PDPA шынымен нені қамтиды

PDPA 2012 жылы қабылданып, 2014 жылдан бері толық күшінде болды, бірақ баспагерлер 2026 жылы бағынатын нұсқа бастапқы мәтіннен айтарлықтай ерекшеленеді. Екі түзетулер пакеті — 2020 жылғы біреуі және 2021 жылғы біреуі — міндетті деректер бұзылуын хабарлау режимін қосты, қаржылық айыппұл шегін SGD бір миллионнан жылдық Сингапур айналымының тоғыз пайызына дейін арттырды (кірісі SGD он миллионнан асатын ұйымдар үшін), заңдық заңды мүдделер негізін енгізді және келісім ережелері жеке тұлғамен ақылға қонымды байланыстырылуы мүмкін кез келген электрондық сәйкестендіргішті қамтитынын нақтылады. Cookie-лер, пиксель идентификаторлары, жарнама идентификаторлары, құрылғы саусақ ізімен біріктірілген IP-мекенжайлар және бағдарламалық аукциондар арқылы берілген хэш идентификаторлары - барлығы аумақ шеңберіне кіреді.

PDPA кімдерге қолданылады

Заң ұйымның өзі қайда орналасқанына қарамастан Сингапурда жеке деректерді жинайтын, пайдаланатын немесе ашатын кез келген ұйымға қолданылады. Сингапурдан кіргіштері бар шетелдік баспагер Сингапурда тұратын пайдаланушы бақыланатын бетке түскен сәттен бастап PDPA-ға бағынады және PDPC Сингапурдың арнайы аудиториясы бар жарнамамен қаржыландырылатын сайттар мен қолданбалардың шетелдік бақылаушы қорғанышына сүйене алмайтынын нақты айтты. Аумақтан тыс қолдану ауқымы CCPA-дан кеңірек және GDPR-мен шамамен салыстырылатындай.

PDPC-нің орындау ұстанымы

PDPC орындау шешімдерін жариялайды, бұл аудит үлгісін ерекше байқататын етеді. 2024 және 2025 жылдарға дейінгі іс-қағаздар үш бағытта нақты назар аудартты: жинау кезеңінде жеткіліксіз хабарлама, маркетинг мақсаттары үшін жоқ немесе әлсіз келісім және деректер делдалы тізбегінде жеткізушіні тиісінше тексеру кемшіліктері. 2026 жылға қарай PDPC атап айтқанда ad-tech — бағдарламалық ұсыныс платформалары, сұраныс платформалары, жеке куәлік жеткізушілері, өлшеу серіктестері — басымдық тізімінде жоғарылап жатқанын білдірді, бірнеше cookie мен пикселді іске асыруды қамтыған бірнеше жария шешімді тергеулер бар.

Келісім және PDPA-ның заңдық негіздері

PDPA жеке деректерді өңдеудің үш негізгі заңды негізін таниды: келісім, болжамды келісім және заңдық заңды мүдделер. Әрқайсысының өзіндік шарттары мен дәлелдеу ауыртпалығы бар және олардың арасындағы таңдау баспагердің CMP мен жарнама стегін қалай орнату керектігін анықтайды.

Анық келісім және хабарлама міндеттемесі

PDPA бойынша анық келісім деректер жиналатын, пайдаланылатын және ашылатын мақсаттар туралы нақты, қол жетімді хабарламамен жұптасуы тиіс. Таңдалған тақырыптарға арналған PDPA бойынша PDPC кеңесші нұсқаулары алдын ала белгіленген жолаушылар есептелмейтінін, хабарлама жинау кезеңінде немесе одан бұрын қол жетімді болуы тиіс екенін және шатастыратын немесе адастыратын интерфейс арқылы алынған келісімнің жарамсыз екенін нақтылайды. Cookie баннерлері үшін бұл ЕО реттеушілері қолданатын бірдей стандартқа сәйкес келеді: қабылдау және бас тарту батырмаларының тең визуалдық салмағы, егжей-тегжейлі мақсат санаттары және параметрлерді басқару ағынының астына жасырылудың орнына бір рет басу арқылы жасалатын бас тарту жолы.

Болжамды келісім

Болжамды келісім жеке адам өзінің жеке деректерін ақылға қонымды адам анық деп санайтын мақсат үшін ерікті түрде ұсынған жерде қолданылады — өнім сатып алу сатушының жеткізу үшін мекенжайды пайдаланатынын білдіреді, қызметке тіркелу операторлың ол қызмет туралы хабарлау үшін электрондық поштаны пайдаланатынын білдіреді. Болжамды келісім тар. Ол жарнамалық cookie-лерге, мінез-құлықты бақылауға немесе деректерді үшінші тараппен бөлісуге дейін созылмайды және PDPC оны бағдарламалық ad-tech-ті қамтуға дейін созуға жасалған әрекеттерді тұрақты түрде қабылдамайды. Баспагерлер болжамды келісімді бірінші тарап операциялық өңдеуінің негізі ретінде қарастыруы және барлық басқасы үшін анық келісімге немесе заңды мүдделерге сүйенуі тиіс.

