为了响应日益增长的保护需求,世界各国正加强对数据隐私的重视,例如《通用数据保护条例》(GDPR)。新加坡也不例外。2020年,该国更新了《个人数据保护法》(PDPA),以加强其对个人数据保护的承诺。本文将带您了解新加坡重要的《个人数据保护法》(PDPA),该法确保组织对个人数据拥有所有权。
新加坡的《个人数据保护法》是什么?
新加坡于 15 年 2012 月 2 日颁布了《个人数据保护法》(PDPA),并于 2014 年 XNUMX 月 XNUMX 日生效。PDPA 规定
组织对个人数据的收集、使用和披露 保护个人隐私。自2020年起,《个人资料保护法》(PDPA)的修订已通过《2020年个人数据保护(修订)法》分阶段实施。该法案于1年2021月XNUMX日生效,规定
- 数据泄露时的通知
- 引入刑事犯罪
- 扩大视为同意的范围
- 增加了获得明确同意义务的例外情况
什么是个人数据?
根据新加坡个人数据保护法,“个人数据”是指有关客户的数据(无论真实与否),这些数据可通过以下方式识别:(a)通过该数据;或(b)通过该数据和我们拥有或可能拥有的其他信息。这些包括但不限于:
- 姓名
- 国民居民身份证号码
- 护照号
- 个人的照片或视频图像
- 移动电话号码
- 个人电子邮件地址
- 指纹
- 住址
《个人资料保护法》不适用于商业联系信息,除非该信息仅用于个人目的。此外,“
匿名数据”不属于数据保护的范围。
PDPA 的重要要求
根据新加坡个人数据保护委员会 (PDPC) 的规定,公司必须遵守 PDPA 规定的数据保护义务的三个关键考虑因素:重点。
11 项数据保护义务是什么?
为保护您的客户和员工委托给您的个人数据,您有 11 项数据保护义务。具体包括以下内容。
问责义务
公司必须采取措施履行《个人数据保护法》规定的义务。公司还必须指定一名数据保护官 (DPO),并将公司联系信息公开。
通知义务
公司必须告知客户他们打算收集、使用或披露其数据的具体目的。
同意义务
企业必须仅出于个人同意的目的收集、使用或披露个人数据。个人必须能够在合理的通知期内撤回同意,并被告知撤回同意的任何后果。撤回许可后,公司必须停止任何收集、使用或披露个人数据的活动。
目的限制义务
公司必须仅在获得个人同意的情况下,出于正当目的使用、收集或披露个人数据。此外,公司不得以提供产品或服务为条件,要求个人允许超出合理范围的使用、收集或披露个人数据。
准确性义务
公司必须尽合理努力确保其收集的个人数据完整准确。如果这些数据很可能被用于做出影响客户的选择,或披露给其他企业,则更应如此。
保护义务
各机构必须确保采取合理的安全措施,以保障其持有的个人数据安全,避免未经授权访问、使用、收集或披露个人数据等风险。
保留限制义务
当因任何业务或法律原因不再需要个人数据时,公司必须停止保留个人数据或妥善处理个人数据。
查阅及更正义务
机构必须在个人提出请求之日起一年内,向其提供其数据的访问权限,并提供有关其使用或披露方式的详细信息。机构还必须尽快纠正个人数据中的任何错误或遗漏。此后,机构必须在一年内将更新后的数据发送给其他披露机构。
数据泄露通知义务
当数据泄露发生时,协会必须采取措施确定是否需要通知。如果此次泄露事件对个人造成重大损害,协会必须尽快通知新加坡个人数据保护委员会 (PDPC) 和受影响的人员。
数据可移植性义务
当收到要求时,公司必须以机器可读、常用的格式将个人数据传输到另一个组织。
不遵守《个人资料保护法》规定的后果
根据新加坡《个人数据保护法(修正案)》,不遵守该法的机构最高可被处以1万新元或其新加坡年收入10%的罚款。此外,您的公司可能被禁止披露、使用或收集个人数据。具体而言,根据该法,所有机构必须遵守“谢绝来电”条款并履行以下九项义务:
如何遵守新加坡的《个人资料保护法》?
