Singapore PDPA Privacy Guide: Your Rights Under the Personal Data Protection Act
A comprehensive guide to Singapore's Personal Data Protection Act (PDPA). Understand your data rights, what organizations can and cannot do, and how to file complaints with the PDPC.

Руководство по конфиденциальности PDPA Сингапура: ваши права по Закону о защите персональных данных
Закон Сингапура о защите персональных данных (PDPA) действует с 2014 года, но многие жители Сингапура по-прежнему не знают о правах, которые он им предоставляет. В городе-государстве, где практически каждая транзакция — от поездки на такси до покупки бабл-ти — связана с тем или иным сбором данных, понимание ваших прав на конфиденциальность не является необязательным. Это необходимость.
PDPA регулирует, как организации собирают, используют, раскрывают и хранят ваши персональные данные. Закон исполняется Комиссией по защите персональных данных (PDPC), которая вправе расследовать жалобы, выносить предписания и налагать штрафы до 1 млн сингапурских долларов за одно нарушение.
Что охватывает PDPA
Персональные данные по PDPA
Персональные данные — это любые данные, позволяющие идентифицировать человека самостоятельно или в сочетании с другой информацией. Сюда входят:
| Тип | Примеры |
|---|---|
| Идентификаторы | Номер NRIC, FIN, номер паспорта |
| Контактная информация | Номер телефона, адрес электронной почты, домашний адрес |
| Финансовые данные | Номера банковских счетов, данные кредитных карт, доход |
| Данные о трудоустройстве | Должность, работодатель, зарплата, оценки эффективности |
| Медицинские данные | Медицинские записи, рецепты, страховые претензии |
| Биометрические данные | Отпечатки пальцев, данные распознавания лица |
| Цифровые идентификаторы | IP-адреса, ID устройств, история просмотров |
| Изображения и записи | Записи видеонаблюдения, фотографии, голосовые записи |
Что не охватывается
PDPA не распространяется на:
- Государственные органы (регулируются Руководством по государственным инструкциям)
- Личные или бытовые цели (ваш личный список контактов)
- Деловую контактную информацию, используемую в деловых целях
- Данные умерших лиц (более 10 лет после смерти)
Ваши 5 ключевых прав по PDPA
1. Право на согласие
Организации должны получить ваше согласие перед сбором, использованием или раскрытием ваших персональных данных. Вы должны быть уведомлены о цели сбора, и ваше согласие должно быть добровольным. Вы можете отозвать согласие в любое время, хотя организация может уведомить вас о последствиях.
Практический совет: Если магазин просит ваш NRIC для вступления в программу лояльности, вы можете отказать. Они обязаны предоставить услугу без требования ненужных персональных данных.
2. Право на доступ
Вы можете запросить доступ к вашим персональным данным, хранящимся в любой организации, а также информацию о том, как ваши данные использовались или раскрывались за последний год. Организация должна ответить в течение 30 дней.
Практический совет: Вы можете написать любой компании и спросить, какие персональные данные о вас хранятся. Они юридически обязаны ответить.
3. Право на исправление
Если ваши персональные данные, хранящиеся в организации, неточны или неполны, вы имеете право потребовать их исправления. Организация должна исправить данные и отправить исправленную версию любой другой организации, с которой они были переданы за последний год.
4. Право на отзыв согласия
Вы можете отозвать своё согласие на сбор, использование или раскрытие ваших персональных данных организацией в любое время. Организация должна выполнить это в разумные сроки и уведомить вас о последствиях (например, о невозможности предоставления определённых услуг).
5. Право на переносимость данных (поправка 2021 г.)
Обязательство по переносимости данных, введённое поправкой к PDPA 2021 года, позволяет вам потребовать передачи ваших данных другой организации в общепринятом формате. Это применяется к данным, предоставленным вами в электронной форме.
Правила сбора NRIC
Одно из наиболее значимых руководств PDPA касается сбора NRIC. С сентября 2019 года:
| Ситуация | Могут ли собирать полный NRIC? |
|---|---|
| Открытие банковского счёта | Да — требуется по закону |
| Регистрация в больнице | Да — требуется по закону |
| Кадровые записи | Да — требуется по закону |
| Журнал посетителей здания | Нет — использовать последние 4 символа или альтернативный ID |
| Розничная программа лояльности | Нет — использовать альтернативные идентификаторы |
| Регистрация в розыгрыше | Нет — использовать альтернативные идентификаторы |
| Членство в спортзале | Нет — использовать альтернативные идентификаторы |
Что делать: Если необязательная услуга запрашивает ваш полный NRIC, вы можете отказать, ссылаясь на Консультативные рекомендации PDPA по номерам NRIC.
