SW Indonesia

个人数据保护:受影响的上市公司

2022年,印度尼西亚共和国政府批准了关于个人数据保护的2022年第27号法案(PDP法案)。随着PDP法案的颁布,所有企业经营者,尤其是在印度尼西亚开展个人数据处理活动的所有企业经营者,都必须为履行因PDP法案颁布产生的义务投入研究并做好准备。 PDP法案的影响催生了一个新的职业,即数据保护员(DPO)。DPO是履行个人数据保护职能的官员或干事。在组织架构中,DPO必须独立工作,以确保全面履行职责。DPO通常直接隶属于最高领导层或直接隶属于公司首席执行官。 在公司内部,DPO的主要任务是确保客户、员工、第三方以及其他实体的数据处理符合数据保护规定。此外,DPO还承担其他职责,例如:向个人数据控制者或个人数据处理者做出遵守PDP法案相关规定的通知和建议;就PDP的影响评估提供建议并监督个人数据控制者和个人数据处理者的表现;以及就个人数据处理相关问题提供协助并充当联络人。DPO还必须确保公司规避PDP法案规定的违规风险和严厉制裁。 PDP法案允许公司从内部和/或外部聘任一名DPO,只要聘任是基于专业素质、法律知识、个人数据保护实践以及履行DPO职责的能力。DPO未必持有法律学位,最重要的是了解法律,尤其是与个人数据保护相关的法律。印度尼西亚数据隐私专业协会(APPDI)为有意获得数据保护员认证的个人提供培训。 PDP法案规定,在以下情形下,每家公司或政府机构都必须任命一名DPO: 例如,在印度尼西亚,符合这些条件的公司都在金融行业运营,包括银行和非银行金融服务机构。银行和非银行机构在提供金融服务时,均需要求客户或潜在客户提供个人数据,以便按照各自行业的法规要求开展客户尽职调查。 金融行业作为非常重要的行业,容易发生包含重要客户信息在内的数据泄漏,因此DPO的存在非常重要,有望为客户的个人数据提供保护。除了个人信息,金融行业的数据还包括账户余额等客户财务数据,这类数据必须得到良好保护和保障。 除金融行业外,医疗、电商和数字行业的公司也需要DPO。Tokopedia(印度尼西亚证券交易所:GOTO)是印度尼西亚的电商公司之一,该公司设有专门的数据保护部门,是众多印度尼西亚人使用的市场平台。通过Tokopedia促进的交易规模及其拥有的注册商家和用户数量,可以得出结论,个人数据保护是优先考虑要素之一,这一点从该公司设有DPO即可得到证实。 WIR集团(印度尼西亚证券交易所:WIRG)是一家从事元宇宙开发的数字公司,与PT DCI Indonesia Tbk.公司(印度尼西亚证券交易所:DCII)展开合作,确保进入元宇宙世界的用户实现隐私和数据安全。该合作对于实施元宇宙技术具有战略意义,因为元宇宙技术的实施需要安全、可靠、稳定和零停机时间的数据中心基础设施。

PERLINDUNGAN DATA PRIBADI: PERUSAHAAN TERDAFTAR YANG TERDAMPAK

Pada tahun 2022, Pemerintah Republik Indonesia telah mengesahkan Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP). Dengan pemberlakuan UU PDP,  penting bagi seluruh pelaku usaha untuk mempelajari dan mempersiapkan pelaksanaan kewajiban-kewajiban yang timbul dengan berlakunya UU PDP, terutama untuk seluruh pelaku usaha yang melakukan aktivitas pengolahan data pribadi di Indonesia. Implikasi dari … Read more

Personal Data Protection: Listed Companies Impacted

In 2022, the Government of the Republic of Indonesia ratified Law No. 27 of 2022 on Personal Data Protection (PDP Law). With the enactment of the PDP Law, it is crucial for all business operators to study and prepare for the implementation of obligations arising from the enactment of the PDP Law, especially for all … Read more

