Apa Itu Poin Penting dalam Pindaan Undang-Undang Perlindungan Data Peribadi Jepun pada Tahun Reiwa 6 (2024)? Penjelasan Mengenai Perubahan yang Perlu Diketahui dan Langkah-langkah Tindak Balas
Pada bulan April tahun Reiwa 6 (2024), Peraturan Perlindungan Data Peribadi yang telah disemak semula akan dikuatkuasakan. Dalam pindaan kali ini, kewajipan melaporkan kepada Jawatankuasa Perlindungan Data Peribadi Jepun dan kewajipan memberitahu individu yang terlibat akan diperluas apabila berlaku kebocoran data dan sebagainya.
Titik utama pindaan ini terletak pada penanganan isu-isu terkini berkaitan data peribadi seperti web skimming.
Walaupun begitu, untuk memahami dan bertindak balas dengan tepat terhadap pindaan ini memerlukan pengetahuan khusus, dan ramai yang mungkin tidak pasti tentang tindakan yang perlu diambil oleh syarikat mereka. Artikel ini akan menjelaskan poin utama pindaan Reiwa 6 dan strategi penanganannya.
Ringkasan Perubahan pada Undang-Undang Perlindungan Data Peribadi yang Diubahsuai pada Tahun Reiwa 6 (2024)
Perubahan yang patut diberi perhatian dalam Undang-Undang Perlindungan Data Peribadi yang diubahsuai pada tahun Reiwa 6 (2024) adalah pengembangan kewajiban untuk melaporkan dan memberitahu tentang kebocoran dan sebagainya, serta kewajiban untuk mengambil langkah-langkah pengurusan keselamatan kepada sebahagian “data peribadi”.
Dalam peraturan sebelumnya, hanya “data peribadi” yang menjadi subjek kewajiban laporan ketika terjadi kebocoran, dan “informasi peribadi” tidak termasuk.
Dengan pindaan kali ini, perubahan tersebut telah dimasukkan dalam Pasal 7, Perenggan 3 Peraturan Pelaksanaan Undang-Undang Perlindungan Informasi Peribadi Jepun dan “Panduan Undang-Undang Perlindungan Informasi Peribadi Jepun (Edisi Umum)”[ja].
Undang-Undang yang Diubahsuai | Sebelum Pindaan | |
Kewajiban Melaporkan Kebocoran dan sebagainya | Ada (dalam keadaan tertentu) | Tidak Ada |
Kewajiban Mengambil Langkah Pengurusan Keselamatan | Ada (dalam keadaan tertentu) | Tidak Ada |
Kami akan menjelaskan secara terperinci tentang isi peraturan khusus dan perubahan yang dibuat di bawah ini.
Subjek Regulasi dalam Undang-Undang Perlindungan Data Peribadi Sebelum Ini
Untuk memahami kandungan undang-undang yang telah diubah suai, pemahaman yang tepat mengenai kandungan regulasi sebelum pengubahsuaian adalah sangat penting. Di sini, kami akan menjelaskan definisi dan kandungan regulasi yang telah ditetapkan sebelum pengubahsuaian.
Perbezaan Antara Maklumat Peribadi dan Data Peribadi
Dalam Undang-Undang Perlindungan Maklumat Peribadi Jepun, perlindungan ditujukan kepada “maklumat peribadi” dan “data peribadi” sebagai entiti yang berbeza.
“Maklumat peribadi” merujuk kepada maklumat yang berkaitan dengan individu yang masih hidup, di mana maklumat tersebut mengandungi butiran seperti nama dan tarikh lahir yang membolehkan pengenalpastian individu tertentu. Ini didefinisikan dalam Artikel 2, Perenggan 1, Butiran 1 Undang-Undang Perlindungan Maklumat Peribadi Jepun.
Sebaliknya, “data peribadi” merujuk kepada maklumat peribadi yang membentuk sebahagian daripada pangkalan data maklumat peribadi dan sebagainya, seperti yang dinyatakan dalam Artikel 16, Perenggan 1 Undang-Undang Perlindungan Maklumat Peribadi Jepun.
Sebagai contoh, apabila membuat senarai nama peserta suatu acara, maklumat yang dihantar oleh peserta seperti nama dan alamat dikenali sebagai “maklumat peribadi”. Kemudian, pangkalan data yang dibuat dengan mengumpulkan maklumat peribadi setiap peserta dalam spreadsheet dan sebagainya dikenali sebagai “pangkalan data maklumat peribadi”. Maklumat individu yang membentuk pangkalan data ini dikenali sebagai “data peribadi”.
