Melayu English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_ms/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hari Minggu 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Tajuk Artikel: Apabila GDPR Dikenakan di Luar Kawasan, Bagaimanakah Cara Menghadapinya? Penjelasan Mengenai Metode Penyesuaian

Tajuk Artikel: Apabila GDPR Dikenakan di Luar Kawasan, Bagaimanakah Cara Menghadapinya? Penjelasan Mengenai Metode Penyesuaian

General Corporate

Tajuk Artikel: Apabila GDPR Dikenakan di Luar Kawasan, Bagaimanakah Cara Menghadapinya? Penjelasan Mengenai Metode Penyesuaian

GDPR ialah peraturan yang ditetapkan oleh EU berkaitan dengan perlindungan dan pengendalian data peribadi. Sekiranya anda mengembangkan produk atau perkhidmatan di dalam wilayah EU, terdapat kemungkinan GDPR akan dikenakan. Namun, ada kalanya seseorang tidak pasti sama ada syarikat mereka tergolong dalam skop aplikasi GDPR atau apa yang perlu dilakukan sekiranya mereka tergolong.

Artikel ini akan menjelaskan skop aplikasi GDPR, tindakan yang perlu diambil jika ia dikenakan, dan respons yang dikehendaki. Terdapat juga sesi Q&A mengenai aplikasi GDPR, jadi sila gunakannya sebagai rujukan.

Skop Perlaksanaan GDPR

Wanita

Syarat-syarat di mana GDPR dikenakan dinyatakan dalam Artikel 3 ‘Skop Geografi’ GDPR. Skop aplikasi GDPR dibahagikan kepada dua situasi: apabila terdapat atau tidak terdapat entiti dalam EU.

Isi yang ditetapkan apabila terdapat entiti dalam EU adalah seperti berikut:

“Perlakuan ini dikenakan ke atas pengendalian data peribadi yang berlaku dalam proses aktiviti entiti pengurus atau pemproses yang berada di dalam EU, tanpa mengira sama ada pengendalian tersebut berlaku di dalam EU.”

Rujukan: Komisi Perlindungan Data Peribadi Jepun | ‘Terjemahan sementara Peraturan Perlindungan Data Umum (GDPR)[ja]

Dengan kata lain, ini menunjukkan bahawa GDPR akan dikenakan apabila terdapat entiti pengurus atau pemproses dalam EU.

PengurusIndividu yang menentukan tujuan dan cara pemprosesan data peribadi
PemprosesIndividu yang melakukan pemprosesan data peribadi bagi pihak pengurus

Skop aplikasi apabila tiada entiti dalam EU adalah seperti berikut:

  1. Apabila menyediakan barang atau perkhidmatan kepada individu di dalam EU
  2. Apabila memantau tingkah laku individu di dalam EU

GDPR mengenakan sekatan ketat terhadap negara-negara di luar wilayah EU, dan untuk memindahkan data secara bebas, ‘Pengesahan Kesesuaian’ diperlukan. Pengesahan Kesesuaian adalah pengesahan yang ditentukan melalui perbincangan dengan Komisi Eropah, yang diberikan kepada negara atau wilayah yang memastikan tahap perlindungan yang mencukupi untuk data peribadi.

Negara atau wilayah yang tidak mempunyai Pengesahan Kesesuaian perlu melaksanakan prosedur seperti SCC atau BCR untuk pemindahan data ke luar wilayah EU.

SCC (Klausa Kontrak Standard)Item wajib yang perlu dimasukkan dalam kontrak pemindahan maklumat
BCR (Peraturan Korporat Mengikat)Dasar untuk melindungi data peribadi yang diperoleh dari Kawasan Ekonomi Eropah (EEA) dan peraturan untuk berkongsi dengan syarikat berkaitan di luar EEA

Perbezaan dengan Pengesahan Kesesuaian adalah bahawa tidak perlu melalui prosedur seperti SCC atau BCR.

Pengesahan Kesesuaian untuk Jepun diumumkan pada perbincangan puncak berkala antara Jepun dan EU pada bulan Julai 2018 (2018) untuk memajukan usaha-usaha yang membolehkan kerangka pemindahan data peribadi. Kemudian, pada 23 Januari 2019 (2019), Jepun menerima Pengesahan Kesesuaian, dan pengumuman dibuat yang menyatakan, “Kami menyambut baik keputusan yang mengakui tahap perlindungan data peribadi antara EU dan Jepun sebagai setara secara timbal balik.”

