引言
根据新加坡政府《个人数据保护法》(PDPA)要求,新加坡公司必须指定至少一名数据保护官Data Protection Officer (DPO) ,旨在监督公司内部的数据保护职责并确保遵守相关法律法规。近期根据公告,企业被要求在2024年9月30日前,向 PDPC 登记数据保护官(DPO)信息,其中包括名字、职位、电话、电邮等信息。
所有公司都必须任命 DPO 并公开其联系信息并不是一条新的规定,但根据本次限期进行登记的公告无疑代表着当局对于个人数据保护立法及约束的趋严趋势。借由此问题,TC现拟从新加坡数据保护中关于数据保护官的相关规定入手,对比分析全球主要国家在数据保护立法现状,以期能够给企业朋友带来一些参考及帮助。
数据保护法的立法背景
随着互联网的普及和数字技术的飞速发展,全球数据的生成和流动量大幅增加。每天都有海量的个人信息在网络上被收集、存储和处理,从社交媒体到电子商务,数据成为了重要的经济资源。
与此同时,许多全球知名企业和机构都发生过严重的数据泄露事件,涉及数百万甚至数亿人的个人信息。这些事件暴露了数据保护的薄弱环节,引发了公众和政府对数据安全的关注。除了数据泄露,数据滥用问题也日益突出。例如,一些公司利用用户数据进行未经授权的广告推送、用户行为监控等,这些行为进一步推动了全球立法者加强数据保护的决心。
新加坡《个人数据保护法》(PDPA)概述
新加坡的《个人数据保护法》(Personal Data Protection Act, PDPA)于2012年生效,目的是保护个人数据的隐私和安全,是新加坡个人数据保护领域最主要的立法。
1. “个人数据"的定义
个人数据是指有关个人的数据,指可以确定到个人的数据,即通过:
(1)数据本身就可以确定到个人;
(2)通过此数据和组织可以接触到的个人其他数据可以确定到个人的数据。
2. 数据保护原则
PDPA设定了多项原则,组织在收集、使用和披露个人数据时必须遵循。这些原则包括:
收集的必要性:仅在必要时收集个人数据。
明确同意:在收集和使用个人数据之前,需获得个人的明确同意。
使用数据的限制:仅能按照个人同意的方式使用数据,并且不得将数据用于与原目的无关的用途。
保护数据:采取合理的措施保护个人数据不被遗漏、损坏或非法访问。
3.个人权利
PDPA赋予个人若干权利,包括:
访问权:个人有权请求访问组织所持有的自己的个人数据。
更正权:个人可以要求更正其个人数据中的不准确或不完整信息。
撤回同意的权利:个人有权随时撤回对处理其个人数据的同意。
4.数据保护官的设置
《个人数据保护法》(PDPA)要求所有组织(无论其规模或性质)都必须指定至少一名数据保护官(DPO)。DPO负责监督组织的个人数据保护政策和实践,确保其符合PDPA的要求。
5. 跨境数据流动的监管
根据PDPA要求,跨境数据传输需要满足同等保护标准,即要求组织在将个人数据转移到新加坡以外的地方之前,必须确保接收方能够提供与PDPA要求相当的个人数据保护水平。除了确保等效保护外,组织还必须在数据传输之前获得数据主体的明确同意。数据主体必须了解数据的目的和将被传输的国家或地区。组织需要告知个人其数据将被转移至其他国家或地区,并确保他们了解相关风险和保障措施。
1. 欧盟《通用数据保护条例》(GDPR)
2. 美国《加州消费者隐私法》(CCPA)
3. 中国《个人信息保护法》(PIPL)
结语
在当今高度数字化和全球化的商业环境中,企业处理的数据量日益增多,数据种类也更加多样化。这些数据包括客户信息、商业机密、员工数据等,都是企业的重要资产。随着各国数据保护法律的日益严格,企业在数据处理和保护方面面临着前所未有的挑战。为了确保合规并降低风险,企业需要寻求专业法律机构的协助。
全球范围内,数据保护法律的复杂性和多样性对企业提出了严峻的合规要求。包括上述法律法规在内,全球范围内的不同国家地区的规定,都对企业如何收集、处理、存储和传输个人数据提出了严格要求。建议企业聘请专业的法律机构,帮助企业理解这些法律的具体规定,确保企业在不同法域下的运营符合当地的数据保护要求,并协助企业制定和实施符合当地和国际标准的数据保护政策和程序。
附:关于新加坡DPO规定常见问题及解答(FAQs)
1.注册 DPO 是强制性的吗?
法律强制要求组织指定一名DPO,负责确保遵守PDPA,并向公众提供DPO的业务联系信息。注册DPO将满足PDPA的义务,我们强烈建议您的组织采取这一必要步骤。
2. 所有组织必须指定一名 DPO 吗?
所有组织,包括独资企业,都必须指定至少一名 DPO,负责确保组织遵守《个人信息保护法》。各组织还必须确保向公众提供至少一名 DPO的业务联系信息。业务联系信息可以是组织的一般电话或电子邮件地址。
3. 我应该任命谁为我所在组织的数据保护专员?
数据保护专员可以是其工作范围仅与数据保护有关的个人,也可以是组织中将此角色作为其多项职责之一的个人。
DPO 最好是
l 高级管理层成员或直接向高级管理层报告;以及
l 有足够的技能、知识和权力来推动组织内的数据保护政策和实践。
人力有限的组织可将 DPO 职能的操作方面外包给服务提供商。需要明确的是,遵守《个人信息保护法》仍是机构的責任。
4. 如果我们没有任命 DPO,PDPC 会对我的组织采取什么行动?
机构专员就机构未有委任DPO所采取的具体执法行动,将视乎资料外泄事件的情况、机构不遵守私隐法令的情况,以及机构纠正有关情况的响应而定。执法结果可能包括警告、指令或罚款。因此,机构必须遵守《私隐法令》的规定,委任一名数据保护专员,并确保适当的数据保护管理。
5. 控股公司(没有雇员)是否必须任命一名 DPO?
是的。组织对其拥有或控制的所有个人数据负责。这可能不仅涉及雇员的数据,还可能涉及其他人员(如客户或股东)的个人数据。
6. 如果我的组织处于休眠状态、正在清算或将在几个月后停止运营,我是否需要指定一名 DPO?
只要组织在收集、使用和披露个人数据,或者拥有或控制个人数据,就必须确保遵守《个人数据保护法》。这包括指定一个 DPO。
7. DPO必须是常驻新加坡的新加坡雇员或新加坡永久居民吗?
《个人信息保护法》没有规定 DPO 的国籍和他/她的工作地点。此外,DPO 不一定是组织的雇员。
但是,为了符合《个人信息保护法》的要求,只要新加坡公众试图与其联系,就必须能够联系到提供了业务联系信息的 DPO。为明确起见,虽然我们强烈建议您使用新加坡电话号码以简化沟通过程,但这并不是强制性的。
声明:本公众号文章版权归TC Group所有,如需转载必须经过书面授权,未经授权的任何转载、摘编、转帖或其他复制行为将视为对我们文章版权之侵犯。转载授权联系方式:wecare@top-c.hk
长按上图 识别二维码关注
