Hvad er PDPA – Singapores lov om beskyttelse af personoplysninger?

Table of Contents

I takt med at internettet er blevet mere og mere globaliseret, har de nationale myndigheder taget skridt til at beskytte borgernes personoplysninger. Det kommer efter adskillige store databrud fra transnationale selskaber, ud over den hemmelige indsamling af personoplysninger uden regulatorisk tilsyn. I Singapore er loven om databeskyttelse PDPA.

I denne artikel vil vi forklare, hvad PDPA er, hvordan det fungerer, og hvem det påvirker?

Hvad er PDPA?

Loven om beskyttelse af personoplysninger (PDPA) er en databeskyttelseslov, der blev vedtaget af Singapores parlament den 15. oktober 2012. Loven trådte i kraft fuldt ud i juli 2014 og blev for nylig opdateret i november 2020.

Den regulerer al indsamling af personoplysninger, brug og videregivelse af en privat organisation relateret til singaporeanske borgere. Forordningen anerkender dog også behovet for, at organisationer bruger og indsamler personoplysninger under passende omstændigheder.

I forbindelse med en nylig gennemgang blev der indført en obligatorisk ordning for anmeldelse af brud på datasikkerheden. Her er organisationer, der bliver udsat for et databrud, forpligtet til at underrette de singaporeanske myndigheder og registrerede, medmindre en undtagelse gælder.

Hvad er ti databeskyttelsesforpligtelser i PDPA?

PDPA definerer ti beskyttelsesforpligtelser, herunder:

  1. Begrænsning af formålet. Brug eller videregiv kun personoplysninger til de definerede formål.
  2. Meddelelse. Informere personerne om formålet med at indsamle, bruge og videregive deres personoplysninger under indsamlingen.
  3. Samtykke. Sørg for, at der er indhentet samtykke fra personerne, før de indsamler, bruger eller videregiver deres personoplysninger.
  4. Adgang og rettelse. På anmodning skal du give den enkeltes personoplysninger og oplysninger om, hvordan den enkeltes personoplysninger er blevet brugt eller videregivet i det seneste år. Ret en persons personoplysninger efter anmodning.
  5. Nøjagtighed. Sørg for, at personoplysninger er nøjagtige og fuldstændige under indsamlingen, eller når der træffes en beslutning, der vil påvirke den enkelte.
  6. Beskyttelse. Opbevar personoplysninger i din besiddelse mod uautoriseret adgang, ændring, videregivelse, brug, kopiering, uanset om det er i papirform eller elektronisk form.
  7. Begrænsning af opbevaring. Opbevare kun personoplysninger til forretningsmæssige/juridiske formål og destruere personoplysninger sikkert, når de ikke længere er nødvendige.
  8. Begrænsning af overførsel. Sørg for, at oversøiske eksterne organisationer yder en beskyttelsesstandard under Singapore PDPA.
  9. Åbenhed. Udpeg en databeskyttelsesrådgiver og offentliggør deres forretningskontaktoplysninger. Stille politikker og praksis for beskyttelse af personoplysninger til rådighed for offentligheden og medarbejderne, herunder klageprocessen.
  10. Ring ikke (DNC). Send ikke markedsføringsmeddelelser til personer, der er registreret i det nationale DNC-register, via tale, tekstbeskeder eller fax, medmindre du har fået deres klare og utvetydige samtykke eller har et igangværende forhold (til tekst/fax).

For dem, der allerede er bekendt med GDPR, vil mange af disse forpligtelser virke bekendte. PDPA går dog flere år forud for GDPR.

Den tiende forpligtelse – Do-Not-Call – betragtes ikke altid som en forpligtelse, men er snarere en del af PDPA’s styring af telemarketing i Singapore. I stedet er en tiende (eller ellevte) forpligtelse kravet om at underrette myndighederne og de registrerede efter et brud på datasikkerheden.

Hvad er kommissionen for beskyttelse af personoplysninger?

Personal Data Protection Commission (PDPC) blev oprettet under PDPA som den regulerende myndighed med ansvar for at styre databeskyttelse i Singapore. PDPC rådgiver regeringen om fremtidige regler og offentliggør rutinemæssigt vejledende retningslinjer for databeskyttelse.

PDPC er en del af den konvergerede telekommunikations- og medieregulator, Infocomm Media Development Authority (IMDA). Begge myndigheder hører under Kommunikations- og Informationsministeriets ansvarsområde.

Oprettelsen af PDPC er en del af et skub mod en “kultur af ansvarlighed.” For eksempel implementerede PDPC i 2019 Data Protection Trustmark-certificeringen. Det er et frivilligt certificeringsprogram for hele virksomheden, der er oprettet til en organisation for at demonstrere sin ansvarlige databeskyttelsespraksis.

PDPC håndhæver og retsforfølger også adskillige organisationer for PDPA-overtrædelser: især inklusive SingHealth efter SingHealth-databruddet i 2018.

Hvad gælder PDPA for?

Ligesom anden databeskyttelseslovgivning, såsom Storbritanniens og EU’s GDPR og Brasiliens LGPD, indeholder PDPA “ekstraterritoriale virkninger.” Det betyder, at organisationer, der ikke er baseret i Singapore, kan finde sig forpligtet til at overholde PDPA, hvis en organisation indsamler, bruger eller videregiver data i Singapore.

For eksempel, hvis en ikke-singaporeansk virksomhed – som Facebook – indsamler data fra singaporeanere online, så er den underlagt PDPA. Det vil også blive pålagt sanktioner, hvis det viser sig, at det ikke er i overensstemmelse med forordningen.

Hvilke sanktioner følger af manglende overholdelse af PDPA?

Hvis en organisation viser sig at overtræde PDPA, forbeholder PDPC sig retten til at håndhæve flere sanktioner. Disse omfatter krav om, at organisationen:

– Stop med at indsamle, bruge eller videregive personoplysninger i strid med PDPA.
– Destruere personoplysninger, der er indsamlet i strid med PDPA.
– Give adgang til eller rette personoplysninger.
– Betale en bøde på op til 1 million SGD (ca. 625.735 EUR).

Sidstnævnte bøde er væsentligt lavere end de sanktioner, der håndhæves i henhold til EU’s GDPR, som kan nå op på 20 millioner euro eller 4 % af den årlige globale omsætning – alt efter hvad der er højest. Men med den nylige ændring har PDPC nu beføjelse til at pålægge højere økonomiske sanktioner. Det inkluderer maksimalt 10 % af organisationens årlige omsætning i Singapore (hvis omsætningen overstiger 10 millioner SGD (ca. 6.257.210 €) eller op til 1 million SGD (ca. 625.735 €).

Desuden vil straffede virksomheder sandsynligvis også lide under skade på omdømme og offentlig modreaktion.

Konklusion

PDPA er den singaporeanske databeskyttelseslov. Den regulerer behandlingen af personoplysninger i den private sektor. Hvis du handler med forretninger i Singapore, er det afgørende at sætte dig ind i indholdet af lovforslaget.

For yderligere information henvises til PDPC’s hjemmeside.

Kilder:

https://www.dataguidance.com/notes/singapore-data-protection-overview
https://www.pwc.com/sg/en/personal-data-protection.html
https://en.wikipedia.org/wiki/Personal_Data_Protection_Act_2012
https://sso.agc.gov.sg/Act/PDPA2012?ProvIds=P1IV-#P1IV-
https://www.pdpc.gov.sg/

Sales & Support