2. มีฐานทางกฎหมายอื่นซึ่งได้รับการยกเว้นไม่ต้องขอความยินยอมตามมาตรา 26
กรณีที่ไม่มีกฎหมายอื่นกำหนดให้เก็บ แต่มี “ฐานทางกฎหมายตามที่ PDPA กำหนด” ให้เก็บได้มากกว่า 6 เดือน
ตัวอย่างเช่น – องค์กรจำเป็นจะต้องเก็บประวัติอาชญากรรมของพนักงานไว้ เนื่องจากมีการฟ้องร้องคดีซึ่งประวัติอาชญากรรมเป็นหลักฐานในการต่อสู้คดี องค์กรสามารถใช้ฐานตามมาตราา 26 (อนุมาตรา 4) จึงเก็บประวัติอาชญากรรมได้มากกว่า 6 เดือน
โดยหลักการ ‘ประวัติอาชญากรรม’ เป็นข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) ซึ่ง PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ระบุว่า ‘ห้าม’ ไม่ให้เก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหวที่อาจจะส่งผลกระทบต่อร่างกายและจิตใจของบุคคลนั้นโดยไม่ได้รับ ‘ความยินยอม’ โดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล หรือไม่มีฐานทางกฎหมายอื่นรองรับ
ตามที่ระบุในข้างต้นว่า ข้อมูลประวัติอาชญากรรม เป็นข้อมูลส่วนบุคคลอ่อนไหว และกฎหมายอนุญาตให้ประมวลผลในกรณีที่จำเป็นเท่านั้น อย่างไรก็ตาม นายจ้างจะต้องมีความระมัดระวัง และควรทำความเข้าใจข้อบังคับของกฎหมาย PDPA ดังนี้
1. ประวัติอาชญากรรมคืออะไร: ประวัติอาชญากรรม หมายความว่า ข้อมูลส่วนบุคคลเกี่ยวกับการสืบสวนสอบสวนการกระทำผิดอาญา การดำเนินคดี หรือการรับโทษทางอาญา ที่เป็นข้อมูลที่เป็นทางการหรือรับรองโดยหน่วยงานของรัฐที่มีอำนาจหน้าที่เกี่ยวกับการดำเนินการดังกล่าว ทั้งนี้ ไม่ว่าการดำเนินการนั้นจะถึงที่สุดหรือไม่ก็ตาม
ดังนั้น หากนายจ้าง ‘จำเป็น’ ต้องขอตรวจสอบประวัติอาชญากรรม จะต้องใช้ความระมัดระวังในการตรวจสอบมากขึ้น เนื่องจากคำนิยามได้กำหนดขอบเขตของประวัติอาชญากรรมให้กว้างกว่าความเข้าใจทั่วไป โดยครอบคลุมขั้นตอนตั้งแต่การสืบสวนสอบสวน จนถึงการรับโทษทางอาญา และไม่จำเป็นว่าจะถึงที่สุดแล้วหรือไม่
2. แอบตรวจสอบข้อมูลประวัติอาชญากรรมนั้นผิดกฎหมาย: แม้จะอ้างว่าเพื่อความปลอดภัย เพื่อความจำเป็นและเหตุผลร้อยแปดพันประการ แต่อย่างไรเสีย การที่นายจ้าง ‘แอบ’ ตรวจสอบประวัติอาชญากรรมของผู้สมัครงานโดยไม่มีฐานทางกฎหมายจะทำไม่ได้ โดยประกาศฉบับนี้กำหนดให้บริษัทพิจารณาว่ามีกฎหมายเฉพาะที่บังคับให้ต้องตรวจประวัติอาชญากรรมตำแหน่งนั้นหรือไม่ เช่น กฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงินกำหนดให้นายจ้างต้องตรวจประวัติอาชญากรรมในบางตำแหน่ง แต่หากไม่มีกฎหมายกำหนดให้ต้องตรวจ นายจ้างจะต้องขอความยินยอมจากผู้สมัครงาน
3. ต้องแจ้งเจ้าของข้อมูลบุคคลตามกฎหมาย: ในกรณีที่ตำแหน่งงานใดต้องมีการตรวจประวัติอาชญากรรม นายจ้างจะต้องแจ้งให้ผู้สมัครงานทราบตั้งแต่ขั้นตอนการสรรหาหรือประกาศรับสมัคร เพื่อให้ผู้สมัครงานได้ทราบและตัดสินใจว่าจะสมัครงานในตำแหน่งนี้หรือไม่
นอกจากนี้ หากตำแหน่งดังกล่าวต้องขอความยินยอมในการตรวจ นายจ้างจะต้องแจ้งผลกระทบของการไม่ให้หรือถอนความยินยอมให้แก่ผู้สมัครงานทราบในตอนที่ขอความยินยอมด้วย
4.เก็บประวัติอาชญากรรมนานเกินไปมีความเสี่ยง: ข้อมูลประวัติอาชญากรรมมีความเสี่ยงต่อการละเมิดในหลายประเด็น และอาจส่งผลร้ายทั้งเจ้าของข้อมูลส่วนบุคคล ดังนั้น ประกาศฉบับนี้จึงกำหนดให้เก็บไว้ได้ไม่เกิน 6 เดือนนับแต่วันที่นายจ้างใช้งานเรียบร้อยแล้ว เว้นแต่มีกฎหมายเฉพาะกำหนดให้เก็บได้นานกว่า หรือมีฐานทางกฎหมายอื่น หรือต้องขอความยินยอมเพื่อเก็บไว้นานกว่าระยะเวลาดังกล่าว
5.รักษาประวัติอาชญากรรมให้ปลอดภัย: นายจ้างต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลประวัติอาชญากรรมที่เหมาะสมกับความเสี่ยงที่มีต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล โดยมีมาตรฐานขั้นต่ำตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่ออกมาตามมาตรา 37 (1)
