PDPA và dữ liệu nhân sự tại Singapore — Điều HR cần biết

Phòng nhân sự nắm giữ dữ liệu nhạy cảm nhất

Phòng Nhân sự quản lý những thông tin cá nhân nhạy cảm nhất trong tổ chức: số NRIC, chi tiết lương, hồ sơ y tế, đánh giá hiệu suất và hồ sơ kỷ luật.

Tại Singapore, Đạo luật Bảo vệ Dữ liệu Cá nhân (PDPA) quy định cách tổ chức thu thập, sử dụng và tiết lộ dữ liệu cá nhân. Dữ liệu nhân viên cũng nằm trong phạm vi điều chỉnh của PDPA.

PDPA áp dụng cho dữ liệu nhân viên như thế nào

Đồng ý mặc nhiên (Deemed Consent) — nhưng không phải vô hạn

PDPA cung cấp khái niệm "đồng ý mặc nhiên" cho các mục đích liên quan đến việc làm. Điều này có nghĩa là không cần đồng ý rõ ràng cho các hoạt động HR thường ngày như xử lý lương, đóng CPF, khai thuế IRAS.

Tuy nhiên, đồng ý mặc nhiên không phải là giấy phép bao quát. Chỉ áp dụng cho mục đích mà người bình thường coi là hợp lý trong bối cảnh việc làm.

Hoạt động	Đồng ý mặc nhiên?	Ghi chú
Xử lý lương	Có	Mục đích việc làm tiêu chuẩn
Đóng CPF	Có	Yêu cầu pháp luật
Khai thuế IRAS	Có	Yêu cầu pháp luật
Ảnh nhân viên cho marketing	Không	Cần đồng ý rõ ràng
Chia sẻ thông tin y tế với đồng nghiệp	Không	Cần đồng ý hoặc cơ sở pháp lý

Nghĩa vụ thông báo

Ngay cả khi đồng ý mặc nhiên được áp dụng, người sử dụng lao động phải thông báo cho nhân viên: thu thập dữ liệu gì, tại sao thu thập, có thể chia sẻ với ai.

Hướng dẫn NRIC — Lỗi thường gặp

Từ ngày 1 tháng 9 năm 2019, hướng dẫn về NRIC đã có hiệu lực tại Singapore.

Không được làm

• Thu thập số NRIC/FIN/giấy khai sinh đầy đủ trừ khi pháp luật yêu cầu
• Sử dụng NRIC làm mã nhận dạng chung (đăng nhập nhân viên, số thứ tự)

Nên làm

• Chỉ thu thập 4 ký tự cuối của NRIC khi nhận dạng một phần là đủ
• Sử dụng mã nhận dạng thay thế (mã nhân viên)
• Chỉ giữ NRIC đầy đủ khi pháp luật yêu cầu (CPF, IRAS, MOM)

Quyền của nhân viên

Nhân viên có quyền:

1. Yêu cầu truy cập dữ liệu cá nhân mà người sử dụng lao động nắm giữ
2. Yêu cầu sửa chữa dữ liệu không chính xác
3. Được biết dữ liệu đã được sử dụng hoặc tiết lộ như thế nào trong năm qua

Người sử dụng lao động phải phản hồi trong vòng 30 ngày.

Lưu trữ dữ liệu — Đừng giữ mãi

Loại dữ liệu	Thời gian lưu trữ đề xuất	Lý do
Hồ sơ lương	5-7 năm sau khi nghỉ việc	Yêu cầu kiểm toán IRAS
Hồ sơ thuế (IR8A)	5 năm	Yêu cầu IRAS
Hồ sơ CPF	5 năm	Yêu cầu CPF Board
Khiếu nại y tế	1-2 năm sau khi nghỉ việc	Đối soát bảo hiểm
Đánh giá hiệu suất	2-3 năm sau khi nghỉ việc	Mục đích tham chiếu

Vi phạm PDPA phổ biến trong HR

1. Chia sẻ thông tin y tế không có sự đồng ý — Quản lý hỏi HR về tình trạng sức khỏe của nhân viên và HR chia sẻ: đây là vi phạm
2. Phiếu lương bị lộ — Để phiếu lương in ở nơi đồng nghiệp có thể thấy
3. Gửi nhầm — Gửi email thông tin lương cho sai người

Chia sẻ tài liệu HR nhạy cảm một cách an toàn

Nhiều vi phạm xảy ra vì đội HR thiếu kênh an toàn để chia sẻ tài liệu nhạy cảm.

LOCK.PUB cho phép tạo ghi chú được bảo vệ bằng mật khẩu để chia sẻ an toàn thông tin lương, thư mời làm việc, hoặc tài liệu y tế. Thay vì gửi qua Zalo hay email không được bảo vệ, bạn có thể chia sẻ liên kết bảo mật mà chỉ người nhận có mật khẩu mới truy cập được.

Danh sách kiểm tra tuân thủ HR PDPA

• Thông báo bảo vệ dữ liệu được cung cấp cho tất cả nhân viên
• Thu thập NRIC đầy đủ chỉ giới hạn cho mục đích pháp luật yêu cầu
• Có sự đồng ý cho việc sử dụng dữ liệu phi tiêu chuẩn
• Lịch trình lưu trữ dữ liệu được ghi nhận và tuân thủ
• Kênh bảo mật được sử dụng khi truyền dữ liệu nhạy cảm
• Nhân viên HR được đào tạo về nghĩa vụ PDPA

Chi phí vi phạm

PDPC có thể áp dụng phạt lên đến 1 triệu SGD (hoặc 10% doanh thu hàng năm cho tổ chức có doanh thu trên 10 triệu SGD).

Điểm chính

1. PDPA áp dụng cho dữ liệu nhân viên — đồng ý mặc nhiên không phải vô hạn
2. Ngừng thu thập NRIC đầy đủ — từ tháng 9/2019, cấm trừ yêu cầu pháp luật
3. Không lưu trữ dữ liệu mãi mãi — thực hiện lịch trình xóa rõ ràng
4. Chia sẻ tài liệu HR nhạy cảm an toàn — sử dụng LOCK.PUB
5. Đào tạo đội HR — họ xử lý dữ liệu nhạy cảm nhất trong tổ chức

---

Cần chia sẻ tài liệu HR nhạy cảm an toàn? Thử LOCK.PUB — tạo ghi chú được bảo vệ bằng mật khẩu.