Pematuhan Berkesan Perlindungan Data Peribadi Aspek Peraturan dan
Pematuhan Berkesan Perlindungan Data Peribadi, Aspek Peraturan dan Penguatkuasaan oleh Datuk Dr Abdul Raman Saad Seminar Kesedaran Perlindungan Data Peribadi Malaysia 2012 Hotel Royale Chulan, Kuala Lumpur 09 Februari 2012
Ringkasan • Siapakah yang boleh membawa prosiding? • Mahkamah manakah yang berbidangkuasa? • Liabiliti pengguna data yang merupakan sebuah pertubuhan perbadanan • Kesalahan dan penalti
Pihak berkepentingan di bawah Akta PDP Kementerian Penerangan Komunikasi dan Kebudayaan Tribunal Rayuan Pesuruhjaya Perlindungan Data Peribadi (PPDP) Jawatankuasa Penasihat Forum Pengguna Data/ Subjek Data
Siapakah yang boleh membawa prosiding? • Akta PDP mewujudkan beberapa kesalahan jenayah baru. • Pendakwaan bagi kesalahan jenayah di bawah Akta PDP tidak boleh dimulakan kecuali oleh atau dengan keizinan bertulis Pendakwa Raya - Seksyen 134 4
Bidang Kuasa Mahkamah? • Mahkamah Sesyen berbidangkuasa untuk membicarakan mana-mana kesalahan di bawah Akta PDP dan mengenakan hukuman penuh bagi mana-mana kesalahan sedemikian di bawah Akta PDP– Seksyen 135
Kesalahan pengguna data yang merupakan sebuah pertubuhan perbadanan Jika sesuatu pertubuhan perbadanan melakukan suatu kesalahan di bawah Akta PDP 1. pengarah, ketua pegawai eksekutif, ketua pegawai operasi, pengurus, setiausaha; atau 2. pegawai lain seumpamanya dalam pertubuhan perbadanan itu ; atau 3. yang berupa bertindak ke atas mana-mana sifat demikian; atau
Kesalahan pengguna data yang merupakan sebuah pertubuhan perbadanan 4. yang mengikut apa-apa cara atau sehingga apa-apa takat bertanggungjawab bagi pengurusan apa-apa hal-ehwal pertubuhan perbadanan itu; atau 5. yang membantu dalam pengurusan sedemikian Boleh dipertuduh secara berasingan atau bersesama dalam prosiding yang sama bersekali dengan pertubuhan perbadanan itu
Kesalahan pengguna data yang merupakan sebuah pertubuhan perbadanan Kecuali jika dia membuktikan: 1. bahawa kesalahan itu telah dilakukan tanpa pengetahuannya, persetujuannya atau pembiarannya; dan 2. bahawa dia telah mengambil segala langkah berjaga-jaga yang munasabah dan menjalankan segala usaha yang wajar untuk mengelakkan pelakuan kesalahan itu - Seksyen 133 (1)
Kesalahan Jenayah di bawah Akta PDP KEGAGALAN UNTUK MENDAFTAR PERLANGGARAN PRINSIP PERLINDUNGAN DATA PENJUALAN DATA PENGUMPULAN MENYALAHI UNDANG -UNDANG KESALAHAN JENAYAH DI BAWAH PEMPROSESAN SELEPAS PENDAFTARAN DIBATALKAN AKTA PDP KEGAGALAN MEMATUHI SYARAT DATA SENSITIF PEMINDAHAN DATA TANPA PERLINDUNGAN YANG MENCUKUPI PENZAHIRAN TANPA PERSETUJUAN
Kesalahan dan Penalti • Memproses data tanpa perakuan pendaftaran– S 16 (4) – RM 500 K atau penjara tidak melebihi 3 tahun atau kedua -duanya. • Memproses selepas pendaftarannya dibatalkan– S 18 (4) – RM 500 K atau penjara tidak melebihi 3 tahun atau kedua -duanya • Kegagalan menyerahkan perakuan setelah pendaftaran dibatalkan– S 19 (2) – RM 200 K atau penjara tidak melebihi 2 tahun atau kedua -duanya
Kesalahan dan Penalti 7 Prinsip Perlindungan di bawah Akta PDP: 1. 2. 3. 4. 5. 6. 7. Prinsip Am Prinsip Notis dan Pilihan Prinsip Penzahiran Prinsip Keselamatan Prinsip Penyimpanan Prinsip Integriti Data Prinsip Akses • Perlanggaran Prinsip Perlindungan Data – S 5 (2) – RM 300 K atau penjara tidak melebihi 2 tahun atau kedua -duanya
