Manakala ‘pemproses data’ tidak terpakai kepada seseorang
individu atau organisasi yang memproses data peribadi bagi pihak pengguna data. Pengguna data bertanggungjawab terhadap aktiviti
pemproses data. Ini adalah contoh senario yang berkaitan ‘Organisasi XYZ mendapatkan khidmat organisasi ABC bagi
memproses data bagi pihaknya, maka dalam hubungan ini, organisasi XYZ adalah
pengguna data manakala organisasi ABC adalah pemproses data’. Akta
ini menghendaki organisasi XYZ memastikan bahawa organisasi ABC memberi jaminan
untuk mengambil langkah-langkah keselamatan bagi melindungi data yang diproses.
Organisasi XYZ juga dikehendaki oleh Akta supaya memastikan bahawa organisasi ABC
mematuhi langkah-langkah tersebut.
Seseorang pengguna data boleh memproses data peribadi mengenai seorang subjek data jika pemprosesan itu mematuhi :
i.
bagi
melaksanakan sesuatu kontrak yang subjek data itu ialah suatu pihak kepadanya;
ii.
bagi mengambil
langkah atas permintaan subjek data itu dengan tujuan untuk membuat sesuatu
kontrak;
iii.
bagi mematuhi
apa-apa obligasi undang-undang yang pengguna data itu merupakan subjek baginya,
selain suatu obligasi yang dikenakan oleh sesuatu kontrak;
iv.
bagi melindungi
kepentingan vital subjek data itu;
v.
bagi
mentadbirkan keadilan; atau
vi.
bagi menjalankan
apa-apa fungsi yang diberikan kepada mana-mana orang oleh atau di bawah
mana-mana undang-undang.
Data
peribadi tidak boleh diproses melainkan jika :
i.
data peribadi
itu diproses bagi maksud yang sah yang berhubungan secara langsung dengan
aktiviti pengguna data itu;
ii.
pemprosesan data
peribadi itu perlu bagi atau berhubungan secara langsung dengan maksud itu; dan
iii.
data peribadi
itu adalah mencukupi tetapi tidak berlebihan berhubung dengan maksud itu
SUBJEK DATA
‘Subjek data’ adalah individu-individu yang mana data mereka diproses
oleh pengguna data. Akta Perlindungan Data Peribadi
memberikan peraturan mengenai amalan yang baik dalam memproses data peribadi
individu yang masih hidup. Berikut adalah hak yang diberi kepada subjek data :
i.
Hak untuk
diberitahu samada data mereka diproses oleh sesebuah organisasi
ii.
Hak untuk
mengakses data peribadi
iii.
Hak untuk membetulkan
data peribadi
iv.
Hak untuk
menarik balik kebenaran memproses data peribadi
v.
Hak untuk
menghalang pemprosesan yang mungkin menyebabkan kerosakan atau tekanan
(distress)
vi.
Hak untuk
menghalang pemprosesan bagi maksud pemasaran langsung
DATA
SENSITIF
Data peribadi sensitif sebagai
maklumat tentang kesihatan atau keadaan fizikal atau mental seseorang individu,
pendapat politiknya, kepercayaan agamanya dan kepercayaan lain yang bersifat
seumpamanya. Selain itu, perlakuan atau penyataan perlakuan apa-apa kesalahan
seseorang individu juga adalah data peribadi sensitif. Akta tidak membenarkan
pemprosesan data peribadi sensitif kecuali untuk tujuan-tujuan yang dinyatakan
dalam Akta dan pemprosesan tersebut mestilah dengan persetujuan secara nyata
dari subjek data.
Individu yang merasakan bahawa
data peribadi mereka telah diproses melanggar peruntukan mana-mana peruntukan
Akta boleh membuat aduan kepada Pesuruhjaya Perlindungan Data Peribadi. Akta ini tidak
memperuntukkan secara spesifik hak untuk menuntut ganti rugi jika seseorang
individu menuntut gantirugi sekiranya data peribadi mereka telah diproses
menyalahi Akta.
