Co PDPA skutečně pokrývá

PDPA byl přijat v roce 2012 a je plně v platnosti od roku 2014, ale verze, které jsou vydavatelé v roce 2026 podřízeni, se materiálně liší od původního textu. Dva balíčky novel — jeden z roku 2020 a jeden z roku 2021 — přidaly povinný režim oznámení o narušení dat, rozšířily strop finančních sankcí z jednoho milionu SGD na devět procent ročního obratu v Singapuru pro organizace s příjmy nad deset milionů SGD, zavedly zákonný základ oprávněných zájmů a upřesnily, že pravidla souhlasu se vztahují na jakýkoli elektronický identifikátor, který lze přiměřeně propojit s fyzickou osobou. Do rozsahu spadají cookies, pixelové identifikátory, reklamní identifikátory, IP adresy kombinované s otisky zařízení a hashované identifikátory předávané programatickými aukcemi.

Na koho se PDPA vztahuje

Zákon se vztahuje na jakoukoli organizaci, která shromažďuje, používá nebo zveřejňuje osobní data v Singapuru, bez ohledu na to, kde se organizace sama nachází. Zahraniční vydavatel se singapurskými návštěvníky podléhá PDPA v okamžiku, kdy na sledovanou stránku přistane uživatel s bydlištěm v Singapuru, a PDPC výslovně uvedla, že weby a aplikace financované reklamou s záměrnými singapurskými publiky nemohou spoléhat na obranu zahraničního správce. Extrateritoriální dosah je širší než u CCPA a přibližně srovnatelný s GDPR.

Postoj PDPC k vymáhání

PDPC zveřejňuje svá rozhodnutí o vymáhání, což dělá auditní vzor neobvykle viditelným. Případy do roku 2024 a 2025 ukázaly jasný zaměření na tři oblasti: nedostatečné oznamování v místě shromažďování, chybějící nebo slabý souhlas pro marketingové účely a nedostatečná náležitá péče o dodavatele v řetězci zprostředkovatelů dat. Do roku 2026 PDPC naznačila, že ad-tech specificky — programatické platformy na straně nabídky, platformy na straně poptávky, dodavatelé identity, partneři pro měření — se posouvá na seznam priorit, přičemž již existuje několik veřejně vyřešených šetření zahrnujících implementace cookies a pixelů.

Souhlas a zákonné základy PDPA

PDPA uznává tři primární zákonné základy pro zpracování osobních dat: souhlas, předpokládaný souhlas a zákonné oprávněné zájmy. Každý má své vlastní podmínky a vlastní důkazní břemeno a volba mezi nimi určuje, jak musí být nakonfigurován CMP a reklamní zásobník vydavatele.

Výslovný souhlas a povinnost oznámení

Výslovný souhlas podle PDPA musí být spojen s jasným, přístupným oznámením o účelech, pro které jsou data shromažďována, používána a zveřejňována. Poradenské pokyny PDPC k PDPA pro vybraná témata uvádějí, že předem zaškrtnutá políčka se nepočítají, že oznámení musí být dostupné v místě shromažďování nebo před ním a že souhlas získaný prostřednictvím matoucího nebo zavádějícího rozhraní je neplatný. Pro banery cookies to odpovídá stejnému standardu, který uplatňují regulátoři EU: stejná viditelnost pro tlačítka přijmout a odmítnout, podrobné kategorie účelů a cesta odmítnutí jedním kliknutím místo pohřbené za tokem správy předvoleb.

Předpokládaný souhlas

Předpokládaný souhlas se uplatní, kde fyzická osoba dobrovolně poskytne své osobní údaje za účelem, který by rozumná osoba považovala za zřejmý — koupě produktu znamená, že prodejce použije adresu k doručení, registrace ke službě znamená, že provozovatel použije e-mail ke komunikaci o této službě. Předpokládaný souhlas je úzký. Nevztahuje se na reklamní cookies, sledování chování nebo sdílení dat třetích stran a PDPC důsledně odmítala pokusy o jeho rozšíření na programatický ad-tech. Vydavatelé by měli zacházet s předpokládaným souhlasem jako se základem pro provozní zpracování první strany a spoléhat na výslovný souhlas nebo oprávněné zájmy pro vše ostatní.

