×

Untuk memberi perlindungan kepada maklumat peribadi seseorang individu yang diproses untuk tujuan transaksi komersial.

Semua individu dan organisasi yang memproses data peribadi dalam urusan mereka mesti mematuhi peraturan-peraturan yang ditetapkan dalam Akta Perlindungan Data Peribadi 2010. Kerajaan Persekutuan dan Kerajaan Negeri dikecualikan.

Akta Perlindungan Data Peribadi mengandungi tujuh prinsip amalan pengendalian maklumat yang mesti dipatuhi.

  1. Prinsip Am
  2. Prinsip Notis dan Pilihan
  3. Prinsip Penzahiran
  4. Prinsip Keselamatan
  5. Prinsip Penyimpanan
  6. Prinsip lntegriti Data
  7. Prinsip Akses

Sebarang data yang membolehkan seseorang individu yang masih hidup dikenalpasti adalah dilindungi di bawah Akta Perlindungan Data Peribadi. Beberapa contoh data boleh dianggap sebagai data peribadi selagi seseorang individu yang masih hidup boleh dikenalpasti daripada maklumat atau data tersebut:

  1. Nama dan alamat
  2. Nombor kad pengenalan
  3. Nombor pasport
  4. Maklumat kesihatan
  5. Alamat e-mel
  6. Gambar
  7. lmej dalam rakaman litar tertutup (CCTV)
  8. Maklumat dalam fail peribadi
Sesebuah organisasi mesti mematuhi Akta hanya jika organisasi itu “memproses” data peribadi. Akta Perlindungan Data Peribadi memberi definasi kepada maksud perkataan “pemprosesan”. Definasinya sangat luas. “Pemprosesan” data peribadi bermaksud melakukan sesuatu terhadap data termasuklah mengumpul, merekod, memegang, menyimpan, menyusun, mengubah, menzahirkan dan memusnahkan. Hanya dengan membaca atau mengakses maklumat sudah dianggap “pemprosesan”.
Contoh-contoh aktiviti yang boleh dianggap sebagai “pemprosesan”termasuklah:
 
  1. Mengumpul data menggunakan borang, melalui telefon atau melalui laman sesawang
  2. Menerbitkan data
  3. Menjual data
  4. Menggunakan data dalam pentadbiran
  5. Menggunakan data untuk tujuan pemasaran
  6. Merekodkan data
  7. Mendedahkan atau memberikan data kepada organisasi lain
  8. Memusnahkan data

Akta Perlindungan Data Peribadi terpakai kepada seseorang individu dan organisasi sekiranya mereka adalah “Pengawal data”.”Pengawal data”adalah individu atau organisasi yang:

  1. Memproses data peribadi, atau
  2. Mempunyai kawalan terhadap pemprosesan data peribadi, atau
  3. Membenarkan pemprosesan data peribadi

Akta Perlindungan Data Peribadi tidak terpakai kepada seseorang individu atau organisasi yang memproses data peribadi bagi pihak pengawaldata.

Jika organisasi A mendapatkan khidmat organisasi B bagi memproses data bagi pihaknya, maka dalam hubungan ini, organisasi A adalah pengawal data manakala organisasi B adalah pemproses data. Akta Perlindungan Data Peribadi menghendaki organisasi A memastikan bahawa organisasi B memberi jaminan untuk mengambil langkah-langkah keselamatan bagi melindungi data yang diproses. Organisasi A juga dikehendaki oleh Akta supaya memastikan bahawa organisasi B mematuhi langkah-langkah tersebut.

Akta Perlindungan Data Peribadi memberikan peraturan mengenai amalan yang baik dalam memproses data peribadi individu yang masih hidup. Akta mendefinasikan individu-individu yang mana data mereka diproses oleh pengawal data sebagai subjek data.

Subjek data diberikan hak-hak berikut:

  1.  Hak untuk diberitahu samada data mereka diproses oleh sesebuah organisasi
  2. Hak untuk mengakses data peribadi
  3. Hak untuk membetulkan data peribadi
  4. Hak untuk menarik balik kebenaran memproses data peribadi
  5. Hak untuk menghalang pemprosesan yang mungkin menyebabkan kerosakan atau tekanan (distress)
  6. Hak untuk menghalang pemprosesan bagi maksud pemasaran langsung

Akta Perlindungan Data Peribadi mendefinasikan data peribadi sensitif sebagai maklumat tentang kesihatan atau keadaan fizikal atau mental seseorang individu, pendapat politiknya, kepercayaan agamanya dan kepercayaan lain yang bersifat seumpamanya. Selain itu, perlakuan atau penyataan perlakuan apa-apa kesalahan seseorang individu juga adalah data peribadi sensitif.

Akta tidak membenarkan pemprosesan data peribadi sensitif kecuali untuk tujuan-tujuan yang dinyatakan dalam Akta dan pemprosesan tersebut mestilah dengan persetujuan secara nyata dari subjek data.