Dalam Undang-Undang Perlindungan Maklumat Peribadi Jepun, penting untuk memahami bahawa objek perlindungan, sama ada “maklumat peribadi” atau “data peribadi”, menentukan perbezaan besar dalam kandungan regulasi.
Kewajipan Melapor dan Memberitahu tentang Kebocoran, dll.
Akta Perlindungan Data Peribadi menetapkan kewajipan kepada pengendali data peribadi untuk melaporkan kepada Jawatankuasa Perlindungan Data Peribadi dan memberitahu individu yang terlibat sekiranya berlaku kebocoran data peribadi.
(Laporan tentang Kebocoran, dll.)
Akta Perlindungan Data Peribadi Jepun | e-Gov Pencarian Perundangan[ja]
Artikel 26 Pengendali data peribadi harus melaporkan kepada Jawatankuasa Perlindungan Data Peribadi mengikut peraturan yang ditetapkan oleh Jawatankuasa tersebut, sekiranya berlaku kebocoran, kehilangan, kerosakan atau situasi lain yang berkaitan dengan keselamatan data peribadi yang mungkin secara serius menjejaskan hak dan kepentingan individu. Walau bagaimanapun, sekiranya pengendali data peribadi tersebut menerima tugas pengendalian data peribadi secara keseluruhan atau sebahagian daripada pengendali data peribadi lain atau agensi kerajaan, dan telah memberitahu mengenai situasi tersebut kepada pengendali data peribadi lain atau agensi kerajaan tersebut mengikut peraturan yang ditetapkan oleh Jawatankuasa, maka pengendali tersebut tidak tertakluk kepada kewajipan ini.
2 Dalam kes yang dinyatakan dalam perenggan sebelumnya, pengendali data peribadi (kecuali mereka yang telah membuat notifikasi mengikut peruntukan pengecualian tersebut) harus memberitahu individu yang terlibat mengenai situasi tersebut mengikut peraturan yang ditetapkan oleh Jawatankuasa Perlindungan Data Peribadi. Walau bagaimanapun, sekiranya sukar untuk memberitahu individu tersebut dan tindakan pengganti yang diperlukan untuk melindungi hak dan kepentingan individu telah diambil, maka pengendali tersebut tidak tertakluk kepada kewajipan ini.
Kewajipan melapor dan memberitahu tidak berlaku dalam semua situasi kebocoran, dll. Ia hanya diperlukan dalam empat kes yang ditetapkan dalam Peraturan Pelaksanaan Akta Perlindungan Data Peribadi, Artikel 7 seperti berikut:
- Kebocoran data peribadi yang mengandungi maklumat sensitif (contoh: hasil pemeriksaan kesihatan pekerja)
- Kebocoran data peribadi yang berpotensi menyebabkan kerugian kewangan akibat penggunaan tidak sah (contoh: nombor kad kredit)
- Kebocoran data peribadi yang mungkin dilakukan dengan tujuan tidak sah
- Kebocoran yang melibatkan lebih daripada 1000 individu
Pindaan kali ini melibatkan perubahan pada isi kandungan Artikel 7(3) Peraturan tersebut.
Apakah Langkah Pengurusan Keselamatan
Undang-Undang Perlindungan Data Peribadi Jepun mewajibkan pengendali data peribadi untuk mengambil langkah yang perlu dan sesuai bagi mencegah kebocoran data, kehilangan, atau kerosakan dan untuk mengurus keselamatan data secara efektif.
(Langkah Pengurusan Keselamatan)
Undang-Undang Perlindungan Data Peribadi Jepun | e-Gov Pencarian Peraturan[ja]
Perkara 23: Pengendali data peribadi harus mengambil langkah yang perlu dan sesuai untuk mencegah kebocoran, kehilangan, atau kerosakan data peribadi dan untuk pengurusan keselamatan data lainnya.
Sebagai contoh khusus, termasuklah kawalan akses, latihan untuk pekerja, dan penyusunan peraturan.
Subjek Regulasi Sebelum Pindaan
Sebelum pindaan, subjek yang diwajibkan untuk melaporkan kejadian kebocoran dan sebagainya serta mengambil langkah pengurusan keselamatan hanya terbatas kepada ‘data peribadi’ sahaja. Berkaitan dengan ‘maklumat peribadi’, walaupun berlaku kebocoran dan sebagainya, tiada kewajiban bagi perusahaan untuk memikul tanggungjawab seperti itu.
