Tajuk Artikel: Apabila GDPR Dikenakan di Luar Kawasan, Bagaimanakah Cara Menghadapinya? Penjelasan Mengenai Metode Penyesuaian
GDPR ialah peraturan yang ditetapkan oleh EU berkaitan dengan perlindungan dan pengendalian data peribadi. Sekiranya anda mengembangkan produk atau perkhidmatan di dalam wilayah EU, terdapat kemungkinan GDPR akan dikenakan. Namun, ada kalanya seseorang tidak pasti sama ada syarikat mereka tergolong dalam skop aplikasi GDPR atau apa yang perlu dilakukan sekiranya mereka tergolong.
Artikel ini akan menjelaskan skop aplikasi GDPR, tindakan yang perlu diambil jika ia dikenakan, dan respons yang dikehendaki. Terdapat juga sesi Q&A mengenai aplikasi GDPR, jadi sila gunakannya sebagai rujukan.
Skop Perlaksanaan GDPR
Syarat-syarat di mana GDPR dikenakan dinyatakan dalam Artikel 3 ‘Skop Geografi’ GDPR. Skop aplikasi GDPR dibahagikan kepada dua situasi: apabila terdapat atau tidak terdapat entiti dalam EU.
Isi yang ditetapkan apabila terdapat entiti dalam EU adalah seperti berikut:
“Perlakuan ini dikenakan ke atas pengendalian data peribadi yang berlaku dalam proses aktiviti entiti pengurus atau pemproses yang berada di dalam EU, tanpa mengira sama ada pengendalian tersebut berlaku di dalam EU.”
Rujukan: Komisi Perlindungan Data Peribadi Jepun | ‘Terjemahan sementara Peraturan Perlindungan Data Umum (GDPR)[ja]‘
Dengan kata lain, ini menunjukkan bahawa GDPR akan dikenakan apabila terdapat entiti pengurus atau pemproses dalam EU.
Pengurus | Individu yang menentukan tujuan dan cara pemprosesan data peribadi |
Pemproses | Individu yang melakukan pemprosesan data peribadi bagi pihak pengurus |
Skop aplikasi apabila tiada entiti dalam EU adalah seperti berikut:
- Apabila menyediakan barang atau perkhidmatan kepada individu di dalam EU
- Apabila memantau tingkah laku individu di dalam EU
GDPR mengenakan sekatan ketat terhadap negara-negara di luar wilayah EU, dan untuk memindahkan data secara bebas, ‘Pengesahan Kesesuaian’ diperlukan. Pengesahan Kesesuaian adalah pengesahan yang ditentukan melalui perbincangan dengan Komisi Eropah, yang diberikan kepada negara atau wilayah yang memastikan tahap perlindungan yang mencukupi untuk data peribadi.
Negara atau wilayah yang tidak mempunyai Pengesahan Kesesuaian perlu melaksanakan prosedur seperti SCC atau BCR untuk pemindahan data ke luar wilayah EU.
SCC (Klausa Kontrak Standard) | Item wajib yang perlu dimasukkan dalam kontrak pemindahan maklumat |
BCR (Peraturan Korporat Mengikat) | Dasar untuk melindungi data peribadi yang diperoleh dari Kawasan Ekonomi Eropah (EEA) dan peraturan untuk berkongsi dengan syarikat berkaitan di luar EEA |
Perbezaan dengan Pengesahan Kesesuaian adalah bahawa tidak perlu melalui prosedur seperti SCC atau BCR.
Pengesahan Kesesuaian untuk Jepun diumumkan pada perbincangan puncak berkala antara Jepun dan EU pada bulan Julai 2018 (2018) untuk memajukan usaha-usaha yang membolehkan kerangka pemindahan data peribadi. Kemudian, pada 23 Januari 2019 (2019), Jepun menerima Pengesahan Kesesuaian, dan pengumuman dibuat yang menyatakan, “Kami menyambut baik keputusan yang mengakui tahap perlindungan data peribadi antara EU dan Jepun sebagai setara secara timbal balik.”
Apa yang Perlu Dilakukan oleh Syarikat yang Terpakai GDPR
Apabila syarikat terpakai oleh GDPR, terdapat dua perkara utama yang perlu dilakukan:
- Melantik wakil yang berlokasi di EU/UK
- Menyatakan dalam dasar privasi
Di sini, kami akan menjelaskan butiran bagi setiap perkara tersebut.
Melantik Wakil yang Berlokasi di EU/UK
Menurut Artikel 27 GDPR, syarikat yang terpakai oleh GDPR dan beroperasi di luar EU atau UK diwajibkan untuk melantik seorang wakil yang berlokasi di EU atau UK.
