+7 (499) 550-80-03
4people@grfc.ru
    • Главная Аналитика и законодательство Международные акты и акты иностранных государств в области персональных данных Акты иностранных государств Индонезия
    8 сентября 2022

    Индонезия

     

    ЗАКОНОДАТЕЛЬСТВО ИНДОНЕЗИИ В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Система законодательства

     Положения, касающиеся конфиденциальности данных, закреплены в нескольких различных законодательных актах Индонезии:

    Закон об электронной информации и GR 71 регулируют вопросы использования персональных данные через электронные носители и системы.

    MOCI Regulation 20 является имплементирующим положением данных правовых актов и определяет защиту персональных данных в электронных системах, в том числе от приобретения, сбора, обработки, анализа, хранения, передачи, распространения и уничтожения персональных данных; регулирует права владельцев персональных данных, обязанности пользователей и операторов таких систем, порядок разрешения споров и административные санкции.

    В настоящее время правительство Индонезии готовит новый закон о защите данных (далее – Законопроект), проект которого представлен общественности в начале 2020 года.

    Материальная сфера действия

    Индонезийские законы, регулирующие защиту персональных, в первую очередь относятся к электронной информации.

    Электронная система – это набор электронных устройств и процедур, которые функционируют для подготовки, сбора, обработки, анализа, сохранения, отображения, публикации, передачи и/или распространения электронной информации (ст. 1 GR 71).

    Поставщик электронной услуги (ESP) – это любое физическое или юридическое лицо, которое хранит данные в электронном виде и использует электронную систему.

    GR 71 выделяет ESP публичного охвата (ст.  2 GR 71):

    • государственные административные учреждения, определенные
      в GR 71 как законодательные, исполнительные и судебные учреждения на центральном и региональном уровнях; и
    • другие агентства, созданные в соответствии с законами
      и правилами; и
    • учреждения, назначенные государственными административными органами.

    А также ESP частного характера, которые предоставляют электронную систему частными лицами, коммерческими организациями
    и общественности (ст. 2(5) (b) GR 71).

    В свою очередь Законопроект распространяется на физических, юридических лиц, коммерческие организации, государственные учреждения и организации.

    Территориальная сфера действия

    Закон об электронной информации применяется к каждому лицу, которое совершает юридические действия, предусмотренные указанным законом как в пределах юрисдикции Индонезии, так и за ее пределами, если такие действия имеют юридические последствия и наносят ущерб интересам государства.

    Проект закона о защите данных предусматривает применение к юридическим лицам как на территории Индонезии, так и за ее пределами,
    где их действия:

    • могут привести к юридическим последствиям на территории Индонезии;
    • и/ или затрагивают граждан Индонезии на территории страны и за ее пределам.

    Основные понятия законопроекта

    Персональные данные – это определенные индивидуальные данные, которые хранятся и поддерживаются в надлежащем состоянии, а их конфиденциальность защищена. Определенные индивидуальные
    данные – это любая достоверная и реальная информация, прямо или косвенно связанная и идентифицируемая с каждым физическим лицом, использование которых осуществляется в соответствии с положениями законодательства.

    Согласно Законопроекту, персональные данные – это любые данные, касающиеся идентифицированного лица или лица, которое может быть идентифицировано отдельно либо в сочетании с другой информацией, прямо или косвенно, с использованием электронной и/или неэлектронной системы.

    Информация – это сведения, утверждения, идеи и знаки, содержащие значения, смыслы и сообщения, как данные, факты, так и объяснения, которые можно увидеть, услышать и прочитать, представленные в различных форматах в соответствии с развитием информационных технологий, а также электронные и неэлектронные коммуникации.

    Таким образом, определение персональных данных, указанное в законопроекте о PDP, близко к тому, которое применяется в других юрисдикциях.

