Singapore PDPA Privacy Guide: Your Rights Under the Personal Data Protection Act
A comprehensive guide to Singapore's Personal Data Protection Act (PDPA). Understand your data rights, what organizations can and cannot do, and how to file complaints with the PDPC.

Przewodnik po Prywatności PDPA Singapuru: Twoje Prawa w Ramach Ustawy o Ochronie Danych Osobowych
Singapurska Ustawa o Ochronie Danych Osobowych (PDPA) obowiązuje od 2014 roku, ale wielu Singapurczyków wciąż nie zna praw, które im przyznaje. W państwie-mieście, gdzie niemal każda transakcja — od jazdy taksówką po kupno bubble tea — wiąże się z jakąś formą zbierania danych, zrozumienie swoich praw do prywatności nie jest opcjonalne. Jest niezbędne.
PDPA reguluje sposób, w jaki organizacje zbierają, wykorzystują, ujawniają i przechowują Twoje dane osobowe. Ustawa jest egzekwowana przez Komisję Ochrony Danych Osobowych (PDPC), która ma prawo badać skargi, wydawać polecenia i nakładać kary finansowe do 1 miliona S$ za naruszenie.
Co Obejmuje PDPA
Dane Osobowe w Ramach PDPA
Dane osobowe definiuje się jako wszelkie dane, które mogą identyfikować osobę, samodzielnie lub w połączeniu z innymi informacjami. Obejmują one:
| Typ | Przykłady |
|---|---|
| Identyfikatory | Numer NRIC, FIN, numer paszportu |
| Dane kontaktowe | Numer telefonu, adres e-mail, adres domowy |
| Dane finansowe | Numery kont bankowych, dane karty kredytowej, dochód |
| Dane o zatrudnieniu | Stanowisko, pracodawca, wynagrodzenie, oceny wydajności |
| Dane zdrowotne | Dokumentacja medyczna, recepty, roszczenia ubezpieczeniowe |
| Dane biometryczne | Odciski palców, dane rozpoznawania twarzy |
| Identyfikatory cyfrowe | Adresy IP, identyfikatory urządzeń, historia przeglądania |
| Obrazy i nagrania | Nagrania CCTV, zdjęcia, nagrania głosowe |
Czego Nie Obejmuje
PDPA nie ma zastosowania do:
- Agencji rządowych (regulowanych przez Instrukcję Rządową)
- Celów osobistych lub domowych (Twoja osobista lista kontaktów)
- Danych kontaktowych biznesowych używanych w celach biznesowych
- Danych o osobach zmarłych (ponad 10 lat po śmierci)
Twoje 5 Kluczowych Praw w Ramach PDPA
1. Prawo do Zgody
Organizacje muszą uzyskać Twoją zgodę przed zbieraniem, wykorzystywaniem lub ujawnianiem danych osobowych. Musisz być poinformowany o celu zbierania, a Twoja zgoda musi być dobrowolna. Możesz wycofać zgodę w dowolnym momencie, choć organizacja może poinformować Cię o konsekwencjach.
Praktyczna wskazówka: Jeśli sklep prosi o NRIC w celu dołączenia do programu lojalnościowego, możesz odmówić. Muszą świadczyć usługę bez wymagania niepotrzebnych danych osobowych.
2. Prawo Dostępu
Możesz zażądać dostępu do swoich danych osobowych przechowywanych przez dowolną organizację, a także informacji o tym, jak Twoje dane były wykorzystywane lub ujawniane w ciągu ostatniego roku. Organizacja musi odpowiedzieć w ciągu 30 dni.
Praktyczna wskazówka: Możesz napisać do dowolnej firmy i zapytać, jakie dane osobowe o Tobie przechowują. Są prawnie zobowiązani do udzielenia odpowiedzi.
3. Prawo do Korekty
Jeśli Twoje dane osobowe przechowywane przez organizację są niedokładne lub niekompletne, masz prawo żądać korekty. Organizacja musi poprawić dane i wysłać poprawioną wersję do każdej innej organizacji, z którą zostały udostępnione w ciągu ostatniego roku.
4. Prawo do Wycofania Zgody
Możesz wycofać zgodę na zbieranie, wykorzystywanie lub ujawnianie danych osobowych przez organizację w dowolnym momencie. Organizacja musi zastosować się w rozsądnym terminie i poinformować Cię o konsekwencjach (takich jak niemożność świadczenia określonych usług).
5. Prawo do Przenoszenia Danych (Nowelizacja 2021)
Obowiązek Przenoszenia Danych, wprowadzony nowelizacją PDPA z 2021 roku, pozwala żądać przesłania danych do innej organizacji w powszechnie używanym formacie. Dotyczy to danych dostarczonych przez Ciebie w formie elektronicznej.
Zasady Zbierania NRIC
Jedna z najbardziej wpływowych wytycznych PDPA dotyczy zbierania NRIC. Od września 2019:
| Sytuacja | Czy Mogą Zbierać Pełny NRIC? |
|---|---|
| Otwarcie konta bankowego | Tak — wymagane prawnie |
| Rejestracja w szpitalu | Tak — wymagane prawnie |
| Dokumentacja pracownicza | Tak — wymagane prawnie |
| Rejestr odwiedzających budynek | Nie — użyj ostatnich 4 znaków lub alternatywnego ID |
| Program lojalnościowy | Nie — użyj alternatywnych identyfikatorów |
| Rejestracja loterii | Nie — użyj alternatywnych identyfikatorów |
| Członkostwo w siłowni | Nie — użyj alternatywnych identyfikatorów |
Co robić: Jeśli nieistotna usługa żąda pełnego NRIC, możesz odmówić i powołać się na Wytyczne Doradcze PDPA dotyczące numerów NRIC.
