Требование Data protection officer (DPO) и регистрация компаний в Сингапуре

Должность Data protection officer (DPO) при регистрации компании в Сингапуре является обязательной для организаций, компаний и фирм с 2012 года. Соответствующее требование содержится в Законе о защите личных данных (персональных данных). Но многие деловые люди, при регистрации бизнеса в Сингапуре об этом «забывают», считая назначение офицера (выделенного сотрудника) факультативным, а защиту данных – типовой рекомендацией PDPA (Personal Data Protection Act).

Такое мнение ошибочно, Ваша организация обязана (!) иметь такого специалиста. Его деятельность чётко регламентирована действующим корпоративным законодательством. Если для Вашей компании «лишний» сотрудник «не вписывается» в расписание, его обязанности можно поручить номинальному директору-резиденту Сингапура. Услуга платная, поэтому Ваш собственный DPO, занимающийся защитой данных, будет более предпочтительным.

Интересно, что аналогичные требования закона по защите личных данных (data protection officer) в Евросоюзе были введены спустя 4 года. General Data Protection Regulation (GDPR) оказались более жесткими, поэтому «ругать» Сингапур за чрезмерное давление на бизнес безосновательно. Защита персональных данных здесь существенно более мягкая.

Теоретически при регистрации компании в Сингапуре «прописать» офицера DPO по защите личных данных можно самостоятельно (официальный портал ACRA, раздел «Электронные услуги»). Но мы настоятельно рекомендуем отказаться от этой идеи, так как вероятность «не вписаться» в требование корпоративного законодательства Сингапура будет довольно высокой.

Гораздо выгоднее обсудить этот момент с экспертами портала Internationalwealth.info (info@offshore-pro.info), заказав нужные услуги именно у нас. Так Вы сэкономите немало времени и средств. Мы будем рады предоставить Вам любую дополнительную информацию.

Обязанности / задачи офицера по Data protection officer (DPO)

Сотрудник по защите персональных данных – должность важная. При регистрации компании в Сингапуре об этом важно помнить, не относится к DPO как к «ненужному» требованию регулятора. Офицер отвечает за соблюдение требований PDPA, усиление / поддержание должного уровня защиты личных данных, пресечение несанкционированной утечки информации. Последний аргумент – важное конкурентное преимущества, поэтому разговоры о формальных требованиях PDPA лишены оснований.

Важная информация:

• Функции Data protection officer (DPO) может исполнять сотрудник компании / фирмы / организации, либо стороннее лицо.
• Сведения по DPO формально необязательные, но мы настоятельно рекомендуем проинформировать регулятора о соблюдении требований закона.
• Выбирая вариант реализации закона, оцените все имеющиеся факторы. Вариант с собственным сотрудником менее затратный, но независимый специалист по защите персональных данных обеспечивает большую гибкость. Продумайте этот момент ещё на этапе регистрации компании в Сингапуре.

Примерный перечень обязанностей офицера DPO:

• Безусловное соблюдение требований PDPA по защите личных данных.
• Активное продвижение философии / преимуществ / культуры сохранения персональной информации среди сотрудников фирмы, компании, организации.
• Учёт положений по защите личных данных в бизнесе (контакты с поставщиками, клиентами, контрагентами).
• Работа со сторонними запросами, жалобами.
• Оперативный контакт с руководством в случае утечки информации или высокого риска того, что защита персональных данных не справляется с возложенными на неё обязанностями.
• Поддержание связи с регулятором (это требование содержится в PDPC).

Формальная процедура реализации требований DPO

Если должность не была имплементирована в штатное расписание на этапе регистрации компании в Сингапуре, это следует сделать как можно скорее. Официально это делается путем составления формального письма и его отправки регулятору. Им Вы подтверждаете, что компания / фирма выполнила требования по защите личных данных путем официального назначения Data Protection Officer (DPO).