    Чувствительные данные

    Так называемые «конкретные персональные данные» это данные
    и информация о здоровье, биометрические данные, генетические данные, сексуальной жизни/ориентации, политических взглядах, данные о детях, личные финансовые данные и/или другие данные в соответствии
    с положениями законов и нормативных актов.

    Законопроект дифференцирует персональные данные на общие
    и данные особого характера. При этом к первой категории относятся: Ф.И.О., пол, гражданство, религия; и/или данные, объединенные для идентификации человека. Во вторую категорию включены: данные и информация о здоровье, биометрические и генетические данные, сведения о сексуальной жизни/ориентации; политических взглядах; записи о преступлениях, детские данные, личные финансовые данные и/или иные данные в соответствии
    с законодательством.

    Биометрические данные

    В законодательстве нет четкого определения биометрических данных. Вместе с тем, в комментариях к ст. 3 Законопроекта «биометрическими данными» поименованы сведения, относящиеся к физическим, физиологическим или характеристикам поведения отдельных лиц, которые позволяют однозначно идентифицировать человека (например, изображения лица или данные дактилоскопии). Такие данные также описывают уникальный характер и/или характеристики человека, которые следует хранить и поддерживать. В частности, сюда относятся записи отпечатков пальцев, сетчатки глаза и образцов ДНК.

    Трансграничная передача персональных данных

    Персональных данные без согласия субъекта данных передавать запрещено (ст. 27 Закона об электронной информации и ст. 21 MOCI Regulation 20). Передавать персональные данные в другую страну или территорию за пределами Индонезии запрещено, если только такая страна или территория не были объявлены Министром торговли как имеющие равный стандарт или уровень защиты персональных данных.

    Передача персональных данных третьей стороне поставщиками финансовых услуг также ограничена, за исключением случаев, когда имеется письменное согласие потребителя и/или в соответствии с требованиями законов и нормативных актов (ст. 31 Постановления от 2013 № 1/POJK.07/2013 «О защите прав потребителей в секторах финансовых услуг»).

    В дополнение к требованию о согласии на передачу данных за пределы Индонезии оператору электронной системы потребуется выполнить следующие требования:

    • оператор электронной системы должен дать полное объяснение соответствующему владельцу данных о предполагаемом использовании персональных данных (например, сбор и передача данных);
    • персональные данные должны быть проверены соответствующим субъектом данных для обеспечения их точности;
    • оператору электронной системы необходимо координировать свои действия с регулятором и представить план реализации оффшорной передачи данных. Отчет должен содержать страну получателя, субъекта получателя, дату реализации и причину/цель передачи.

     О несовершеннолетних

    MOCI Regulation 20 регулирует обработку данных детей в контексте получения согласия (ст. 37 MOCI Regulation 20). Так, в случае, если субъектом данных является лицо, которое подпадает под категорию детей в соответствии с положениями законов и нормативных актов, то предоставление согласия должно осуществляться родителем или опекуном ребенка. Ребенок – это физическое лицо, не достигшее 18-летнего возраста.

    Оператор и обработчик

    В действующих нормативных правовых актах Индонезии понятий оператора и обработчика данных не имеется.

    Однако деятельность по сбору, хранению, публикации и удалению персональных данных предусмотрена MOCI Regulation 20, как деятельность, которая может осуществляться поставщиком электронных систем. Оператор электронной системы определяется как любое лицо, должностное лицо государства, юридическое лицо или общество, которое предоставляет, управляет и/или эксплуатирует, совместно или по отдельности, электронную систему для пользователей электронной системы в интересах оператора и/ или другие, и налагает определенные обязательства на такого оператора электронной системы.

    Законопроект вводит эту концепцию (аналогичную GDPR):

    Обработчик персональных данных – это сторона, которая осуществляет обработку персональных данных от имени контролера персональных данных.

    Контроллер – это сторона, которая определяет цель и контролирует обработку персональных данных.

