Minął już ponad rok od momentu uchwalenia w Singapurze nowelizacji ustawy o ochronie danych osobowych (Personal Data Protection (Amendment) Bill). Jej celem było wzmocnienie systemu ochrony danych osobowych w tym kraju. Nowe przepisy znacznie zmodyfikowały dotychczasowe rozwiązania prawne obowiązujące w tym zakresie.
Przykładowo, wprowadziły one obowiązek powiadamiania organu właściwego do spraw ochrony danych osobowych (Personal Data Protection Commission) o naruszeniach ochrony danych oraz uprawnienie do przenoszenia danych. Zmieniły one również dotychczasowe zasady dotyczące nakładania kar pieniężnych za stwierdzone naruszenia, w tym w szczególności w kontekście ich wysokości. Przepisy dotyczące tej kwestii – bez wątpienia najbardziej interesującej administratorów – mają wejść w życie 1 października 2022 r.
Kara znacznie w górę
Znowelizowane przepisy singapurskiej ustawy o ochronie danych osobowych częściowo zlikwidowały górną granicę wysokości kary pieniężnej, która dotychczas była określona w sposób sztywny (obecnie administrator może zostać ukarany kwotą maksymalnie 1 miliona dolarów singapurskich, tj. ponad 3 miliony złotych). Po wejściu w życie nowej regulacji, maksymalna kara finansowa będzie mogła wynieść nawet 10% rocznego obrotu danego przedsiębiorstwa, niemniej dotyczyć to będzie jedynie tych, którzy mogą pochwalić się rocznym obrotem na poziomie minimum 10 milionów dolarów singapurskich (ponad 32 miliony złotych). Dla pozostałych limit zatrzyma się na dotychczasowym poziomie.
Co ważne, ustawodawca zapewnia, że wszystkie kary, które będą nałożone na podstawie znowelizowanych przepisów, będą proporcjonalne do powagi danego naruszenia. Dodatkowo, organ nakładający karę weźmie pod uwagę, czy administrator, który dopuścił się naruszenia przetwarza duże ilości danych osobowych, których ujawnienie mogłoby wyrządzić znaczną szkodę podmiotom danych. Okoliczność ta – w zależności od ustaleń – może działać na korzyść albo niekorzyść ukaranego.
Kary mogą być większe niż w RODO
Wydaje się, że wysokość kar nakładanych na podstawie przepisów, które wejdą w życie w październiku br., może być wyższa niż w innych krajach, w tym tych stosujących RODO. Warto bowiem przypomnieć, że maksymalna wysokość kary pieniężnej, która może być nałożona na podstawie RODO, wynosi – co do zasady – 20 milionów euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorcy z poprzedniego roku obrotowego. Patrząc jednak bliżej Singapuru, przykładowo, zgodnie z przepisami o ochronie danych osobowych obowiązującymi w Hong Kongu (Hong Kong’s Personal Data (Privacy Ordinance), organ właściwy do spraw ochrony danych osobowych może ukarać administratora karą w wysokości 1000 dolarów hongkońskich (ok. 570 złotych) za każdy dzień trwania naruszenia, po otrzymaniu stosownego zawiadomienia od regulatora.
Co ciekawe, administrator może liczyć się również z grzywną w wysokości 50 000 dolarów hongkońskich (ok. 28 000 złotych), a nawet 2 latami pozbawienia wolności, o ile nie zastosuje się do nakazów organu nadzorczego, sformułowanych w tym zawiadomieniu. Widać więc, że na tle regulacji obowiązujących w innych krajach, przepisy, które wejdą w życie w Singapurze w październiku br. wydają się być dosyć surowe.
Rządowy program dla mniejszych administratorów
W związku ze zbliżającym się terminem wejścia w życie nowelizacji singapurskiej ustawy o ochronie danych, przedstawiciele małych i średnich przedsiębiorstw zgłaszać mieli liczne obawy przed trudnościami z dostosowaniem się do nowych wymogów, w tym w kontekście zapłaty ewentualnej wysokiej kary finansowej. W odpowiedzi na to, strona rządowa – Ministerstwo Komunikacji i Informacji (Ministry of Communication and Information) – ogłosiła uruchomienie specjalnego programu (Data Protection Essentials), mającego na celu pomoc administratorom w wypracowaniu odpowiednich rozwiązań w zakresie ochrony danych osobowych.
Źródło:
https://www.mishcon.com/news/increase-in-maximum-financial-penalties-for-data-breaches-in-singapore