Zákonné oprávněné zájmy

Novela z roku 2020 zavedla zákonný základ oprávněných zájmů volně modelovaný podle článku 6 odst. 1 písm. f) GDPR, ale s uzavřeným seznamem uznaných účelů a přísnějším požadavkem na posouzení. Některé případy použití cookies — detekce podvodů, bezpečnost, základní analytika s přiměřenými zárukami — mohou být způsobilé, ale reklama a behaviorální personalizace nemohou. Vydavatelé používající oprávněné zájmy pro jakýkoli cookie nebo tag musí dokončit a zdokumentovat posouzení oprávněných zájmů PDPA, včetně vyvažovacího testu, který váží zájem vydavatele oproti přiměřeným očekáváním jednotlivce.

Souhlas s cookies v praxi

Pokyny PDPC o cookies a online sledování se přiblížily globálnímu standardu stanovenému GDPR. Přísně nezbytné cookies — sezení, autentizace, bezpečnost — mohou fungovat na základě předpokládaného souhlasu nebo oprávněných zájmů. Vše ostatní potřebuje výslovný souhlas před prvním čtením nebo zápisem do zařízení.

Konfigurace CMP, která přežije audit

Vyhovující baner souhlasu s cookies pro singapurský provoz vypadá povědomě každému, kdo pracoval na souladu s EU. Zobrazuje kategorie účelů — nezbytné, funkční, analytické, reklamní, personalizace — s přepínači pro každou kategorii. Standardně nastaví všechny nepodstatné kategorie na vypnuto. Spáruje tlačítka přijmout vše a odmítnout vše se stejnou vizuální váhou. Zpřístupní trvalý ovládací prvek pro opětovný souhlas prostřednictvím odkazu v zápatí nebo plovoucí ikony předvoleb. Zaznamená potvrzení o souhlasu s časovým razítkem, verzí zásad, které uživatel viděl, a identifikátorem uživatele, aby vydavatel mohl předložit důkazy v reakci na dotaz PDPC. Stejný CMP, který vydavatel již provozuje pro provoz z EU, lze obvykle nakonfigurovat tak, aby vyhovoval PDPA přidáním singapursky specifického textu oznámení a zajištěním, že mapování právních základů odráží užší rozsah předpokládaného souhlasu PDPA.

Text oznámení a zásady ochrany soukromí

Oznamovací povinnost PDPA je blíže požadavku na transparentnost GDPR než lehčím pravidlům oznamování CCPA. Vydavatelé musí zveřejnit jasné zásady ochrany soukromí, které jmenují kategorie shromažďovaných osobních dat, účely zpracování, třetí strany, se kterými jsou data sdílena, doby uchovávání a práva uživatele na přístup, opravu a odvolání souhlasu. Oznámení by mělo být přístupné přímo z baneru souhlasu — obvykle prostřednictvím odkazu „dozvědět se více”, který otevírá úplné zásady bez zavření baneru.

Odvolání souhlasu

Právo odvolat souhlas je jedním z práv, která vymáhání PDPC v posledních rozhodnutích nejsilněji zdůraznilo. Vydavatelé musí poskytovat mechanismus, který umožňuje uživatelům odvolat souhlas stejně snadno, jako ho udělili, a po odvolání musí vydavatel zpracování zastavit v přiměřené lhůtě — PDPC přijala třicet dní jako provozní strop. CMP potřebuje cestu, která nejen přepne stav souhlasu pro budoucí načtení stránek, ale také šíří odvolání po proudu k reklamním a analytickým partnerům, což v praxi znamená odeslání signálu aktualizace souhlasu prostřednictvím Google Consent Mode v2 nebo ekvivalentního kanálu dodavatele.

Přeshraniční přenosy a náležitá péče o dodavatele

PDPA nevede seznam přiměřenosti podle jednotlivých zemí, jak to dělá GDPR. Místo toho vyžaduje, aby přenášející organizace podnikla přiměřené kroky k zajištění toho, aby byl příjemce vázán právně vymahatelnými povinnostmi rovnocennými vlastním ochranám PDPA. Pro vydavatele to nejčastěji znamená smluvní doložky s overseas dodavateli ad-tech a analytiky, které výslovně rozšiřují ochrany na úrovni PDPA na přenášená data.

