GDPR

Kenyataan Pematuhan Data EU

1. Gambaran Keseluruhan Perundangan Perlindungan Data Peribadi EU

EU menggubal Peraturan Perlindungan Data Umum (GDPR) pada tahun 2016, yang berkuat kuasa pada tahun 2018. GDPR bertujuan untuk melindungi hak privasi dan perlindungan data semua individu di EU. GDPR terpakai kepada semua perusahaan dan organisasi yang memproses data peribadi, tanpa mengira lokasi geografi mereka, selagi aktiviti pemprosesan data mereka melibatkan data peribadi warganegara EU.

（一）Definisi Berkaitan

1. Pengawal data ialah orang asli, badan berkanun, agensi awam, pentadbiran atau organisasi bukan berkanun lain yang boleh menentukan secara bersendirian atau bersama tujuan dan cara pemprosesan data peribadi, dan bertanggungjawab untuk menentukan tujuan dan cara pemprosesan data peribadi, tetapi piawaian khusus hendaklah ditetapkan oleh undang-undang EU atau negara anggotanya.

2. Pemproses data merujuk kepada orang asli, badan berkanun, agensi awam, pentadbiran atau organisasi bukan berkanun lain yang memproses data peribadi untuk pengawal data. Walau bagaimanapun, kadangkala sukar untuk menentukan sama ada sesuatu entiti itu tergolong dalam pengawal data atau pemproses.

3. Data peribadi merujuk kepada sebarang maklumat yang menunjuk kepada orang asli yang dikenal pasti atau boleh dikenal pasti (“subjek data”). GDPR meluaskan skop data peribadi. Mengikut skop yang ditakrifkan oleh GDPR, data peribadi juga termasuk cap jari digital (contohnya, alamat IP dan Kuki). Selain itu, data genetik atau biometrik juga termasuk dalam kategori “data sensitif”.

4. GDPR menyatakan dengan jelas bahawa data sensitif peribadi harus dilindungi dengan tahap yang tinggi, data ini termasuk: asal kaum dan etnik seseorang, pandangan politik, kepercayaan agama dan falsafah, keahlian kesatuan sekerja, data genetik, data biometrik, data kesihatan, maklumat tentang kehidupan seks atau orientasi seksual dan maklumat rekod jenayah. Institusi perubatan biasanya mesti memenuhi keperluan perlindungan data yang lebih tinggi.

5. Kandungan Utama

（一）Perusahaan perlu mengikuti langkah-langkah berikut untuk mencapai pematuhan GDPR:

（1）Audit data: Audit aktiviti pemprosesan data sedia ada untuk memastikan anda memahami sumber, tujuan penggunaan dan tempoh penyimpanan data peribadi.

（2）Kemas kini dasar privasi: Kemas kini dasar privasi untuk memastikan kandungannya mematuhi keperluan GDPR dan memaklumkan pengguna dengan jelas tentang cara data mereka diproses.

（3）Wujudkan mekanisme pematuhan: Wujudkan sistem pengurusan perlindungan data untuk memastikan semua aktiviti pemprosesan data mematuhi prinsip GDPR.

（4）Latihan pekerja: Latih pekerja dalam pengetahuan berkaitan GDPR dan perlindungan data untuk meningkatkan kesedaran pematuhan mereka.

Pemantauan dan semakan: Pantau aktiviti pemprosesan data dengan kerap untuk memastikan pematuhan berterusan dengan keperluan GDPR.

2. Bilakah Pemprosesan Data Peribadi Sah untuk Memproses Data Peribadi

Menurut Perkara 6 GDPR, pemprosesan data peribadi mesti mematuhi enam asas undang-undang berikut:

(1) Subjek data telah bersetuju untuk data peribadinya diproses untuk satu atau lebih tujuan tertentu;

(2) Pemprosesan adalah perlu untuk pelaksanaan kontrak yang mana subjek data adalah pihak, atau untuk mengambil langkah atas permintaan subjek data sebelum memasuki kontrak;

(3) Pemprosesan adalah perlu untuk mematuhi kewajipan undang-undang yang mana pengawal tertakluk;

