‘ข้อมูลประวัติอาชญากรรม’ ดำเนินการไม่ถูกต้อง ‘นายจ้างอาจติดคุก’ เพราะแม้การตรวจสอบประวัติอาชญากรรมนับเป็นหนึ่งในขั้นตอนการ ‘คัดกรอง’ ก่อนการจ้างงาน ทั้งบางธุรกิจหรือสถานประกอบการยังกำหนดเป็นมาตรฐานการควบคุมที่สำคัญและเป็นชอบด้วยกฎหมาย เนื่องจากเป็นเหตุผลด้านความปลอดภัยของการให้บริการที่จำเป็นต้องมีมาตรการขั้นสูงในการคัดกรอง เช่น พนักงานรักษาความปลอดภัย พนักงานด้านการเงิน พนักงานที่ดูแลระบบสารสนเทศ แม่บ้าน ช่างซ่อมบำรุงในอาคาร พนักงานขับรถขนเงิน พนักงานขับรถสาธารณะ หรือพนักงานขับรถส่งอาหาร ฯลฯ
แม้กฎหมายจะอนุญาตให้บางธุรกิจหรือบางสถานประกอบการมีสิทธิตรวจสอบข้อมูลประวัติอาชญากรรม หรือขอเอกสารการตรวจสอบข้อมูลประวัติอาชญากรรมของผู้สมัครงานได้ แต่ไม่ได้อนุญาตให้ดำเนินการตรวจสอบประวัติใครก็ได้โดยส่วนตัว เพราะอาจจะก่อให้เกิดการละเมิดสิทธิของบุคคลนั้น หรือทำให้เกิดความเกลียดชัง เสียชื่อเสียง ถูกเลือกปฏิบัติ
ด้วยเหตุนี้ การที่นายจ้างจะตรวจสอบข้อมูลประวัติอาชญากรรมของผู้สมัครจะต้องดำเนินการโดยการควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย โดยในปัจจุบันเป็นบริการของกองทะเบียนประวัติอาชญากร สำนักงานตำรวจแห่งชาติ ซึ่งมีบริการประชาชนทั้งรูปแบบออฟไลน์และออนไลน์ โดยมี 2 วิธี คือ การตรวจสอบด้วยลายพิมพ์นิ้วมือ และการตรวจสอบด้วยชื่อและสกุล ซึ่งนายจ้างจะต้องมีเอกสารสำคัญที่ใช้ในการตรวจสอบ นั่นคือ เอกสารความยินยอมของเจ้าของข้อมูลส่วนบุคคล
นายจ้างรู้ไว้! ขอเอกสารตรวจสอบประวัติอาชญากรรมอย่างไร ไม่ผิดกฎหมาย PDPA
โดยหลักการ ‘ประวัติอาชญากรรม’ เป็นข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) ซึ่งกฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ระบุว่า ‘ห้าม’ ไม่ให้เก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหวที่อาจจะส่งผลกระทบต่อร่างกายและจิตใจของบุคคลนั้นโดยไม่ได้รับ ‘ความยินยอม’ โดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล และต้องกระทำภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย หรือได้จัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด
หมายความว่า หากนายจ้าง ‘จำเป็น’ ต้องขอตรวจสอบประวัติอาชญากรรม หรือขอเอกสารประวัติอาชญากรรมโดยผู้สมัครดำเนินการตรวจสอบด้วยตนเอง จะต้องได้รับความยินยอมจากเจ้าของขอมูลในการเก็บรวบรวม ใช้ หรือเปิดเผย หรือมีเอกสารความยินยอมในการให้องค์กรตรวจสอบข้อมูลประวัติอาชญากรรม ซึ่งอาจเป็นสำเนาดังนั้นจึงต้องมี ‘ลายเซ็น’ ของเจ้าของข้อมูลเซ็นกำกับ เพื่อดำเนินการให้เป็นไปตามกฎหมาย PDPA บัญญัติไว้