Apa yang Perlu Dilakukan oleh Syarikat yang Terpakai GDPR

Apa yang Perlu Dilakukan oleh Syarikat yang Terpakai GDPR

Apabila syarikat terpakai oleh GDPR, terdapat dua perkara utama yang perlu dilakukan:

  • Melantik wakil yang berlokasi di EU/UK
  • Menyatakan dalam dasar privasi

Di sini, kami akan menjelaskan butiran bagi setiap perkara tersebut.

Melantik Wakil yang Berlokasi di EU/UK

Menurut Artikel 27 GDPR, syarikat yang terpakai oleh GDPR dan beroperasi di luar EU atau UK diwajibkan untuk melantik seorang wakil yang berlokasi di EU atau UK.

Wakil yang dimaksudkan di sini adalah individu yang dilantik secara bertulis oleh pengurus atau pemproses, dan bertindak mewakili pengurus atau pemproses dalam memenuhi kewajipan di bawah GDPR.

Tidak semua syarikat yang beroperasi di dalam EU perlu melantik wakil. Syarikat yang tidak perlu melantik wakil adalah dalam kes berikut (Artikel 27 GDPR):

  • Operasi yang terpakai oleh GDPR bukan sementara dan tidak melibatkan ‘jenis data khusus’ atau ‘pengendalian data peribadi yang berkaitan dengan keputusan bersalah dan kesalahan jenayah secara besar-besaran, dan mengambil kira sifat, proses, skop, dan tujuan pengendalian tersebut, risiko terhadap hak atau kebebasan individu adalah rendah’
  • Bukan badan awam atau organisasi awam

Rujukan: Komisi Perlindungan Data Peribadi Jepun | ‘Terjemahan Sementara Peraturan Perlindungan Data Umum (GDPR) dalam Bahasa Jepun[ja]

Menyatakan dalam Dasar Privasi

Syarikat yang terpakai oleh GDPR perlu menyatakan dalam dasar privasi mereka bahawa mereka telah melantik seorang wakil.

Peruntukan Hukuman Sekiranya Tiada Pelantikan Wakil

Peruntukan Hukuman

Walaupun berada dalam lingkungan aplikasi Peraturan Umum Perlindungan Data (Japanese GDPR), sekiranya tiada pelantikan wakil, seseorang itu akan terdedah kepada hukuman. Hukuman yang ditetapkan adalah sehingga maksimum 1,000 Euro, atau kurang dari 2% daripada jumlah jualan global, mana yang lebih tinggi (Perkara 84(4) Japanese GDPR).

Tugas yang Diperlukan daripada Wakil

Wakil wanita

Apabila terlibat dalam skop aplikasi GDPR, prinsipnya adalah perlu untuk melantik seorang wakil. Jadi, apakah tugas-tugas yang diperlukan daripada wakil tersebut? Di sini, kami akan menjelaskan secara terperinci mengenai tugas-tugas wakil.

Pemprosesan Rekod Artikel 30

Pengurus atau pemproses yang menempatkan wakil di negara-negara EU perlu berkongsi rekod pemprosesan mereka dengan wakil tersebut. Selain itu, wakil juga diwajibkan untuk menyimpan rekod tersebut sama seperti pengurus atau pemproses (GDPR Artikel 30).

Isi kandungan yang perlu direkodkan adalah seperti berikut:

  • Nama dan maklumat hubungan pengurus, DPO (Data Protection Officer)
  • Tujuan pemprosesan
  • Ciri subjek data dan jenis data yang diproses
  • Tempoh penyimpanan
  • Waktu penghapusan

Subjek data merujuk kepada individu yang dikenal pasti atau boleh dikenal pasti, iaitu individu yang berkaitan dengan data peribadi tersebut.

Apabila ada permintaan daripada pihak pengawasan, rekod pemprosesan ini perlu dapat digunakan.

Menangani Pertanyaan daripada Subjek Data atau Pihak Pengawasan

Apabila ada pertanyaan daripada subjek data atau pihak pengawasan, wakil perlu bertindak menggantikan pengurus atau pemproses untuk menangani respons kepada subjek data atau pihak pengawasan (GDPR Artikel 27(3)). Sebagai contoh, apabila menerima permintaan daripada subjek data, pengurus perlu menyediakan maklumat dalam tempoh satu bulan (GDPR Artikel 12(3)). Selain itu, wakil juga perlu bekerjasama dengan pihak pengawasan apabila ada permintaan daripada mereka (GDPR Artikel 31).

