适用范围

具体内容

适用情形

1.?域内实体

适用于在印度尼西亚管辖范围内的个人、组织以及公共机构。

2.?域外实体

适用于在印度尼西亚管辖范围外的个人、组织以及公共机构：

(1)?在印度尼西亚境内造成法律后果；和/或

(2)?影响印度尼西亚公民。

中国

印尼

1.?取得个人的同意；

2.?为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

3.?为履行法定职责或者法定义务所必需；

4.?为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

5.?为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

6.?依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

7.?法律、行政法规规定的其他情形。

1.?取得数据主体的同意；

2.?履行数据主体为一方的协议或在签订协议时满足数据主体的要求；

3.?履行数据控制者的法律义务；

4.?保护数据主体的合法切身利益；

5.?履行数据控制者的法律规定的权力；

6.?为履行数据控制者为公共利益而承担的公共服务义务；和/或

7.?通过考虑数据控制者的目标、需求和利益平衡以及数据主体的权利来实现其他合法利益。

序号

义务类型

义务内容

1

同意义务

数据控制者在处理个人数据之前需征得同意，但豁免除外。

2

目的限制义务

数据控制者应在合法、具体、适当的范围内处理个人数据。

3

通知义务

数据控制者应告知数据主体个人数据处理的目的、处理的个人数据的类型和相关性、个人数据的保留期限、数据主体的权利等。

4

准确性义务

数据控制者应以准确、完整、无误导、最新且负责任的方式处理个人数据。

5

保护义务

数据控制者必须避免未经授权的访问、未经授权的披露、未经授权的更改、滥用、破坏和/或个人数据丢失。

6

保留限制义务

数据控制者应在个人数据保留期结束后或应数据主体的要求销毁和/或删除。

7

记录义务

数据控制者需要记录所有个人数据处理活动。

8

数据转移限制义务

在某些情况下，数据控制者可以将个人数据转移到印度尼西亚管辖范围外。

9

保密义务

数据控制者有义务保密个人数据，特殊情况除外。

10

数据泄漏通知义务

如果发生数据泄露，数据控制者必须在72小时内以书面形式通知数据主体和MOCI，PDP草案规定了通知的内容。

11

数据保护官任命义务

在某些情况下，数据控制者需任命执行个人数据保护职能的官员。

数据主体权利

1.?知情权

数据控制者应告知数据主体个人数据处理的目的、处理的个人数据的类型和相关性、个人数据的保留期限、数据主体的权利等。

2.?访问权

数据主体有权访问其个人数据，数据控制者应在规定的时间内响应。

3.?整改权

数据主体有权要求更新和/或更正其个人数据中的错误和/或不准确之处，数据控制者应在规定的时间内响应。

4.?删除权

数据主体有权要求数据控制者终止处理、删除和/或销毁其个人数据，数据控制者应在规定的时间内响应。

5.?撤回同意权

数据主体有权撤回已给予数据控制者对其个人数据处理的同意。

6.?反对受自动决策决定的权利

数据主体有权反对仅基于自动处理个人数据的决策行动。

7.?选择权

数据主体有权选择或不选择出于某些目的通过假名机制处理个人数据。

8.?限制处理权

数据主体有权根据处理个人数据的目的限制个人数据的处理，数据控制者应在规定的时间内响应。

9.?获得损害赔偿的权利

数据主体有权获得因违法违规处理其个人数据的赔偿。

10.?数据可移植权

数据主体有权以符合常用的结构和/或格式或电子系统以读取的形式从数据控制者处获取其个人数据，或发送其个人数据给其他数据控制者。

数据主体权利例外情形

对于删除权、撤回同意权、反对受自动决策决定权、选择权、限制处理权、数据可移植权，PDP草案规定了例外情况：

1.?国防安全利益；

2.?执法过程的利益；

3.?国家行政范围内的公共利益；

4.?金融服务部门、货币、支付系统和金融系统稳定的监管利益；或者

5.?为统计目的和国家行政范围内的科学研究。

法律要求

具体内容

允许跨境传输的情形

1.?接收方住所地国家或接收个人数据转移的国际组织的个人数据保护水平等于或高于PDP草案规定的水平；

2.?国家之间有国际协定；

3.?数据控制者之间存在合同，该合同具有根据PDP草案规定的保护个人数据的标准和/或保证； 和/或

4.?获得数据主体的同意。