Singapore PDPA Privacy Guide: Your Rights Under the Personal Data Protection Act
A comprehensive guide to Singapore's Personal Data Protection Act (PDPA). Understand your data rights, what organizations can and cannot do, and how to file complaints with the PDPC.

คู่มือความเป็นส่วนตัว PDPA สิงคโปร์: สิทธิของคุณภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของสิงคโปร์ (PDPA) มีผลบังคับใช้ตั้งแต่ปี 2014 แต่ชาวสิงคโปร์จำนวนมากยังไม่ทราบถึงสิทธิที่กฎหมายนี้มอบให้ ในนครรัฐที่แทบทุกธุรกรรม — ตั้งแต่การนั่งแท็กซี่ไปจนถึงการซื้อชานมไข่มุก — เกี่ยวข้องกับการเก็บรวบรวมข้อมูลในรูปแบบใดรูปแบบหนึ่ง การเข้าใจสิทธิด้านความเป็นส่วนตัวของคุณไม่ใช่ทางเลือก แต่เป็นสิ่งจำเป็น
PDPA กำกับดูแลวิธีที่องค์กรเก็บรวบรวม ใช้ เปิดเผย และจัดเก็บข้อมูลส่วนบุคคลของคุณ บังคับใช้โดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ซึ่งมีอำนาจสอบสวนข้อร้องเรียน ออกคำสั่ง และเรียกค่าปรับสูงสุด 1 ล้านดอลลาร์สิงคโปร์ต่อการละเมิด
PDPA ครอบคลุมอะไรบ้าง
ข้อมูลส่วนบุคคลภายใต้ PDPA
ข้อมูลส่วนบุคคลหมายถึงข้อมูลใดๆ ที่สามารถระบุตัวบุคคลได้ ไม่ว่าจะโดยลำพังหรือรวมกับข้อมูลอื่น ซึ่งรวมถึง:
| ประเภท | ตัวอย่าง |
|---|---|
| ตัวระบุตัวตน | หมายเลข NRIC, FIN, หมายเลขพาสปอร์ต |
| ข้อมูลติดต่อ | หมายเลขโทรศัพท์, อีเมล, ที่อยู่บ้าน |
| ข้อมูลทางการเงิน | หมายเลขบัญชีธนาคาร, ข้อมูลบัตรเครดิต, รายได้ |
| ข้อมูลการจ้างงาน | ตำแหน่งงาน, นายจ้าง, เงินเดือน, การประเมินผลงาน |
| ข้อมูลสุขภาพ | ประวัติการรักษา, ใบสั่งยา, การเรียกร้องประกัน |
| ข้อมูลชีวมิติ | ลายนิ้วมือ, ข้อมูลจดจำใบหน้า |
| ตัวระบุดิจิทัล | ที่อยู่ IP, ID อุปกรณ์, ประวัติการเรียกดู |
| ภาพและการบันทึก | ภาพ CCTV, รูปถ่าย, การบันทึกเสียง |
สิ่งที่ไม่ครอบคลุม
PDPA ไม่ใช้กับ:
- หน่วยงานราชการ (อยู่ภายใต้คู่มือคำสั่งรัฐบาล)
- วัตถุประสงค์ส่วนตัวหรือในครัวเรือน (รายชื่อผู้ติดต่อส่วนตัว)
- ข้อมูลติดต่อทางธุรกิจที่ใช้เพื่อวัตถุประสงค์ทางธุรกิจ
- ข้อมูลของบุคคลที่เสียชีวิตแล้ว (เกิน 10 ปีหลังเสียชีวิต)
5 สิทธิสำคัญของคุณภายใต้ PDPA
1. สิทธิในการให้ความยินยอม