Soalan Lazim Mengenai Perlaksanaan GDPR

FAQ

Kami akan menjawab beberapa soalan lazim yang sering ditanya berkenaan dengan perlaksanaan Peraturan Perlindungan Data Umum (Japanese GDPR).

Adakah Perlu Mematuhi GDPR Sekiranya Tiada Rancangan Untuk Mengembangkan Perniagaan Ke Luar Negara?

Secara asasnya, sekiranya tiada rancangan untuk mengembangkan perniagaan ke luar negara, tidak perlu mematuhi Peraturan Perlindungan Data Umum EU (GDPR). Namun, walaupun tidak mengembangkan perniagaan ke luar negara, perlu berhati-hati sekiranya terdapat kemungkinan untuk mendapatkan data daripada individu di dalam kawasan EU.

Contohnya, situasi berikut boleh berlaku:

  • Mengendalikan laman web e-dagang dan menerima pertanyaan atau pesanan daripada individu di dalam kawasan EU
  • Mendapatkan pengenal dalam talian individu di dalam kawasan EU (seperti alamat IP atau Cookie) melalui lawatan ke laman web
  • Mendapatkan alamat emel melalui respons kepada pertanyaan daripada individu di dalam kawasan EU

Walaupun tanpa sengaja mendapatkan data peribadi individu di dalam kawasan EU, tidak menjadi masalah untuk tidak mematuhi GDPR jika tidak termasuk dalam skop geografi yang berkenaan.

Ingatlah bahawa hanya perlu mematuhi GDPR jika mempunyai operasi di dalam kawasan EU, atau walaupun tiada operasi di sana, tetapi memenuhi dua keadaan berikut:

  1. Menyediakan barang atau perkhidmatan kepada individu di dalam kawasan EU
  2. Memantau tingkah laku individu di dalam kawasan EU

Langkah-langkah Apakah yang Perlu Dilakukan Semasa Melancarkan Laman Web E-Dagang Lintas Sempadan yang Menargetkan Kawasan EU?

Apabila melancarkan laman web e-dagang lintas sempadan yang menargetkan kawasan EU, ada kemungkinan anda akan mengumpul data peribadi individu di dalam EU. Data yang mungkin dikumpul termasuklah:

  • Nama
  • Alamat emel
  • Alamat kediaman
  • Maklumat kad kredit
  • Maklumat pembelian
  • Maklumat lokasi
  • Alamat IP & ID Cookie

Apabila mengumpul maklumat ini, anda perlu mematuhi peraturan GDPR kerana ia merupakan data peribadi yang ditetapkan oleh GDPR.

Langkah pertama yang baik adalah dengan meninjau dan memperbaharui dasar privasi anda agar sesuai dengan GDPR, serta menerbitkan notis privasi yang telah dikemaskini.
Artikel berkaitan: Penjelasan Poin Penting dalam Membuat Dasar Privasi yang Sesuai dengan GDPR![ja]

Setelah itu, ikuti langkah-langkah berikut:

  1. Membuat dasar Cookie baru dan mendapatkan persetujuan penggunaan Cookie dari pengunjung pertama kali laman web e-dagang
  2. Apabila mengumpul data peribadi, mendapatkan persetujuan untuk ‘pengendalian data peribadi’
  3. Melaksanakan langkah-langkah keselamatan untuk melindungi data peribadi dan mencegah kebocoran
  4. Menunjuk wakil

Selain itu, semak semula peraturan dalaman jika perlu, dan buat manual untuk mematuhi GDPR serta semak semula kandungan kontrak dengan pihak luar yang diupah.

Apakah Perbezaan Antara GDPR dan UK GDPR?

UK GDPR merujuk kepada Peraturan Perlindungan Data Umum di United Kingdom. UK GDPR telah dikuatkuasakan pada 1 Januari 2021 (2021) berikutan pengunduran UK daripada Kesatuan Eropah (EU). GDPR adalah peraturan EU yang tidak lagi terpakai di UK.