Vztah zprostředkovatele dat

Kde dodavatel zpracovává osobní data jménem vydavatele, nikoli pro vlastní účely, je vztah vztahem správce dat a zprostředkovatele dat podle PDPA. Vydavatel zůstává odpovědný za soulad a musí smluvně požadovat, aby zprostředkovatel zavedl přiměřené bezpečnostní, oznamovací a přístupová opatření. CMPs, reklamní servery a analytické nástroje fungující jako čistí zpracovatelé jsou obvykle zprostředkovatelé; programatické platformy na straně nabídky a poptávky častěji fungují jako společní správci, což zvyšuje smluvní laťku.

Povinný režim oznamování narušení z roku 2021

Novela z roku 2021 zavedla povinnou povinnost oznamování narušení spouštěnou jakýmkoli narušením, které pravděpodobně způsobí závažnou újmu nebo se týká více než pěti set fyzických osob. Oznámení PDPC musí proběhnout do sedmdesáti dvou hodin od okamžiku, kdy vydavatel zjistí, že narušení splňuje práh, a oznámení postiženým fyzickým osobám musí následovat co nejdříve. Pro ad-tech to znamená, že smlouvy s dodavateli musí zahrnovat doložky o rychlém hlášení narušení — vydavatel, který se o narušení dodavatele dozví poprvé prostřednictvím tiskového úniku, nestihne lhůtu.

Praktické kroky pro soulad se singapurským provozem

Program PDPA se rozděluje do známého kontrolního seznamu vydavatelů. Lokalizujte baner cookies a zásady ochrany soukromí pro singapurská publika s anglickým textem jako výchozím a Mandarin, Malay nebo Tamil tam, kde to publikum opodstatňuje. Namapujte každý cookie, pixel a SDK na webu na správný právní základ PDPA a správnou kategorii účelů CMP. Zdokumentujte posouzení oprávněných zájmů pro jakékoli zpracování bez souhlasu. Auditujte smlouvy se zprostředkovateli dat, abyste potvrdili přítomnost doložek o oznamování narušení, bezpečnosti a ochraně rovnocenné PDPA. Zřiďte dokumentovaný pracovní tok přístupu a odvolání subjektu dat s třicetidenním cílem reakce. Proškolte marketingové a inženýrské týmy, které vlastní správce tagů a CMP, protože nejčastější zjištění PDPC se váží k tagu přidanému ve spěchu bez odpovídající aktualizace režimu souhlasu.

Děti a citlivá data

PDPA nemá samostatný režim dat dětí v rozsahu COPPA nebo GDPR-K, ale pokyny PDPC zacházejí se souhlasem nezletilé osoby jako s podezřelým, pokud je zpracování pro marketingové nebo behaviorální reklamní účely. Vydavatelé s publikem, které zahrnuje osoby mladší osmnácti let, by měli standardně nastavit reklamní souhlas na zamítnutí pro jakýkoli signál naznačující dětského uživatele — sekce obsahu určená pro děti, stránka s označením hodnocení, účet, jehož vlastní uváděný věk je nižší než osmnáct — a vyžadovat výslovný rodičovský souhlas před načtením jakéhokoli reklamního cookie.

Závěr

PDPA v roce 2026 je vážný režim ochrany soukromí s aktivním vymáháním, transparentním rozhodováním a finančními sankcemi škálovanými s příjmem. Pro vydavatele monetizující singapurský provoz jsou náklady na soulad skromné, protože PDPA si od GDPR půjčuje dost na to, aby zralý evropský postoj souladu pokryl většinu věcných povinností. Práce spočívá v lokalizaci: zásady ochrany soukromí v singapurské angličtině, baner souhlasu s příslušným mapováním účelů, smlouvy se zprostředkovateli dat, které výslovně jmenují PDPA, plán oznamování narušení nastavený na sedmdesátidvouminutový hodinový signál a zdokumentovaná posouzení oprávněných zájmů pro jakékoli zpracování, které nefunguje na základě souhlasu. Vydavatelé, kteří přistupují k Singapuru jako k vážnému trhu a investují do těchto lokalizací, udržují publikum monetizovatelné, aniž by se kdy objevili v souhrnu vymáhání PDPC; vydavatelé, kteří přistupují k PDPA jako k papírovému cvičení, se přidají k rostoucímu seznamu veřejných rozhodnutí, která regulátor zveřejňuje každé čtvrtletí.