要將不需要的文件扔進垃圾箱?那你需要再考慮一下。您是否知道,根據新加坡《個人數據保護法》(PDPA),公司有法律義務妥善處理含有個人數據的文件,否則可能會受到懲罰?今天福智霖小編來給您講一講公司應該如何處理包含個人資料的文件。
(圖片來源:https://www.pdpc.gov.sg)
首先,什麽是“個人資料”呢?
新加坡《個人數據保護法》(PDPA)對個人資料的定義其實非常廣泛,根據隱私條例,個人資料是指可以識別個人身份的資料。因此,一個人的姓名、身份證號碼,甚至身高和性別等信息都被視爲個人數據。
保護個人資料的責任
在新加坡PDPA框架下,公司必須采取相關措施,以確保個人數據根據得到妥善處理。未經授權公司不可以收集、使用、披露、複制、修改和處置包含有個人資料的文件。
含有個人資料的文件的處置方法
個人資料主要有兩種形式。
實物文件:如紙質文件;和
電子媒介:如硬盤、CD和DVD。
如何處置實物文件中的個人數據?
《個人數據保護法》建議通過以下一種(或多種)方法處理實物文件。
碎紙:碎紙是最常用的方法,因爲它快速、安全、成本低。根據國際參考的DIN 66399安全標准,公司至少應使用P-3級橫切碎紙機,將紙張切成最大面積爲320平方毫米的小塊。
焚燒:將實物文件燒成灰燼。
打漿:將實物文件與水和化學品混合,以分解文件的紙質纖維。
這些處理方法可以由公司內部自行進行,也可以委托外部服務提供商進行。然而,公司在等待外部服務供應商收集含有個人數據的文件時,不應無人看管,例如將文件放在辦公室的後門或建築物的底層。這是爲了防止未經授權的第三方獲取文件的內容。
如何處置存儲在電子媒體上的個人數據? 電子媒體中的個人數據可以通過兩種方式進行處置。
對媒體本身進行物理銷毀,使存儲的數據無法被訪問:例如,切割CD和DVD,或用錘子砸碎硬盤,直到它們不再工作(無法修複);或
僅處置媒體中的個人數據。可以使用專門的軟件工具安全地刪除媒體中所有個人數據。僅僅將文件移至電腦的 “回收站 “來刪除是不夠的,因爲文件在回收站被清空後仍然可以恢複。
員工應該履行的責任
公司應采取適當措施,確保員工遵守公司關于處置含有個人資料的文件的規定。因爲如果員工在受雇于公司期間違反了《個人數據保護法》,公司要對員工的違規行爲采取相應措施。
要注意!即使公司沒有批准該員工的行爲,或者甚至一開始就不知道這些行爲,也要承擔責任。然而,如果公司能夠證明他們已經采取了切實可行的措施,以防止違規員工不適當地處置含有個人數據的文件,則公司可能能夠避免責任。
聘請外部服務提供者
委托外部服務供應商處理含有個人資料的文件,並不能使公司免除《隱私條例》規定的保護個人資料的責任。公司最終仍有責任確保文件中的個人數據受到保護,直至文件被妥善銷毀。
