Contact us:(+65) 9662 9086 orestar.inquiry@estarbizadvisor.com

[C-SG] 数据保护官(DPO)的合规要求

发布时间:2024-09-03 11:23:37 人气:

引言

2024年,新加坡个人数据保护委员会(Personal Data Protection Commission,“PDPC”)再次对企业任命数据保护官(Data Protection Officer,“DPO”)的要求进行强调,并鼓励相关企业在2024年9月30日前通过ACRA Bizfile+网站提交公司DPO的相关信息。DPO的任命和信息披露来自新加坡《2012年个人数据保护法》(Personal Data Protection Act,“PDPA”)的要求,也是新加坡个人数据保护制度中的重要部分。有关DPO合规要求的常见问题将在本文中进行简单说明。


常见问题清单:

Q1.为什么需要委任DPO?

Q2.哪类公司需要委任DPO?

Q3.DPO可以由哪些人员担任?

Q4.什么时间需要完成DPO委任?

Q5.DPO委任的流程以及需要披露的信息?

Q6.DPO需要履行什么样的责任?

Q7.未能及时委任DPO或未能遵守PDPA的相关处罚?


Q1 为什么需要委任DPO?

PDPA是一部规定如何收集、使用、披露和管理个人数据的法律。新加坡的PDPA于2012年通过PDPA,并于2014年7月2日正式生效。根据PDPA第11(3)条,“一个组织必须指定一个或多个个人负责确保该组织遵守本法。”换而言之,在新加坡的所有公司或其他组织,无论其规模大小,只要该公司或其他组织属于PDPA法规的管辖范围、就必须指定至少一名DPO。


Q2 哪类公司需要委任DPO?

若公司属于PDPA法规的管辖范围、即存在处理个人数据的情况,则必须指定DPO。其中,个人数据包括任何能够识别个人身份的数据,这些数据可以是电子形式的,也可以是非电子形式的,包括:姓名、身份证号码、联系方式、家庭住址银行账户信息、工资单、绩效记录、健康信息(如医疗保险)、电邮,可以是外部交易个体的个人数据、也可以是内部员工以简历、工资单等形式存在的个人数据。


具体来说,以下类型的公司通常需要指定DPO:

1) 处理大量个人数据的公司:例如电子商务、保险、银行、医疗机构等,这些公司会收集、处理或存储大量客户的个人信息。

2) 涉及敏感个人数据的公司:例如电子商务、保险、银行、医疗机构等,这些公司会收集、处理或存储大量客户的个人信息。

3) 在线业务或有大量客户交互的公司:在线平台、社交媒体公司、市场营销公司等,通常会收集和使用大量的个人数据。

4) 中小企业(SMEs):即使是中小企业,只要涉及个人数据的处理,也需要指定DPO。虽然规模较小的企业可能没有处理大量数据,但只要有处理个人数据的行为,就应遵守PDPA的规定。


若公司没有员工且不处理个人数据的公司,在这种情况下,可能不需要指定DPO。但是,这种情况较为少见,因为大多数企业都会处理某种形式的个人数据。


Q3 DPO可以由哪些人员担任?

虽然PDPA并没有明确规定DPO必须具备特定的资格或头衔,但PDPA第11(1)条确实提出了要求,组织必须考虑担任DPO人员适当。以下是可以担任DPO的人员类型:


1) 内部员工:DPO可以由组织内的现有员工担任,无论他们的职位是什么。通常,组织会选择具备一定法律、合规、IT或数据管理背景的员工担任DPO。

2) 高层管理人员:在一些中小型企业,DPO职位可能由公司的高层管理人员(如CEO、COO、CFO)兼任,特别是当组织规模较小,无法专门分配资源时。

3) 兼职或共享职位:一些组织可能会选择让DPO兼职处理数据保护事务,同时兼任其他职责。此外,多个小型组织可以共享一个DPO,特别是在资源有限的情况下。

4) 外部顾问:组织也可以选择聘请外部顾问或服务提供商担任DPO。这种情况下,DPO通常会是数据保护和合规领域的专家,能够为组织提供专业的咨询和指导。

 

无论由谁担任DPO,组织都需要确保他们具备执行职责所需的资源、培训和支持,以确保符合PDPA的规定。PDPC的官方建议是DPO参加PDPA基础知识课程,以深入了解PDPA和PDP从业者证书(新加坡),从而获得为组织制定健全的数据保护政策和实践所需的知识和技能。

 

Q4 什么时间需要完成DPO委任?

PDPC建议企业及组织“越快越好”(as soon as possible)地完成上述登记本次、并敦促企业及组织在9月30日前通过ACRA Bizfile+完成DPO登记,并非是指企业必须按照上述时间和方式完成DPO的登记。


Q5 DPO委任的流程以及需要披露的信息?

DPO委任的具体流程以及需要披露的信息详见:https://www.pdpc.gov.sg/dpo


对于新加坡公司而言,ACRA Bizfile+对DPO进行登记是PDPC“强烈鼓励”(strongly encourage)的一个登记方式,因此建议咨询公司秘书来准备相关的DPO委任文件并完成相应的DPO委托工作。若企业实体没有在ACRA登记,也可以通过前述网址里提及的PDPC的在线表格进行信息的登记。


Q6 DPO需要履行什么样的责任?

DPO的职责包括但不限于:

- 确保遵守 PDPA

- 培养数据保护文化

- 高效处理数据查询

- 个人数据风险警报管理

- 必要时与PDPC联络


Q7 未能及时委任DPO或未能遵守PDPA的相关处罚?

如果组织错过上述第4个问题(Q4)提及的期限,不会受到处罚,根据PDPA第50-59条,PDPC针对组织未能任命DPO采取的具体执法行动将取决于数据泄露事件的情况、组织不遵守PDPA的情况及其纠正情况的反应。执法结果可能包括警告、指示或经济处罚。其中,PDPC有权对违反PDPA的组织以及个人处以罚款以及牢狱,组织的罚款最高可达新加坡币100万(1,000,000)元,牢狱最高3年,具体罚款金额视违规的严重性而定。


法规链接:

◎ PDPA法规: https://sso.agc.gov.sg/Act/PDPA2012?ProvIds=al-#al-

◎ 新加坡有关PDPO的指引: https://www.pdpc.gov.sg/dpo

 

参考资料:

Google搜索网站上搜到的公开信息

◎ 其他同类机构的网上公开信息 

 

其他相关文章:

[C-SG] 新加坡公司如果业务未开展或停滞,如何节省当地合规必须的财税成本


免责声明:

此页面上的信息旨在帮助企业了解DPO的合规要求。但是,星中商务无法提供法律建议。您应该就您的具体法律问题咨询律师。法律法规经常变化,这些信息可能不是最新的或准确的。在法律允许的最大范围内,星中商务按原样提供此材料。 星中商务不对此材料作出任何形式的陈述或保证,无论是明示、暗示或法定的,包括对适销性、特定用途的适用性或准确性的陈述、保证或保证。

Online Message