Реестр запрета звонков (DNC)
PDPA учредил Реестр запрета звонков (DNC) Сингапура, позволяющий отказаться от телемаркетинговых звонков, SMS и факсов. Зарегистрировать номера можно на dnc.gov.sg.
| Регистрация | Защита |
|---|---|
| Реестр запрета звонков | Блокирует телемаркетинговые голосовые вызовы |
| Реестр запрета SMS | Блокирует телемаркетинговые SMS |
| Реестр запрета факсов | Блокирует телемаркетинговые факсы |
Организациям грозят штрафы до S$10 000 за каждое несанкционированное маркетинговое сообщение.
Как подать жалобу по PDPA
Если вы считаете, что организация неправомерно обработала ваши персональные данные:
Шаг 1: Свяжитесь с организацией напрямую
Напишите Уполномоченному по защите данных (DPO) организации. Каждая организация, подпадающая под действие PDPA, обязана назначить DPO. Чётко опишите, что произошло и какие действия вы ожидаете.
Шаг 2: Подайте жалобу в PDPC
Если организация не ответит удовлетворительно в течение 30 дней, подайте жалобу в PDPC на сайте pdpc.gov.sg. Приложите:
- Ваши личные данные
- Данные организации
- Описание инцидента
- Доказательства (скриншоты, электронные письма, переписку)
- Какое решение вы ищете
Шаг 3: Расследование PDPC
PDPC оценит жалобу и может начать расследование. Возможные результаты:
- Предписание организации прекратить практику обработки данных
- Предписание уничтожить неправомерно собранные данные
- Финансовый штраф до S$1 млн
- Публичное решение о принудительном исполнении (опубликованное на сайте PDPC)
Значимые дела по исполнению PDPA
| Год | Организация | Нарушение | Штраф |
|---|---|---|---|
| 2019 | SingHealth | Утечка 1,5 млн записей пациентов | S$250 000 |
| 2019 | IHiS (IT-поставщик) | Провал мер безопасности при утечке SingHealth | S$750 000 |
| 2020 | Integrated Health Information Systems | Несанкционированное раскрытие данных | S$50 000 |
| 2021 | Различные МСП | Неправомерный сбор NRIC | Предупреждения и предписания |
| 2022 | Множество организаций | Утечки данных из-за неадекватной безопасности | Различные штрафы |
Практические советы по PDPA на каждый день
- Читайте политики конфиденциальности перед регистрацией в сервисах — знайте, какие данные собираются
- Используйте Реестр DNC для прекращения нежелательных маркетинговых сообщений
- Запрашивайте удаление данных из сервисов, которыми больше не пользуетесь
- Знайте, когда отказывать в сборе NRIC — ссылайтесь на рекомендации PDPA
- Сообщайте об утечках данных в PDPC
- Запрашивайте контакты DPO при сборе ваших данных организацией
- Используйте право на доступ, чтобы узнать, какие данные хранят о вас компании
Безопасно делитесь персональными данными
По PDPA организации обязаны защищать ваши данные. Но и вы играете роль в защите своей информации. Когда вам нужно передать персональные данные — NRIC для банковской заявки, финансовые данные для сделки или медицинские записи для направления — не отправляйте их простым текстом через Telegram.
Используйте LOCK.PUB для создания защищённой паролем самоуничтожающейся ссылки с вашей конфиденциальной информацией. Получатель вводит пароль для просмотра, и данные исчезают после установленного срока. Это снижает риск утечки персональных данных через взломанные аккаунты мессенджеров или кражу устройств.
Итог
PDPA предоставляет вам реальные, юридически обеспеченные права на ваши персональные данные в Сингапуре. Главный вывод: вы имеете право знать, какие данные о вас собирают организации, право отказать в ненужном сборе и право подать жалобу при ненадлежащей обработке ваших данных.
Активно пользуйтесь этими правами. Отказывайте в ненужном сборе NRIC, зарегистрируйтесь в Реестре DNC, запрашивайте удаление данных из неиспользуемых сервисов, а когда нужно поделиться личной информацией — используйте LOCK.PUB для безопасной передачи. Конфиденциальность — не роскошь, а право, защищённое законом Сингапура.
Ключевые слова
Читайте также
GDPR Compliance Guide for German Businesses: Checklist & Key Requirements
DSGVO fines hit all-time highs in 2025. Complete compliance checklist including DPO requirements, breach notification, NIS2, AI Act, and DORA.
Уведомление об утечке данных в Сингапуре: Правило 3 дней
Обязательные требования к уведомлению об утечке данных в Сингапуре по PDPA. Правило 3 дней, критерии и необходимые шаги.
Назначение DPO в Сингапуре: Что должен знать каждый бизнес
Все организации в Сингапуре обязаны назначить DPO. Требования PDPA, обязанности, квалификация и аутсорсинг.
Создайте защищенную паролем ссылку сейчас
Создавайте бесплатно защищённые ссылки, секретные заметки и зашифрованные чаты.
Начать Бесплатно