Wakil yang dimaksudkan di sini adalah individu yang dilantik secara bertulis oleh pengurus atau pemproses, dan bertindak mewakili pengurus atau pemproses dalam memenuhi kewajipan di bawah GDPR.
Tidak semua syarikat yang beroperasi di dalam EU perlu melantik wakil. Syarikat yang tidak perlu melantik wakil adalah dalam kes berikut (Artikel 27 GDPR):
- Operasi yang terpakai oleh GDPR bukan sementara dan tidak melibatkan ‘jenis data khusus’ atau ‘pengendalian data peribadi yang berkaitan dengan keputusan bersalah dan kesalahan jenayah secara besar-besaran, dan mengambil kira sifat, proses, skop, dan tujuan pengendalian tersebut, risiko terhadap hak atau kebebasan individu adalah rendah’
- Bukan badan awam atau organisasi awam
Rujukan: Komisi Perlindungan Data Peribadi Jepun | ‘Terjemahan Sementara Peraturan Perlindungan Data Umum (GDPR) dalam Bahasa Jepun[ja]‘
Menyatakan dalam Dasar Privasi
Syarikat yang terpakai oleh GDPR perlu menyatakan dalam dasar privasi mereka bahawa mereka telah melantik seorang wakil.
Peruntukan Hukuman Sekiranya Tiada Pelantikan Wakil
Walaupun berada dalam lingkungan aplikasi Peraturan Umum Perlindungan Data (Japanese GDPR), sekiranya tiada pelantikan wakil, seseorang itu akan terdedah kepada hukuman. Hukuman yang ditetapkan adalah sehingga maksimum 1,000 Euro, atau kurang dari 2% daripada jumlah jualan global, mana yang lebih tinggi (Perkara 84(4) Japanese GDPR).
Tugas yang Diperlukan daripada Wakil
Apabila terlibat dalam skop aplikasi GDPR, prinsipnya adalah perlu untuk melantik seorang wakil. Jadi, apakah tugas-tugas yang diperlukan daripada wakil tersebut? Di sini, kami akan menjelaskan secara terperinci mengenai tugas-tugas wakil.
Pemprosesan Rekod Artikel 30
Pengurus atau pemproses yang menempatkan wakil di negara-negara EU perlu berkongsi rekod pemprosesan mereka dengan wakil tersebut. Selain itu, wakil juga diwajibkan untuk menyimpan rekod tersebut sama seperti pengurus atau pemproses (GDPR Artikel 30).
Isi kandungan yang perlu direkodkan adalah seperti berikut:
- Nama dan maklumat hubungan pengurus, DPO (Data Protection Officer)
- Tujuan pemprosesan
- Ciri subjek data dan jenis data yang diproses
- Tempoh penyimpanan
- Waktu penghapusan
Subjek data merujuk kepada individu yang dikenal pasti atau boleh dikenal pasti, iaitu individu yang berkaitan dengan data peribadi tersebut.
Apabila ada permintaan daripada pihak pengawasan, rekod pemprosesan ini perlu dapat digunakan.
Menangani Pertanyaan daripada Subjek Data atau Pihak Pengawasan
Apabila ada pertanyaan daripada subjek data atau pihak pengawasan, wakil perlu bertindak menggantikan pengurus atau pemproses untuk menangani respons kepada subjek data atau pihak pengawasan (GDPR Artikel 27(3)). Sebagai contoh, apabila menerima permintaan daripada subjek data, pengurus perlu menyediakan maklumat dalam tempoh satu bulan (GDPR Artikel 12(3)). Selain itu, wakil juga perlu bekerjasama dengan pihak pengawasan apabila ada permintaan daripada mereka (GDPR Artikel 31).
Soalan Lazim Mengenai Perlaksanaan GDPR
Kami akan menjawab beberapa soalan lazim yang sering ditanya berkenaan dengan perlaksanaan Peraturan Perlindungan Data Umum (Japanese GDPR).
Adakah Perlu Mematuhi GDPR Sekiranya Tiada Rancangan Untuk Mengembangkan Perniagaan Ke Luar Negara?
Secara asasnya, sekiranya tiada rancangan untuk mengembangkan perniagaan ke luar negara, tidak perlu mematuhi Peraturan Perlindungan Data Umum EU (GDPR). Namun, walaupun tidak mengembangkan perniagaan ke luar negara, perlu berhati-hati sekiranya terdapat kemungkinan untuk mendapatkan data daripada individu di dalam kawasan EU.
