MONOLITH LAW OFFICE+81-3-6262-3248Hari Minggu 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Apakah itu GDPR? Penerangan Mengenai Perbandingan dengan Undang-Undang Perlindungan Data Peribadi Jepun dan Titik-titik yang Perlu Disadari oleh Syarikat Jepun

General Corporate

Apakah itu GDPR? Penerangan Mengenai Perbandingan dengan Undang-Undang Perlindungan Data Peribadi Jepun dan Titik-titik yang Perlu Disadari oleh Syarikat Jepun

Apabila melaksanakan pengembangan perniagaan ke dalam wilayah EU, adalah penting untuk memiliki pengetahuan menyeluruh mengenai GDPR (General Data Protection Regulation – Peraturan Perlindungan Data Umum). Terdapat situasi di mana GDPR dikenakan ke atas syarikat-syarikat Jepun yang tidak memiliki asas operasi di dalam wilayah EU. Dapatkan pengetahuan asas mengenai GDPR dan Undang-Undang Perlindungan Data Peribadi Jepun, dan laksanakan pengurusan data yang sesuai.

Artikel ini akan menjelaskan tentang GDPR, termasuk perbandingannya dengan Undang-Undang Perlindungan Data Peribadi Jepun dan apa yang perlu diperhatikan oleh syarikat-syarikat Jepun. Bagi anda yang bertanggungjawab dalam bidang perundangan dan sedang mempertimbangkan sama ada perlu mengubah peraturan perlindungan data atau ingin mengetahui undang-undang yang perlu diambil langkah sebagai persediaan untuk mengembangkan perniagaan ke EU, sila gunakan artikel ini sebagai rujukan.

Apakah itu GDPR (Peraturan Perlindungan Data Umum EU)?

Layar kunci smartphone

“GDPR (General Data Protection Regulation)” atau dalam Bahasa Jepun dikenali sebagai “一般データ保護規則” adalah peraturan yang ditetapkan oleh Kesatuan Eropah (EU) berkaitan dengan pengendalian data peribadi (perlindungan maklumat peribadi).

GDPR menetapkan standard yang ketat untuk pengendalian data peribadi di dalam wilayah EU dan bertujuan untuk mengukuhkan perlindungan privasi individu.

Dari perspektif perlindungan maklumat peribadi, GDPR menyediakan standard tentang bagaimana syarikat dan organisasi seharusnya mengendalikan data, serta bagaimana individu dapat melindungi maklumat mereka sendiri.

Rujukan: Jawatankuasa Perlindungan Maklumat Peribadi | “Terjemahan sementara GDPR (General Data Protection Regulation) dalam Bahasa Jepun[ja]

Prinsip asas GDPR adalah seperti berikut:

  • Keabsahan, Keadilan, dan Ketelusan
  • Pembatasan Tujuan
  • Minimisasi Data
  • Ketepatan
  • Pembatasan Penyimpanan Rekod
  • Integriti dan Kerahsiaan

Kami akan menjelaskan setiap prinsip asas tersebut di bawah ini.

Kesesuaian, Keadilan, dan Ketelusan

Prinsip asas GDPR yang paling utama adalah kesesuaian, keadilan, dan ketelusan.

Ketika pengusaha mengumpul dan memproses data peribadi, mereka mesti berlandaskan asas hukum yang sah dan perlu menyampaikan dengan jelas kepada pihak yang terlibat bagaimana pemprosesan tersebut dilakukan.

Selain itu, pengusaha perlu menyediakan maklumat privasi secara eksplisit dan memastikan ketelusan agar pihak yang terlibat dapat memahami dan mengawal bagaimana data mereka diuruskan.

Penghadan Tujuan Penggunaan

Penghadan tujuan penggunaan bermaksud pengumpulan dan pemprosesan data harus dilakukan untuk tujuan yang spesifik dan jelas.

