域外動態||新加坡隱私委員會修訂《個人數據保護法》指導指南

大车

點擊上方藍色文字關注↑↑↑↑↑

64351f94f930e0851fe2086afe388147.jpeg

新加坡隱私委員會修訂《個人數據保護法》指導指南

編者按:2019年10月9日,新加坡隱私委員會(即PDPC)發布的聲明中宣布,已經修訂了《個人數據保護法》(即PDPA)指導指南。本期知競團隊對2019年修訂情況進行介紹,另外對《指導指南》新增的第8章(雲服務)進行翻譯。點擊“閱讀原文”可獲取第8章原文材料。

2012年《個人數據保護法》(以下簡稱“ PDPA”)是新加坡制定了一項通用數據保護法,該法規制著組織對個人數據的收集,使用和披露。隱私保護委員會(以下簡稱“PDPC”)是根據PDPA成立的,其主要職能包括在新加坡提高人們對數據保護的認識以及執行PDPA。選定主題的指導指南詳細說明了PDPA如何應用于特定問題和領域,指南有助于組織和個人在所選主題的背景下理解PDPA。

2019年指導指南修訂概況

PDPC對指南中的重要概念進行了修改,修訂了指南中第6章“組織”和第15章“訪問和更正義務”兩個章節。另外,PDPC還增加了第8章“雲服務”。

 PDPC對第6章進行修訂,明確了個人數據傳輸到海外的組織和數據中介的義務。

 PDPC對第15章進行了修訂,以使組織在不需要訪問請求,收費,與法律訴訟有關的訪問請求以及拒絕訪問請求後保留個人數據的良好做法的情況下更加清晰。

 PDPC增加了第8章雲服務,以使組織更清楚地了解使用雲服務在雲中處理個人數據的組織的職責,以及代表組織和爲組織目的處理個人數據時雲服務提供商的職責。

1

第8章 雲服務

9bee1a7af4212e5132eab0db81bc5daf.png

1

在使用雲服務處理雲中的個人數據時,組織根據PDPA承擔什麽責任?

8.1在使用雲服務時,組織有責任遵守PDPA中關于由雲服務提供商(即 CSP)代表組織並出于組織目的處理的個人數據的所有義務。PDPA中將“處理”定義爲“與個人數據有關的任何操作或一組操作的執行,包括記錄,保存,組織,改編或更改以及檢索個人數據”。

2

根據PDPA,CSP對組織處理的個人數據負有什麽責任?

8.2 如果CSP代表有證據或以書面形式訂立的合同並代表另一個組織的目的處理個人數據,則CSP被視爲數據中介,並受PDPA的保護和保留限制義務約束。其保護和保留限制義務擴展到它在新加坡以外的數據中心爲組織處理或托管的個人數據。CSP作爲一個獨立的組織,仍然有責任就其自身的活動遵守所有數據保護規定,這些規定不構成根據合同處理個人數據。有關數據中介機構義務的更多信息,請參見《關鍵概念指南》。

9bee1a7af4212e5132eab0db81bc5daf.png

3

誰負責遵守將個人數據進行海外傳輸的傳輸限制義務,這是CSP在雲中處理個人數據的一部分?

8.3 聘請CSP作爲數據中介提供雲服務的組織有責任遵守有關使用CSP的雲服務進行個人數據的任何海外轉移的轉移限制義務。不管CSP位于新加坡還是海外。

4

組織應如何確保其CSP對個人數據進行海外傳輸的傳輸限制義務的遵守?

8.4 組織應確保因參與CSP而導致的任何個人數據的海外轉移均將按照PDPA的要求進行,即,組織可以確保其使用的CSP僅將數據轉移到具有可比較數據的保護制度,或具有法律上可強制執行的義務,以確保對轉移的個人數據具有可比的保護標准。可以在組織與其CSP之間的書面合同中規定此類合規性問題。合同應同時涉及保護標准和海外地點。

9bee1a7af4212e5132eab0db81bc5daf.png

5

8.5 可以認爲該組織已采取適當措施來遵守“轉移限制義務,方法是確保僅將個人數據轉移到具有類似數據保護法律的海外地點,或者確保這些個人或個人的接收方(例如,數據中心或子處理器)地點受類似合同標准的法律約束。

例子:

組織ABC希望與總部位于新加坡的CSP DEF合作,以代表其在雲中處理個人數據。ABC估計,香港的數據保護法與PDPA具有可比性。在注冊其服務之前,ABC向DEF表示,它僅希望將個人數據存儲在新加坡和香港的數據中心中,並在合同中包含一個聲明。當個人數據由DEF擁有時,隨後發生數據泄露。在確定ABC是否違反PDPA規定的義務時,委員會在評估責任時將考慮ABC參與DEF的盡職調查。DEF還可能對違反保護義務承擔責任。

6

8.6 總部位于新加坡的CSP在處理個人數據作爲數據中介時,必須符合《數據保護規定》中的保護標准。
ISO27001和多層雲安全性(MTCS)認證方案的第3層等行業標准可以確保CSP遵守PDPA的保護義務的能力。

8.7 如果組織與其CSP之間的合同未指定CSP可以將處理的個人數據轉移到的位置,並由CSP自行決定,則可以認爲該組織已采取了適當的步驟來遵守轉移限制 通過確保:
(a)總部位于新加坡的CSP經過認證或認可,符合相關行業標准,並且(b)CSP提供保證,保證了位于海外位置的所有數據中心或子處理器都已轉移個人數據,以符合這些標准。例如,組織可以考慮聘用經認證符合ISO27001標准的CSP,並可以根據要求生成技術審核報告,例如SOC-2。

例子:

組織MNO希望購買CSP PQR提供的現成的雲服務。在其標准的最終用戶協議中,PQR未指定在處理過程中個人數據可能被傳輸到的位置。但是,MNO確保使用PQR的現有雲服務將個人數據可能傳輸到的所有數據中心和子處理器均已通過ISO27001認證。
PQR擁有個人數據時,隨後發生數據泄露。在確定MNO是否違反了PDPA規定的義務時,委員會評估責任時會考慮MNO參與PQR的盡職調查。尤其是,只要MNO采取了適當的步驟以確保PQR能夠就所轉移的個人數據遵守PDPA,則MNO被視爲已滿足轉移限制義務的要求。PQR也可能對違反保護義務承擔責任。

bdc86eaebd1787a18b426a1c675808e3.jpeg

62d81612d3ab1c7771816e80d0076f0d.jpeg

涉及內容轉載等事宜請聯系

微信公衆號後台編輯: 吳曉珊

審核人:周圍、伍富坤

郵箱: [email protected]

手機:1582749932

相關文章:

體育

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。