Facebook Linkedin X-twitter Tiktok Instagram
×
  • Soalan Umum

Untuk memberi perlindungan kepada maklumat peribadi seseorang individu yang diproses untuk tujuan transaksi komersial.

Semua individu dan organisasi yang memproses data peribadi dalam urusan mereka mesti mematuhi peraturan-peraturan yang ditetapkan dalam Akta Perlindungan Data Peribadi 2010. Kerajaan Persekutuan dan Kerajaan Negeri dikecualikan.

Akta Perlindungan Data Peribadi mengandungi tujuh prinsip amalan pengendalian maklumat yang mesti dipatuhi.

  1. Prinsip Am
  2. Prinsip Notis dan Pilihan
  3. Prinsip Penzahiran
  4. Prinsip Keselamatan
  5. Prinsip Penyimpanan
  6. Prinsip lntegriti Data
  7. Prinsip Akses

Sebarang data yang membolehkan seseorang individu yang masih hidup dikenalpasti adalah dilindungi di bawah Akta Perlindungan Data Peribadi. Beberapa contoh data boleh dianggap sebagai data peribadi selagi seseorang individu yang masih hidup boleh dikenalpasti daripada maklumat atau data tersebut:

  1. Nama dan alamat
  2. Nombor kad pengenalan
  3. Nombor pasport
  4. Maklumat kesihatan
  5. Alamat e-mel
  6. Gambar
  7. lmej dalam rakaman litar tertutup (CCTV)
  8. Maklumat dalam fail peribadi
Sesebuah organisasi mesti mematuhi Akta hanya jika organisasi itu “memproses” data peribadi. Akta Perlindungan Data Peribadi memberi definasi kepada maksud perkataan “pemprosesan”. Definasinya sangat luas. “Pemprosesan” data peribadi bermaksud melakukan sesuatu terhadap data termasuklah mengumpul, merekod, memegang, menyimpan, menyusun, mengubah, menzahirkan dan memusnahkan. Hanya dengan membaca atau mengakses maklumat sudah dianggap “pemprosesan”.
Contoh-contoh aktiviti yang boleh dianggap sebagai “pemprosesan”termasuklah:
 
  1. Mengumpul data menggunakan borang, melalui telefon atau melalui laman sesawang
  2. Menerbitkan data
  3. Menjual data
  4. Menggunakan data dalam pentadbiran
  5. Menggunakan data untuk tujuan pemasaran
  6. Merekodkan data
  7. Mendedahkan atau memberikan data kepada organisasi lain
  8. Memusnahkan data

Akta Perlindungan Data Peribadi terpakai kepada seseorang individu dan organisasi sekiranya mereka adalah “Pengawal data”.”Pengawal data”adalah individu atau organisasi yang:

  1. Memproses data peribadi, atau
  2. Mempunyai kawalan terhadap pemprosesan data peribadi, atau
  3. Membenarkan pemprosesan data peribadi

Akta Perlindungan Data Peribadi tidak terpakai kepada seseorang individu atau organisasi yang memproses data peribadi bagi pihak pengawaldata.

Jika organisasi A mendapatkan khidmat organisasi B bagi memproses data bagi pihaknya, maka dalam hubungan ini, organisasi A adalah pengawal data manakala organisasi B adalah pemproses data. Akta Perlindungan Data Peribadi menghendaki organisasi A memastikan bahawa organisasi B memberi jaminan untuk mengambil langkah-langkah keselamatan bagi melindungi data yang diproses. Organisasi A juga dikehendaki oleh Akta supaya memastikan bahawa organisasi B mematuhi langkah-langkah tersebut.

Akta Perlindungan Data Peribadi memberikan peraturan mengenai amalan yang baik dalam memproses data peribadi individu yang masih hidup. Akta mendefinasikan individu-individu yang mana data mereka diproses oleh pengawal data sebagai subjek data.