UK GDPR akan dikenakan dalam situasi berikut:

  1. Apabila menyediakan barang atau perkhidmatan kepada individu di dalam UK
  2. Apabila memantau tingkah laku individu di dalam UK

Jika anda mengendalikan perniagaan di dalam UK dan EU, anda perlu mematuhi kedua-dua GDPR dan UK GDPR.

Kesimpulan: Jika Anda Mengalami Kesulitan dengan Skop Aplikasi GDPR, Sila Rujuk kepada Pakar

Pakar lelaki

Jika anda mempunyai cawangan di dalam EU, atau walaupun tidak mempunyai cawangan tetapi ‘menyediakan barang atau perkhidmatan kepada individu di dalam EU’ atau ‘memantau tingkah laku individu’, anda akan tertakluk di bawah skop aplikasi GDPR. Syarikat yang terpakai GDPR harus melantik wakil di EU dan perlu menyatakan hal ini dalam dasar privasi mereka.

Kegagalan melantik wakil boleh mengakibatkan denda yang besar. Syarikat yang sedang atau merancang untuk mengembangkan perniagaan mereka di EU harus melantik wakil untuk mematuhi GDPR.

Jika anda tidak pasti sama ada syarikat anda tertakluk di bawah skop aplikasi GDPR, kami menyarankan anda untuk berunding dengan pakar yang mahir dalam undang-undang antarabangsa.

Panduan Langkah-langkah oleh Firma Kami

Firma Guaman Monolith merupakan firma guaman yang memiliki pengalaman luas dalam IT, khususnya internet dan undang-undang. Dalam beberapa tahun kebelakangan ini, perniagaan global semakin berkembang, dan keperluan untuk pemeriksaan legal oleh pakar semakin meningkat. Firma kami menyediakan solusi dalam hal ehwal undang-undang antarabangsa.

Bidang yang ditangani oleh Firma Guaman Monolith: Undang-Undang Antarabangsa & Perniagaan Luar Negara[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Iklan Afiliasi dan Undang-Undang Keselamatan Pengguna Jepun ~ Penjelasan tentang Kes-kes yang Melibatkan Palsu dan Pengukuhan ~

Iklan Afiliasi dan Undang-Undang Keselamatan Pengguna Jepun ~ Penjelasan tentang Kes-kes yang Me.

General Corporate

Apa itu Titik Semak Utama dalam Kontrak Pelaburan oleh J-KISS?

Apa itu Titik Semak Utama dalam Kontrak Pelaburan oleh J-KISS?

General Corporate

Apa Pengaruh Tuntutan Mahkamah dalam Penilaian Penyenaraian?

Apa Pengaruh Tuntutan Mahkamah dalam Penilaian Penyenaraian?

General Corporate

Apa Itu Klausul Penghantaran Pengarah dalam Kontrak Pelaburan

Apa Itu Klausul Penghantaran Pengarah dalam Kontrak Pelaburan

General Corporate

Menerangkan Klausul Hak Permintaan Pengubahan dalam Kontrak Pelaburan Startup

Menerangkan Klausul Hak Permintaan Pengubahan dalam Kontrak Pelaburan Startup

General Corporate

Apa itu Peraturan Pengiklanan dalam Undang-Undang Perubatan dan Peranti (Japanese Pharmaceutical and Medical Device Act) yang Harus Diperhatikan oleh Salon Kecantikan

Apa itu Peraturan Pengiklanan dalam Undang-Undang Perubatan dan Peranti (Japanese Pharmaceutical.

General Corporate

Poin Penting yang Perlu Diketahui untuk Menandatangani Kontrak Penyelidikan dan Pembangunan Bersama

Poin Penting yang Perlu Diketahui untuk Menandatangani Kontrak Penyelidikan dan Pembangunan Bers.

General Corporate

Apa itu Klausul Mengenai Saham dalam Kontrak Pelaburan

Apa itu Klausul Mengenai Saham dalam Kontrak Pelaburan

General Corporate

Mengupas Sistem Baru 'Mesyuarat Agung Pemegang Saham Tanpa Penentuan Tempat' yang Membolehkan Mesyuarat Agung Pemegang Saham Secara Virtual Sahaja

Mengupas Sistem Baru 'Mesyuarat Agung Pemegang Saham Tanpa Penentuan Tempat' yang Membolehkan Me.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Kembali ke Atas