PDPA и кадровые данные в Сингапуре — Что должен знать каждый работодатель
Закон о защите персональных данных Сингапура (PDPA) распространяется на данные сотрудников. Практическое руководство по сбору NRIC, согласию и срокам хранения для HR-отделов.
PDPA и кадровые данные в Сингапуре — Что должен знать работодатель
HR-отдел хранит самые конфиденциальные данные
Отдел кадров управляет наиболее конфиденциальной информацией в организации: номера NRIC, данные о зарплате, медицинские записи, оценки эффективности и дисциплинарные записи.
В Сингапуре Закон о защите персональных данных (PDPA) регулирует порядок сбора, использования и раскрытия персональных данных. Данные сотрудников защищены в той же мере — и нарушения в сфере HR являются одними из самых распространённых жалоб по PDPA.
Как PDPA применяется к данным сотрудников
Подразумеваемое согласие (Deemed Consent) — но не карт-бланш
PDPA предусматривает «подразумеваемое согласие» для целей, связанных с трудоустройством. Рутинные кадровые операции — расчёт заработной платы, взносы в CPF, налоговые декларации IRAS — не требуют явного согласия.
Однако подразумеваемое согласие не является неограниченным разрешением — оно распространяется только на цели, которые разумный человек счёл бы уместными в контексте трудовых отношений.
| Действие | Подразумеваемое согласие? | Примечание |
|---|---|---|
| Расчёт зарплаты | Да | Стандартная цель трудоустройства |
| Взносы CPF | Да | Требуется по закону |
| Налоговая декларация IRAS | Да | Требуется по закону |
| Фото сотрудников для маркетинга | Нет | Требуется явное согласие |
| Передача медицинских данных коллегам | Нет | Нужно согласие или правовое основание |
Обязательство уведомления
Даже при подразумеваемом согласии работодатели должны информировать сотрудников: какие данные собираются, зачем и кому могут быть переданы.
Рекомендации по NRIC — Распространённая ошибка
С 1 сентября 2019 года в Сингапуре действуют рекомендации по NRIC.
Что НЕЛЬЗЯ делать
- Собирать полные номера NRIC/FIN/свидетельства о рождении без законного требования
- Использовать NRIC как универсальный идентификатор
Что СЛЕДУЕТ делать
- Собирать только последние 4 символа NRIC при частичной идентификации
- Использовать альтернативные идентификаторы (табельный номер)
- Хранить полный NRIC только при законодательном требовании (CPF, IRAS, MOM)
Права сотрудников
Сотрудники имеют право:
- Запросить доступ к своим персональным данным
- Запросить исправление неточных данных
- Узнать, как их данные использовались или раскрывались за последний год
Работодатели должны ответить на запрос в течение 30 дней.
Хранение данных — Не храните вечно
| Тип данных | Рекомендуемый срок хранения | Основание |
|---|---|---|
| Записи о зарплате | 5-7 лет после увольнения | Требования аудита IRAS |
| Налоговые записи (IR8A) | 5 лет | Требование IRAS |
| Записи CPF | 5 лет | Требование CPF Board |
| Медицинские компенсации | 1-2 года после увольнения | Страховая сверка |
| Оценки эффективности | 2-3 года после увольнения | Для рекомендаций |
Частые нарушения PDPA в HR
- Передача медицинской информации без согласия — руководитель спрашивает HR о диагнозе сотрудника, HR делится информацией: это нарушение
- Видимые расчётные листки — оставление распечатанных зарплатных ведомостей на виду
- Ошибочная отправка — отправка зарплатных данных не тому адресату
Безопасный обмен конфиденциальными HR-документами
LOCK.PUB позволяет создавать защищённые паролем заметки для безопасной передачи информации о зарплате, предложений о работе или медицинской документации. Вместо отправки через Telegram или незащищённую электронную почту вы можете поделиться безопасной ссылкой, доступной только с правильным паролем.
Чек-лист соответствия HR PDPA
- Уведомление о защите данных предоставлено всем сотрудникам
- Сбор полного NRIC ограничен законодательно обязательными целями
- Получено согласие на нестандартное использование данных
- График хранения данных задокументирован и соблюдается
- Для передачи конфиденциальных данных используются защищённые каналы
- Сотрудники HR обучены обязательствам PDPA
Стоимость несоблюдения
PDPC может наложить штраф до 1 миллиона SGD (или 10% годового оборота для организаций с оборотом свыше 10 миллионов SGD).
Ключевые выводы
- PDPA распространяется на данные сотрудников — подразумеваемое согласие не безгранично
- Прекратите собирать полные NRIC — с сентября 2019 запрещено без законного основания
- Не храните данные вечно — составьте чёткий график удаления
- Делитесь конфиденциальными HR-документами безопасно — используйте LOCK.PUB
- Обучайте HR-команду — она работает с самыми конфиденциальными данными организации
Нужно безопасно передать конфиденциальные HR-документы? Попробуйте LOCK.PUB — создайте заметку, защищённую паролем.
Ключевые слова
Читайте также
Уведомление об утечке данных в Сингапуре: Правило 3 дней
Обязательные требования к уведомлению об утечке данных в Сингапуре по PDPA. Правило 3 дней, критерии и необходимые шаги.
Назначение DPO в Сингапуре: Что должен знать каждый бизнес
Все организации в Сингапуре обязаны назначить DPO. Требования PDPA, обязанности, квалификация и аутсорсинг.
HealthHub и NEHR в Сингапуре: что нужно знать о конфиденциальности медицинских данных
Узнайте, как ваши медицинские записи хранятся, передаются и защищаются в системе NEHR Сингапура. Права пациентов и безопасные способы обмена медицинской информацией.
Создайте защищенную паролем ссылку сейчас
Создавайте бесплатно защищённые ссылки, секретные заметки и зашифрованные чаты.
Начать Бесплатно