Luật Bảo Vệ Thông Tin Cá Nhân tại Singapore

Trong thời đại công nghệ như ngày nay, một lượng thông tin khổng lồ đang được thu thập và phân tích mỗi ngày để phục vụ cho việc tìm hiểu hành vi khách hàng. Lý do này đã hình thành một nhu cầu cấp thiết về một bộ luật quản lý cách thông tin cá nhân được sử dụng. Vì vậy mà Luật Bảo Vệ Thông Tin Cá Nhân (Personal Data Protection Act – PDPA) ra đời tại Singapore.

Bộ luật quy định các nguyên tắc liên quan đến việc thu thập, sử dụng, công khai và quản lý thông tin cá nhân. PDPA không những công nhận sự cần thiết của việc thu thập và sử dụng thông tin từ phía các doanh nghiệp mà còn công nhận các quyền hạn của cá nhân trong việc tiếp cận và sửa chữa các thông tin của họ đang được doanh nghiệp nắm giữ và sử dụng.

Gần như mọi tổ chức, bao gồm các doanh nghiệp, đều phải tuân thủ theo luật PDPA. Chính vì vậy mà trong bài viết này, BBCIncorp sẽ cung cấp cho bạn đọc một bản hướng dẫn tóm tắt những điều khoản mà công ty của bạn phải tuân theo, cũng như chúng tôi sẽ gợi ý cho bạn những phương pháp ứng dụng thực tiễn nhất.

1. Tổng Quan về Luật Bảo Vệ Thông Tin Cá Nhân tại Singapore

Trong phần này, hãy cùng tìm hiểu về quy mô áp dụng của luật PDPA:

1.1. Các loại thông tin thuộc phạm vi của luật PDPA

Nhìn chung thì thông tin cá nhân, dưới dạng điện tử hay phi điện tử, đều nằm trong phạm vi quy định của luật. Một thông tin được định nghĩa là “thông tin cá nhân” khi một cá nhân có thể được xác định:

  • Bởi chính thông tin đó, hoặc
  • Bởi chính thông tin đó cùng với các thông tin khác mà tổ chức sở hữu hoặc có khả năng tiếp cận đến.

Tuy nhiên, những loại thông tin sau không nằm trong phạm vi quy định của PDPA:

  • Thông tin cá nhân được lưu giữ trong hồ sơ đã tồn tại từ 100 năm trở lên.
  • Thông tin cá nhân về một người đã qua đời hơn 10 năm.
  • Thông tin liên hệ liên quan đến doanh nghiệp (dùng để làm việc) của một cá nhân được cung cấp không phải vì mục đích cá nhân, như là tên, chức vụ, số điện thoại doanh nghiệp, và địa chỉ email công ty.

1.2. Các đối tượng thuộc phạm vi của luật PDPA

Hầu hết các tổ chức và doanh nghiệp tại Singapore đều phải tuân thủ các nghĩa vụ được luật PDPA quy định về thu thập, sử dụng, công khai và quản lý thông tin cá nhân, trừ các đối tượng sau:

  • Cá nhân hoạt động theo phạm vi cá nhân hoặc trong nước
  • Nhân viên đang làm việc tại một tổ chức (tuy nhiên vẫn phải tuân thủ theo các chính sách tổ chức)
  • Cơ quan chính phủ (public agency) hoạt động với mục đích công trong việc thu thập, sử dụng và công khai thông tin cá nhân

Tổ chức thông tin trung gian (data intermediary) cũng được miễn trừ một phần các nghĩa vụ được quy định bởi luật PDPA (các điều khoản bảo mật và lưu trữ sẽ vẫn áp dụng) đối với việc xử lý thông tin thay cho một tổ chức khác theo điều khoản hợp đồng ký kết giữa hai bên. Về định nghĩa, tổ chức thông tin trung gian là các tổ chức xử lý thông tin thay cho một tổ chức khác (không bao gồm các thông tin về nhân viên của tổ chức khác đó).

2. Những Điều Khoản mà Doanh Nghiệp cần Tuân Theo

Các tổ chức phải tuân thủ Phần II đến VI của luật PDPA. Bên dưới là bản tóm tắt các quy định này, thông tin chi tiết có thể được tham khảo tại đây.

2.1. Những Nguyên Tắc Chính

Sự chấp thuận đối với việc thu thập thông tin cá nhân

Các tổ chức có thể thu thập, sử dụng và công khai thông tin cá nhân chỉ trong trường hợp:

  • Cá nhân cho phép, hoặc
  • Tổ chức được yêu cầu hoặc ủy thác trong phạm vi của bộ luật PDPA hoặc các văn bản pháp luật khác,
  • Cá nhân tự nguyện cung cấp thông tin cá nhân cho tổ chức với một mục đích cụ thể

Bất kỳ lúc nào, cá nhân cũng có thể rút lại sự chấp thuận của mình bằng văn bản. Các tổ chức có thể thông báo và giải thích các hậu quả nhưng không có quyền cấm các cá nhân rút lại sự cho phép của họ.

