Privacy
7 min

Singapore PDPA Privacy Guide: Your Rights Under the Personal Data Protection Act

A comprehensive guide to Singapore's Personal Data Protection Act (PDPA). Understand your data rights, what organizations can and cannot do, and how to file complaints with the PDPC.

LOCK.PUB
Singapore PDPA Privacy Guide: Your Rights Under the Personal Data Protection Act

คู่มือความเป็นส่วนตัว PDPA สิงคโปร์: สิทธิของคุณภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของสิงคโปร์ (PDPA) มีผลบังคับใช้ตั้งแต่ปี 2014 แต่ชาวสิงคโปร์จำนวนมากยังไม่ทราบถึงสิทธิที่กฎหมายนี้มอบให้ ในนครรัฐที่แทบทุกธุรกรรม — ตั้งแต่การนั่งแท็กซี่ไปจนถึงการซื้อชานมไข่มุก — เกี่ยวข้องกับการเก็บรวบรวมข้อมูลในรูปแบบใดรูปแบบหนึ่ง การเข้าใจสิทธิด้านความเป็นส่วนตัวของคุณไม่ใช่ทางเลือก แต่เป็นสิ่งจำเป็น

PDPA กำกับดูแลวิธีที่องค์กรเก็บรวบรวม ใช้ เปิดเผย และจัดเก็บข้อมูลส่วนบุคคลของคุณ บังคับใช้โดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ซึ่งมีอำนาจสอบสวนข้อร้องเรียน ออกคำสั่ง และเรียกค่าปรับสูงสุด 1 ล้านดอลลาร์สิงคโปร์ต่อการละเมิด

PDPA ครอบคลุมอะไรบ้าง

ข้อมูลส่วนบุคคลภายใต้ PDPA

ข้อมูลส่วนบุคคลหมายถึงข้อมูลใดๆ ที่สามารถระบุตัวบุคคลได้ ไม่ว่าจะโดยลำพังหรือรวมกับข้อมูลอื่น ซึ่งรวมถึง:

ประเภท ตัวอย่าง
ตัวระบุตัวตน หมายเลข NRIC, FIN, หมายเลขพาสปอร์ต
ข้อมูลติดต่อ หมายเลขโทรศัพท์, อีเมล, ที่อยู่บ้าน
ข้อมูลทางการเงิน หมายเลขบัญชีธนาคาร, ข้อมูลบัตรเครดิต, รายได้
ข้อมูลการจ้างงาน ตำแหน่งงาน, นายจ้าง, เงินเดือน, การประเมินผลงาน
ข้อมูลสุขภาพ ประวัติการรักษา, ใบสั่งยา, การเรียกร้องประกัน
ข้อมูลชีวมิติ ลายนิ้วมือ, ข้อมูลจดจำใบหน้า
ตัวระบุดิจิทัล ที่อยู่ IP, ID อุปกรณ์, ประวัติการเรียกดู
ภาพและการบันทึก ภาพ CCTV, รูปถ่าย, การบันทึกเสียง

สิ่งที่ไม่ครอบคลุม

PDPA ไม่ใช้กับ:

  • หน่วยงานราชการ (อยู่ภายใต้คู่มือคำสั่งรัฐบาล)
  • วัตถุประสงค์ส่วนตัวหรือในครัวเรือน (รายชื่อผู้ติดต่อส่วนตัว)
  • ข้อมูลติดต่อทางธุรกิจที่ใช้เพื่อวัตถุประสงค์ทางธุรกิจ
  • ข้อมูลของบุคคลที่เสียชีวิตแล้ว (เกิน 10 ปีหลังเสียชีวิต)

5 สิทธิสำคัญของคุณภายใต้ PDPA

1. สิทธิในการให้ความยินยอม

องค์กรต้องได้รับความยินยอมจากคุณก่อนเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล คุณต้องได้รับแจ้งวัตถุประสงค์ของการเก็บรวบรวม และความยินยอมต้องเป็นไปโดยสมัครใจ คุณสามารถถอนความยินยอมได้ทุกเมื่อ แม้องค์กรอาจแจ้งผลที่ตามมา

เคล็ดลับปฏิบัติ: หากร้านค้าขอ NRIC เพื่อสมัครโปรแกรมสมาชิก คุณสามารถปฏิเสธได้ พวกเขาต้องให้บริการโดยไม่ต้องขอข้อมูลส่วนบุคคลที่ไม่จำเป็น

2. สิทธิในการเข้าถึง

คุณสามารถขอเข้าถึงข้อมูลส่วนบุคคลที่องค์กรใดๆ ถือครอง รวมถึงข้อมูลว่าข้อมูลของคุณถูกใช้หรือเปิดเผยอย่างไรในปีที่ผ่านมา องค์กรต้องตอบกลับภายใน 30 วัน

เคล็ดลับปฏิบัติ: คุณสามารถเขียนถึงบริษัทใดก็ได้และถามว่าพวกเขาเก็บข้อมูลส่วนบุคคลอะไรเกี่ยวกับคุณ พวกเขามีหน้าที่ตามกฎหมายที่ต้องแจ้ง

