• Terdiri dari 146 seksyen, 11 bahagian.
• Mula berkuat kuasa - 15 November 2013.
• ‘Pengguna Data’ mula tertakluk kepada Akta dan ‘Subjek Data’
mula dilindungi.
• 11 golongan PD [PUA 336] – tempoh 3 bulan untuk mendaftar.
• Tempoh pendaftaran dan pematuhan oleh PD(sedia ada) –
berakhir 14 Febuari 2014.
4
LATAR BELAKANG AKTA
• 3 bulan tempoh pematuhan prinsip – PD sedia ada.
• Pematuhan sepenuhnya – oleh semua PD dalam transaksi
komersial - 15 Febuari 2014.
• Penguatkuasaan pendaftaran, pemeriksaan sistem (s.101),
pemantauan, siasatan aduan dll. – telah bermula 15 Febuari
2014.5
1 tahun 9 bulan
yang lalu
LATAR BELAKANG AKTA
6
BIDANGKUASA UMUM
AKTA 709
APDP 2010
(Akta 709)
bertujuan
melindungi
-DP; dan
-DP Sensitif
setiap subjek
data
dari sebarang
bentuk
prosesan
oleh
Pengguna
Data
dengan
mematuhi 7P
PDP
-di dalam
Malaysia
-kelengkapan
di Malaysia
berhubung
transaksi
komersial
selepas 15
Nov 2013
7
3 golongan PD di Malaysia :
1. Dikecualikan – kerajaan, proses luar Malaysia, bukan
komersial
2. Perlu patuh – semua PD selain pihak yang dikecualikan
3. Perlu patuh dan berdaftar – 11 golongan [PUA 336]
8
3 aspek penting pematuhan Akta 709:
1. Pendaftaran – bagi yang perlu berdaftar – 11 golongan
setakat ini
2. Patuhi 7 prinsip sepanjang memproses DP – semua PD,
berdaftar/ tidak
3. Tunaikan hak SD yang diberikan oleh Akta
4. Penguatkuasaan/ siasatan – beri kerjasama
TAFSIRAN ISTILAH (s.4)
9
DATA PERIBADI
Apa-apamaklumatberkaitan
seorang SD
Diproses berkenaan transaksi komersial
Direkod secara
manual @ elektronik
Dikenal pasti @ boleh
dikenal pasti
Termasuk DP Sensitif
Termasuk pendapat
tentang SD itu
Kecualidiprosesoleh APK
10
Data peribadisensitif
maklumat peribadi lain seperti rekodperubatan, tahap kesihatan, ideologipolitik, kepercayaan agama dll
Orang yang
berkaitan
SD < 18 Tahun: Ibu,bapa, penjaga
OTU: Lantikan mahkamah/ diberi kuasabertulis
SD Biasa: orang diberi kuasa bertulis untukbuat permintaan akses/ pembetulan data bagipihaknya
11
Penggunadata
Individu/ organisasi yang proses DP @mempunyai kawalan/ benarkanpemprosesan DP. Tidak termasukpemproses data.
Proses
kumpul, rekod, pegang, simpan DP; atau
Kendalikan DP - termasuk membuatpenyusunan, suaian, ubah, dapatkan kembali,hantar, pindah, sebar, jajar, gabung, padam,musnah
Subjekdata
individu yang menjadi subjek kepadaDP itu.
Transaksikomersial
apa-apa transaksi bersifat komersial – kontrak/tidak – termasuk perkara berhubung pembekalan/pertukaran barang/ perkhidmatan, agensi,pelaburan, pembiayaan, bank dan insuran.
Tidak termasuk perniagaan pelaporan kredit olehAPK.
12
SIRI LAWATANCIMBTELEKOM M’SIA BHD JESSELTON
MEDICAL CENTRE
ZAMANI &
CO
SUTERA HARBOUR
BANK RAKYAT
TH TRAVEL
POS M’SIA BHD
SP SETIA
ASTRO
KOPERASI PEGAWAI KERAJAAN
NEGERI KEDAH
SPORTS PLANET
PUTRA PALACE
A FAMOSA GOLF
RESORT
MAYFAIRRed ONE
TUJUAN LAWATAN
Fasa II pelaksanaan APDP - tertumpu kepada penyediaan Kod
Tata Amalan dan penggubalan Standard Keselamatan, Integriti
Data dan Penyimpanan (standard)
Kod Tata Amalan dan standard - memperlihatkan penekanan
Kerajaan kepada aspek pemakaian self-regulatory di kalanganpemain industri pemprosesan data peribadi
Hasil lawatan akan digunakan bagi mengenal pasti, merancang,
dan memantau penguatkuasaan APDP bagi tujuan berikut –
i) Menyediakan Kod Tata Amalan dan standard berkaitan;
ii) Mengawal selia aspek pematuhan Akta; dan
iii) Merangka program-program pendidikan dan kesedaran
di kalangan pengguna data.
