Quyền và nghĩa vụ của bên thu thập dữ liệu
- Bên sử dụng dữ liệu cá nhân chỉ được thu thập, lưu giữ, sử dụng và tiết lộ dữ liệu nếu được sự đồng ý của chủ dữ liệu. Sự đồng ý này có thể được thể hiện một cách rõ ràng hoặc thông qua ngầm định. Sự đồng ý ngầm định thường trong trường hợp cá nhân tự nguyện (hoặc có căn cứ hợp lý để cho rằng cá nhân tự nguyện) cung cấp dữ liệu vì mục đích nhất định. Chủ dữ liệu có thể rút sự đồng ý của mình vào bất kỳ thời gian nào và bên sử dụng dữ liệu không được ngăn việc làm đó.
Nguồn: www.exabytes.sg
- Bên sử dụng dữ liệu cá nhân chỉ được thu thập, sử dụng và tiết lộ dữ liệu vì những mục đích nhất định như đã thông báo cho chủ dữ liệu khi thu thập thông tin.
- Bảo đảm tính chính xác, toàn diện và cập nhật của dữ liệu được thu thập, lưu giữ, sử dụng.
- Áp dụng các biện pháp an ninh phù hợp để bảo vệ dữ liệu cá nhân trước các hành động truy cập, thu thập, sử dụng, tiết lộ, sao chép… trái phép hoặc các rủi ro tương tự.
- Phải ngừng ngay việc lưu giữ dữ liệu nếu như: mục đích ban đầu của việc thu thập dữ liệu không còn; hoặc việc lưu giữ dữ liệu không còn cần thiết cho các mục đích kinh doanh hoặc pháp lý.
- Được chuyển giao dữ liệu cá nhân cho bên thứ ba trên cơ sở Hợp đồng chuyển giao. Hợp đồng chuyển giao này phải tuân thủ các quy định về nội dung và hình thức theo pháp luật Singapore. Tuy nhiên, không được chuyển giao bất kỳ dữ liệu cá nhân nào ra khỏi Singapore trừ khi người nhận chuyển giao bảo đảm các tiêu chuẩn bảo vệ tương tự đối với dữ liệu cá nhân như Luật này.
- Khi có yêu cầu, phải cung cấp cho công chúng những thông tin về thực tiễn bảo vệ dữ liệu, thủ tục và quy trình giải quyết khiếu nại.
Quyền và nghĩa vụ của chủ thể dữ liệu
- Quyền được truy cập vào dữ liệu của mình. Tuy nhiên, quyền này của chủ dữ liệu có một số ngoại lệ được quy định tại Điều 21 Luật Bảo vệ dữ liệu như: việc truy cập đe dọa sự an toàn hoặc sức khỏe thể chất, tinh thần của chính chủ dữ liệu hoặc cá nhân khác; tiết lộ dữ liệu về một cá nhân khác; đi ngược lại lợi ích quốc gia…
- Quyền yêu cầu sửa chữa những sai sót liên quan đến dữ liệu của mình, nhưng có ngoại lệ là không sửa chữa các ý kiến của các chuyên gia hoặc ý kiến mang tính chuyên môn…
- Quyền được biết về mục đích thu thập, lưu giữ và sử dụng dữ liệu trước khi các hoạt động này diễn ra.
- Quyền được yêu cầu cung cấp các thông tin về chính sách, thực tiễn và quy trình giải quyết khiếu nại của chủ thể thu thập, lưu giữ và sử dụng dữ liệu. Không quy định rõ về quyền riêng tư.
Cân bằng trong quản lý thông tin
Như được nêu rõ trong Điều 3 của PDPA, mục đích của đạo luật là quản lý dữ liệu theo cách “công nhận cả quyền của cá nhân trong việc bảo vệ dữ liệu cá nhân và nhu cầu của các tổ chức trong việc thu thập, sử dụng hoặc tiết lộ dữ liệu cá nhân cho các mục đích phù hợp”. Do đó, mặc dù thường được công nhận là “luật bảo mật dữ liệu”, PDPA thực tế không công nhận quyền riêng tư. Thuật ngữ “quyền riêng tư” thậm chí không xuất hiện trong PDPA. Trái ngược với Chỉ thị bảo vệ dữ liệu của EU trong đó nêu rõ trong phần mở đầu rằng “các hệ thống xử lý dữ liệu phải… tôn trọng các quyền và tự do cơ bản của con người, đặc biệt là quyền riêng tư”, Singapore đã lựa chọn cách tiếp cận thân thiện hơn với doanh nghiệp. Ví dụ, không có yêu cầu thông báo trong trường hợp vi phạm bảo mật ảnh hưởng đến dữ liệu cá nhân.