Perniagaan yang mengumpul data peribadi perlu menunjukkan tujuan tersebut dengan tepat dan terperinci kepada pihak yang terlibat dan mendapatkan persetujuan yang jelas. Selain itu, perniagaan tersebut mesti membatasi penggunaan data yang dikumpul hanya untuk tujuan yang telah disetujui oleh subjek data dan mengurusnya dengan ketat.

Pengurangan Data Peribadi

Pengumpulan data peribadi harus terhad kepada skop yang diperlukan untuk mencapai tujuan yang ditetapkan (pengurangan). Kita hanya mengumpul data peribadi yang sesuai dengan tujuan yang diminta dan tidak mengumpul maklumat peribadi yang tidak perlu.

Dengan cara ini, jumlah data peribadi yang disimpan dapat diminimumkan, dan privasi individu dapat dilindungi.

Ketepatan

Sebagai prinsip asas GDPR (General Data Protection Regulation), data peribadi mesti tepat. Data peribadi yang tidak tepat harus diperbetulkan, dan langkah-langkah harus diambil untuk memastikan maklumat yang terkini dan tepat dikekalkan.

Ini akan melindungi hak dan kepentingan individu serta memastikan pemprosesan data peribadi dilakukan berdasarkan maklumat yang tepat.

Had Pengurusan Rekod

Salah satu prinsip asas GDPR adalah konsep had pengurusan rekod. Data peribadi yang tidak lagi diperlukan setelah mencapai tujuan tertentu harus segera dipadamkan.

Dengan tidak menyimpan data peribadi yang tidak diperlukan, kita dapat mengurus data peribadi dengan betul dan melindungi privasi individu.

Integriti & Kerahsiaan

Data peribadi haruslah lengkap dan kerahsiaannya mesti dijaga. Data peribadi perlu dilindungi daripada sebarang pengubahan yang tidak sah atau kehilangan, dan langkah-langkah yang sesuai harus diambil untuk melindunginya daripada akses tidak sah.

Ini akan meningkatkan kepercayaan terhadap data peribadi tersebut.

Bukan Hanya Syarikat dalam EU? Skop Aplikasi GDPR

Pengurusan Maklumat

GDPR tidak hanya dikenakan kepada syarikat-syarikat yang berada dalam wilayah EU sahaja. Syarikat-syarikat Jepun juga boleh menjadi subjek aplikasi GDPR. Berikut adalah penjelasan mengenai empat kategori syarikat yang terkena aplikasi GDPR:

Subjek Syarikat yang Terkena Aplikasi GDPRRingkasan
Syarikat dengan basis di EU | ‘Pengurus’Organisasi yang menentukan tujuan dan cara pemprosesan data serta memiliki hak milik atas data tersebut dikenali sebagai pengurus.
Contohnya, syarikat yang memiliki ibu pejabat atau cawangan di dalam EU.
Pengurus bertanggungjawab untuk memastikan pemprosesan data yang sah dan telus.
Syarikat yang dipercayakan pemprosesan data peribadi oleh syarikat EU | ‘Pemproses’Apabila syarikat di dalam EU mempercayakan pemprosesan data kepada syarikat lain, syarikat yang menerima tugas tersebut menjadi ‘pemproses’ dan subjek kepada GDPR.
Pemproses juga bertanggungjawab untuk memastikan keselamatan dan pemprosesan data yang sah.
Syarikat yang menyediakan barang atau perkhidmatan kepada individu di dalam EUSyarikat yang menyediakan kedai online atau perkhidmatan web termasuk dalam kategori ini.
Penanganan data yang berkaitan dengan barang atau perkhidmatan yang disediakan harus mematuhi standard GDPR.
Syarikat yang memantau individu di dalam EUPemantauan merujuk kepada pengesanan aktiviti atau keadaan individu tertentu secara berterusan.
Contohnya, syarikat yang menggunakan kamera pengawasan atau pelacakan aktiviti online, di mana penanganan data yang sah diperlukan.

