Singapore PDPA Privacy Guide: Your Rights Under the Personal Data Protection Act
A comprehensive guide to Singapore's Personal Data Protection Act (PDPA). Understand your data rights, what organizations can and cannot do, and how to file complaints with the PDPC.

Посібник з конфіденційності PDPA Сінгапуру: ваші права за Законом про захист персональних даних
Закон Сінгапуру про захист персональних даних (PDPA) діє з 2014 року, але багато жителів Сінгапуру досі не знають про права, які цей закон їм надає. У місті-державі, де практично кожна транзакція — від поїздки на таксі до купівлі бабл-ті — пов'язана з певною формою збору даних, розуміння ваших прав на конфіденційність не є необов'язковим. Це необхідність.
PDPA регулює, як організації збирають, використовують, розкривають і зберігають ваші персональні дані. Закон виконується Комісією із захисту персональних даних (PDPC), яка має повноваження розслідувати скарги, видавати розпорядження та накладати штрафи до 1 млн сінгапурських доларів за одне порушення.
Що охоплює PDPA
Персональні дані за PDPA
Персональні дані визначаються як будь-які дані, що можуть ідентифікувати особу самостійно або в поєднанні з іншою інформацією. Це включає:
| Тип | Приклади |
|---|---|
| Ідентифікатори | Номер NRIC, FIN, номер паспорта |
| Контактна інформація | Номер телефону, електронна адреса, домашня адреса |
| Фінансові дані | Номери банківських рахунків, дані кредитних карток, дохід |
| Дані про зайнятість | Посада, роботодавець, зарплата, оцінки ефективності |
| Медичні дані | Медичні записи, рецепти, страхові претензії |
| Біометричні дані | Відбитки пальців, дані розпізнавання обличчя |
| Цифрові ідентифікатори | IP-адреси, ID пристроїв, історія перегляду |
| Зображення та записи | Записи відеоспостереження, фотографії, голосові записи |
Що не охоплюється
PDPA не поширюється на:
- Державні органи (регулюються Урядовим інструкційним посібником)
- Особисті або побутові цілі (ваш особистий список контактів)
- Ділову контактну інформацію, що використовується в ділових цілях
- Дані про померлих осіб (понад 10 років після смерті)
Ваші 5 ключових прав за PDPA
1. Право на згоду
Організації повинні отримати вашу згоду перед збором, використанням або розкриттям ваших персональних даних. Вас повинні поінформувати про мету збору, і ваша згода повинна бути добровільною. Ви можете відкликати згоду в будь-який час, хоча організація може повідомити вам про наслідки.
Практична порада: Якщо магазин просить ваш NRIC для участі в програмі лояльності, ви можете відмовити. Вони зобов'язані надати послугу без вимоги непотрібних персональних даних.
2. Право на доступ
Ви можете запросити доступ до ваших персональних даних, які зберігаються будь-якою організацією, а також інформацію про те, як ваші дані використовувались або розкривались протягом останнього року. Організація повинна відповісти протягом 30 днів.
Практична порада: Ви можете написати будь-якій компанії та запитати, які персональні дані вони зберігають про вас. Вони юридично зобов'язані відповісти.
3. Право на виправлення
Якщо ваші персональні дані, що зберігаються організацією, є неточними або неповними, ви маєте право вимагати виправлення. Організація повинна виправити дані та надіслати виправлену версію будь-якій іншій організації, якій вони були передані протягом останнього року.
4. Право на відкликання згоди
Ви можете відкликати свою згоду на збір, використання або розкриття ваших персональних даних організацією в будь-який час. Організація повинна виконати це в розумний строк та повідомити вас про будь-які наслідки (наприклад, неможливість надання певних послуг).
5. Право на перенесення даних (Поправка 2021 р.)
Зобов'язання щодо перенесення даних, запроваджене поправкою до PDPA 2021 року, дозволяє вам вимагати передачі ваших даних іншій організації у загальноприйнятому форматі. Це стосується даних, наданих вами в електронній формі.
Правила збору NRIC
Одна з найвпливовіших рекомендацій PDPA стосується збору NRIC. З вересня 2019 року:
| Ситуація | Чи можуть збирати повний NRIC? |
|---|---|
| Відкриття банківського рахунку | Так — вимагається законом |
| Реєстрація в лікарні | Так — вимагається законом |
| Кадрові записи | Так — вимагається законом |
| Журнал відвідувачів будівлі | Ні — використовувати останні 4 символи або альтернативний ID |
| Роздрібна програма лояльності | Ні — використовувати альтернативні ідентифікатори |
| Реєстрація в розіграші | Ні — використовувати альтернативні ідентифікатори |
| Членство в спортзалі | Ні — використовувати альтернативні ідентифікатори |
Що робити: Якщо необов'язкова послуга запитує ваш повний NRIC, ви можете відмовити, посилаючись на Консультативні рекомендації PDPA щодо номерів NRIC.