3. สิทธิในการแก้ไข

หากข้อมูลส่วนบุคคลที่องค์กรถือครองไม่ถูกต้องหรือไม่สมบูรณ์ คุณมีสิทธิขอแก้ไข องค์กรต้องแก้ไขข้อมูลและส่งเวอร์ชันที่แก้ไขแล้วไปยังองค์กรอื่นที่เคยแบ่งปันข้อมูลในปีที่ผ่านมา

4. สิทธิในการถอนความยินยอม

คุณสามารถถอนความยินยอมให้องค์กรเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ทุกเมื่อ องค์กรต้องปฏิบัติตามภายในระยะเวลาที่เหมาะสมและแจ้งผลที่ตามมา (เช่น ไม่สามารถให้บริการบางอย่างได้)

5. สิทธิในการโอนย้ายข้อมูล (แก้ไขเพิ่มเติม 2021)

ข้อบังคับการโอนย้ายข้อมูลที่นำมาใช้ในการแก้ไข PDPA ปี 2021 ช่วยให้คุณขอให้ส่งข้อมูลไปยังองค์กรอื่นในรูปแบบที่ใช้กันทั่วไป ใช้กับข้อมูลที่คุณให้ไว้ในรูปแบบอิเล็กทรอนิกส์

กฎการเก็บรวบรวม NRIC

หนึ่งในแนวปฏิบัติที่มีผลกระทบมากที่สุดของ PDPA เกี่ยวข้องกับการเก็บรวบรวม NRIC ตั้งแต่กันยายน 2019:

สถานการณ์ สามารถเก็บ NRIC เต็มได้หรือไม่?
เปิดบัญชีธนาคาร ได้ — กฎหมายกำหนด
ลงทะเบียนโรงพยาบาล ได้ — กฎหมายกำหนด
บันทึกการจ้างงาน ได้ — กฎหมายกำหนด
บันทึกผู้เยี่ยมอาคาร ไม่ได้ — ใช้ 4 ตัวท้ายหรือ ID ทางเลือก
โปรแกรมสมาชิกร้านค้า ไม่ได้ — ใช้ตัวระบุทางเลือก
ลงทะเบียนจับฉลาก ไม่ได้ — ใช้ตัวระบุทางเลือก
สมาชิกฟิตเนส ไม่ได้ — ใช้ตัวระบุทางเลือก

ควรทำอย่างไร: หากบริการที่ไม่จำเป็นขอ NRIC เต็ม คุณสามารถปฏิเสธและอ้างแนวปฏิบัติที่ปรึกษา PDPA เรื่องหมายเลข NRIC

ทะเบียนห้ามโทร (DNC)

PDPA จัดตั้งทะเบียนห้ามโทร (DNC) ของสิงคโปร์ ซึ่งช่วยให้คุณปฏิเสธการรับสายโทรขาย SMS และแฟกซ์ คุณสามารถลงทะเบียนหมายเลขที่ dnc.gov.sg

การลงทะเบียน การคุ้มครอง
ทะเบียนห้ามโทร บล็อกสายโทรขาย
ทะเบียนห้ามส่ง SMS บล็อก SMS โทรขาย
ทะเบียนห้ามแฟกซ์ บล็อกแฟกซ์โทรขาย

องค์กรเผชิญค่าปรับสูงสุด S$10,000 ต่อข้อความการตลาดที่ไม่ได้รับอนุญาต

วิธียื่นข้อร้องเรียน PDPA

หากคุณเชื่อว่าองค์กรจัดการข้อมูลส่วนบุคคลอย่างไม่เหมาะสม:

ขั้นตอนที่ 1: ติดต่อองค์กรโดยตรง

เขียนถึงเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ขององค์กร ทุกองค์กรที่อยู่ภายใต้ PDPA ต้องแต่งตั้ง DPO ระบุชัดเจนว่าเกิดอะไรขึ้นและคุณต้องการให้ดำเนินการอย่างไร

ขั้นตอนที่ 2: ยื่นข้อร้องเรียนกับ PDPC

หากองค์กรไม่ตอบกลับอย่างน่าพอใจภายใน 30 วัน ให้ยื่นข้อร้องเรียนกับ PDPC ที่ pdpc.gov.sg รวมถึง:

  • ข้อมูลส่วนตัวของคุณ
  • ข้อมูลขององค์กร
  • คำอธิบายเหตุการณ์
  • หลักฐาน (ภาพหน้าจอ, อีเมล, จดหมายโต้ตอบ)
  • การแก้ไขที่คุณต้องการ

ขั้นตอนที่ 3: การสอบสวนของ PDPC

PDPC จะประเมินข้อร้องเรียนและอาจเริ่มการสอบสวน ผลลัพธ์ที่เป็นไปได้:

  • คำสั่งให้องค์กรหยุดการปฏิบัติด้านข้อมูล
  • คำสั่งให้ทำลายข้อมูลที่เก็บรวบรวมอย่างไม่เหมาะสม
  • ค่าปรับสูงสุด S$1 ล้าน
  • การตัดสินบังคับใช้สาธารณะ (เผยแพร่บนเว็บไซต์ PDPC)

กรณีบังคับใช้ PDPA ที่น่าสนใจ

ปี องค์กร การละเมิด บทลงโทษ
2019 SingHealth ข้อมูลผู้ป่วย 1.5 ล้านรายการรั่วไหล S$250,000
2019 IHiS (ผู้ให้บริการ IT) มาตรการรักษาความปลอดภัยล้มเหลวในกรณี SingHealth S$750,000
2020 Integrated Health Information Systems เปิดเผยข้อมูลโดยไม่ได้รับอนุญาต S$50,000
2021 SME หลายแห่ง เก็บ NRIC อย่างไม่เหมาะสม คำเตือนและคำสั่ง
2022 หลายองค์กร ข้อมูลรั่วไหลจากการรักษาความปลอดภัยไม่เพียงพอ บทลงโทษต่างๆ

เคล็ดลับ PDPA สำหรับชีวิตประจำวัน

  1. อ่านนโยบายความเป็นส่วนตัว ก่อนสมัครบริการ — รู้ว่ามีการเก็บข้อมูลอะไรบ้าง
  2. ใช้ทะเบียน DNC เพื่อหยุดข้อความการตลาดที่ไม่ต้องการ
  3. ขอลบข้อมูล จากบริการที่ไม่ได้ใช้แล้ว
  4. รู้ว่าเมื่อไหร่ควรปฏิเสธการเก็บ NRIC — อ้างแนวปฏิบัติ PDPA
  5. แจ้งข้อมูลรั่วไหล ที่พบไปยัง PDPC
  6. ขอช่องทางติดต่อ DPO เมื่อองค์กรเก็บข้อมูลของคุณ
  7. ใช้สิทธิเข้าถึง เพื่อดูว่าบริษัทเก็บข้อมูลอะไรเกี่ยวกับคุณ

แบ่งปันข้อมูลส่วนบุคคลอย่างปลอดภัย

ภายใต้ PDPA องค์กรต้องปกป้องข้อมูลของคุณ แต่คุณก็มีบทบาทในการปกป้องข้อมูลของตัวเองเช่นกัน เมื่อต้องแบ่งปันข้อมูลส่วนบุคคล — NRIC สำหรับการสมัครธนาคาร ข้อมูลทางการเงินสำหรับธุรกรรม หรือประวัติการรักษาสำหรับการส่งต่อ — หลีกเลี่ยงการส่งข้อความธรรมดาผ่าน LINE

ใช้ LOCK.PUB สร้างลิงก์ที่ป้องกันด้วยรหัสผ่านและลบตัวเองอัตโนมัติที่มีข้อมูลสำคัญของคุณ ผู้รับกรอกรหัสผ่านเพื่อดู และข้อมูลจะหายไปหลังจากหมดอายุที่ตั้งไว้ วิธีนี้ลดความเสี่ยงที่ข้อมูลส่วนบุคคลจะถูกเปิดเผยผ่านบัญชีแชทที่ถูกแฮ็กหรือการขโมยอุปกรณ์

สรุป

PDPA มอบสิทธิที่แท้จริงและบังคับใช้ได้เหนือข้อมูลส่วนบุคคลของคุณในสิงคโปร์ สิ่งสำคัญที่สุด: คุณมีสิทธิรู้ว่าองค์กรเก็บข้อมูลอะไรเกี่ยวกับคุณ สิทธิปฏิเสธการเก็บที่ไม่จำเป็น และสิทธิยื่นข้อร้องเรียนเมื่อข้อมูลถูกจัดการอย่างไม่เหมาะสม

ใช้สิทธิเหล่านี้อย่างจริงจัง ปฏิเสธการเก็บ NRIC ที่ไม่จำเป็น ลงทะเบียน DNC ขอลบข้อมูลจากบริการที่ไม่ได้ใช้ และเมื่อต้องแบ่งปันข้อมูลส่วนบุคคล ให้ใช้ LOCK.PUB เพื่อทำอย่างปลอดภัย ความเป็นส่วนตัวไม่ใช่สิ่งฟุ่มเฟือย — เป็นสิทธิที่กฎหมายสิงคโปร์คุ้มครอง

คำสำคัญ

PDPA Singapore
Personal Data Protection Act
Singapore privacy law
PDPC complaint
data protection Singapore
PDPA rights
Singapore data privacy
NRIC collection PDPA

สร้างลิงก์ที่ป้องกันด้วยรหัสผ่านตอนนี้

สร้างลิงก์ที่ป้องกันด้วยรหัสผ่าน บันทึกลับ และแชตที่เข้ารหัสได้ฟรี

เริ่มต้นใช้งานฟรี
Singapore PDPA Privacy Guide: Your Rights Under the Personal Data Protection Act | LOCK.PUB Blog