Syarikat-syarikat yang terkena aplikasi GDPR diwajibkan untuk memastikan pemprosesan data yang sah dan telus, keselamatan data, serta pematuhan terhadap standard GDPR.

Artikel berkaitan: Bagaimana jika GDPR dikenakan di luar wilayah? Penjelasan cara menghadapi[ja]

Pengendalian Data Peribadi Menurut GDPR

Pengendalian Data Peribadi

GDPR menyediakan kerangka kerja untuk perlindungan privasi dan peredaran data dengan mengatur pengendalian data peribadi.

Tujuan dan prinsip peraturan ini adalah untuk memastikan perlindungan hak asasi dan kebebasan, terutamanya menghormati privasi peribadi dan mempromosikan peredaran bebas data peribadi (Artikel 4 GDPR).

GDPR melindungi kawalan dan penghormatan terhadap data peribadi sambil mempromosikan peredaran data dan memastikan kepercayaan melalui pengurusan yang sesuai.

Untuk ini, kepentingan terletak pada ketelusan dalam pemprosesan data dan tanggungjawab korporat, di mana syarikat dikehendaki mengendalikan data berdasarkan peraturan yang ditetapkan.

Di samping itu, GDPR juga mengandungi peruntukan seperti berikut.

Apabila syarikat yang tertakluk kepada GDPR mengendalikan data peribadi, prinsipnya memerlukan persetujuan individu tersebut (Pasal 6(1)(a) GDPR).
Pentadbir harus dapat membuktikan bahawa individu telah memberikan persetujuan untuk pengendalian data peribadi (Pasal 7(1) GDPR).
Selain itu, individu berhak untuk menarik balik persetujuan mereka terhadap pengendalian data peribadi pada bila-bila masa (Pasal 7(3) GDPR).

Walau bagaimanapun, terdapat situasi di mana pengendalian data peribadi dibenarkan walaupun tanpa persetujuan individu. Contoh spesifik adalah seperti berikut:

  • Apabila diperlukan untuk melaksanakan kontrak di mana individu tersebut adalah pihak dalam kontrak
  • Apabila diperlukan untuk mengambil langkah atas permintaan individu sebelum penandatanganan kontrak
  • Apabila diperlukan untuk mematuhi kewajipan undang-undang yang dihadapi oleh pentadbir
  • Apabila diperlukan untuk melindungi kepentingan vital individu atau orang lain
  • Apabila diperlukan untuk kepentingan umum atau untuk menjalankan tugas-tugas awam
  • Apabila diperlukan untuk tujuan kepentingan sah pentadbir atau pihak ketiga (perlu ada penimbangan terhadap hak, kepentingan, dan kebebasan individu)

Hak-hak Utama Berkaitan Data Peribadi dalam GDPR

Hak Data Peribadi

Dalam Peraturan Perlindungan Data Umum (General Data Protection Regulation – GDPR), subjek data peribadi diberikan terutamanya hak-hak berikut:

  • Hak untuk mengakses data peribadi
  • Hak untuk meminta pembetulan atau penghapusan data peribadi
  • Hak untuk meminta pembatasan penggunaan data peribadi
  • Hak untuk mengemukakan bantahan terhadap pengendalian data peribadi

Subjek data peribadi mempunyai hak untuk memahami bagaimana penyedia menggunakan maklumat mereka. Jika merasakan maklumat tersebut tidak tepat atau digunakan secara tidak wajar, mereka boleh meminta pembetulan atau penghapusan, serta berhak untuk menghentikan penggunaan data sementara atau mengemukakan bantahan.