Subjek data diberikan hak-hak berikut:

  1.  Hak untuk diberitahu samada data mereka diproses oleh sesebuah organisasi
  2. Hak untuk mengakses data peribadi
  3. Hak untuk membetulkan data peribadi
  4. Hak untuk menarik balik kebenaran memproses data peribadi
  5. Hak untuk menghalang pemprosesan yang mungkin menyebabkan kerosakan atau tekanan (distress)
  6. Hak untuk menghalang pemprosesan bagi maksud pemasaran langsung

Akta Perlindungan Data Peribadi mendefinasikan data peribadi sensitif sebagai maklumat tentang kesihatan atau keadaan fizikal atau mental seseorang individu, pendapat politiknya, kepercayaan agamanya dan kepercayaan lain yang bersifat seumpamanya. Selain itu, perlakuan atau penyataan perlakuan apa-apa kesalahan seseorang individu juga adalah data peribadi sensitif.

Akta tidak membenarkan pemprosesan data peribadi sensitif kecuali untuk tujuan-tujuan yang dinyatakan dalam Akta dan pemprosesan tersebut mestilah dengan persetujuan secara nyata dari subjek data.

Individu yang merasakan bahawa data peribadi mereka telah diproses melanggar peruntukan mana-mana peruntukan Akta boleh membuat aduan kepada Pesuruhjaya Perlindungan Data Peribadi.

Akta tidak memperuntukkan secara spesifik hak untuk menuntut ganti rugi.

Remedi dibawah Akta Perlindungan Data Peribadi adalah dalam bentuk kesalahan jenayah. Akta telah mewujudkan beberapa kesalahan jenayah baru, ini termasuklah kesalahan-kesalahan berikut:

  1. Memproses data peribadi tanpa perakuan pendaftaran
  2. Memproses data peribadi selepas pendaftaran dibatalkan
  3. Melakukan perlanggaran terhadap mana-mana prinsip data
  4. Memproses data peribadi selepas persetujuan di tarik balik
  5. Memproses data peribadi sensitif tidak mengikut syarat-syarat yang telah ditetapkan
  6. Menjual atau membuat tawaran untuk menjual data peribadi
  7. Kegagalan mematuhi kehendak Pesuruhjaya Perlindungan Data Peribadi bagi mematuhi notis mengenai pemasaran langsung.
  • Prinsip AM

Jika pengawal data menyatakan dengan jelas dalam kontraknya dengan pihak ketiga tanggungjawab untuk mematuhi PDPA apabila memproses data peribadi bagi pihak mereka, sebarang pelanggaran oleh pihak ketiga boleh dikenakan denda/penjara atau kedua-duanya.

Tidak, kerana anda termasuk sebagai pihak ketiga dalam perjanjian bank antara bank dan pelanggan.

Ya, anda boleh mengimbas rekod. Walau bagaimanapun, kerana rekod adalah data sensitif; anda perlu memastikan keselamatan data adalah mengikut Prinsip Keselamatan dan Piawaian PDP.

ya. Walau bagaimanapun, menghantar surat berita promosi atau kemas kini mesti mendapat persetujuan daripada pelanggan anda.

  • Pendaftaran

Sebaik sahaja syarikat telah mendaftar sebagai Pengawal Data di bawah PDPA, syarikat itu boleh mula mematuhi peruntukan Akta tersebut.

Dalam keadaan di mana kedua-dua kolej memegang jenama yang sama di bawah satu lesen oleh Kementerian Pendidikan; kolej utama perlu mendaftar dan memohon CTC daripada Pesuruhjaya PDP untuk semua cawangannya di Malaysia.
Walau bagaimanapun, jika kedua-dua kolej memegang lesen berasingan; maka pendaftaran adalah terpakai kepada kedua-duanya.

Memandangkan Imigresen adalah jabatan persekutuan, ia tidak terikat dengan PDPA. Selain itu, menurut Seksyen 39; pendedahan data peribadi kepada pihak berkuasa boleh diberikan seperti untuk pencegahan dan pengesanan jenayah, dan untuk tujuan penyiasatan. Walau bagaimanapun, pengawal data harus mempunyai prosedur untuk mengesahkan kesahihan permintaan.

