Последние 10 лет при регистрации компании в Сингапуре должность Data protection officer (DPO) является обязательным условием для организаций и фирм. Данное положение содержится в Законе о защите персональных данных. Однако зачастую во время регистрации бизнеса в Сингапуре предприниматели упускают это обязательство из виду. Порой им кажется, что эти «обязательные условия» носят факультативный характер, а защита данных –  еще одна типовая рекомендация PDPA (Personal Data Protection Act).

Рассуждения такого характера не просто ошибочны, они чем-то даже опасны.  У вашей организации обязательно (!) должен быть такой специалист. Деятельность его регламентируется действующим корпоративным законодательством.  В случае если ваша компания не может «вписать» лишнего сотрудника в штатное расписание, его обязанности может выполнять номинальный директор-резидент Сингапура.

Данная услуга является платной, поэтому выгоднее иметь в штате своего собственного DPO, в обязанности которого входит обеспечение защиты персональных данных.

В Евросоюзе аналогичные требования закона по защите персональных данных (data protection officer) были приняты четыре года спустя, то есть в 2016 году.

General Data Protection Regulation (GDPR) выглядели гораздо более «суровыми», поэтому не следует критиковать Сингапур за чрезмерное давление на бизнес. К вопросу о защите персональных данных здесь относятся лояльнее.

При регистрации компании в Сингапуре включить в штат сотрудника – офицера DPO по защите персональных данных можно и самостоятельно. Для этого нужно зарегистрироваться на официальном портале ACRA, в разделе «Электронные услуги». Однако мы придерживаемся мнения, что это не самая хорошая идея, так как существует довольно высокая вероятность «не вписаться» в требование корпоративного законодательства Сингапура.

Мы рекомендуем вам обсудить этот вопрос с нашими экспертами, заказав необходимые услуги именно у нас. Таким образом вы сможете сэкономить время и деньги. Мы будем рады сотрудничать с вами. Ждем ваших обращений!

ЧТО ВХОДИТ В ОБЯЗАННОСТИ / ЗАДАЧИ ОФИЦЕРА ПО DATA PROTECTION (DPO)

Должность сотрудника по защите персональных данных чрезвычайно важна. В связи с этим, настоятельно рекомендуем при регистрации компании в Сингапуре помнить об этом и не относиться к DPO как к какому-то лишнему требованию регулятора. Офицер несет ответственность за соблюдение требований PDPA, за поддержание соответствующего уровня защиты персональных данных, а также осуществляет контроль несанкционированной утечки информации, что является важным конкурентным преимуществом перед другими компаниями. Вследствие перечисленных обязанностей, говорить о формальных требованиях PDPA не приходится.

ОБРАТИТЕ ВНИМАНИЕ НА ВАЖНУЮ ИНФОРМАЦИЮ:

• Функции Data protection officer (DPO) может выполнять сотрудник фирмы /компании / организации или стороннее лицо.
• Сведения по DPO формально не являются обязательными, но мы рекомендуем поставить в известность регулятора о соблюдении требований закона.
• При выборе варианта реализации закона, оцените все возможные формы:
• Наличие в компании собственного сотрудника является менее затратным;
• Независимый специалист по защите персональных данных обеспечивает большую гибкость.

Этот вопрос нужно решить на этапе регистрации компании в Сингапуре.

ПРИМЕРНЫЕ ОБЯЗАННОСТИ ОФИЦЕРА DPO:

• Неукоснительное соблюдение требований PDPA по защите персональных данных.
• Продвижение идеи преимуществ сохранения персональной информации среди сотрудников компании, фирмы, организации.
• Учёт положений по защите персональных данных в бизнесе (контакты с клиентами, поставщиками, контрагентами).
• Обработка сторонних запросов, жалоб.
• Обеспечение оперативного контакта с руководством в случае утечки информации; обеспечение принятия быстрых решений в случае высокого риска «утечки» персональных данных.
• Обеспечение и поддержание связи с регулятором (это требование содержится в PDPC).

ФОРМАЛЬНАЯ ПРОЦЕДУРА РЕАЛИЗАЦИИ ТРЕБОВАНИЙ DPO

Должность следует имплементировать в штатное расписание как можно скорее, если это не было сделано на этапе регистрации компании в Сингапуре. Официально это осуществляется посредством составления формального письма и его отправки регулятору. Таким образом вы подтверждаете, что компания / фирма выполнила рекомендуемые требования по защите персональных данных, осуществив официальное назначение Data Protection Officer (DPO).