และจะต้องดำเนินการภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย หรือในอนาคต คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอาจจะประกาศกำหนดหลักเกณฑ์ในการจัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลสำหรับกรณีที่องค์กรจำเป็นจะต้องตรวจสอบข้อมูลอาชญากรรมของผู้สมัครงานโดยเฉพาะ
5 สิ่งต้องระวัง! นายจ้างที่เก็บใช้ข้อมูลอาชญากรรม
ตามที่ระบุในข้างต้นว่า ข้อมูลประวัติอาชญากรรม เป็นข้อมูลส่วนบุคคลอ่อนไหว และกฎหมายอนุญาตให้เก็บรวบรวม ใช้ หรือเปิดเผยในกรณีที่จำเป็นเท่านั้น อย่างไรก็ตาม การดำเนินจะต้องมีความระมัดระวัง และควรทำความเข้าใจข้อบังคับของกฎหมาย PDPA ดังนี้
1.แอบตรวจสอบข้อมูลประวัติอาชญากรรมนั้นผิดกฎหมาย : แม้จะอ้างว่าเพื่อความปลอดภัย เพื่อความจำเป็นและเหตุผลร้อยแปดพันประการ แต่อย่างไรเสีย การที่นายจ้าง ‘แอบ’ ตรวจสอบประวัติอาชญากรรมของผู้สมัครงาน หรือใครก็ตามที่เจ้าของข้อมูลไม่ยินยอมจะทำไม่ได้ ซึ่งปัจจุบันมีการตรวจสอบแบบออนไลน์โดยใช้ชื่อ-นามสกุล และข้อมูลส่วนตัว หรืออาจจะให้ ‘คนรู้จัก’ ที่สามารถทำเรื่องดังกล่าวได้แอบตรวจสอบให้ สิ่งเหล่านี้เท่ากับเป็นการฝ่าฝืนกฎหมาย PDPA อย่างจัดเจน ดังนั้นจึงควรดำเนินการตามขั้นตอนและโดยเจ้าหน้าที่มีหน้าที่ตามกฎหมายเท่านั้น
2.ต้องให้สิทธิของเจ้าของข้อมูลบุคคลตามกฎหมาย : นายจ้างที่เก็บ ใช้หรือเปิดเผยข้อมูลประวัติอาชญากรรม ซึ่งเป็นข้อมูลส่วนบุคคลอ่อนไหวจะต้องทราบถึงสิทธิ และการรับคำร้องของเข้าของข้อมูล ทั้ง 8 ลักษณะ คือ 1.สิทธิ์การแจ้งให้ทราบ 2.สิทธิในการเพิกถอนการไม่ยินยอม 3.สิทธิของเข้าถึงและขอรับสำเนาข้อมูล 4.สิทธิการขอให้โอนข้อมูล 5. สิทธิคัดค้านในการรวบรวมใช้ หรือเปิดเผย 6.สิทธิขอให้ลบหรือทำลาย 7.สิทธิในการระงับใช้ชั่วคราว หรือเพื่อแก้ไขข้อมูลให้ถูกต้อง และ 8.สิทธิในการข้อให้แก้ไขข้อมูล ซึ่งข้อควรระวังคือ จะต้องให้ความสำคัญกับคำร้องขอใช้สิทธิของเจ้าของข้อมูลอย่างเคร่งครัด หากไม่อยากมีความยุ่งยากกับเหตุการณ์ฟ้องร้องในภายหลัง หรืออาจต้องจ่ายค่าปรับหลักล้านบาทในกรณีฝ่าฝืนกฎหมาย ซ้ำร้ายอาจมีสิทธิติดคุก
