Keselamatan Data dan PDPA: Bagaimana Sijil Blockchain Mematuhi Undang-undang Malaysia

Keselamatan dan privasi data adalah kebimbangan utama untuk organisasi di Malaysia. Artikel ini menjelaskan bagaimana platform sijil blockchain mematuhi Akta Perlindungan Data Peribadi 2010 (PDPA) dan memastikan keselamatan data.

Pengenalan PDPA Malaysia

Apa Itu PDPA?

PDPA 2010 adalah undang-undang utama Malaysia untuk:

• Melindungi data peribadi individu
• Mengawal pemprosesan data oleh organisasi
• Memberikan hak kepada individu tentang data mereka
• Mengenakan penalti untuk ketidakpatuhan

Tujuh Prinsip PDPA

Prinsip	Keperluan
General	Consent sebelum pemprosesan
Notice and Choice	Maklumkan tujuan pengumpulan
Disclosure	Had pendedahan kepada pihak ketiga
Security	Langkah keselamatan yang munasabah
Retention	Tidak simpan lebih lama dari perlu
Data Integrity	Pastikan data tepat dan lengkap
Access	Hak akses dan pembetulan

Kebimbangan tentang Blockchain dan Privasi

Soalan Lazim

Organisasi sering bertanya:

“Jika blockchain adalah public dan immutable, bagaimana ia mematuhi PDPA?”

“Adakah data peribadi pekerja/pelajar saya selamat?”

“Bolehkah data dipadamkan jika diminta?”

Jawapan Ringkas

Sijil blockchain yang direka dengan betul sepenuhnya mematuhi PDPA kerana:

1. Data peribadi TIDAK disimpan pada blockchain awam
2. Hanya hash (cap jari digital) yang direkodkan
3. Individu mengawal perkongsian maklumat
4. Proses direka dengan privasi sebagai keutamaan

Seni Bina Privasi OnChainCert

Apa yang Disimpan di Blockchain?

Disimpan:

• Hash sijil (cap jari digital unik)
• ID penerbit
• Timestamp penerbitan
• Status (aktif/dibatalkan)

TIDAK disimpan:

• Nama penuh penerima
• Nombor IC atau pasport
• Alamat atau maklumat hubungan
• Foto atau biometrik
• Sebarang data peribadi sensitif

Bagaimana Pengesahan Berfungsi?

1. Pengguna memberikan sijil (dengan consent)
2. Platform mengira hash sijil
3. Hash dibandingkan dengan rekod blockchain
4. Padanan = sijil sah; tiada padanan = tidak sah

Data peribadi tidak pernah melalui blockchain awam.

Kawalan oleh Pemilik Sijil

Penerima sijil mengawal:

• Siapa yang boleh melihat sijil penuh
• Bila sijil dikongsi
• Tahap maklumat yang dikongsi
• Pembatalan perkongsian

Pematuhan dengan Prinsip PDPA

Prinsip 1: General (Consent)

Keperluan: Consent sebelum pemprosesan data peribadi

Pematuhan OnChainCert:

• Consent dari penerima sebelum penerbitan
• Consent dari individu sebelum pengesahan
• Opt-in bukan opt-out

Prinsip 2: Notice and Choice

Keperluan: Maklumkan tujuan pengumpulan

Pematuhan:

• Privacy notice yang jelas
• Penjelasan proses penerbitan
• Pilihan untuk tidak menyertai

Prinsip 3: Disclosure

Keperluan: Had pendedahan kepada pihak ketiga

Pematuhan:

• Data penuh hanya dikongsi dengan consent
• Blockchain hanya menyimpan hash (bukan data)
• Penerima mengawal perkongsian

Prinsip 4: Security

Keperluan: Langkah keselamatan yang munasabah

Pematuhan:

• Enkripsi data dalam transit dan penyimpanan
• Blockchain security (immutable, distributed)
• Audit keselamatan berkala
• Kawalan akses yang ketat

