GDPR ja PDPA: milles on erinevus?

GDPR läheb järgmisel kuul aktiivseks. Selleks, et veenduda nende nõuetele vastamises, saavad kõik inimesed kogu maailmas rüseluse teha. Isegi vaevatud Mark Zuckerbergi meeskond töötab selle kallal, tagades senaatoritele ja vaatajatele tema tunnistuse USA Kongressil, et Facebook on mais GDPR-iga ühilduv.

Mark Zuckerberg USA Kongressi kohtuistungil

Kas olete valmis GDPR-i või ELi üldise andmekaitsemääruse jaoks? Pärast kõiki kohandusi, mille olete juba 2014. aastal Singapuri isikuandmete kaitse seaduses (PDPA) teinud, võite arvata, et olete juba oma klientide isikuandmeid kaitsnud. Kuid GDPR erineb PDPA-st üsna erinevalt.

Allpool on välja toodud võrdlevad diagrammid, et saaksite kiiresti tutvuda nende sarnasuste ja erinevustega, nii et näete, kuidas see teie organisatsiooni mõjutab.

Kiired faktid Singapuri PDPA ja ELi GDPR kohta

(PDPA: Allikas) (GDPR: Allikas)

Lühidalt: PDPA

PDPA-l on kaks peamist sätet:

  1. 9 andmekaitsekohustust:
  • Nõusolek: vajalik enne isikuandmete kogumist, kasutamist või avalikustamist
  • Sihtotstarbe piiramine: organisatsioon peab üksikisikut teavitama isikuandmete kogumise, kasutamise või avalikustamise eesmärgist; samuti ei tohi kogutud andmeid kasutada muuks kui algseks otstarbeks.
  • Teatamine: üksikisikuid tuleb eesmärgist teavitada enne, kui nad võivad anda nõusoleku oma isikuandmete kogumiseks, kasutamiseks või avalikustamiseks.
  • Juurdepääs ja parandamine: üksikisikutel on õigus taotleda juurdepääsu oma isikuandmetele, mis on organisatsiooni valduses või kontrolli all, ning neil on lubatud parandada oma isikuandmetega seotud vigu.
  • Täpsus: organisatsioon peaks tegema mõistlikke jõupingutusi, et koguda täpseid ja täielikke isikuandmeid, eriti kui kõik isikuandmeid kasutades tehtud otsused mõjutavad üksikisikut ja kui isikuandmed avaldatakse teisele organisatsioonile.
  • Kaitse: organisatsiooni valduses või kontrolli all olevate isikuandmete loata juurdepääsu, kasutamise, avalikustamise, kopeerimise, muutmise ja käsutamise vältimiseks tuleb võtta mõistlikud turvameetmed.
  • Säilituspiirang: organisatsioon võib isikuandmeid säilitada ainult teatud aja jooksul, pärast mida peab ta neid lõplikult kustutama või kustutama.
  • Edastamise piirang: isikuandmeid ei tohi anda väljaspool Singapuri, välja arvatud juhul, kui vastuvõtjariigis kehtivad andmekaitse standardid, mis vastavad PDPA-le.

2. Riiklik telefonikõnede register

Riiklikus DNC registris registreeritud nimed ei tohi üheltki Singapuri registreeritud organisatsioonilt vastu võtta soovimatuid turundussõnumeid (häälkõnesid, tekstisõnumeid või faksi).

(Allikas)

GDPR: kiire pilk

Need on GDPR-i sisse viidud peamised muudatused:

  1. Suurem territoriaalne ulatus: sõltumata teie asukohast maailmas, kui teie ettevõte töötleb ELis elavate subjektide isikuandmeid, peaks teie suhtes kehtima GDPR.
  2. Karistused: organisatsioonidele, kes ei järgi nõudeid, võidakse määrata trahv kuni 4% -ni aastasest kogukäibest või 20 miljoni euroni (olenevalt sellest, kumb on suurem).
  3. Nõusolek: üksikisikutele tuleb anda arusaadav ja hõlpsasti juurdepääsetav nõusoleku vorm.
  4. Rikkumisest teatamine: vastutavad töötlejad peavad teavitama järelevalveasutust, mõjutatud eraisikuid või organisatsiooni, kellele ta teatab, eraelu puutumatuse rikkumisest ilma põhjendamatu viivituseta / esimese 72 tunni jooksul pärast rikkumisest teada saamist.
  5. Juurdepääsuõigus: andmesubjektidel peab olema tasuta juurdepääs oma isikuandmetele vastutavate töötlejate valduses või kontrolli all ning neile tuleb edastada elektroonilises vormis koopia.
  6. Andmete kustutamine: andmesubjektidel on õigus lasta oma isikuandmed unustada: need kustutatakse, nende levitamine lõpetatakse või kui kolmandad isikud peatavad vastutava töötleja kaudu oma isikuandmete töötlemise.
  7. Andmete teisaldatavus: andmesubjektidel peaks olema võimalik saada isikuandmeid, mille andmiseks nad on nõustunud, „üldkasutatavas ja masinloetavas vormingus” ning neil peaks olema õigus edastada need andmed teisele vastutavale töötlejale
  8. Projekteeritud eraelu puutumatus: Andmekaitse tuleb lisada süsteemide kavandamise alguses, mitte ainult lisana.
  9. Andmekaitseametnikud nimetatakse ainult organisatsioonide jaoks:
  10. kelle põhitegevuseks on andmetöötlustoimingud,
  11. mis teostavad andmesubjektide süstemaatilist jälgimist suures ulatuses,
  12. mis töötlevad regulaarselt kriminaalasjades süüdimõistvate kohtuotsuste ja kuritegudega seotud erikategooriaid või andmeid
GDPR-is on nõusoleku taotlemiseks ja andmiseks rangemad meetmed kui PDPA-s, nii et tutvuge kindlasti selle poliitikaosaga lähemalt.