Рекомендации по наполнению извещения официальной информацией:

• Реквизиты компании (фирмы, организации, структуры).
• Сроки реализации требования закона PDPA.
• Перечень задач / функций по защите персональных данных, за которые будет отвечать DPO.
• Фактическое положение (статус) офицера DPO в компании.
• Подтверждение того, что должность введена в штатное расписание (подписи руководителя компании / фирмы + лица, принятого на должность офицера по защите личных денных).

Советы Data Protection Officer (DPO)

Достичь оптимальной эффективности работы сотрудника, отвечающего за защиту персональных данных, не так просто. Вы можете соблюсти требования PDPA, ограничившись формальной стороной вопроса. У такого подхода нет особых преимуществ (нивелирование действенного инструмента ведения бизнеса в Сингапуре).

Базовые рекомендации экспертов портала Internationalwealth.info по защите личных данных DPO в Сингапуре:

• Прослушайте специальные курсы. Это поможет точнее учитывать требования PPDA, оптимизировать работу DPO.
• Обеспечьте сотрудника свежей официальной информацией. Требования закона по защите персональных данных постоянно модифицируются. Поэтому DPO сможет эффективно выполнять свои функции, имея доступ к актуальной информации.
• Продумайте мероприятия по защите личных данных при использовании систем компьютерного документооборота. Практика показывает, что больше всего утечек происходит из-за небрежности самих сотрудников (классический пример – пароли «12345» или «password»). Также случаются целенаправленные атаки на информационную инфраструктуру компании (фирмы, бизнеса).
• Регулярно проводите внутренний аудит. Это позволит своевременно выявлять «узкие места», вносить соответствующие коррективы в систему защиты персональных данных.
• Проводите разъяснительную работу среди сотрудников компании / фирмы. Это должен делать Ваш DPO, но объясните работникам, что мероприятия – не формальные, они обеспечивают защиту информационной безопасности. Поэтому относиться к ним следует соответствующим образом.

Обязательства PDPA

Формально от Вас (Вашей компании) не требуется знаний положений общего закона по защите персональных данных Сингапура. Но мы считаем, что такие сведения будут полезными для ведения бизнеса, поэтому решили привести официальную «точку зрения» PDPA.

Базовые обязательства:

• Сбор, применение (использование), раскрытие или передача на сторону сведений, относящихся к категории персональных данных, возможна только с прямого, явно выраженного, согласия. Если лицо отозвало свое согласие, Ваша компания / фирма обязана прекратить их сбор / использование (закон о защите личных данных Сингапура).
• Сбор личных данных, осуществляемый Data Protection Officer (DPO) возможен только при условии, что лицо сочтёт требования разумными / целесообразными (важно – в данных конкретных обстоятельствах).
• Закон о защите персональных данных (PDPA) требует, чтобы лицо получало чёткие уведомления о целях использования / применения / сбора информации.
• В ряде случае запрещено предоставление индивидуального доступа к информации: а) вред здоровью / безопасности; б) угроза причинения вреда здоровью / безопасности; в) личные данные о другом лице; г) отсутствует явно выраженное согласие на передачи информации; д) существует угроза национальным интересам Сингапура.
• Хранящиеся / собираемые персональные (личные) данные должны быть точными, полными. Закон о защите личных данных требует выполнение этого условия при условии норм, изложенных выше.
• Начиная с момента регистрации компании в Сингапуре она обязана обеспечить достаточный уровень защиты персональных данных.
• Если информация / личные данные становится ненужной, Ваша организация (компания, фирма) обязана безвозвратно уничтожить её.
• Следует обеспечить необходимый уровень защиты личных данных при их переносе в иное место хранения (в соответствии с требованиями PDPA).
• При наличии обоснованного запроса органа / структуры Ваша компания (Ваш DPO) обязана предоставить личную информацию, если это не противоречит требованиям закона.

Вопросы и ответы

Деятельность офицера Data Protection Officer (DPO) и все связанные с этим моменты чётко регламентированы законом. Но зачастую PDPA оставляет вероятность разночтений, поэтому мы решили прояснить все спорные моменты (формат «короткая строка»). Подробности спрашивайте у экспертов портала Internationalwealth.info, заказав индивидуальную консультацию.

