Di bawah Akta Perlindungan Data Peribadi 2010 (PDPA 2010) dan pindaan 2024, anggota kerja berhak menarik balik persetujuan yang pernah diberi untuk pemprosesan data peribadi mereka, termasuk data wajah / biometrik.
Hak Menarik Balik Persetujuan
|
Rujukan Undang-undang |
Kandungan / Hak Anggota Kerja |
|
Seksyen 38(1), PDPA 2010 |
Subjek data boleh pada bila-bila masa menarik balik persetujuan yang diberi untuk pemprosesan datanya, dengan notis kepada pengawal data (majikan). |
|
Seksyen 6(1) – General Principle |
Data peribadi hanya boleh diproses dengan persetujuan individu. Maka, jika persetujuan ditarik balik, majikan wajib menghentikan pemprosesan berkaitan. |
|
Pindaan PDPA 2024 (definisi baru “consent”) |
Persetujuan mesti bebas, khusus, termaklum dan boleh ditarik balik dan menyelaraskan PDPA Malaysia dengan piawaian antarabangsa (seperti GDPR & PDPA Singapura). |
Apabila seseorang anggota kerja menghantar notis menarik balik persetujuan:
- Majikan mesti berhenti memproses data biometrik pekerja tersebut dengan segera, kecuali ada sebab undang-undang lain untuk terus memproses.
- Data biometrik yang disimpan perlu dipadam / dinyahpaut (anonymized) daripada sistem kehadiran.
- Majikan boleh tawarkan alternatif bukan biometrik, seperti kad akses, kod QR, atau log masuk digital, untuk tujuan kehadiran.
Majikan tidak boleh menghukum atau mendiskriminasi pekerja yang menarik balik persetujuan -
- menandakan pekerja “engkar arahan” semata-mata kerana enggan guna sistem biometrik;
- menolak elaun, bonus, atau peluang kerana menarik balik persetujuan;
- memaksa mereka menandatangani semula borang persetujuan.
Jika berlaku, ia boleh dianggap:
- Pelanggaran Seksyen 6 dan 8 PDPA, kerana consent itu tidak lagi “bebas”; dan
- Berkemungkinan boleh ditafsirkan sebagai Unfair labour practice / constructive dismissal di bawah Akta Perhubungan Perusahaan, 1967.
Majikan boleh mengekalkan penggunaan sistem biometrik, dengan syarat:
|
Keadaan |
Tindakan yang sah |
|
Pekerja bersetuju guna biometrik |
Boleh teruskan, dengan consent bertulis dan notis privasi. |
|
Pekerja tarik balik consent |
Hentikan penggunaan biometrik pekerja itu, tawarkan alternatif kehadiran (kad akses, QR, dll). |
|
Pekerja baru |
Dapatkan consent semasa onboarding dengan pilihan jelas dan penjelasan risiko / penyimpanan data. |
Risiko jika enggan menghormati penarikan kebenaran oleh anggota kerja
Jika terus guna atau simpan data wajah selepas anggota kerja menarik balik persetujuan:
-Melanggar Seksyen 6(1) PDPA (General Principle);
-Denda maksimum RM 1,000,000 atau penjara hingga 3 tahun (pindaan PDPA 2024);
JPDP boleh arahkan pemadaman data serta-merta dan keluarkan Perintah Pematuhan (Compliance Order).
