20 Soalan Lazim Akta Perlindungan Data Peribadi 2010 (+Pindaan 2024)
MISHU bukan firma guaman, dan maklumat dalam panduan di bawah patut dianggap sebagai maklumat umum sahaja dan bukan nasihat perundangan.
Dalam pengalaman kami, peraturan pengendalian data peribadi dalam Akta Perlindungan Data Peribadi 2010 sering dilanggar oleh perniagaan di Malaysia tanpa sedar.
Mujurnya, pindaan 2024 PDPA menawarkan denda jauh lebih tinggi, dan ini sering akan paksa bisnes tempatan ubah tabiat mereka!
Di bawah, kami jawab 20 soalan tentang cara data peribadi perlu dikendalikan dalam transaksi komersil.
Jom, mulakan.
Isi Kandungan
- 1. Apakah penalti PDPA yang terkini?
- 2. Siapakah yang tertakluk kepada PDPA?
- 3. Apa definisi ‘data peribadi’ di bawah PDPA?
- 4. Apa definisi ‘data peribadi sensitif’ di bawah PDPA?
- 5. Bolehkah saya kumpul data peribadi pelanggan?
- 6. Macam mana nak dapat persetujuan pelanggan?
- 7. Boleh tak kongsi data peribadi dengan pihak lain?
- 8. Boleh tak pidahkan data peribadi ke luar negara?
- 9. Berapa lamakah boleh data peribadi disimpan?
- 10. Apa langkah terpenting untuk mematuhi PDPA?
- 11. Apa yang patut disertakan dalam notis privasi?
- 12. Di mana nak paparkan notis privasi?
- 13. Bagaimana nak pastikan staf mematuhi PDPA?
- 14. Apakah hak pelanggan?
- 15. Macam mana nak beri pelanggan akses kepada data peribadi mereka?
- 16. Apa kewajipan di bawah Prinsip Keselamatan?
- 17. Macam mana nak pastikan ‘integriti data’?
- 18. Perlu tak maklumkan PDP tentang data bocor?
- 19. Apakah Pegawai Perlindungan Data (DPO)?
- 20. Adakah saya perlu lantik DPO?
- Biar MISHU bantu anda patuh syarat PDPA
1. Apakah penalti PDPA yang terkini?
Di bawah PDPA, penalti berbeza mengikut kesalahan tetapi hukuman maksimum boleh setinggi:
- denda sehingga RM1,000,000, atau
- penjara sehingga 3 tahun, atau
- kedua-duanya
Jika ini cukup untuk menakutkan anda, sila baca panduan kami ini hingga habis!
2. Siapakah yang tertakluk kepada PDPA?
PDPA terpakai kepada:
- mana-mana individu atau organisasi komersial yang ditubuhkan di Malaysia, dan
- organisasi asing yang menggunakan peralatan di Malaysia untuk memproses data peribadi
Secara ringkas, jika anda jalankan perniagaan di Malaysia dan mengumpul maklumat pelanggan untuk sebarang fungsi komersil, bisnes anda dan ahli pengurusan senior tertakluk di bawah PDPA!
3. Apa definisi ‘data peribadi’ di bawah PDPA?
Mana-mana maklumat yang secara langsung atau tidak langsung mengenal pasti atau boleh mengenal pasti seseorang individu, termasuk:
- nama
- nombor kad pengenalan
- nombor telefon
- e-mel, dan
- alamat
Ada jenis data yang dikenali sebagai ‘data peribadi sensitif’ dan memerlukan perlindungan lebih tinggi.
4. Apa definisi ‘data peribadi sensitif’ di bawah PDPA?
Data peribadi sensitif adalah kategori khas data peribadi dengan kemungkinan tinggi memberi kesan buruk kepada individu jika didedahkan termasuk:
- rekod kesihatan fizikal atau mental
- kepercayaan agama
- pendapat politik
- rekod jenayah, dan
- data biometrik
Kerana ini, data peribadi sensitif memerlukan perhatian tambahan.
5. Bolehkah saya kumpul data peribadi pelanggan?
Ya, tetapi hanya selepas memaklumkan mereka dan memperoleh persetujuan serta persetujuan jelas (iaitu dinyatakan dengan nyata dan didokumentasikan) untuk data peribadi sensitif.
