การปฏิบัติตาม PDPA

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA)

· พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลคืออะไร?

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล คือกฎหมายว่าด้วยการคุ้มครองข้อมูลซึ่งประกอบไปด้วยกฎระเบียบต่างๆเพื่อควบคุมการเก็บข้อมูล การใช้งานข้อมูล การเปิดเผยข้อมูล และการดูแลรักษาข้อมูลส่วนบุคคล พรบ.นี้รับรองทั้งสิทธิ์ของบุคคลในการปกป้องข้อมูลส่วนบุคคลของตน รวมถึงสิทธิ์ในการเข้าถึง แก้ไขข้อมูลขององค์กรเพื่อจัดเก็บ ใช้งาน หรือเปิดเผยข้อมูลเพื่อวัตถุประสงค์ที่ถูกต้อง เหมาะสมและเป็นไปตามกฎหมาย

– ดูเพิ่มเติมได้ที่ https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Personal-Data-Protection-Act

1.2 ข้อมูลส่วนบุคคลคืออะไร?

ข้อมูลส่วนบุคคลหมายถึงข้อมูล ซึ่งไม่ว่าจะเป็นความจริงหรือไม่เป็นความจริงก็ตาม เกี่ยวกับบุคคลซึ่งสามารถระบุตัวตนของบุคคลนั้นได้จากข้อมูลดังกล่าว หรือจากข้อมูลอื่นซึ่งองค์กรสามารถเข้าถึงได้ หรือมีแนวโน้มที่จะเข้าถึงข้อมูลได้ ข้อมูลส่วนบุคคลในสิงคโปร์ถูกคุ้มครองภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2552 (Personal Data Protection Act 2012)

・AGHRM ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

1.3.1 AGHRM จัดเก็บข้อมูลลูกค้าไว้ที่ไหน?

AGHRM ใช้โฮสของ Amazon Web Services และ Microsoft Azure แต่ AGHRM ใช้ data center ของสิงคโปร์ในการดำเนินงานบริการ ซึ่งเป็นไปตามรายการที่ 26 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งระบุไว้ว่าข้อมูลจะต้องถูกจัดเก็บไว้ในสิงคโปร์

1.3.2 AGHRM ใช้มาตรการรักษาความปลอดภัยใดในการรับรองความปลอดภัยของข้อมูลลูกค้า?

AGHRM คุ้มครองข้อมูลของลูกค้าผ่านหลายวิธีการ

1. การส่งผ่านข้อมูล – ผู้ใช้ที่เข้าใช้งานเว็บไซต์ของเราผ่าน 2048bit SSL (Secured Socket Layer) เพื่อให้แน่ใจว่าข้อมูลที่ส่งผ่านทางอินเทอร์เน็ตถูก encrypt และไม่สามารถถูกสกัดกั้น กระบวนการนี้ถูกตรวจสอบทุก ๆ ปีเพื่อให้แน่ใจว่า encryption ของเราแข็งแรงและตามทันความก้าวหน้าของเทคโนโลยี

          1. นโยบายรหัสผ่าน – AGHRM มาพร้อมกับคุณสมบัตินโยบายรหัสผ่านที่ช่วยให้ผู้ดูแลระบบเพื่อดำเนินการตามนโยบายรหัสผ่านที่สามารถรองรับ:
          2. กำหนดความยาวของรหัสผ่านได้ทั้งแบบความยาวต่ำสุดและสูงสุด
          3. อายุรหัสผ่านสูงสุด
          4. บันทึกประวัติการเปลี่ยนแปลงรหัสผ่าน
          5. รหัสผ่านที่ซับซ้อน
          6. ความปลอดภัยของเครือข่าย – AGHRM ใช้โฮสของ Amazon web services และพวกเราใช้ประโยชน์จากโครงสร้างพื้นฐานสากลของ Amazon เพื่อให้ความคุ้มครอง network ของลูกค้าด้วยมาตรฐานระดับโลก สำหรับรายละเอียดเพิ่มเติมของเรื่องความปลอดภัยโครงสร้างพื้นฐานของ Amazon กรุณาดูที่ลิงค์ด้านล่าง

