アジアでは、データプライバシーの枠組みを十分に理解することが重要です。しかし、この地域の法律は同様の要素を共有していますが、プライバシーコンプライアンスの文化は比較的新しく、管轄区域によって取り組みが異なるため、隔たりが残っています。ここでは、専門家が、フィリピン、タイ、インドネシアで個人データを管理する法的枠組みをどのように構築したかを詳しく説明しています。
情報技術の発展とデジタルメディアへのユーザーの関わりの増加により、基本的人権である個人のプライバシーの権利に対する人々の意識が高まりました。個人データの広大な使用と活用を考えると、個人データの保護が急務になり、プライバシーがますます重要視されています。
ジャカルタのABNRのパートナー
Email: aderadjat@abnrlaw.com
インドネシアでは、個人データ保護規制が散在しており、電子情報取引法(EIT法)、健康および医療記録規制、人口行政法に記載されています。現在、EIT法とその施行規則は、さまざまな分野に適用される電子システムの個人データ保護の主要な基準となっています。しかし、現在、この問題に対処するための一貫した規制および法的傘が緊急に必要とされています。
インドネシア政府は、現在最終決定中の法案(PDP法案)を起草することにより、デジタル時代における個人データ保護の重要性の高まりに取り組んでいます。PDP法案は、インドネシアの包括的なプライバシー法になるように設計されています。EUの一般データ保護規則(GDPR)に基づいて、PDP法案は、データプライバシー保護にいくつかの重要で切望されている変更を加え、これにより、他の国で現在適用されている基準、特にGDPRとの整合性が高まります。 PDP法案に加えられた重要な調整の概要を以下に示します。
個人データの分類
IT法、電子システムおよび取引の提供に関する2019年の政府規則第71号(GR 71)、および電子システムにおける個人データ保護に関する2016年の通信情報技術大臣(MCIT)規則第20号(MR 20/2016)は個人データーを明確に説明していません。これは、「電子システムおよび/または非電子的手段の使用を通じて、そのデータを使用して、または直接的または間接的に他の情報と組み合わせて識別されるか、識別できるかどうかにかかわらず、個人に関連するすべてのデータ」として広く定義されます。
今後のPDP法案では、個人データは一般的な個人データに分類されます。これには、名前、性別、国籍、宗教、および個人を識別するために組み合わされたその他のデータが含まれます。 および特定の個人データ。これには、健康、生物測定、遺伝的、政治的見解、前科、個人の財務データ、性的指向、子供のデータ、および法律および規制に従ったその他のデータが含まれます。
ただし、分類に関係なく、PDP法案は一般的な個人データと特定の個人データを処理するための要件を区別していません。したがって、PDP法案の施行規則およびそれに続く部門規則は、この問題に関する詳細な規定を定める必要があるかもしれません。
データ管理者 対 データ処理者
現在、インドネシアの法律および規制は、データ管理者と処理者を区別していません。その結果、個人データを取り扱う当事者は、データ処理における実際の役割に関係なく、同じ責任と義務にさらされます。
この問題は、GDPRと同様に、データ管理者と処理者の役割を分離するPDP法案で対処されます。PDP法案は、データ管理者を個人データ処理の目的と管理を決定する当事者として定義し、データ処理者はデータ管理者に代わって個人データを処理する者として定義されています。
PDP法案は、個人データ処理の責任は処理者ではなくデータ管理者が負担するため、責任をさらに区別しています。ただし、データ処理者は、データ管理者によって事前に決定された命令、順序、または目的から逸脱した処理に対して責任を負います。つまり、前者の役割はデータ管理者の役割と同等です。
ジャカルタのABNRのパートナー
Email: ksidarta@abnrlaw.com
合法的な根拠
GR71に従い、個人データを処理する人からの明示的な同意が義務付けられます。現在、インドネシアの法律および規制は、法執行の問題を除いて、これに基づいて機能していません。この要件は、データ主体から明示的な同意を得る必要があるため、企業にとって負担と見なされます。これは、すでに暗示されている、または取得することが不可能であると合理的に見なされる場合があります。