Contohnya, situasi berikut boleh berlaku:
- Mengendalikan laman web e-dagang dan menerima pertanyaan atau pesanan daripada individu di dalam kawasan EU
- Mendapatkan pengenal dalam talian individu di dalam kawasan EU (seperti alamat IP atau Cookie) melalui lawatan ke laman web
- Mendapatkan alamat emel melalui respons kepada pertanyaan daripada individu di dalam kawasan EU
Walaupun tanpa sengaja mendapatkan data peribadi individu di dalam kawasan EU, tidak menjadi masalah untuk tidak mematuhi GDPR jika tidak termasuk dalam skop geografi yang berkenaan.
Ingatlah bahawa hanya perlu mematuhi GDPR jika mempunyai operasi di dalam kawasan EU, atau walaupun tiada operasi di sana, tetapi memenuhi dua keadaan berikut:
- Menyediakan barang atau perkhidmatan kepada individu di dalam kawasan EU
- Memantau tingkah laku individu di dalam kawasan EU
Langkah-langkah Apakah yang Perlu Dilakukan Semasa Melancarkan Laman Web E-Dagang Lintas Sempadan yang Menargetkan Kawasan EU?
Apabila melancarkan laman web e-dagang lintas sempadan yang menargetkan kawasan EU, ada kemungkinan anda akan mengumpul data peribadi individu di dalam EU. Data yang mungkin dikumpul termasuklah:
- Nama
- Alamat emel
- Alamat kediaman
- Maklumat kad kredit
- Maklumat pembelian
- Maklumat lokasi
- Alamat IP & ID Cookie
Apabila mengumpul maklumat ini, anda perlu mematuhi peraturan GDPR kerana ia merupakan data peribadi yang ditetapkan oleh GDPR.
Langkah pertama yang baik adalah dengan meninjau dan memperbaharui dasar privasi anda agar sesuai dengan GDPR, serta menerbitkan notis privasi yang telah dikemaskini.
Artikel berkaitan: Penjelasan Poin Penting dalam Membuat Dasar Privasi yang Sesuai dengan GDPR![ja]
Setelah itu, ikuti langkah-langkah berikut:
- Membuat dasar Cookie baru dan mendapatkan persetujuan penggunaan Cookie dari pengunjung pertama kali laman web e-dagang
- Apabila mengumpul data peribadi, mendapatkan persetujuan untuk ‘pengendalian data peribadi’
- Melaksanakan langkah-langkah keselamatan untuk melindungi data peribadi dan mencegah kebocoran
- Menunjuk wakil
Selain itu, semak semula peraturan dalaman jika perlu, dan buat manual untuk mematuhi GDPR serta semak semula kandungan kontrak dengan pihak luar yang diupah.
Apakah Perbezaan Antara GDPR dan UK GDPR?
UK GDPR merujuk kepada Peraturan Perlindungan Data Umum di United Kingdom. UK GDPR telah dikuatkuasakan pada 1 Januari 2021 (2021) berikutan pengunduran UK daripada Kesatuan Eropah (EU). GDPR adalah peraturan EU yang tidak lagi terpakai di UK.
UK GDPR akan dikenakan dalam situasi berikut:
- Apabila menyediakan barang atau perkhidmatan kepada individu di dalam UK
- Apabila memantau tingkah laku individu di dalam UK
Jika anda mengendalikan perniagaan di dalam UK dan EU, anda perlu mematuhi kedua-dua GDPR dan UK GDPR.
Kesimpulan: Jika Anda Mengalami Kesulitan dengan Skop Aplikasi GDPR, Sila Rujuk kepada Pakar
Jika anda mempunyai cawangan di dalam EU, atau walaupun tidak mempunyai cawangan tetapi ‘menyediakan barang atau perkhidmatan kepada individu di dalam EU’ atau ‘memantau tingkah laku individu’, anda akan tertakluk di bawah skop aplikasi GDPR. Syarikat yang terpakai GDPR harus melantik wakil di EU dan perlu menyatakan hal ini dalam dasar privasi mereka.
Kegagalan melantik wakil boleh mengakibatkan denda yang besar. Syarikat yang sedang atau merancang untuk mengembangkan perniagaan mereka di EU harus melantik wakil untuk mematuhi GDPR.
Jika anda tidak pasti sama ada syarikat anda tertakluk di bawah skop aplikasi GDPR, kami menyarankan anda untuk berunding dengan pakar yang mahir dalam undang-undang antarabangsa.
Panduan Langkah-langkah oleh Firma Kami
Firma Guaman Monolith merupakan firma guaman yang memiliki pengalaman luas dalam IT, khususnya internet dan undang-undang. Dalam beberapa tahun kebelakangan ini, perniagaan global semakin berkembang, dan keperluan untuk pemeriksaan legal oleh pakar semakin meningkat. Firma kami menyediakan solusi dalam hal ehwal undang-undang antarabangsa.
Bidang yang ditangani oleh Firma Guaman Monolith: Undang-Undang Antarabangsa & Perniagaan Luar Negara[ja]