Notifikasi Pelanggaran Data DBN 72 Jam: Panduan Pematuhan PDPA
Pindaan PDPA 2024 memperkenalkan rangka notifikasi pelanggaran data peribadi (DBN) yang menjangkakan pengawal data melaporkan insiden material kepada Pesuruhjaya Perlindungan Data Peribadi dalam jangka masa pantas — lazimnya disebut sebagai 72 jam berdasarkan panduan rasmi DBN. Artikel ini meringkaskan rangka kerja, maklumat yang perlu dimasukkan, peranan pasukan respons insiden (IR/retainer), dan templat komunikasi pelanggan. Rujukan: https://www.pdp.gov.my/ppdpv1/en/akta/personal-data-protection-guidelines-on-data-breach-notification-dbn/
Apa itu DBN dan bila ia dipicu?
Data Breach Notification (DBN) ialah obligasi formal untuk melaporkan pelanggaran data peribadi material kepada Pesuruhjaya PDP. Berdasarkan panduan rasmi yang diterbitkan, pelanggaran material biasanya dikenal pasti melalui kriteria seperti bilangan rekod terjejas, sensitiviti data, kemungkinan kemudaratan, dan sama ada langkah perlindungan teknikal (cth enkripsi) berkesan.
Bukan setiap insiden keselamatan ialah pelanggaran data yang perlu dinotifikasi — namun penilaian perlu dibuat dengan cepat dan didokumentasikan, kerana keputusan untuk tidak melaporkan boleh dicabar.
Jangka masa 72 jam
Banyak panduan DBN menyebut jangka masa 72 jam selepas kesedaran pelanggaran sebagai sasaran notifikasi awal. Walau bagaimanapun, jangka masa rasmi dan kriteria 'kesedaran' perlu disahkan dengan teks panduan terkini di portal PDP.
Jangka 72 jam adalah jangka masa pendek dari sudut operasi. Pasukan respons insiden perlu boleh menggerakkan langkah pengesanan, pengasingan, penilaian skop dan persediaan notifikasi dalam tempoh ini. Tanpa persediaan, jangka ini sukar dicapai.
Maklumat yang perlu dimasukkan dalam notifikasi
Berdasarkan panduan rasmi DBN, notifikasi biasa mengandungi maklumat seperti:
- Sifat pelanggaran (jenis insiden, vektor, masa kejadian)
- Kategori dan anggaran bilangan subjek data terjejas
- Kategori dan anggaran bilangan rekod data peribadi terjejas
- Akibat berkemungkinan kepada subjek data
- Langkah pengurangan yang sedang dan akan dilaksanakan
- Maklumat hubungan DPO atau pegawai bertanggungjawab
Peranan retainer respons insiden
Memenuhi obligasi DBN dalam tekanan masa adalah cabaran besar tanpa persediaan. Retainer respons insiden — kontrak siap-sedia dengan pembekal DFIR — menyediakan akses pantas kepada penyiasat bertauliah, peguam siber dan komunikasi krisis.
Retainer biasa termasuk: jam respons terjamin, runbook bersama, latihan tabletop tahunan, dan akses kepada platform forensik. Bagi organisasi yang mengendalikan data peribadi berskala besar, retainer adalah pelaburan yang munasabah berbanding kos remediasi tanpa persediaan.
Nota penting: Maklumat dalam artikel ini bersifat panduan umum. Organisasi disyorkan untuk merujuk teks rasmi akta, garis panduan terkini regulator (BNM, NACSA, Pesuruhjaya Perlindungan Data Peribadi) dan mendapatkan nasihat peguam atau juruaudit bertauliah sebelum membuat keputusan pematuhan.
Komunikasi kepada subjek data
Dalam keadaan tertentu, komunikasi langsung kepada subjek data yang terjejas mungkin diperlukan — terutama jika risiko kemudaratan tinggi. Template komunikasi perlu disediakan dahulu, dengan input daripada pasukan undang-undang, komunikasi dan pengurusan kanan.
Komunikasi perlu jelas, tidak teknikal melampau, dan menawarkan langkah-langkah praktikal untuk subjek data (cth memantau penyata bank, menukar kata laluan). Komunikasi yang terlewat atau mengelirukan boleh memburukkan reputasi.
- Templat e-mel notifikasi (Bahasa Malaysia + English)
- FAQ untuk pasukan khidmat pelanggan
- Skrip respons telefon
- Pengumuman media (jika perlu)
Latihan tabletop dan persediaan
Latihan tabletop berkala — sekurang-kurangnya tahunan — adalah amalan terbaik. Senario lazim termasuk ransomware dengan eksfiltrasi data, kebocoran S3 bucket awam, kompromi vendor, dan serangan dalaman.
Latihan ini bukan sekadar latihan teknikal — ia melibatkan pengurusan kanan, undang-undang, komunikasi dan operasi. Hasilnya: jangkaan dan keputusan dipraktikkan sebelum tekanan sebenar berlaku.
Bacaan Lanjut & Khidmat nCrypt
Soalan Lazim
Adakah semua pelanggaran data perlu dilaporkan?
Tidak. Hanya pelanggaran material yang berkemungkinan menjejaskan subjek data perlu dilaporkan. Walau bagaimanapun, semua insiden perlu didokumentasikan secara dalaman walaupun tidak dilaporkan.
Bagaimana jika kami belum tahu skop penuh dalam 72 jam?
Panduan rasmi biasanya membenarkan notifikasi awal dengan maklumat yang ada, ditambah dengan kemas kini susulan. Lebih baik melapor awal dengan maklumat tidak lengkap daripada terlewat menunggu butiran penuh.
Adakah enkripsi mengecualikan keperluan DBN?
Tidak secara automatik. Walaupun enkripsi mengurangkan risiko, penilaian masih perlu dibuat — terutama jika kunci enkripsi turut terkompromi atau jika data sensitif lain (seperti metadata) didedahkan.
Bincang dengan Pasukan nCrypt
Pasukan CREST-aligned kami membantu institusi kewangan, agensi kerajaan dan PKS Malaysia merancang ujian penembusan, pematuhan dan respons insiden. Dapatkan sebut harga atau tempah perbincangan percuma hari ini.