مقدمه مترجم:

نظر به پیشرفت جهانی در قوانین مرتبط با حقوق فناوری و حقوق داده‌ها و لزوم توجه جامعه حقوقی کشور به وضعیت حمایت از داده‌ها در نظام حقوقی ایران، در این شماره، «قانون جدید حمایت از داده‌های شخصی اندونزی» مصوب سال 2022 معرفی می‌شود، ویژگی‌های بارز این قانون و تأثیر آن بر سرمایه‌گذاران خارجی مورد بررسی قرار می‌گیرد و پیشنهادهایی به کسب و کارهای فعّال در این حوزه ارائه می‌شود. باشد که در چارچوب پویش‌های حقوقی، پویشی برای پیگیری توسعه تقنینی و قضایی در این حوزه در کشور ما شکل گیرد.

قانون جدید حمایت از داده‌های شخصی در اندونزی

اندونزی پیش‌نویس قانون جدید حمایت از داده‌های شخصی (Personal Data Protection law) را در 20 سپتامبر 2022 منتشر نمود. در کمتر از یک ماه، در اکتبر 2022 این قانون لازم‌الاجرا گشت. برای این قانون دوره گذار دو دوساله‌ای پیش‌بینی شده است تا طرف‌های درگیر در فرایند پردازش داده‌های شخصی، فعالیت‌های خود را با قانون جدید حمایت از داده‌های شخصی منطبق سازند.

به موجب این قانون، نهادی زیر نظر رئیس جمهور اندونزی ایجاد شده است تا با اجرایی­ شدن قانون جدید، مقررات مرتبط با اجرای اصول و قواعد حمایت از داده‌های شخصی، نظارت بر اجرای این مقررات، اجرای قوانین اداری و تسهیل حل اختلافات در این حوزه را تنظیم نماید.

ویژگی‌های بارز قانون جدید حمایت از داده‌های شخصی در اندونزی

برخی مقررات برجسته این قانون به شرح زیر قابل طرح است:

1-باید مبنایی شناخته شده برای پردازش داده‌های شخصی وجود داشته باشد:

الف) رضایت صریح شخص موضوع داده (شخصی که داده‌ها به او مربوط می‌شود)، متعاقبِ اعلان هدف از جمع‌آوری داده‌های شخصی وی،

ب) انجام تعهدات قراردادی که شخص موضوع داده طرف آن است،

ج) انجام تعهدات قانونی کنترلگر داده­ (شخصی که شیوه و اهداف پردازش را مشخص می­کند) در تطابق با قوانین لازم‌الاجرا،

(د) حفاظت از منافع حیاتی شخص موضوع داده،

(ه) اجرای وظایف در جهت منافع عمومی.

2-اگر پردازش داده‌های شخصی خطر بالقوه بالایی برای شخص موضوع داده داشته باشد، کنترلگر داده ملزم به انجام ارزیابی تأثیرات حمایت از داده (DPIA) است.

3-در شرایط خاص، کنترلگر و پردازشگر داده (شخصی که به درخواست کنترلگر داده، داده‌ها را پردازش می‌کند) ملزم به تعیین یک مأمور حمایت از داده (Data Protection Officer)  هستند.

4-امکان انتقال فرامرزی داده‌های شخصی از یک کنترلگر به کنترلگر یا پردازشگری خارج از اندونزی وجود دارد، اگر:

الف) کشور گیرنده سطح مناسب یا بالاتری از حمایت از داده‌های شخصی، نسبت به آنچه در قانون اندونزی مقرر شده، داشته باشد،

ب) سطح کافی از تدابیر حمایتی برای حفاظت از داده‌های شخصی اتخاذ شده باشد،

ج) رضایت شخص موضوع داده برای انتقال برون‌مرزی داده‌ها کسب شده باشد.