Sổ đăng ký Không làm phiền
PDPA cũng quy định việc thiết lập Sổ đăng ký Không làm phiền, cho phép các cá nhân đăng ký số điện thoại vào Sổ này. Khi đó, các tổ chức bị cấm gửi tin nhắn tiếp thị hoặc gọi điện thoại đến các số điện thoại đã đăng ký. Theo PDPA, bất kỳ cá nhân hoặc tổ chức nào bị xác định là gửi tin nhắn tiếp thị đến các số điện thoại đã đăng ký trong Sổ đăng ký sẽ phải chịu khoản tiền phạt lên tới 10.000 USD cho mỗi tin nhắn được gửi.
Luật sửa đổi 2019: Cấm thu thập tùy tiện số thẻ căn cước
Vào năm 2019, Singapore thông qua Luật Bảo vệ dữ liệu cá nhân sửa đổi với nhiều điểm mới, theo đó, từ 1.9.2019, các tổ chức thu thập, sử dụng hoặc tiết lộ hoặc sao chép số thẻ căn cước công dân quốc gia (NRIC) của cá nhân không chính đáng sẽ là bất hợp pháp.
Quy định này được bổ sung vì trên thực tế mặc dù Luật cũ đã cấm thu thập dữ liệu cá nhân của người tiêu dùng một cách tùy tiện và yêu cầu các tổ chức phải tính đến cách sử dụng dữ liệu, nhưng những người ủng hộ quyền riêng tư cho rằng các thông tin về căn cước chi tiết vẫn đang được thu thập, đôi khi vì những lý do không mấy quan trọng như đặt vé xem phim hay thuê xe đạp. Ủy ban Bảo vệ dữ liệu cá nhân Singapore cho hay: "Trong nền kinh tế số hiện nay, việc tự ý thu thập hoặc xử lý một cách cẩu thả số NRIC có thể làm tăng nguy cơ tiết lộ không mong muốn và có thể dẫn đến số NRIC được sử dụng cho các hoạt động bất hợp pháp như trộm danh tính hoặc gian lận". Ngoài ra, sẽ có những rủi ro phát sinh nữa khi số NRIC là một định danh vĩnh viễn và không thể thay thế.
Luật sửa đổi 2020: tăng mức hình phạt
Theo luật sửa đổi năm 2020 có hiệu lực từ tháng 1.2021, các tổ chức phải thông báo cho Ủy ban Bảo vệ dữ liệu về bất kỳ vi phạm dữ liệu nào dẫn đến thiệt hại đáng kể cho các cá nhân bị ảnh hưởng; hoặc có quy mô đáng kể (tức là liên quan đến dữ liệu cá nhân của 500 cá nhân trở lên). Các cá nhân bị ảnh hưởng phải được thông báo nếu vi phạm dữ liệu có khả năng dẫn đến thiệt hại đáng kể cho họ.
Luật sửa đổi cũng tăng mức hình phạt tối đa mà một công ty có thể bị phạt do vi phạm dữ liệu lên tới 10% doanh thu hàng năm của họ ở Singapore hoặc 1 triệu dollar Singapore, tùy theo mức nào cao hơn. Trước đó, mức phạt tối đa mà một công ty có thể bị phạt vì vi phạm dữ liệu là 1 triệu dollar Singapore.
Một điều khoản mới đáng chú ý khác là cho phép các tổ chức thông báo cho người tiêu dùng về mục đích mới mà dữ liệu cá nhân của họ sẽ được sử dụng và cung cấp một khoảng thời gian hợp lý để họ từ chối. Chẳng hạn một tổ chức tài chính có thể muốn sử dụng dữ liệu giọng nói như một phương tiện thay thế để xác thực khách hàng của mình. Với những sửa đổi này, tổ chức tài chính có thể thông báo cho khách hàng về mục đích sử dụng dữ liệu thoại của họ.
