Halten Sie sich an das Datenschutzgesetz Singapurs

Allein im Mai 2024 hat die Personal Data Protection Commission (Kommission), die Datenschutzbehörde Singapurs, drei Durchsetzungsentscheidungen erlassen, mit denen Bußgelder in Höhe von insgesamt 102.000 SGD (ca. 76.000 US-Dollar) für Verstöße gegen den Personal Data Protection Act (Gesetz) Singapurs verhängt wurden.

Die Kommission akzeptierte auch Verpflichtungen von sechs anderen Organisationen, von denen jede für mangelhaft befunden wurde, das Gesetz einzuhalten. Als Hintergrundinformation: Die Kommission ist befugt, anstelle einer umfassenden Untersuchung eine Verpflichtung von einer Organisation anzunehmen, die möglicherweise gegen das Gesetz verstoßen hat. Eine solche Verpflichtung muss darauf abzielen, Sanierungspläne umzusetzen und systemische Mängel zu beheben, um die Einhaltung auf kontinuierlicher Basis sicherzustellen.

Die jüngsten Entscheidungen im Mai werfen Licht auf eine Reihe wichtiger Fragen und bieten Unternehmen nützliche Hinweise, die sie bei der Prüfung ihrer Einhaltung des Gesetzes beachten sollten.

Wir stellen fünf solcher wichtigen Erkenntnisse vor.

• Zur Erfüllung der Sicherheitsverpflichtung gibt es keinen einheitlichen Ansatz.

• In allen oben genannten Fällen wurde festgestellt, dass die Praktiken der Organisationen in Bezug auf Cybersicherheit und Datenschutz „mangelhaft“ oder „mangelhaft“ waren.

• Die Kommission hat große Anstrengungen unternommen, um zu ermitteln, wo die Standards in jedem dieser Fälle unzureichend waren. Sie verwies auch auf ihre verschiedenen veröffentlichten Leitfäden und früheren Entscheidungen, die eine Reihe von Beispielen für bewährte Praktiken beim Schutz personenbezogener Daten boten, darunter Lieferantenmanagement, Verschlüsselung, Passwortprotokolle, Tests vor der Markteinführung, Schwachstellenscans, regelmäßige Sicherheitsüberprüfungen und laufende Überwachung.

• Letztendlich liegt es jedoch bei der Organisation, die die Verantwortung (und den Ermessensspielraum) trägt, zu bestimmen, wie die Einhaltung der Vorschriften am besten umgesetzt werden kann, da jede Gestaltung und Implementierung von Sicherheit die Art des Geschäfts und die Art der angebotenen Dienste sowie das Volumen und die Sensibilität der verarbeiteten Daten widerspiegeln muss. Mit anderen Worten: Die Verpflichtung, personenbezogene Daten durch „angemessene Sicherheitsvorkehrungen“ zu schützen, ist kontextabhängig.

• Die Daten von Minderjährigen und die nationalen Identifikationsdaten gelten als sensibler.

• Obwohl es im Gesetz nicht explizit vorgeschrieben ist, deuten die Durchsetzungsentscheidungen darauf hin, dass Verstößen, bei denen es um sensiblere personenbezogene Daten geht, nämlich Daten von Minderjährigen sowie nationale Identifikationsdetails wie Passnummern, größeres Gewicht beigemessen wird.

• Ein wiederholter Verstoß stellt einen erschwerenden Umstand dar.

• Die Tatsache, dass eine der Organisationen bereits zuvor gegen das Gesetz verstoßen hatte, war ein relevanter Gesichtspunkt für die Verhängung einer höheren Strafe durch die Kommission.

• Mildernde Faktoren sind die Kooperationsbereitschaft und die Übernahme der Verantwortung einer Organisation.

• Im Allgemeinen wurden Organisationen, die sich im gesamten Untersuchungs- und Ermittlungsprozess der Kommission kooperativ zeigten oder sich freiwillig dazu verpflichteten, ihre Compliance in spezifischer und messbarer Weise zu verbessern, mit weniger strengen behördlichen Sanktionen belegt.

• Das Gesetz verpflichtet Organisationen, alle personenbezogenen Daten in ihrem Besitz oder unter ihrer Kontrolle zu schützen – nicht nur die von betroffenen Personen in Singapur.

• Die Kommission stellte außerdem klar, dass ihre Zuständigkeit zur Ahndung von Verstößen gegen das Gesetz nicht durch andere Verfahren ausländischer Datenschutzbehörden eingeschränkt werde.