Memahami Aspek Penting dalam Membuat Dasar Privasi yang Mematuhi 'Japanese General Data Protection Regulation' (GDPR)
Apabila mengendalikan data peribadi pengguna di dalam wilayah EU, adalah perlu untuk mematuhi Peraturan Perlindungan Data Umum (General Data Protection Regulation – GDPR) dan mencipta dasar privasi yang selaras dengan GDPR. Namun, banyak yang mungkin tidak memahami GDPR dengan terperinci dan bingung sama ada laman web syarikat mereka perlu mematuhi peraturan ini dan bagaimana untuk melakukannya.
Oleh itu, dalam artikel ini, kami akan menjelaskan gambaran umum GDPR dan memberikan petunjuk tentang cara membuat dasar privasi yang mematuhi GDPR. Kami juga akan memperkenalkan situasi pematuhan di Jepun dan contoh dari syarikat terkenal sebagai rujukan anda.
Mengenai GDPR dan Dasar Privasi
Apakah itu dasar privasi yang mematuhi GDPR? Di sini, kami akan menjelaskan gambaran umum GDPR dan kewajiban dasar privasi yang ditetapkan oleh GDPR.
GDPR dan Dasar Privasi
GDPR merupakan peraturan yang ditetapkan oleh EU mengenai perlindungan dan pengendalian data peribadi secara terperinci. GDPR diterapkan di Kawasan Ekonomi Eropah (EEA: negara anggota EU, kecuali Swiss dan negara anggota EFTA seperti Iceland, Liechtenstein, dan Norway). Syarikat Jepun juga mungkin terkena aplikasi GDPR dalam situasi berikut:
- Menyediakan produk atau perkhidmatan kepada subjek data di dalam wilayah EU
- Melakukan pemantauan terhadap tingkah laku subjek data di dalam wilayah EU
Subjek data merujuk kepada individu yang telah dikenal pasti atau boleh dikenal pasti, dan ia adalah orang yang berkaitan dengan data peribadi tersebut.
Syarikat yang terlibat dalam situasi di atas perlu mengkaji semula dan mengemaskini dasar privasi (notis privasi) mereka. Sekiranya melanggar GDPR, syarikat mungkin perlu membayar denda sehingga 20 juta euro atau 4% daripada jumlah jualan global.
Rujukan: Japan External Trade Organization | ‘General Data Protection Regulation (GDPR)'[ja]
Untuk berdagang dengan negara-negara di EU dengan lebih yakin, adalah penting untuk memeriksa dasar privasi anda.
‘Pemberian Maklumat’ pada Masa Pengambilan Data Peribadi yang Ditentukan oleh GDPR
Di bawah GDPR, apabila mengambil data peribadi, pengurus perlu memberikan maklumat tertentu kepada subjek data, dan Artikel 12(1) GDPR menyatakan cara pemberian maklumat tersebut.
Kandungannya adalah seperti berikut:
- Ringkas, telus, mudah difahami dan mudah diakses
- Menggunakan bahasa yang jelas dan mudah
- Mengambil langkah yang sesuai dalam memberikan maklumat kepada kanak-kanak
- Disediakan secara bertulis, atau secara elektronik jika sesuai, atau melalui cara lain
- Boleh memberikan maklumat secara lisan jika diminta oleh subjek data
Selain itu, Artikel 12(5) GDPR menyatakan bahawa pemberian maklumat haruslah tanpa bayaran. Pastikan dasar privasi syarikat anda memenuhi kriteria di atas dan lakukan pengemaskinian jika perlu.
Titik-titik Penting Semasa Mengemaskini Dasar Privasi untuk Pematuhan GDPR
Di bawah GDPR, terdapat beberapa butiran yang perlu dinyatakan oleh pengurus data kepada subjek data apabila memperoleh data peribadi daripada subjek data itu sendiri (Artikel 13 GDPR) atau dari sumber lain selain subjek data (Artikel 14 GDPR).
