Nội dung cơ bản của Luật Bảo vệ dữ liệu cá nhân năm 2012

PDPA áp dụng đối với tất cả các cá nhân, tổ chức được thành lập hoặc được công nhận theo pháp luật Singapore; hoặc có nơi cư trú hoặc văn phòng đại diện hoặc khu vực kinh doanh tại Singapore. Đặc biệt, Luật chỉ áp dụng nếu các dữ liệu cá nhân được thu thập, sử dụng hoặc tiết lộ tại Singapore. Tuy nhiên, Luật cũng xác lập nguyên tắc bảo vệ các dữ liệu cá nhân được chuyển giao qua biên giới.

Quyền và nghĩa vụ của chủ thể thu thập, lưu giữ, sử dụng dữ liệu

- Bên sử dụng dữ liệu cá nhân chỉ được thu thập, lưu giữ, sử dụng và tiết lộ dữ liệu nếu được sự đồng ý của chủ dữ liệu. Sự đồng ý này có thể được thể hiện một cách rõ ràng hoặc thông qua ngầm định. Sự đồng ý ngầm định thường trong trường hợp cá nhân tự nguyện (hoặc có căn cứ hợp lý để cho rằng cá nhân tự nguyện) cung cấp dữ liệu vì mục đích nhất định. Chủ dữ liệu có thể rút sự đồng ý của mình vào bất kỳ thời gian nào và bên sử dụng dữ liệu không được ngăn việc làm đó.

- Bên sử dụng dữ liệu cá nhân chỉ được thu thập, sử dụng và tiết lộ dữ liệu vì những mục đích nhất định như đã thông báo cho chủ dữ liệu khi thu thập thông tin;

- Bảo đảm tính chính xác, toàn diện và cập nhật của dữ liệu được thu thập, lưu giữ, sử dụng;

- Áp dụng các biện pháp an ninh phù hợp để bảo vệ dữ liệu cá nhân trước các hành động truy cập, thu thập, sử dụng, tiết lộ, sao chép… trái phép hoặc các rủi ro tương tự.

- Phải ngừng ngay việc lưu giữ dữ liệu nếu như: mục đích ban đầu của việc thu thập dữ liệu không còn; hoặc việc lưu giữ dữ liệu không còn cần thiết cho các mục đích kinh doanh hoặc pháp lý;

- Được chuyển giao dữ liệu cá nhân cho bên thứ ba trên cơ sở Hợp đồng chuyển giao. Hợp đồng chuyển giao này phải tuân thủ các quy định về nội dung và hình thức theo pháp luật Singapore. Tuy nhiên, không được chuyển giao bất kỳ DLCN nào ra khỏi Singapore trừ khi người nhận chuyển giao bảo đảm các tiêu chuẩn bảo vệ tương tự đối với dữ liệu cá nhân như Luật này;

- Khi có yêu cầu, phải cung cấp cho công chúng những thông tin về thực tiễn bảo vệ dữ liệu, thủ tục và quy trình giải quyết khiếu nại.

Quyền và nghĩa vụ của chủ dữ liệu

- Quyền được truy cập vào dữ liệu của mình. Tuy nhiên, quyền này của chủ dữ liệu có một số ngoại lệ được quy định tại Điều 21 Luật Bảo vệ dữ liệu như: việc truy cập đe dọa sự an toàn hoặc sức khỏe thể chất, tinh thần của chính chủ dữ liệu hoặc cá nhân khác; tiết lộ dữ liệu về một cá nhân khác; đi ngược lại lợi ích quốc gia;…

- Quyền yêu cầu sửa chữa những sai sót liên quan đến dữ liệu của mình. Ngoại lệ của quyền này được quy định tại Điều 22.6 và 22.7 PDPA: không sửa chữa các ý kiến của các chuyên gia hoặc ý kiến mang tính chuyên môn…

- Quyền được biết về mục đích thu thập, lưu giữ và sử dụng dữ liệu trước khi các hoạt động này diễn ra;

- Quyền được yêu cầu cung cấp các thông tin về chính sách, thực tiễn và quy trình giải quyết khiếu nại của chủ thể thu thập, lưu giữ và sử dụng dữ liệu.

Biện pháp chế tài đối với hành vi vi phạm bí mật dữ liệu cá nhân

- Cá nhân bị thiệt hại bởi hành vi vi phạm bí mật dữ liệu cá nhân có thể khởi kiện theo trình tự tố tụng dân sự để được yêu cầu bồi thường;

- Cá nhân vi phạm sẽ bị áp dụng hình thức phạt tiền hoặc tù giam hoặc cả hai đối với các hành vi vi phạm. Mức hình phạt tùy thuộc vào hành vi vi phạm: phạt tiền từ 2.000 tới 100.000 dollar Singapore hoặc/và phạt tù không quá 12 tháng, trong một số trường hợp vi phạm nghiêm trọng hình thức phạt tù có thể lên tới 3 năm.

- Hành vi không thực hiện các quyết định của Ủy ban Bảo vệ DLCN có thể bị phạt tiền lên tới 1.000.000 dollar Singapore

- Luật còn quy định về việc các cá nhân được đăng ký các số điện thoại cấm gọi và hành vi cố tình gọi hoặc nhắn tin vào các số điện thoại này để quảng cáo, tiếp thị… của các nhà cung cấp dịch vụ, hàng hóa có thể bị phạt tiền lên tới 10.000 dollar Singapore.