Kesalahan dan Penalti • Kegagalan mematuhi permintaan pembetulan data – S 37 (4) – RM 100 K atau penjara tidak melebihi 1 tahun atau kedua-duanya • Memproses data selepas seseorang subjek data melalui notis bertulis menarik balik persetujuannya terhadap pemprosesan tersebut – S 38 (4) – RM 100 K atau penjara tidak melebihi 1 tahun atau kedua-duanya • Kegagalan mematuhi notis Pesuruhjaya untuk memberhentikan pemprosesan atau tidak memulakan pemprosesan data– S 42 (6) – RM 200 K or atau penjara tidak melebihi 2 tahun atau keduaduanya • Kegagalan mematuhi notis untuk memberhentikan atau tidak memulakan pemprosesan data peribadi bagi maksud pemasaran langsung– S 43 (4) – RM 200 K atau penjara tidak melebihi 2 tahun atau kedua-duanya
Syarat-syarat memproses data peribadi sensitif Seksyen 40(1) memperuntukkan pengguna data boleh memproses apa-apa data peribadi sensitif sekiranya: a) Persetujuan nyata telah diberikan oleh subjek data b) pemprosesan itu perlu: 1. Bagi maksud menjalankan atau melaksanakan apaapa hak atau obligasi yang diberikan atau dikenakan oleh undang-undang terhadap pengguna data 2. Untuk tujuan pengambilan pekerjaan 3. Untuk melindungi kepentingan vital subjek data atau orang lain 4. Bagi maksud perubatan
Syarat-syarat memproses data peribadi sensitif 5. Bagi maksud prosiding undang-undang 6. Bagi maksud mendapatkan nasihat undang-undang 7. Bagi maksud membuktikan, menjalankan, atau mempertahankan hak di sisi undang-undang 8. Bagi pentadbiran keadilan 9. Bagi menjalankan apa-apa fungsi yang diberikan mana-mana undang-undang bertulis 10. Bagi apa-apa maksud lain yang difikirkan patut oleh Menteri c) Maklumat yang terkandung dalam data peribadi itu telah diumumkan kepada orang awam akibat langkah yang diambil dengan sengaja oleh subjek data
Kesalahan dan Penalti • Memproses data peribadi sensitif bertentangan dengan S 40 (1) – RM 200 K atau penjara tidak melebihi 2 tahun atau keduaduanya • Pemindahan data peribadi ke tempat diluar negara– S 129 (5) – RM 300 K atau penjara tidak melebihi 2 tahun atau keduaduanya
Kesalahan dan Penalti Pengumpulan data peribadi yang menyalahi undang- Seksyen 130 (1) Seseorang tidak boleh dengan disedarinya atau secara melulu, tanpa persetujuan pengguna data – (a) mengumpul atau menzahirkan data peribadi yang dipegang oleh pengguna data itu; atau (b) menyebabkan penzahiran data peribadi yang dipegang oleh pengguna data itu kepada orang lain
Penzahiran Data Peribadi yang menyalahi undang – S 130 (3) Kes No. : 199805802 - Privacy Commissioner for Personal Data, Hong Kong Paparan keputusan peperiksaan adalah melibatkan penzahiran data peribadi. Di bawah Ordinan Privasi Hong Kong (HK Privacy Ordinance) peraturan prinsip perlindungan data ("DPP") 3 memperuntukkan bahawa data peribadi tidak boleh digunakan (termasuk penzahiran) tanpa kebenaran nyata daripada individu yang berkenaan kecuali bagi maksud yang mana data akan digunakan apabila diperoleh atau bagi tujuan yang berkaitan secara langsung. Oleh itu, keputusan peperiksaan boleh dizahirkan tanpa kebenaran terlebih dahulu daripada pelajar jika data tersebut sememangnya telah dikumpulkan bagi maksud tersebut (bertujuan untuk dizahirkan). Dalam keadaan sedemikian, pihak yang menzahirkan keputusan peperiksaan tersebut boleh bergantung kepada prinsip sedemikian (sebagai justifikasi keesahan penzahiran keputusan peperiksaan tersebut)
Penjualan data peribadi– S 130 (4) The STAR headline 03 May 2009