6. Macam mana nak dapat persetujuan pelanggan?
Mana-mana cara adalah sah selagi memenuhi kriteria berikut:
- persetujuan diberikan secara bebas dan tanpa tekanan
- pelanggan tahu data apa yang dikumpul, tujuannya, dan cara ia akan digunakan
- ada rekod tentang bagaimana dan bila persetujuan diperoleh
Contoh kaedah yang memenuhi syarat ini termasuk:
- borang
- kotak semak
- e-mel atau mesej
- permintaan yang jelas
7. Boleh tak kongsi data peribadi dengan pihak lain?
Ya, tetapi pastikan anda:
- memperoleh persetujuan bertulis daripada pelanggan
- memastikan pihak ketiga mematuhi standard perlindungan data
- gunakan kontrak atau perjanjian perkhidmatan yang mematuhi PDPA
8. Boleh tak pidahkan data peribadi ke luar negara?
Pemindahan merentasi sempadan dibenarkan di bawah PDPA, selagi:
- negara penerima mempunyai undang-undang perlindungan data yang serupa dengan PDPA, atau
- individu telah memberi persetujuan, atau
- pemindahan diperlukan untuk tujuan kontrak atau undang-undang
9. Berapa lamakah boleh data peribadi disimpan?
Di bawah Prinsip Penyimpanan (satu daripada tujuh prinsip PDPA), data peribadi hanya perlu disimpan selama diperlukan untuk memenuhi tujuan asal pengumpulannya.
Setelah tidak lagi diperlukan, data perlu dipadamkan atau dianonimkan secara selamat.
10. Apa langkah terpenting untuk mematuhi PDPA?
Mula-mula, kita perlu kenali tujuh prinsip PDPA menetapkan pengendalian data peribadi:
- Am: Hanya kumpul data peribadi apabila perlu dan dengan persetujuan.
- Makluman dan Pilihan: Maklumkan orang tentang data peribadi yang dikumpul dan sebabnya.
- Pendedahan: Jangan kongsi data peribadi tanpa persetujuan.
- Keselamatan: Lindungi data peribadi daripada kehilangan, penyalahgunaan, atau akses tanpa kebenaran.
- Penyimpanan:– Jangan simpan data peribadi lebih lama daripada yang diperlukan.
- Integriti Data: Pastikan data peribadi yang dipegang tepat, lengkap, dan terkini.
- Akses: Berikan hak kepada individu untuk mengakses dan membetulkan data peribadi mereka.
Mematuhi tujuh prinsip ini sahaja akan letakkan organisasi anda di hadapan kebanyakan perniagaan lain.
Salah satu langkah terbaik ialah dengan menyediakan notis privasi yang jelas!
11. Apa yang patut disertakan dalam notis privasi?
Notis privasi anda perlu menunjukkan ketelusan dan menerangkan dengan jelas:
- data peribadi yang dikumpul
- mengapa ia dikumpul (tujuan)
- daripada mana data peribadi diperoleh
- kepada siapa ia mungkin dikongsi
- sama ada ia mandatori atau sukarela
- bagaimana orang boleh mengakses atau membetulkan data peribadi mereka
- pilihan yang tersedia kepada mereka (contohnya, opt-out)
Notis privasi ini perlu disediakan dalam Bahasa Malaysia dan Bahasa Inggeris, dan untuk rujukan, Jabatan PDP mempunyai contoh notis privasi rasmi.
12. Di mana nak paparkan notis privasi?
Notis privasi anda harus dipaparkan dengan jelas di mana-mana data peribadi dikumpul.
Contohnya: laman web, borang pendaftaran, premis, dan mana-mana lokasi fizikal atau digital yang melibatkan pengumpulan data peribadi pelanggan.
13. Bagaimana nak pastikan staf mematuhi PDPA?
Untuk menanamkan pematuhan PDPA dalam organisasi, pertimbangkan:
- Notis Privasi yang jelas
- program latihan dan kesedaran yang kerap
- proses jelas untuk permintaan akses kepada data peribadi
Mulakan secara kecil dan kembangkan mengikut saiz dan tahap risiko organisasi anda.
