Loading…
يُعد PDPA السنغافوري قانونًا متأنّيًا وعمليًا لحماية الخصوصية، وقد نضج بشكل كبير منذ تعديلات عام 2020. فهو يستخدم إطارًا قائمًا على الالتزامات بدلًا من تعداد الأسس القانونية في GDPR، ودمج قواعد التسويق المباشر عبر سجل Do Not Call، ويحدّ العقوبات بنسبة 10% من حجم الأعمال في سنغافورة. وبالنسبة للشركات التي تتخذ من منطقة آسيا والمحيط الهادئ مقرًا لها، غالبًا ما يكون PDPA هو المكان الذي يُبنى فيه برنامج الخصوصية العالمي فعليًا.
| البُعد | 🇪🇺 GDPR | 🇸🇬 PDPA |
|---|---|---|
| الأداة القانونية | اللائحة (EU) 2016/679 | قانون حماية البيانات الشخصية لعام 2012 (القانون رقم 26 لعام 2012)؛ عزّزته تعديلات عام 2020 بشكل كبير |
| الجهة المنظِّمة | 27 سلطة حماية بيانات في الدول الأعضاء بالاتحاد الأوروبي + EDPB | لجنة حماية البيانات الشخصية (PDPC) |
| المنهج البنيوي | تعداد الأسس القانونية (المادة 6)؛ قائم على الحقوق (الفصل الثالث) | قائم على الالتزامات — 9 التزامات أساسية + نظام Do Not Call + الإخطار بالاختراق |
| الغرامة القصوى | 20 مليون يورو أو 4% من حجم الأعمال العالمي (المادة 83(5)) | حد أقصى مليون دولار سنغافوري؛ وبالنسبة للمؤسسات التي يتجاوز حجم أعمالها السنوي في سنغافورة 10 ملايين دولار سنغافوري، حتى 10% من حجم الأعمال السنوي |
| غرامة الفئة الأدنى | 10 ملايين يورو أو 2% من حجم الأعمال العالمي | نفس الحد الأقصى لكل اختراق؛ يختلف حسب نوع المخالفة |
| نموذج الموافقة | الاشتراك الصريح (أحد الأسس القانونية الستة) | التزام الموافقة + الموافقة المفترضة (قائمة على الإخطار) + استثناء المصالح المشروعة |
| الأسس القانونية | ستة — الموافقة، العقد، الالتزام القانوني، المصالح الحيوية، المهمة العامة، المصالح المشروعة | الموافقة أو أحد 13 استثناءً قانونيًا (الجدولان 1–2) |
| متطلب الإخطار (الموافقة) | إشعار الخصوصية عند نقطة الجمع | التزام الإخطار — يُبلَّغ بالغرض قبل/عند الجمع |
| الحق في الوصول | المادة 15 — التأكيد + نسخة خلال شهر واحد | التزام الوصول — خلال وقت معقول، مع جواز فرض رسوم |
| الحق في التصحيح | المادة 16 | التزام التصحيح |
| الحق في قابلية النقل | المادة 20 — بتنسيق منظَّم وشائع الاستخدام | نعم — أُضيف بموجب تعديلات عام 2020 |
| الحق في الحذف | المادة 17 | ضمني من خلال التزام تحديد مدة الاحتفاظ؛ لا يوجد حق حذف مستقل قبل عام 2020 |
| متطلب DPO | إلزامي في حالات محددة (المادة 37) | إلزامي لجميع المتحكمين (المادة 11(3) من PDPA) — يجب نشر الاسم وجهة الاتصال |
| الإخطار بالاختراق | 72 ساعة للسلطة الإشرافية + إخطار أصحاب البيانات في حالة الخطر المرتفع | 72 ساعة إلى PDPC + إخطار الأفراد المتأثرين — العتبة: ضرر جسيم أو 500 فرد فأكثر |
| النقل عبر الحدود | SCC، BCR، قرار الكفاية (الفصل الخامس) | قيود النقل — تقييم الحماية المماثلة؛ ضمانات تعاقدية |
| التسويق المباشر | أساس قانوني مطلوب + قواعد ePrivacy | التزام سجل Do Not Call؛ بنية الموافقة + الانسحاب |
| البيانات الحساسة | المادة 9 — بيانات الفئة الخاصة، موافقة صريحة + شرط | لا توجد فئة حساسة رسمية — تُعالَج من خلال موافقة محددة الغرض |
| بيانات الأطفال | السن الافتراضي 16 (يجوز للدول الأعضاء خفضه إلى 13) | دون 13 عامًا — موافقة الوالدين |
| علامة الثقة في حماية البيانات | لا يوجد نظام رسمي | نعم — شهادة طوعية (PDPA DPTM) |
| بدء العقوبات | مايو 2018 | بدأت العقوبات الجوهرية عام 2014؛ وعزّزت تعديلات عام 2020 بنية الحد الأقصى |
في الغالب. أضِف DPO معيَّنًا بموجب المادة 11(3) مع جهة اتصال متاحة للعموم، وسجِّل حملات التسويق المباشر مقابل سجل DNC حيثما ينطبق، وتأكد من الإخطار بالاختراق خلال 72 ساعة إلى PDPC، وتحقق من ضمانات قيود النقل للتحويلات خارج سنغافورة.
تحتفظ سنغافورة بسجل وطني لـ Do Not Call. وقبل إرسال اتصالات تسويقية صوتية أو عبر الرسائل النصية أو الفاكس إلى رقم سنغافوري، يجب على المؤسسات التحقق مقابل سجل DNC ذي الصلة (الصوت، النص، الفاكس). وتُعاقَب المخالفات بشكل منفصل بموجب PDPA.
شهادة طوعية تديرها IMDA. وتُثبت امتثال حاملها لـ PDPA — وهي إشارة ثقة مفيدة لمبيعات B2B، ولا سيما للمشترين من القطاع الحكومي والمالي.
معتدل لكنه ثابت. تنشر PDPC قرارات الإنفاذ، وقد فرضت غرامات بملايين الدولارات على مؤسسات مثل SingHealth (250 ألف دولار سنغافوري)، وIntegrated Health Information Systems (750 ألف دولار سنغافوري)، ومؤسسات تسويق مختلفة بسبب مخالفات DNC.
ليس بشكل صارم. يجب أن يكون DPO قابلًا للوصول عبر جهة اتصال منشورة في سنغافورة، لكن لا يلزم أن يكون مقيمًا فيها. وعادةً ما تعيّن RegulatoryBridge مسؤول DPO إقليميًا له وجود في سنغافورة.
خطّط الضوابط مرة واحدة، والتزم مرتين. يمنحك RegulatoryBridge مسار DSAR واحدًا، ومسؤول حماية بيانات (DPO) واحدًا، ودليل إجراءات واحدًا للخروقات — يغطي كلا الإطارين.