PDP法案は、GDPRの原則に類似した原則を採用しており、同意は個人データの合法的な処理に関するいくつかの要件の1つにすぎません。PDP法案は、GDPRの規定と同様に、同意なしの個人データ処理の例外を導入しています。
(1)データ主体が当事者である契約の履行のため、または契約を締結する前にデータ主体の要求を満たすため。
(2)法律によりデータ管理者に課せられる義務を遵守すること。
(3)データ主体の重大な利益を満たすため。
(4)法律によりデータ管理者に付与された権限の行使。
(5)データ管理者が公益の対象となる公共サービス義務の履行のため。 および/または
(6)データ管理者またはデータ主体の正当な利益を追求するため。
PDP法案に基づく強制的な同意要件の例外は、GR71の規定と矛盾します。ただし、PDP法はGR71よりも規制階層において優れた位置を占めるため、その規定は、個人データ処理の合法的な規定を含め、GR71の規定に取って代わるでしょう。
国境を越えたデータ転送
MR 20/2016に従い、個人データの国境を越えた転送は、転送がデータ主体によって同意されている限り制限されず、MCITまたは他の関連当局との調整の対象です。MCITの現在の方針に基づいて、年次報告書の提出を通じて強制的な調整が実施されます。
PDP法案では、コントローラー間の、国境を越えた個人データ転送に関する新しい要件が導入されています。これには、次の条件が適用されます。
(1)相手国の個人情報保護レベルが、PDP法案の規定と同等か、それ以上である。
(2)両国間に国際協定が存在する。
(3)個人データ保護の問題を取り扱うデータ管理者間の契約。および/または
(4)データ主体からの同意。
ただし、上記の規定は、管理者から処理者への、または国境を越えた個人データの転送には適用されません。
データ侵害
データ侵害が発生した場合、GR71およびMR20 / 2016は、電子システムオペレーターが、最初の機会に直ちにMCITおよび法執行機関に侵害を報告し、侵害の発見から14日以内にデータ主体に通知することを要求します。
PDP法案は、電子的および従来の個人データ処理にも適用される報告義務に関する詳細な要件も指定しています。 PDP法案では、データ管理者は72時間以内に、データ主体とMCITに個人データの保護の失敗を書面で通知する必要があります。通知には次の詳細が必要です。(i)侵害されたデータ。 (ii)データがいつどのように侵害されたか。 (iii)管理および復旧の取り組み。
ジャカルタのABNRのアソシエイト
Email: mtimur@abnrlaw.com
データ保護責任者
PDP法案はまた、以下の基準を満たすデータ管理者および処理者のために、データ保護責任者も任命する義務を導入しています。
(1)データ処理は、公共サービスを提供することを目的としています。
(2)データ管理者の主な活動には、個人データの大規模で頻繁かつ体系的な監視が必要です。 そして
(3)データ管理者の中心的な活動には、大規模な特定の個人データおよび/または犯罪活動に関連する個人データの処理が含まれます。
データ保護責任者は、データプライバシーに関する専門的な資格、法的知識、および実務経験に基づいて任命する必要があります。ただし、PDP法案では、特定の必須の資格、技能、または学歴は規定されていません。一般に、彼らの役割は、データ管理者またはデータ処理者によって処理される個人データの安全を保護および保証することです。
結論
PDP法案は立法の優先リストに載っていますが、いつ発行され、法律として公布されるかは不明です。 政府は依然としてインドネシアでのコロナウイルスのパンデミックへの対処に焦点を合わせているため、その最終決定は遅れる可能性があります。
この法案は、包括的で一貫性のある個人データ規制が彼らの活動の重要な側面であるため、インドネシアの企業から非常に期待されています。ビジネスはすでに根本的に国境を越えたものになっているため、PDP法案は国際標準との互換性が高いと見なされています。これは、ますます増大するグローバル化のデジタル化の時代にビジネスを行うことの避けられない結果です。
Ali Budiardjo Nugroho Reksodiputro Counsellors at Law (ABNR)
Graha CIMB Niaga, 24/F
Jl. Jend. Sudirman, Kav. 58
Jakarta – 12190, Indonesia
Tel: +62 21 250 5125/5136
Email: info@abnrlaw.com