Antara butiran yang perlu dinyatakan oleh pengurus termasuklah:
- Identiti pengurus dan maklumat hubungan terperinci
- Jika ada wakil, identiti dan maklumat hubungan terperinci wakil tersebut
- Hak subjek data untuk mengakses, membetulkan, memadam, membatasi, portabiliti data, dan hak untuk membantah
- Tujuan pemprosesan data peribadi dan asas hukumnya
- Tempoh penyimpanan data peribadi atau kriteria yang digunakan untuk menentukan tempoh tersebut
- Jenis data peribadi yang berkaitan
Beberapa butiran yang perlu dinyatakan ini mungkin tidak terdapat dalam dasar privasi di Jepun, oleh itu, perlu memberi perhatian khusus kepada aspek-aspek tersebut semasa proses pengemaskinian. Untuk dasar privasi yang mengambil kira Undang-Undang Perlindungan Data Peribadi Jepun, sila rujuk artikel ini.
Artikel Berkaitan: Apakah Titik-titik Penting Semasa Membuat Dasar Privasi dengan Mengambil Kira Undang-Undang Perlindungan Data Peribadi Jepun?[ja]
Di sini, kami akan menjelaskan titik-titik penting untuk pengemaskinian, dengan memberi tumpuan kepada aspek-aspek yang tidak terdapat dalam dasar privasi yang mengambil kira Undang-Undang Perlindungan Data Peribadi Jepun.
Asas Kepada Legaliti Pemprosesan Data
Dalam Peraturan Perlindungan Data Umum (General Data Protection Regulation – GDPR), kewajipan untuk menyatakan ‘asas kepada legaliti pemprosesan data’ telah diperkenalkan, yang tidak terdapat dalam undang-undang perlindungan data peribadi sebelumnya. Terdapat enam asas yang menjadikan pemprosesan data peribadi sah, seperti yang dinyatakan dalam Artikel 6 GDPR:
- Persetujuan subjek data
- Pelaksanaan kontrak
- Kewajipan undang-undang
- Kepentingan yang berkaitan dengan nyawa
- Kepentingan awam
- Kepentingan yang sah
Jika salah satu dari enam asas ini terpakai, maka pemprosesan data akan dianggap sah. Oleh itu, penting untuk menyatakan perkara ini dalam dasar privasi anda. Bagi individu yang memberikan maklumat buat kali pertama, anda boleh mendapatkan persetujuan melalui dasar privasi yang baru.
Namun, perlu diingat bahawa ada keperluan untuk menangani pengguna yang telah memberikan persetujuan sebelumnya. Bagi orang yang telah bersetuju sebelum dasar privasi direvisi, mungkin perlu untuk mendapatkan persetujuan mereka sekali lagi.
Dalam kes ini, anda boleh menyenaraikan salah satu dari enam asas legaliti dalam dasar privasi dan mendapatkan persetujuan untuk revisi tersebut sebagai cara untuk menangani situasi ini.
Kategori Maklumat yang Diperoleh dan Tujuan Penggunaannya
Dalam dasar privasi konvensional, kecenderungan untuk mencatat maklumat yang diperoleh, tujuan penggunaan, dan terma penggunaan di halaman yang sama dan mendapatkan persetujuan secara keseluruhan adalah umum. Namun, di bawah Peraturan Perlindungan Data Umum (General Data Protection Regulation – GDPR), terdapat keperluan untuk menjelaskan secara spesifik apa yang pengguna setuju, dan memperjelas objek persetujuan tersebut.
Adalah baik untuk menggunakan format paparan yang mencatat tujuan penggunaan untuk setiap maklumat yang diperoleh dan mendapatkan persetujuan secara berasingan untuk setiap satu.
Pemurnian Tujuan Penggunaan
Di bawah Peraturan Perlindungan Data Umum (General Data Protection Regulation – GDPR), adalah wajib untuk menunjukkan dengan jelas tujuan penggunaan data yang diperoleh. Sebagai contoh, tujuan penggunaan yang dinyatakan sebagai ‘untuk peningkatan perkhidmatan’ mungkin dianggap terlalu kabur dan boleh dianggap tidak sesuai.
Selain itu, pengendalian data tambahan yang tidak sesuai dengan tujuan yang dinyatakan tidak dibenarkan, jadi perhatikan aspek ini semasa mengemaskini dasar privasi anda.
Hak Penghapusan & Hak Kebolehportabelan Data
Ramai syarikat yang sebelum ini telah menyertakan hak akses dan hak pembetulan dalam dasar privasi mereka. Namun, di bawah Peraturan Perlindungan Data Umum (General Data Protection Regulation, GDPR), adalah juga wajib untuk menyatakan ‘Hak Penghapusan & Hak Kebolehportabelan Data’.
