GDPR vs PDPA: EU- en Singaporese privacywetten vergeleken
De PDPA (Personal Data Protection Act) van Singapore biedt een kader voor de bescherming van persoonlijke gegevens dat de rechten van individuen afweegt tegen de behoeften van organisaties om gegevens te verzamelen en te gebruiken. Hoewel zowel de GDPR als de PDPA toestemming en doelbinding vereisen, bevat de PDPA een uniek Do Not Call (DNC) Register voor marketingcommunicatie en heeft andere boetedrempels. De Personal Data Protection Commission (PDPC) handhaaft de wet.
| Kenmerk | GDPR | PDPA |
|---|---|---|
| Geografisch bereik | Europese Unie en EER-lidstaten | Singapore |
| Op wie van toepassing | Elke organisatie die gegevens van EU-ingezetenen verwerkt, ongeacht locatie | Organisaties die persoonlijke gegevens in Singapore verzamelen of gebruiken, met sectorspecifieke uitzonderingen |
| Toestemmingsvereisten | Opt-in toestemming als een van zes rechtsgrondslagen voor verwerking | Toestemming vereist met uitzonderingen voor gerechtvaardigde belangen, bedrijfsverbetering en openbaar beschikbare gegevens |
| Cookie- en trackingregels | Niet-essentiële cookies vereisen uitdrukkelijke voorafgaande toestemming onder de ePrivacy-richtlijn | Geen specifieke cookiewet; PDPA-toestemmingsvereisten zijn van toepassing op online verzamelde persoonlijke gegevens |
| Individuele rechten | Toegang, rectificatie, verwijdering, overdraagbaarheid, beperking, bezwaar | Toegang, correctie, intrekking van toestemming, gegevensoverdraagbaarheid (wijziging 2021) |
| Maximale boetes | Tot EUR 20 miljoen of 4% van de jaarlijkse wereldwijde omzet | Tot SGD 1 miljoen of 10% van de jaarlijkse omzet in Singapore voor grotere organisaties |
| Handhavingsinstantie | Nationale gegevensbeschermingsautoriteiten in elke EU-lidstaat | Personal Data Protection Commission (PDPC) |
Belangrijkste verschillen
Beide wetten vereisen toestemming voordat persoonlijke gegevens worden verwerkt, maar ze verschillen in benadering. De GDPR biedt zes rechtsgrondslagen voor verwerking, waarbij toestemming slechts één optie is. De PDPA vereist toestemming als primaire grondslag, maar bevat uitzonderingen voor bedrijfsverbetering, gerechtvaardigde belangen (toegevoegd bij de wijzigingen van 2021) en openbaar beschikbare gegevens.
De PDPA bevat het Do Not Call Register, een uniek kenmerk dat niet in de GDPR voorkomt. Organisaties moeten het DNC-register raadplegen voordat ze marketingberichten per telefoon, sms of fax naar Singaporese nummers sturen. De GDPR behandelt directe marketing via aparte bepalingen en de ePrivacy-richtlijn in plaats van een gecentraliseerd register.
Boetes onder de PDPA werden aanzienlijk verhoogd door de wijzigingen van 2021. De maximale boete is nu SGD 1 miljoen of 10% van de jaarlijkse omzet van de organisatie in Singapore, afhankelijk van welk bedrag hoger is, voor organisaties met een jaaromzet van meer dan SGD 10 miljoen. Voorheen was het maximum SGD 1 miljoen. Het GDPR-maximum is EUR 20 miljoen of 4% van de wereldwijde jaaromzet. De PDPA introduceerde ook een verplichte meldingsplicht voor datalekken bij de wijzigingen van 2021.
Hoe Pryvii helpt
Pryvii scant uw website op zowel GDPR- als PDPA-vereisten, verifieert toestemmingsmechanismen, privacymededelingen en gegevensverzamelingspraktijken. Het controleert of uw site voldoet aan Singapore-specifieke vereisten zoals DNC-nalevingsvermeldingen en PDPA-specifieke toestemmingsbepalingen naast GDPR-normen.
Veelgestelde vragen
Vereist de PDPA van Singapore cookietoestemmingsbanners?
De PDPA heeft geen specifieke cookiewet die equivalent is aan de ePrivacy-richtlijn. Als cookies echter persoonlijke gegevens verzamelen, zijn de toestemmingsvereisten van de PDPA van toepassing. Organisaties moeten toestemmingsmechanismen implementeren voor tracking die persoonlijke gegevens verzamelt, hoewel de benadering minder streng kan zijn dan de GDPR-vereiste om alle niet-essentiële cookies te blokkeren vóór toestemming.
Wat is het Do Not Call Register en heeft de GDPR een equivalent?
Het DNC-register is een Singapore-specifiek kenmerk waarbij individuen hun telefoonnummers kunnen registreren om zich af te melden voor marketingberichten. Organisaties moeten het register raadplegen voordat ze telemarketingcommunicatie versturen. De GDPR heeft geen gecentraliseerd register maar biedt het recht om bezwaar te maken tegen directe marketing onder artikel 21, en de ePrivacy-richtlijn reguleert elektronische marketingcommunicatie.
Heeft Singapore een GDPR-adequaatheidsbesluit?
Singapore heeft geen formeel GDPR-adequaatheidsbesluit van de Europese Commissie. De EU en Singapore hebben echter een sterke handelsrelatie en gegevensoverdrachten zijn doorgaans gebaseerd op standaard contractbepalingen of andere goedgekeurde mechanismen. De PDPA-wijzigingen van 2021 brachten het dichter bij GDPR-normen, wat toekomstige adequaatheidsdiscussies kan ondersteunen.
Gerelateerde vergelijkingen
Controleer uw naleving
Scan uw website tegen meerdere regelgevingen in enkele minuten.