Singapore PDPA Privacy Guide: Your Rights Under the Personal Data Protection Act
A comprehensive guide to Singapore's Personal Data Protection Act (PDPA). Understand your data rights, what organizations can and cannot do, and how to file complaints with the PDPC.

Singapur PDPA Gizlilik Rehberi: Kişisel Verilerin Korunması Kanunu Kapsamında Haklarınız
Singapur'un Kişisel Verilerin Korunması Kanunu (PDPA) 2014'ten beri yürürlüktedir, ancak birçok Singapurlu bu yasanın kendilerine verdiği hakları hâlâ bilmemektedir. Taksi çağırmaktan bubble tea almaya kadar neredeyse her işlemin bir tür veri toplama içerdiği bu şehir devletinde, gizlilik haklarınızı anlamak isteğe bağlı değildir. Zorunludur.
PDPA, kuruluşların kişisel verilerinizi nasıl topladığını, kullandığını, ifşa ettiğini ve sakladığını düzenler. Kişisel Verileri Koruma Komisyonu (PDPC) tarafından uygulanır ve PDPC, şikayetleri soruşturma, talimat verme ve ihlal başına 1 milyon S$ para cezası uygulama yetkisine sahiptir.
PDPA Neyi Kapsar
PDPA Kapsamında Kişisel Veriler
Kişisel veriler, tek başına veya diğer bilgilerle birleştirildiğinde bir kişiyi tanımlayabilen herhangi bir veri olarak tanımlanır. Bunlar şunları içerir:
| Tür | Örnekler |
|---|---|
| Kimlik tanımlayıcılar | NRIC numarası, FIN, pasaport numarası |
| İletişim bilgileri | Telefon numarası, e-posta adresi, ev adresi |
| Finansal veriler | Banka hesap numaraları, kredi kartı bilgileri, gelir |
| İstihdam verileri | Unvan, işveren, maaş, performans değerlendirmeleri |
| Sağlık verileri | Tıbbi kayıtlar, reçeteler, sigorta talepleri |
| Biyometrik veriler | Parmak izleri, yüz tanıma verileri |
| Dijital tanımlayıcılar | IP adresleri, cihaz kimlikleri, tarama geçmişi |
| Görüntüler ve kayıtlar | CCTV görüntüleri, fotoğraflar, ses kayıtları |
Kapsam Dışı Kalanlar
PDPA şunlara uygulanmaz:
- Devlet kurumları (Hükümet Talimat Kılavuzu tarafından yönetilir)
- Kişisel veya ev içi amaçlar (kişisel kişi listeniz)
- Ticari amaçlarla kullanılan iş iletişim bilgileri
- Vefat etmiş kişilerin verileri (ölümden 10 yıldan fazla sonra)
PDPA Kapsamında 5 Temel Hakkınız
1. Onay Hakkı
Kuruluşlar, kişisel verilerinizi toplamadan, kullanmadan veya ifşa etmeden önce onayınızı almalıdır. Toplama amacı hakkında bilgilendirilmelisiniz ve onayınız gönüllü olmalıdır. Onayınızı istediğiniz zaman geri çekebilirsiniz, ancak kuruluş sonuçları hakkında sizi bilgilendirebilir.
Pratik ipucu: Bir mağaza sadakat programına katılmak için NRIC'nizi isterse reddedebilirsiniz. Gereksiz kişisel veri talep etmeden hizmeti sunmaları gerekir.
2. Erişim Hakkı
Herhangi bir kuruluş tarafından tutulan kişisel verilerinize ve geçen yıl verilerinizin nasıl kullanıldığına veya ifşa edildiğine dair bilgilere erişim talep edebilirsiniz. Kuruluş 30 gün içinde yanıt vermelidir.
Pratik ipucu: Herhangi bir şirkete yazıp hakkınızda hangi kişisel verileri tuttuklarını sorabilirsiniz. Yasal olarak söylemekle yükümlüdürler.
