แนวทางการจัดการข้อมูลส่วนบุคคลและข้อมูลสำคัญ
แผนก
ทรัพยากรบุคคล
สารบัญ
วัตถุประสงค์
แนวทางนี้กำหนดวิธีที่พนักงานของ Kiluth ต้องปฏิบัติในการจัดการเอกสารที่มีข้อมูลส่วนบุคคลหรือข้อมูลสำคัญ (เช่น สลิปเงินเดือน สัญญา เอกสารยืนยันตัวตน บันทึกทางการเงิน) เมื่อใช้งานแพลตฟอร์มที่ใช้ร่วมกัน
วัตถุประสงค์คือเพื่อปกป้องความเป็นส่วนตัวของพนักงาน รักษาความปลอดภัยของข้อมูล และปฏิบัติตามมาตรฐานการคุ้มครองข้อมูล (เช่น PDPA, GDPR)
ขอบเขต
นโยบายนี้ใช้กับพนักงาน ผู้รับจ้าง และนักศึกษาฝึกงานทุกคนของ Kiluth ที่เข้าถึงหรือจัดการไฟล์สำคัญในระหว่างการใช้งาน:
เครื่องมือ 1 เครื่องมือจัดการงาน/โครงการ (เช่น Asana, Trello, Notion, ClickUp) 2 แพลตฟอร์มจัดเก็บข้อมูลบนคลาวด์ (เช่น Google Drive, SharePoint, OneDrive, Dropbox Business, Box)
คำจำกัดความ
หัวข้อ คำอธิบาย ข้อมูลสำคัญ (Sensitive Information) เอกสารที่มีข้อมูลระบุตัวบุคคล เช่น ชื่อ ที่อยู่ เงินเดือน หมายเลขบัตรประชาชน/หนังสือเดินทาง หรือข้อมูลทางการเงิน แพลตฟอร์มจัดเก็บข้อมูลที่ปลอดภัย (Secure Storage Platform) ระบบคลาวด์หรือระบบจัดเก็บภายในที่ได้รับอนุญาต ซึ่งมีการควบคุมสิทธิ์การเข้าถึง ระบบบันทึกประวัติการแก้ไข และบันทึกการเข้าถึง พื้นที่ทำงานร่วมกัน (Shared Workspace) แพลตฟอร์มที่พนักงานหลายคนสามารถเข้าถึงงานหรือโครงการได้ (เช่น Asana, Notion) พื้นที่ทำงานส่วนตัว (Private Workspace) ที่จัดเก็บหรือโฟลเดอร์ที่จำกัดการเข้าถึงสำหรับพนักงานหรือแผนกที่ได้รับอนุญาตเท่านั้น
แนวทางปฏิบัติ
การอัปโหลดเอกสารที่มีข้อมูลสำคัญ
การอัปโหลดเอกสารที่มีข้อมูลสำคัญ ✓ ถูกต้อง อัปโหลดไฟล์ที่มีข้อมูลสำคัญ (เช่น สลิปเงินเดือน สัญญา สำเนาบัตรประชาชน) เฉพาะในแพลตฟอร์มจัดเก็บข้อมูลที่ปลอดภัย เช่น Google Drive, OneDrive, SharePoint, Dropbox Business หรือ Box ✓ ถูกต้อง สามารถเก็บไฟล์ในโฟลเดอร์ที่คุณดูแลได้ ตราบใดที่จำกัดสิทธิ์การเข้าถึงเฉพาะผู้ที่จำเป็นต้องใช้เท่านั้น ✕ ไม่ถูกต้อง ห้ามอัปโหลดไฟล์ที่มีข้อมูลสำคัญโดยตรงไปยัง Asana, Notion, Trello หรือเครื่องมือจัดการโครงการอื่น ๆ
การแชร์ลิงก์ในเครื่องมือจัดการโครงการ