Mục đích sử dụng thông tin cá nhân

Một tổ chức có thể thu thập, sử dụng hoặc công khai thông tin cá nhân chỉ trong trường hợp:

  • Các hành động nêu trên phục vụ mục đích được xem là thích hợp trong tình huống cụ thể, và
  • Mục đích đó phải được thông báo đến cá nhân là chủ thông tin, nếu có thể

Về phần thông báo, các quy định sau phải được đảm bảo:

  • Mục đích cho việc thu thập, sử dụng hoặc công khai thông tin cá nhân phải được thông báo đến cá nhân trước khi hoặc vào thời điểm hành động đó (thu thập, sử dụng hay công khai thông tin) diễn ra,
  • Tổ chức phải thông báo đến cá nhân thông tin liên lạc của người chịu trách nhiệm trả lời các câu hỏi liên quan đến thông tin cá nhân

Một tổ chức muốn thu thập thông tin cá nhân từ một tổ chức khác cũng phải cung cấp đầy đủ các thông tin liên quan đến mục đích thu thập cho tổ chức khác đó để suy xét.

Quyền tiếp cận thông tin cá nhân

Một cá nhân có thể yêu cầu tổ chức cấp quyền tiếp cận đối với:

  • Thông tin cá nhân thuộc quyền xử lý và kiểm soát của tổ chức, và
  • Thông tin về cách mà tổ chức đã sử dụng thông tin cá nhân đó trong vòng 1 năm trở về trước kể từ thời điểm yêu cầu

Lưu ý rằng tổ chức vẫn có thể khước từ yêu cầu cung cấp thông tin nếu sự cung cấp đó:

  • Đe dọa và gây hại về mặt thể chất hoặc tinh thần đối với bất kỳ cá nhân nào, bao gồm cả cá nhân yêu cầu,
  • Làm rò rỉ thông tin cá nhân của người khác,
  • Đi ngược lại với lợi ích quốc gia,

Còn nhiều các trường hợp khác mà tổ chức có thể từ chối yêu cầu cung cấp thông tin. Bạn có thể tham khảo thêm Phụ lục 5 của luật PDPA quy định về những trường hợp đó.

Sửa chữa thông tin cá nhân

Một cá nhân cũng có thể yêu cầu tổ chức sửa lại các chỗ sai hoặc chưa hoàn chỉnh của thông tin cá nhân. Trừ khi có các lý do chứng minh rằng thông tin cá nhân đó không nên được sửa, một tổ chức phải:

  • Sửa lại các lỗi sai của thông tin cá nhân đó nhanh nhất có thể,
  • Gửi lại thông tin cá nhân sau khi đã sửa chữa đến các tổ chức khác mà đã thu thập thông tin cá nhân đó từ tổ chức này trong vòng 1 năm trở lại.

Sự chính xác của thông tin cá nhân

Thông tin cá nhân được thu thập phải đảm bảo chính xác và hoàn chỉnh nếu thông tin cá nhân đó có khả năng sẽ:

  • Được sử dụng để ra các quyết định mà có thể ảnh hưởng đến những người liên quan đến thông tin đó, hoặc
  • Được công khai cho một tổ chức khác

Bảo mật thông tin cá nhân

Các tổ chức phải đảm bảo sở hữu một hệ thống an ninh thông tin vững chắc để phòng tránh các rủi ro như truy cập trái phép, sửa đổi thông tin trái phép hoặc sự tấn công từ tin tặc.

Lưu trữ thông tin cá nhân

Một tổ chức phải ngưng việc lưu trữ hoặc xóa bỏ thông tin cá nhân khi việc lưu trữ đó không còn phục vụ cho mục đích kinh doanh của tổ chức nữa.

Chuyển giao thông tin cá nhân ra nước ngoài

Một tổ chức chỉ có thể chuyển thông tin cá nhân tới một quốc gia hoặc vùng lãnh thổ mà tại đó có mức độ bảo vệ thông tin cá nhân tương đương với luật PDPA của Singapore.

2.2. Hậu Quả của Việc Không Tuân Thủ

Cơ quan thẩm quyền (Cơ quan phát triển thông tin truyền thông đại chúng Singapore) sẽ đề ra các biện pháp bắt buộc phải tuân theo đối với các tổ chức không thực hiện đúng theo các nguyên tắc được quy định trong Phần III đến VI trong luật PDPA, bao gồm:

  • Ngừng việc thu thập, sử dụng và công khai thông tin vi phạm luật,
  • Hủy bỏ các thông tin cá nhân được thu thập vi phạm luật,
  • Tuân thủ các biện pháp khác được đề ra bởi cơ quan thẩm quyền (có thể là sửa lại thông tin, hoàn trả chi phí, hoặc cung cấp thông tin cho cá nhân yêu cầu)
  • Trả phí phạt lên đến 1 triệu đô Singapore, được quyết định bởi cơ quan thẩm quyền.