http://aws.amazon.com/security/

          1. สัญญาการไม่เปิดเผยข้อมูล (NDA) – AGHRM มีสัญญาการไม่เปิดเผยข้อมูลมาตรฐานกับลูกค้าทั้งหมด ซึ่งเป็นส่วนหนึ่งของข้อตกลงมาตรฐานของบริษัท AGHRM อาจมีข้อตกลงสัญญาการไม่เปิดเผยข้อมูลเพิ่มเติมแยกออกพิเศษต่างหากสำหรับลูกค้าบางราย ข้อมูลของพนักงานถือเป็นข้อมูลลับซึ่ง AGHRM ที่มีภาระผูกพันกับข้อตกลงด้านบนได้กล่าวไว้ พนักงานทั้งหมดของ AGHRM จะต้องเซ็นสัญญาการไม่เปิดเผยข้อมูล (NDA) กับทาง AGHRM ซึ่งจะห้ามไม่ให้พนักงานคนใดเผยแพร่ข้อมูลความลับใด ๆ ของลูกค้า

1.3.3 แผนฟื้นฟูภัยพิบัติของ AGHRM คืออะไร?

โปรดดูบทที่ 2.5 ในแผนความต่อเนื่องทางธุรกิจของ AGHRM

1.3.4 เกิดอะไรขึ้นกับข้อมูลของลูกค้าเมื่อสิ้นสุดสัญญาการบริการของ AGHRM?

โดยปกติแล้ว AGHRM จะแจ้งให้ทราบผ่านลายลักษณ์อักษรอย่างน้อย 30 วันก่อนวันสิ้นสุดการให้บริการ (ระยะเวลาการแจ้งอาจแตกต่างกันไปตามแต่ละสัญญา)

ในช่วงระหว่างระยะเวลาที่แจ้งให้ทราบนั้น ลูกค้าจะสามารถใช้งานฟังก์ชั่น report และ export ในระบบเพื่อนำข้อมูลออกมาในรูปแบบไฟล์ CSV เมื่อการให้บริการสิ้นสุดลง AGHRM จะกำจัดไฟล์สำเนาของข้อมูลลูกค้าทั้งหมดภายใน 30 วันนับจากวันสิ้นสุดการให้บริการ

1.4 AGHRM ปฏิบัติตามแนวทางคำแนะนำของ NRIC

1.4.1 ทำไมการเก็บหมายเลข NRIC และการเก็บรักษา NRIC ในรูปวัตถุถึงเป็นเรื่องน่ากังวล?
・หมายเลข NRIC เป็นหมายเลขระบุตัวตนที่ออกโดยรัฐบาล เป็นหมายเลขถาวรไม่สามารถเปลี่ยนแปลงได้ ซึ่งถูกนำมาใช้บ่อยในการทำธุรกรรมกับรัฐและธุรกรรมทางการค้า (เช่น ทำธุรกรรมกับธนาคาร, เข้ารับการรักษาพยาบาล)
o สามารถใช้ในการเปิดเผยข้อมูลส่วนบุคคลจำนวนมาก

o ถ้าไม่ได้รับการคุ้มครองอาจถูกนำไปใช้กับกิจกรรมที่ผิดกฎหมาย (เช่นการโจรกรรมและการฉ้อโกง)
・บัตร NRIC ไม่ได้ระบุแค่หมายเลข NRIC เพียงอย่างเดียว แต่ยังมีข้อมูลส่วนบุคคลอื่น ๆ อยู่ด้วย (ชื่อนามสกุลเต็ม, รูปถ่าย, ลายนิ้วมือ และข้อมูลที่อยู่อาศัย)
・ถือเป็นการเก็บข้อมูลส่วนบุคคลที่มากเกินไปเมื่อเก็บทั้ง NRIC ตัวจริงหรือสำเนา

1.4.2 แนวทางให้คำปรึกษาของ NRIC ที่เสนอโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแห่งประเทศสิงคโปร์ (PDPC)

PDPC ได้ออกประกาศการปรึกษาหารือสาธารณะ ระหว่างเดือนพฤศจิกายน – ธันวาคม พ.ศ. 2560 เพื่อสำรวจความเห็นเกี่ยวกับ :

• การแก้ไขบทย่อยของแนวทางให้คำปรึกษาว่าด้วยเรื่องของหมายเลข NRIC บนหัวข้อของ PDPA ที่ถูกหยิบยกมาเป็นประเด็น และ
• การเสนอหลักเกณฑ์ทางเทคนิคที่ให้คำแนะนำเกี่ยวกับทางเลือกอื่นที่สามารถพิจารณามาใช้แทนหมายเลข NRIC ในการเป็นสิ่งระบุตัวตนเพื่อใช้งานบนเว็บไซต์และระบบคอมพิวเตอร์