Короткий FAQ:

• Требования по защите личных данных (обязательный сотрудник, выполняющий функции Data Protection Officer, DPO) являются обязательными? Да, это обязательно. Контактная информация лица должна быть общедоступной (как минимум – адрес электронной почты, телефон фирмы / компании / организации). DPO может быть выделенным, либо исполнять функции по защите личных данных наряду с другими обязанностями.
• Есть требования обязательного резидентного статуса DPO / его присутствия в штатном расписании компании? Таких требований нет. Вы можете передать функции стороннему лицу / организации.
• Как быть с холдинговыми (виртуальными) компаниями Сингапура? Несмотря на отсутствие в штате сотрудников, такие компании в Сингапуре обязаны назначать DPO и учитывать требования закона по защите персональных данных.
• Можно обойтись без DPO, если бизнес закрывается? Data Protection Officer должен быть у любой компании / фирмы в Сингапуре. Поэтому избежать назначения, если бизнес действующий, нельзя.
• Есть ли возрастные ограничения DPO? Они отсутствуют. PDPA регламентирует, что Data Protection Officer обязан иметь соответствующий опыт и профессиональные знания.
• Я могу сам зарегистрировать DPO? Технически это возможно, но мы не рекомендуем делать это самостоятельно. Стоимость соответствующей услуги у нас вполне доступна, поэтому особого смысла экономить нет.
• Это правда, что я могу не передавать в PDPC (Personal Data Protection Commission, Комиссия защиты личных данных) информацию по моему DPO? Формально Вы имеете на это право. Закон требует наличие должности, но не передачи информации о конкретном лице регулятору. Но мы однозначно рекомендуем не отказываться от передачи данных – «лишний» канал связи будет совсем нелишним.
• Сколько стоит регистрация Data Protection Officer (DPO)? У нас – 1299 / 599 EUR. Официальная пошлина отсутствует.
• Каковы предельные сроки на оформление Data Protection Officer? Их нет. Но сроки лучше не затягивать.
• Я столкнулся с техническими проблемами при оформлении. Что делать? Это тот случай, о котором мы говорили. Самостоятельная регистрация DPO, если Вы хотите соответствовать требованиям закона по защите персональных данных, часто проходит не совсем в штатном режиме. Обращайтесь к нам, поможем! Лучше всего сделать это вместе с регистрацией компании в Сингапуре.
• Какие сведения нужно подготовить? Для оформления DPO передайте нашим экспертам следующую информацию: а) наименование Data Protection Officer, б) его электронный адрес; в) наименование компании / фирмы Сингапура; г) сфера деятельности; д) UEN; е) подписка на DPO connect. Обратите внимание, что для этой схемы регистрация в ACRA обязательная.
• Если структура находится в стадии ликвидации, требования по защите личных данных и наличию DPO соблюдать обязательно? Нет (при условии отсутствия личных сведений клиентов / сотрудников).
• Моя компания не ведёт реальный бизнес в Сингапуре? Мне нужен DPO? Нет, Вы можете на законных основаниях избежать регистрации.
• Когда новые положения вступили в силу? Защита персональных данных в Сингапуре (включая требования Data Protection Officer) стала частью бизнес-пространства 2 июля 2014 года.

Регистрация компании в Сингапуре – важный и ответственный шаг. Эксперты портала Internationalwealth.info помогут оформить все необходимые документы. Мы учитываем требования закона PDPA по защите личных данных, поэтому обязательно предложим Вам регистрацию DPO – Data Protection Officer.

Дополнительные источники информации по Сингапуру:

• Создание реального substance для компании в Сингапуре.
• Корпоративный счёт для бизнеса (удаленно, с личным визитом).
• Готовая компания с лицензией e-payments.
• Готовая компания в Сингапуре.

Оставайтесь с нами, будет еще много статей с интересной и полезной информацией, помогающей эффективно вести бизнес в Сингапуре!