Pengawal data tidak boleh menyimpan data peribadi lebih lama daripada yang diperlukan melainkan terdapat peruntukan undang-undang lain yang memerlukan pengekalan data yang lebih lama.

Pengawal data yang berada di dalam Perintah Perlindungan Data Peribadi(Golongan Pengawal Data) 2013(P.U.(A). 336) atau Perintah Perlindungan Data Peribadi (Golongan Pengawal Data)(Pindaan) 2016 (P.U.(A). 326)

Pengawal data yang berdaftar akan dikeluarkan Perakuan Pendaftaran dan akan ditubuhkan suatu Forum Pengawal Data. Forum Pengawal Data akan menyediakan suatu Tataamalan di mana ia dapat meningkatkan kepercayaan dan integriti dalam mengendalikan data peribadi

Pembaharuan pendaftaran lewat dianggap sebagai memproses data peribadi tanpa sijil pendaftaran. Ia adalah satu kesalahan di bawah Seksyen 16(4) PDPA.

  • Prinsip Notis dan Pilihan

Notis Privasi yang mesti selaras dengan semua peruntukan di bawah Seksyen 7, PDPA mesti disampaikan oleh pengawal data kepada pelanggannya semasa memproses data peribadi pelanggan. Selain itu, persetujuan untuk pemindahan data peribadi ke luar negara juga mesti diperolehi oleh pengawal data. Namun begitu, sebagai pemproses data; anda bertanggungjawab untuk memastikan keselamatan pemindahan.

Anda boleh meletakkan notis CCTV ringkas tentang “Pengawasan untuk Keselamatan”

Pejabat Pesuruhjaya telah mewujudkan Panduan mengenai Notis Privasi. Ya, Pejabat telah berkomunikasi dengan MAH dalam menghasilkan Kod Amalan Sektor Pelancongan & Hospitaliti

  • Prinsip Penzahiran

Untuk memberikan perkhidmatan kepada pelanggan, bank mungkin perlu mendedahkan maklumat pelanggan kepada mana-mana pihak ketiga yang bertindak bagi pihak bank.

Ini selaras dengan Seksyen 8 PDPA yang menyatakan bahawa tiada pendedahan data peribadi tanpa persetujuan pelanggan kepada mana-mana pihak ketiga selain daripada yang disenaraikan oleh pengawaldata dalam Senarai Pendedahan seperti yang dikehendaki oleh P.U.(A) 335/2013.

Prinsip Penzahiran APDP menetapkan bahawa tiada data peribadi subjek data boleh dizahirkan tanpa persetujuan

  • Pelantikan Pegawai Perlindungan Data (DPO)

Pegawai Perlindungan Data adalah individu yang dilantik oleh organisasi selaras dengan Seksyen 12A Akta Perlindungan Data Peribadi 2010 [Akta 709] untuk memastikan pematuhan terhadap Akta 709.

Pelantikan Pegawai Perlindungan Data berkuat kuasa mulai 1 Jun 2025.

Tidak semua organisasi wajib melantik Pegawai Perlindungan Data.  Pengawal data dan pemproses data hendaklah melantik seorang atau lebih Pegawai Perlindungan Data sekiranya pemprosesan melibatkan:

    1. data peribadi melebihi 20,000 bilangan subjek data;
    2. data peribadi sensitif termasuk maklumat kewangan melebihi 10,000 bilangan subjek data; atau
    3. aktiviti yang memerlukan pemantauan berkala dan sistematik, seperti pemantauan tingkah laku pengguna secara dalam talian.