Tanggungjawab Utama Berkaitan Data Peribadi dalam GDPR

Tanggungjawab Data Peribadi

Sementara individu yang data peribadinya dikumpul diberikan hak-hak tertentu, syarikat yang mengumpul dan memproses data peribadi memikul tanggungjawab utama berikut:

  • Membangun sistem dan struktur personel yang mematuhi GDPR untuk pengendalian data peribadi
  • Bertanggungjawab untuk merekodkan segala pengendalian data peribadi
  • Bertanggungjawab untuk menangani pelanggaran data peribadi

Untuk memastikan data peribadi dilindungi dengan sewajarnya, tanggungjawab yang dipikul oleh syarikat-syarikat ini adalah penting.

Di samping itu, penting untuk semua aktiviti pemprosesan data direkodkan dengan betul supaya dapat dikaji semula apabila diperlukan.

Apabila berlaku pelanggaran data peribadi, syarikat bertanggungjawab untuk mengambil langkah yang sesuai dan memberitahu pihak yang terlibat.

Sekiranya Melanggar GDPR

Lelaki yang diberi amaran

Jika pengurus atau pemproses melanggar GDPR dan menyebabkan kerugian kepada subjek data, mereka mungkin dikehendaki membayar ganti rugi (Artikel 82(1) GDPR).

Di samping itu, pelanggaran GDPR boleh membawa kepada akibat yang serius. Sebagai contoh, atas tindakan pelanggaran, denda boleh dikenakan oleh EU berdasarkan tindakan yang diperuntukkan dalam Artikel 83 GDPR (Artikel 83 GDPR).

Perbezaan Antara GDPR dan Undang-Undang Perlindungan Data Peribadi

Lelaki yang sedang menyiasat

Perbezaan utama antara GDPR dan Undang-Undang Perlindungan Data Peribadi adalah seperti berikut:

  • Objek perlindungan
  • Tindak balas apabila data peribadi dicabuli
  • Penetapan wakil
  • Hukuman jika melanggar peraturan

Kami akan menjelaskan dengan lebih terperinci di bawah.

Objek Perlindungan

GDPR dan Undang-Undang Perlindungan Data Peribadi mempunyai objek perlindungan yang berbeza. GDPR melindungi data peribadi yang diproses di dalam wilayah EU secara menyeluruh. Ini termasuk bukan sahaja syarikat yang berpangkalan di EU, tetapi juga syarikat yang menyediakan barang atau perkhidmatan kepada individu di dalam EU.

Sebaliknya, objek perlindungan Undang-Undang Perlindungan Data Peribadi berbeza mengikut negara atau wilayah.

Sebagai contoh, Undang-Undang Perlindungan Data Peribadi Jepun melindungi informasi peribadi yang diproses di dalam negara dan biasanya terhad kepada perlindungan di dalam negara sahaja.

Tindak Balas Apabila Data Peribadi Dicabuli

GDPR dan Undang-Undang Perlindungan Data Peribadi mempunyai perbezaan dalam tindak balas apabila data peribadi dicabuli.

Dalam GDPR, jika berlaku pelanggaran data, syarikat diwajibkan untuk melaporkan kepada pihak berkuasa pengawasan dalam masa 72 jam. Selain itu, mereka juga bertanggungjawab untuk memberitahu subjek data secara cepat dan jelas.

Dalam Undang-Undang Perlindungan Data Peribadi, walaupun terdapat keperluan untuk memberitahu dengan segera apabila berlaku pelanggaran data, tempoh masa laporan dan kandungan pemberitahuan berbeza mengikut negara atau wilayah.

Penetapan Wakil

GDPR dan Undang-Undang Perlindungan Data Peribadi mempunyai peraturan yang berbeza berkaitan penetapan wakil.

Dalam GDPR, persetujuan ibu bapa atau wali sah diperlukan untuk pemprosesan data peribadi kanak-kanak. Syarikat yang menyediakan perkhidmatan dalam talian dan mengendalikan data peribadi kanak-kanak di bawah umur 16 tahun juga memerlukan persetujuan ibu bapa.

Undang-Undang Perlindungan Data Peribadi juga memerlukan persetujuan wali sah untuk mengendalikan informasi peribadi kanak-kanak, tetapi umur yang ditetapkan dan cara mendapatkan persetujuan berbeza mengikut perundangan.

