PUTRAJAYA, Julai 4, 2024 – Kabinet telah meluluskan cadangan pindaan kepada Akta Perlindungan Data Peribadi 2010 yang dijangka akan dibentangkan pada sesi Dewan Rakyat ini.

Pindaan ini adalah perlu bagi memastikan perundangan perlindungan data peribadi di Malaysia adalah selaras dengan piawaian, perubahan serta perkembangan undang-undang pada peringkat global. Pindaan ini juga adalah perlu bagi menangani isu penyalahgunaan data peribadi yang berlaku.

Dalam tempoh Oktober 2023 hingga Mac 2024, statistik jumlah aduan yang diterima menunjukkan trend peningkatan sebanyak 5.1% pada tahun 2024 berbanding tahun 2023. Secara keseluruhan sepanjang tempoh tersebut, sebanyak 322 aduan penyalahgunaan dan pelanggaran data peribadi telah diterima oleh Pejabat Pesuruhjaya Perlindungan Data Peribadi (PDP). Sebanyak 157 aduan telah diterima pada suku keempat tahun 2023 manakala 165 aduan diterima pada suku pertama tahun 2024.

Bagi statistik pelanggaran data peribadi secara khususnya, trend meningkat dengan lebih ketara iaitu sebanyak 41% pada tahun 2024 berbanding tahun 2023. Pada suku keempat tahun 2023, Pejabat Pesuruhjaya PDP telah menerima sebanyak 27 notifikasi pelanggaran data peribadi berbanding pada suku pertama tahun 2024, sebanyak 38 notifikasi pelanggaran data peribadi telah diterima.

Berdasarkan statistik tahun 2023, Pejabat Pesuruhjaya PDP telah menerima sebanyak 779 aduan penyalahgunaan dan pelanggaran data peribadi. Manakala pada tahun ini sehingga bulan Jun 2024, sebanyak 288 aduan telah diterima oleh Pejabat Pesuruhjaya PDP. Walaupun secara purata terdapat sedikit penurunan di atas usaha penguatkuasaan berterusan oleh Pejabat Pesuruhjaya PDP, namun angka statistik ini masih membimbangkan.

Kebimbangan ini disebabkan oleh peningkatan pelbagai jenayah lain seperti penipuan dalam talian termasuk penipuan identiti yang salah satunya berpunca dari insiden kecurian dan kebocoran data peribadi. Menurut laporan statistik oleh Pusat Respons Scam Kebangsaan (NSRC), sebanyak 34,497 kes penipuan dalam talian membabitkan kerugian RM1.218 bilion telah dilaporkan di seluruh negara tahun lalu. Berdasarkan statistik 2023 tersebut, kes jenayah telekomunikasi seperti tipu peraduan SMS, tipu penyamaran di talian dan tipu panggilan telefon antara kes tertinggi yang direkodkan dengan 10,348 kes membabitkan kerugian RM352.9 juta.

Dalam merangka cadangan pindaan Akta 709 ini, Pesuruhjaya PDP turut mengambil kira input dan pandangan daripada pelbagai pihak yang berkepentingan melalui pelbagai sesi libat urus. Sebanyak 40 sesi libat urus bersama dengan 719 pemegang taruh yang terdiri daripada sektor awam, sektor swasta, pihak berkuasa tempatan (PBT), badan kawal selia, pemain industri, persatuan yang mewakili pemain industri dan pihak-pihak lain yang berkepentingan telah dilaksanakan.

Selain daripada itu, pandangan dan pendapat juga diperolehi daripada pakar-pakar melalui siri lawatan penandaarasan (best practices) ke agensi dan suruhanjaya yang berkaitan di luar negara.

Antara cadangan utama pindaan kepada Akta 709 adalah berkenaan:

Mewajibkan pemberitahuan mengenai pelanggaran data peribadi

Pengguna Data (entiti yang memproses data peribadi dalam transaksi komersial) adalah diwajibkan untuk melaporkan dengan kadar segera sebarang insiden pelanggaran data peribadi yang berlaku kepada Pesuruhjaya PDP.

Pemberitahuan ini perlu dilaksanakan mengikut cara dan tempoh yang akan ditetapkan oleh Pesuruhjaya PDP. Ketidakpatuhan terhadap kewajipan pemberitahuan pelanggaran data peribadi boleh dikenakan tindakan denda sehingga RM250,000.00 (Dua Ratus Lima Puluh Ribu Ringgit) atau penjara selama dua (2) tahun atau kedua-duanya.

Pindaan ini perlu bagi memastikan insiden pelanggaran data yang melibatkan data peribadi tidak terlepas dari aktiviti pemantauan dan penguatkuasaan oleh Pesuruhjaya PDP. Selain itu, kewajipan ini juga bertujuan sebagai langkah mitigasi segera oleh Pesuruhjaya PDP bagi mengelakkan pelanggaran data yang lebih serius serta tindakan pengawalan pelanggaran data boleh diambil dengan kadar segera.