Namun, objek kewajiban laporan/pemberitahuan dan penubuhan langkah pengurusan keselamatan telah diperluas untuk termasuk sebahagian dari ‘maklumat peribadi’ dalam pindaan kali ini.
Tujuan dan Objektif Pindaan Peraturan Perlindungan Maklumat Peribadi
Pindaan kali ini boleh dikatakan bertujuan untuk mengatasi isu web skimming. Web skimming merupakan teknik serangan yang melibatkan pemasangan program jahat di laman web e-dagang untuk mencuri maklumat peribadi.
Secara spesifik, terdapat kaedah di mana maklumat seperti kata laluan dan maklumat kad kredit yang dimasukkan oleh pengguna dalam borang input dapat diperoleh secara langsung dari halaman input tersebut.
Dalam web skimming, ciri khasnya adalah maklumat yang dimasukkan oleh pengguna dicuri secara langsung sebelum ia dimasukkan ke dalam pangkalan data maklumat peribadi pengendali laman web e-dagang. Dalam keadaan ini, “maklumat peribadi” yang dicuri belum lagi diubah menjadi “data peribadi”.
Sebelum pindaan, kewajipan melaporkan kebocoran dan sebagainya hanya ditujukan kepada “data peribadi”. Oleh itu, walaupun terdapat kebocoran maklumat akibat web skimming, pengendali laman web e-dagang tidak mempunyai kewajipan untuk melaporkannya.
Pindaan kali ini bertujuan untuk menjadikan kebocoran maklumat akibat web skimming sebagai subjek laporan, dengan mengembangkan skop laporan kebocoran dan langkah-langkah pengurusan keselamatan untuk termasuk “maklumat peribadi”.
Kandungan Pindaan Peraturan Perlindungan Data Peribadi Tahun Reiwa 6 (2024)
Pengembangan Objek Kewajiban Laporan Kebocoran, dll.
Peraturan Perlaksanaan Undang-Undang Perlindungan Data Peribadi, Artikel 7, Butir 3 telah diubah seperti berikut.
Undang-Undang yang Dipinda | Sebelum Pindaan |
Artikel 7 Undang-Undang Artikel 26, Perenggan 1, teks utama, yang ditetapkan oleh peraturan Komisi Perlindungan Data Peribadi Jepun sebagai yang berpotensi besar merugikan hak dan kepentingan individu, adalah seperti berikut. Setiap keadaan yang berikut ini berlaku: Tindakan terhadap pengendali data peribadi yang dilakukan dengan tujuan tidak sah yang mungkin menyebabkan kebocoran data peribadi (termasuk data peribadi yang diperoleh atau sedang berusaha diperoleh oleh pengendali data peribadi, yang dijadwalkan untuk diurus sebagai data peribadi.) atau keadaan di mana kebocoran tersebut mungkin telah terjadi | Artikel 7 Undang-Undang Artikel 26, Perenggan 1, teks utama, yang ditetapkan oleh peraturan Komisi Perlindungan Data Peribadi Jepun sebagai yang berpotensi besar merugikan hak dan kepentingan individu, adalah seperti berikut. Setiap keadaan yang berikut ini berlaku: Keadaan di mana kebocoran data peribadi yang dilakukan dengan tujuan tidak sah mungkin telah terjadi atau mungkin terjadi |
“Pengendali data peribadi” tersebut termasuk pihak yang diberi tugas dan penyedia layanan pengendalian data peribadi.
Selain itu, apakah data peribadi yang “sedang berusaha diperoleh” oleh pengendali data peribadi termasuk atau tidak, ditentukan secara objektif dengan mempertimbangkan cara pengambilan data peribadi tersebut (Panduan Umum Edisi 3-5-3-1).
Dengan demikian, pengembangan objek kewajiban laporan dan pemberitahuan kebocoran, dll., hingga mencakup “data peribadi” dalam keadaan tertentu, merupakan salah satu perubahan besar dalam pindaan tahun Reiwa 6 (2024).
Pengembangan Objek Tindakan Pengamanan Keselamatan
Seiring dengan pindaan peraturan kewajiban laporan kebocoran, dll., isi dari Panduan Umum Undang-Undang Perlindungan Data Peribadi, Edisi 3-4-2 juga telah diubah.
Tindakan pengamanan keselamatan yang harus diambil oleh pengendali data peribadi, termasuk tindakan yang diperlukan dan tepat untuk mencegah kebocoran data peribadi (termasuk data peribadi yang diperoleh atau sedang berusaha diperoleh oleh pengendali data peribadi) yang dijadwalkan untuk diurus sebagai data peribadi.