องค์กรต้องได้รับความยินยอมจากคุณก่อนเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล คุณต้องได้รับแจ้งวัตถุประสงค์ของการเก็บรวบรวม และความยินยอมต้องเป็นไปโดยสมัครใจ คุณสามารถถอนความยินยอมได้ทุกเมื่อ แม้องค์กรอาจแจ้งผลที่ตามมา
เคล็ดลับปฏิบัติ: หากร้านค้าขอ NRIC เพื่อสมัครโปรแกรมสมาชิก คุณสามารถปฏิเสธได้ พวกเขาต้องให้บริการโดยไม่ต้องขอข้อมูลส่วนบุคคลที่ไม่จำเป็น
2. สิทธิในการเข้าถึง
คุณสามารถขอเข้าถึงข้อมูลส่วนบุคคลที่องค์กรใดๆ ถือครอง รวมถึงข้อมูลว่าข้อมูลของคุณถูกใช้หรือเปิดเผยอย่างไรในปีที่ผ่านมา องค์กรต้องตอบกลับภายใน 30 วัน
เคล็ดลับปฏิบัติ: คุณสามารถเขียนถึงบริษัทใดก็ได้และถามว่าพวกเขาเก็บข้อมูลส่วนบุคคลอะไรเกี่ยวกับคุณ พวกเขามีหน้าที่ตามกฎหมายที่ต้องแจ้ง
3. สิทธิในการแก้ไข
หากข้อมูลส่วนบุคคลที่องค์กรถือครองไม่ถูกต้องหรือไม่สมบูรณ์ คุณมีสิทธิขอแก้ไข องค์กรต้องแก้ไขข้อมูลและส่งเวอร์ชันที่แก้ไขแล้วไปยังองค์กรอื่นที่เคยแบ่งปันข้อมูลในปีที่ผ่านมา
4. สิทธิในการถอนความยินยอม
คุณสามารถถอนความยินยอมให้องค์กรเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ทุกเมื่อ องค์กรต้องปฏิบัติตามภายในระยะเวลาที่เหมาะสมและแจ้งผลที่ตามมา (เช่น ไม่สามารถให้บริการบางอย่างได้)
5. สิทธิในการโอนย้ายข้อมูล (แก้ไขเพิ่มเติม 2021)
ข้อบังคับการโอนย้ายข้อมูลที่นำมาใช้ในการแก้ไข PDPA ปี 2021 ช่วยให้คุณขอให้ส่งข้อมูลไปยังองค์กรอื่นในรูปแบบที่ใช้กันทั่วไป ใช้กับข้อมูลที่คุณให้ไว้ในรูปแบบอิเล็กทรอนิกส์
กฎการเก็บรวบรวม NRIC
หนึ่งในแนวปฏิบัติที่มีผลกระทบมากที่สุดของ PDPA เกี่ยวข้องกับการเก็บรวบรวม NRIC ตั้งแต่กันยายน 2019:
| สถานการณ์ | สามารถเก็บ NRIC เต็มได้หรือไม่? |
|---|---|
| เปิดบัญชีธนาคาร | ได้ — กฎหมายกำหนด |
| ลงทะเบียนโรงพยาบาล | ได้ — กฎหมายกำหนด |
| บันทึกการจ้างงาน | ได้ — กฎหมายกำหนด |
| บันทึกผู้เยี่ยมอาคาร | ไม่ได้ — ใช้ 4 ตัวท้ายหรือ ID ทางเลือก |
| โปรแกรมสมาชิกร้านค้า | ไม่ได้ — ใช้ตัวระบุทางเลือก |
| ลงทะเบียนจับฉลาก | ไม่ได้ — ใช้ตัวระบุทางเลือก |
| สมาชิกฟิตเนส | ไม่ได้ — ใช้ตัวระบุทางเลือก |
ควรทำอย่างไร: หากบริการที่ไม่จำเป็นขอ NRIC เต็ม คุณสามารถปฏิเสธและอ้างแนวปฏิบัติที่ปรึกษา PDPA เรื่องหมายเลข NRIC