Individu yang merasakan bahawa data peribadi mereka telah diproses melanggar peruntukan mana-mana peruntukan Akta boleh membuat aduan kepada Pesuruhjaya Perlindungan Data Peribadi.

Remedi dibawah Akta Perlindungan Data Peribadi adalah dalam bentuk kesalahan jenayah. Akta telah mewujudkan beberapa kesalahan jenayah baru, ini termasuklah kesalahan-kesalahan berikut:

  1. Memproses data peribadi tanpa perakuan pendaftaran
  2. Memproses data peribadi selepas pendaftaran dibatalkan
  3. Melakukan perlanggaran terhadap mana-mana prinsip data
  4. Memproses data peribadi selepas persetujuan di tarik balik
  5. Memproses data peribadi sensitif tidak mengikut syarat-syarat yang telah ditetapkan
  6. Menjual atau membuat tawaran untuk menjual data peribadi
  7. Kegagalan mematuhi kehendak Pesuruhjaya Perlindungan Data Peribadi bagi mematuhi notis mengenai pemasaran langsung.

Jika pengawal data menyatakan dengan jelas dalam kontraknya dengan pihak ketiga tanggungjawab untuk mematuhi PDPA apabila memproses data peribadi bagi pihak mereka, sebarang pelanggaran oleh pihak ketiga boleh dikenakan denda/penjara atau kedua-duanya.

Ya, anda boleh mengimbas rekod. Walau bagaimanapun, kerana rekod adalah data sensitif; anda perlu memastikan keselamatan data adalah mengikut Prinsip Keselamatan dan Piawaian PDP.

ya. Walau bagaimanapun, menghantar surat berita promosi atau kemas kini mesti mendapat persetujuan daripada pelanggan anda.

Sebaik sahaja syarikat telah mendaftar sebagai Pengawal Data di bawah PDPA, syarikat itu boleh mula mematuhi peruntukan Akta tersebut.

Dalam keadaan di mana kedua-dua kolej memegang jenama yang sama di bawah satu lesen oleh Kementerian Pendidikan; kolej utama perlu mendaftar dan memohon CTC daripada Pesuruhjaya PDP untuk semua cawangannya di Malaysia.
Walau bagaimanapun, jika kedua-dua kolej memegang lesen berasingan; maka pendaftaran adalah terpakai kepada kedua-duanya.

Memandangkan Imigresen adalah jabatan persekutuan, ia tidak terikat dengan PDPA. Selain itu, menurut Seksyen 39; pendedahan data peribadi kepada pihak berkuasa boleh diberikan seperti untuk pencegahan dan pengesanan jenayah, dan untuk tujuan penyiasatan. Walau bagaimanapun, pengawal data harus mempunyai prosedur untuk mengesahkan kesahihan permintaan.

Pengawal data tidak boleh menyimpan data peribadi lebih lama daripada yang diperlukan melainkan terdapat peruntukan undang-undang lain yang memerlukan pengekalan data yang lebih lama.

Pengawal data yang berada di dalam Perintah Perlindungan Data Peribadi(Golongan Pengawal Data) 2013(P.U.(A). 336) atau Perintah Perlindungan Data Peribadi (Golongan Pengawal Data)(Pindaan) 2016 (P.U.(A). 326)

Pengawal data yang berdaftar akan dikeluarkan Perakuan Pendaftaran dan akan ditubuhkan suatu Forum Pengawal Data. Forum Pengawal Data akan menyediakan suatu Tataamalan di mana ia dapat meningkatkan kepercayaan dan integriti dalam mengendalikan data peribadi

Pembaharuan pendaftaran lewat dianggap sebagai memproses data peribadi tanpa sijil pendaftaran. Ia adalah satu kesalahan di bawah Seksyen 16(4) PDPA.

Notis Privasi yang mesti selaras dengan semua peruntukan di bawah Seksyen 7, PDPA mesti disampaikan oleh pengawal data kepada pelanggannya semasa memproses data peribadi pelanggan. Selain itu, persetujuan untuk pemindahan data peribadi ke luar negara juga mesti diperolehi oleh pengawal data. Namun begitu, sebagai pemproses data; anda bertanggungjawab untuk memastikan keselamatan pemindahan.

Pejabat Pesuruhjaya telah mewujudkan Panduan mengenai Notis Privasi. Ya, Pejabat telah berkomunikasi dengan MAH dalam menghasilkan Kod Amalan Sektor Pelancongan & Hospitaliti

Untuk memberikan perkhidmatan kepada pelanggan, bank mungkin perlu mendedahkan maklumat pelanggan kepada mana-mana pihak ketiga yang bertindak bagi pihak bank.

Ini selaras dengan Seksyen 8 PDPA yang menyatakan bahawa tiada pendedahan data peribadi tanpa persetujuan pelanggan kepada mana-mana pihak ketiga selain daripada yang disenaraikan oleh pengawaldata dalam Senarai Pendedahan seperti yang dikehendaki oleh P.U.(A) 335/2013.