Privacy
7 min
新加坡PDPA與人事資料 — HR部門必須了解的個人資料保護要點
新加坡個人資料保護法(PDPA)同樣適用於員工個人資料。了解NRIC收集限制、同意要求、保留期限等HR部門實務指南。
LOCK.PUB
•2026-03-22新加坡PDPA與人事資料 — HR部門必須了解的要點
HR部門掌管最敏感的資料
人力資源部門管理著組織中最敏感的個人資訊——NRIC號碼、薪資明細、醫療記錄、績效評估、懲處記錄。這些都是員工信賴企業會妥善保護的資料。
新加坡的個人資料保護法(PDPA)規範了組織收集、使用和揭露個人資料的方式。許多企業將合規重點放在客戶資料上,但員工資料同樣受到PDPA約束。
PDPA如何適用於員工資料
視為同意(Deemed Consent)— 但非無限授權
PDPA為僱傭相關目的提供了**「視為同意」**的概念。薪資處理、CPF繳納、IRAS報稅等例行HR工作無需取得明確同意。
但視為同意並非全面許可,僅適用於合理人士認為在僱傭關係中適當的目的。
| 活動 | 視為同意? | 備註 |
|---|---|---|
| 薪資處理 | 是 | 標準僱傭目的 |
| CPF繳納 | 是 | 法律要求 |
| IRAS報稅 | 是 | 法律要求 |
| 員工照片用於行銷 | 否 | 需明確同意 |
| 向同事分享醫療資訊 | 否 | 需同意或法律依據 |
通知義務
即使視為同意適用,雇主也必須告知員工:收集哪些個人資料、為什麼收集、可能與誰共享。
NRIC收集指南 — 常見陷阱
自2019年9月1日起,新加坡的NRIC相關指南已生效。
不可以做的事
- 除非法律要求或準確身分識別必需,不得收集完整NRIC/FIN/出生證明號碼
- 不得將NRIC用作通用識別碼(員工登入、排隊號碼等)
應該怎麼做
- 部分識別足夠時,僅收集NRIC的末4碼
- 使用替代識別碼(員工編號等)
- 僅在法律要求時(CPF、IRAS、MOM工作準證)保留完整NRIC
員工權利
員工有權:
- 要求存取雇主持有的個人資料
- 要求更正不準確的資料
- 了解過去一年資料的使用和揭露情況
雇主必須在30天內回覆存取要求。
資料保留 — 不要永久保存
| 資料類型 | 建議保留期限 | 依據 |
|---|---|---|
| 薪資記錄 | 離職後5-7年 | IRAS稽核要求 |
| 稅務記錄(IR8A) | 5年 | IRAS要求 |
| CPF記錄 | 5年 | CPF Board要求 |
| 醫療報銷 | 離職後1-2年 | 保險結算 |
| 績效評估 | 離職後2-3年 | 推薦信參考 |
員工離職後,應制定明確的資料刪除計畫,而非無限期保留。
常見HR PDPA違規案例
- 未經同意分享醫療資訊 — 主管詢問HR某員工的病情,HR直接分享即構成違規
- 薪資單暴露 — 將列印的薪資單放在同事可見之處
- 誤發送 — 將薪資資訊錯誤發送給他人,構成資料外洩
安全分享敏感HR文件
這些違規很多是因為HR團隊缺乏安全的文件共享管道。
LOCK.PUB讓您建立密碼保護的備忘錄,安全地分享薪資明細、錄取通知書、醫療資訊等。與其透過LINE或電子郵件直接傳送,不如提供一個只有知道密碼的收件人才能存取的安全連結。
HR PDPA合規檢查清單
- 向所有員工提供個人資料保護通知
- 將完整NRIC收集限制在法律必需目的
- 取得非標準資料用途的同意(照片、行銷等)
- 記錄並遵守資料保留計畫
- 傳輸敏感員工資料時使用安全管道
- 建立跨境傳輸保護措施(如適用)
- 對HR人員進行PDPA培訓
違規代價
PDPC可處以最高100萬新元的罰款。除罰款外,還有員工信任喪失、聲譽損害等後果。
關鍵要點
- PDPA適用於員工資料 — 視為同意並非無限
- 停止收集完整NRIC — 2019年9月起,法律必需以外禁止
- 不要永久保存資料 — 制定明確的刪除計畫
- 安全分享敏感HR文件 — 使用LOCK.PUB進行密碼保護分享
- 培訓HR團隊 — 他們處理組織中最敏感的資料
需要安全分享敏感HR文件?試試LOCK.PUB — 建立密碼保護的備忘錄,確保只有目標收件人可以存取。
相關關鍵詞
PDPA HR資料 新加坡
新加坡員工資料保護
HR個人資料 PDPA