数据保护:审计工作中的保密问题

审计是一个备受尊重、回报丰厚的职业。同时,审计也是一个充满挑战的职业,需要较高的道德标准、一丝不苟和专业素养。虽然所有专业人员都必须具备专业素养,但有些职业比其他职业有更严格的要求,审计就是其中之一。审计师在开展审计活动时应表现出专业操守。 审计师是一个光荣而有意义的职业,是经济和商业的守卫者。这个充满挑战的职业需要较高的道德标准、一丝不苟和专业素养。尽管所有专业人员都必须表现出专业态度,但与其他职业相比,某些职业的要求更为严格,例如独立审计师。 国际会计师职业道德准则理事会(IESBA)制定并推广了《国际职业会计师道德守则》(包括国际独立性准则,以下简称《守则》)。印度尼西亚会计师协会(IAI),印度尼西亚注册会计师协会(IAPI)和印度尼西亚管理会计师协会(IAMI)已合作发布了符合IESBA《守则》的《注册会计师职业道德准则(2021)》。 《守则》规定了职业会计师职业道德的基本原则,即诚信、客观公正、专业胜任能力和勤勉尽责、保密和职业行为。这些道德原则确立了审计师应遵守的行为准则,反映了该行业对公众利益所负责任的认识。 为了成功完成审计工作,确保财务报告对利益相关者切实可用,审计师必须有权查阅客户的所有财务记录、文件和其他相关信息。在管理层看来,审计师应确保对客户的信息和记录高度保密,因为任何公开披露都可能对客户的业务运营造成重大影响。《守则》第114小节讨论了保密问题,以解决客户的这一特别关切。 《守则》第114小节规定,职业会计师应当遵守保密原则,对因职业和业务关系而获知的涉密信息保密。会计师应当遵守下列要求: 《守则》第114小节就未违反保密原则的情况提供了指导。在下列情况下,职业会计师需要或可能被要求披露涉密信息,或披露涉密信息是适当的,不被视为违反保密原则: 《守则》第114小节提醒审计师,对因职业和业务关系而获知的信息进行保密,包括在此类信息收集、使用、转移、存储或保留、传播和合法销毁过程中采取适当行动保护其机密性。 如果在审计团队不知情的情况下修改和删除文件,业务数据可能会受到损害。因此,审计师事务所必须设计并实施控制措施,以防止未经授权的修改或业务文件的丢失。这些措施可包括: 个人得失不得凌驾于公众的信任和公共利益之上。为了增强公众的信任,审计师必须遵守职业道德原则,向客户证明业务记录和信息是安全可靠和受保护的。

Data Protection: Confidentiality in Auditing

Auditing is a well-respected and rewarding career.  It is a challenging profession that requires high standard of ethics, meticulousness, and professionalism.  While all professionals must exhibit professionalism, some professions have more rigorous expectations than others.  Auditing is one of those professions.  Auditors are expected to demonstrate professional conduct during the performance of audit activities. The … Read more

