Jika anda perasan, sejak kebelakangan ini banyak laman-laman web luar memaparkan kenyataan atau notifikasi mengenai GDPR, singkatan bagi General Data Protection Regulation. Apakah ia sebenarnya dan adakah kita sebagai rakyat Malaysia termasuk dalam perlindungan tersebut? Sebagai sebuah syarikat permulaan dari Malaysia, adakah anda juga perlu melaksanakan peraturan tersebut pada laman web dan cara data dikumpul, guna dan disimpan?
Apakah sebenarnya General Data Protection Regulation?
GDPR adalah pakej perundangan baru yang diperkenalkan oleh Kesatuan Eropah (EU) untuk memudahkan penduduk negara EU melindungi maklumat dan data peribadi atas talian. Peraturan tersebut telah diluluskan secara rasmi pada April 27, 2016 dan akan dikuatkuasakan secara formal di seluruh EU pada 25 Mei 2018.
Apakah data yang dilindungi oleh GDPR?
Segala maklumat berkaitan dengan seseorang individu yang bermastautin di EU akan dilindungi oleh GDPR. Ia bukan sahaja termasuk dokumen pengenalan rasmi, malah maklumat yang diminta secara rutin oleh laman web seperti alamat IP, email, maklumat peranti fizikal seperti alamat MAC komputer, alamat rumah, tarikh lahir, maklumat kewangan termasuk sejarah transaksi atas talian.
Sehubungan itu, GDPR juga bertujuan untuk melindungi user-generated data seperti social media post (termasuk Facebook updates dan tweets), gambar peribadi yang dimuat-naik ke mana-mana laman web, rekod medikal atau apa-apa sahaja maklumat unik yang biasanya di pindahkan secara atas talian.
Secara asasnya, GDPR melindungi apa-apa sahaja maklumat dan semua data peribadi pengguna pada merentas hampir setiap platform atas talian yang boleh difikirkan.
Apa implikasi GDPR terhadap perniagaan dari luar EU?
Syarikat-syarikat dari serata dunia, tidak kira dari mana perniagaan tersebut beroperasi atau berpangkalan, perlu mematuhi peraturan perundangan bagaimana data pengguna dari kewarganegaraan EU diproses, kumpul dan di simpan.
Syarikat yang patuh GDPR perlu menggunakan pendekatan membenarkan pengguna membuat keputusan untuk memberikan maklumat data peribadi untuk disimpan dan bukan memaksa jika ingin menggunakan perkhidmatan yang disediakan seperti sebelum ini.
Apa yang dijangka oleh EU dari syarikat luar negara yang mematuhi GDPR?
Menjadi tanggungjawab pegawai syarikat atau data controllers yang menguruskan maklumat atau data untuk memastikan data pengguna Eropah di lindungi sepenuhnya dan/atau anonymize dan mereka akan pertama dipertanggungjawabkan jika pelanggaran dilaporkan.
Berdasarkan GDPR, jika pembocoran data pengguna berlaku, pegawai bertanggungjawab perlu membuat laporan terhadap sebarang kemungkinan berlakunya pelanggaran data kepada pihak EU yang berkenaan dalam masa 72 jam. Sehubungan itu, pengguna yang terkesan perlu dimaklumkan oleh pegawai syarikat mengenai pelangaran data tersebut.
Apa Peranan Syarikat Permulaan dari Malaysia Terhadap GPDR?
Secara amnya, GPDR hanya efektif terhadap pengguna-pengguna dari negeri dibawah naungan Kesatuan Eropah. Jika model perniagaan anda tidak melibatkan 28 negara dibawah EU (termasuk Britain selagi Brexit belum dilaksanakan sepenuhnya), maka anda tidak perlu lakukan apa-apa perubahan drastik terhadap cara anda mengumpul data maklumat pengguna.
Walaubagaimanapun, sekiranya berlaku pengumpulan data dari EU, apa yang anda perlu lakukan seterusnya adalah melantik kakitangan khas untuk menguruskan dan mengasingkan data-data yang dikumpul dari kesatuan berkenaan dan mematuhi peraturan-peraturan yang ditetapkan oleh GDPR. Secara asasnya, Ini yang perlu anda lakukan terlebih dahulu.
Rakyat Malaysia tidak termasuk didalam perlaksanaan GDPR, walaubagaimanapun, tidak bermakna data peribadi anda tidak selamat. Malaysia juga mempunyai perundangan yang berkaitan dengan pengumpulan data peribadi pengguna yang dikenali sebagai Akta Perlindungan Data Peribadi 2010.
Akta Perlindungan Data Peribadi 2010 (Akta 709) atau APDP merupakan salah satu bentuk perundangan siber yang diperakukan dalam pelaksanaan Koridor Raya Multimedia (MSC). Akta ini merupakan matlamat Dasar Ke Sepuluh dinyatakan dalam Akta Komunikasi dan Multimedia 1998 iaitu bagi menjamin keselamatan maklumat dan kebolehpercayaan dan keutuhan rangkaian.
Antara contoh “data peribadi” adalah seperti:-
- Nama dan alamat
- nombor kad pengenalan
- nombor pasport
- maklumat kesihatan
- e-mel
- gambar
- imej dalam rakaman litar tertutup (CCTV)
- maklumat dalam fail peribadi
- Butiran akaun bank
- Butiran kad kredit
- Maklumat kesihatan (sensitif) contohnya, penjenisan darah, rekod atau huraian kesihatan sehinggalah ke maklumat-maklumat sensitif seperti kepercayaan politik, kepercayaan agama, keadaaan fizikal atau mental atau apa-apa informasi lain yang ditetapkan oleh Menteri di bawah APDP dari semasa ke semasa.
Untuk maklumat selanjutnya mengenai Pelindungan Data Peribadi, layari Laman Web Rasmi, Jabatan Perlindungan Data Peribadi