Rejestr Nie Dzwoń (DNC)
PDPA ustanowiło Rejestr Nie Dzwoń (DNC) Singapuru, pozwalający na rezygnację z połączeń telemarketingowych, SMS-ów i faksów. Możesz zarejestrować swoje numery na dnc.gov.sg.
| Rejestracja | Ochrona |
|---|---|
| Rejestr Nie Dzwoń | Blokuje telemarketingowe połączenia głosowe |
| Rejestr Nie SMS | Blokuje telemarketingowe SMS-y |
| Rejestr Nie Faks | Blokuje telemarketingowe faksy |
Organizacje podlegają karom do S$10 000 za nieautoryzowaną wiadomość marketingową.
Jak Złożyć Skargę PDPA
Jeśli uważasz, że organizacja niewłaściwie obchodzi się z Twoimi danymi:
Krok 1: Skontaktuj się z Organizacją Bezpośrednio
Napisz do Inspektora Ochrony Danych (DPO) organizacji. Każda organizacja objęta PDPA musi wyznaczyć DPO. Jasno opisz, co się stało i czego oczekujesz.
Krok 2: Złóż Skargę w PDPC
Jeśli organizacja nie odpowie zadowalająco w ciągu 30 dni, złóż skargę w PDPC na pdpc.gov.sg. Dołącz:
- Twoje dane osobowe
- Dane organizacji
- Opis incydentu
- Dowody (zrzuty ekranu, e-maile, korespondencja)
- Jakie rozwiązanie preferujesz
Krok 3: Dochodzenie PDPC
PDPC oceni skargę i może wszcząć dochodzenie. Możliwe wyniki:
- Polecenie organizacji zaprzestania praktyki przetwarzania danych
- Polecenie zniszczenia niewłaściwie zebranych danych
- Kara finansowa do S$1 miliona
- Publiczna decyzja egzekucyjna (opublikowana na stronie PDPC)
Znaczące Sprawy Egzekucji PDPA
| Rok | Organizacja | Naruszenie | Kara |
|---|---|---|---|
| 2019 | SingHealth | Wyciek 1,5 miliona rekordów pacjentów | S$250 000 |
| 2019 | IHiS (dostawca IT) | Niewystarczające zabezpieczenia przy wycieku SingHealth | S$750 000 |
| 2020 | Integrated Health Information Systems | Nieautoryzowane ujawnienie danych | S$50 000 |
| 2021 | Różne MŚP | Niewłaściwe zbieranie NRIC | Ostrzeżenia i polecenia |
| 2022 | Wiele organizacji | Wycieki danych z powodu niewystarczających zabezpieczeń | Różne kary |
Praktyczne Wskazówki PDPA na Co Dzień
- Czytaj polityki prywatności przed rejestracją w usługach — dowiedz się, jakie dane są zbierane
- Korzystaj z Rejestru DNC aby zatrzymać niechciane wiadomości marketingowe
- Żądaj usunięcia danych z usług, z których już nie korzystasz
- Wiedz, kiedy odmówić zbierania NRIC — powołaj się na wytyczne PDPA
- Zgłaszaj wycieki danych do PDPC
- Pytaj o kontakt DPO gdy organizacja zbiera Twoje dane
- Korzystaj z prawa dostępu aby dowiedzieć się, jakie dane przechowują firmy
Udostępniaj Dane Osobowe Bezpiecznie
Zgodnie z PDPA organizacje muszą chronić Twoje dane. Ale Ty również odgrywasz rolę w ochronie własnych informacji. Gdy musisz udostępnić dane osobowe — NRIC do wniosku bankowego, dane finansowe do transakcji lub dokumentację medyczną do skierowania — unikaj wysyłania ich jako zwykły tekst przez WhatsApp.
Użyj LOCK.PUB do stworzenia chronionego hasłem, samozniszczalnego linku zawierającego Twoje wrażliwe informacje. Odbiorca wpisuje hasło, aby je zobaczyć, a dane znikają po ustawionym terminie ważności. To minimalizuje ryzyko ujawnienia danych osobowych przez skompromitowane konta komunikatorów lub kradzież urządzeń.
Podsumowanie
PDPA daje Ci realne, egzekwowalne prawa do Twoich danych osobowych w Singapurze. Najważniejsze: masz prawo wiedzieć, jakie dane zbierają o Tobie organizacje, prawo odmówić niepotrzebnego zbierania i prawo składać skargi, gdy Twoje dane są niewłaściwie traktowane.
Aktywnie korzystaj z tych praw. Odmawiaj niepotrzebnego zbierania NRIC, zarejestruj się w Rejestrze DNC, żądaj usunięcia danych z nieużywanych usług, a gdy musisz udostępnić informacje osobiste, użyj LOCK.PUB aby zrobić to bezpiecznie. Prywatność to nie luksus — to prawo chronione przez prawo Singapuru.
Słowa kluczowe
Może Cię też zainteresować
GDPR Compliance Guide for German Businesses: Checklist & Key Requirements
DSGVO fines hit all-time highs in 2025. Complete compliance checklist including DPO requirements, breach notification, NIS2, AI Act, and DORA.
Zgłaszanie naruszeń danych w Singapurze: Zasada 3 dni
Zrozum obowiązkowe wymogi zgłaszania naruszeń danych w Singapurze według PDPA. Zasada 3 dni, kryteria i wymagane kroki.
Wyznaczenie DPO w Singapurze: Co musi wiedzieć każda firma
Wszystkie organizacje w Singapurze muszą wyznaczyć DPO. Wymagania PDPA, obowiązki i opcje outsourcingu.
Utwórz teraz link chroniony hasłem
Twórz za darmo linki chronione hasłem, tajne notatki i szyfrowane czaty.
Zacznij za darmo