Заңдық заңды мүдделер

2020 жылғы түзету GDPR 6-бабының (1)(f)-тармақшасын бос модельдеген заңдық заңды мүдделер негізін, бірақ таануды аяқтаған мақсаттар тізімімен және қатаңдау бағалау талабымен енгізді. Кейбір cookie пайдалану жағдайлары — алаяқтықты анықтау, қауіпсіздік, тиісті қорғанышпен негізгі аналитика — білікті болуы мүмкін, бірақ жарнама және мінез-құлық жекелестіруі мүмкін емес. Cookie немесе тег үшін заңды мүдделерді пайдаланатын баспагерлер PDPA-ның заңды мүдделерді бағалауын аяқтауы және құжаттауы тиіс, соның ішінде баспагердің мүддесін жеке тұлғаның ақылға қонымды күтулеріне қарсы таразылайтын теңгеру сынағы.

Cookie келісімі іс жүзінде

Cookie-лер мен онлайн бақылау туралы PDPC нұсқауы GDPR белгілеген жаһандық стандартпен үйлесті. Қатаң қажетті cookie-лер — сессия, аутентификация, қауіпсіздік — болжамды келісім немесе заңды мүдделер бойынша жұмыс істей алады. Барлық басқасы құрылғыға бірінші оқу немесе жазудан бұрын анық келісімді талап етеді.

Аудиттен өтетін CMP конфигурациясы

Сингапур трафигіне сәйкес cookie келісімі баннері ЕО сәйкестігі бойынша жұмыс жасаған кез келген адамға таныс болып көрінеді. Ол мақсат санаттарын — қажетті, функционалдық, аналитикалық, жарнамалық, жекелестіру — санат үшін ауыстырып-қосқыштармен көрсетеді. Барлық маңызды емес санаттарды үнсіздік бойынша өшіреді. Барлығын қабылдау және барлығынан бас тарту батырмаларын тең визуалдық салмақпен жұптастырады. Нижегі сілтемесі немесе жылжымалы параметрлер белгішесі арқылы тұрақты қайта-келісім басқаруын ашады. Уақыт белгісімен, пайдаланушы көрген саясат нұсқасымен және пайдаланушының идентификаторымен келісім түбіртегін жазады, сондықтан баспагер PDPC сұрауына жауап ретінде дәлелдер ұсына алады. Баспагердің ЕО трафигіне арналған бар CMP-і әдетте Сингапурға тән хабарлама мәтінін қосу және заңды негіздерді салыстыру PDPA-ның тарырақ болжамды келісім ауқымын білдіруін қамтамасыз ету арқылы PDPA-ны қанағаттандыру үшін конфигурациялануы мүмкін.

Хабарлама мәтіні және Құпиялылық ескертпесі

PDPA хабарлама міндеттемесі CCPA-ның жеңілдеу хабарлама ережелерінен гөрі GDPR-дың ашықтық талабына жақын. Баспагерлер жиналатын жеке деректер санаттарын, өңдеу мақсаттарын, деректер бөлісетін үшінші тараптарды, сақтау мерзімдерін және пайдаланушының қол жеткізу, түзету және келісімнен бас тарту құқықтарын атайтын нақты құпиялылық ескертпесін жариялауы тиіс. Ескертпе баннерді жапсыз толық саясатты ашатын «толығырақ білу» сілтемесі арқылы болжамды келісім баннерінің өзінен қол жетімді болуы тиіс.

Келісімнен бас тарту

Келісімнен бас тарту құқығы PDPC орындауы соңғы шешімдерде ең көп баса назар аударған құқықтардың бірі болып табылады. Баспагерлер пайдаланушыларға келісімнен бас тартуға берген кезіндей оңай жол беретін механизм ұсынуы тиіс, ал бас тартылғаннан кейін баспагер ақылға қонымды мерзімде өңдеуді тоқтатуы тиіс — PDPC отыз күнді операциялық шек ретінде қабылдады. CMP болашақ бет жүктемелері үшін келісім күйін ауыстырып қоюмен ғана шектелмей, бас тартуды жарнама және аналитика серіктестеріне ағынды жолмен таратуы тиіс, бұл іс жүзінде Google Consent Mode v2 немесе баламалы жеткізуші құбыры арқылы келісімді жаңарту сигналын жіберуді білдіреді.

Шекарааралық аударымдар және жеткізушіні тексеру

PDPA GDPR сияқты елдер бойынша жеткіліктілік тізімін жүргізбейді. Оның орнына аударым жасайтын ұйымнан алушы PDPA-ның өз қорғаныштарына тең заңды орындалатын міндеттемелермен байланысты екенін қамтамасыз ету үшін ақылға қонымды қадамдар жасауды талап етеді. Баспагерлер үшін бұл ең жиі шетелдік ad-tech және аналитика жеткізушілерімен аударылған деректерге PDPA деңгейіндегі қорғанышты айқын жаятын шарттық тармақтарды білдіреді.