个人数据保护:信息系统方法

印度尼西亚《个人数据保护法》中制定了严格的法规来保护个人数据的隐私和安全。实施这些法规需要系统化方法,特别是在系统实施方面。本文探讨《个人数据保护法》的主要方面,并就组织如何有效实施数据保护系统以确保合规性提供了见解。 随着印度尼西亚各行各业的快速数字化,个人数据的处理变得越来越普遍。为了回应人们对数据隐私和安全日益增长的关切,印度尼西亚政府于2022年10月17日颁布了《个人数据保护法》。任何相关方均必须在本法颁布后最迟不超过两年开始遵守基于本法的个人数据处理规定。 该法规旨在保护个人权利,规范组织对个人数据的处理。实施《个人数据保护法》要求各组织采取系统化方法,特别是在实施数据保护系统方面。 了解印度尼西亚《个人数据保护法》 《个人数据保护法》对个人数据的收集、处理、存储和传输做出了全面的规定。该法的主要条款包括以下方面的要求:征得同意、实施数据安全措施以及赋予个人对其个人数据的权利。组织必须任命一名数据保护员,并建立数据泄露通知和响应机制。 图 1.典型的个人数据保护生命周期 系统实施方法 根据《个人数据保护法》实施数据保护系统需要有一套结构化的方法。以下步骤概述了系统实施的系统化方法: 第1步:评估和差距分析 对与个人数据处理有关的现有系统、流程和做法进行全面评估。找出在遵守《个人数据保护法》要求方面的差距和不足,如安全措施不足或缺乏同意机制。 评估组织实施数据保护系统的准备情况,确定潜在的挑战或制约因素。 第2步:系统设计和开发 根据评估结果,设计符合《个人数据保护法》要求的数据保护系统。实施技术和组织措施,确保个人数据的安全和隐私,如加密、访问控制及数据最小化技术。制定数据处理工作流程和程序,在设计中纳入隐私原则,默认纳入数据保护原则。 第3步:培训和意识 为员工提供有关数据保护政策、程序和最佳实践的培训。 提高职员对遵守《个人数据保护法》和保护个人数据的重要性的认识。通过定期沟通和教育活动,在组织内培养数据保护文化。 第4步:监控和审计 建立监控和审计数据保护系统的机制,确保《个人数据保护法》得到持续遵守。定期进行审计,找出系统中的薄弱环节或漏洞,并在必要时采取纠正措施。实施事件响应程序,及时有效地处理数据泄露或安全事件。 挑战和考虑因素 按照《个人数据保护法》实施数据保护系统可能会给组织带来一些挑战。这包括资源限制、技术复杂性和文化变革的需要。组织还必须驾驭错综复杂的跨境数据传输,同时确保符合国际数据保护标准。 即使实施了强有力的数据保护措施,组织仍可能面临各种风险和威胁,包括: 网络攻击:通过实施强大的加密、访问控制及入侵检测系统来检测和防止未经授权访问个人数据,从而降低网络攻击的风险。 内部威胁:通过实施严格的访问控制、对员工进行背景调查以及定期提供有关数据安全意识的培训,将内部威胁的风险降至最低。 不合规:通过定期监控和审计数据保护系统,确保其符合法规和行业标准,从而降低不合规风险。 数据泄露:制定全面的数据泄露应对计划,将数据泄露对受影响个人和组织的影响降至最低。建立明确的沟通渠道和通知程序,及时通知受影响各方。 此外,组织应采取额外措施,对现有数据进行适当管理: 数据清单:全面清点组织持有的所有现有个人数据。这包括确定数据类型、存储位置、处理方式和访问权限。 数据分类:根据数据的敏感性和对组织的重要性对数据进行分类。这有助于确定安全措施的优先次序,及确定适当的访问控制。 数据映射:绘制整个组织内的个人数据流图,包括数据的收集、处理、存储和共享。这有助于识别数据处理过程中的潜在风险和漏洞。 数据最小化:审查所收集的数据,并评估这些数据对组织的运作是否必要。实施数据最小化策略,将存储的个人数据量减少到能满足预期目的即可的水平。 数据保留政策:制定并实施数据保留政策,政策要阐明个人数据的保留期限以及不再需要时的删除或匿名化标准。 数据访问控制:实施严格的访问控制,确保只有获得授权的人员才能访问个人数据。这包括基于角色的访问控制、加密及多因素身份验证,以防止未经授权的访问。 数据安全措施:加强数据安全措施,保护个人数据免遭未经授权的访问、滥用或泄露。这可能包括实施加密、监控系统、入侵检测系统及定期安全审计。 数据治理:制定明确的数据治理政策和程序,包括数据处理、加工、共享和处置。确保所有员工都了解自己在个人数据保护方面的责任。 数据泄露应对计划:制定并实施全面的数据泄露应对计划,以处理任何涉及个人数据安全的突发事件。其中包括检测、控制和减轻数据泄露影响的程序,以及依法通知受影响个人和监管机构的程序。 图 2. 数据泄露应对计划示例 结论 总之,印度尼西亚《个人数据保护法》(UU PDP)的实施需要系统化的方法,尤其是在系统执行领域。通过在系统设计和开发中遵循结构化方法并采用最佳实践,企业可以确保遵守数据保护法规,同时保护个人数据的隐私和安全。随着印度尼西亚继续进行数字化转型,遵守《个人数据保护法》对与个人建立信任和提高数据处理实践责任至关重要。 信永中和印度尼西亚所致力于根据您的具体需求提供全面的数据保护服务。现在就联系我们吧,了解我们如何协助您保护个人数据并降低数据泄露的相关风险。

