싱가포르 PDPA 중소기업 컴플라이언스 체크리스트 (2026년 가이드)
싱가포르 중소기업을 위한 PDPA 준수 체크리스트. 9가지 핵심 의무, 2021년 개정 사항, 과징금 사례까지 실무 가이드를 제공합니다.
싱가포르 PDPA 중소기업 컴플라이언스 체크리스트
싱가포르에서 중소기업을 운영하고 있다면 개인정보보호법(PDPA)은 예외 없이 적용됩니다. 직원 2명이든 200명이든 의무 사항은 동일합니다.
"대기업만 해당되는 거 아냐?"라고 생각할 수 있지만, PDPC(개인정보보호위원회)는 규모에 관계없이 과징금을 부과해 왔습니다. SingHealth 데이터 유출 사건에서 SingHealth와 IHIS에 각각 S$250,000, Grabcar에는 S$10,000의 과징금이 부과된 바 있습니다.
PDPA란?
PDPA(Personal Data Protection Act 2012)는 싱가포르의 주요 개인정보 보호 법률입니다. 2020/2021년에 대폭 개정되어 2021년 2월부터 주요 변경 사항이 시행되었습니다.
2021년 주요 개정 사항
| 변경 사항 | 영향 |
|---|---|
| 의무적 데이터 유출 통지 | 유출 사실 인지 후 3일 이내 PDPC 통지 필수 |
| 과징금 상향 | 싱가포르 내 연매출의 10% 또는 S$100만 중 큰 금액 |
| 계약상 필요에 의한 간주 동의 | 개인정보 처리 근거 확대 |
| 데이터 이동권 | 개인이 다른 조직으로 데이터 이전 요청 가능 |
9가지 PDPA 핵심 의무
- 동의 의무 — 수집·이용·제공 전 동의 획득
- 목적 제한 의무 — 합리적인 목적으로만 수집
- 통지 의무 — 수집 목적을 사전 고지
- 접근 의무 — 요청 시 개인정보 열람 제공
- 정정 의무 — 요청 시 부정확한 정보 수정
- 정확성 의무 — 정확하고 완전한 정보 유지
- 보호 의무 — 합리적인 보안 조치 적용
- 보유 제한 의무 — 불필요한 데이터 보유 중단
- 이전 제한 의무 — 해외 이전 시 적절한 보호 보장
중소기업 컴플라이언스 체크리스트
1. DPO(데이터보호책임자) 지정
싱가포르의 모든 조직에 의무입니다. 기존 직원을 지정하거나 외부 전문가를 고용할 수 있으며, 연락처를 웹사이트에 공개해야 합니다.
2. 개인정보 보호 정책 수립
수집·이용·저장·폐기 절차를 문서화하세요.
3. 데이터 인벤토리 작성
어떤 개인정보를 수집하고, 어디에 저장하며, 누가 접근하는지 매핑하세요.
4. 동의 수집 절차 검토
각 목적별로 유효한 동의를 받고 있는지 확인하세요. 2021년 개정안에 따라 간주 동의나 정당한 이익도 활용 가능하지만, 근거를 문서화해야 합니다.
5. 데이터 유출 대응 계획 수립
- 유출 식별 및 차단
- 통지 대상 여부 평가
- 평가 후 3일 이내 PDPC 통지
- 심각한 피해 우려 시 피해자 통지
6. 직원 교육
PDPC에서 제공하는 무료 이러닝 과정을 활용하세요.
7. 외주업체 계약 검토
개인정보를 공유하는 업체와의 계약에 데이터 보호 조항을 포함하세요.
8. 국외 이전 보호 조치
해외로 개인정보를 전송할 경우 동등한 보호 수준을 보장하세요.
9. 보유·폐기 일정 수립
데이터 유형별 보유 기간을 정하고 안전한 폐기 절차를 마련하세요.
PDPC 지원 자료
| 자료 | 내용 |
|---|---|
| 데이터 보호 신뢰마크(DPTM) | 중소기업 무료 인증 프로그램 |
| PDPC 이러닝 | 무료 온라인 교육 과정 |
| DPO 역량 프레임워크 | DPO에게 필요한 역량 가이드 |
민감한 컴플라이언스 문서 안전하게 공유하기
컴플라이언스 작업 중 데이터 감사 보고서, 유출 평가 문서, 정책 초안을 DPO나 법률 자문에게 공유해야 합니다. 카카오톡이나 이메일로 이런 문서를 보내면 개인정보 인벤토리나 취약점 평가가 포함된 경우 위험할 수 있습니다.
LOCK.PUB을 사용하면 비밀번호로 보호되는 메모를 만들어 민감한 감사 문서를 안전하게 공유할 수 있습니다. 만료 시간을 설정하면 필요한 기간만 접근이 가능합니다.
과징금 기준
| 유형 | 금액 |
|---|---|
| 조직 과징금 | 싱가포르 내 연매출 10% 또는 S$100만 중 큰 금액 |
| PDPC 시정 명령 | 수집·이용 중단, 데이터 파기 등 |
| 형사 처벌 | 최대 S$5,000 벌금 또는 2년 이하 징역 |
실제 집행 사례
- SingHealth 유출 (2018): SingHealth와 IHIS에 각각 S$250,000 과징금
- Grabcar (2019): 데이터 노출로 S$10,000 과징금
오늘 바로 체크리스트를 시작하세요. 민감한 문서 공유가 필요할 때는 LOCK.PUB으로 비밀번호 보호를 추가해 보세요. 고객의 데이터와 회사의 평판이 달려 있습니다.
관련 키워드
다른 글도 읽어보세요
싱가포르 데이터 유출 통지 의무: 3일 규칙 완전 해설
싱가포르 PDPA에 따른 의무적 데이터 유출 통지 요건을 이해하세요. 3일 규칙, 통지 대상 유출 기준, 필수 절차를 설명합니다.
싱가포르 DPO 지정 의무: 모든 기업이 알아야 할 사항
싱가포르의 모든 조직은 데이터보호책임자(DPO)를 지정해야 합니다. PDPA 요건, DPO 책임, 자격 요건, 외주 옵션을 알아보세요.
싱가포르 HealthHub와 NEHR: 내 의료 기록은 어떻게 관리되고 있을까?
싱가포르 국가전자건강기록(NEHR) 시스템에서 의료 데이터가 어떻게 저장·공유·보호되는지 알아보고, 민감한 의료 정보를 안전하게 공유하는 방법을 소개합니다.