تأثیر قانون جدید حمایت از داده‌های شخصی بر سرمایه‌گذاری خارجی در اندونزی

از منظر سرمایه‌گذاران بین‌المللی که اندونزی را به عنوان مقصد سرمایه­گذاری برمی­گزینند، این پیشرفت می‌تواند تأثیرات مثبتی بر نحوه سرمایه‌گذاری آن­ها در شرکت‌های اندونزیایی داشته باشد؛ چراکه برخورداری از یک نظام قانونی برای حافظت از داده‌های شخصی اهمیت بسیاری دارد. در سال‌های اخیر، بسیاری از کشورهای آسیایی قوانین حمایت از داده‌های شخصی خود را تصویب یا به‌روز کرده‌اند و در عرصه بین‌الملل، شبکه‌های همکاری را در این حوزه ایجاد نموده­اند. حتی شرکت‌های خصوصی، استانداردهای حداقلی را برای حمایت از داده‌های شخصی تدوین نموده و اقدامات حفاظتی برای حمایت از داده‌های شخصی را تقویت بخشیده‌اند. بنابراین، به‌عنوان یک پیشرفت مثبت، اندونزی قوانین خود را برای حفاظت از داده‌های شخصی با درجات مناسبی از جزئیات و ساختار ارتقاء داده است. این امر، اجرای فعالیت‌های پردازش داده در حوزه بین‌الملل و انتقال فرامرزی داده‌ها را تسهیل می­کند. از سوی دیگر، سرمایه‌گذاران خارجی در شرکت‌های اندونزیایی باید از مفاد این قانون متابعت نموده و بررسی‌های لازم را جهت اطمینان از پیروی شرکت‌های اندونزیایی از الزامات این قانون انجام دهند.

تأثیر قانون جدید بر شرکت‌های خارج از اندونزی که داده‌های شخصی را از اندونزی جمع‌آوری می‌کنند

به جز برخی موارد استثناء (برای مثال، در بخش مالی) قانون حمایت از داده‌های شخصی در موارد زیر اعمال می­شود:

الف) هر شخص (اعم از حقیقی و حقوقی)، آژانس عمومی و سازمان بین‌المللی که فعالیت‌هایی قانونی در اندونزی انجام می دهد،

ب) هر شخصی که فعالیت‌های قانونی را در خارج از اندونزی انجام دهد.

پیشنهادهایی برای کسب و کارهای فعّال در حوزه داده‌های شخصی

از آنجا که کسب­ و کارهای درگیر با قانون حمایت از داده‌های شخصی اندونزی حدود دو سال فرصت دارند تا از رعایت قانون و انطباق با آن اطمینان حاصل نمایند، شایسته است اقدامات زیر را اتخاذ کنند:

الف) اطمینان حاصل شود که پردازش داده‌های شخصی بر اساس مبانی قانونی به‌رسمیت شناخته‌شده شده توسط این قانون صورت می­گیرد،

ب) سوابق مربوط به کلیه فعالیت‌های مربوط به پردازش داده‌های شخصی نگهداری شود،

ج) پردازش در تطابق با درخواست‌های شخص موضوع داده‌ در رابطه با داده‌های شخصی وی صورت گیرد (مگر در مواردی که توسط قانون مستثنی شده است)،

د) پیش از پردازش داده‌های شخصی پرخطر، ارزیابی تأثیرات انجام شود،

ه) رهنمودهای فنی و عملیاتی کافی برای حفاظت از امنیت داده‌های شخصی ایجاد و اجرایی شود،

(و) در صورت لزوم، یک مأمور حمایت از داده تعیین شود،

(ز) پروتکلی برای اعلان نقض حقوق داده‌های شخصی تهیه شود و مطابق زمان‌بندی مقرر، به شخص موضوع داده و مقامات عمومی مرتبط اطلاع‌رسانی شود،

(ح) هرگونه تغییر در کسب و کار (ادغام، جداسازی، انحلال و غیره) به شخص موضوع داده اطلاع داده شود.

 

منبع:

RHTLaw Asia

مترجم و مؤلف:

دکتر شیما عطّار

میتوانید برای خواندن اخبار دیگر جهان به صفحه پویش های حقوقی پژوهشکده حقوقی شهر دانش مراجعه کنید.