data protection

最近在2017年5月3日报道某雇主的前雇员在根据马来西亚2010年个人数据保护法案（“法案”）起诉其未经证明处理个人数据/信息并没向个人数据保护专员注册。这是该法案实施后首次遭到起诉的雇主，尽管它于2013年11月15日开始实施。如果罪名成立，则根据该法，可处以最高罚款500,000令吉或最高三年监禁或两者兼施。 （阅读更多： http://www.thestar.com.my/news/nation/2017/05/04/college-operator-first-to-be-hauled-to-court-under-pdp-act/#UmM5brVGW1SryPhh.99; 和 http://www.thesundaily.my/news/2017/05/03/company-charged-processing-personal-data-without-certificate-pdpd） 虽然在这种情况下以缺乏认证为由提出刑事指控可能听起来很苛刻，但从雇员的角度来看，没有人会希望他们的个人信息被未经授权的雇主持有，或者最糟糕的是，仍然会以某种方式受到侵犯。 此报导就违反该法案可能对雇主造成严重后果的引述，特别是在当雇员或前雇员提出申诉的时候。 本文的目的是提供雇主在遵守该法案时应采取的“最低限度”合规行动，以便能合法要求或保留其雇员，前雇员，求职者，感化者，顾问，代理工作人员的个人信息，包括实习生和志愿者（统称为“雇员”）。 就业中的“个人数据” 雇主通常不仅在其工作期间持有客户的个人数据/信息，而且还持有每个雇员的个人数据/信息。此类信息的范围可以从基本信息（例如：姓名，地址和身份证号码）到更敏感的信息（例如：工作经历，推荐联系人，银行账户详细信息，医疗和健康记录），等等的参考信息。 然后必须意识到该法案的目的是规范“数据用户”在其业务过程中对个人数据的处理。作为“数据用户”的雇主，在其业务过程中收集，保留和/或使用员工的个人数据，主要是为了管理雇佣关系，但也不能忽视雇员利益。因此，雇主需要采取积极措施，以遵守该法案及其规定以免将来面临起诉的风险。我们建议雇主进行的合规工作如下：- （A）取得注册证明书;和 （B）通知其员工隐私政策。 （A）取得注册证明书 根据2013年个人数据保护（数据用户类别）令（‘2013年令’）和2016年个人数据保护（数据用户类别）（修订）令（‘2016修订令’）中规定的属于数据用户类别的机构，须通过个人数据保护专员取得注册证明书。如果不履行，则可构成犯罪，并可处以不超过500,000令吉的罚款或不超过三（3）年的监禁，或两者兼施。 因此，如果雇主属于2013年令或2016修订令中指定的任何类别的数据用户，则可通过个人数据保护部门在线网站：https://daftar.pdp.gov.my/login.php，注册以获得注册证书。 关于上述新闻，注意到有关雇主是私人教育机构，属于2013年订单中规定的第7类数据用户，因此须根据该法案注册为数据用户，尽管它没有这样做。 （B）向其员工通知隐私政策 无论雇主是否需根据2013年令和2016年修订令进行注册，这是必须遵守的。一般而言，隐私政策应在某些关键文件中列出如下数据，包括持有的数据及其原因，例如： – …