Tugas utama Pegawai Perlindungan Data termasuk:

  1. memberi nasihat kepada pengawal data atau pemproses data mengenai pemprosesan data peribadi mengikut Akta 709;
  2. memberikan khidmat sokongan dalam mengaplikasikan peraturan perlindungan data;
  3. memantau pematuhan peruntukan Akta 709 dengan dasar berkaitan dengan perlindungan data peribadi yang dibangunkan oleh pengawal data dan pemproses data;
  4. memberi sokongan dan nasihat mengenai pelaksanaan penilaian impak perlindungan data;
  5. berfungsi sebagai pegawai perhubungan utama kepada Pesuruhjaya berkaitan isu pematuhan Akta 709, pemprosesan data peribadi dan hak-hak subjek data; dan
  6. memastikan pengawal data atau pemproses data menguruskan pelanggaran data dan insiden keselamatan dengan betul.
Pengawal data dan pemproses data hendaklah memastikan pegawai perlindungan data yang dilantik memiliki kelayakan, pengalaman, kemahiran dan kepakaran yang sesuai dengan keperluan operasi pemprosesan data peribadi, kerumitan dan skala data yang diproses, sensitiviti data serta perlindungan yang diperlukan untuk data tersebut. Kemahiran atau kepakaran yang diperlukan termasuk:
  1. pengetahuan mengenai Akta 709, keperluan di bawah undang-undang dan amalan perlindungan data negara (termasuk mana-mana undang-undang perlindungan data yang relevan dan berkaitan);
  2. pemahaman mengenai operasi perniagaan pengawal data atau pemproses data dan operasi pemprosesan data peribadi yang dijalankan;
  3. pemahaman mengenai teknologi maklumat dan keselamatan data;
  4. kualiti peribadi seperti integriti, pemahaman tentang tadbir urus korporat dan etika profesional yang tinggi;
  5. keupayaan untuk menggalakkan budaya perlindungan data dalam organisasi.

Ya, Pegawai Perlindungan Data boleh dilantik daripada kalangan pekerja sedia ada dalam organisasi. Pengawal data atau pemproses data perlu memastikan bahawa pekerja yang dilantik sebagai Pegawai Perlindungan Data memiliki kelayakan, pengalaman, kemahiran dan kepakaran yang bersesuaian serta tidak mengakibatkan pencanggahan kepentingan dengan tugas sedia ada. Pekerja tersebut juga perlu diberikan sokongan yang mencukupi untuk melaksanakan tanggungjawab sebagai Pegawai Perlindungan Data tanpa mengganggu tugas utama dalam organisasi.

Ya, individu bukan warganegara Malaysia boleh dilantik sebagai Pegawai Perlindungan Data, tetapi mereka tertakluk kepada syarat-syarat berikut:
  1. hendaklah bermastautin di Malaysia (iaitu berada secara fizikal di Malaysia untuk sekurang-kurangnya 180 hari dalam satu tahun kalendar); atau
  2. mudah dihubungi melalui apa-apa cara; dan
  3. mahir dalam Bahasa Kebangsaan serta Bahasa Inggeris.
Pengawal data dan pemproses data juga hendaklah memastikan maklumat perhubungan perniagaan Pegawai Perlindungan Data tersedia untuk memudahkan komunikasi.

Ya, Pegawai Perlindungan Data boleh melaksanakan tugas lain. Walau bagaimanapun, pengawal data atau pemproses data hendaklah memastikan bahawa pelaksanaan kerja dan fungsi lain tersebut tidak mengakibatkan pencanggahan kepentingan (seperti tugas berkaitan pemasaran yang melibatkan pemprosesan data peribadi untuk tujuan pemasaran) dengan tanggungjawab utama Pegawai Perlindungan Data dalam melindungi data peribadi dan memastikan pematuhan terhadap Akta 709.

Ya, organisasi boleh menggunakan perkhidmatan penyumberluaran untuk melantik Pegawai Perlindungan Data. Pengawal data atau pemproses data hendaklah memastikan kontrak perkhidmatan menerangkan kewajipan dan obligasi Pegawai Perlindungan Data, serta memastikan organisasi penyumberluaran melantik individu dalam organisasi tersebut sebagai orang yang bertanggungjawab (PIC) untuk berhubung dengan pengawal data atau pemproses data.

