2022年,印度尼西亚共和国政府批准了关于个人数据保护的2022年第27号法案(PDP法案)。随着PDP法案的颁布,所有企业经营者,尤其是在印度尼西亚开展个人数据处理活动的所有企业经营者,都必须为履行因PDP法案颁布产生的义务投入研究并做好准备。
PDP法案的影响催生了一个新的职业,即数据保护员(DPO)。DPO是履行个人数据保护职能的官员或干事。在组织架构中,DPO必须独立工作,以确保全面履行职责。DPO通常直接隶属于最高领导层或直接隶属于公司首席执行官。
在公司内部,DPO的主要任务是确保客户、员工、第三方以及其他实体的数据处理符合数据保护规定。此外,DPO还承担其他职责,例如:向个人数据控制者或个人数据处理者做出遵守PDP法案相关规定的通知和建议;就PDP的影响评估提供建议并监督个人数据控制者和个人数据处理者的表现;以及就个人数据处理相关问题提供协助并充当联络人。DPO还必须确保公司规避PDP法案规定的违规风险和严厉制裁。
PDP法案允许公司从内部和/或外部聘任一名DPO,只要聘任是基于专业素质、法律知识、个人数据保护实践以及履行DPO职责的能力。DPO未必持有法律学位,最重要的是了解法律,尤其是与个人数据保护相关的法律。印度尼西亚数据隐私专业协会(APPDI)为有意获得数据保护员认证的个人提供培训。
PDP法案规定,在以下情形下,每家公司或政府机构都必须任命一名DPO:
- 该实体处理个人数据的目的是公共服务;
- 该实体的核心活动在性质、范围和/或目的上要求对个人数据进行经常性且系统性的大规模监控;以及
- 该公司的核心活动包括针对特定个人数据和/或与犯罪行为有关的个人数据进行大规模个人数据处理。
例如,在印度尼西亚,符合这些条件的公司都在金融行业运营,包括银行和非银行金融服务机构。银行和非银行机构在提供金融服务时,均需要求客户或潜在客户提供个人数据,以便按照各自行业的法规要求开展客户尽职调查。
金融行业作为非常重要的行业,容易发生包含重要客户信息在内的数据泄漏,因此DPO的存在非常重要,有望为客户的个人数据提供保护。除了个人信息,金融行业的数据还包括账户余额等客户财务数据,这类数据必须得到良好保护和保障。
除金融行业外,医疗、电商和数字行业的公司也需要DPO。Tokopedia(印度尼西亚证券交易所:GOTO)是印度尼西亚的电商公司之一,该公司设有专门的数据保护部门,是众多印度尼西亚人使用的市场平台。通过Tokopedia促进的交易规模及其拥有的注册商家和用户数量,可以得出结论,个人数据保护是优先考虑要素之一,这一点从该公司设有DPO即可得到证实。
WIR集团(印度尼西亚证券交易所:WIRG)是一家从事元宇宙开发的数字公司,与PT DCI Indonesia Tbk.公司(印度尼西亚证券交易所:DCII)展开合作,确保进入元宇宙世界的用户实现隐私和数据安全。该合作对于实施元宇宙技术具有战略意义,因为元宇宙技术的实施需要安全、可靠、稳定和零停机时间的数据中心基础设施。
