싱가포르 PDPA와 인사 데이터 — HR 담당자가 반드시 알아야 할 것들
싱가포르 개인정보보호법(PDPA)은 직원 개인정보에도 적용됩니다. NRIC 수집 제한, 동의 요건, 보관 기한 등 HR 부서를 위한 실무 가이드입니다.
싱가포르 PDPA와 인사 데이터 — HR 담당자가 반드시 알아야 할 것들
HR 부서는 가장 민감한 정보를 다룹니다
인사부서는 조직 내에서 가장 민감한 개인정보를 관리합니다. NRIC 번호, 급여 내역, 의료 기록, 인사고과, 징계 기록까지 — 직원들이 보호받을 것이라 신뢰하는 정보들입니다.
싱가포르의 **개인정보보호법(PDPA, Personal Data Protection Act)**은 조직이 개인정보를 수집, 이용, 제공하는 방식을 규율합니다. 많은 기업이 고객 데이터 컴플라이언스에 집중하지만, 직원 데이터 역시 동일하게 적용됩니다. 실제로 PDPA 위반 사례 중 HR 관련 건이 상당한 비중을 차지합니다.
PDPA가 직원 데이터에 적용되는 방식
묵시적 동의(Deemed Consent) — 하지만 만능은 아닙니다
PDPA는 고용 관련 목적에 대해 "묵시적 동의(deemed consent)" 개념을 인정합니다. 급여 처리, CPF 납부, IRAS 세금 신고 등 일상적인 HR 업무에는 별도의 명시적 동의가 필요하지 않습니다.
그러나 묵시적 동의는 무제한 허가가 아닙니다. 합리적인 사람이 고용 맥락에서 적절하다고 판단할 수 있는 목적에만 적용됩니다.
| 활동 | 묵시적 동의? | 비고 |
|---|---|---|
| 급여 처리 | 예 | 표준 고용 목적 |
| CPF 납부 | 예 | 법적 의무 |
| IRAS 세금 신고 | 예 | 법적 의무 |
| 직원 사진 마케팅 활용 | 아니오 | 명시적 동의 필요 |
| 동료에게 의료정보 공유 | 아니오 | 동의 또는 법적 근거 필요 |
| 승진 심사용 신원 조회 | 상황에 따라 | 직원에게 목적 고지 필요 |
고지 의무(Notification Obligation)
묵시적 동의가 적용되더라도 고용주는 직원에게 다음을 알려야 합니다:
- 어떤 개인정보를 수집하는지
- 왜 수집하는지 (목적)
- 누구에게 공유될 수 있는지
일반적으로 근로계약서, 직원 핸드북, 개인정보보호 고지서를 통해 이루어집니다.
NRIC 수집 가이드라인 — 흔한 실수
2019년 9월 1일부터 싱가포르의 NRIC 관련 가이드라인이 시행되고 있습니다.
해서는 안 되는 것
- 법적으로 필요하거나 정확한 신원 확인에 필수적인 경우가 아니면 NRIC/FIN/출생증명서 번호 전체 수집 금지
- NRIC를 범용 식별자로 사용 금지 (직원 로그인, 대기번호 등)
- 유효한 법적 근거 없이 NRIC 복사 금지
대신 해야 할 것
- 부분적 식별이 가능한 경우 NRIC 끝 4자리만 수집
- 대체 식별자 사용 (사원 번호 등)
- 법적으로 요구되는 경우(CPF, IRAS, MOM 취업비자)에만 전체 NRIC 보유
직원의 권리
접근 및 정정 요청권
직원은 다음의 권리가 있습니다:
- 고용주가 보유한 자신의 개인정보에 대한 접근 요청
- 부정확한 데이터에 대한 정정 요청
- 지난 1년간 데이터가 어떻게 사용·제공되었는지 확인할 권리
고용주는 접근 요청에 30일 이내 응답해야 합니다.
데이터 보관 — 영원히 보관하지 마세요
가장 간과되는 PDPA 의무 중 하나가 보관 제한 의무입니다.
| 데이터 유형 | 권장 보관 기간 | 근거 |
|---|---|---|
| 급여 기록 | 퇴사 후 5~7년 | IRAS 감사 요건 |
| 세금 기록 (IR8A) | 5년 | IRAS 요건 |
| CPF 기록 | 5년 | CPF Board 요건 |
| 의료비 청구 | 퇴사 후 1~2년 | 보험 정산 |
| 인사고과 | 퇴사 후 2~3년 | 레퍼런스 확인용 |
| 채용 서류(불합격자) | 6~12개월 | 재지원 고려 |
직원 퇴사 후에는 서류를 무기한 보관하지 말고 명확한 삭제 일정을 수립해야 합니다.