    Обработка включает: приобретение и сбор, обработку и анализ, хранение, исправление и обновление, появление, объявление, передачу, распространение или раскрытие, удаление или уничтожение данных. При этом контроллером
    и обработчиком персональных данных могут быть: человек, государственное агентство, организация или учреждение.

    Права субъекта данных

    Cубъекты данных имеют право на:

    • конфиденциальность;
    • подачу жалобы в связи со спорами о неспособности соответствующего ESP защитить конфиденциальность своих персональных данных;
    • получение доступа или возможность изменять или обновлять свои персональные данные, не вмешиваясь в систему управления персональными данными, если иное не предусмотрено применимыми законами и правилами (также точность и актуальность персональных данных достигается путем предоставления субъекту данных возможности обновлять свои персональные данные (ст. 59 GR 80));
    • получение доступа или возможность получить историю своих персональных данных, которые были переданы ESP, если они
      по-прежнему соответствуют применимым законам и правилам; и
    • запрашивать уничтожение своих персональных данных в электронной системе, управляемой ESP, если иное не предусмотрено применимыми законами и правилами (различают право на удаление нерелевантной информации или электронных документов (в том числе полученных без согласия лица) и право на исключение (удаление информации из поисковой системы Интернета по решению суда (ст. 15 GR 71)).
    • возражать (субъект имеет возможность отказаться от любой формы обработки данных, с которой он не согласен (Ст. 16 GR 71)).

    Право не подвергаться автоматизированному принятию решений
    в законах отражения не нашло. Однако, в Законопроекте рассматриваются проблемы, связанные с решениями, принимаемыми исключительно на основе автоматического профилирования.

    Согласие на обработку персональных данных. Законный интерес

    Согласие на обработку данных строго регламентировано
    в законодательстве. Так, использование любой информации через электронные носители, которая связана с личными данными лица, должно осуществляться с согласия заинтересованного лица, если иное не предусмотрено законами
    и нормативными актами (ст. 26 Закона об электронной информации ).

    Обработка персональных данных зависит от предоставления согласия субъекта данных для одной или нескольких конкретных целей, которые были доведены до сведения субъекта данных (ст. 14 GR 71).

    Получение и сбор персональных данных ESP должны основываться на согласии или на положениях законов и нормативных актов (ст. 9 MOCI Regulation 20).

    В сфере здравоохранения, например, предусмотрено обязательное истребование информированного согласия для проведения тестирования на людях. Прежде чем такое согласие будет получено, исследователь должен среди прочего гарантировать конфиденциальность личности и личных данных субъекта данных (ст. 44 Закона от 2009 года № 36 «О здравоохранении»).

    Обработка данных правомерна без получения согласия субъекта данных (исчерпывающий перечень (Ст. 14 GR 71)) для:

    • выполнения договорных обязательств (если субъект является одной из сторон договора, или для выполнения запроса субъекта данных при наличии договора);
    • выполнения юридических обязательств контролера в соответствии с положениями закона;
    • при необходимости защиты интересов субъекта данных — очень важных вопросов, касающихся существования человека;
    • выполнения обязанностей контролера в сфере государственных услуг
      в интересах общества.
    • удовлетворения законных интересов контролера (при этом нет перечня законных интересов контролера данных).

    Субъект данных имеет право отозвать свое согласие на обработку данных (ст. 6 GR 71).

    Отраслевое регулирование

    О банковской сфере

    Деятельность кредитных организаций, связанная с использованием персональных данных, регулируется постановлением Банка Индонезии от 2020 года № 22/20/PBI «О защите потребителей Банка Индонезии», согласно которому банки обязаны сохранять конфиденциальность и безопасность данных своих клиентов, в том числе посредством истребования согласия потребителя перед передачей его персональных данных третьим лицам.

    О медицине

    GR 71 подразумевает, что сектор здравоохранения обладает электронными данными, которые должны быть защищены.

