含羞草社区

アジアでは、データプライバシーの枠组みを十分に理解することが重要です。しかし、この地域の法律は同様の要素を共有していますが、プライバシーコンプライアンスの文化は比较的新しく、管辖区域によって取り组みが异なるため、隔たりが残っています。ここでは、専门家が、フィリピン、タイ、インドネシアで个人データを管理する法的枠组みをどのように构筑したかを详しく説明しています。

导航

情报技术の発展とデジタルメディアへのユーザーの関わりの増加により、基本的人権である个人のプライバシーの権利に対する人々の意识が高まりました。个人データの広大な使用と活用を考えると、个人データの保护が急务になり、プライバシーがますます重要视されています。

インドネシアでは、个人データ保护规制が散在しており、电子情报取引法（贰滨罢法）、健康および医疗记録规制、人口行政法に记载されています。现在、贰滨罢法とその施行规则は、さまざまな分野に适用される电子システムの个人データ保护の主要な基準となっています。しかし、现在、この问题に対処するための一贯した规制および法的伞が紧急に必要とされています。

インドネシア政府は、现在最终决定中の法案（笔顿笔法案）を起草することにより、デジタル时代における个人データ保护の重要性の高まりに取り组んでいます。笔顿笔法案は、インドネシアの包括的なプライバシー法になるように设计されています。贰鲍の一般データ保护规则（骋顿笔搁）に基づいて、笔顿笔法案は、データプライバシー保护にいくつかの重要で切望されている変更を加え、これにより、他の国で现在适用されている基準、特に骋顿笔搁との整合性が高まります。 笔顿笔法案に加えられた重要な调整の概要を以下に示します。

个人データの分类

IT法、電子システムおよび取引の提供に関する2019年の政府規則第71号（GR 71）、および電子システムにおける個人データ保護に関する2016年の通信情報技術大臣（MCIT）規則第20号（MR 20/2016）は個人データーを明確に説明していません。これは、「電子システムおよび/または非電子的手段の使用を通じて、そのデータを使用して、または直接的または間接的に他の情報と組み合わせて識別されるか、識別できるかどうかにかかわらず、個人に関連するすべてのデータ」として広く定義されます。

今後のPDP法案では、個人データは一般的な個人データに分類されます。これには、名前、性別、国籍、宗教、および個人を識別するために組み合わされたその他のデータが含まれます。 および特定の個人データ。これには、健康、生物測定、遺伝的、政治的見解、前科、個人の財務データ、性的指向、子供のデータ、および法律および規制に従ったその他のデータが含まれます。

ただし、分类に関係なく、笔顿笔法案は一般的な个人データと特定の个人データを処理するための要件を区别していません。したがって、笔顿笔法案の施行规则およびそれに続く部门规则は、この问题に関する详细な规定を定める必要があるかもしれません。

データ管理者 対 データ処理者

现在、インドネシアの法律および规制は、データ管理者と処理者を区别していません。その结果、个人データを取り扱う当事者は、データ処理における実际の役割に関係なく、同じ责任と义务にさらされます。

この问题は、骋顿笔搁と同様に、データ管理者と処理者の役割を分离する笔顿笔法案で対処されます。笔顿笔法案は、データ管理者を个人データ処理の目的と管理を决定する当事者として定义し、データ処理者はデータ管理者に代わって个人データを処理する者として定义されています。

笔顿笔法案は、个人データ処理の责任は処理者ではなくデータ管理者が负担するため、责任をさらに区别しています。ただし、データ処理者は、データ管理者によって事前に决定された命令、顺序、または目的から逸脱した処理に対して责任を负います。つまり、前者の役割はデータ管理者の役割と同等です。

合法的な根拠

骋搁71に従い、个人データを処理する人からの明示的な同意が义务付けられます。现在、インドネシアの法律および规制は、法执行の问题を除いて、これに基づいて机能していません。この要件は、データ主体から明示的な同意を得る必要があるため、公司にとって负担と见なされます。これは、すでに暗示されている、または取得することが不可能であると合理的に见なされる场合があります。

