ทราบหรือไม่ว่า? กิจกรรมด้าน Human Resource (HR) มีความสุ่มเสี่ยงต่อการละเมิดข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA ที่จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ และสิ่งที่มีแนวโน้มจะทำให้เกิดความยุ่งยาก หรือความเสียหายต่อธุรกิจนั่นก็คือ ‘ข้อมูลบุคคลพนักงาน’ ตลอดจนข้อมูลใน เรซูเม่ (Resume) ซีวี (CV) คลิปวิดีโอแนะนำตัวของผู้สมัครงานที่บริษัทเก็บไว้
ที่ผ่านมา การกรอกข้อมูลเพื่อสมัครเข้าทำงานหรือเพื่อประกอบการพิจารณาในการรับเป็นพนักงานในตำแหน่งต่างๆ มักจะมีสิ่งที่นอกเหนือจากข้อมูลการศึกษา ทักษะวิชาชีพ และประสบการณ์ในการทำงาน ตัวอย่างที่เห็นได้บ่อยครั้ง อาทิ การให้กรอก ‘Sensitive personal data’ หรือ ข้อมูลส่วนที่ละเอียดอ่อน ซึ่งไม่ได้มีผลต่อการทำงาน เช่น ข้อมูลครอบครัว ชื่อพ่อแม่ ญาติพี่น้อง ภรรยา บุคคลอ้างอิง ชื่อโรงเรียนตอนประถม มัธยม กิจกรรมพิเศษ ความสนใจ ทัศนคติการทำงาน ศาสนา หรือแม้ ทัศนคติทางการเมือง และอีกมากมายที่ HR เองก็อาจไม่ทราบว่าจะนำไปใช้ประโยชน์อะไรได้บ้าง
กระนั้น คงไม่จำเป็นต้องถามในบรรทัดนี้ว่า ‘เก็บไปทำไม?’ หากจะบอกว่า ข้อมูลที่รวบรวม หรือให้ผู้สมัครงานกรอกลงไปในใบสมัครงานตามที่ระบุในข้างต้น ไม่เพียงแต่สามารถระบุตัวตนบุคคลนั้นๆ แต่ข้อมูลอ่อนไหวบางอย่างอาจนำไปสู่การ ‘เลือกปฏิบัติ’ หรือที่ร้ายแรงกว่านั้น
* ที่สำคัญ หากข้อมูลดังกล่าวเกิดการรั่วไหล หรือมีการนำไปใช้ผิดวัตถุประสงค์ บริษัทก็อาจจะโดนฟ้องร้องเรียกค่าเสียหาย รวมถึงมีโทษทั้งจำคุกและปรับสูงสุดถึง 5 ล้านบาท!
ด้วยเหตุนี้ ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ กฎหมาย PDPA ที่มีวัตถุประสงค์เพื่อปกป้องสิทธิของบุคคล โดยไม่ให้องค์กรหรือบริษัท ต่าง ๆ นำเอาข้อมูลส่วนนี้ไปใช้ในกิจกรรมอื่นโดยที่เจ้าของข้อมูล ‘ไม่ยินยอม’ ตลอดจนการเยียวยาหากเกิดเหตุละเมิดซึ่งมีโทษทั้งเพ่ง อาญา และโทษทางปกครอง
หากบุคคลนั้นได้รับการพิจารณาก็อาจจะขอให้ระบุประวัติเพิ่มเติมได้ในอนาคต ตามแต่กรณีที่มีความจำเป็นต้องใช้ อาทิ หมายเลขบัตรประจำตัวประชาชนสำหรับการยื่นภาษีและประกันสังคม สวัสดิการ, หมายเลขบัญชีธนาคารเพื่อจ่ายค่าจ้าง, ลายนิ้วมือสำหรับการลงบันทึกการเข้าออกบริษัท แบบประเมินความสามารถในการทำงาน หรือแม้แต่การขอความยินยอมในการเข้าถึงข้อมูลอ่อนไหว เช่น ประวัติอาชญากรรม สำหรับบางอาชีพ เป็นต้น
คำแนะนำ *
เก็บเฉพาะที่จำเป็นต้องใช้ ! และบริษัทไม่ควรใช้มาตรฐานเดียวกันหมด ในการเก็บข้อมูลพนักงานทั้งบริษัทแต่ควรมีการจัดการเก็บข้อมูลบุคคลให้เหมาะสมตามบทบาทหน้าที่ของงานในตำแหน่งนั้นๆ หรือต้องกำหนดระดับ(Level)ในการจัดเก็บข้อมูลบุคคล รวมทั้งกำหนดวัตถุประสงค์ และระยะเวลาการจัดเก็บที่ชัดเจน
ส่วนเอกสารของ ‘ผู้ที่ไม่ได้รับการคัดเลือก’ หรือบุคคลที่ไม่ได้มีส่วนเกี่ยวข้องกับบริษัทแล้ว ทั้งกรณีลาออกและเชิญให้ออก ก็ต้องมีการจัดเก็บที่ปลอดภัย ป้องกันไม่ให้บุคคลที่ไม่มีส่วนเกี่ยวข้องเข้าถึงข้อมูลนั้นได้ และกำหนดระยะเวลาในการจัดเก็บที่เหมาะสม
