GDPR и PDPA: Каква е разликата?

GDPR ще оживее следващия месец. Всички по света трябва да се надпреварват, за да се уверят, че са спазващи изискванията. Дори облеченият Марк Зукърбърг има своя екип, който работи по него, уверявайки сенатори и зрители в показанията си в Конгреса на САЩ, че Facebook ще бъде съвместим с GDPR през май.

Марк Зукърбърг в изслушването в Конгреса на САЩ

Готови ли сте за GDPR или Общия регламент за защита на данните на ЕС? След всички корекции, които може би вече сте направили за Закона за защита на личните данни в Сингапур през 2014 г., можете да помислите, че вече имате защитени лични данни на вашите клиенти. Но GDPR е доста по-различен от PDPA.

По-долу сме измислили сравнителни диаграми, за да ви дадем бърз поглед върху приликите и разликите на всеки от тях, така че да видите как това ще се отрази на вашата организация.

Бързи факти за PDPA на Сингапур и GDPR на ЕС

(PDPA: Източник) (GDPR: Източник)

С един поглед: PDPA

PDPA има две основни разпоредби:

  1. 9 задължения за защита на данните:
  • Съгласие: необходимо преди събирането, използването или разкриването на личните данни
  • Ограничение на целта: организацията трябва да информира дадено лице за целта му за събиране, използване или разкриване на лични данни; също така, събраните данни не трябва да се използват за друго освен първоначалното предназначение.
  • Уведомление: физическите лица трябва да бъдат уведомявани за целта, преди да дадат съгласието си да събират, използват или разкриват личните си данни.
  • Достъп и корекция: физическите лица имат право да поискат достъп до личните си данни, притежавани или контролирани от организацията, и им е позволено да поправят всяка грешка в личните му данни.
  • Точност: една организация трябва да положи разумни усилия за събиране на точни и пълни лични данни, особено ако някакви решения, взети с помощта на личните данни, засягат индивида и ако личните данни ще бъдат разкрити на друга организация.
  • Защита: трябва да се вземат разумни мерки за сигурност, за да се предотврати неоторизиран достъп, използване, разкриване, копиране, модификация и обезвреждане на лични данни в притежание или контрол на дадена организация
  • Ограничение на задържане: Организацията може да съхранява личните данни само до определен период, след което трябва да премахне или изтрие документите, съдържащи такива.
  • Ограничение на трансфера: личните данни не могат да се предоставят извън Сингапур, освен ако държавата получател има стандарти за защита на данните, съизмерими с тези на PDPA

2. Националният регистър за обаждания

Имената, регистрирани в националния регистър на DNC, не могат да получават непоискани маркетингови съобщения (гласови повиквания, текстови съобщения или факс) от която и да е регистрирана организация в Сингапур.

(Източник)

GDPR: Бърз поглед

Това са основните промени, въведени в GDPR:

  1. Увеличен териториален обхват: независимо къде се намирате в света, ако вашата компания обработва лични данни на субекти, пребиваващи в ЕС, то GDPR трябва да се прилага за вас.
  2. Санкции: Организация, която не се съобразява, може да бъде глобена до максимум 4% от годишния световен оборот или 20 милиона евро (в зависимост от това, кой е по-голям).
  3. Съгласие: На физическите лица трябва да бъде дадено искане за формуляр за съгласие, който е разбираем и лесно достъпен.
  4. Известие за нарушение: Администраторите на данни трябва да уведомяват надзорния орган, засегнатите частни лица или организацията, на която съобщават за нарушения на личния живот, без ненужно забавяне / в рамките на първите 72 часа от узнаването на нарушението.
  5. Право на достъп: Субектите на данни трябва да могат лесно да имат достъп до личните си данни, притежавани или контролирани от администраторите на данни, безплатно и трябва да им бъдат предоставени копие в електронен формат.
  6. Изтриване на данни: Субектите на данни имат право да забравят личните си данни: изтрити, преустановени за разпространение или трети страни да спрат обработването на личните си данни от администратора на данни.
  7. Преносимост на данните: Субектите на данни трябва да могат да получават личните данни, които са се съгласили да предоставят в „често използван и машинно четим формат“ и да имат право да предават тези данни на друг контролер
  8. Поверителност при проектиране: Защитата на данните трябва да бъде включена в началото на проектирането на системи, а не само като допълнение.
  9. Назначаването на служители по защита на данните ще бъде само за организации:
  10. чиито основни дейности се състоят в операции по обработка на данни,
  11. които правят систематичен мониторинг на субектите на данни в голям мащаб,
  12. които редовно обработват специални категории данни или данни, свързани с наказателни присъди и престъпления
GDPR има по-строги мерки от PDPA за искане и предоставяне на съгласие, така че не забравяйте да разгледате по-подробно този раздел от политиката.

