Privacy
7 min

Singapore PDPA Privacy Guide: Your Rights Under the Personal Data Protection Act

A comprehensive guide to Singapore's Personal Data Protection Act (PDPA). Understand your data rights, what organizations can and cannot do, and how to file complaints with the PDPC.

LOCK.PUB
Singapore PDPA Privacy Guide: Your Rights Under the Personal Data Protection Act

Hướng Dẫn Quyền Riêng Tư PDPA Singapore: Quyền Của Bạn Theo Luật Bảo Vệ Dữ Liệu Cá Nhân

Luật Bảo vệ Dữ liệu Cá nhân Singapore (PDPA) có hiệu lực từ năm 2014, nhưng nhiều người dân Singapore vẫn chưa biết đến các quyền mà luật này trao cho họ. Trong một thành phố-quốc gia nơi gần như mọi giao dịch — từ đi taxi đến mua trà sữa — đều liên quan đến việc thu thập dữ liệu, việc hiểu quyền riêng tư của bạn không phải là tùy chọn. Đó là điều thiết yếu.

PDPA quy định cách các tổ chức thu thập, sử dụng, tiết lộ và lưu trữ dữ liệu cá nhân của bạn. Luật được thực thi bởi Ủy ban Bảo vệ Dữ liệu Cá nhân (PDPC), có quyền điều tra khiếu nại, đưa ra chỉ thị và áp dụng mức phạt tài chính lên đến 1 triệu S$ cho mỗi vi phạm.

PDPA Bao Gồm Những Gì

Dữ Liệu Cá Nhân Theo PDPA

Dữ liệu cá nhân được định nghĩa là bất kỳ dữ liệu nào có thể xác định danh tính cá nhân, dù đơn lẻ hay kết hợp với thông tin khác. Bao gồm:

Loại Ví dụ
Mã định danh Số NRIC, FIN, số hộ chiếu
Thông tin liên hệ Số điện thoại, địa chỉ email, địa chỉ nhà
Dữ liệu tài chính Số tài khoản ngân hàng, thông tin thẻ tín dụng, thu nhập
Dữ liệu việc làm Chức danh, nhà tuyển dụng, lương, đánh giá hiệu suất
Dữ liệu sức khỏe Hồ sơ y tế, đơn thuốc, yêu cầu bảo hiểm
Dữ liệu sinh trắc học Dấu vân tay, dữ liệu nhận dạng khuôn mặt
Mã định danh kỹ thuật số Địa chỉ IP, ID thiết bị, lịch sử duyệt web
Hình ảnh và bản ghi Hình ảnh CCTV, ảnh, bản ghi âm

Những Gì Không Được Bao Gồm

PDPA không áp dụng cho:

  • Cơ quan chính phủ (được quản lý bởi Sổ tay Hướng dẫn Chính phủ)
  • Mục đích cá nhân hoặc gia đình (danh sách liên hệ cá nhân)
  • Thông tin liên hệ kinh doanh sử dụng cho mục đích kinh doanh
  • Dữ liệu về người đã mất (hơn 10 năm sau khi qua đời)

5 Quyền Chính Của Bạn Theo PDPA

1. Quyền Đồng Ý

Các tổ chức phải có sự đồng ý của bạn trước khi thu thập, sử dụng hoặc tiết lộ dữ liệu cá nhân. Bạn phải được thông báo về mục đích thu thập và sự đồng ý phải tự nguyện. Bạn có thể rút lại sự đồng ý bất cứ lúc nào, dù tổ chức có thể thông báo cho bạn về hậu quả.

Mẹo thực tế: Nếu cửa hàng yêu cầu NRIC để tham gia chương trình khách hàng thân thiết, bạn có thể từ chối. Họ phải cung cấp dịch vụ mà không yêu cầu dữ liệu cá nhân không cần thiết.

2. Quyền Truy Cập

Bạn có thể yêu cầu truy cập dữ liệu cá nhân do bất kỳ tổ chức nào nắm giữ, cũng như thông tin về cách dữ liệu được sử dụng hoặc tiết lộ trong năm qua. Tổ chức phải phản hồi trong vòng 30 ngày.