    В постановлении Министра здравоохранения Индонезии от 2008 года № 269 /MENKES/PER/III регламентированы вопросы хранения, удаления и конфиденциальности медицинской карты – записи или описания человека относительно его физического или психологического здоровья и/или медицинского обслуживания.

    Локализация

    В Индонезии действуют требования к локализации данных.

    Так, GR 71 классифицирует операторов электронных систем на операторов государственных (правительственные учреждения и назначенные ими стороны) и частных операторов.

    Операторы общедоступных электронных систем должны обрабатывать и хранить персональные данные только в Индонезии.

    Частные операторы электронных систем могут обрабатывать и хранить персональные данные за границей при условии, что они поддерживают эффективность правоприменения в Индонезии (например, предоставляя доступ к данным, если есть обоснованный запрос от государственных органов или правоохранительных органов). Однако, если такие операторы обязаны соблюдать отраслевые правила (например, в секторе финансовых услуг), они могут быть обязаны обрабатывать и хранить персональные данные только в Индонезии.

    Особенности регулирования

    Использование информационных технологий осуществляется на основе принципа правовой определенности, выгоды, осмотрительности, добросовестности и свободы выбора технологии (ст. 3 Закона об электронной информации), а обработка персональных данных – на основе принципа надлежащей защиты персональных. При этом необходимо:

    • уделять должное внимание персональным данным как частным;
    • обрабатывать персональные данные в соответствии с согласием субъекта данных и/или на основании положений законов и нормативных актов;
    • обосновывать действия по обработке на основе согласия субъекта данных;
    • обеспечивать соответствие обработки целям сбора, обработки, анализа, хранения, отображения, объявления, доставки и распространения;
    • ограничивать действия по обработке теми данными, которые необходимы;
    • обеспечивать пригодность используемой электронной системы;
    • немедленно уведомлять субъектов данных о любых сбоях в отношении защиты персональных данных;
    • обеспечивать наличие внутреннего регламента для управления защитой персональных данных;
    • нести ответственность за любые персональные данные, находящиеся в распоряжении пользователей;
    • обеспечивать удобство доступа к персональным данным и их исправление;
    • обеспечивать целостность, точность и достоверность персональных данных, а также их актуальность.

    Урегулирование споров. Ответственность за нарушения

    В индонезийском законодательстве за нарушение правил обработки персональных данных предусмотрена как административная, так и уголовная ответственность.

    Законодательство в Индонезии не устанавливает правил, касающихся файлов cookie. Тем не менее ст. 32 Закона об электронной информации устанавливает, что если данные, собранные с помощью файлов cookie или данных о местоположении, получены в результате незаконного доступа к электронной информации другой стороны, это влечет за собой тюремное заключение на срок от 6 до 8 лет и/или штраф в размере от 600 до 800 млн рупий.

    Надзорный орган

    Функцию регулятора конфиденциальности данных выполняет Ministry of Communications and information Technology (Министерство связи и информационных технологий, MOCI). Также имеются отраслевые органы: Bank Indonesia (Банк Индонезии) и Otoritas Jasa Keuangan (Управление по финансовым услугам, OJK), Badan Siber dan Sandi Negara (Национальное агентство по кибербезопасности и кодированию, BSSN), которые могут регулировать более конкретные положения и требования, которые применяются только в их соответствующих секторах.

    В Законопроекте предусмотрено, что парламент Индонезии введет орган по защите персональных данных, который будет независимым в части надзора за конфиденциальностью данных. Также указано, что правительство обеспечивает защиту персональных данных, а прокуратура уполномочена действовать от имени государства и правительства в целях защиты персональных данных как внутри страны, так и за рубежом.

    В настоящее время MOCI может проводить выборочные расследования для проверки соблюдения правил передачи или раскрытия персональных данных, если это вызвано индивидуальными жалобами.

    Обзор отражает авторский взгляд ведущего специалиста по юридическому
    сопровождению А.В. Сидоровой на законодательство     Республики Индонезия

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.