3.เก็บข้อมูลอาชญากรรมากเกินไปเป็นภัยแฝง : ข้อมูลประวัติอาชญากรรมมีความเสี่ยงต่อการละเมิดในหลายประเด็น และอาจส่งผลร้ายทั้งเจ้าของข้อมูล และบริษัทที่จัดเก็บข้อมูลซึ่งมีสถานะเป็นผู้ควบคุมข้อมูล (Data Controller) ดังนั้นจึงต้องมีการจัดเก็บตามความจำเป็น และใช้อย่างเหมาะสม ทั้งควรมีการอัปเดตข้อมูล หรือการทำให้ข้อมูลส่วนบุคลเป็นนิรนาม เพื่อให้ไม่สามารถจะยืนยันตัวบุคคลได้อีกต่อไป และจะต้องมีการกำหนดระยะเวลาในการจัดเก็บ เพื่อทำลายข้อมูลที่ไม่จำเป็น หรือเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลนั้นไปบ้างเพื่อการป้องกันความเสี่ยงหากเกิดกรณีรั่วไหลนำไปสู่การละเมิด
4.อัปเดตความปลอดภัยของข้อมูลอย่างสม่ำเสมอ : หน้าที่ของบริษัทที่มีการเก็บข้อมูลประวัติอาชญากรรมตามข้อบังคับของกฎหมาย PDPA คือ ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมถึงต้องมีการอัปเดตด้านเทคโนโลยีที่จำเป็นในการจัดเก็บข้อมูลอยู่เสมอ ซึ่งในอนาคตคาดว่าคณะกรรมการคุ้มครองข้อมูลฯอาจจะกำหนดมาตรฐานขั้นต่ำไว้เพื่อเป็นแนวทางสำหรับทุกองค์กร
5. ข้อมูลรั่วไหลให้รีบแจ้ง : ข้อมูลประวัติอาชญากรรมของบุคคลเป็นสิ่งก่อให้เกิดการละเมิดได้ง่าย และเป็นข้อมูลส่วนบุคคลอ่อนไหวที่กฎหมาย PDPA ให้ความสำคัญ เพราะหากเกิดผลร้ายต่อเจ้าของข้อมูลอย่างมาก และด้วยเหตุนี้ หากภายในบริษัทได้ทราบว่ามีข้อมูลดังกล่าวรั่วไหล จะต้องแจ้งเรื่องแก่คณะกรรมการคุ้มครองข้อมูลฯ ภายในไม่เกิน 72 ชม. หากไม่แจ้งถือว่าฝ่าฝืนกฎหมาย รวมถึงกำหนดมาตรการคร่าวๆ ในการบรรเทาความเสียหายแก่เจ้าของข้อมูลไว้ด้วยก็จะดีมาก
โทษสำหรับนายจ้างที่ฝ่าฝืน PDPA
กฎหมาย PDPA กำหนดโทษไว้ 3 ลักษณะ คือ
1. โทษความผิดทางแพ่ง ที่ต้องชดใช้ค่าเสียหายตามจริง หรือคณะกรรมการคุ้มครองข้อมูลฯ อาจพิจารณาเพิ่มโทษเป็น 2 เท่าจากความเสียงหายจริงที่เกิดขึ้น
2. โทษอาญา คือ ปรับเงิน กับ จำคุก หรืออาจจะโดนทั้งคู่ และ
3. โทษทางปกครอง ซึ่งเป็นการปรับเงินตามความรุนแรงของความผิดที่ได้ทำหรือไม่ทำที่เป็นการฝ่าฝืนกฎหมาย ปรับตั้งแต่ 1-5 ล้านบาท
ทั้งนี้ สำหรับธุรกิจที่มีความจำเป็นต้องมีการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลประวัติอาชญากรรม ยังมีอีกหลายประเด็นสำคัญที่จะต้องพิจารณาและปรับการดำเนินการให้สอดคล้องตามข้อบังคับของกฎหมาย PDPA จึงควรศึกษารายละเอียดของกฎหมายหรือมีผู้เชี่ยวชาญคอยให้คำแนะนำเพื่อให้สามารถดำเนินธุรกิจได้อย่างราบรื่น