3. Düzeltme Hakkı
Bir kuruluş tarafından tutulan kişisel verileriniz yanlış veya eksikse düzeltme talep etme hakkınız vardır. Kuruluş verileri düzeltmeli ve düzeltilmiş versiyonu geçen yıl paylaşıldığı diğer kuruluşlara göndermelidir.
4. Onay Geri Çekme Hakkı
Kişisel verilerinizin toplanması, kullanılması veya ifşa edilmesi için verdiğiniz onayı istediğiniz zaman geri çekebilirsiniz. Kuruluş makul bir süre içinde uymalı ve sonuçları (belirli hizmetleri sunamama gibi) hakkında sizi bilgilendirmelidir.
5. Veri Taşınabilirliği Hakkı (2021 Değişikliği)
2021 PDPA değişikliğiyle getirilen Veri Taşınabilirliği Yükümlülüğü, verilerinizin yaygın kullanılan bir formatta başka bir kuruluşa aktarılmasını talep etmenize olanak tanır. Bu, sizin tarafınızdan sağlanan ve elektronik ortamda olan veriler için geçerlidir.
NRIC Toplama Kuralları
PDPA'nın en etkili yönergelerinden biri NRIC toplamasını etkiler. Eylül 2019'dan beri:
| Durum | Tam NRIC'nizi Toplayabilirler mi? |
|---|---|
| Banka hesabı açma | Evet — yasal olarak gerekli |
| Hastane kaydı | Evet — yasal olarak gerekli |
| İstihdam kayıtları | Evet — yasal olarak gerekli |
| Bina ziyaretçi defteri | Hayır — son 4 karakter veya alternatif ID kullanın |
| Perakende sadakat programı | Hayır — alternatif tanımlayıcılar kullanın |
| Çekiliş kaydı | Hayır — alternatif tanımlayıcılar kullanın |
| Spor salonu üyeliği | Hayır — alternatif tanımlayıcılar kullanın |
Ne yapmalı: Zorunlu olmayan bir hizmet tam NRIC'nizi isterse reddedebilir ve NRIC numaraları hakkındaki PDPA Danışma Yönergelerine atıfta bulunabilirsiniz.
Arama Yapma Kayıt Defteri (DNC)
PDPA, Singapur'un Arama Yapma (DNC) Kayıt Defterini oluşturmuştur ve telemarketing aramaları, SMS ve fakslardan çıkmanıza olanak tanır. Numaralarınızı dnc.gov.sg adresinden kaydedebilirsiniz.
| Kayıt | Koruma |
|---|---|
| Arama Yapma Kaydı | Telemarketing sesli aramaları engeller |
| SMS Atma Kaydı | Telemarketing SMS'lerini engeller |
| Faks Gönderme Kaydı | Telemarketing fakslarını engeller |
Kuruluşlar, yetkisiz pazarlama mesajı başına 10.000 S$'a kadar cezayla karşı karşıyadır.
PDPA Şikayeti Nasıl Yapılır
Bir kuruluşun kişisel verilerinizi kötü yönettiğine inanıyorsanız:
Adım 1: Kuruluşla Doğrudan İletişime Geçin
Kuruluşun Veri Koruma Görevlisine (DPO) yazın. PDPA kapsamındaki her kuruluş DPO atamak zorundadır. Ne olduğunu ve ne yapılmasını istediğinizi açıkça belirtin.