Hukuman Jika Melanggar Peraturan

Salah satu perbezaan antara GDPR dan Undang-Undang Perlindungan Data Peribadi adalah hukuman yang dikenakan jika melanggar peraturan.

Dalam GDPR, pelanggaran boleh mengakibatkan denda maksimum sebanyak 4% daripada jumlah jualan tahunan keseluruhan syarikat atau 20 juta Euro.

Hukuman di bawah Undang-Undang Perlindungan Data Peribadi berbeza mengikut negara atau wilayah, tetapi umumnya termasuk denda atau tanggungjawab undang-undang. Jumlah denda berubah-ubah bergantung pada kandungan dan keseriusan pelanggaran.

Titik-titik Penting yang Perlu Ditangani oleh Syarikat Jepun Mengenai GDPR

Wanita sedang berbicara di telefon

Syarikat-syarikat yang memenuhi kriteria berikut perlu mengambil langkah-langkah untuk mematuhi GDPR:

  • Syarikat yang mempunyai anak syarikat, cawangan, atau pejabat perwakilan di dalam wilayah EU
  • Syarikat yang menyediakan barang atau perkhidmatan dari Jepun ke dalam wilayah EU
  • Syarikat yang diberi mandat untuk memproses data peribadi oleh syarikat-syarikat di dalam wilayah EU

Sebagai contoh langkah konkret yang boleh diambil oleh syarikat, Artikel 32 dan Preambul (83) GDPR mencadangkan penggunaan teknologi perlindungan data seperti enkripsi.

Oleh itu, adalah penting untuk mengenkripsi data peribadi pada PC klien, HDD, memori USB, dan media penyimpanan lain, serta folder yang dikongsi.

Di samping itu, terdapat keperluan untuk mengubah dasar privasi agar selaras dengan GDPR. Artikel berikut menyediakan penjelasan terperinci mengenai dasar privasi yang sesuai dengan GDPR.

Artikel berkaitan: Menerangkan titik-titik penting dalam pembuatan dasar privasi yang sesuai dengan GDPR[ja]

Kesimpulan: Rujuk Pakar untuk Langkah GDPR

Peguam yang membaca Rokuhō Zensho

GDPR melindungi data peribadi yang diproses di dalam EU secara meluas, dan menuntut pemprosesan data yang sah dan telus serta pengesahan keselamatan. Beberapa perbezaan antara GDPR dan Undang-Undang Perlindungan Data Peribadi Jepun termasuk subjek perlindungan, tindak balas terhadap pelanggaran data peribadi, penubuhan wakil, dan hukuman bagi pelanggaran.

Entiti yang terutamanya berpangkalan di dalam EU, syarikat yang menyediakan barang atau perkhidmatan kepada individu di dalam EU, dan syarikat yang menerima kontrak untuk memproses data peribadi dari entiti di dalam EU adalah antara subjek yang terpakai di bawah GDPR. Pelanggaran terhadap GDPR boleh mengakibatkan tuntutan ganti rugi dan denda, jadi amat penting untuk berhati-hati.

Adalah disarankan untuk berunding dengan pakar jika terdapat keperluan untuk mengubah peraturan perlindungan data syarikat anda agar selaras dengan GDPR.

Panduan Langkah-langkah oleh Firma Kami

Firma Guaman Monolith adalah sebuah firma guaman yang memiliki pengalaman luas dalam IT, khususnya internet dan undang-undang. Dalam beberapa tahun terakhir, perniagaan global semakin berkembang, dan keperluan untuk pemeriksaan legal oleh pakar semakin meningkat. Firma kami menyediakan solusi dalam hal perundangan antarabangsa.

Bidang yang ditangani oleh Firma Guaman Monolith: Perundangan Antarabangsa & Perniagaan Luar Negara[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Kembali ke Atas