(4) Pemprosesan adalah perlu untuk melindungi kepentingan penting subjek data atau orang semula jadi yang lain;

(5) Pemprosesan adalah perlu untuk pelaksanaan tugas yang dijalankan demi kepentingan awam atau dalam pelaksanaan kuasa rasmi yang diberikan kepada pengawal;

(6) Pemprosesan adalah perlu untuk tujuan kepentingan sah yang dikejar oleh pengawal atau oleh pihak ketiga, kecuali kepentingan tersebut diketepikan oleh kepentingan atau hak asasi dan kebebasan subjek data yang memerlukan perlindungan data peribadi, terutamanya jika subjek data adalah seorang kanak-kanak. (Nota: Perkara ini tidak terpakai kepada pemprosesan yang dijalankan oleh pihak berkuasa awam dalam melaksanakan tugas mereka)

Mendapatkan persetujuan terlebih dahulu adalah prasyarat terpenting bagi perusahaan untuk memproses data peribadi warganegara EU secara sah. Contohnya, apabila berhadapan dengan pematuhan GDPR, Facebook harus cuba mendapatkan persetujuan dan bukannya mematuhi prinsip pengecilan data.

Persetujuan yang diperoleh mestilah boleh dibuktikan, dibezakan dengan jelas daripada perkara lain, dan boleh ditarik balik. Perlu diingatkan bahawa persetujuan yang jelas mesti diperoleh untuk memproses data sensitif. Persetujuan yang kabur atau “selimut” dianggap tidak sah. Perusahaan mesti membentangkan pernyataan bahasa yang mudah difahami kepada subjek data untuk memilih sama ada bersetuju dengan pihak lain untuk memproses data peribadi. Memandangkan ini, sekurang-kurangnya secara teori, permintaan untuk persetujuan yang kabur, penuh dengan istilah dan jangka panjang tidak lagi wujud.

Selain itu, berdiam diri, kotak yang dipratanda atau tidak aktif, tidak membentuk persetujuan yang sah. Apabila pengguna perlu menandakan kotak atau bersetuju melalui telefon, ini adalah pilihan yang jelas.

Kanak-kanak di bawah umur 16 tahun tidak mempunyai hak persetujuan yang sah, tetapi negara anggota EU boleh melonggarkan had umur ini kepada 13 tahun.

(II) Pemindahan Rentas Sempadan Data Peribadi

1. Pemindahan Dalaman EU

Dalam kes pemindahan data peribadi di dalam EU, GDPR tidak mengenakan sebarang keperluan tambahan ke atas aplikasi langsung GDPR. Walau bagaimanapun, apabila pengawal menggunakan pemproses, hubungan antara pengawal data dan pemproses data perlu dikawal oleh perjanjian, dan piawaian minimum yang ditetapkan oleh GDPR dalam kes ini mesti dipatuhi. Perjanjian antara pemproses dan pemproses (Perkara 28 GDPR) menetapkan perkara dan tempoh pemprosesan, sifat dan tujuan pemprosesan, jenis data peribadi dan kategori subjek data, serta kewajipan dan hak pengawal.

2. Pemindahan Data Bukan EU: Langkah-langkah untuk Mematuhi GDPR

Untuk pemindahan data bukan EU, GDPR menjangkakan keadaan tertentu di mana pemindahan sedemikian boleh berlaku. Khususnya, organisasi yang terlibat dalam pemindahan data peribadi bukan EU perlu mengesahkan:

Sama ada Suruhanjaya Eropah mempunyai keputusan kecukupan, dan jika tidak, menyediakan jaminan tambahan melalui perjanjian kontrak.

(1) Suruhanjaya Eropah boleh mengeluarkan keputusan mengenai tahap perlindungan data di negara/rantau bukan EU (contohnya, Perisai Privasi EU-AS). Keputusan ini berdasarkan penilaian menyeluruh sama ada negara ketiga mempunyai jaminan undang-undang perlindungan data yang mencukupi yang setara dengan EU. Hasil daripada keputusan kecukupan ialah penghapusan sebarang halangan kepada pemindahan data dari EU (serta Norway, Liechtenstein dan Iceland) ke negara ketiga itu tanpa sebarang keperluan perlindungan data selanjutnya.