Деректер делдалы қатынасы

Жеткізуші жеке деректерді өзінің мақсаттары үшін емес, баспагер атынан өңдеген жерде қатынас PDPA бойынша деректер бақылаушысы мен деректер делдалы арасындағы болып табылады. Баспагер сәйкестік үшін есеп беруді жалғастырады және делдалдан тиісті қауіпсіздік, бұзылуды хабарлау және қол жеткізуді басқару шараларын іске асыруды шарттық тұрғыдан талап етуі тиіс. Таза процессорлар ретінде жұмыс жасайтын CMP, жарнама серверлері мен аналитика құралдары — бұлар әдетте делдалдар; бағдарламалық ұсыныс және сұраныс платформалары ортақ бақылаушылар ретінде жиі жұмыс жасайды, бұл шарттық деңгейді жоғарылатады.

2021 жылғы міндетті бұзылуды хабарлау режимі

2021 жылғы түзету елеулі зиян тигізуі мүмкін немесе бес жүзден астам адамға әсер ететін кез келген бұзылу туатын міндетті бұзылуды хабарлау міндеттемесін енгізді. PDPC-ге хабарлама баспагер бұзылудың шекке жететінін анықтаған соң жетпіс екі сағат ішінде жасалуы тиіс, ал зардап шеккен адамдарға хабарлама мүмкіндігінше тезірек орындалуы тиіс. Ad-tech үшін бұл жеткізуші шарттары жылдам бұзылуды хабарлау тармақтарын қамтуы тиіс дегенді білдіреді — жеткізушінің бұзылуы туралы алғаш рет баспасөздің ашылуы арқылы білетін баспагер мерзімді сақтамайды.

Сингапур трафигіне арналған практикалық сәйкестік қадамдары

PDPA бағдарламасы баспагерлерге таныс тексеру тізіміне бөлінеді. Cookie баннері мен құпиялылық ескертпесін Сингапур аудиториясы үшін үнсіздік бойынша ағылшын тіліндегі мәтінмен және аудитория ақтаса Mandarin, Malay немесе Tamil тілдерімен жергіліктендіріңіз. Сайттағы әрбір cookie, пиксель және SDK-ны дұрыс PDPA заңды негізіне және дұрыс CMP мақсат санатына салыстырыңыз. Келісімге негізделмеген кез келген өңдеу үшін заңды мүдделерді бағалауды құжаттаңыз. Бұзылуды хабарлау, қауіпсіздік және PDPA-ға тең қорғаныш тармақтарының бар екенін растау үшін деректер делдалы шарттарын тексеріңіз. Отыз күндік жауап мақсатымен құжатталған деректер субъектісіне қол жеткізу және бас тарту жұмыс ағынын іске қосыңыз. Тег менеджері мен CMP-ке иелік ететін маркетинг және инженерлік топтарды оқытыңыз, өйткені ең жиі кездесетін PDPC нәтижелері тиісті келісім режимін жаңартусыз асығыс қосылған тегке саяды.

Балалар мен сезімтал деректер

PDPA-да COPPA немесе GDPR-K ауқымындай балалар деректерінің жеке режимі жоқ, бірақ PDPC нұсқауы өңдеу маркетинг немесе мінез-құлық жарнамасы үшін болған кезде кәмелетке толмаған адамның келісімін күмән тудыратын ретінде қарастырады. Он сегіз жасқа дейінгі аудиториясы бар баспагерлер балаларға арналған мазмұн бөлімі, жас рейтингімен белгіленген бет, өз-өзі туралы мәлімдеген жасы он сегізден төмен тіркелгі сияқты балаларды пайдаланушыны білдіретін кез келген сигнал үшін жарнамалық келісімді үнсіздік бойынша бас тарту күйіне орнатуы және кез келген жарнамалық cookie жүктелмес бұрын ата-ананың анық келісімін талап етуі тиіс.

Қорытынды

2026 жылғы PDPA белсенді орындаумен, ашық шешім қабылдаумен және кірімен бірге өлшенетін қаржылық айыппұлдармен маңызды құпиялылық режимі болып табылады. Сингапур трафигін монетизациялайтын баспагерлер үшін сәйкестік шығыны қалыпты, өйткені PDPA GDPR-дан жеткілікті түрде несиелейді, сондықтан кемелді еуропалық сәйкестік ұстанымы негізгі міндеттемелердің басым бөлігін қамтиды. Жұмыс жергіліктендіруде: Сингапур ағылшын тіліндегі құпиялылық ескертпесі, тиісті мақсат картографиясы бар cookie баннері, PDPA-ны нақты атайтын деректер делдалы шарттары, жетпіс екі сағаттық сағатқа реттелген бұзылуды хабарлау ойын кітабы және келісімге негізделмеген кез келген өңдеу үшін құжатталған заңды мүдделерді бағалау. Сингапурды маңызды нарық ретінде қарастыратын және осы жергіліктендіруге инвестиция жасайтын баспагерлер PDPC орындау шолуында ешқашан пайда болмай аудиторияны монетизациялауға болатын күйде ұстайды; PDPA-ны қағаздық жаттығу ретінде қарастыратын баспагерлер реттеушінің тоқсан сайын жариялайтын жалпы шешімдерінің өсіп келе жатқан тізіміне қосылады.