Где правда? О требованиях защиты персональных данных в Сингапуре

В последнее время некоторые юридические компании занимаются навязыванием своим клиентам лишних услуг, ссылаясь на появление каких-то "новых требований", неисполнение которых неминуемо обернется штрафами. Разумеется, причина подобных действий – желание получить с клиента оплату сверх той, что он уже платит. Например, вам могут предложить ввести в компании дополнительную должность, работника на которую с радостью предоставят за ваши же деньги.

Так совсем недавно была распространена информация о новых требованиях, которые отныне якобы обязаны исполнять сингапурские компании.

Сообщалось, что в связи с принятыми дополнениями к Закону о защите личных данных (PDPA) местные власти повысили штрафы за его нарушение. Кроме того, у компаний появилась обязанность назначения офицера (Data Protection Officers) для соблюдения норм Закона о защите данных. Офицер должен являться гражданином Сингапура. Его кандидатуру требуется согласовать с министерством. Данные офицера вносятся в реестр ACRA. Он должен быть на связи в рабочие часы и отвечать на любые вопросы регулятора по указанному заранее телефону, а проверки проводятся регулярно. Суммы штрафов назывались внушительные, вплоть до миллиона долларов США, а промедление в исполнении новых обязанностей ежедневно увеличивает сумму штрафа.

При этом нечестные юридические компании сообщили своим клиентам, что их секретари большей частью не знают о наступивших изменениях, а остальные и вовсе решили умолчать об этом до окончания новогодних праздников. Что касается секретарских компаний, то они либо не следят за актуальностью данных в этой сфере, либо ничего не могут предложить своим клиентам для исполнения "новых" требований.

А вот они, наши "заботливые" провайдеры корпоративных услуг, подготовились и разработали целый пакет для защиты цифровых данных, призванный решить все проблемы с тем, чтобы соответствовать PDPA. Таким образом, вам предлагают оказать качественную услугу в короткие сроки и, разумеется, по привлекательной цене. Заманчиво, правда?

Давайте разберёмся что из всего этого полуправда, а что и попросту вымысел. Одновременно, освежим знания о требованиях к фирмам в Сингапуре относительно защиты данных.

Закон о Защите Персональных данных PDPA был принят ещё в далеком 2012 году и по сути ничего нового в нём с тех пор не появилось. Его текст легко можно найти в интернете. Он позволяет организациям самим принимать решение о том, какие необходимые меры они предпримут в целях защиты персональных данных. Принятые поправки носят технический характер, лишь немного повышая ответственность в некоторых аспектах. К примеру, это касается нарушения срока уведомления об утечках данных, спама и т.д. Требования о назначении каждой компанией отдельного специализированного сотрудника по защите данных просто не существует!

На сайте Комиссии по защите персональных данных Сингапура (PDPC), где можно найти общие требования к Data Protection Officers, среди прочего есть раздел Вопрос-Ответ, в нём опубликованы ответы на часто задаваемые вопросы. Почитав их, становится понятно, что "новые требования" "рассыльщиков" являются не чем иным, как дезинформацией.

Итак, что говорит PDPC по интересующим нас вопросам:

• О необходимости назначения во всех организациях Data Protection Officer (DPO). Все компании, в том числе индивидуальные предприятия, обязаны назначить минимум одного сотрудника по защите данных, отвечающего за соблюдение PDPA. Также необходимо обеспечить для общественности хотя бы один вариант связи с одним DPO. Таким вариантом может служить телефон или электронный адрес организации (получается, указание на сайте организации корпоративного имейла будет достаточно). В качестве DPO может выступать не только лицо, специализирующееся на защите данных, но и любой сотрудник организации, наделенный соответствующей функцией среди прочих.
• О требовании офицера по защите находиться в Сингапуре. Предписания о месте базирования сотрудника по защите данных нет. Кроме того, он может не быть сотрудником организации, в случае когда последняя передаёт данную функцию третьей стороне. Однако же, DPO, чья контактная информация была предоставлена, обязуется быть на связи, чтобы представители общественности могли с ним связаться.
• Об обязательности предоставления данных назначенного офицера DPO. Такие данные, согласно закону, предоставлять не требуется, хотя и рекомендуется. Это послужит помощью тем организациям, которые не имеют возможности отслеживать изменения в области защиты персональных данных в Сингапуре. Иными словами, данные помогут получать рассылки с полезной информацией по теме.
• О максимальном сроке для назначения DPO. Такого срока нет. Рекомендуется сделать это скорее, чтобы иметь возможность получать актуальную информацию об изменениях в сфере защиты персональных данных в Сингапуре.
• О моменте появления обязанности назначать DPO. Такая обязанность появилась вместе с принятием соответствующих положений 2 июля 2014 года.

Подведем итог:

1. Организациям в защите персональных данных необходимо использовать разумный подход. Особенно меры защиты актуальны для тех, кто осуществляет сбор данных населения. Остальным рекомендуется сконцентрироваться на защите персональных данных собственных сотрудников, а также акционеров.
2. Найма дополнительно сотрудника не требуется, если в компании есть человек, который вполне может взять соответствующие функции на себя.
3. Для офицера, отвечающего за защиту данных, нет требования иметь гражданство Сингапура.
4. Крайних сроков в назначении офицера не установлено.
5. Штрафов за нарушение сроков назначения или отсутствие назначения в законе нет.

Таким образом, отдельные провайдеры предоставляют откровенно ложную информацию или искажают её в целях навязать ненужные услуги. Советуем не реагировать на предложения тех, кто пренебрегает интересами клиентов, заботясь лишь о собственном заработке, опускаясь до обмана.