新加坡:提醒企业需在9月30日前上报数据保护官信息!

来源:出海互联网法律观察

文章摘要
01、背景 2024年,新加坡个人数据保护委员会(PDPC)加大了提醒力度,并提供更多资源,敦促各实体任命数据保护官(DPO)。

01、背景
2024年,新加坡个人数据保护委员会(PDPC)加大了提醒力度,并提供更多资源,敦促各实体任命数据保护官(DPO)。之所以这样做,部分原因是为了给DPO社区提供独享的免费研讨会和资源,以增强数据保护官在数据保护方面的能力,并提供有关数据泄露关键趋势的洞见。我们整理了PDPC关于数据保护官相关FAQs,给出海新加坡企业参考。
02、任命数据保护官FAQs
以下内容来源于新加坡PDPC
https://www.pdpc.gov.sg/help-and-resources-menu/faqs
所有组织都必须任命数据保护官吗?
所有组织,包括独资企业,都必须指定至少一名人员担任数据保护官(DPO),负责确保组织遵守PDPA。组织还必须确保至少有一名DPO的业务联系信息向公众公开。该业务联系信息可以是组织的一般电话或电子邮件地址。DPO可以是其工作范围仅限于数据保护的人员,也可以是组织内承担这一角色的多重职责之一的人员。明确一点,尽管已任命数据保护官,但组织遵守PDPA的责任仍由组织承担。
数据保护官必须是新加坡员工吗?
PDPA并未规定数据保护官(DPO)应驻扎在哪个地方。DPO不一定是组织的员工,组织也可以将这一职能外包给第三方。然而,为了符合PDPA的要求,必须确保向公众提供的DPO的业务联系信息能够随时被联系到。
若控股公司没有雇员,是否必须任命DPO?
一个组织对其所拥有或控制的所有个人数据负有责任。这可能不仅涉及员工的数据,还可能涉及其他个人的数据,如客户或股东的数据。PDPA要求组织指定一或多位人员负责确保遵守该法。
DPO的任命需要符合哪些标准?
PDPA并未规定的最低年龄及资质要求。然而,被任命的人应当具备相应的专业知识和知识,以确保组织遵守PDPA,并制定一个过程来处理和回应与PDPA适用有关的投诉。
未任命DPO或违反数据保护政策的后果是什么?
未能任命DPO可能会给组织带来严重的后果。PDPC非常重视这一要求,并有权对不合规行为实施处罚。
如果发现某个组织在没有DPO的情况下运营,PDPC的应对措施将取决于几个因素。这些因素包括审视具体情况,例如是否发生了数据泄露,不合规的严重程度,以及提出的解决方案的速度和有效性。
如果有公众投诉,并且在PDPC评估后,处罚可能包括高达5000新加坡元的罚款,甚至可能包括监禁。
任命DPO的截止日期?
强烈建议各实体尽快任命DPO,或在2024年9月30日之前完成任命。
03、任命数据保护官时企业应该注意什么?
总体来说,PDPA对DPO的人选无资格和地点等硬性要求,一般可以选择公司内部人士或单独聘请外部个人或机构的方式。很多国内出海企业会考虑用中国主体员工作为DPO,会存在不能够便利的、及时的被数据主体和监管机关联系到的风险,此点需要避免(这点也是PDPC反复强调的要点)。
同时需要注意避免选择有多个职能的人选,例如同时担任CEO、CFO等,此类人选较难避免产生利益上的冲突,一般不考虑由该人选担任DPO。
任命DPO可参考如下步骤:
Step1:通过书面方式任命DPO,形式不限,并在任命文件中明确列举相关内容。同时在隐私政策中公布DPO的联系方式。
Step2:及时登记&通知相关利益者:数据主体、内部员工以及数据保护机构。例如新加坡企业需要将DPO信息上传至新加坡个人数据保护署(PDPC)的ACRA Bizfile+(www.bizfile.gov.sg)平台进行登记。
Step3:确保DPO拥有必要的资源支持,包括人力、技术和行政,以有效履行其职责。例如定期的培训等。同时需要建立内部高效的沟通渠道。以上内容均需留痕。

技术驱动法律,专业成就未来