Mẹo thực tế: Bạn có thể viết thư cho bất kỳ công ty nào để hỏi họ giữ dữ liệu cá nhân gì về bạn. Họ có nghĩa vụ pháp lý phải trả lời.

3. Quyền Sửa Chữa

Nếu dữ liệu cá nhân do tổ chức nắm giữ không chính xác hoặc không đầy đủ, bạn có quyền yêu cầu sửa chữa. Tổ chức phải sửa dữ liệu và gửi phiên bản đã sửa cho bất kỳ tổ chức nào khác mà nó đã được chia sẻ trong năm qua.

4. Quyền Rút Lại Đồng Ý

Bạn có thể rút lại sự đồng ý cho tổ chức thu thập, sử dụng hoặc tiết lộ dữ liệu cá nhân bất cứ lúc nào. Tổ chức phải tuân thủ trong khoảng thời gian hợp lý và thông báo cho bạn về bất kỳ hậu quả nào (chẳng hạn như không thể cung cấp một số dịch vụ nhất định).

5. Quyền Chuyển Đổi Dữ Liệu (Sửa đổi 2021)

Nghĩa vụ Chuyển đổi Dữ liệu, được giới thiệu trong sửa đổi PDPA năm 2021, cho phép bạn yêu cầu dữ liệu được truyền sang tổ chức khác ở định dạng thông dụng. Điều này áp dụng cho dữ liệu do bạn cung cấp và ở dạng điện tử.

Quy Tắc Thu Thập NRIC

Một trong những hướng dẫn có tác động lớn nhất của PDPA ảnh hưởng đến việc thu thập NRIC. Từ tháng 9 năm 2019:

Tình huống Họ có thể thu thập NRIC đầy đủ không?
Mở tài khoản ngân hàng Có — yêu cầu pháp lý
Đăng ký bệnh viện Có — yêu cầu pháp lý
Hồ sơ việc làm Có — yêu cầu pháp lý
Sổ đăng ký khách thăm tòa nhà Không — dùng 4 ký tự cuối hoặc ID thay thế
Chương trình khách hàng thân thiết Không — dùng mã định danh thay thế
Đăng ký rút thăm trúng thưởng Không — dùng mã định danh thay thế
Thành viên phòng tập gym Không — dùng mã định danh thay thế

Nên làm gì: Nếu dịch vụ không thiết yếu yêu cầu NRIC đầy đủ, bạn có thể từ chối và viện dẫn Hướng dẫn Tư vấn PDPA về số NRIC.

Sổ Đăng Ký Không Gọi (DNC)

PDPA thiết lập Sổ Đăng ký Không Gọi (DNC) của Singapore, cho phép bạn từ chối nhận cuộc gọi tiếp thị, SMS và fax. Bạn có thể đăng ký số tại dnc.gov.sg.

Đăng ký Bảo vệ
Sổ Không Gọi Chặn cuộc gọi tiếp thị
Sổ Không Nhắn Tin Chặn SMS tiếp thị
Sổ Không Fax Chặn fax tiếp thị

Các tổ chức phải đối mặt với mức phạt lên đến S$10.000 cho mỗi tin nhắn tiếp thị trái phép.

Cách Nộp Khiếu Nại PDPA

Nếu bạn tin rằng tổ chức đã xử lý sai dữ liệu cá nhân:

Bước 1: Liên Hệ Trực Tiếp Với Tổ Chức

Viết thư cho Cán bộ Bảo vệ Dữ liệu (DPO) của tổ chức. Mọi tổ chức thuộc phạm vi PDPA đều phải chỉ định DPO. Nêu rõ điều gì đã xảy ra và bạn muốn họ xử lý thế nào.