The STAR 3 May 2009 Businessman “Ganesh” admits to purchasing the database of members to an exclusive club. As it was considered high-end data, he paid RM 3 for every entry. “All these names had Tan Sri and Datuk honoraries. Many in the list were public figures, ” he says, adding that he bought the data from someone within the company. “The best way to get it is through the administration or human resource staff. ” Ganesh says he was in turn able to re-sell the data for RM 4 each. “There will always be someone who will buy this kind of information. ”
Kesalahan dan Penalti • Pengumpulan atau penzahiran data peribadi yang melanggar undang-undang – S 130 (3) • Menjual data peribadi- S 130 (4) • Menawarkan untuk menjual data peribadi– S 130 (5) – RM 500 K atau penjara tidak melebihi 3 tahun atau keduaduanya
UK ICO mengeluarkan denda perlindungan data buat pertama kalinya • Sebuah majlis daerah yang menfakskan butir-butir kes penderaan seks kanak-kanak kepada orang awam telah dikenakan denda £ 100, 000 kerana melanggar undang-undang Akta Perlindungan Data. • Hertfordshire County Council adalah satu daripada dua badan yang didenda oleh Pesuruhjaya Maklumat - kedua-duanya telah memohon maaf. • Sheffield-based A 4 e telah didenda £ 60, 000 untuk kehilangan komputer riba yang tidak dienkripsi (unencrypted laptop) yang mengandungi maklumat peribadi beribu-ribu orang. • Pesuruhjaya itu berkata denda - yang pertama dikeluarkan- akan "menghantar satu mesej yang tegas " kepada mereka yang mengendalikan data-data. • Pesuruhjaya Christopher Graham telah diberikan kuasa untuk mengeluarkan penalti kerana perlanggaran perlindungan data pada bulan April tahun ini.
UK - ICO mengeluarkan denda ketiga kerana menghilangkan komputer riba yang tidak dienkripsi (unencrypted laptops) • Dua pihak berkuasa tempatan telah didenda sebanyak £ 150, 000 oleh badan pemantau perlindungan data Pesuruhjaya Maklumat selepas kecurian dua komputer riba, yang bertentangan dengan dasar-dasar Majlis berkenaan kerana tidak dienkripsi. • Pejabat Pesuruhjaya Maklumat (ICO) telah mendenda Ealing Council sebanyak £ 80, 000 dan Hounslow Council sebanyak £ 70. 000 kerana komputer riba yang tidak dienkripsi tersebut mengandungi maklumat peribadi sensitif berhubung 1700 orang. • Ealing Council menyediakan perkhidmatan “out of hours service” untuk kedua-dua pihak berkuasa, di mana perkhidmatan tersebut bergantung kepada sembilan orang yang bekerja dari rumah. Dua komputer riba dicuri dari salah satu rumah pekerja, dan walaupun komputer tersebut dilindungi kata laluan, tetapi ianya tidak dienkripkan. • OUT-LAW News, 10/02/2011 • http: //out-law. com/page-11771
Kesimpulan • Secara perbandingan, Akta PDP memperuntukkan kesalahan jenayah dan hukuman yang berat. • Di Hong Kong, seksyen 64 Ordinan Privasi (Privacy Ordinance) telah memperincikan beberapa kesalahan jenayah • Pesuruhjaya Maklumat UK diberi kuasa mulai April 2010 untuk mengenakan hukuman sivil maksimum sehingga £ 500, 000. Fasal 146 (1) Akta PDP - 3 bulan dari tarikh permulaan kuat kuasa untuk pengguna berdaftar. Golongan lain ditentukan oleh Menteri. Waktu moratorium bagi golongan lain masih belum ditentukan tarikh berkuatkuasa. Dicadangankan moratorium satu (1) tahun semua golongan dari tarikh kuat kuasa Akta PDP. Waktu moratorium membolehkan Persuruhjaya menganjur kan “Awareness Program “ serta “Road Show. 23
Abdul Raman Saad & Associates Tingkat 8, Bangunan KWSP Changkat Raja Chulan off Jalan Raja Chulan 50200 Kuala Lumpur Malaysia Web www. arsa. com. my
- Slides: 24