Ya, pengawal data atau pemproses data boleh melantik seorang Pegawai Perlindungan Data untuk beberapa organisasi dengan mengambil kira fungsi organisasi, struktur dan saiz organisasi tersebut. Sebagai contoh, sekumpulan syarikat di bawah satu organisasi besar yang sama. Walau bagaimanapun, pengawal data atau pemproses data hendaklah memastikan bahawa Pegawai Perlindungan Data yang dilantik diberikan sumber yang mencukupi untuk melaksanakan tanggungjawab mereka dan disokong dengan pasukan, sekiranya diperlukan. Maklumat perhubungan Pegawai Perlindungan Data yang dilantik hendaklah dikenal pasti dan dapat diakses oleh pekerja, Pesuruhjaya dan subjek data.

Tanggungjawab utama pengawal data dan pemproses data adalah memastikan Pegawai Perlindungan Data diberikan sokongan yang mencukupi, bebas menjalankan tugas mereka dan memastikan pematuhan terhadap Akta 709.  Berdasarkan Pekeliling Pesuruhjaya Perlindungan Data Peribadi Bilangan 1 Tahun 2025, ringkasan mengenai tugas dan tanggungjawab pengawal data dan pemproses data dalam menyokong Pegawai Perlindungan Data adalah seperti berikut :

  1. memastikan Pegawai Perlindungan Data terlibat dalam semua isu berkaitan perlindungan data peribadi;
  2. memberikan autonomi yang mencukupi, menyediakan sumber yang diperlukan dan memudahkan akses kepada data peribadi serta operasi pemprosesan bagi memastikan Pegawai Perlindungan Data dapat melaksanakan tugas mereka dengan berkesan;
  3. menyediakan latihan yang sesuai kepada Pegawai Perlindungan Data;
  4. menyediakan akaun e-mel rasmi untuk Pegawai Perlindungan Data yang berasingan daripada e-mel peribadi dan e-mel rasmi perniagaan individu yang dilantik sebagai Pegawai Perlindungan Data;
  5. memastikan Pegawai Perlindungan Data terikat dengan kerahsiaan berkenaan dengan pelaksanaan tugas mereka;
  6. memastikan Pegawai Perlindungan Data menjalankan tugas secara profesional, tidak terikat dengan arahan dan melaporkan secara langsung kepada peringkat pengurusan kanan (atau setara) dalam organisasi.

Pengawal data yang memenuhi syarat-syarat pelantikan Pegawai Perlindungan Data hendaklah memberitahu pelantikan tersebut kepada Pesuruhjaya dalam tempoh dua puluh satu (21) hari dari tarikh pelantikan. Pemberitahuan hendaklah dilakukan dengan mendaftarkan maklumat hubungan perniagaan Pegawai Perlindungan Data melalui Sistem Perlindungan Data Peribadi (SPDP) di pautan https://daftar.pdp.gov.my.

Pendaftaran Pegawai Perlindungan Data hanya akan dibuka mulai 1 Jun 2025. Pada masa ini, modul SPDP digunakan untuk melaporkan aduan penyalahgunaan data peribadi dan pendaftaran tiga belas (13) golongan pengawal data yang wajib berdaftar di bawah Akta 709. Panduan pengguna bagi pendaftaran Pegawai Perlindungan Data akan dimuat naik di laman sesawang rasmi Jabatan Perlindungan Data Peribadi (JPDP).

Sekiranya Pegawai Perlindungan Data dilantik untuk berkhidmat dengan lebih daripada satu organisasi, setiap organisasi yang melantik mereka hendaklah memberitahu Pesuruhjaya mengenai pelantikan tersebut. Pemberitahuan ini dilakukan dengan mendaftarkan maklumat perhubungan perniagaan Pegawai Perlindungan Data melalui Sistem Perlindungan Data Peribadi (SPDP) di pautan https://daftar.pdp.gov.my. Setiap organisasi hendaklah memastikan maklumat yang dikemukakan adalah tepat dan terkini bagi memastikan komunikasi yang efisien antara semua pihak yang terlibat.

Sekiranya terdapat perubahan pada maklumat Pegawai Perlindungan Data yang dilantik atau maklumat hubungan perniagaan pegawai tersebut, pengawal data hendaklah segera menyenggara dan mengemaskini perubahan tersebut melalui Sistem Perlindungan Data Peribadi (SPDP). Perubahan ini perlu dikemaskini tidak lewat daripada empat belas (14) hari dari tarikh kuat kuasa pelantikan baharu.