ทะเบียนห้ามโทร (DNC)
PDPA จัดตั้งทะเบียนห้ามโทร (DNC) ของสิงคโปร์ ซึ่งช่วยให้คุณปฏิเสธการรับสายโทรขาย SMS และแฟกซ์ คุณสามารถลงทะเบียนหมายเลขที่ dnc.gov.sg
| การลงทะเบียน | การคุ้มครอง |
|---|---|
| ทะเบียนห้ามโทร | บล็อกสายโทรขาย |
| ทะเบียนห้ามส่ง SMS | บล็อก SMS โทรขาย |
| ทะเบียนห้ามแฟกซ์ | บล็อกแฟกซ์โทรขาย |
องค์กรเผชิญค่าปรับสูงสุด S$10,000 ต่อข้อความการตลาดที่ไม่ได้รับอนุญาต
วิธียื่นข้อร้องเรียน PDPA
หากคุณเชื่อว่าองค์กรจัดการข้อมูลส่วนบุคคลอย่างไม่เหมาะสม:
ขั้นตอนที่ 1: ติดต่อองค์กรโดยตรง
เขียนถึงเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ขององค์กร ทุกองค์กรที่อยู่ภายใต้ PDPA ต้องแต่งตั้ง DPO ระบุชัดเจนว่าเกิดอะไรขึ้นและคุณต้องการให้ดำเนินการอย่างไร
ขั้นตอนที่ 2: ยื่นข้อร้องเรียนกับ PDPC
หากองค์กรไม่ตอบกลับอย่างน่าพอใจภายใน 30 วัน ให้ยื่นข้อร้องเรียนกับ PDPC ที่ pdpc.gov.sg รวมถึง:
- ข้อมูลส่วนตัวของคุณ
- ข้อมูลขององค์กร
- คำอธิบายเหตุการณ์
- หลักฐาน (ภาพหน้าจอ, อีเมล, จดหมายโต้ตอบ)
- การแก้ไขที่คุณต้องการ
ขั้นตอนที่ 3: การสอบสวนของ PDPC
PDPC จะประเมินข้อร้องเรียนและอาจเริ่มการสอบสวน ผลลัพธ์ที่เป็นไปได้:
- คำสั่งให้องค์กรหยุดการปฏิบัติด้านข้อมูล
- คำสั่งให้ทำลายข้อมูลที่เก็บรวบรวมอย่างไม่เหมาะสม
- ค่าปรับสูงสุด S$1 ล้าน
- การตัดสินบังคับใช้สาธารณะ (เผยแพร่บนเว็บไซต์ PDPC)
กรณีบังคับใช้ PDPA ที่น่าสนใจ
| ปี | องค์กร | การละเมิด | บทลงโทษ |
|---|---|---|---|
| 2019 | SingHealth | ข้อมูลผู้ป่วย 1.5 ล้านรายการรั่วไหล | S$250,000 |
| 2019 | IHiS (ผู้ให้บริการ IT) | มาตรการรักษาความปลอดภัยล้มเหลวในกรณี SingHealth | S$750,000 |
| 2020 | Integrated Health Information Systems | เปิดเผยข้อมูลโดยไม่ได้รับอนุญาต | S$50,000 |
| 2021 | SME หลายแห่ง | เก็บ NRIC อย่างไม่เหมาะสม | คำเตือนและคำสั่ง |
| 2022 | หลายองค์กร | ข้อมูลรั่วไหลจากการรักษาความปลอดภัยไม่เพียงพอ | บทลงโทษต่างๆ |
เคล็ดลับ PDPA สำหรับชีวิตประจำวัน
- อ่านนโยบายความเป็นส่วนตัว ก่อนสมัครบริการ — รู้ว่ามีการเก็บข้อมูลอะไรบ้าง
- ใช้ทะเบียน DNC เพื่อหยุดข้อความการตลาดที่ไม่ต้องการ
