Transcript Pematuhan Berkesan Perlindungan Data Peribadi, Aspek

Pematuhan Berkesan Perlindungan
Data Peribadi, Aspek Peraturan dan
Penguatkuasaan
oleh Datuk Dr Abdul Raman Saad
Seminar Kesedaran Perlindungan
Data Peribadi Malaysia 2012
Hotel Royale Chulan, Kuala Lumpur
09 Februari 2012
Ringkasan
• Siapakah yang boleh membawa prosiding?
• Mahkamah manakah yang
berbidangkuasa?
• Liabiliti pengguna data yang merupakan
sebuah pertubuhan perbadanan
• Kesalahan dan penalti
Pihak berkepentingan di bawah Akta PDP
Kementerian
Penerangan
Komunikasi dan
Kebudayaan
Tribunal
Rayuan
Pesuruhjaya
Perlindungan
Data Peribadi
(PPDP)
Jawatankuasa
Penasihat
Forum Pengguna
Data
Pengguna
Data/
Subjek Data
Siapakah yang boleh membawa prosiding?
• Akta PDP mewujudkan beberapa
kesalahan jenayah baru.
• Pendakwaan bagi kesalahan jenayah di
bawah Akta PDP tidak boleh dimulakan
kecuali oleh atau dengan keizinan bertulis
Pendakwa Raya - Seksyen 134
4
Bidang Kuasa Mahkamah?
• Mahkamah Sesyen berbidangkuasa untuk
membicarakan mana-mana kesalahan di
bawah Akta PDP dan mengenakan
hukuman penuh bagi mana-mana
kesalahan sedemikian di bawah Akta PDP–
Seksyen 135
Kesalahan pengguna data yang merupakan
sebuah pertubuhan perbadanan
Jika sesuatu pertubuhan perbadanan melakukan suatu
kesalahan di bawah Akta PDP
1.
pengarah, ketua pegawai eksekutif, ketua pegawai
operasi, pengurus, setiausaha; atau
2.
pegawai lain seumpamanya dalam pertubuhan
perbadanan itu ; atau
3.
yang berupa bertindak ke atas mana-mana sifat
demikian; atau
Kesalahan pengguna data yang merupakan
sebuah pertubuhan perbadanan
4. yang mengikut apa-apa cara atau sehingga
apa-apa takat bertanggungjawab bagi
pengurusan apa-apa hal-ehwal pertubuhan
perbadanan itu; atau
5.
yang membantu dalam pengurusan sedemikian
Boleh dipertuduh secara berasingan atau
bersesama dalam prosiding yang sama bersekali
dengan pertubuhan perbadanan itu
Kesalahan pengguna data yang merupakan
sebuah pertubuhan perbadanan
Kecuali jika dia membuktikan:
1. bahawa kesalahan itu telah dilakukan tanpa
pengetahuannya, persetujuannya atau
pembiarannya; dan
2. bahawa dia telah mengambil segala langkah
berjaga-jaga yang munasabah dan menjalankan
segala usaha yang wajar untuk mengelakkan
pelakuan kesalahan itu
- Seksyen 133 (1)
Kesalahan Jenayah di bawah Akta PDP
KEGAGALAN
UNTUK
MENDAFTAR
PERLANGGARAN PRINSIP
PERLINDUNGAN DATA
PENJUALAN
DATA
PENGUMPULAN
MENYALAHI UNDANGUNDANG
KESALAHAN
JENAYAH DI
BAWAH
PEMPROSESAN SELEPAS
PENDAFTARAN DIBATALKAN
AKTA PDP
KEGAGALAN MEMATUHI SYARAT
DATA SENSITIF
PEMINDAHAN DATA TANPA
PERLINDUNGAN YANG
MENCUKUPI
PENZAHIRAN TANPA
PERSETUJUAN
Kesalahan dan Penalti
• Memproses data tanpa perakuan pendaftaran– S 16 (4)
– RM500K atau penjara tidak melebihi 3 tahun atau
kedua-duanya.
• Memproses selepas pendaftarannya dibatalkan– S 18 (4)
– RM500K atau penjara tidak melebihi 3 tahun atau
kedua-duanya
• Kegagalan menyerahkan perakuan setelah pendaftaran
dibatalkan– S 19 (2)
– RM200K atau penjara tidak melebihi 2 tahun atau
kedua-duanya
Kesalahan dan Penalti
7 Prinsip Perlindungan di bawah Akta PDP:
1.
2.
3.
4.
5.
6.