如果您处理新加坡境内的个人数据或新加坡数据主体的个人数据,则必须遵守《个人数据保护法》第三部分至第六部分中概述的特定义务。
- 公司必须 制定并执行政策和程序 为满足 数据保护 义务,这些义务应当向公众开放。
- 组织必须 删除、匿名化或消除收集个人数据的手段 一旦初始目的实现,他们还有义务在法定权利范围内处理数据主体的请求。
- 每个组织都有责任处理 数据中介机构代表他们提供个人数据因此,如果这些中介机构未能遵守《个人资料保护法》,他们可能要承担责任。
- 公司必须通过 i 来保护个人数据实施安全措施以防止未经授权的访问、使用或披露。建议任命一名或多名数据保护官 (DPO) 来监督 PDPA 的合规性。
- 遵守强制性规定 数据泄露通知要求 一旦违规行为被评估并被认定为应通知的违规行为。
- 公司必须确保 数据传输至新加坡境外 在被羁押期间遵守《个人资料保护法》的要求。当接收者受与《个人资料保护法》类似的具有法律强制力的义务约束时,适用例外情况。
新加坡《个人资料保护法》的执行
2022年750,000月,委员会对综合健康信息系统公司(Integrated Health Information Systems)和新加坡卫生服务公司(Singapore Health Services)分别处以250,000万新元和XNUMX万新元的罚款,这是迄今为止最高额的罚款。这些罚款的原因是,这两家公司对数据主体医疗记录的保护措施不足,导致网络攻击造成重大数据泄露。
刑事处罚
发生重大数据泄露的公司可能面临巨额罚款或刑事责任,甚至可能被判入狱。减轻处罚的因素(例如及早发现并响应或及时通知数据泄露)以及加重处罚的因素(例如在调查期间不合作)均会被纳入考量。
民事责任
在数据泄露的情况下,公司可能要对遭受损害的个人承担责任。这些个人可以寻求以下救济:禁令、损害赔偿或法院认为必要的任何其他命令、救济或声明。
任命数据保护官(DPO)
根据《个人数据保护法》(PDPA),公司/机构在开展业务运营过程中收集个人数据时,必须任命一名数据保护官(“DPO”)。贵公司的DPO可以是个人或团队(员工或外部任命),以确保公司遵守PDPA的规定。DPO的主要职责包括:
- 制定并实施处理个人数据的流程和政策;
- 在员工中培养数据保护文化,并向利益相关者传达个人数据保护政策;
- 管理有关您的企业个人数据保护的疑问和投诉;
- 提醒管理层可能出现的任何数据保护风险;
- 数据泄露管理;
- 必要时就数据保护事宜与个人数据保护委员会 (PDPC) 进行联络
借助 InCorp 的咨询解决方案,确保符合 PDPA 规定
遵守各项 PDPA 义务至关重要,这样才能确保您的企业免受处罚。立即联系我们的 PDPA 专业人员,他们随时准备帮助您评估和管理 PDPA 需求!
关于新加坡《个人资料保护法》(PDPA)的常见问题
- PDPA 涵盖所有电子和非电子个人数据,无论真实或虚假。
- 是的,它适用于所有收集、使用或披露个人数据的组织,包括公共机构、私营公司、独资企业、合伙企业和协会。
- 两个 生者和死者的个人数据 受到《个人资料保护法》的保护。然而, 已去世至少 10 年 不受《个人数据保护法》的约束。该法也不适用于已存在记录中的个人数据。 至少 100 年.
- 在将个人数据转移到海外时,公司必须采取合理措施,确保其受到《个人数据保护法》的保护。这可能包括要求海外接收方签订合同,承诺按照数据保护标准保护数据。
关于作者
Nipun Arora
Nipun 在转让定价方面拥有超过 14 年的经验,职业生涯大部分时间都在四大会计师事务所工作。Nipun 为汽车、零售、电信、快速消费品和奢侈品行业的中小企业和跨国公司提供转让定价咨询服务。他协助客户准备年终转让定价文件,以确保他们的转让定价政策符合独立交易原则和 BEPS 行动计划。
更多商业博客