(2) Pemindahan mesti tertakluk kepada perlindungan yang sesuai

Jika negara ketiga tidak dilindungi oleh keputusan kecukupan, organisasi EU harus mempertimbangkan salah satu alternatif berikut:

1) Klaus Kontrak Standard. Suruhanjaya Eropah juga boleh menerima pakai klausa kontrak standard untuk memudahkan pengawal EU menyediakan perlindungan perlindungan data yang mencukupi apabila memindahkan data peribadi kepada pengawal atau pemproses bukan EU. Setakat ini, Suruhanjaya Eropah telah menerbitkan dua set klausa kontrak standard: pemindahan data daripada pengawal EU kepada pengawal bukan EU atau EEA dan daripada pengawal EU kepada pemproses bukan EU atau EEA. Pihak berkuasa perlindungan data juga boleh menerima pakai klausa model. Walau bagaimanapun, klausa ini perlu diluluskan oleh Suruhanjaya. Akhir sekali, pemindahan rentas sempadan juga boleh berdasarkan klausa kontrak ad hoc yang dipersetujui antara pengeksport dan pengimport data, yang mesti diluluskan oleh DPA yang berwibawa.

2)Peraturan Korporat Mengikat (BCR). Jika data peribadi dipindahkan daripada satu entiti korporat kepada entiti korporat yang lain (tanpa mengira wilayah), pemindahan data akan tertakluk kepada Peraturan Korporat Mengikat (BRC). Peraturan korporat yang mengikat ialah peraturan yang mengikat secara sah yang diluluskan oleh pihak berkuasa penyelia yang mentadbir pemindahan dan pemprosesan data peribadi di dalam kumpulan perusahaan atau kumpulan perusahaan yang terlibat dalam aktiviti ekonomi bersama dan pekerjanya (termasuk yang terletak di luar EU wilayah. Berbanding dengan klausa kontrak standard, kelebihan BCR ialah sebaik sahaja ia diluluskan oleh pihak berkuasa perlindungan data, semua pemindahan intra-kumpulan masa hadapan boleh dilakukan tanpa mengira wilayah tanpa sebarang keperluan tambahan.

Perlindungan Tambahan Selain daripada pilihan di atas, GDPR memperkenalkan dua alat kecukupan alternatif untuk pemindahan data: mekanisme pensijilan yang diluluskan dan kod tatalaku yang diluluskan. Kedua-dua mekanisme membenarkan pemindahan data, dengan syarat pengimport data membuat komitmen yang mengikat dan boleh dikuatkuasakan untuk menggunakan perlindungan yang sesuai untuk perlindungan data.

(3) Pengecualian Pemindahan Data

Dalam banyak kes, pemindahan data peribadi boleh berlaku tanpa mekanisme pemindahan yang dinyatakan di atas. Keadaan ini adalah terhad dan termasuk yang berikut:

1. Subjek data telah memberikan persetujuan yang jelas;

2. Pemindahan adalah perlu untuk membuat atau melaksanakan kontrak;

3. Terdapat sebab penting kepentingan awam;

4. Ia adalah perlu untuk mewujudkan, melaksanakan atau mempertahankan tuntutan undang-undang;

5. Ia perlu untuk kepentingan penting subjek data atau orang lain;

6. Ia melibatkan data yang didaftarkan secara umum;

Selain itu, GDPR memperkenalkan pengehadan baharu, iaitu pengurangan, pada pemindahan bukan berulang yang melibatkan bilangan subjek data yang terhad. Pemindahan dibenarkan tanpa asas undang-undang lain apabila ia perlu untuk tujuan kepentingan sah pengeksport data yang mendesak yang tidak diketepikan oleh kepentingan sah subjek data dan pengeksport menyediakan perlindungan yang mencukupi untuk data yang dipindahkan. Dalam kes ini, pengeksport mesti memaklumkan pihak berkuasa perlindungan data dan subjek data yang berkaitan tentang keadaan pemindahan.