Hak Penghapusan merujuk kepada hak pengguna untuk meminta pengurus menghapuskan data peribadi mereka. Hak Kebolehportabelan Data pula merujuk kepada hak untuk memindahkan data peribadi ke perkhidmatan lain.
Sebagai contoh, ini boleh termasuk pemindahan data pelanggan dan data sejarah transaksi dari syarikat telekomunikasi A ke syarikat telekomunikasi B. Untuk mematuhi GDPR, adalah penting untuk menyertakan hak-hak ini dalam dasar privasi anda.
Penjelasan Tempoh Penyimpanan Data
Dalam Peraturan Perlindungan Data Umum (GDPR), adalah perlu untuk menyatakan ‘tempoh penyimpanan maklumat peribadi’ yang sebelum ini tidak tercatat dalam dasar privasi konvensional. Sekiranya tempoh tidak dapat ditentukan, GDPR membenarkan untuk menyatakan kriteria yang digunakan untuk menentukan tempoh penyimpanan tersebut.
Status Pematuhan GDPR Syarikat Jepun
Kami ingin memperkenalkan maklumat kajian daripada “Kajian Tren Penggunaan IT Korporat 2021” Hasil Kajian Versi Terperinci[ja] yang diterbitkan oleh Japan Information Economy Society Promotion Association dan ITR Corporation.
Berdasarkan hasil kajian, hanya sedikit syarikat yang telah mematuhi GDPR, dan syarikat yang sedang dalam proses pematuhan (dalam pertimbangan) adalah yang terbanyak, iaitu 26.1%. Pada masa pengumpulan data pada tahun 2021, terdapat juga kecenderungan banyak syarikat yang tidak melakukan pemindahan data peribadi dengan EU.
Hasil kajian mengenai pertukaran data peribadi dengan EU adalah seperti berikut:
Dari rajah di atas, 44.4% syarikat menjawab bahawa “saat ini tidak ada pertukaran dan tidak ada rencana untuk melakukan pertukaran di masa depan”, yang merupakan jumlah terbesar. Sebanyak 12% syarikat menjawab bahawa “telah ada pertukaran sebelumnya, tetapi sejak pelaksanaan GDPR, pemprosesan data dilakukan secara terpisah di EU dan Jepun”.
Sebanyak 25.9% menjawab “saat ini tidak ada pertukaran tetapi ada rencana untuk melakukan pertukaran di masa depan”, dan 17.6% sedang melakukan pertukaran, menunjukkan bahwa meskipun ada kemungkinan syarikat yang akan melakukan pertukaran dengan EU akan bertambah di masa depan, jumlahnya masih sedikit berdasarkan kajian pada tahun 2021.
Sumber: JIPDEC/ITR ‘Kajian Tren Penggunaan IT Korporat 2021′[ja]
Tindak Balas Syarikat Terkenal terhadap GDPR
Anda mungkin ingin mengemaskini dasar privasi anda untuk mematuhi GDPR, tetapi tidak pasti apa yang perlu dimasukkan. Di sini, kami akan menerangkan dengan terperinci tentang bagaimana syarikat terkenal seperti Google dan Facebook menyesuaikan diri dengan GDPR sebagai contoh tindak balas korporat terhadap GDPR.
Tindak Balas Google terhadap GDPR
Google telah mengumumkan langkah-langkah berikut untuk mematuhi Peraturan Perlindungan Data Umum (General Data Protection Regulation – GDPR).
- Meningkatkan ketelusan kepada pengguna
- Memperbaiki pengurusan yang dilakukan oleh pengguna
- Memperbaiki portabiliti data
- Meningkatkan alat untuk persetujuan ibu bapa dan penggunaan internet yang sesuai oleh kanak-kanak
- Menyokong pengguna perniagaan dan rakan kongsi
- Menguatkan program pematuhan privasi
Di sini, kami akan menjelaskan butiran dengan lebih terperinci.
Rujukan: Google「Mengenai Usaha Google Menjelang Peraturan Perlindungan Data Umum (GDPR) EU[ja]」
Peningkatan Transparansi kepada Pengguna
Google sedang memperbaiki dan mengemas kini dasar privasinya untuk menjadikan maklumat yang dikumpul dan sebab pengumpulannya lebih mudah difahami serta mudah ditemui. Kandungan lain yang disebut termasuklah:
- Menambah butiran mengenai pengurusan, eksport, dan penghapusan maklumat
- Menyertakan video dan grafik selain daripada teks
Selain itu, Google juga telah mengubah tetapan agar laman tetapan privasi dapat dibuka dengan lebih mudah.