Adım 2: PDPC'ye Şikayet Bildirin
Kuruluş 30 gün içinde tatmin edici yanıt vermezse pdpc.gov.sg adresinden PDPC'ye şikayet bildirin. Dahil edin:
- Kişisel bilgileriniz
- Kuruluşun bilgileri
- Olay açıklaması
- Kanıtlar (ekran görüntüleri, e-postalar, yazışmalar)
- Aradığınız çözüm
Adım 3: PDPC Soruşturması
PDPC şikayeti değerlendirecek ve soruşturma başlatabilir. Olası sonuçlar:
- Kuruluşa veri uygulamasını durdurma talimatı
- Uygunsuz toplanan verileri imha etme talimatı
- 1 milyon S$'a kadar para cezası
- Kamuya açık yaptırım kararı (PDPC web sitesinde yayınlanır)
Önemli PDPA Uygulama Davaları
| Yıl | Kuruluş | İhlal | Ceza |
|---|---|---|---|
| 2019 | SingHealth | 1,5 milyon hasta kaydı sızdırıldı | S$250.000 |
| 2019 | IHiS (BT sağlayıcı) | SingHealth sızıntısında güvenlik önlemlerinin yetersizliği | S$750.000 |
| 2020 | Integrated Health Information Systems | Yetkisiz veri ifşası | S$50.000 |
| 2021 | Çeşitli KOBİ'ler | Uygunsuz NRIC toplaması | Uyarılar ve talimatlar |
| 2022 | Birden fazla kuruluş | Yetersiz güvenlikten kaynaklanan veri sızıntıları | Çeşitli cezalar |
Günlük Yaşam İçin Pratik PDPA İpuçları
- Gizlilik politikalarını okuyun — hizmetlere kaydolmadan önce hangi verilerin toplandığını bilin
- DNC Kaydını kullanın — istenmeyen pazarlama mesajlarını durdurun
- Veri silme talep edin — artık kullanmadığınız hizmetlerden
- NRIC toplamayı ne zaman reddedeceğinizi bilin — PDPA yönergelerine atıfta bulunun
- Veri ihlallerini bildirin — keşfettiklerinizi PDPC'ye
- DPO iletişim bilgilerini isteyin — kuruluş verilerinizi topladığında
- Erişim haklarınızı kullanın — şirketlerin hangi verileri tuttuğunu öğrenin
Kişisel Verileri Güvenli Paylaşın
PDPA kapsamında kuruluşlar verilerinizi korumalıdır. Ancak kendi bilgilerinizi korumada sizin de rolünüz var. Kişisel verileri paylaşmanız gerektiğinde — banka başvurusu için NRIC, işlem için finansal bilgiler veya sevk için tıbbi kayıtlar — bunları WhatsApp üzerinden düz metin olarak göndermekten kaçının.
LOCK.PUB kullanarak hassas bilgilerinizi içeren şifre korumalı, kendini imha eden bir bağlantı oluşturun. Alıcı şifreyi girerek görüntüler ve veriler belirlenen süre sonunda kaybolur. Bu, kişisel verilerinizin ele geçirilmiş mesajlaşma hesapları veya cihaz hırsızlığı yoluyla ifşa olma riskini en aza indirir.
Sonuç
PDPA, Singapur'da kişisel verileriniz üzerinde gerçek, uygulanabilir haklar verir. En önemli nokta: kuruluşların hakkınızda hangi verileri topladığını bilme hakkınız, gereksiz toplamayı reddetme hakkınız ve verileriniz kötü yönetildiğinde şikayet etme hakkınız vardır.
Bu hakları aktif olarak kullanın. Gereksiz NRIC toplamayı reddedin, DNC Kaydına kaydolun, kullanılmayan hizmetlerden veri silme talep edin ve kişisel bilgi paylaşmanız gerektiğinde LOCK.PUB kullanarak güvenli bir şekilde yapın. Gizlilik bir lüks değil — Singapur yasalarıyla korunan bir haktır.
Anahtar kelimeler
Bunları da beğenebilirsiniz
GDPR Compliance Guide for German Businesses: Checklist & Key Requirements
DSGVO fines hit all-time highs in 2025. Complete compliance checklist including DPO requirements, breach notification, NIS2, AI Act, and DORA.
Singapur'da Veri İhlali Bildirimi: 3 Gün Kuralı
Singapur PDPA kapsamında zorunlu veri ihlali bildirim gereksinimlerini anlayın. 3 gün kuralı, kriterler ve adımlar.
Singapur'da DPO Atanması: Her İşletmenin Bilmesi Gerekenler
Singapur'daki tüm kuruluşlar DPO atamalıdır. PDPA gereksinimleri, sorumluluklar ve dış kaynak seçenekleri.
Parola korumalı bağlantınızı şimdi oluşturun
Parola korumalı bağlantılar, gizli notlar ve şifreli sohbetleri ücretsiz oluşturun.
Ücretsiz Başla