TUJUAN LAWATAN
Fokus :
Langkah-langkah pematuhan Akta Perlindungan Data Peribadi
(APDP) 2010 oleh pengguna data
a. Unit/pegawai bertanggungjawab (Focal Point)
b. Pelaksanaan 7 Prinsip APDP
*Prinsip Am
*Prinsip Notis & Pilihan
*Prinsip Penzahiran
SKOP LAWATAN
*Prinsip Keselamatan
*Prinsip Penyimpanan
*Prinsip Integriti Data
*Prinsip Akses
c. Program Kesedaran berkenaan APDP
SKOP LAWATAN
LANGKAH-LANGKAH PEMATUHAN AKTA PERLINDUNGAN
DATA PERIBADI (APDP) 2010 OLEH PENGGUNA DATA
a. Unit/pegawai bertanggungjawab(Focal Point)
Hanya separuh daripada organisasi pengguna data telah
melantik pegawai pematuhan khusus yang bertanggungjawab
bagi melihat pelaksanaan dan pematuhan APDP di organisasi
masing-masing
a. Unit/pegawai bertanggungjawab(Focal Point)
Namun, ada di kalangan pegawai pematuhan tidak benar-
benar memahami peranan dan tanggungjawab serta
tindakan yang perlu dilaksanakan bagi memastikan
pematuhan organisasi masing-masing terhadap APDP
PRINSIP PERLINDUNGAN DATA PERIBADI
1. Prinsip Am [s.6]: PD tidak boleh proses DP SD tanpa persetujuannya
KECUALI:
i. Bagi laksanakan kontrak dengan SD;
ii. Atas permintaan SD bagi membuat kontrak;
iii. Mematuhi obligasi undang-undang;
iv. Melindungi kepentingan vital (kehidupan, kematian atau keselamatan)
SD;
v. Mentadbir keadilan; dan
vi. Menjalankan fungsi undang-undang.23
24
Prinsip Am
Proses DP
OTU urus diri
sendiri dengan
kebenaran
Proses DP SD di
bawah 18 tahun
dengan
kebenaran
1 persetujuan
hanya untuk 1
transaksasi
komersial
Ada bukti
persetujuan
(boleh rekod dan
disenggara)
Proses DP
dengan
persetujuan SD
Maksud sah;
berkaitan
dengan aktiviti
PD
Perlu atau
berhubung
langsung dengan
maksud itu
Cukup, TETAPI
tidak lebih dari
keperluan itu
Bagi mematuhi Prinsip Am juga, PD hendaklah mengambil
kira:
i. Beban pembuktian persetujuan yang terletak kepada
mereka [Ptn.3(5)]; dan
ii. Persetujuan yang nyata telah diperolehi daripada SD
sekiranya pemprosesan turut melibatkan DP sensitif
[s.40(1)].
25
b. Pelaksanaan 7 Prinsip APDP
Prinsip Am
Persetujuan subjek data tidak direkod dengan
sempurna– tiada frasa persetujuan, hanya
tandatangan, dalam bentuk lisan, dan tidak direkod
b. Pelaksanaan 7 Prinsip APDP
Prinsip Am
Tiada persetujuan subjek data untuk memproses dan
menzahirkan data peribadi mereka kepada pihak ketiga
secara jelas dalam bentuk bertulis
b. Pelaksanaan 7 Prinsip APDP
Prinsip Am
Frasa persetujuan subjek data dihubungkait dengan tujuan
yang lain daripada tujuan asal pengumpulan data
b. Pelaksanaan 7 Prinsip APDP
Prinsip Am
Pengumpulan data peribadi yang berlebihan (elemen yang
berlebihan di dalam borang yang tidak berkenaan dengan
maksud/tujuan yang dipersetujui oleh subjek data)
2. Prinsip Notis dan Pilihan [s.7]:
a) PD hendaklah maklumkan SD – secepat yang dapat mengenai
prosesan DPnya;
b) Notis & Pilihan hendaklah bertulis (kaunter, premis, portal, sms,
emel dll); dan
c) Sekurang-kurangnya dalam BK dan BI.
d) Bentuk tidak ditentukan (frame, poster, flyers, leaflet, booklet dll).
e) Mengandungi elemen wajib yang telah ditetapkan.