KESELAMATAN
Seseorang pengguna data hendaklah, apabila memproses data peribadi,
mengambil langkah yang praktikal untuk melindungi data peribadi itu daripada
apa-apa kehilangan, salah guna, ubah suaian, akses atau penzahiran tanpa
kebenaran atau tidak sengaja, pengubahan atau pemusnahan dengan mengambil kira
i.
sifat data peribadi itu dan
kemudaratan akibat daripada kehilangan, salah guna, ubah suaian, akses atau
penzahiran tanpa kebenaran atau tidak sengaja, pengubahan atau pemusnahan itu;
ii.
tempat atau lokasi di mana data
peribadi itu disimpan;
iii.
apa-apa langkah keselamatan yang
digabungkan ke dalam apa-apa kelengkapan yang dalamnya data peribadi itu
disimpan;
iv.
langkah yang diambil untuk
memastikan kebolehpercayaan, integriti dan kewibawaan personel yang mempunyai
akses kepada data peribadi itu; dan
v.
langkah yang diambil bagi
memastikan pemindahan selamat data peribadi itu.
Manakala
jika pemprosesan data peribadi dijalankan oleh seorang pemproses data bagi
pihak pengguna data, pengguna data itu hendaklah, bagi maksud melindungi data
peribadi itu daripada apa-apa kehilangan, salah guna, ubah suaian, akses atau
penzahiran tanpa kebenaran atau tidak sengaja, pengubahan atau pemusnahan,
memastikan bahawa pemproses data itu
i.
memberikan
jaminan yang mencukupi berkenaan dengan langkah keselamatan
ii.
teknikal dan
organisasi yang mengawal pemprosesan yang akan dijalankan; dan
iii.
mengambil
langkah yang munasabah bagi memastikan pematuhan langkah itu
PENYIMPANAN
Data peribadi yang diproses bagi apa-apa maksud tidak boleh disimpan
lebih lama daripada yang diperlukan bagi memenuhi maksud itu. Adalah menjadi
kewajipan seorang pengguna data untuk mengambil segala langkah yang munasabah
untuk memastikan bahawa segala data peribadi dimusnahkan atau dipadamkan secara
kekal jika data peribadi itu tidak lagi dikehendaki bagi maksud yang baginya
data peribadi itu hendak diproses.
PRINSIP INTEGRITI DATA
Seseorang pengguna data hendaklah mengambil langkah
yang munasabah untuk memastikan bahawa data peribadi adalah tepat, lengkap,
tidak mengelirukan dan terkini dengan mengambil kira maksud, termasuk apa-apa
maksud yang berhubungan secara langsung, yang baginya data peribadi itu
dikumpulkan dan diproses selanjutnya.
AKSES
Seseorang subjek data hendaklah diberi akses kepada
data peribadinya yang dipegang oleh seorang pengguna data dan boleh membetulkan
data peribadi itu jika data peribadi itu tidak tepat, tidak lengkap,
mengelirukan atau tidak terkini, kecuali jika pematuhan dengan permintaan untuk
akses atau pembetulan itu enggan diberikan di bawah Akta ini.
REMEDI
Remedi di bawah akta ini adalah
dalam bentuk kesalahan jenayah. Akta telah mewujudkan beberapa kesalahan
jenayah baru, ini termasuklah kesalahan-kesalahan berikut:
i.
Memproses data
peribadi tanpa perakuan pendaftaran
ii.
Memproses data
peribadi selepas pendaftaran dibatalkan
iii.
Melakukan
perlanggaran terhadap mana-mana prinsip data
iv.
Memproses data
peribadi selepas persetujuan di tarik balik
v.
Memproses data
peribadi sensitif tidak mengikut syarat-syarat yang telah ditetapkan
vi.
Menjual atau
membuat tawaran untuk menjual data peribadi
vii.
Kegagalan
mematuhi kehendak Pesuruhjaya Perlindungan Data Peribadi bagi mematuhi notis
mengenai pemasaran langsung.
KETIDAKPAKAIAN AKTA
Ketidakpakaian
akta ini adalah :
i.
Akta ini tidak
terpakai bagi Kerajaan Persekutuan dan Kerajaan Negeri.
ii.
Akta ini tidak
terpakai bagi apa-apa data peribadi yang diproses di luar MalaysIa melainkan
jika data peribadi itu diniatkan untuk diproses selanjutnya di Malaysia.
iii.
Akta ini tidak
terpakai bagi sesuatu perniagaan pelaporan kredit yang dijalanklan oleh sesuatu
Agensi Pelaporan Kredit di bawah Akta Agensi Pelaporan Kredit 2010.
iv.
Akta ini
memberika pengecualian yang menyeluruh terhadap data peribadi yang diproses
oleh individu bagi maksud hal ehwal peribadi, keluarga atau rumah tangga
termasuk rekreasi.
Rujukan
1. AKTA PERLINDUNGAN DATA PERIBADI
2010
Tarikh : 2
November 2017
Comments
Post a Comment