Pindaan PDPA 2024: Perubahan Kritikal untuk Organisasi Malaysia
Pindaan kepada Akta Perlindungan Data Peribadi 2010 yang dibawa pada 2024 memperkenalkan perubahan penting kepada landskap perlindungan data Malaysia. Antara pindaan utama dari segi prinsip ialah keperluan melantik Pegawai Perlindungan Data (DPO) bagi kelas pengawal tertentu, notifikasi pelanggaran data peribadi (DBN), peruntukan portabiliti data dan pengukuhan hak subjek data. Rujukan rasmi: https://www.pdp.gov.my/ppdpv1/en/amendment-of-personal-data-protection-act-2024/
Latar belakang pindaan PDPA 2024
Akta Perlindungan Data Peribadi 2010 (PDPA) telah lama menjadi rangka utama perlindungan data peribadi Malaysia, tetapi telah ketinggalan berbanding piawaian antarabangsa seperti GDPR Eropah. Pindaan 2024 menutup beberapa jurang ini dan menyelaraskan PDPA dengan amalan global.
Berdasarkan panduan rasmi yang diterbitkan oleh Pesuruhjaya Perlindungan Data Peribadi, pindaan ini memperkenalkan beberapa konsep baharu sambil mengukuhkan kawalan sedia ada. Tarikh kuat kuasa peruntukan tertentu mungkin berperingkat — organisasi disyorkan untuk memantau kemas kini di portal PDP.
Pelantikan DPO (Data Protection Officer)
Salah satu pindaan paling ketara ialah keperluan melantik Pegawai Perlindungan Data (DPO) bagi kelas pengawal data tertentu. Walaupun kelas spesifik dan kelayakan DPO ditetapkan dalam peraturan/garis panduan, prinsip umum ialah organisasi yang memproses data peribadi secara berskala besar atau sensitif perlu mempunyai peranan DPO yang formal.
DPO menjadi titik perhubungan dengan Pesuruhjaya PDP dan subjek data. Mereka membantu memastikan polisi privasi, prosedur dan latihan kakitangan sentiasa selari dengan keperluan undang-undang. Bagi organisasi yang kekurangan kakitangan dalaman, model outsourced DPO atau virtual DPO (vDPO) boleh dipertimbangkan.
Notifikasi pelanggaran data (Data Breach Notification)
Pindaan 2024 memperkenalkan keperluan formal untuk notifikasi pelanggaran data peribadi (DBN). Berdasarkan panduan rasmi DBN yang diterbitkan oleh Pesuruhjaya PDP, pengawal data dijangka melaporkan pelanggaran material kepada Pesuruhjaya dalam jangka masa yang ditetapkan, dan dalam keadaan tertentu, kepada subjek data yang terjejas.
Implikasi operasi: organisasi perlu mempunyai keupayaan mengesan pelanggaran, menilai material dengan cepat, dan menyediakan notifikasi yang lengkap. Ini memerlukan penyelarasan antara IT, keselamatan, undang-undang dan komunikasi.
Hak subjek data yang diperluaskan
PDPA versi pindaan memperluaskan hak subjek data, termasuk:
- Hak portabiliti data — memindahkan data dalam format mesin-boleh-baca
- Hak pembetulan dan pemadaman yang diperkukuh
- Hak akses yang lebih jelas
- Hak untuk mengetahui pemproses data pihak ketiga
- Mekanisme aduan kepada Pesuruhjaya yang diperkemas
Perbandingan dengan GDPR
Pindaan PDPA 2024 membawa beberapa elemen yang dikenali daripada GDPR (Regulasi Perlindungan Data Umum Eropah), termasuk DPO, DBN dan portabiliti data. Walau bagaimanapun, PDPA versi pindaan masih mengekalkan beberapa perbezaan utama: skop terhad kepada transaksi komersial, definisi data peribadi yang sedikit berbeza, dan rejim penalti yang khusus.
Organisasi yang sudah mematuhi GDPR akan mendapati kebanyakan keperluan PDPA pindaan mudah dipenuhi, tetapi mereka tetap perlu menyesuaikan diri dengan keperluan tempatan tertentu.
Implikasi operasi praktikal
Untuk mematuhi pindaan, organisasi disyorkan menjalankan langkah-langkah berikut:
Nota penting: Maklumat dalam artikel ini bersifat panduan umum. Organisasi disyorkan untuk merujuk teks rasmi akta, garis panduan terkini regulator (BNM, NACSA, Pesuruhjaya Perlindungan Data Peribadi) dan mendapatkan nasihat peguam atau juruaudit bertauliah sebelum membuat keputusan pematuhan.
- Kaji semula notis privasi dan dapatkan kebenaran semula jika perlu
- Lantik DPO atau penggantinya yang setara
- Kemas kini Data Processing Agreement (DPA) dengan vendor
- Bina prosedur DBN dengan templat notifikasi
- Latih kakitangan tentang hak subjek data baharu
- Audit inventori data peribadi (data mapping)
Bacaan Lanjut & Khidmat nCrypt
Soalan Lazim
Adakah PDPA versi pindaan terpakai retroaktif?
Secara amnya, undang-undang tidak terpakai retroaktif. Namun, organisasi perlu memastikan data peribadi yang sedia ada dikendalikan mengikut keperluan baharu mulai tarikh kuat kuasa.
Adakah syarikat kecil dikecualikan?
PDPA terpakai kepada pengawal data dalam transaksi komersial tanpa mengira saiz. Walau bagaimanapun, beberapa keperluan (seperti DPO wajib) mungkin terhad kepada kelas pengawal tertentu.
Bolehkah DPO juga menjadi CISO?
Boleh, tetapi peranan perlu dipisahkan jelas dari segi konflik kepentingan. DPO perlu dapat bertindak secara bebas dalam hal perlindungan data, dan mempunyai akses kepada pengurusan tertinggi.
Apa berlaku jika kami gagal mematuhi?
Penalti boleh dikenakan mengikut peruntukan PDPA, dan dalam beberapa kes pindaan baharu mungkin meningkatkan tahap penalti. Risiko reputasi dan tindakan sivil oleh subjek data juga relevan.
Bincang dengan Pasukan nCrypt
Pasukan CREST-aligned kami membantu institusi kewangan, agensi kerajaan dan PKS Malaysia merancang ujian penembusan, pematuhan dan respons insiden. Dapatkan sebut harga atau tempah perbincangan percuma hari ini.