马来西亚：就数据泄露通知、数据保护官和数据可移植性进行公开咨询

简要

在 2024 年个人资料保护（修订）法案 （“账单”由马来西亚国会于2024年7月通过，针对即将实施以下新法律义务，已发布了三份公众咨询文件：

• 通知个人数据保护专员（“专员“）以及受影响的数据主体的个人数据泄露。
• 任命数据保护官。
• 影响数据主体的数据可携带权。

提供反馈的截止日期是 2024 年 9 月 6 日（星期五）。

内容

1. 详细信息
   1. 数据泄露通知
   2. 数据保护官
   3. 数据可移植性

我们之前曾强调 客户警报 该法案对《2010 年个人数据保护法》（PDPA）带来的一些关键变化以及正在制定的某些指南来补充这些变化。

最近发布的公众咨询文件阐明了遵守某些新法律要求可能需要做哪些工作，同时也为公众提供了参与并影响《个人数据保护法》下这些附属文书最终草案的机会。

数据泄露通知

总而言之，该法案将要求数据控制者：

• 如果有理由相信发生了个人数据泄露（即任何个人数据泄露、个人数据丢失、个人数据滥用或个人数据未经授权访问），则“尽快”通知专员。
• 此外，如果个人数据泄露造成或可能对数据主体造成重大损害，应“毫不拖延地”通知数据主体。

我们总结了以下《数据泄露通知法》规定的关键建议： 公众咨询文件第 01/2024 号：数据泄露通知的实施：

“重大损害”建议指 以下任何一种：

• 因个人数据泄露而导致的个人数据的访问、披露或丢失可能会导致身体伤害、羞辱、声誉或关系受损、失去工作、商业或专业机会、财务损失、身份盗窃、对数据主体的信用记录产生负面影响、或财产损坏或损失。
• 个人数据的访问、披露或丢失会或可能导致对与该信息相关的受影响数据主体造成严重伤害，或已经、正在或可能被滥用于非法目的。
• 个人数据泄露所泄露的个人数据包括敏感个人数据或任何其他可用于身份欺诈的信息，例如用户名、密码或身份证号码。

本文还提出了一些其他方面，例如，通知受影响的数据主体的某些豁免、要求数据控制者通过合同约束数据处理者通知他们有关个人数据泄露的信息，以及具体的记录保存义务。

可以通过此方式对本文提供反馈 关联。

数据保护官

总而言之，该法案将要求每个数据控制者和数据处理者任命至少一名数据保护官 (DPO)，负责向各自的组织负责遵守 PDPA。

根据 公众咨询文件第 02/2024 号：数据保护官的任命其中部分主要建议如下：

• 谁需要任命 DPO： 只有那些考虑规定因素而开展“大规模”数据处理活动的人（没有提出具体的定量阈值）。
• 可任命 DPO 的人：来自外部供应商或内部员工。
• 如何获得 DPO 资格： 满足规定的最低素质要求并完成/获得专员稍后可能要求的培训/认证。
• DPO 应该在哪里： 通常居住在马来西亚，但单个 DPO 可能为同一公司集团内的多个实体提供服务。
• DPO的具体职责是什么： 执行数据保护影响评估，确保提供内部培训，充当数据主体和专员的联络点等。
• DPO 报告对象： 直接向高级管理团队或同等级别人员汇报。

可以通过此方式对本文提供反馈 关联。

数据可移植性

总而言之，该法案将赋予数据主体一项权利，要求数据控制者将其个人数据传输给其选择的另一个数据控制者，但须遵守技术可行性和数据格式的兼容性。

根据 公众咨询文件第 03/2024 号：数据可携权其中部分主要建议如下：

• 准备就绪： 无需采用新系统/流程来实现数据可移植性的技术可行性，除非专员或相关数据控制者论坛另有规定。
• 范围内的个人数据类型： 满足以下所有要求的个人数据：（a）由数据主体直接提供；（b）根据与数据主体的同意或合同进行处理；（c）通过自动化方式处理；（d）非推断/衍生数据——将发布受数据可移植性约束的个人数据白名单，并且可能因行业/部门而异。
• 合规时间表： 21天，可再延长14天。
• 费用：可能会收取费用以支付相关的合规成本，但须遵守稍后可能引入的费用上限。
• 传输方式： 灵活地确定可用于传输所请求数据的最佳方法，但须遵守以后可能指定的任何通用标准或数据格式。

可以通过此方式对本文提供反馈 关联。

* * * * *

© 2024 Wong & Partners。保留所有权利。Wong & Partners，Baker & McKenzie International 成员。这可能在某些司法管辖区内被视为需要通知的“律师广告”。先前的结果并不保证类似的结果。