3. Ứng Dụng Thực Tiễn

3.1. Sử Dụng Công Cụ Kiểm Tra Trực Tuyến

Bạn có thể dùng Công cụ kiểm tra PATO (PDPA Assessment Tool for Organization) để kiểm tra xem liệu doanh nghiệp của bạn đã hoàn toàn tuân thủ với các điều khoản của luật PDPA hay chưa. Đây là một công cụ hữu ích và khá dễ sử dụng, nó sẽ cung cấp các bảng câu hỏi để kiểm tra các chính sách bảo vệ và ứng dụng thực tiễn mà công ty của bạn áp dụng.

3.2. Bổ Nhiệm Chuyên Viên Bảo Mật Thông Tin

Tất cả các tổ chức, bao gồm cả doanh nghiệp tư nhân, đều được yêu cầu phải bổ nhiệm ít nhất một Chuyên viên bảo mật thông tin (Data Protection Officer – DPO). Nhiệm vụ của một DPO là đảm bảo rằng doanh nghiệp của bạn tuân thủ toàn bộ các quy định của PDPA bằng cách kiểm tra và cập nhật liên tục các chính sách của công ty.

Ngoài ra, chuyên viên DPO cũng phải giải quyết các phiền hà liên quan đến những quy định của luật bảo vệ thông tin cá nhân. Vì vậy mà các thông tin liên lạc của ít nhất một DPO phải được công khai với cộng đồng.

Bởi vì không có quy định rõ ràng về việc ai có thể đảm nhiệm chức vụ của một DPO, bạn có thể bổ nhiệm bất kỳ nhân viên nào của mình hoặc sử dụng dịch vụ của đơn vị bên thứ ba. Lời khuyên hữu ích là bạn nên bổ nhiệm nhân viên mà công việc của họ liên quan mật thiết đến việc bảo mật thông tin để đảm nhiệm chức vụ này.

Một ứng dụng thực tiễn khác để đảm bảo bạn tuân thủ với các quy định của PDPA là sở hữu một hệ thống quản lý thông tin hiệu quả. Hệ thống có thể giúp doanh nghiệp:

  • Dễ dàng tiếp cận và xử lý thông tin khi sửa các lỗi sai
  • Thiết lập thời hạn cho việc lưu trữ và ngưng lưu trữ thông tin
  • Đảm bảo các chính sách và quá trình kinh doanh tuân thủ theo các quy định của PDPA

4. Các Ý Chính Cần Nhớ

  • Luật bảo vệ thông tin cá nhân tại Singapore áp dụng cho hầu hết tất cả các tổ chức tại Quốc đảo Sư tử
  • Những quy định của Luật bảo vệ thông tin tại Singapore mà các doanh nghiệp phải tuân theo:
    • Xin phép trước khi thu thập, sử dụng hoặc công khai thông tin cá nhân
    • Có mục đích chính đáng cho việc thu thập, sử dụng và công khai thông tin cá nhân
    • Cung cấp thông tin khi được yêu cầu
    • Sửa lại lỗi sai của thông tin cá nhân khi được yêu cầu
    • Thu thập chính xác và hoàn chỉnh các thông tin cá nhân
    • Sở hữu hệ thống bảo mật an toàn cho thông tin cá nhân
    • Ngưng việc lưu trữ nếu các thông tin cá nhân không còn phục vụ cho mục đích chính đáng của tổ chức
    • Chỉ chuyển giao thông tin cá nhân đến các quốc gia khác có mức độ bảo vệ thông tin cá nhân tương đương với luật PDPA của Singapore
  • Ứng dụng thực tiễn để đảm bảo tuân thủ theo luật PDPA:
    • Sử dụng công cụ kiểm tra PATO
    • Bổ nhiệm Chuyên viên bảo vệ thông tin
    • Xây dựng hệ thống quản lý thông tin hiệu quả

Hãy tiếp tục tìm hiểu các khía cạnh kinh doanh khác tại Singapore với các bài viết hướng dẫn của BBCIncorp!

Hoặc nếu bạn có bất kỳ thắc mắc nào, hãy liên hệ với chúng tôi ngay! BBCIncorp luôn sẵn sàng giúp đỡ bạn!

Cẩm Nang Kinh Doanh Tại Singapore 2021

Cung cấp cho bạn thông tin mới nhất về quy trình thành lập công ty, các yêu cầu pháp lý, hệ thống thuế, và tuyển dụng tại Singapore.

Khám Phá Ngay

Bài Viết Gần Đây