Personal Data Protection: Information System Approach

The Indonesian Personal Data Protection Act (UU PDP) establishes stringent regulations to safeguard the privacy and security of personal data. Implementing these regulations requires a systematic approach, particularly in the realm of system implementation. This article explores the key aspects of the UU PDP and provides insights into how organizations can effectively implement data protection … Read more

PERLINDUNGAN DATA PRIBADI: PENDEKATAN SISTEM INFORMASI

Undang-Undang Perlindungan Data Pribadi Indonesia (UU PDP) menetapkan regulasi ketat untuk melindungi privasi dan keamanan data pribadi. Implementasi regulasi ini memerlukan pendekatan sistematis, terutama dalam hal implementasi sistem. Artikel ini mengeksplorasi aspek kunci dari UU PDP dan memberikan wawasan tentang bagaimana organisasi dapat efektif mengimplementasikan sistem perlindungan data untuk memastikan kepatuhan. Dengan cepatnya digitalisasi berbagai … Read more

个人数据保护: 法律层面

在快速发展的数字时代,个人数据保护(PDP)变得至关重要。数据泄露和窃取个人数据的案件影响着印度尼西亚各行各业,这种普遍存在的现象表明,各行各业都需要加强个人数据保护。不尽如人意的PDP治理和管理促使政府颁布了《个人数据保护》(PDP法案)2022年第27号法。 PDP的主要目的一般是为个人提供充分保护,防止未经授权使用、意外披露或滥用个人数据。2022年10月17日颁布的PDP法案规定,个人数据是指通过电子或非电子系统、直接或间接地、单独或与其他信息相结合、被识别或可识别的个人的数据。 根据PDP法案第1条第2款的规定,个人数据保护是指在处理或管理个人数据时,为保护个人数据,从而保障个人数据主体的宪法权利而做出的一切努力。 个人有必要了解,个人资料不仅仅是全名、出生日期或电话号码。PDP法案第4条和第5条提到,个人数据分为两类,即特定个人数据和一般个人数据。 特定个人数据包括:1)健康数据和信息;2)生物特征数据;3)基因数据;4)犯罪记录;5)子女数据;6)个人残疾数据;和/或7)监管规定的其他数据。同时,一般个人数据包括1)全名;2)性别;3)国籍;4)宗教信仰;5)婚姻状况;和/或6)用于识别个人身份的综合个人数据。 PDP法案没有给出“数据保护员”(DPO)的定义,但一般而言,该术语是指组织内负责管理个人数据保护政策、确保遵守隐私法和解决隐私数据问题的个人或职位。这一角色可在第4部分中找到,其中提到DPO是履行个人数据保护职能的官员或职员。 DPO在数字界是一个相对较新的职业,在快速发展的数字经济中,于个人数据保护方面发挥着非常重要的作用。随着PDP法案的颁布,作为个人数据保护职能本身的执行者,数据保护员这一职业成为强制性职业。根据PDP法案第54条,DPO的职能至少包括: 在履行这些职责时,执行个人数据保护职能的官员或职员通过考虑到有关处理的性质、范围、背景和目的,来考虑到与个人数据处理有关的风险。作为PDP法案的衍生法规,政府条例将进一步规范DPO的职责。信息应用总署通信部正在加快建立个人数据保护员(PPDP)或数据保护员(DPO)认证。

PERLINDUNGAN DATA PRIBADI: ASPEK LEGAL

Dalam era digital yang semakin melaju dengan pesat, Perlindungan Data Pribadi (PDP) menjadi krusial. Maraknya kasus data bocor maupun pencurian data pribadi yang melanda sejumlah industri di Indonesia, memperlihatkan bahwa perlu ditingkatkannya pelindungan data pribadi di berbagai sektor. Belum optimalnya tata kelola dan manajemen PDP mendorong pemerintah memberlakukan Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi … Read more