НЕОБХОДИМАЯ ИНФОРМАЦИЯ ПО НАПОЛНЕНИЮ ИЗВЕЩЕНИЯ:

• Реквизиты компании (организации, фирмы, структуры).
• Сроки реализации требования закона PDPA.
• Список основных функций и задач по защите персональных данных, за которые будет отвечать DPO.
• Фактический статус офицера DPO в фирме / компании.
• Подтверждение факта введения должности в штатное расписание (подписи руководителя компании / фирмы + лица, принятого на должность офицера по защите персональных данных).

РЕКОМЕНДАЦИИ К РАБОТЕ DATA PROTECTION OFFICER (DPO)

Чтобы добиться эффективности в работе сотрудника, который отвечает за защиту персональных данных, нужно серьезно потрудиться. Возможно соблюсти требования PDPA, ограничившись формальным подходом к данному вопросу. Однако такой вариант не имеет особых преимуществ (нивелирование действенного инструмента ведения бизнеса в Сингапуре).

ПЕРЕЧИСЛИМ ОСНОВНЫЕ РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ DPO В СИНГАПУРЕ:

• Необходимо прослушать специальные курсы, которые помогут понять требования PPDA, а также оптимизируют работу DPO.
• Сотрудник должен быть хорошо информирован и оснащен последней официальной информацией, так как требования закона по защите персональных данных претерпевают постоянные изменения. Вследствие этого, DPO способен к эффективной деятельности только в случае хорошего оснащения актуальной информацией.
• Подготовьте ряд мероприятий по защите персональных данных в использовании систем компьютерного документооборота. Практический анализ подтверждает, что многочисленные утечки чаще всего случаются из-за небрежности самих сотрудников.  Так, например, использование пароля «12345» или «password» как раз доказывает, что комбинация цифр слишком проста. Систематически происходят целенаправленные атаки на информационную инфраструктуру фирмы, компании, бизнеса, вследствие чего возможны утечки персональных данных.
• Периодически осуществляйте внутренний аудит, в результате которого вы сможете своевременно выявлять проблемы, вносить нужные коррективы в систему защиты персональных данных.
• Постоянно проводите необходимую разъяснительную работу среди сотрудников вашей фирмы /компании. Это обязан выполнять ваш DPO. Тем не менее сотрудники вашей компании должны понимать, что данные мероприятия не носят формальный характер, они обеспечивают защиту информационной безопасности ваших персональных данных, вследствие чего нужно выстраивать к этому свое отношение.

Обратите внимание! В случае регистрации компании в Сингапуре, необходимо соблюсти требование о назначении Data Protection Officer (DPO). Если это условие не будет соблюдено, так как оно окажется затруднительным для вашего выполнения, обращайтесь к нам. Наши эксперты решат ваши проблемы в кратчайшие сроки.  Оставляйте свои заявки на сайте.

КАКИЕ ОБЯЗАТЕЛЬСТВА ИМЕЕТ PDPA

Формально ваша фирма /компания не нуждается в знаниях положений общего закона по защите персональных данных Сингапура. Тем не менее эти сведения окажутся востребованными в случае ведения бизнеса. В связи с этим, приводим официальную «точку зрения» PDPA.

ОСНОВНЫЕ БАЗОВЫЕ ОБЯЗАТЕЛЬСТВА:

• Сбор персональных данных, их использование, передача возможна только в случае согласия. Если лицо отзывает свое согласие по каким-либо причинам, ваша фирма/ компания обязана прервать их сбор / использование в соответствии с законом о защите личных данных Сингапура.
• Сбор персональных данных, который осуществляет Data Protection Officer (DPO) возможен в соответствии с условиями, при которых лицо сочтёт требования целесообразными в данных конкретных обстоятельствах.
• Согласно закону о защите персональных данных (PDPA), лицо обязано получать чёткие уведомления о целях использования / применения / сбора информации.
• В некоторых случаях запрещено предоставление индивидуального доступа к информации:

1. вред здоровью / безопасности;
2. угроза причинения вреда здоровью / безопасности;
3. персональные данные о другом лице;
4. отсутствует явно выраженное согласие на передачу информации;
5. существует угроза национальным интересам Сингапура.

• Хранящиеся / собираемые персональные данные должны быть полными и точными. Закон о защите персональных данных требует соблюдения этого условия при выполнении норм, изложенных выше.
• На момент регистрации фирмы / компании в Сингапуре она должна обеспечить высокий уровень защиты персональных данных.
• Если информация / личные данные перестают быть актуальными, ваша организация (компания, фирма) должна упразднить ее, то есть безвозвратно уничтожить.
• Необходимо обеспечить достаточный уровень защиты персональных данных при их переносе в другое место хранения (в соответствии с требованиями PDPA).
• В случае наличия обоснованного запроса, ваша фирма / компания должна предоставить личную информацию, если это не вступает в противоречия с требованиями закона.