Bước 2: Nộp Khiếu Nại Với PDPC

Nếu tổ chức không phản hồi thỏa đáng trong 30 ngày, nộp khiếu nại với PDPC tại pdpc.gov.sg. Bao gồm:

  • Thông tin cá nhân của bạn
  • Thông tin tổ chức
  • Mô tả sự việc
  • Bằng chứng (ảnh chụp màn hình, email, thư từ)
  • Giải pháp bạn mong muốn

Bước 3: Điều Tra Của PDPC

PDPC sẽ đánh giá khiếu nại và có thể khởi động điều tra. Kết quả có thể bao gồm:

  • Chỉ thị tổ chức ngừng hoạt động xử lý dữ liệu
  • Chỉ thị tiêu hủy dữ liệu thu thập không đúng cách
  • Phạt tài chính lên đến S$1 triệu
  • Quyết định thực thi công khai (công bố trên website PDPC)

Các Vụ Thực Thi PDPA Đáng Chú Ý

Năm Tổ chức Vi phạm Hình phạt
2019 SingHealth 1,5 triệu hồ sơ bệnh nhân bị lộ S$250.000
2019 IHiS (nhà cung cấp IT) Biện pháp bảo mật thất bại trong vụ SingHealth S$750.000
2020 Integrated Health Information Systems Tiết lộ dữ liệu trái phép S$50.000
2021 Nhiều SME Thu thập NRIC không đúng Cảnh báo và chỉ thị
2022 Nhiều tổ chức Rò rỉ dữ liệu do bảo mật không đầy đủ Nhiều mức phạt

Mẹo PDPA Thực Tế Cho Cuộc Sống Hàng Ngày

  1. Đọc chính sách bảo mật trước khi đăng ký dịch vụ — biết dữ liệu nào được thu thập
  2. Sử dụng Sổ DNC để chặn tin nhắn tiếp thị không mong muốn
  3. Yêu cầu xóa dữ liệu từ các dịch vụ bạn không còn sử dụng
  4. Biết khi nào từ chối thu thập NRIC — viện dẫn hướng dẫn PDPA
  5. Báo cáo vi phạm dữ liệu bạn phát hiện cho PDPC
  6. Hỏi liên hệ DPO khi tổ chức thu thập dữ liệu của bạn
  7. Thực hiện quyền truy cập để biết công ty nắm giữ dữ liệu gì về bạn

Chia Sẻ Dữ Liệu Cá Nhân An Toàn

Theo PDPA, các tổ chức phải bảo vệ dữ liệu của bạn. Nhưng bạn cũng có vai trò trong việc bảo vệ thông tin của mình. Khi cần chia sẻ dữ liệu cá nhân — NRIC cho đơn xin ngân hàng, chi tiết tài chính cho giao dịch, hoặc hồ sơ y tế cho giới thiệu — tránh gửi dạng văn bản thuần qua Zalo.

Sử dụng LOCK.PUB để tạo liên kết được bảo vệ bằng mật khẩu, tự hủy chứa thông tin nhạy cảm. Người nhận nhập mật khẩu để xem và dữ liệu biến mất sau thời hạn đã đặt. Điều này giảm thiểu nguy cơ dữ liệu cá nhân bị lộ qua tài khoản nhắn tin bị xâm phạm hoặc thiết bị bị đánh cắp.

Kết Luận

PDPA trao cho bạn quyền thực sự, có thể thực thi đối với dữ liệu cá nhân tại Singapore. Điều quan trọng nhất: bạn có quyền biết tổ chức thu thập dữ liệu gì về bạn, quyền từ chối thu thập không cần thiết, và quyền khiếu nại khi dữ liệu bị xử lý sai.

Hãy tích cực thực hiện các quyền này. Từ chối thu thập NRIC không cần thiết, đăng ký Sổ DNC, yêu cầu xóa dữ liệu từ dịch vụ không dùng, và khi cần chia sẻ thông tin cá nhân, hãy dùng LOCK.PUB để thực hiện an toàn. Quyền riêng tư không phải xa xỉ — đó là quyền được luật pháp Singapore bảo vệ.

Từ khóa

PDPA Singapore
Personal Data Protection Act
Singapore privacy law
PDPC complaint
data protection Singapore
PDPA rights
Singapore data privacy
NRIC collection PDPA

Tạo liên kết được bảo vệ bằng mật khẩu ngay

Tạo liên kết bảo mật, ghi chú bí mật và trò chuyện mã hóa miễn phí.

Bắt Đầu Miễn Phí