อย่างไรก็ตาม หากมองโดยภาพรวม กิจกรรมและรูปแบบธุรกิจของแต่ละบริษัทมีความแตกต่างกัน หากเป็นบริษัททั่วๆไป การเก็บข้อมูลพนักงานจึงควรจัดเก็บเท่าที่จำเป็นต้องใช้ เพราะตามกฎหมายยังระบุถึงมาตรการในการจัดเก็บและรักษาข้อมูลขององค์กร ตลอดจนเจ้าของข้อมูลสามารถเข้าถึงข้อมูลบุคคล สามารถแก้ไข หรือแม้แต่ขอให้ทำลายข้อมูลนั้นได้ตลอดเวลา
ดังนั้น การจัดเก็บข้อมูลส่วนบุคคลไม่เพียง ‘สุ่มเสี่ยง’ ยังอาจจะก่อให้เกิด ‘ต้นทุนการจัดการ’ อาจต้องจ้างบุคลากรมาจัดการส่วนนี้ ไม่ว่าจะเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หรือการลงทุนด้านอุปกรณ์และเทคโนโลยีเพิ่มเติมอีกด้วย เพราะหาก HR หรือบริษัทไม่มีมาตรการในการจัดเก็บที่รัดกุม อาจมีความสุ่มเสี่ยงที่จะเกิดการรั่วไหลของข้อมูลบุคคล และก่อให้เกิดความยุ่งยากอีกมากในอนาคต ซึ่งกฎหมาย PDPA กำหนดโทษทั้งทางแพ่ง อาญา และยังมีโทษทางปกครองร่วมด้วย
ข้อมูลอ่อนไหว จัดเก็บข้อมูลพนักงงานได้แต่ควรมีมาตรการที่รัดกุม
อีกประเด็นที่สำคัญมาก คือ ธุรกิจที่มีการเก็บ ข้อมูลประเภทอ่อนไหว (Sensitive Data) อาทิ ความเห็นทางการเมือง มุมมองด้านศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (ใบหน้า, ลายนิ้วมือ) ฯลฯ โดยการจัดเก็บจะต้องแจ้งให้ทราบ และ ‘ขอความยินยอม’ จากพนักงานทุกครั้ง เนื่องจากข้อมูลเหล่านี้มีความละเอียดอ่อนสูง อาจนำไปสู่การเลือกปฏิบัติ การสร้างความขัดแย้ง แตกแยก เกลียดชังอ าจทำให้เกิดความเสื่อมเสียชื่อเสียง หรือความไม่ปลอดภัยในชีวิตและทรัพย์สิน
แม้กฎหมาย PDPA ระบุว่าสามารถรวบรวมได้ แต่ต้องมีการแจ้งให้เจ้าตัวทราบ รวมทั้งมีการขอความยินยอม ทั้งยังต้องมีมาตรการในการรักษาข้อมูลที่ปลอดภัยพิเศษ กำหนดวัตถุประสงค์ในการจัดเก็บ และมีระยะเวลาในการจัดเก็บอย่างชัดเจน
ด้วยเหตุที่หยิบยกมาเหล่านี้ พอสรุปได้ว่า ใบสมัครงาน และกิจกรรมของ HR ยุคใหม่ ไม่มีความจำเป็นจะต้องขอข้อมูลส่วนบุคคลทั้งหมดของผู้สมัคร และของพนักงาน แต่จะต้องมีการจัดเก็บเก็บข้อมูลส่วนบุคคลอย่างเหมาะสมตามบทบาทหน้าที่ ซึ่งไม่เพียงแค่ข้อมูลที่เป็นกระดาษ กฎหมาย PDPA ยังระบุถึงข้อมูลที่เป็นไฟล์เอกสารในคอมพิวเตอร์ และระบบคลาวด์ ไม่ว่าจะเป็นผู้สมัครงาน พนักงานในองค์กร รวมไปถึงพนักงานเก่าที่ลาออกหรือโดนเชิญออกไปแล้วก็ตาม
รวมทั้งมีมาตรการในการจัดเก็บที่ปลอดภัย ทั้งจากบุคคลภายในที่ไม่มีส่วนเกี่ยวข้อง และบุคคลภายนอกที่อาจจะแอบมาเจาะข้อมูลพนักงานและนำไปใช้ผิดวัตถุประสงค์
ด้วยเหตุนี้ HR หรือบริษัท จะมีมีการพิจารณาในการขอข้อมูลบุคคลอย่างรอบคอบ และเหมาะสมตามบทบาทหน้าที่ และถึงตรงนี้ หลายๆ ท่านอาจจะมีคำถามว่า “หากพนักงาน หรือผู้สมัครงาน ไม่ยินยอมให้เก็บและใช้ข้อมูลจะทำอย่างไร”
ง่ายมาก ! HR ของแต่ละบริษัทจะมีการจัดทำหนังสือสัญญาข้อตกลงและให้ความยินยอมให้เก็บและใช้ข้อมูลเพื่อประโยชน์ของธุรกิจอย่างชัดเจน เป็นลายลักษณ์อักษร นอกเสียจากว่า ผู้สมัครงาน หรือพนักงานคนนั้นไม่ประสงค์จะ ‘ปฏิบัติตามกฎขององค์กร’ ถึงเวลานั้นก็ขึ้นอยู่กับดุลพินิจของ HR หรือเจ้าของบริษัทว่าจะให้บุคคลนั้นไปต่อหรือพอกันแค่นี้!