Peningkatan Pengurusan oleh Pengguna
Untuk mematuhi GDPR (General Data Protection Regulation), kami telah memperbaiki cara pengurusan pengguna. Perubahan yang telah dilakukan adalah seperti berikut:
- Kemampuan untuk melihat dan menghapus data di My Activity
- Fungsi pencarian berdasarkan topik, tarikh, dan produk
- Kemampuan untuk memeriksa tetapan privasi yang sesuai dengan diri sendiri
- Kemampuan untuk mengurus dan menyembunyikan iklan yang ditampilkan
- Kemampuan untuk memahami data melalui Google Dashboard
Selain itu, sebelum penguatkuasaan GDPR, kami telah membuat perubahan untuk memudahkan pengurusan maklumat pengguna dan iklan.
Peningkatan Kebolehlihatan Data
Google menawarkan pelbagai perkhidmatan seperti Google Foto, Drive, Kalendar, dan Gmail. Langkah-langkah yang diambil oleh Google untuk mematuhi GDPR dan meningkatkan kebolehlihatan data adalah seperti berikut:
- Memperluas perkhidmatan dan item pengurusan yang menyokong pengunduhan data
- Menambahkan fungsi untuk menjadualkan pengunduhan data secara berkala
Peningkatan Alat untuk Persetujuan Penjaga dan Penggunaan Internet yang Sesuai oleh Kanak-Kanak
Di Google, kami menyediakan aplikasi Family Link untuk membantu penjaga dan kanak-kanak menggunakan internet dengan cara yang sesuai. Melalui penggunaan Family Link, penjaga boleh membuat akaun untuk kanak-kanak.
Aplikasi ini membolehkan penjaga untuk menetapkan dan menguruskan peraturan di rumah seperti ‘pengurusan masa penggunaan’ dan ‘penangguhan sementara peranti’.
Sokongan untuk Pengguna Bisnes & Rakan Kongsi
Untuk mematuhi Peraturan Perlindungan Data Umum (General Data Protection Regulation, GDPR), kami telah mengemaskini polisi yang memerlukan rakan kongsi Google (seperti pengiklan dan pengendali laman web) untuk mendapatkan persetujuan pengguna di dalam laman web dan aplikasi. Isi kandungan lain yang disebut adalah seperti berikut:
- Menyediakan alat untuk menyokong pematuhan GDPR
- Mengketatkan proses pengesahan syarikat yang menggunakan perkhidmatan iklan Google
- Mengemaskini syarat pemprosesan data
- Menyediakan maklumat terperinci mengenai portabiliti data dan notifikasi insiden data
Pengukuhan Program Pematuhan Privasi
Untuk mematuhi GDPR, kami sedang melaksanakan pengukuhan program pematuhan privasi. Kandungannya adalah seperti berikut:
- Peningkatan program privasi
- Pengukuhan proses penilaian produk
Selain itu, kami juga sedang mendokumentasikan proses pemprosesan data secara lebih komprehensif.
Pematuhan Facebook terhadap GDPR
Sebagai tindak balas kepada GDPR, Facebook telah mengumumkan langkah-langkah berikut:
- Pengesahan pengambilan maklumat daripada iklan yang dipaparkan
- Pilihan maklumat profil
- Pengesahan teknologi pengenalan wajah (EU & Kanada)
- Terma perkhidmatan yang dikemas kini & persetujuan berkaitan data
- Pengenalan ciri yang memudahkan akses, penghapusan, dan muat turun maklumat
- Maklumat untuk golongan muda
Di sini, kami akan menjelaskan butiran tersebut.
Rujukan: Facebook “Kepatuhan terhadap Peraturan Perlindungan Data Umum (GDPR) dan Penyediaan Perlindungan Privasi Baru“
Pengesahan pengambilan maklumat daripada iklan yang dipaparkan
Rakan kongsi Facebook menggunakan maklumat yang diperolehi melalui klik butang ‘Suka’ dan alat yang disediakan oleh Facebook untuk paparan iklan. Facebook menyediakan maklumat tentang iklan kepada pengguna dan membolehkan mereka memilih sama ada maklumat dari rakan kongsi boleh digunakan untuk paparan iklan.
