文章分类
印度尼西亚政府于2022年10月17日通过了关于《个人数据保护法》(“PDPA”)的2022年第27号法律。本文旨在概述2022年《印度尼西亚个人数据保护法》(PDPA)。
印尼数据保护法(PDPA)被吹捧为模仿欧盟GDPR;然而,在为印尼居民调整隐私政策时,存在差异,应寻求法律建议。
概述如下:
- 数据处理原则
- 数据处理的法律依据
- 获得数据主体的同意
- 准确性和更新个人数据
- 数据泄露
- 数据处理器
- 在印度尼西亚境外传输数据
- 数据保护影响评估
- 数据保护官员
- 海滩制裁
- 实施宽限期
数据处理原理
与欧盟GDPR类似,PDPA第16条第(2)款规定了以下数据保护原则:
- 合法性原则
- 目的限制
- 数据最小化
- 准确性
- 存储限制
- 完整性和保密性
数据处理的法律依据
第20条PDPA第(2)款反映了《通用数据保护条例》(GDPR)第6条,规定了数据处理的潜在法律基础,即:同意;合同法律义务;切身利益;公共任务;或合法利益。
同意
关键原则是,数据只能根据数据主体同意的目的进行处理。《隐私权法》第22-24条规定了获得同意的要求。
要求数据主体同意的条款在某种程度上与GDPR下的条款类似。
然而,PDPA并没有澄清是否会承认记录同意书的点击包装方式。这可能是一个令人担忧的问题,因为印度尼西亚法官仍然认为有效协议是一份包含协议条款的文件,文件上有湿墨水签名。最近,已经通过了允许用户在当地认证机构注册以认证此类签名的电子签名的法规。该条例还承认未经认证的签名(《2019年第71号政府电子系统和交易管理条例》第60条)。目前,法律框架承认认证电子签名和未认证电子签名(脑海中浮现的是DocuSign)。然而,使用点击包装法表示同意条款和条件的合法性仍然存在不确定性。
目前的制度并不明确支持点击包装同意,因为没有签名记录表明同意或接受某些条款和条件的约束。数据控制者应就如何最好地获取数据主体对隐私政策的同意征求专业意见。拥有印尼用户的网络企业可能希望就如何最好地解决这一问题寻求法律建议。
请参阅本页了解更多讨论:电子合同最佳实践:印度尼西亚
同意披露
PDPA第21条规定了获得同意所需的披露——关键信息包括:
- 个人数据处理的目的
- 包含个人数据的文件的保留期
- 所收集信息的详细信息
- 个人数据处理期
- 个人数据主体的权利
上述内容如有任何变更,需通知数据主体。
准确性和更新
根据上述原则之一,数据控制者有义务“以准确、完整、不误导、最新和负责任的方式”处理数据。PDPA第29条规定数据控制者有义务对数据进行验证。
数据控制者必须在收到更新/更正请求后72小时内更新和更正个人数据中的错误——PDPA第30条。
在这方面,请注意,数据管理员必须在数据主体提出请求后72小时内提供对数据主体的访问权限——《隐私保护法》第32条。
数据泄露
数据主体应在任何数据泄露的72小时内得到通知——PDPA法第46条。
请参阅本页以了解更多讨论:数据泄露事件中的数据控制者责任
数据处理器
尽管PDPA承认数据处理者的作用,但数据控制者仍有责任监督数据处理者(PDPA第37条)。防止未经授权访问的责任仍然是数据控制者的责任(PDPA第39条),即使已经任命了数据处理者,情况似乎也是如此。
在印度尼西亚境外传输数据
在下列情况下,允许将数据转移出印度尼西亚(第56条):
- a) 目的国制定了与印度尼西亚数据保护法同等或“更高”的数据保护法;
- 或b)数据控制者确保“有充分和有约束力的个人数据保护”;
- 或c)获得数据主体的同意。
- d) 据推测,这意味着数据控制者至少需要从接收数据的海外实体那里获得足够的保证。这应该根据具体情况加以考虑。
数据保护影响评估
《数据保护影响评估法》第34条要求对数据保护影响进行评估。尽管这一要求似乎受到GDPR要求的启发,它的涵盖范围似乎更广了——当“大规模处理个人数据”或处理涉及“匹配或组合数据组”时,需要进行影响评估。这些术语的范围似乎可能更广——比欧盟通用数据保护条例设想的范围更广。第34(3)条规定了进一步的实施条例,希望这些条例能够澄清何时需要进行此类评估。
数据保护官员
数据控制者需要任命一名数据保护官员——《数据保护法》第53条。目前,数据官没有注册要求。不过,有关条文规定,在委任数据保护主任方面,须通过进一步的实施规例。
制裁
PDPA规定了以下罪行,可处以罚款和/或监禁:
- 非法获取或收集不属于他们的个人数据,意图为自己或他人谋利(PDPA第67(1)条)
- 故意和非法披露不属于他们的个人数据(PDPA第67(2)条)
- 故意非法使用不属于他们的个人数据的人(PDPA第67(3)条)
- 故意创建虚假个人数据或伪造个人数据,意图为自己或他人谋利(PDPA第68条)
管理层和(或)受益所有人也可能根据这些规定承担责任(PDPA第70条第(1)款)。
刑事制裁的幽灵强调了有必要建立一个框架来证明数据收集的同意已经得到了保障——请参阅上面关于点击包装和同意的讨论。
受害方可向违约数据控制方寻求赔偿——PDPA第12条。
法院还可以对公司实施赔偿、停业、没收利润、部分或全部停业、解散等制裁(第70条第(4)款)。在罚款的情况下,金额最高可达公司营业额的百分之二(2)(PDPA第57条第(3)款)。
监禁制裁是印度尼西亚PDPA偏离欧盟GDPR的一个重要领域,该GDPR规定了行政罚款、纠正令和赔偿,但没有监禁。
宽限期
自该法律通过(2022年10月17日)起,数据控制者有两年的时间遵守PDPA的规定。
企业应该做什么?
企业应立即审查各自的隐私政策,以确保隐私政策不会与PDPA相冲突。
- 登录 发表评论