Реєстр заборони дзвінків (DNC)
PDPA створив Реєстр заборони дзвінків (DNC) Сінгапуру, який дозволяє відмовитися від телемаркетингових дзвінків, SMS та факсів. Зареєструвати номери можна на dnc.gov.sg.
| Реєстрація | Захист |
|---|---|
| Реєстр заборони дзвінків | Блокує телемаркетингові голосові виклики |
| Реєстр заборони SMS | Блокує телемаркетингові SMS |
| Реєстр заборони факсів | Блокує телемаркетингові факси |
Організаціям загрожують штрафи до S$10 000 за кожне несанкціоноване маркетингове повідомлення.
Як подати скаргу за PDPA
Якщо ви вважаєте, що організація неправильно поводилася з вашими персональними даними:
Крок 1: Зв'яжіться з організацією безпосередньо
Напишіть Уповноваженому із захисту даних (DPO) організації. Кожна організація під дією PDPA зобов'язана призначити DPO. Чітко опишіть, що сталося і яких дій ви очікуєте.
Крок 2: Подайте скаргу до PDPC
Якщо організація не відповість задовільно протягом 30 днів, подайте скаргу до PDPC на pdpc.gov.sg. Додайте:
- Ваші особисті дані
- Дані організації
- Опис інциденту
- Докази (знімки екрану, електронні листи, листування)
- Яке рішення ви шукаєте
Крок 3: Розслідування PDPC
PDPC оцінить скаргу і може розпочати розслідування. Можливі результати:
- Розпорядження організації припинити практику обробки даних
- Розпорядження знищити неправомірно зібрані дані
- Фінансовий штраф до S$1 млн
- Публічне рішення про примусове виконання (опубліковане на сайті PDPC)
Визначні справи з виконання PDPA
| Рік | Організація | Порушення | Штраф |
|---|---|---|---|
| 2019 | SingHealth | Витік 1,5 млн записів пацієнтів | S$250 000 |
| 2019 | IHiS (IT-постачальник) | Невдалі заходи безпеки при витоку SingHealth | S$750 000 |
| 2020 | Integrated Health Information Systems | Несанкціоноване розкриття даних | S$50 000 |
| 2021 | Різні МСП | Неправомірний збір NRIC | Попередження та розпорядження |
| 2022 | Кілька організацій | Витоки даних через неадекватну безпеку | Різні штрафи |
Практичні поради PDPA на кожен день
- Читайте політики конфіденційності перед реєстрацією в сервісах — знайте, які дані збираються
- Використовуйте Реєстр DNC щоб зупинити небажані маркетингові повідомлення
- Вимагайте видалення даних із сервісів, якими більше не користуєтесь
- Знайте, коли відмовляти у зборі NRIC — посилайтесь на рекомендації PDPA
- Повідомляйте про витоки даних до PDPC
- Запитуйте контакти DPO при зборі ваших даних організацією
- Використовуйте право на доступ щоб дізнатись, які дані зберігають про вас компанії
Безпечно діліться персональними даними
За PDPA організації зобов'язані захищати ваші дані. Але й ви маєте роль у захисті власної інформації. Коли потрібно поділитися персональними даними — NRIC для банківської заявки, фінансовими даними для угоди чи медичними записами для направлення — не надсилайте їх звичайним текстом через Telegram.
Використовуйте LOCK.PUB для створення захищеного паролем посилання, що самознищується, з вашою конфіденційною інформацією. Отримувач вводить пароль для перегляду, і дані зникають після встановленого терміну. Це мінімізує ризик витоку персональних даних через зламані акаунти месенджерів або крадіжку пристроїв.
Підсумок
PDPA надає вам реальні, юридично забезпечені права на ваші персональні дані в Сінгапурі. Найважливіше: ви маєте право знати, які дані збирають про вас організації, право відмовити в непотрібному зборі та право подати скаргу, коли ваші дані обробляються неналежним чином.
Активно користуйтесь цими правами. Відмовляйте в непотрібному зборі NRIC, зареєструйтесь у Реєстрі DNC, вимагайте видалення даних із невикористовуваних сервісів, а коли потрібно поділитися особистою інформацією — використовуйте LOCK.PUB для безпечної передачі. Конфіденційність — не розкіш, а право, захищене законом Сінгапуру.
Ключові слова
Вам також може сподобатися
GDPR Compliance Guide for German Businesses: Checklist & Key Requirements
DSGVO fines hit all-time highs in 2025. Complete compliance checklist including DPO requirements, breach notification, NIS2, AI Act, and DORA.
Повідомлення про витік даних у Сінгапурі: Правило 3 днів
Зрозумійте обов'язкові вимоги до повідомлення про витік даних у Сінгапурі за PDPA. Правило 3 днів, критерії та кроки.
Призначення DPO у Сінгапурі: Що повинен знати кожен бізнес
Усі організації в Сінгапурі повинні призначити DPO. Вимоги PDPA, обов'язки та варіанти аутсорсингу.
Створіть захищене паролем посилання зараз
Створюйте безкоштовно захищені паролем посилання, секретні нотатки та зашифровані чати.
Почати безкоштовно