Обратите внимание! Требования к Data Protection Officer (DPO) предполагают существование возможных ситуаций, когда действующие правила перестают действовать. В этом случае советуем синхронизировать ваши действия с действиями регулятора с момента регистрации компании в Сингапуре!

Вопросы и ответы (FAQ)

Все действия офицера Data Protection Officer (DPO) и связанные с этими действиями моменты регламентированы законом. Однако иногда PDPA допускает вероятность разночтений. В связи с этим, мы хотим уточнить некоторые спорные моменты. Подробности узнаете у наших экспертов, заказав индивидуальную консультацию.

КОРОТКИЙ FAQ:

Наличие сотрудника, выполняющего функции Data Protection Officer, DPO - это обязательная услуга?

Да, конечно, это услуга является обязательной. Любая контактная информация лица должна носить общедоступный характер: адрес электронной почты, телефон компании/ фирмы / организации.

DPO может быть выделенной должностью, либо выполнять функции по защите персональных данных наряду с другими обязанностями.

Существуют ли требования обязательного резидентного статуса DPO и его присутствия в штатном расписании организации?

Нет. таких требований не существует. У вас есть право передать эти функции стороннему лицу компании / фирмы / организации.

Каково положение этой должности в холдинговых (виртуальных) компаниях Сингапура?

Такие компании в Сингапуре обязаны назначать DPO с учётом всех требований закона по защите персональных данных, несмотря на их отсутствие в штате сотрудников.

В случае закрытия бизнеса, возможно ли обойтись без DPO?

Data Protection Officer должен быть у каждой организации/ фирмы / компании в Сингапуре. В связи с этим, пока бизнес действующий, избежать назначения не получится.

Существуют ли какие-то возрастные ограничения DPO?

Нет. Таких ограничений не существует. PDPA устанавливает такие требования: Data Protection Officer обязан иметь необходимый опыт и профессиональные знания.

Могу ли я сам зарегистрировать DPO?

В принципе, такая возможность есть. Однако мы не советуем вам делать это самостоятельно. Эта услуга платная, но стоимость ее у нас невелика. Не советуем   экономить на таких вопросах.

Правда ли, что я могу отказаться от передачи в PDPC (Personal Data Protection Commission, Комиссия защиты личных данных) информации по моему DPO?

Чисто формально у вас есть такое право. По закону речь идет о наличии должности, а не о передачи информации об этой личности регулятору. Однако мы советуем не отказываться от передачи данных: лишние сведения могут оказаться очень полезными, и дополнительный канал связи окажется востребованным.

В течение какого времени регистрируется Data Protection Officer?

Точных временных рамок здесь нет. Но лучше это делать быстрее.

При самостоятельном оформлении возникли технические проблемы. Что посоветуете?

Это очень распространенная проблема. Мы о ней уже говорили. Самостоятельная регистрация DPO часто происходит с осложнениями. Лучше всего обратиться к профессионалам своего дела! Мы готовы оказать вам квалифицированную помощь с   регистрацией.

Какой пакет документов необходимо подготовить?

Для оформления DPO нашим экспертам потребуется следующая информация:

1. имя Data Protection Officer,
2. электронный адрес;
3. название фирмы / компании Сингапура;
4. сфера деятельности;
5. UEN;
6. подписка на DPO connect. Внимание: для этой схемы регистрация в ACRA обязательна.

В случае нахождения структуры в стадии ликвидации, обязательно ли соблюдение требований по защите личных данных и наличию DPO? Не обязательно. Правда, при условии отсутствия персональных данных клиентов или сотрудников.

Нужен ли мне DPO, если моя компания не ведёт реальный бизнес в Сингапуре?

Нет, вы можете вполне законно обойтись без регистрации.

Как давно новые положения вступили в силу?

Новые положения о защите персональных данных в Сингапуре (включая требования Data Protection Officer) вступили в силу со 2 июля 2014 года.

Подведем итоги. Без сомнения, вы понимаете, что регистрация компании в Сингапуре – это серьезный и ответственный шаг. Чтобы не ошибиться, обратитесь за консультативной помощью к нашим экспертам. Мы поможем оформить все документы с учетом необходимых требований закона PDPA по защите персональных данных и обязательно предложим вам регистрацию DPO – Data Protection Officer.

Ждем ваших обращений!