(Източник)

Определения на ключови понятия

1.) Определения в рамките на ЗЗЛД

Лични данни

„Данни, верни или не, за физическо лице, което може да бъде идентифицирано от тези данни; или от тези данни и друга информация, до която организацията има или има вероятност да има достъп. Това включва уникални идентификатори; снимки или видео изображения на физическо лице; както и всеки набор от данни, които, когато се вземат заедно, биха могли да идентифицират индивида. “(Източник)

Изключения:

  • Данни, използвани за бизнес цели (т.е. информация за бизнес контакти)
  • Данни, принадлежащи на починало лице над 10 години

съгласие

„Експресно съгласие“: писмено съгласие

„Считано съгласие“:

  • Когато дадено лице доброволно предостави личните си данни на организация и е разумно да го направи
  • Предоставените доброволно данни на една организация могат да бъдат предадени на друга организация за определена цел

(Източник)

Изключения:

Съгласието не е необходимо за следните употреби и обстоятелства:

  • За събиране на лични данни: Втори график
  • За използване на лични данни: Трети график
  • За разкриване на лични данни: Четвърти график

Чувствителни лични данни: не са дефинирани конкретно в PDPA

Възраст на съгласие: минималната възраст не е предвидена в ЗЗЛД

Предназначение

  • Трябва да се счита за подходящ за обстоятелствата от „разумен човек“ (Раздел 18)
  • Не е необходимо да се определят дейностите, които организацията ще предприема по отношение на събраните данни; обаче целите и причините за събирането им трябва да се предоставят на лицата, от които искате да получите съгласие (Източник)

2. Определения в рамките на GDPR

Лични данни

„Всяка информация, свързана с физическо лице или„ Субект на данни “, която може да бъде използвана за пряка или косвена идентификация на лицето. Това може да бъде всичко от име, снимка, имейл адрес, банкови данни, публикации в уебсайтове за социални мрежи, медицинска информация или IP адрес на компютъра. “

Трябва да се събират само данни, необходими за целите на организацията. (минимизиране на данни)

съгласие

„Всяко свободно дадено, конкретно, информирано и недвусмислено посочване на желанията на субекта на данните, чрез което той, тя, чрез изявление или чрез ясно потвърдително действие, означава съгласие за обработването на лични данни, свързани с него или нея“

  • Изисква положително включване (без предварително поставени отметки или съгласие по подразбиране)
  • Изрично и изрично е дадено в много ясно и конкретно изявление
  • Заявките за съгласие трябва да бъдат отделни от другите условия.
  • Вземете отделно съгласие за отделни цели. Неясното или покривалото съгласие не е приемливо.
  • Трети лица, които разчитат на съгласие, трябва да бъдат посочени
  • Индивидите трябва да бъдат информирани как могат да оттеглят съгласието си и стъпките за оттегляне трябва да бъдат лесни.
  • Не трябва да се дава съгласие за обработка на предварително условие за услуга.

За по-задълбочен контролен списък относно искането, записването и управлението на съгласието щракнете тук.

Чувствителни лични данни

Лични данни, разкриващи:

  • расов или етнически произход,
  • политически мнения,
  • религиозни или философски вярвания
  • членство в профсъюзи,
  • генетични данни,
  • биометрични данни с цел еднозначно идентифициране на физическо лице,
  • данни относно здравето, или
  • данни относно сексуалния живот или сексуалната ориентация на физическо лице

Такива данни са забранени да се събират, използват или разкриват.

Възраст на съгласието: Прагът е определен на 16 години, но може да бъде понижен от държавите-членки до възраст между 13 и 16 години.

Предназначение

Строго ограничен до:

  • „Конкретни, изрични и законни цели“ (член 5)
  • публичните архивни, исторически, научни или статистически цели не трябва да са несъвместими с първоначалните цели (ограничаване на целта)

Глоби и санкции за неспазване

(PDPA: Източник) (GDPR: Източник)

Нуждаете се от пълния текст?

За пълния текст на всяка политика вижте връзките по-долу:

PDPA на Сингапур

GDPR на ЕС

Вземете GDPR-съвместим

Не само, че глобите са болезнени за рамо, но и неспазването може да има пагубен ефект върху имиджа и репутацията на вашата компания. Направете необходимите стъпки, за да запознаете персонала си с основните моменти и промени и как можете да защитите данните, които събирате, използвате, разкривате за своите клиенти.

Източници на изображения и кредити

Изображение на заглавката; Предпазен конус на лаптоп; Защитна връзка; Евробанкноти: Пексели

Марк Зукърбърг: Гети изображения чрез TheAustralian.com.au