打开网易新闻 查看精彩图片

印度尼西亚政府于2022年9月批准了新的综合《个人数据保护法》(PDP)草案,该草案旨在为印尼提供综合性的个人数据保护法律体系。在此前法规的基础上,本次通过的PDP为数据主体增加了额外的权利。

值得一提的是,PDP法案还新设立了一个由印度尼西亚总统领导的专门机构。该机构将在未来负责制定有关个人信息保护的具体规定、监督个人信息保护的实施情况、履行行政执法职能、处理有关个人信息的争议。

印尼所有从事数据处理活动的主体,都有义务在未来的两年内完成个人数据保护法相关的合规工作。

一、个人数据保护法对于在印尼投资公司的影响

一、个人数据保护法对于在印尼投资公司的影响

从进入印尼的外国投资者的角度来看,这一重大发展可能会对他们继续投资印度尼西亚公司产生积极影响,也可能会产生较小程度的负面影响。

亚洲及全球越来越多的国家开始制定、完善本国的个人数据法,建立个人数据合作网络、私营企业最低行为标准等等行动都证明了,制定系统的个人数据法律制度对于国家而言是非常重要的。

印度尼西亚正在积极提高对于个人数据的保护力度,完善其法律水平,以达到在一定程度上详细和系统地保护个人数据。与其他国家/地区的数据保护机制的对标和联动,有助于国际数据传输概念的实施。

这也意味着印度尼西亚公司的投资者,必须将遵守PDP法案作为其法律尽职调查过程的一个重要部分,以确保其投资的目标公司完全遵守此类规定,并对违反规定的部分采取适当的补救措施。

二、新PDP法的一些重要条款

二、新PDP法的一些重要条款

1、任何个人数据的收集和使用者都是PDP法下的数据控制者或者说数据处理者。数据控制者必须有一些公认的数据处理基础,例如:

(a) 数据主体对于数据收集的目的通知表示明确同意;

(b) 履行数据主体作为合同一方应履行的义务;

(c) 履行数据控制者的应履行的法律义务;

(d) 保护数据主体的切身利益;

(e) 为公共利益执行任务,或根据适用法律执行数据控制者的权限;

(f) 通过平衡数据控制者和数据主体的权利,来实现其他的合法利益。

2、如果个人数据处理对数据主体具有较高的潜在风险,则数据控制者需要进行数据保护影响评估 (DPIA)。

3、在某些特定情况下,数据控制者和数据处理者可能需要任命一名数据保护官(DPO)。

4、PDP法允许在以下情况下,将个人数据跨境传输到印度尼西亚境外的数据控制者或数据处理者处:

(a) 接收方所在国家/地区的个人数据保护水平高于印尼PDP法规定的保护水平;

(b) 存在足够程度的具有约束力的个人数据保护机制;

(c) 已获得数据主体对跨境数据传输的同意。

跨境数据传输的具体实施将由政府法规进一步进行规范。

5、数据控制者需要在下列情况下,发出规定通知:

(a) 未能保护个人数据的控制者必须在不迟于 3 x 24 小时内,向数据主体和机构提交书面通知。

该通知至少应包含:(i) 披露的个人数据;(ii) 何时以及如何披露个人数据;(iii) 个人数据控制者为处理和恢复披露的个人数据的已做的努力;

(b) 如果数据控制者对法律实体进行合并、分立、收购或解散,则需要向数据主体提交个人数据转移通知。

通知必须在上述法律实体发生变动之前提交。

有关发出通知程序的进一步规定在政府条例中规定。

6、最后,PDP法针对违法行为规定了以下禁令和制裁措施:

(a) 不得非法获取、收集或披露他人的个人数据;

(b) 不得以违反法律的方式使用他人的个人数据;

(c) 不得为了使自己或他人受益,可能对他人造成伤害的情况下,制造虚假个人数据。

对此类违法行为的处罚非常严厉,可处以高额罚款、行政处罚,甚至可能受到刑事处罚。

三、对从印度尼西亚收集个人数据的海外公司的影响

三、对从印度尼西亚收集个人数据的海外公司的影响

除少数特定例外情况外,本PDP法适用于:

(a) 在印度尼西亚开展法律行动的任何人(无论是个人还是公司)、公共机构和国际组织

(b) 在印度尼西亚境外开展法律行动的任何人。

PDP法范围的描述意味着,任何处理个人数据的离岸公司或海外实体都将受到PDP法的约束。

四、在印尼投资企业需要做哪些应对?

四、在印尼投资企业需要做哪些应对?

相关方有大约两年的时间来完成PDP法的合规工作,应谨慎考虑以下措施:

1、确保对个人数据的所有处理均具有PDP法认可的合法依据;

2、记录与个人数据处理相关的所有活动;

3、遵守数据主体对其个人数据的要求(除非获得豁免);

4、在执行高风险个人数据处理行为之前,执行DPIA;

5、为个人数据的保护制定并实施适当的技术操作指南;

6、监督主体控制下的其他方对于个人数据的处理;

7、在条件满足的情况下,任命数据保护官(DPO);

8、制定通知协议,在未能按照要求的时限保护个人数据的情况下,通知数据主体和相关当局;

9、在发生法律实体变动行为(合并、分拆、收购或解散)时通知数据主体;

10、遵守有关当局的命令。

《个人数据保护法》在印度尼西亚的实际执行程度还有待观察,但这是一个积极的举措,可以看出印尼对个人数据保护工作的重视程度,可以为印尼迄今为止不确定的个人数据处理环境带来一定的确定性。

了解更多印尼投资政策问题,欢迎联系我们领取最新版《印尼投资指南》白皮书,我们针对投资者在印尼投资的全部流程以及其中可能产生的问题做出了详细的分析、介绍以及解答,帮助投资者全面了解印尼真实的投资环境,做出正确的决策。

打开网易新闻 查看精彩图片

咨询印尼投资相关法律问题,欢迎联系兰鲸跨境律师团队,我们在海外十多个国家设有分支机构,与八十多个国家律师建立了合作关系,中外律师合作模式更加清楚您的需求,并做出更快速的响应。

【兰鲸跨境】

兰鲸跨境是专注于中国企业出海、中外机构合作的法律、商业、财税一体化服务平台。平台依托兰迪律师事务所的全球布局,在87个国家建立了分支机构或合作关系,帮助企业出海投资、促进国际贸易合作,实现企业之间,企业与政府之间的跨境合作。