Prinsip 5: Retention

Keperluan: Tidak simpan lebih lama dari perlu

Pematuhan:

• Data peribadi boleh dipadamkan dari sistem
• Hash di blockchain tidak mengandungi data peribadi
• Polisi retention yang jelas

Prinsip 6: Data Integrity

Keperluan: Pastikan data tepat dan lengkap

Pematuhan:

• Pengesahan sebelum penerbitan
• Proses pembetulan jika ada ralat
• Versioning untuk kemas kini

Prinsip 7: Access

Keperluan: Hak akses dan pembetulan

Pematuhan:

• Portal untuk penerima akses sijil
• Proses untuk minta pembetulan
• Jejak audit aktiviti

Perbandingan dengan Alternatif

Sijil Kertas

Aspek	Kertas	Blockchain
Keselamatan	Boleh dicuri/disalin	Secure by design
Pengesahan	Perlu hubungi penerbit	Segera, automatik
Kawalan	Tiada kawalan penuh	Penerima mengawal
Audit trail	Tiada	Lengkap

Pangkalan Data Tradisional

Aspek	Database	Blockchain
Single point of failure	Ya	Tidak
Boleh diubah	Ya	Tidak (immutable)
Pengesahan bebas	Tidak	Ya
Transparency	Terhad	Tinggi

Soalan Lazim tentang PDPA dan Blockchain

”Bolehkah sijil dipadamkan jika diminta?”

Jawapan:

• Data peribadi dalam sistem OnChainCert boleh dipadamkan
• Hash di blockchain kekal tetapi tidak mengandungi data peribadi
• Sijil boleh dibatalkan (status changed to revoked)

“Bagaimana dengan Right to be Forgotten?”

Jawapan:

• PDPA Malaysia tidak mempunyai right to be forgotten seperti GDPR
• Walau bagaimanapun, kami menghormati permintaan pemadaman
• Data peribadi dipadamkan; hash kekal sebagai rekod audit

”Adakah PDPA terpakai untuk blockchain awam?”

Jawapan:

• PDPA terpakai untuk pemprosesan data peribadi
• Hash bukan data peribadi (tidak boleh dikenal pasti individu)
• Oleh itu, hash di blockchain tidak tertakluk kepada PDPA

Langkah Keselamatan Tambahan

Infrastruktur

• Hosting di data center Malaysia (jika diperlukan)
• Enkripsi AES-256 untuk data sensitif
• TLS 1.3 untuk semua komunikasi
• Backup terenkripsi

Operasi

• Audit keselamatan tahunan
• Penetration testing
• Incident response plan
• Staff training on security

Akses

• Multi-factor authentication
• Role-based access control
• Audit logging
• Session management

Panduan untuk Organisasi

Sebelum Implementasi

1. Review polisi privasi sedia ada
2. Kenal pasti data yang akan diproses
3. Pastikan consent mechanism dalam proses
4. Latih kakitangan tentang tanggungjawab

Semasa Operasi

1. Pantau aktiviti pemprosesan
2. Respond kepada permintaan akses/pembetulan
3. Report sebarang insiden keselamatan
4. Review berkala untuk pematuhan

Dokumentasi

Simpan rekod:

• Consent yang diterima
• Tujuan pemprosesan
• Langkah keselamatan
• Insiden dan tindakan

Kesimpulan

Sijil blockchain yang direka dengan betul:

• Mematuhi PDPA sepenuhnya
• Meningkatkan keselamatan berbanding alternatif
• Memberikan kawalan kepada individu
• Menyediakan audit trail yang lengkap

OnChainCert komited kepada privasi dan keselamatan data dengan reka bentuk yang privacy-by-design.

Artikel Berkaitan

• GDPR Blockchain Compliance
• Student Data Privacy and Blockchain
• Blockchain Certificate Security Explained

---

Ada soalan tentang keselamatan data? Hubungi DPO kami.