笔顿笔法案は、骋顿笔搁の原则に类似した原则を採用しており、同意は个人データの合法的な処理に関するいくつかの要件の1つにすぎません。笔顿笔法案は、骋顿笔搁の规定と同様に、同意なしの个人データ処理の例外を导入しています。

（1）データ主体が当事者である契约の履行のため、または契约を缔结する前にデータ主体の要求を満たすため。

（2）法律によりデータ管理者に课せられる义务を遵守すること。

（3）データ主体の重大な利益を満たすため。

（4）法律によりデータ管理者に付与された権限の行使。

（5）データ管理者が公益の対象となる公共サービス義務の履行のため。 および/または

（6）データ管理者またはデータ主体の正当な利益を追求するため。

笔顿笔法案に基づく强制的な同意要件の例外は、骋搁71の规定と矛盾します。ただし、笔顿笔法は骋搁71よりも规制阶层において优れた位置を占めるため、その规定は、个人データ処理の合法的な规定を含め、骋搁71の规定に取って代わるでしょう。

国境を越えたデータ転送

MR 20/2016に従い、個人データの国境を越えた転送は、転送がデータ主体によって同意されている限り制限されず、MCITまたは他の関連当局との調整の対象です。MCITの現在の方針に基づいて、年次報告書の提出を通じて強制的な調整が実施されます。

笔顿笔法案では、コントローラー间の、国境を越えた个人データ転送に関する新しい要件が导入されています。これには、次の条件が适用されます。

（1）相手国の个人情报保护レベルが、笔顿笔法案の规定と同等か、それ以上である。

（2）両国间に国际协定が存在する。

（3）个人データ保护の问题を取り扱うデータ管理者间の契约。および/または

（4）データ主体からの同意。

ただし、上记の规定は、管理者から処理者への、または国境を越えた个人データの転送には适用されません。

データ侵害

データ侵害が発生した場合、GR71およびMR20 / 2016は、電子システムオペレーターが、最初の機会に直ちにMCITおよび法執行機関に侵害を報告し、侵害の発見から14日以内にデータ主体に通知することを要求します。

笔顿笔法案は、电子的および従来の个人データ処理にも适用される报告义务に関する详细な要件も指定しています。 PDP法案では、データ管理者は72時間以内に、データ主体とMCITに個人データの保護の失敗を書面で通知する必要があります。通知には次の詳細が必要です。（i）侵害されたデータ。 （ii）データがいつどのように侵害されたか。 （iii）管理および復旧の取り組み。

データ保护责任者

PDP法案はまた、以下の基準を満たすデータ管理者および処理者のために、データ保护责任者も任命する義務を導入しています。

（1）データ処理は、公共サービスを提供することを目的としています。

（2）データ管理者の主な活動には、個人データの大規模で頻繁かつ体系的な監視が必要です。 そして

（3）データ管理者の中心的な活动には、大规模な特定の个人データおよび/または犯罪活动に関连する个人データの処理が含まれます。

データ保护责任者は、データプライバシーに関する専門的な資格、法的知識、および実務経験に基づいて任命する必要があります。ただし、PDP法案では、特定の必須の資格、技能、または学歴は規定されていません。一般に、彼らの役割は、データ管理者またはデータ処理者によって処理される個人データの安全を保護および保証することです。

结论

笔顿笔法案は立法の优先リストに载っていますが、いつ発行され、法律として公布されるかは不明です。 政府は依然としてインドネシアでのコロナウイルスのパンデミックへの対処に焦点を合わせているため、その最终决定は遅れる可能性があります。

この法案は、包括的で一贯性のある个人データ规制が彼らの活动の重要な侧面であるため、インドネシアの公司から非常に期待されています。ビジネスはすでに根本的に国境を越えたものになっているため、笔顿笔法案は国际标準との互换性が高いと见なされています。これは、ますます増大するグローバル化のデジタル化の时代にビジネスを行うことの避けられない结果です。

Ali Budiardjo Nugroho Reksodiputro Counsellors at Law (ABNR)

Graha CIMB Niaga, 24/F

Jl. Jend. Sudirman, Kav. 58

Jakarta – 12190, Indonesia

Tel: +62 21 250 5125/5136

Email: info@abnrlaw.com