01
Personal data определяется возможностью идентификации
PDPA применяется к data об identifiable individual, collected, used or disclosed organisation. Customer, employee, UBO, director, website/device and support data входят в scope по фактам. Business contact information и публичные данные имеют специальные правила, но не должны автоматически исключаться без проверки.
02
Organisation и data intermediary несут разные обязанности
Organisation определяет purposes and means и отвечает за полный набор obligations. Data intermediary обрабатывает данные от имени другого и напрямую несёт прежде всего protection, retention и breach-notification duties, но contract распределяет operational controls и помощь principal organisation.
- Organisation
- Purpose, notice, consent/exception, rights, security и transfer
- Data intermediary
- Processing on behalf; security, retention и incident notice
- DPO
- Governance owner и публичный business contact
- Business owner
- Purpose, necessity и access approval
- Vendor
- Contract, controls, sub-processing и evidence
03
Consent — не единственный, но и не декоративный basis
Collection, use and disclosure должны отвечать notified reasonable purpose и применимому consent или exception. Deemed consent, legitimate interests и business improvement используются только после условий и assessment; withdrawal process связывается с последствиями для услуги.
04
Privacy notice следует customer journey
Notice объясняет categories, purposes, recipients, overseas transfers, retention, rights и DPO contact до соответствующего processing. Cookie banner, onboarding form, KYC, HR notice и marketing preference не должны противоречить договору или фактическим integrations.
Каждый data flow должен иметь owner, purpose, legal route, recipients, retention и security classification.
05
Reasonable security зависит от риска
MFA, least privilege, joiner/mover/leaver и admin controls.
Classification, encryption, masking и secure deletion.
Patching, logging, testing, backup и recovery.
Training, confidentiality, phishing и incident escalation.
06
Cloud и processor оформляются до передачи данных
Due diligence проверяет hosting locations, certifications, access, encryption, incident history, sub-processors и exit. Contract фиксирует instructions, security, confidentiality, breach timing, audit evidence, deletion/return и overseas-transfer protection.
07
Overseas transfer требует comparable protection
Компания определяет destination, recipient и onward transfers, затем использует legally recognised mechanism и contractual/organisational safeguards, обеспечивающие protection comparable to PDPA. Group company за рубежом не является автоматическим исключением.
- Map
- Country, recipient, dataset и purpose
- Mechanism
- Contract or other permitted basis under regulations
- Security
- Access, encryption, localisation и incident route
- Onward transfer
- Ограничение sub-processors и дальнейших recipients
- Evidence
- Assessment, contract и periodic review
08
Access and correction requests требуют маршрута
Organisation предоставляет доступ к personal data и информации об использовании/disclosure за применимый период, исправляет errors and omissions и учитывает exceptions, third-party data и identity verification. Retention schedule прекращает хранение, когда data больше не нужны для legal or business purpose.
09
Сначала contain, затем determine and notify
Organisation останавливает exposure, сохраняет evidence, определяет affected data/individuals и оценивает significant harm or scale. Если breach notifiable, PDPC уведомляется as soon as practicable и не позднее 3 calendar days после determination; affected individuals — as soon as practicable, когда требуется.
- 01Contain
Credentials, systems, vendor и exfiltration path.
- 02Assess
Data, people, harm, scale и ongoing risk.
- 03Notify
PDPC, individuals, partners и другие regulators.
- 04Remediate
Root cause, controls, monitoring и documented lessons.
10
PDPA operating file
- 01
Data inventory, systems, vendors, countries и owners.
- 02
Purpose/consent/exception matrix и notices.
- 03
Retention, access, transfer и vendor controls.
- 04
DPO, request workflow и staff training.
- 05
Breach playbook и tabletop test не реже чем по risk cycle.
+7 (495) 221 31 46Обсудить задачу