点击上方蓝色文字关注↑↑↑↑↑
新加坡隐私委员会修订《个人数据保护法》指导指南
编者按:2019年10月9日,新加坡隐私委员会(即PDPC)发布的声明中宣布,已经修订了《个人数据保护法》(即PDPA)指导指南。本期知竞团队对2019年修订情况进行介绍,另外对《指导指南》新增的第8章(云服务)进行翻译。点击“阅读原文”可获取第8章原文材料。
2012年《个人数据保护法》(以下简称“ PDPA”)是新加坡制定了一项通用数据保护法,该法规制着组织对个人数据的收集,使用和披露。隐私保护委员会(以下简称“PDPC”)是根据PDPA成立的,其主要职能包括在新加坡提高人们对数据保护的认识以及执行PDPA。选定主题的指导指南详细说明了PDPA如何应用于特定问题和领域,指南有助于组织和个人在所选主题的背景下理解PDPA。
2019年指导指南修订概况
PDPC对指南中的重要概念进行了修改,修订了指南中第6章“组织”和第15章“访问和更正义务”两个章节。另外,PDPC还增加了第8章“云服务”。
PDPC对第6章进行修订,明确了个人数据传输到海外的组织和数据中介的义务。
PDPC对第15章进行了修订,以使组织在不需要访问请求,收费,与法律诉讼有关的访问请求以及拒绝访问请求后保留个人数据的良好做法的情况下更加清晰。
PDPC增加了第8章云服务,以使组织更清楚地了解使用云服务在云中处理个人数据的组织的职责,以及代表组织和为组织目的处理个人数据时云服务提供商的职责。
1
第8章 云服务
1
在使用云服务处理云中的个人数据时,组织根据PDPA承担什么责任?
8.1在使用云服务时,组织有责任遵守PDPA中关于由云服务提供商(即 CSP)代表组织并出于组织目的处理的个人数据的所有义务。PDPA中将“处理”定义为“与个人数据有关的任何操作或一组操作的执行,包括记录,保存,组织,改编或更改以及检索个人数据”。
2
根据PDPA,CSP对组织处理的个人数据负有什么责任?
8.2 如果CSP代表有证据或以书面形式订立的合同并代表另一个组织的目的处理个人数据,则CSP被视为数据中介,并受PDPA的保护和保留限制义务约束。其保护和保留限制义务扩展到它在新加坡以外的数据中心为组织处理或托管的个人数据。CSP作为一个独立的组织,仍然有责任就其自身的活动遵守所有数据保护规定,这些规定不构成根据合同处理个人数据。有关数据中介机构义务的更多信息,请参见《关键概念指南》。
3
谁负责遵守将个人数据进行海外传输的传输限制义务,这是CSP在云中处理个人数据的一部分?
8.3 聘请CSP作为数据中介提供云服务的组织有责任遵守有关使用CSP的云服务进行个人数据的任何海外转移的转移限制义务。不管CSP位于新加坡还是海外。
4
组织应如何确保其CSP对个人数据进行海外传输的传输限制义务的遵守?
8.4 组织应确保因参与CSP而导致的任何个人数据的海外转移均将按照PDPA的要求进行,即,组织可以确保其使用的CSP仅将数据转移到具有可比较数据的保护制度,或具有法律上可强制执行的义务,以确保对转移的个人数据具有可比的保护标准。可以在组织与其CSP之间的书面合同中规定此类合规性问题。合同应同时涉及保护标准和海外地点。
5
8.5 可以认为该组织已采取适当措施来遵守“转移限制义务,方法是确保仅将个人数据转移到具有类似数据保护法律的海外地点,或者确保这些个人或个人的接收方(例如,数据中心或子处理器)地点受类似合同标准的法律约束。
例子:
组织ABC希望与总部位于新加坡的CSP DEF合作,以代表其在云中处理个人数据。ABC估计,香港的数据保护法与PDPA具有可比性。在注册其服务之前,ABC向DEF表示,它仅希望将个人数据存储在新加坡和香港的数据中心中,并在合同中包含一个声明。当个人数据由DEF拥有时,随后发生数据泄露。在确定ABC是否违反PDPA规定的义务时,委员会在评估责任时将考虑ABC参与DEF的尽职调查。DEF还可能对违反保护义务承担责任。
6
8.6 总部位于新加坡的CSP在处理个人数据作为数据中介时,必须符合《数据保护规定》中的保护标准。
ISO27001和多层云安全性(MTCS)认证方案的第3层等行业标准可以确保CSP遵守PDPA的保护义务的能力。
8.7 如果组织与其CSP之间的合同未指定CSP可以将处理的个人数据转移到的位置,并由CSP自行决定,则可以认为该组织已采取了适当的步骤来遵守转移限制 通过确保:
(a)总部位于新加坡的CSP经过认证或认可,符合相关行业标准,并且(b)CSP提供保证,保证了位于海外位置的所有数据中心或子处理器都已转移个人数据,以符合这些标准。例如,组织可以考虑聘用经认证符合ISO27001标准的CSP,并可以根据要求生成技术审核报告,例如SOC-2。
例子:
组织MNO希望购买CSP PQR提供的现成的云服务。在其标准的最终用户协议中,PQR未指定在处理过程中个人数据可能被传输到的位置。但是,MNO确保使用PQR的现有云服务将个人数据可能传输到的所有数据中心和子处理器均已通过ISO27001认证。
PQR拥有个人数据时,随后发生数据泄露。在确定MNO是否违反了PDPA规定的义务时,委员会评估责任时会考虑MNO参与PQR的尽职调查。尤其是,只要MNO采取了适当的步骤以确保PQR能够就所转移的个人数据遵守PDPA,则MNO被视为已满足转移限制义务的要求。PQR也可能对违反保护义务承担责任。
涉及内容转载等事宜请联系
微信公众号后台编辑: 吴晓珊
审核人:周围、伍富坤
邮箱: cptlaw@163.com
手机:1582749932