Objek tindakan pengamanan keselamatan juga telah diperluas, tidak hanya pada “data peribadi” tetapi juga pada “data peribadi” dalam keadaan tertentu.
Rujukan: Komisi Perlindungan Data Peribadi Jepun | Panduan Umum tentang Undang-Undang Perlindungan Data Peribadi (Berlaku mulai 1 April Tahun Reiwa 6 (2024))
Langkah-langkah yang Perlu Diambil dengan Pelaksanaan Undang-Undang Perlindungan Data Peribadi yang Diubahsuai
Langkah-langkah yang perlu diambil berikutan pelaksanaan Undang-Undang Perlindungan Data Peribadi yang diubahsuai pada tahun Reiwa 6 (2024) adalah dua perkara berikut.
- Mengemaskini Polisi Privasi
- Mengemaskini dan menyebarkan peraturan dalaman
Mari kita lihat setiap satu dengan lebih terperinci.
Mengemaskini Polisi Privasi
Pengendali data peribadi perlu meletakkan langkah-langkah keselamatan pengurusan data peribadi yang mereka pegang dalam keadaan yang dapat diketahui oleh subjek data. Ini termasuk keadaan di mana mereka dapat menjawab permintaan subjek data tanpa kelewatan (Perkara 32, Perenggan 1, Butiran 4 Undang-Undang Perlindungan Data Peribadi Jepun).
Pengendali data yang telah menangani langkah-langkah keselamatan pengurusan data peribadi melalui Polisi Privasi perlu berhati-hati. Mereka perlu menambah maklumat dalam Polisi Privasi mereka tentang penambahan data peribadi tertentu ke dalam langkah-langkah keselamatan pengurusan yang ada.
Mengemaskini dan Menyebarkan Peraturan Dalaman
Kewajipan untuk melaporkan dan memberitahu tentang kebocoran maklumat peribadi tertentu kini telah diperkenalkan, dan ini perlu dicerminkan dalam peraturan dalaman dan disebarkan kepada pekerja.
Kejadian yang boleh menyebabkan kebocoran maklumat peribadi yang kini menjadi subjek laporan dan pemberitahuan tidak terhad kepada web skimming sahaja.
Sebagai contoh, bayangkan situasi di mana pengendali data peribadi menghantar sampul surat balasan yang alamatnya telah diubah kepada pelanggan, dan maklumat peribadi yang ditulis pada kertas soal selidik di dalam sampul tersebut jatuh ke tangan pihak ketiga. Jika maklumat peribadi ini dijadualkan untuk diurus sebagai data peribadi, ini akan mencetuskan kewajipan untuk melaporkan dan memberitahu kebocoran maklumat tersebut.
Kerana penanganan maklumat peribadi yang sebelumnya tidak memerlukan laporan kini telah berubah, adalah penting untuk meminta pekerja agar lebih berhati-hati.
Kesimpulan: Berunding dengan Pakar untuk Menangani Pindaan kepada Undang-Undang Perlindungan Data Peribadi
Dalam pindaan Undang-Undang Perlindungan Data Peribadi Jepun pada tahun Reiwa 6 (2024), langkah-langkah untuk menghadapi web skimming telah diperluas, termasuk kewajiban untuk melaporkan dan memberitahu jika terjadi kebocoran, serta sasaran tindakan pengurusan keselamatan. Sebelum pindaan, hanya ‘data peribadi’ yang termasuk, tetapi dalam keadaan tertentu, ‘maklumat peribadi’ juga kini termasuk.
Dengan pindaan ini, perlu ada tindakan seperti mengkaji semula polisi privasi dan peraturan dalaman syarikat.
Dalam pengendalian maklumat peribadi, kesilapan dalam tindakan boleh menyebabkan risiko besar seperti kehilangan kredibiliti sosial. Oleh itu, disarankan untuk berunding dengan peguam apabila menghadapi situasi ini.
Panduan Langkah-langkah oleh Pejabat Kami
Pejabat Guaman Monolith merupakan firma guaman yang memiliki pengalaman luas dalam IT, khususnya internet dan hukum. Kebocoran maklumat peribadi telah menjadi masalah besar pada masa kini. Sekiranya maklumat peribadi bocor, ia boleh memberikan kesan yang fatal kepada aktiviti perusahaan. Firma kami memiliki keahlian khusus dalam mencegah kebocoran maklumat dan langkah-langkah penanganannya. Butiran lanjut disediakan dalam artikel di bawah.
Bidang yang ditangani oleh Pejabat Guaman Monolith: Undang-Undang Perlindungan Maklumat Peribadi Jepun[ja]