(Allikas)

Põhikontseptsioonide määratlused

1.) Mõisted PDPA-s

Isiklikud andmed

„Andmed on tõesed või mitte, üksikisiku kohta, keda nende andmete põhjal saab tuvastada; või nende andmete ja muu teabe põhjal, millele organisatsioonil on või on tõenäoliselt juurdepääs. See hõlmab kordumatuid tunnuseid; üksikisiku fotod või videopildid; samuti mis tahes andmeid, mis koos võetuna suudaksid isiku tuvastada. ”(Allikas)

Välistamised:

  • Ettevõtluse eesmärkidel kasutatavad andmed (st ettevõtte kontaktteave)
  • Üle ühe aasta surnud isiku andmed

Nõusolek

„Kiire nõusolek”: kirjalikult väljendatud nõusolek

„Arvatav nõusolek”:

  • Kui üksikisik edastab organisatsioonile vabatahtlikult oma isikuandmeid ja üksikisikul on mõistlik seda teha
  • Ühe organisatsiooni vabatahtlikult edastatud andmeid saab konkreetsel eesmärgil teisele organisatsioonile edastada

(Allikas)

Erandid:

Nõusolek pole vajalik järgmistel eesmärkidel ja olukordades:

  • Isikuandmete kogumiseks: teine ​​ajakava
  • Isikuandmete kasutamiseks: kolmas ajakava
  • Isikuandmete avalikustamine: neljas ajakava

Tundlikud isikuandmed: pole PDPA-s konkreetselt määratletud

Nõusoleku vanus: vanuse alampiir ei ole PDPA-s sätestatud

Eesmärk

  • „Mõistlik isik” peaks neid asjaolusid arvesse võtma (punkt 18)
  • Kogutud andmetega seoses ei ole vaja täpsustada organisatsiooni toiminguid; nende kogumise eesmärgid ja põhjused tuleks siiski anda isikutele, kellelt soovite nõusolekut saada (allikas)

2. Mõisted GDPR-is

Isiklikud andmed

„Igasugune füüsilise isiku või“ andmesubjektiga ”seotud teave, mida saab kasutada isiku otseseks või kaudseks tuvastamiseks. See võib olla mis tahes nimi, foto, e-posti aadress, pangarekvisiidid, postitused suhtlusvõrgustike veebisaitidel, meditsiiniline teave või arvuti IP-aadress. ”

Koguda tuleks ainult organisatsiooni eesmärkide saavutamiseks vajalikke andmeid. (andmete minimeerimine)

Nõusolek

"Andmesubjekti soovide vabalt antud, konkreetne, teadlik ja ühemõtteline osutamine, millega ta avalduse või selge jaatava toiminguga tähendab nõusolekut temaga seotud isikuandmete töötlemiseks"

  • Nõuab positiivset osalemist (eelvalikuta ruute või vaikimisi nõusolekut pole)
  • Selgesõnaliselt ja konkreetselt antud avalduses
  • Nõusoleku taotlused peaksid olema muudest tingimustest eraldi.
  • Hankige eraldi nõusolek eraldi eesmärkidel. Ebamäärane või üldine nõusolek ei ole vastuvõetav.
  • Tuleks nimetada kolmandad isikud, kes loodavad nõusolekule
  • Üksikisikuid tuleks teavitada sellest, kuidas nad võivad oma nõusoleku tagasi võtta, ja tagasivõtmise sammud peaksid olema lihtsad.
  • Teenuse eeltingimuse töötlemiseks ei tohiks anda nõusolekut.

Põhjalikuma nõusoleku küsimise, salvestamise ja haldamise kontrollnimekirja saamiseks klõpsake siin.

Tundlikud isikuandmed

Isikuandmed, mis paljastavad:

  • rassiline või etniline päritolu,
  • poliitilised arvamused,
  • usulised või filosoofilised veendumused
  • ametiühingu liikmelisus,
  • geneetilised andmed,
  • biomeetrilised andmed füüsilise isiku unikaalseks tuvastamiseks,
  • - tervisega seotud andmed või -
  • füüsilise isiku seksuaalelu või seksuaalse sättumuse andmed.

Selliste andmete kogumine, kasutamine ja avalikustamine on keelatud.

Nõusoleku vanus: künniseks seatakse 16 aastat vana, kuid liikmesriigid võivad seda langetada vanuseni 13–16 aastat.

Eesmärk

Rangelt piiratud:

  • „Täpsustatud, selged ja õigustatud eesmärgid” (artikkel 5)
  • avalik arhiveerimine, ajaloolised, teaduslikud või statistilised eesmärgid ei tohi olla algse eesmärgiga kokkusobimatud (eesmärgi piiramine)

Trahvid ja karistused rikkumise eest

(PDPA: Allikas) (GDPR: Allikas)

Kas vajate tervikteksti?

Iga poliitika täieliku teksti leiate järgmistelt linkidelt:

Singapuri PDPA

ELi GDPR

Hankige GDPR-iga ühilduv

Trahvid ei ole mitte ainult valusad, vaid nende mittejärgimine võib kahjustada ka teie ettevõtte mainet ja mainet. Tehke vajalikud sammud, et tutvustada oma töötajatele põhipunkte ja muudatusi ning seda, kuidas kaitsta kogutud, kasutatavaid ja klientidele avaldatavaid andmeid.

Pildiallikad ja krediidid

Päise pilt; Ettevaatlik koonus sülearvutil; Turvalink; Euro pangatähed: Pexels

Mark Zuckerberg: Getty Images saidi TheAustralian.com.au kaudu