Maleisië heeft onlangs aanzienlijke wijzigingen doorgevoerd in de Wet op Persoonsgegevensbescherming (PDPA) om de gegevensbeveiliging te verbeteren alsmede aan te sluiten bij ‘internationale normen’. De recente wijzigingen in de PDPA introduceren verschillende nieuwe vereisten, waaronder verplichte meldingen van datalekken, de aanstelling van functionarissen voor gegevensbescherming, nieuwe regels voor grensoverschrijdende gegevensoverdracht en vergaande verantwoordelijkheden voor gegevensverwerkers.
Aanstelling van functionarissen voor gegevensbescherming
Volgens de nieuwe wijzigingen moeten bedrijven nu een functionaris voor gegevensbescherming (DPO) aanstellen. De DPO is verantwoordelijk voor het toezicht op gegevensbeschermingsstrategieën, het waarborgen van naleving van de wet en het fungeren als aanspreekpunt voor kwesties rond gegevensbescherming. Deze verplichting brengt een extra administratieve last met zich mee voor bedrijven.
Nieuwe wettelijke verplichtingen voor gegevensverwerkers
De herziening van de PDPA breidt specifieke verplichtingen uit naar gegevensverwerkers, niet alleen gegevensgebruikers. Gegevensverwerkers moeten nu zorgen voor naleving en praktische stappen ondernemen met betrekking tot beveiligingsnormen, nauwkeurige gegevens bijhouden van verwerkingsactiviteiten en gegevensgebruikers ‘helpen’ bij het voldoen aan hun verplichtingen. Deze wijziging heeft impact op bedrijven die gegevens verwerken namens andere entiteiten, wat hun verantwoordelijkheden en potentiële aansprakelijkheid vergroot. Verder kunnen gegevensverwerkers die niet voldoen aan de regels een boete krijgen tot 1 miljoen ringgit (US$ 232.000) en/of een gevangenisstraf van maximaal 3 jaar.
Wijzigingen in de definitie van gegevensgebruikers
De PDPA verandert de term ‘gegevensgebruiker’ in ‘gegevensbeheerder’ om deze meer in lijn te brengen met de definitie die in andere jurisdicties wereldwijd wordt gebruikt.
Wijzigingen in regels voor grensoverschrijdende gegevensoverdracht
Maleisië heeft het “white-list” systeem afgeschaft, dat voorheen gegevensoverdracht toestond naar landen met een adequate gegevensbescherming. Nu zijn gegevensoverdrachten naar elk land toegestaan, op voorwaarde dat aan bepaalde waarborgen wordt voldaan, zoals contractuele clausules of bindende bedrijfsregels. Deze verandering geeft bedrijven meer flexibiliteit bij grensoverschrijdende gegevensoverdrachten, maar vereist extra stappen om naleving te waarborgen.
Verplichte melding van datalekken
Bedrijven moeten nu de autoriteiten en getroffen personen op de hoogte stellen van elk datalek binnen een bepaalde tijdsperiode aan de Gegevensbeschermingscommissaris. Deze verplichte melding is bedoeld om de transparantie te vergroten en snelle actie te ondernemen om de impact van datalekken te beperken. Het niet naleven van deze verplichting kan leiden tot aanzienlijke boetes.
Verhoogde boetes voor schending van beginselen voor gegevensbescherming
De wijzigingen introduceren hogere boetes voor niet-naleving van de beginselen voor gegevensbescherming, waaronder geldboetes en gevangenisstraf.
De nieuwe boete voor niet-naleving bedraagt nu maximaal 1 miljoen ringgit (US$ 232.000) en/of een gevangenisstraf van maximaal 3 jaar, een verhoging ten opzichte van de eerdere boete van 300.000 ringgit (US$ 69.749) en/of een gevangenisstraf van maximaal 2 jaar. Deze strengere straffen dienen als afschrikmiddel tegen datalekken en dwingen bedrijven om prioriteit te geven aan gegevensbeveiligingsmaatregelen.
Conclusie
De wijzigingen in de PDPA betekenen een aanzienlijke verschuiving naar strengere regelgeving voor gegevensbescherming, met gevolgen voor alle bedrijven die persoonsgegevens verwerken. Bedrijven moeten nu hun gegevensbeschermingspraktijken herzien, specifieke functionarissen aanstellen, zorgen voor naleving van grensoverschrijdende gegevensoverdrachtregels en zich voorbereiden op mogelijke datalekken om zware straffen te vermijden.
Reageer op dit bericht