- ขอลบข้อมูล จากบริการที่ไม่ได้ใช้แล้ว
- รู้ว่าเมื่อไหร่ควรปฏิเสธการเก็บ NRIC — อ้างแนวปฏิบัติ PDPA
- แจ้งข้อมูลรั่วไหล ที่พบไปยัง PDPC
- ขอช่องทางติดต่อ DPO เมื่อองค์กรเก็บข้อมูลของคุณ
- ใช้สิทธิเข้าถึง เพื่อดูว่าบริษัทเก็บข้อมูลอะไรเกี่ยวกับคุณ
แบ่งปันข้อมูลส่วนบุคคลอย่างปลอดภัย
ภายใต้ PDPA องค์กรต้องปกป้องข้อมูลของคุณ แต่คุณก็มีบทบาทในการปกป้องข้อมูลของตัวเองเช่นกัน เมื่อต้องแบ่งปันข้อมูลส่วนบุคคล — NRIC สำหรับการสมัครธนาคาร ข้อมูลทางการเงินสำหรับธุรกรรม หรือประวัติการรักษาสำหรับการส่งต่อ — หลีกเลี่ยงการส่งข้อความธรรมดาผ่าน LINE
ใช้ LOCK.PUB สร้างลิงก์ที่ป้องกันด้วยรหัสผ่านและลบตัวเองอัตโนมัติที่มีข้อมูลสำคัญของคุณ ผู้รับกรอกรหัสผ่านเพื่อดู และข้อมูลจะหายไปหลังจากหมดอายุที่ตั้งไว้ วิธีนี้ลดความเสี่ยงที่ข้อมูลส่วนบุคคลจะถูกเปิดเผยผ่านบัญชีแชทที่ถูกแฮ็กหรือการขโมยอุปกรณ์
สรุป
PDPA มอบสิทธิที่แท้จริงและบังคับใช้ได้เหนือข้อมูลส่วนบุคคลของคุณในสิงคโปร์ สิ่งสำคัญที่สุด: คุณมีสิทธิรู้ว่าองค์กรเก็บข้อมูลอะไรเกี่ยวกับคุณ สิทธิปฏิเสธการเก็บที่ไม่จำเป็น และสิทธิยื่นข้อร้องเรียนเมื่อข้อมูลถูกจัดการอย่างไม่เหมาะสม
ใช้สิทธิเหล่านี้อย่างจริงจัง ปฏิเสธการเก็บ NRIC ที่ไม่จำเป็น ลงทะเบียน DNC ขอลบข้อมูลจากบริการที่ไม่ได้ใช้ และเมื่อต้องแบ่งปันข้อมูลส่วนบุคคล ให้ใช้ LOCK.PUB เพื่อทำอย่างปลอดภัย ความเป็นส่วนตัวไม่ใช่สิ่งฟุ่มเฟือย — เป็นสิทธิที่กฎหมายสิงคโปร์คุ้มครอง
คำสำคัญ
คุณอาจสนใจ
GDPR Compliance Guide for German Businesses: Checklist & Key Requirements
DSGVO fines hit all-time highs in 2025. Complete compliance checklist including DPO requirements, breach notification, NIS2, AI Act, and DORA.
การแจ้งเตือนการรั่วไหลข้อมูลในสิงคโปร์: กฎ 3 วัน
ทำความเข้าใจข้อกำหนดการแจ้งเตือนการรั่วไหลข้อมูลภาคบังคับในสิงคโปร์ตาม PDPA กฎ 3 วัน เกณฑ์ และขั้นตอน
การแต่งตั้ง DPO ในสิงคโปร์: สิ่งที่ทุกธุรกิจต้องรู้
ทุกองค์กรในสิงคโปร์ต้องแต่งตั้ง DPO ข้อกำหนด PDPA ความรับผิดชอบ คุณสมบัติ และตัวเลือกการจ้างภายนอก
สร้างลิงก์ที่ป้องกันด้วยรหัสผ่านตอนนี้
สร้างลิงก์ที่ป้องกันด้วยรหัสผ่าน บันทึกลับ และแชตที่เข้ารหัสได้ฟรี
เริ่มต้นใช้งานฟรี