Singapore · Data Protection

PDPA начинается
с карты данных

Переводим customer journey, HR, vendors, cloud и marketing в purposes, roles, safeguards, retention и управляемый incident response.

DPOназначение и публичный business contact
Purposenotification, consent или exception
Comparableзащита при overseas transfer
3 дняпредельный срок PDPC notice после determination

01

Personal data определяется возможностью идентификации

PDPA применяется к data об identifiable individual, collected, used or disclosed organisation. Customer, employee, UBO, director, website/device and support data входят в scope по фактам. Business contact information и публичные данные имеют специальные правила, но не должны автоматически исключаться без проверки.

02

Organisation и data intermediary несут разные обязанности

Organisation определяет purposes and means и отвечает за полный набор obligations. Data intermediary обрабатывает данные от имени другого и напрямую несёт прежде всего protection, retention и breach-notification duties, но contract распределяет operational controls и помощь principal organisation.

Organisation
Purpose, notice, consent/exception, rights, security и transfer
Data intermediary
Processing on behalf; security, retention и incident notice
DPO
Governance owner и публичный business contact
Business owner
Purpose, necessity и access approval
Vendor
Contract, controls, sub-processing и evidence

03

Consent — не единственный, но и не декоративный basis

Collection, use and disclosure должны отвечать notified reasonable purpose и применимому consent или exception. Deemed consent, legitimate interests и business improvement используются только после условий и assessment; withdrawal process связывается с последствиями для услуги.

04

Privacy notice следует customer journey

Notice объясняет categories, purposes, recipients, overseas transfers, retention, rights и DPO contact до соответствующего processing. Cookie banner, onboarding form, KYC, HR notice и marketing preference не должны противоречить договору или фактическим integrations.

Один общий текст не заменяет purpose inventory

Каждый data flow должен иметь owner, purpose, legal route, recipients, retention и security classification.

05

Reasonable security зависит от риска

Identity

MFA, least privilege, joiner/mover/leaver и admin controls.

Data

Classification, encryption, masking и secure deletion.

Systems

Patching, logging, testing, backup и recovery.

People

Training, confidentiality, phishing и incident escalation.

06

Cloud и processor оформляются до передачи данных

Due diligence проверяет hosting locations, certifications, access, encryption, incident history, sub-processors и exit. Contract фиксирует instructions, security, confidentiality, breach timing, audit evidence, deletion/return и overseas-transfer protection.

07

Overseas transfer требует comparable protection

Компания определяет destination, recipient и onward transfers, затем использует legally recognised mechanism и contractual/organisational safeguards, обеспечивающие protection comparable to PDPA. Group company за рубежом не является автоматическим исключением.

Map
Country, recipient, dataset и purpose
Mechanism
Contract or other permitted basis under regulations
Security
Access, encryption, localisation и incident route
Onward transfer
Ограничение sub-processors и дальнейших recipients
Evidence
Assessment, contract и periodic review

08

Access and correction requests требуют маршрута

Organisation предоставляет доступ к personal data и информации об использовании/disclosure за применимый период, исправляет errors and omissions и учитывает exceptions, third-party data и identity verification. Retention schedule прекращает хранение, когда data больше не нужны для legal or business purpose.

09

Сначала contain, затем determine and notify

Organisation останавливает exposure, сохраняет evidence, определяет affected data/individuals и оценивает significant harm or scale. Если breach notifiable, PDPC уведомляется as soon as practicable и не позднее 3 calendar days после determination; affected individuals — as soon as practicable, когда требуется.

  1. 01
    Contain

    Credentials, systems, vendor и exfiltration path.

  2. 02
    Assess

    Data, people, harm, scale и ongoing risk.

  3. 03
    Notify

    PDPC, individuals, partners и другие regulators.

  4. 04
    Remediate

    Root cause, controls, monitoring и documented lessons.

10

PDPA operating file

  1. 01

    Data inventory, systems, vendors, countries и owners.

  2. 02

    Purpose/consent/exception matrix и notices.

  3. 03

    Retention, access, transfer и vendor controls.

  4. 04

    DPO, request workflow и staff training.

  5. 05

    Breach playbook и tabletop test не реже чем по risk cycle.

Официальная база

PDPC: obligations, transfers и breaches

03

PDPC — Organisations and Data Intermediaries

Распределение обязанностей controller-like organisation и processor-like intermediary.

Открыть источник

Data Protection

Соберём PDPA-программу под продукт

Data map, notices, vendors, transfers и incident response.

Обсудить данные
WAWhatsAppTGTelegram