국외 이전 시 주의사항
싱가포르 사무소에서 해외 본사로 직원 데이터를 전송하는 경우, 수신측이 PDPA와 동등한 수준의 보호를 제공하는지 확인해야 합니다.
흔한 HR PDPA 위반 사례
1. 동의 없는 의료정보 공유
관리자가 HR에 직원 병명을 문의하고, HR이 이를 공유하면 위반입니다.
2. 급여명세서 노출
인쇄된 급여명세서를 동료가 볼 수 있는 곳에 방치하면 급여 정보가 노출됩니다. 밀봉 봉투 또는 안전한 디지털 전달 방식을 사용하세요.
3. 잘못된 수신자에게 급여 정보 발송
급여 내역을 실수로 다른 사람에게 이메일로 보내면 데이터 유출(breach)에 해당하며, PDPC에 보고해야 할 수 있습니다.
민감한 HR 문서를 안전하게 공유하는 방법
이런 위반 사례들은 HR 팀이 민감한 문서를 공유할 안전한 채널이 부족해서 발생하는 경우가 많습니다.
LOCK.PUB을 사용하면 비밀번호로 보호된 메모를 생성하여 급여 내역, 채용 조건서, 의료 정보 등을 안전하게 공유할 수 있습니다. 이메일 첨부 대신 비밀번호를 아는 수신자만 접근할 수 있는 보안 링크를 제공하는 방식입니다.
HR PDPA 컴플라이언스 체크리스트
- 모든 직원에게 개인정보보호 고지서 제공
- NRIC 전체 수집을 법적 필수 목적으로만 제한
- 비표준 데이터 활용(사진, 마케팅)에 대한 동의 확보
- 데이터 보관 일정 문서화 및 준수
- 민감한 직원 데이터 전송 시 보안 채널 사용
- 국외 이전 보호 조치 마련 (해당 시)
- 직원 접근·정정 요청 처리 절차 수립
- HR 직원 대상 PDPA 교육 실시
위반 시 비용
PDPC는 최대 SGD 100만 (연매출 SGD 1,000만 초과 기업은 연매출의 10%)의 과징금을 부과할 수 있습니다. 과징금 외에도 직원 신뢰 상실, 평판 훼손, 인재 확보 어려움 등이 따릅니다.
핵심 정리
- PDPA는 직원 데이터에 적용됩니다 — 묵시적 동의는 무제한이 아닙니다
- NRIC 전체 수집을 중단하세요 — 2019년 9월부터 법적 필수 경우 외 금지
- 데이터를 영원히 보관하지 마세요 — 명확한 삭제 일정을 수립하세요
- 민감한 HR 문서는 안전하게 공유하세요 — LOCK.PUB 같은 도구로 비밀번호 보호 공유
- HR 팀을 교육하세요 — 조직 내 가장 민감한 데이터를 다루는 부서입니다
민감한 HR 문서를 안전하게 공유해야 하나요? LOCK.PUB에서 비밀번호로 보호된 메모를 만들어 보세요.
관련 키워드
다른 글도 읽어보세요
싱가포르 데이터 유출 통지 의무: 3일 규칙 완전 해설
싱가포르 PDPA에 따른 의무적 데이터 유출 통지 요건을 이해하세요. 3일 규칙, 통지 대상 유출 기준, 필수 절차를 설명합니다.
싱가포르 DPO 지정 의무: 모든 기업이 알아야 할 사항
싱가포르의 모든 조직은 데이터보호책임자(DPO)를 지정해야 합니다. PDPA 요건, DPO 책임, 자격 요건, 외주 옵션을 알아보세요.
싱가포르 HealthHub와 NEHR: 내 의료 기록은 어떻게 관리되고 있을까?
싱가포르 국가전자건강기록(NEHR) 시스템에서 의료 데이터가 어떻게 저장·공유·보호되는지 알아보고, 민감한 의료 정보를 안전하게 공유하는 방법을 소개합니다.