对于雇主个人数据保护法案的基础知识
对于雇主个人数据保护法案的基础知识

对于雇主个人数据保护法案的基础知识

最近在2017年5月3日报道某雇主的前雇员在根据马来西亚2010年个人数据保护法案(“法案”)起诉其未经证明处理个人数据/信息并没向个人数据保护专员注册。这是该法案实施后首次遭到起诉的雇主,尽管它于2013年11月15日开始实施。如果罪名成立,则根据该法,可处以最高罚款500,000令吉或最高三年监禁或两者兼施。

(阅读更多:

http://www.thestar.com.my/news/nation/2017/05/04/college-operator-first-to-be-hauled-to-court-under-pdp-act/#UmM5brVGW1SryPhh.99; 和

http://www.thesundaily.my/news/2017/05/03/company-charged-processing-personal-data-without-certificate-pdpd

虽然在这种情况下以缺乏认证为由提出刑事指控可能听起来很苛刻,但从雇员的角度来看,没有人会希望他们的个人信息被未经授权的雇主持有,或者最糟糕的是,仍然会以某种方式受到侵犯。

此报导就违反该法案可能对雇主造成严重后果的引述,特别是在当雇员或前雇员提出申诉的时候。

本文的目的是提供雇主在遵守该法案时应采取的“最低限度”合规行动,以便能合法要求或保留其雇员,前雇员,求职者,感化者,顾问,代理工作人员的个人信息,包括实习生和志愿者(统称为“雇员”)。

业中的个人数据

雇主通常不仅在其工作期间持有客户的个人数据/信息,而且还持有每个雇员的个人数据/信息。此类信息的范围可以从基本信息(例如:姓名,地址和身份证号码)到更敏感的信息(例如:工作经历,推荐联系人,银行账户详细信息,医疗和健康记录),等等的参考信息。

然后必须意识到该法案的目的是规范“数据用户”在其业务过程中对个人数据的处理。作为“数据用户”的雇主,在其业务过程中收集,保留和/或使用员工的个人数据,主要是为了管理雇佣关系,但也不能忽视雇员利益。因此,雇主需要采取积极措施,以遵守该法案及其规定以免将来面临起诉的风险。我们建议雇主进行的合规工作如下:-

(A)取得注册证明书;和

(B)通知其员工隐私政策。

A)取得注册证明书

根据2013年个人数据保护(数据用户类别)令(‘2013年令’)和2016年个人数据保护(数据用户类别)(修订)令(‘2016修订令’)中规定的属于数据用户类别的机构,须通过个人数据保护专员取得注册证明书。如果不履行,则可构成犯罪,并可处以不超过500,000令吉的罚款或不超过三(3)年的监禁,或两者兼施。

因此,如果雇主属于2013年令或2016修订令中指定的任何类别的数据用户,则可通过个人数据保护部门在线网站:https://daftar.pdp.gov.my/login.php,注册以获得注册证书。

关于上述新闻,注意到有关雇主是私人教育机构,属于2013年订单中规定的第7类数据用户,因此须根据该法案注册为数据用户,尽管它没有这样做。

B)向其员工通知隐私政

无论雇主是否需根据2013年令和2016年修订令进行注册,这是必须遵守的。一般而言,隐私政策应在某些关键文件中列出如下数据,包括持有的数据及其原因,例如: –

– 雇佣合同
– 员工手册/工作程序 (employees’ handbook)
– 信息和通信技术(ICT)使用政策
– 隐私政策 (privacy policy)

此要求在法案第6-12节(也称为7项数据保护原则)的一般规则中说明,需要所有数据用户遵守。但是,这种一般性申请须遵守以下具体规定:

(B.1)个人数据保护专员发布的2015年个人数据保护标准;和

(B.2)公用事业部门(电力),保险/回教保险业,银行和金融部门以及运输部门(航空)雇主的个人资料保护业务守则(生效日期如下)。

2015年个人数据保护标

虽然我们没有具体的“个人数据保护雇佣行为守则”,详细说明了如何处理员工的数据,但2015年个人数据保护标准由个人数据保护专员发布并于2015年12月23日生效(“标准”)规定了雇主在处理雇员个人数据时的书面政策中要阐明的一些基本的标准;低于标准的,即属犯罪,一经定罪,可处以不超过RM250,000的罚款或不超过两(2)年的监禁,或两者兼施。

个人资料保护守则

必须注意的是,个人数据保护专员最近已注册“公用事业部门的个人数据保护业务守则(电力)”(由2016年6月23日起生效),“保险/回教保险业的个人数据保护业务守则”(自2016年12月23日起生效,“银行及金融业的个人数据保护业务守则”(由2017年1月19日起生效)及“运输业(航空)的个人数据保护业务守则”(由2017年11月21日起生效),其中规定了明确和集体的指导,该指导都是各行业在处理客户和员工个人数据时必须遵守的; 同样地,未遵守者即属犯罪,一经定罪,可处罚款不超过RM 100,000或监禁不超过一(1)年,或两者兼施。

往后

虽然保护个人数据对于客户是至关紧要,但对雇员而言也同样重要。

理想情况下,雇主可以指定一名数据保护官/经理,负责确保业务和就业方面的数据保护得以遵守。

然而,相信一个特定的就业守则仍然是确保在就业数据得到最佳保护的实际措施。

最后,雇主必须要做的就是提供培训,以提高雇员的意识,并加强这一方面的发展。

 
关于作者:

本文是由本律师楼合伙人谢瑞意师撰写,他本人致力于提供有关马来西亚个人数据保护法的意见,其中包括为雇主制定隐私政策和程序以及培训。

如果您有任何疑问,请随时与他联系

Get In Touch
Please do not hesitate to reach us out with the contact information below, or send us a message using the forms below. Our team will respond to you with a quote, if not answer your straightforward question right away. We assure you all information shared with us will be kept private & confidential.