Pilihan maklumat profil
Profil Facebook mungkin mengandungi maklumat tentang pandangan politik, kepercayaan agama, dan hubungan interpersonal yang dinyatakan dan dipaparkan. Pengguna boleh memilih sama ada mereka ingin terus menerbitkan maklumat tersebut dan sama ada maklumat yang diterbitkan boleh digunakan dalam iklan.
Pengguna boleh memilih maklumat profil mereka pada bila-bila masa dan dengan mudah menghapusnya jika dikehendaki.
Pengesahan teknologi pengenalan wajah (EU & Kanada)
Facebook membolehkan pengguna di negara-negara anggota EU dan Kanada memilih sama ada ingin menggunakan teknologi pengenalan wajah. Pengguna di kawasan lain juga bebas untuk membuat pilihan mereka.
Terma perkhidmatan yang dikemas kini & persetujuan berkaitan data
Pengguna akan melihat permintaan persetujuan untuk ‘Terma Perkhidmatan’ dan ‘Dasar Data’ yang mengandungi maklumat terperinci tentang mekanisme perkhidmatan.
Pengenalan ciri yang memudahkan akses, penghapusan, dan muat turun maklumat
Dengan menggunakan ‘Alat Pengurusan Data Peribadi’, pengguna boleh memeriksa dan menghapus data tentang diri mereka. Selain itu, mereka boleh dengan mudah memuat turun dan mengeksport data mereka.
Facebook juga telah mengemas kini fungsi log aktiviti pada peranti mudah alih untuk memudahkan pengguna memeriksa maklumat yang telah mereka kongsi sebelum ini.
Maklumat untuk golongan muda
Facebook sudah mempunyai sekatan yang ditujukan kepada pengguna remaja, termasuk:
- Sekatan kategori iklan
- Penggunaan teknologi pengenalan wajah tidak dibenarkan (di bawah 18 tahun)
- Sekatan pada peninjauan dan pencarian maklumat yang dikongsi oleh pengguna remaja
Sebagai tetapan awal, maklumat tidak akan ‘diterbitkan’ kepada umum.
Untuk mematuhi GDPR, Facebook telah menetapkan peraturan tambahan. Bagi pengguna di negara-negara anggota EU, kebenaran dari penjaga diperlukan untuk melihat iklan dan mencatat maklumat dalam profil (seperti kepercayaan agama dan pandangan politik).
Di kawasan lain, pengguna boleh memilih sama ada mereka ingin menggunakan data yang diperolehi dari rakan kongsi untuk paparan iklan dan sama ada mereka ingin menerbitkan maklumat peribadi dalam profil mereka.
Kesimpulan: GDPR Memiliki Skop Data Peribadi yang Lebih Luas Berbanding Undang-Undang Jepun dan Kepatuhan Adalah Wajib
Di bawah GDPR, terdapat pelbagai peraturan seperti ‘penjelasan tujuan penggunaan untuk setiap data yang diperoleh’, ‘penyataan hak penghapusan dan portabiliti data’, serta ‘penyataan tempoh penyimpanan’, yang mana semua ini memperluaskan skop hak pengguna berbanding dengan undang-undang tradisional Jepun.
Jika melanggar GDPR, syarikat terpaksa membayar denda yang besar, dan syarikat-syarikat yang mengendalikan maklumat peribadi di dalam EU perlu mematuhi GDPR. Syarikat-syarikat yang sedang atau merancang untuk mengembangkan perniagaan mereka di EU harus menyediakan dasar privasi yang selaras dengan GDPR.
Panduan Langkah-langkah oleh Firma Kami
Firma Guaman Monolith adalah sebuah firma guaman yang memiliki pengalaman luas dalam IT, khususnya internet dan undang-undang. Dalam beberapa tahun kebelakangan ini, perniagaan global semakin berkembang, dan keperluan untuk pemeriksaan legal oleh pakar semakin meningkat. Firma kami menyediakan solusi dalam hal ehwal undang-undang antarabangsa.
Bidang yang ditangani oleh Firma Guaman Monolith: Ehwal Undang-Undang Antarabangsa & Perniagaan Luar Negara[ja]