在快速发展的数字时代,个人数据保护(PDP)变得至关重要。数据泄露和窃取个人数据的案件影响着印度尼西亚各行各业,这种普遍存在的现象表明,各行各业都需要加强个人数据保护。不尽如人意的PDP治理和管理促使政府颁布了《个人数据保护》(PDP法案)2022年第27号法。
PDP的主要目的一般是为个人提供充分保护,防止未经授权使用、意外披露或滥用个人数据。2022年10月17日颁布的PDP法案规定,个人数据是指通过电子或非电子系统、直接或间接地、单独或与其他信息相结合、被识别或可识别的个人的数据。
根据PDP法案第1条第2款的规定,个人数据保护是指在处理或管理个人数据时,为保护个人数据,从而保障个人数据主体的宪法权利而做出的一切努力。
个人有必要了解,个人资料不仅仅是全名、出生日期或电话号码。PDP法案第4条和第5条提到,个人数据分为两类,即特定个人数据和一般个人数据。
特定个人数据包括:1)健康数据和信息;2)生物特征数据;3)基因数据;4)犯罪记录;5)子女数据;6)个人残疾数据;和/或7)监管规定的其他数据。同时,一般个人数据包括1)全名;2)性别;3)国籍;4)宗教信仰;5)婚姻状况;和/或6)用于识别个人身份的综合个人数据。
PDP法案没有给出“数据保护员”(DPO)的定义,但一般而言,该术语是指组织内负责管理个人数据保护政策、确保遵守隐私法和解决隐私数据问题的个人或职位。这一角色可在第4部分中找到,其中提到DPO是履行个人数据保护职能的官员或职员。
DPO在数字界是一个相对较新的职业,在快速发展的数字经济中,于个人数据保护方面发挥着非常重要的作用。随着PDP法案的颁布,作为个人数据保护职能本身的执行者,数据保护员这一职业成为强制性职业。根据PDP法案第54条,DPO的职能至少包括:
- 通知并建议个人数据控制者或个人数据处理者遵守本法案规定。
- 监督并确保遵守本法案以及个人数据控制者或个人数据处理者的政策。
- 就个人数据保护的影响评估提供建议,监督个人数据控制者和个人数据处理者的表现;协调与个人数据处理相关的问题并充当联络人。
在履行这些职责时,执行个人数据保护职能的官员或职员通过考虑到有关处理的性质、范围、背景和目的,来考虑到与个人数据处理有关的风险。作为PDP法案的衍生法规,政府条例将进一步规范DPO的职责。信息应用总署通信部正在加快建立个人数据保护员(PPDP)或数据保护员(DPO)认证。
