要将不需要的文件扔进垃圾箱?那你需要再考虑一下。您是否知道,根据新加坡《个人数据保护法》(PDPA),公司有法律义务妥善处理含有个人数据的文件,否则可能会受到惩罚?今天福智霖小编来给您讲一讲公司应该如何处理包含个人资料的文件。
(图片来源:https://www.pdpc.gov.sg)
首先,什么是“个人资料”呢?
新加坡《个人数据保护法》(PDPA)对个人资料的定义其实非常广泛,根据隐私条例,个人资料是指可以识别个人身份的资料。因此,一个人的姓名、身份证号码,甚至身高和性别等信息都被视为个人数据。
保护个人资料的责任
在新加坡PDPA框架下,公司必须采取相关措施,以确保个人数据根据得到妥善处理。未经授权公司不可以收集、使用、披露、复制、修改和处置包含有个人资料的文件。
含有个人资料的文件的处置方法
个人资料主要有两种形式。
实物文件:如纸质文件;和
电子媒介:如硬盘、CD和DVD。
如何处置实物文件中的个人数据?
《个人数据保护法》建议通过以下一种(或多种)方法处理实物文件。
碎纸:碎纸是最常用的方法,因为它快速、安全、成本低。根据国际参考的DIN 66399安全标准,公司至少应使用P-3级横切碎纸机,将纸张切成最大面积为320平方毫米的小块。
焚烧:将实物文件烧成灰烬。
打浆:将实物文件与水和化学品混合,以分解文件的纸质纤维。
这些处理方法可以由公司内部自行进行,也可以委托外部服务提供商进行。然而,公司在等待外部服务供应商收集含有个人数据的文件时,不应无人看管,例如将文件放在办公室的后门或建筑物的底层。这是为了防止未经授权的第三方获取文件的内容。
如何处置存储在电子媒体上的个人数据? 电子媒体中的个人数据可以通过两种方式进行处置。
对媒体本身进行物理销毁,使存储的数据无法被访问:例如,切割CD和DVD,或用锤子砸碎硬盘,直到它们不再工作(无法修复);或
仅处置媒体中的个人数据。可以使用专门的软件工具安全地删除媒体中所有个人数据。仅仅将文件移至电脑的 “回收站 “来删除是不够的,因为文件在回收站被清空后仍然可以恢复。
员工应该履行的责任
公司应采取适当措施,确保员工遵守公司关于处置含有个人资料的文件的规定。因为如果员工在受雇于公司期间违反了《个人数据保护法》,公司要对员工的违规行为采取相应措施。
要注意!即使公司没有批准该员工的行为,或者甚至一开始就不知道这些行为,也要承担责任。然而,如果公司能够证明他们已经采取了切实可行的措施,以防止违规员工不适当地处置含有个人数据的文件,则公司可能能够避免责任。
聘请外部服务提供者
委托外部服务供应商处理含有个人资料的文件,并不能使公司免除《隐私条例》规定的保护个人资料的责任。公司最终仍有责任确保文件中的个人数据受到保护,直至文件被妥善销毁。