新加坡PDPA中小企業合規清單

在新加坡經營中小企業，個人資料保護法（PDPA）無一例外地適用於您。無論是2名員工還是200名員工，義務都一樣。

PDPC已對各種規模的企業處以罰款——SingHealth資料外洩事件中SingHealth和IHIS各被罰S$250,000，Grabcar因資料暴露被罰S$10,000。

什麼是PDPA？

PDPA（Personal Data Protection Act 2012）是新加坡的主要資料保護法律，2020/2021年進行了重大修訂，關鍵變更於2021年2月生效。

2021年主要修訂內容

變更	影響
強制資料外洩通知	評估為須通知的外洩後3個日曆日內通知PDPC
提高罰款上限	新加坡年營業額的10%或S$100萬（取較高者）
合約必要性的視為同意	擴大個人資料處理的合法基礎
資料可攜帶義務	個人可要求將資料轉移至其他機構

9項PDPA核心義務

1. 同意義務 — 收集、使用或揭露個人資料前取得同意
2. 目的限制義務 — 僅為合理目的收集資料
3. 通知義務 — 告知個人資料收集目的
4. 存取義務 — 應要求提供個人資料存取權
5. 更正義務 — 應要求更正不準確的個人資料
6. 準確性義務 — 確保個人資料準確完整
7. 保護義務 — 採取合理安全措施保護資料
8. 保留限制義務 — 不再需要時停止保留資料
9. 轉移限制義務 — 跨境轉移時確保充分保護

中小企業合規清單

1. 任命資料保護長（DPO）

新加坡所有機構必須任命DPO。可以是現有員工或外部聘請的專業人員，其聯絡方式必須在公司網站上公開。

2. 制定資料保護政策

記錄企業如何收集、使用、儲存和處置個人資料。

3. 進行資料盤點

梳理收集了哪些個人資料、儲存在哪裡、誰有權存取。

4. 審查同意收集實務

確保每個資料收集目的都取得了有效同意。

5. 建立資料外洩應變計畫

• 識別和遏制外洩
• 評估是否需要通知
• 評估後3個日曆日內通知PDPC
• 可能造成重大損害時通知受影響個人

6. 訓練員工

利用PDPC提供的免費電子學習課程。

7. 審查供應商合約

與共享個人資料的供應商簽訂包含資料保護條款的合約。

8. 跨境轉移保護

向境外轉移個人資料時確保接收方提供同等保護。

9. 制定保留和銷毀計畫

為不同類型的資料設定保留期限，建立安全的銷毀程序。

安全共享敏感合規文件

合規過程中，您需要與DPO、法律顧問或管理層共享資料稽核報告和外洩評估文件。透過LINE或普通電子郵件傳送這些文件存在風險。

LOCK.PUB可以建立密碼保護的備忘錄，安全地共享敏感稽核文件。您可以設定到期時間，使資訊僅在需要的時間內可存取。

處罰標準

類型	金額
機構罰款	新加坡年營業額的10%或S$100萬（取較高者）
PDPC指令	停止收集/使用資料、銷毀資料等
刑事處罰	最高S$5,000罰款或2年以下監禁

立即開始您的合規之旅。需要安全共享敏感文件時，試試LOCK.PUB的密碼保護功能。