新加坡的个人数据保护委员会(PDPC)有 宣布 数据泄露通知将很快成为新加坡的强制性。但是,并非所有违规行为都需要报告。我们已经准备了本指南,以援助业务在理解时,何时,何时何时遇到数据违约。

作为新要求的进一步指导和详细信息,将在适当时候提供PDPC,我们将在适当的时间随时跟进更新的指南。

什么是数据泄露?

 数据泄露是指组织在组织中或控制中的任何未经授权的访问,收集,使用,披露,复制,修改或处置个人数据。

数据违反同一件事作为违反个人数据保护法案(PDPA)吗?

不必要。数据违规是指任何未经授权的访问,使用,披露,复制,修改或处置(或其他类似风险)的个人数据(即确定的数据)由组织持有的个人数据(即数据)。根据确切的情况,数据违规可能是或可能不会违反PDPA。相反,无论是否存在数据泄露,都可能出现违反PDPA;例如,尽管收到个人的合法请求,但组织可能未能遵守其在PDPA下的访问义务。

组织何时以及谁需要报告数据泄露?

  1. 组织需要通知 PDPC 数据泄露是:
  • 可能对信息相关的个人产生重大危害或影响;或者
  • 大量规模(意思是,作为拇指的规则,500个或更多个人的数据受到影响)。

2.组织需要通知 受影响的人 (包括个人资料受到损害的未成年人的父母和法律监护人)当数据泄露可能导致信息涉及信息所涉及的个人危害或影响。

存在潜在的例外情况:

  • 个人数据加密,无法解密;或者
  • 采取补救措施,使得违规可能对个人产生重大危害或影响。

3.数据中介(即代表另一个处理个人数据的组织)只需要在没有过度延迟的情况下通知该组织(即,内部) 24小时 )它变得了解数据违规行为。

报告的时间表是什么?

  到PDPC:

  • 尽快切实可行,但不迟于 3 days 在确定违规行为后。
    • 组织必须:
      • 在内部评估 30天 意识到涉嫌违约,无论是违规行为是否是通知的;
      • 记录评估违约所采取的步骤;和
      • 记录任何延迟的原因。
    • 3天后的通知是PDPA的违法。

对受影响的人:

  • 尽快切实可行。

通知包含哪些信息?

  到PDPC:

  • 数据泄露的程度;
  • 涉及的类型的类型和个人数据量;
  • 造成或涉嫌原因数据泄露;
  • 数据泄露是否已纠正;
  • 组织在数据泄露时到位的措施和流程;
  • 组织是否通知或将通知受影响的个人;和
  • 有关PDPC可以联络的组织代表的联系方式,以获取更多信息。

对受影响的人:

  • 发生数据泄露时如何以及何时发生;
  • 所涉及的个人数据类型;
  • 适用的受影响个人的伤害或影响的类型;
  • 组织采取的步骤或将响应数据泄露所带来的风险;
  • 有关受影响个人的数据违规和相关行动的具体细节可以采取,以防止滥用数据;和
  • 有关受影响的个人如何到达组织以获取进一步信息和帮助的联系方式。

新加坡有其他报告要求是否注意到?

是的。重要的是:

  1. 如果组织是监管实体,则可能需要通知监管机构为相关部门。例如,新加坡金融机构必须通知新加坡(MAS)的货币授权 一小时 发现相关事件(即,系统故障或IT安全事件,严重和广泛影响其运营或物质对客户的服务影响他们的服务)。他们还必须提交给MAS一种根本原因和影响分析报告 14天 从发现的发现。
  2. 如果组织在网络安全法案下指定了关键信息基础设施(CII)的所有者,则必须内在 两个小时 逐渐意识到规定的网络安全事件,通知委员会的网络安全委员会是相同的。此类事件包括:(a)未经授权的CII攻击; (b)在CII上安装或执行未经授权的软件或代码; (c)中间人攻击,会话劫持或任何其他未经授权拦截CII和授权用户之间的通信; (d)拒绝服务攻击。它必须在内部提交以下详细信息 14天 初始通知:(i)网络安全事件的原因; (b)对CII,互联的计算机或系统的任何影响; (c)组织所采取的任何补救措施。
  3. 虽然不是强制性的,如果一个组织嫌疑人犯下任何犯罪活动(例如,黑客盗窃或未授权的制度访问),它应该通知警方。它还可以联系新加坡计算机应急响应团队(Singcert)(新加坡网络安全机构的一项倡议),以应对计算机安全事件的技术援助。
  4. 如果数据泄露涉及新加坡以外的个人数据,则可能根据管辖权适用强制性通知法。已经有强制性违约通知法律的司法管辖区包括欧盟,加利福尼亚州,菲律宾,中国,澳大利亚和韩国。

在更新的法律踢出之前,我现在该怎么办?

组织可能会有一些时间来准备和建立必要的政策和做法来遵守新的通知要求。但是,企业应该开始考虑在任何实施截止日期前采取以下步骤:

  • 确保审查协议以提供适当的数据违约保护。这可能包括向数据隐私和安全,事件报告,分包限制,审计和保险要求的分包限制,审计和保险要求的承诺提供。聘请外部律师可以确保合同是强大的,并且安排或谈判更复杂。
  • 更新内部政策和程序,以满足数据违约响应计划。此类计划应指导利益相关者在如何识别违约时,以便通知,如何记录/记录相关事项以及其他具体行动以回应事件。
  • 进行培训以熟悉有关相关政策,程序和计划的员工,并将模拟数据泄露练习设置为测试员工。

芦苇史密斯LLP.许可被许可,以在新加坡的名称和风格下作为外国法律实践,Reed Smith Pte Ltd(以后,汇集史密斯)。必要时,我们将在新加坡法律的建议下,将此事与Reed Smith的正式法律联盟合作伙伴一起推荐,并在新加坡的资源法LLC。