Penambahan tanggungjawab pematuhan oleh Pemproses Data

Tanggungjawab pematuhan prinsip perlindungan data peribadi di dalam Akta dikenakan secara langsung kepada Pemproses Data (entiti yang memproses data peribadi bagi pihak Pengguna Data). Pindaan ini akan meletakkan tanggungjawab pematuhan terhadap salah satu prinsip perlindungan data peribadi iaitu Prinsip Keselamatan. Ketidakpatuhan oleh Pemproses Data terhadap Prinsip Keselamatan ini boleh dikenakan hukuman denda sehingga RM1,000,000 (Satu Juta Ringgit) atau penjara sehingga 3 (tiga) tahun atau kedua-duanya. Sebelum pindaan ini, tindakan hanya boleh dikenakan ke atas Pengguna Data sahaja.

Penambahan tanggungjawab Prinsip Keselamatan ke atas Pemproses Data ini adalah kerana Pemproses Data secara umumnya tidak berhubung terus dengan Subjek Data (individu/pemilik data peribadi). Pemproses Data hanya melaksanakan pemprosesan data peribadi berdasarkan arahan yang diberikan oleh Pengguna Data mengikut kontrak yang dimeterai. Namun begitu, melalui pindaan ini, Pemproses Data perlu bertanggungjawab terhadap keselamatan data peribadi yang diproses supaya tidak berlaku kecuaian yang mengakibatkan kebocoran data peribadi.

Pelantikan Pegawai Perlindungan Data (DPO)

Pengguna Data dan Pemproses Data yang telah memenuhi kriteria yang ditetapkan perlu melantik mana-mana individu bagi melaksanakan fungsi sebagai DPO. Pelantikan ini boleh dibuat ke atas individu sedia ada atau pelantikan individu baharu yang khusus bagi melaksanakan fungsi DPO. Pegawai DPO yang dilantik ini akan menjadi pegawai perhubungan antara Pengguna Data dengan Pesuruhjaya PDP dan Subjek Data.

Ini adalah perlu kerana amalan pelantikan DPO merupakan praktis dan tadbir urus yang baik dan telah diamalkan di peringkat antarabangsa. Pelantikan DPO merupakan satu mekanisme yang diperkenalkan bagi memastikan semua pemprosesan data peribadi oleh Pengguna Data dan Pemproses Data mematuhi segala prinsip perlindungan data peribadi yang telah ditetapkan.

Memperkenalkan hak kemudahalihan data kepada subjek data

Hak ini diberikan kepada Subjek Data untuk membuat permohonan pemindahan data peribadi mereka dari satu Pengguna Data kepada Pengguna Data yang lain. Walau bagaimanapun, hak ini adalah tertakluk kepada tahap kebolehlaksanaan pemindahan data peribadi tersebut secara teknikal oleh Pengguna Data.

Dengan adanya hak ini, ianya dapat memberikan manfaat kepada Subjek Data yang mana mereka tidak perlu lagi memberikan semula data peribadi kepada Pengguna Data yang baharu. Selain itu, hak kemudahalihan data ini juga telah diperuntukkan dalam banyak perundangan perlindungan data di peringkat antarabangsa seperti EU-GDPR, UK DPA 2018, Singapore PDPA 2012, Japan APPI 2003 dan South Korea PIPA 2011.

Memansuhkan keperluan pewartaan tempat yang dibenarkan untuk pemindahan mana-mana data peribadi ke luar Malaysia

Akta 709 sedia ada hanya membenarkan Pengguna Data untuk memindahkan data peribadi Subjek Data ke luar Malaysia bagi tempat yang ditentukan oleh Menteri melalui pemberitahuan yang disiarkan dalam Warta. Dengan memansuhkan peruntukan mengenai pewujudan siaran Warta tersebut, pemindahan data peribadi ke luar Malaysia adalah dibenarkan berdasarkan syarat-syarat yang ditetapkan.

Pindaan ini bertujuan bagi memudahcara rundingan perdagangan antarabangsa memandangkan hampir semua perjanjian perdagangan mempunyai elemen pemindahan data rentas sempadan (cross border data transfer). Peruntukan ini juga akan memastikan tahap perlindungan yang mencukupi atau sekurang-kurangnya setara juga diberikan terhadap sebarang data yang dipindahkan ke luar negara.

Cadangan pindaan Akta 709 ini adalah untuk penambahbaikan dasar khususnya dari aspek keselamatan dan penguatkuasaan dalam menangani isu pelanggaran dan penyalahgunaan data peribadi di Malaysia.