7.
Prinsip Am
Prinsip Notis dan Pilihan
Prinsip Penzahiran
Prinsip Keselamatan
Prinsip Penyimpanan
Prinsip Integriti Data
Prinsip Akses
• Perlanggaran Prinsip Perlindungan Data – S 5 (2)
– RM300K atau penjara tidak melebihi 2 tahun atau
kedua-duanya
Kesalahan dan Penalti
•
Kegagalan mematuhi permintaan pembetulan data – S 37 (4)
–
RM100K atau penjara tidak melebihi 1 tahun atau kedua-duanya
•
Memproses data selepas seseorang subjek data melalui notis bertulis
menarik balik persetujuannya terhadap pemprosesan tersebut – S 38
(4)
–
RM100K atau penjara tidak melebihi 1 tahun atau kedua-duanya
•
Kegagalan mematuhi notis Pesuruhjaya untuk memberhentikan
pemprosesan atau tidak memulakan pemprosesan data– S 42 (6)
–
RM200K or atau penjara tidak melebihi 2 tahun atau keduaduanya
•
Kegagalan mematuhi notis untuk memberhentikan atau tidak
memulakan pemprosesan data peribadi bagi maksud pemasaran
langsung– S 43 (4)
–
RM200K atau penjara tidak melebihi 2 tahun
atau kedua-duanya
Syarat-syarat memproses data peribadi
sensitif
Seksyen 40(1) memperuntukkan pengguna data boleh
memproses apa-apa data peribadi sensitif sekiranya:
a) Persetujuan nyata telah diberikan oleh subjek data
b) pemprosesan itu perlu:
1. Bagi maksud menjalankan atau melaksanakan apaapa hak atau obligasi yang diberikan atau dikenakan
oleh undang-undang terhadap pengguna data
2. Untuk tujuan pengambilan pekerjaan
3. Untuk melindungi kepentingan vital subjek data atau
orang lain
4. Bagi maksud perubatan
Syarat-syarat memproses data peribadi
sensitif
5. Bagi maksud prosiding undang-undang
6. Bagi maksud mendapatkan nasihat undang-undang
7. Bagi maksud membuktikan,menjalankan, atau
mempertahankan hak di sisi undang-undang
8. Bagi pentadbiran keadilan
9. Bagi menjalankan apa-apa fungsi yang diberikan
mana-mana undang-undang bertulis
10. Bagi apa-apa maksud lain yang difikirkan patut oleh
Menteri
c) Maklumat yang terkandung dalam data peribadi itu telah
diumumkan kepada orang awam akibat langkah yang
diambil dengan sengaja oleh subjek data
Kesalahan dan Penalti
• Memproses data peribadi sensitif bertentangan dengan S 40
(1)
– RM200K atau penjara tidak melebihi 2 tahun atau keduaduanya
• Pemindahan data peribadi ke tempat diluar negara– S 129 (5)
– RM300K atau penjara tidak melebihi 2 tahun atau keduaduanya
Kesalahan dan Penalti
Pengumpulan data peribadi yang menyalahi
undang-undang- Seksyen 130 (1)
Seseorang tidak boleh dengan disedarinya atau
secara melulu, tanpa persetujuan pengguna data –
(a)
mengumpul atau menzahirkan data peribadi
yang dipegang oleh pengguna data itu; atau
(b)
menyebabkan penzahiran data peribadi yang
dipegang oleh pengguna data itu kepada
orang lain
Penzahiran Data Peribadi yang menyalahi
undang-undang – S 130 (3)
Kes No.: 199805802 - Privacy Commissioner for Personal Data,
Hong Kong
Paparan keputusan peperiksaan adalah melibatkan penzahiran data
peribadi.
Di bawah Ordinan Privasi Hong Kong (HK Privacy Ordinance) peraturan
prinsip perlindungan data ("DPP") 3 memperuntukkan bahawa data peribadi
tidak boleh digunakan (termasuk penzahiran) tanpa kebenaran nyata
daripada individu yang berkenaan kecuali bagi maksud yang mana data
akan digunakan apabila diperoleh atau bagi tujuan yang berkaitan secara
langsung.
