作者:于岚丨张宇运[1]
近日,新加坡个人数据保护委员会(Personal Data Protection Commission,“PDPC”)再次对企业任命数据保护官(Data Protection Officer,“DPO”)的要求进行强调,并鼓励相关企业在2024年9月30日前通过ACRA Bizfile+网站提交公司DPO的相关信息[2]。DPO的任命和信息披露来自新加坡《2012年个人数据保护法》(Personal Data Protection Act,“PDPA”)的要求,也是新加坡个人数据保护制度中的重要部分。
PDPA第11(3)条和第11(5)条[3]分别规定,在新加坡经营的组织必须任命至少一个人负责确保该组织对PDPA的遵守,也即DPO,同时还应当保证该DPO的联络信息为公众所知。DPO的责任包括但不限于[4]:1)确保公司对PDPA的遵守;2)培养公司数据保护的文化;3)高效地处理与数据有关的问询;4)个人数据风险的预警管理;5)需要的时候与PDPC联络。
在具体的工作安排及人员任用上,DPO可以被设置为一个专门的岗位,也可以由公司现有的员工兼任;同时PDPA第11(4)条还规定[5],被指定作为DPO的个人还可以将自己所被授予的职责分配给其他的个人,这意味着可以将DPO的角色或工作外包给服务提供商。
PDPC也相应地为企业个人数据保护工作的开展及DPO的工作提供支持。企业更新/登记了DPO信息后,相应的DPO可以享有包括有关PDPC最新资讯、针对提升数据保护能力的免费研讨、对数据泄露的关键趋势的见解等。
一、本次登记的非强制要求:方式和时间
PDPC本次敦促企业及组织在9月30日前通过ACRA Bizfile+完成DPO登记,并非是指企业必须按照上述时间和方式完成DPO的登记。尽管PDPA规定企业及组织任命DPO及披露联络信息这一点是强制的,但并未将通过ACRA Bizfile+完成此项义务作为唯一途径,鉴于通过ACRA Bizfile+对DPO进行登记既能满足公开DPO联络信息的要求,又比较简便、易于操作,因此是PDPC“强烈鼓励(Strongly Encourage)”的一个登记方式;根据PDPC的指引[6],披露在Bizfile+上的DPO联络信息包括:1)DPO的姓名;2)职位;3)联系电话;4)公司邮箱地址以及公司主要联系电话等。针对没有在ACRA登记的企业实体,也可以通过PDPC的在线表格进行信息的登记。
同样,尽管PDPC建议企业及组织“越快越好(As Soon As Possible)”地完成上述登记,错过了9月30日的期限也不会直接导致相关的处罚。但这并不意味着没有妥善完成DPO登记的企业不会因此承担任何责任,针对没有任命DPO或披露其联络信息的公司,PDPC可能会对其处以包括警告、行政命令、经济处罚在内的执法措施[7]。
二、PDPA下企业的数据保护义务
PDPC此次重申DPO的相关要求,旨在提醒及监督相关企业组织妥善履行PDPA规定的任命数据合规官及公开信息的数据合规义务,同时也是对企业承担数据合规义务、及符合PDPA各项具体要求的强调。PDPA和PDPC新加坡个人数据保护体系最主要的立法文件和执法机构,除了有关DPO的要求,相关企业及组织还在PDPA下承担多方面的数据保护义务数据合规义务[8],例如:
1. 同意义务:个人数据的收集、使用、披露前需要征得相关个人的同意;
2. 通知义务及目的限制义务:个人数据的收集、使用、披露前,应当将相关的目的通知该个人;并且仅可以用于该理性人认为的适当的目的;
3. 准确性义务:保证所收集的个人数据准确、完整;
4. 保护义务:持有个人数据的企业和组织应当采用合理的安保手段来保护其掌握的个人数据;
5. 保留限制义务:当个人数据不再需要的情况下对其不再保留并进行妥善处理;
6. 传输限制义务:除非符合PDPA及相关规定的标准,否则不将数据传输至境外;
7. 访问和更正义务:经相关个人请求,向其提供访问个人数据的权限,并应要求对错误或者遗漏进行更正;
8. 数据泄露通知义务:在发生数据泄露且可能对个人造成重大伤害时,尽快告知受影响的个人及PDPC;
9. 数据便携义务:经相关个人的要求,采用通用的机器可读的形式进行组织间的个人数据的传输。
三、未能遵守PDPA的相关处罚
PDPA还针对没有遵守及履行PDPA义务的企业和组织规定了多方面的处罚措施,涉及行政责任、民事责任和刑事责任。行政责任包括但不限于[9]:1)要求相关企业或组织停止收集、使用或披露违反PDPA的个人数据;2)对相关违法个人数据进行销毁;3)对处罚对象处以最高其年营业额10%或100万新币的处罚(以较高者为准)。
此外,PDPA还在第48O条赋予个人向法院提出私人诉讼的权利[10];在刑事责任方面,PDPA同样适用于个人,违反PDPA(如未经授权的对个人数据的披露、使用等[11])并造成损失的,可能构成PDPA规定的罪行,最高可能被处以5,000新币的罚款或者2年监禁。
随着新加坡乃至世界各国对个人数据保护力度不断加大,企业的数据合规和个人数据保护显得更加重要,此次PDPC的通知也再次表明新加坡对个人数据保护的重视及相关执法要求的完备和严格。企业应当尽早完成DPO的登记工作,以确保合规并减少潜在的法律风险,并保证企业的持续良好发展。
特别声明 |
|
汉坤律师事务所编写《汉坤法律评述》的目的仅为帮助客户及时了解中国或其他相关司法管辖区法律及实务的最新动态和发展,仅供参考,不应被视为任何意义上的法律意见或法律依据。 如您对本期《汉坤法律评述》内容有任何问题或建议,请与汉坤律师事务所以下人员联系: |
|
于岚 电话: +65 6013 2966 |
[1]文俊鹏对本文的写作亦有贡献。
[2] PDPC <https://www.pdpc.gov.sg/overview-of-pdpa/data-protection/business-owner/data-protection-officers>(Accessed 27 August 2024)。
[3] PDPA,Section 11(3),"An organisation must designate one or more individuals to be responsible for ensuring that the organisation complies with this Act.",and Section 11(5),"An organisation must make available to the public the business contact information of at least one of the individuals designated under subsection (3) or delegated under subsection (4)"。
[4] Ibid at 1。
[5] PDPA,Section 11(4),"An individual designated under subsection (3) may delegate to another individual the responsibility conferred by that designation"。
[6] PDPC <https://www.pdpc.gov.sg/-/media/files/pdpc/pdf-files/resource-for-organisation/dpo-registration-instruction-guide_mar2024.pdf>(Accessed 27 August 2024)。
[7] Ibid at 1。
[8] PDPC <https://www.pdpc.gov.sg/overview-of-pdpa/the-legislation/personal-data-protection-act/data-protection-obligations>(Accessed 27 August 2024)。
[9] PDPA,Section 48I,Section 48J。
[10] PDPA,Section 48O,"A person who suffers loss or damage directly as a result of a contravention...has a right of action for relief in civil proceedings in a court"。
[11] PDPA,Section 48D,Section 48E,48F。