34
35
Kandungan
Notis &
Pilihan
DP itu diproses
oleh atau bagi
pihak PD
Jika wajib
berikan DP itu,
akibat sekiranya
tidak diberi
Sama ada wajib
atau sukarela
memberikan DPPilihan dan cara
yang ditawarkan
untuk hadkan
pemprosesan
Tujuan DP itu
dikumpul dan
akan diproses
lanjut
Maklumat
sumber DP itu
diperolehi
Hak akses, buat
pembetulan dan
hubungi semula
PD
Golongan pihak
ketiga yang
akan dizahirkan
DP itu
b. Pelaksanaan 7 Prinsip APDP
Prinsip Notis & Pilihan
Notis Privasi-tidak memberikan pilihan pemprosesan data
kepada subjek data serta tidak menyatakan secara terperinci
dan jelas perkara-perkara yang sewajarnya dimaklumkan
kepada subjek data sepertimana yang ditetapkan oleh Akta
b. Pelaksanaan 7 Prinsip APDP
Prinsip Notis & Pilihan
Terlalu panjang dan dalam bahasa yang tidak mudah
Tidak dipaparkan di lokasi yang mudah dilihat oleh subjekdata
b. Pelaksanaan 7 Prinsip APDP
Prinsip Notis & Pilihan
Pilihan yang diberikan kepada subjek data bersekali
dengan perkhidmatan optional (promosi produk dan
perkhidmatan lain)
b. Pelaksanaan 7 Prinsip APDP
Prinsip Notis & Pilihan
Tiada notis dan pilihan kepada subjek data
Kakitangan di kaunter - tiada kefahaman dan latihan
berkenaan penerangan berkaitan notis privasi organisasikepada subjek data
3. Prinsip Penzahiran [s.8]: DP tidak boleh dizahirkan kepada
pihak lain tanpa persetujuan SD melainkan untuk tujuan asal
dikumpul.
Peraturan-Peraturan PDP 2013.
Senarai penzahiran [Ptn.5]:
Bagi maksud s.8(b) – PD hendaklah menyimpan dan
menyenggara suatu senarai penzahiran DP yang telah atau
sedang diproses kepada pihak ketiga.48
b. Pelaksanaan 7 Prinsip APDP
Prinsip Penzahiran
Subjek data tidak dimaklumkan berkenaan siapakah pihak
ketiga di mana data mereka dizahirkan
Tiada senarai penzahiran data peribadi kepada pihak ketiga
yang sepatutnya disediakan sepertimana ketetapan Akta
4. Prinsip Keselamatan [s.9]: PD – ambil langkah praktikal – lindungi
DP – hilang, salah guna, ubah suai, akses/ penzahiran tanpa
kebenaran/ tidak sengaja, pengubahan atau pemusnahan.
Peraturan-Peraturan PDP 2013.
Polisi keselamatan [Ptn.6]:
1) Bagi maksud s.9: PD – bangunkan dan laksanakan polisi
keselamatan yang mematuhi Std Keselamatan ditetapkan oleh P.
2) PD hendaklah pastikan Std Keselamatan turut dipatuhi oleh
pemproses data bagi pihaknya.
Perkara
yang mesti
diambilkira
Pastikan
pemproses
ambil langkah
munasabah
Pastikan
pemproses beri
jaminan
mencukupi
Langkah tambahan
bagi pastikan
pemindahan
selamat
Sifat DP dan
kemudaratan
akibat hilang,
salah guna dllTempat/ lokasi
penyimpanan
Langkah
tambahan
dalam sistem
penyimpanan
Kejujuran, integriti
dan wibawa
personel boleh
akses DP
b. Pelaksanaan 7 Prinsip APDP
Prinsip Keselamatan
Keselamatan infrastruktur yang
digunakan dalam pemprosesan data
peribadi pelanggan - perlu ditambah
baik oleh organisasi termasuk yang
paling asas
Tiada kawalan dan penetapan akses
(access privilege and control) ke atas
data peribadi - kakitangan di bahagian
lain boleh mengakses data peribadi
pelanggan
b. Pelaksanaan 7 Prinsip APDP
Prinsip Keselamatan
Tiada sebarang log/rekod akses data
dan tiada penetapan kata laluan bagi
mengakses komputer dilaksanakan
Penggunaan perisian Antivirus sebagai
perlindungan kepada persekitaran
elektronik
Pemilikan infrastruktur pemprosesan
data (in-house/outsource-kontrak)
b. Pelaksanaan 7 Prinsip APDP
Prinsip Keselamatan
Pemasangan kamera litar tertutup di
premis - tiada sebarang notis makluman
dipaparkan
Tiada backup/redundancy data-data yang
diproses
b. Pelaksanaan 7 Prinsip APDP
Prinsip Keselamatan
Data peribadi tidak dimusnahkan dengan
sempurna – rincihan fizikal/digital wipe
dsb.
