Malaysia: Tiệm cận tiêu chuẩn quốc tế về quản trị dữ liệu

Nguồn: captaincompliance.com

PDPA 2010 là luật toàn diện đầu tiên của Malaysia về bảo vệ dữ liệu cá nhân, được thiết kế để điều chỉnh quá trình xử lý dữ liệu cá nhân trong các giao dịch thương mại và bảo vệ quyền riêng tư của cá nhân. Luật này có hiệu lực vào tháng 11.2013. Tuy nhiên, khi các mô hình kinh doanh toàn cầu dựa trên dữ liệu ngày càng phát triển và khối lượng luồng dữ liệu quốc tế tăng lên, PDPA 2010 trở nên lỗi thời và không đủ để giải quyết những thách thức về bảo vệ dữ liệu. Điều này đặt ra nhu cầu cải cách toàn diện PDPA 2010, thúc đẩy Malaysia ban hành Luật PDPA sửa đổi năm 2024.

PDPA sửa đổi 2024 sẽ có hiệu lực theo từng giai đoạn Malaysia với giai đoạn đầu tiên từ ngày 1.1.2025, áp dụng đối với các điều khoản 7, 11, 13 và 14. Tuy nhiên, các điều khoản này không đưa ra nghĩa vụ mới nào mà chỉ liên quan đến các điều khoản phụ trợ (ví dụ: chỉnh sửa phiên bản tiếng Mã Lai của văn bản lập pháp). Giai đoạn hai bắt đầu từ ngày 1.4.2025, với những thay đổi quan trọng về định nghĩa. Giai đoạn ba, có hiệu lực từ ngày 1.6.2025, cụ thể như sau:

Sửa đổi thuật ngữ, định nghĩa

Sửa đổi thuật ngữ từ “người sử dụng dữ liệu” thành “người kiểm soát dữ liệu”.

Định nghĩa về "dữ liệu cá nhân nhạy cảm" được mở rộng để bao gồm dữ liệu sinh trắc học.

Đưa ra định nghĩa về “vi phạm dữ liệu cá nhân” là bất kỳ hành vi làm rò rỉ, mất mát, sử dụng sai mục đích, truy cập trái phép hoặc vi phạm dữ liệu cá nhân.

Mở rộng định nghĩa “người yêu cầu dữ liệu” bao gồm các cá nhân đưa ra yêu cầu chuyển dữ liệu.

Thu hẹp phạm vi “dữ liệu cá nhân” để loại trừ dữ liệu của những cá nhân đã chết.

Thông báo vi phạm bắt buộc

Một trong những thay đổi quan trọng nhất là việc đưa ra yêu cầu thông báo vi phạm dữ liệu bắt buộc. Theo PDPA đã sửa đổi, các tổ chức sẽ có nghĩa vụ báo cáo vi phạm dữ liệu cho Ủy viên Bảo vệ dữ liệu cá nhân trong vòng 72 giờ kể từ khi biết về vi phạm. Điều này hoàn toàn phù hợp các quy định của Malaysia với các tiêu chuẩn quốc tế như Quy định bảo vệ dữ liệu chung của EU.

Trách nhiệm của bộ xử lý dữ liệu

Các sửa đổi sẽ mở rộng phạm vi của PDPA bằng cách áp đặt các nghĩa vụ trực tiếp cho bộ xử lý dữ liệu, không chỉ bộ điều khiển dữ liệu. Bộ xử lý dữ liệu, những người xử lý dữ liệu cá nhân thay mặt cho bộ điều khiển dữ liệu, sẽ phải chịu trách nhiệm hoàn toàn về các hoạt động xử lý dữ liệu và bảo mật dữ liệu của họ.

Thay đổi này nhằm mục đích nâng cao khuôn khổ quản trị dữ liệu tổng thể bằng cách bảo đảm tất cả các thực thể tham gia vào quá trình xử lý dữ liệu cá nhân đều tuân thủ các tiêu chuẩn bảo vệ dữ liệu nghiêm ngặt.

Cho phép chuyển dữ liệu cá nhân từ Malaysia sang các quốc gia có luật pháp tương tự hoặc bảo đảm mức độ bảo vệ tương đương.

Bổ nhiệm nhân viên bảo vệ dữ liệu

Để củng cố thêm nguyên tắc trách nhiệm, PDPA sửa đổi yêu cầu các bên thu thập, xử lý dữ liệu phải bổ nhiệm ít nhất một nhân viên bảo vệ dữ liệu. Yêu cầu này phù hợp với các tiêu chuẩn của EU, nhằm thúc đẩy văn hóa bảo mật, nâng cao nhận thức của doanh nghiệp về tính cần thiết phải bảo mật dữ liệu cũng như giám sát việc tuân thủ.

Tăng cường chế tài

Chế tài đối với hành vi vi phạm được tăng cường mang lại những thay đổi đặc biệt quan trọng, bao gồm khả năng áp dụng mức tiền phạt và hình phạt cao hơn - bao gồm cả án tù. Được coi là nền tảng quan trọng của nguyên tắc trách nhiệm giải trình và nhằm mục đích ngăn chặn các hành vi vi phạm PDPA, mức tiền phạt đối với các hành vi vi phạm được tăng lên 1 triệu rigit, trong khi mức phạt tù tối đa được nâng lên 3 ba năm.

Các quy tắc chuyển dữ liệu xuyên biên giới được tăng cường

Luật sửa đổi đưa ra các biện pháp kiểm soát chặt chẽ hơn đối với việc chuyển dữ liệu cá nhân ra bên ngoài Malaysia, tuy nhiên cho phép chuyển dữ liệu quốc tế nếu quốc gia tiếp nhận có luật bảo vệ dữ liệu đầy đủ (các quốc gia nằm trong danh sách trắng) hoặc trong trường hợp vì lợi ích công cộng, bên kiểm soát dữ liệu phải đánh giá chặt chẽ hơn về khuôn khổ bảo vệ dữ liệu của quốc gia tiếp nhận để bảo đảm các biện pháp bảo vệ đầy đủ.

Điểm đáng chú ý đặc biệt trong PDPA sửa đổi là điều kiện chuyển giao dữ liệu quốc tế. Bằng cách đưa ra các tiêu chuẩn chuyển dữ liệu xuyên biên giới chặt chẽ hơn, Malaysia đang định vị mình là một khu vực pháp lý duy trì các tiêu chuẩn bảo mật mang tầm quốc tế. Khung pháp lý được tăng cường dự kiến sẽ thúc đẩy sự tự tin của các doanh nghiệp quốc tế hoạt động tại Malaysia và cung cấp các hướng dẫn rõ ràng hơn và bảo vệ mạnh mẽ hơn.

Quỳnh Vũ (Theo IAPP)