1.4.3 แนวทางที่เสนอ

องค์กรไม่ควรเก็บหมายเลข NRIC (หรือเก็บสำเนาไว้) เว้นแต่ :

1. มีความจำเป็นต้องเก็บภายใต้คำเรียกร้องทางกฎหมาย (เว้นแต่เป็นข้อยกเว้นของ PDPA) หรือ 2. จำเป็นต่อการยืนยันตัวตนบุคคลอย่างถูกต้อง องค์กรที่เก็บสำเนา NRIC ต้องให้แน่ใจว่ามันไม่ได้มีการเก็บข้อมูลส่วนบุคคลที่ระบุในตัวสำเนามากเกินความจำเป็น หรือเก็บเพื่อจุดประสงค์อื่น

สำหรับระบบการบริหารทรัพยากรบุคคลโดยเฉพาะ :

・ไม่ควรเก็บข้อมูลหมายเลข NRIC ระหว่างขั้นตอนการสมัครงาน
・สามารถเก็บข้อมูลหมายเลข NRIC ได้เมื่อมีการจ้างงานเกิดขึ้นเป็นที่เรียบร้อย (ภายใต้สัญญาการจ้างงานตามพระราชบัญญัติแรงงาน)

1.4.4 การกำกับดูแลของ AGHRM

1. ID พนักงาน – คือตัวระบุตัวตนในระบบของพนักงานแต่ละคน ซึ่งค่าของตัวแปรในช่องของข้อมูล จะปรากฏทั่วทั้งระบบ ด้านล่าง : ภาพหน้าจอการสร้างข้อมูลพนักงานใหม่ของ AGHRM

Login Name คือ ส่วนที่เราใช้เป็นฐานในการระบุตัวตนพนักงานแต่ละคน การตั้งชื่อ Login Name เป็นแบบข้อความ ซึ่งสามารถใช้ทั้งตัวอักษรภาษาอังกฤษและตัวเลขได้ ข้อจำกัดเพียงอย่างเดียวคือชื่อ Login จะไม่สามารถใช้ซ้ำภายในกลุ่มองค์กรเดียวกัน

ลูกค้ามี 2 ตัวเลือกในการบริหารส่วนของข้อมูล ดังต่อไปนี้ :

1.1 ให้ระบบสร้างเลขประจำตัวพนักงานขึ้นมา
1.2 จัดทำเองแบบ Manual
ตามที่ระบุไว้ใน Q3 ของใบแสดงความจำนง ลูกค้าสามารถเปลี่ยน ID ด้วยค่าใดก็ได้ตราบใดที่ค่านั้นไม่ซ้ำกับตัวแปรเดิมที่มีอยู่ในกลุ่มองค์กร

2. หมายเลขบัตรประจำตัวประชาชน – เป็นส่วนที่เก็บหมายเลขบัตรประจำตัวประชาชนซึ่งจะถูกส่งไปยังหน่วยงานรัฐต่างๆสำหรับการรายงาน ในบริบทของประเทศไทยคือ :

2.1 Provident fund (กองทุนสำรองเลี้ยงชีพ)
2.2 Revenue Department (กรมสรรพากร)

3. กระทรวงสาธารณสุข – พวกเราให้บริการโซลูชั่นแก่บ้านพักคนชราประมาณ 11 แห่งในสิงคโปร์ ซึ่งต้องรายงานข้อมูลพนักงานแก่กระทรวงสาธารณสุขภายใต้ ILTC portal

เรามุ่งมั่นที่จะปรับปรุงระบบของเราให้สอดคล้องและรองรับการดำเนินงานขององค์กรภาครัฐที่รับผิดชอบด้านการพัฒนาและกำกับดูแลสื่อสารสนเทศต่างๆ ภายในประเทศสิงคโปร์ (IMDA) ให้เสร็จสิ้นภายในไตรมาสที่ 4 ปีพ.ศ. 2561 โดยมีการเปลี่ยนแปลงดังนี้

1. ส่วนของหมายเลขบัตรประชาชนจะต้องถูกเข้ารหัส encrypt
2. เนื่องจากหมายเลขประจำตัวพนักงานสามารถป้อนได้แบบ manual พวกเราจึงวางแผนจะให้บริการแบบ mass upload เพื่อให้ลูกค้าที่ใช้หมายเลข NRIC เป็นหมายเลขประจำตัวพนักงานสามารถเปลี่ยนแปลงได้ตามความเหมาะสม