Oleh itu, keputusan peperiksaan boleh dizahirkan tanpa kebenaran terlebih
dahulu daripada pelajar jika data tersebut sememangnya telah dikumpulkan
bagi maksud tersebut (bertujuan untuk dizahirkan). Dalam keadaan
sedemikian, pihak yang menzahirkan keputusan peperiksaan tersebut boleh
bergantung kepada prinsip sedemikian (sebagai justifikasi keesahan
penzahiran keputusan peperiksaan tersebut)
Penjualan data peribadi– S 130 (4)
The STAR headline 03 May 2009
The STAR 3 May 2009
Businessman “Ganesh” admits to purchasing the database of
members to an exclusive club. As it was considered high-end
data, he paid RM3 for every entry.
“All these names had Tan Sri and Datuk honoraries. Many in the
list were public figures,” he says, adding that he bought the data
from someone within the company. “The best way to get it is
through the administration or human resource staff.”
Ganesh says he was in turn able to re-sell the data for RM4
each. “There will always be someone who will buy this kind of
information.”
Kesalahan dan Penalti
• Pengumpulan atau penzahiran data peribadi yang melanggar
undang-undang – S 130 (3)
• Menjual data peribadi- S 130 (4)
• Menawarkan untuk menjual data peribadi– S 130 (5)
–
RM500K atau penjara tidak melebihi 3 tahun atau keduaduanya
UK ICO mengeluarkan denda
perlindungan data buat pertama kalinya
• Sebuah majlis daerah yang menfakskan butir-butir kes penderaan seks
kanak-kanak kepada orang awam telah dikenakan denda £ 100,000
kerana melanggar undang-undang Akta Perlindungan Data.
• Hertfordshire County Council adalah salah satu daripada dua badan yang
didenda oleh Pesuruhjaya Maklumat - kedua-duanya telah memohon
maaf.
• Sheffield-based A4e telah didenda £ 60,000 untuk kehilangan komputer
riba yang tidak dienkripsi (unencrypted laptop) yang mengandungi
maklumat peribadi beribu-ribu orang.
• Pesuruhjaya itu berkata denda - yang pertama dikeluarkan- akan
"menghantar satu mesej yang tegas " kepada mereka yang
mengendalikan data-data.
• Pesuruhjaya Christopher Graham telah diberikan kuasa untuk
mengeluarkan penalti kerana perlanggaran perlindungan data pada bulan
April tahun ini
.
UK - ICO mengeluarkan denda ketiga kerana menghilangkan
komputer riba yang tidak dienkripsi (unencrypted laptops)
• Dua pihak berkuasa tempatan telah didenda sebanyak £ 150,000
oleh badan pemantau perlindungan data Pesuruhjaya Maklumat
selepas kecurian dua komputer riba, yang bertentangan dengan
dasar-dasar Majlis berkenaan kerana tidak dienkripsi.
• Pejabat Pesuruhjaya Maklumat (ICO) telah mendenda Ealing
Council sebanyak £ 80,000 dan Hounslow Council sebanyak £
70.000 kerana komputer riba yang tidak dienkripsi tersebut
mengandungi maklumat peribadi sensitif berhubung 1700 orang.
• Ealing Council menyediakan perkhidmatan “out of hours service”
untuk kedua-dua pihak berkuasa, di mana perkhidmatan tersebut
bergantung kepada sembilan orang yang bekerja dari rumah. Dua
komputer riba dicuri dari salah satu rumah pekerja, dan walaupun
komputer tersebut dilindungi kata laluan, tetapi ianya tidak
dienkripkan.
• OUT-LAW News, 10/02/2011
• http://out-law.com/page-11771
Kesimpulan
• Secara perbandingan, Akta PDP memperuntukkan kesalahan
jenayah dan hukuman yang berat.
• Di Hong Kong, seksyen 64 Ordinan Privasi (Privacy Ordinance)
telah memperincikan beberapa kesalahan jenayah
• Pesuruhjaya Maklumat UK diberi kuasa mulai April 2010 untuk
mengenakan hukuman sivil maksimum sehingga £ 500,000.
Fasal 146 (1) Akta PDP - 3 bulan dari tarikh permulaan kuat kuasa
untuk pengguna berdaftar. Golongan lain ditentukan oleh Menteri.
Waktu moratorium bagi golongan lain masih belum ditentukan tarikh
berkuatkuasa. Dicadangankan moratorium satu (1) tahun semua
golongan dari tarikh kuat kuasa Akta PDP. Waktu moratorium
membolehkan Persuruhjaya menganjur kan “Awareness Program “
serta “Road Show.
23
Abdul Raman Saad & Associates
Tingkat 8, Bangunan KWSP
Changkat Raja Chulan
off Jalan Raja Chulan
50200 Kuala Lumpur
Malaysia
Web www.arsa.com.my