Tidak, Pegawai Perlindungan Data (DPO) tidak bertanggungjawab secara peribadi untuk pematuhan perlindungan data. Tanggungjawab untuk memastikan pematuhan terhadap Akta 709 tetap terletak pada pengawal data atau pemproses data. Walau bagaimanapun, Pegawai Perlindungan Data memainkan peranan penting dalam membantu organisasi memenuhi kewajipan perlindungan data mereka.

Tiada penetapan kelayakan kepakaran profesional minimum yang diperlukan sebelum dilantik sebagai Pegawai Perlindungan Data, melainkan Pesuruhjaya menentukan sebaliknya dari semasa ke semasa.

Namun begitu, organisasi hendaklah memastikan Pegawai Perlindungan Data yang dilantik menerima latihan yang relevan serta bersesuaian untuk memastikan mereka dapat melaksanakan tugas dengan cekap dan berkesan.

Buat masa ini, tiada ketetapan daripada Pesuruhjaya mengenai tempoh kursus atau latihan yang perlu dihadiri oleh Pegawai Perlindungan Data. Walau bagaimanapun, kursus atau latihan ini disarankan untuk dihadiri dalam tempoh yang wajar dan organisasi hendaklah menentukan tempoh latihan yang sesuai berdasarkan kandungan kursus dan keperluan organisasi.

Pesuruhjaya PDP sedang membangunkan “DPO Competency and Training Road Map” (“Roadmap”) sebagai rujukan kepada organisasi mengenai rangka kerja kompetensi dan latihan yang perlu dipenuhi oleh Pegawai Perlindungan Data. Proses pembangunan Roadmap ini masih berjalan dan akan diumumkan apabila selesai.

Buat masa ini, tiada ketetapan oleh Pesuruhjaya untuk Pegawai Perlindungan Data menghadiri kursus melalui penyedia perkhidmatan latihan yang dilantik. Oleh itu, organisasi boleh memilih penyedia latihan yang berkelayakan atau diiktiraf dalam bidang perlindungan data peribadi, selagi mana kursus yang dihadiri adalah relevan dan memenuhi keperluan Akta 709 serta memberikan pemahaman yang diperlukan untuk Pegawai Perlindungan Data melaksanakan tanggungjawab dengan berkesan, mengikut kesesuaian organisasi.

Pesuruhjaya sedang memperhalusi modul latihan minimum yang perlu disediakan oleh penyedia latihan bagi Pegawai Perlindungan Data. Proses pembangunan modul latihan ini masih berjalan dan akan diumumkan apabila selesai.

Buat masa ini, tiada ketetapan daripada Pesuruhjaya mengenai keperluan Pegawai Perlindungan Data untuk menjalani penilaian (assessment). Perkara ini masih dalam peringkat perbincangan dan perlu diperhalusi terlebih dahulu oleh Pesuruhjaya, memandangkan penilaian dianggap sebagai aspek penting dalam menilai tahap pengetahuan dan kefahaman Pegawai Perlindungan Data untuk melaksanakan tanggungjawab mereka dengan berkesan.  Organisasi disarankan untuk mengikuti perkembangan terkini daripada Pesuruhjaya berkaitan mekanisme penilaian yang mungkin diperkenalkan kelak.

Aras 8, Galeria PjH, Jalan P4W, Persiaran Perdana,
Presint 4, Pusat Pentadbiran Kerajaan Persekutuan
62100 Putrajaya, Malaysia. 

Laman ini sesuai dipapar menggunakan pelayar web Google Chrome 

Paparan Terbaik pada resolusi tinggi 1920×1080

Pengenalan

Apakah PPDP?

Pesuruhjaya PDP

Direktori

Pendaftaran

Sistem Perlindungan Data Peribadi

Hakcipta Terpelihara 2024 © Pesuruhjaya Perlindungan Data Peribadi

Dasar Keselamatan     Dasar Privasi     Penafian

Accessibility by WAH