การแชร์ลิงก์ในเครื่องมือจัดการโครงการ 1 เก็บไฟล์ในโฟลเดอร์ที่ปลอดภัยพร้อมการควบคุมสิทธิ์การเข้าถึงที่เหมาะสม 2 สร้างลิงก์แชร์ที่อนุญาตเฉพาะบุคคลที่ได้รับอนุญาต (เช่น ผู้จัดการโครงการ ฝ่ายบุคคล ฝ่ายการเงิน หรือผู้เกี่ยวข้อง) 3 วางลิงก์ในการ์ดหรืองานใน Asana แทนการอัปโหลดไฟล์โดยตรง 4 เพิ่มบันทึกเช่น “ไฟล์ที่มีข้อมูลสำคัญถูกเก็บในพื้นที่ปลอดภัย จำกัดการเข้าถึงเฉพาะผู้ได้รับอนุญาตเท่านั้น”
การควบคุมสิทธิ์การเข้าถึง (Access Control)
การควบคุมสิทธิ์การเข้าถึง (Access Control) 1 ปฏิบัติตามหลักการ “จำกัดสิทธิ์เท่าที่จำเป็น” (เฉพาะ HR/Finance หรือผู้จัดการที่จำเป็นเท่านั้นที่ควรเข้าถึงได้) 2 หลีกเลี่ยงการใช้ “Anyone with the link can view” ควรใช้: • เฉพาะบุคคลที่กำหนดเท่านั้น • บุคคลในโดเมน Kiluth ที่มีลิงก์ (หากต้องการให้เข้าถึงได้กว้างขึ้นแต่ยังอยู่ภายใต้การควบคุม) 3 ตรวจสอบสิทธิ์การเข้าถึงเป็นประจำ และลบสิทธิ์ที่ไม่จำเป็น
ไฟล์ชั่วคราว (Temporary Files)
ไฟล์ชั่วคราว (Temporary Files) 1 หากจำเป็นต้องอัปโหลดไฟล์ที่มีข้อมูลสำคัญชั่วคราวเพื่อใช้ในกระบวนการทำงาน: • ใช้สิทธิ์เข้าถึงแบบจำกัดเท่านั้น • ลบไฟล์ทันทีหลังใช้งานเสร็จ • ยืนยันการลบและบันทึกไว้ในหมายเหตุของงาน
ความรับผิดชอบของพนักงาน
ความรับผิดชอบของพนักงาน 1 ตรวจสอบทุกครั้งก่อนแชร์ว่า “ไฟล์นี้มีข้อมูลส่วนบุคคลหรือไม่?“ 2 หากมี → ให้ใช้แพลตฟอร์มจัดเก็บข้อมูลที่ปลอดภัย และแชร์ลิงก์ที่ควบคุมได้ แทนการอัปโหลดตรง 3 หากอัปโหลดผิดพลาด → ให้ลบทันทีและแจ้งฝ่าย HR
การบังคับใช้
การบังคับใช้ 1 การละเมิดแนวทางนี้อาจถูกดำเนินการทางวินัยตามความรุนแรงของกรณี 2 ฝ่าย HR และ IT จะตรวจสอบโฟลเดอร์และเครื่องมือจัดการโครงการเป็นระยะ เพื่อให้แน่ใจว่ามีการปฏิบัติตาม
ตัวอย่างสถานการณ์
ตัวอย่างสถานการณ์ ✕ ไม่ถูกต้อง อัปโหลด “Pay slip – คุณสมชาย.pdf” ลงในการ์ด Asana โดยตรง ✓ ถูกต้อง อัปโหลดไฟล์ไปยังโฟลเดอร์ Google Drive ส่วนตัวของคุณ (ที่จำกัดการเข้าถึง) แล้ววางลิงก์ใน Asana ✕ ไม่ถูกต้อง แชร์ลิงก์ไฟล์สำคัญโดยตั้งค่า “Anyone with the link” ✓ ถูกต้อง แชร์ลิงก์เฉพาะกับผู้ใช้ที่ได้รับอนุญาตเท่านั้น