Keselamatan fizikal – tiada kabinet dan
bilik berkunci bagi menyimpan data yang
dikumpul) – diletakkan di tempat terbuka
5. Prinsip Penyimpanan [s.10]: DP tidak boleh disimpan lebih
lama dari tempoh diperlukan. PD wajib memastikan DP dimusnah
atau dipadam secara kekal setelah selesai tujuan asal DP itu
diproses.
Peraturan-Peraturan PDP 2013.
Standard penyimpanan [p.7]:
Bagi maksud s.10 – DP seorang SD hendaklah disimpan
mengikut Std Penyimpanan yang ditetapkan oleh P.57
b. Pelaksanaan 7 Prinsip APDP
Prinsip Penyimpanan
Penyimpanan data yang melangkaui tempoh
Tiada rujukan kepada sebarang undang-undang khusus mahupun
undang-undang berkaitan industri dalam penyimpanan data oleh
organisasi
Data yang tidak aktif tidak dimusnahkan (tiada
justifikasi bagi menyimpan data)
6. Prinsip Integriti Data [s.11]: PD perlu mengambil langkah
munasabah untuk memastikan DP yang diproses tepat,
lengkap, terkini dan tidak mengelirukan.
Peraturan-Peraturan PDP 2013.
Standard Integriti Data [Ptn.8]:
Bagi maksud s.11 – PD hendaklah memproses DP mengikut
Std Integriti Data yang ditetapkan oleh P.
59
b. Pelaksanaan 7 Prinsip APDP
Prinsip Integriti Data
Inisiatif serta prosedur dan medium khusus (borang khas, online
update, contact person dsb.) yang disediakan oleh organisasi
bagi memastikan data peribadi yang dikumpul dan diproses
adalah tepat, lengkap, tidak mengelirukan dan terkini
Pengemaskinian data - berdasarkan pemintaan
pelanggan
b. Pelaksanaan 7 Prinsip APDP
Prinsip Integriti Data
Hanya sebahagian kecil organisasi pengguna data yang
kreatif dan inovatif dalam melaksanakan pengemaskinian
data (melalui bil, surat-menyurat yang berhubung dengan
data subjek)
7. Prinsip Akses [s.12]: SD hendaklah diberi akses kepada
DPnya, dan boleh betulkannya jika tidak tepat, tidak
lengkap, mengeliru atau tidak terkini KECUALI keengganan
yang dibenarkan oleh Akta [rujuk s.32].
62
b. Pelaksanaan 7 Prinsip APDP
Prinsip Akses
Hak subjek data bagi mengakses data peribadi - berdasarkan
permintaan pelanggan
Tiada pemberitahuan diberikan kepada subjek data mengenai
prosedur mengakses data mereka
c. Program Kesedaran berkenaan APDP
Program kesedaran berkenaan APDP kepada kakitangan –
dilaksanakan oleh sebilangan kecil organisasi pengguna data
Hanya sebahagian organisasi yang proaktif melaksanakan
program kesedaran berkenaan APDP(e-learning, kursus,
taklimat dsb) sebagai program tahunan
RUMUSAN LAWATAN
• Tahap Pematuhan :
Keseluruhan – Rendah
Inisiatif pematuhan - Rendah
Komitmen pengurusan atasan organisasi
Tahap pematuhan yang baik –
organisasi yang ISMS compliant
RUMUSAN LAWATAN
Organisasi dengan cawangan yang banyak – komunikasi ibu
pejabat berkenaan polisi privasi dan langkah pematuhan yang
sewajarnya dilakukan kepada cawangan tidak diterima dengan
jelas/difahami
Kontrak dengan pemproses data (iaitu salah satu pihak ketiga
dimana data dizahirkan dalam jumlah yg banyak bagi tujuan
pemprosesan data) tidak mengambil kira dan memasukkanklausa berkaitan pematuhan terhadap APDP 2010