14. Apakah hak pelanggan?
Di bawah PDPA, pelanggan anda (dirujuk sebagai subjek data) mempunyai hak untuk:
- Akses: Meminta salinan data peribadi mereka yang dipegang oleh anda.
- Pembetulan: Meminta data peribadi mereka diperbetulkan jika tidak tepat atau sudah lapuk.
- Menarik Persetujuan: Membatalkan persetujuan yang telah diberikan, pada bila-bila masa.
- Menolak Pemprosesan: Menolak penggunaan data peribadi untuk sebarang tujuan.
- Portabiliti Data: Meminta data peribadi mereka dipindahkan.
15. Macam mana nak beri pelanggan akses kepada data peribadi mereka?
Untuk memenuhi kewajipan ini, anda boleh:
- sediakan cara mudah bagi individu meminta akses seperti borang dalam talian
- tetapkan proses untuk mengesahkan identiti sebelum berkongsi data peribadi
- membolehkan individu mengemukakan permintaan pembetulan data peribadi
- pastikan permintaan diproses dalam 21 hari seperti yang diwajibkan oleh PDPA
16. Apa kewajipan di bawah Prinsip Keselamatan?
Organisasi mesti mengambil langkah praktikal dan munasabah untuk lindungi data peribadi daripada:
- hilang
- musnah
- disalahgunakan
- diakses / diubah tanpa kebenaran
Langkah biasa termasuk:
| Jenis Langkah | Contoh Tindakan |
|---|---|
| Langkah Teknikal | Kata laluan kuat, pengesahan dua faktor (2FA), penyulitan data, infrastruktur cloud selamat dengan firewall |
| Langkah Organisasi | Kawalan akses berdasarkan peranan, audit dan semakan akses berkala |
| Langkah Fizikal | Akses fizikal terhad ke pelayan atau fail sensitif, pelupusan rekod fizikal yang selamat |
17. Macam mana nak pastikan ‘integriti data’?
Untuk mematuhi Prinsip Integriti Data, pastikan data peribadi:
- Tepat: Sentiasa sahihkan data peribadi adalah betul (contohnya, maklumat hubungan, butiran pembayaran).
- Lengkap: Elakkan menggunakan rekod yang tidak lengkap yang boleh memberi gambaran salah.
- Tidak Mengelirukan: Data peribadi tidak boleh samar, menipu atau tertinggal maklumat penting.
- Terkini: Kemas kini data peribadi apabila ada perubahan (contohnya, alamat atau status pekerjaan).
18. Perlu tak maklumkan PDP tentang data bocor?
Ya. Anda harus maklumkan tentang insiden yang menyebabkan atau kemungkinan menyebabkan kemudaratan yang serius.
Anda perlu:
- mempunyai pelan tindak balas insiden dalaman
- menilai dan mendokumentasikan pelanggaran segera
- menggunakan borang DBN yang ditetapkan untuk memberitahu
19. Apakah Pegawai Perlindungan Data (DPO)?
Pegawai Perlindungan Data (DPO) adalah pekerja syarikat yang bertanggungjawab memastikan organisasi mematuhi sepenuhnya Akta Perlindungan Data Peribadi (PDPA).
Mulai 2025, pelantikan DPO adalah keperluan undang-undang bagi banyak perniagaan di Malaysia.
20. Adakah saya perlu lantik DPO?
Ya, tetapi hanya jika organisasi anda:
- memproses data peribadi lebih daripada 20,000 individu
- memproses data peribadi sensitif lebih daripada 10,000 individu, atau
- melakukan pemantauan data peribadi secara berkala dan sistematik (contohnya, CCTV)
Jika organisasi anda tidak termasuk dalam kategori ini, pelantikan DPO tidak diwajibkan.
Biar MISHU bantu anda patuh syarat PDPA
MISHU bekerjasama dengan pelbagai penyedia perkhidmatan untuk menawarkan rangkaian servis yang menyeluruh kepada perniagaan di Malaysia. Biar kami hubungkan anda dengan pakar yang tepat untuk memenuhi keperluan anda.