หลักการประมวลผล “ประวัติอาชญากรรม” ถูกหลัก ปลอดภัย ไม่ละเมิด PDPA
‘ประวัติอาชญากรรม’ เป็นข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) ซึ่งกฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ระบุว่า ‘ห้าม’ ไม่ให้เก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหวที่อาจจะส่งผลกระทบต่อร่างกายและจิตใจของบุคคลนั้นโดยไม่ได้รับ ‘ความยินยอม’ โดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล และต้องกระทำภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย หรือได้จัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด
ซึ่งผู้เกี่ยวข้องหลักสำหรับการนำข้อมูลเกี่ยวกับประวัติอาชญากรรมไปใช้ในการประมวลผลข้อมูล จะเป็นบุคลากรฝ่ายทรัพยากรบุคคล (HR) ในกิจกรรม อาทิ การพิจารณารับบุคลากรเข้าทำงานตำแหน่งที่จำเป็นต้องตรวจสอบ ทำให้องค์กรจำเป็นต้องให้ความสำคัญกับการพัฒนาผู้ที่เกี่ยวข้องให้รู้และดำเนินการได้สอดคล้องกับกฎหมาย PDPA เนื่องจากเป็นความรับผิดชอบโดยตรง ซึ่งเมื่อเกิดเหตุละเมิดหรือเหตุร้องเรียน องค์กรอาจมีส่วนร่วมต้องรับผิดชอบสำหรับความผิดพลาดในการปฏิบัติหน้าที่ด้วย
สาระสำคัญกฎหมายลำดับรองเกี่ยวกับ “ประวัติอาชญากรรม” ที่ต้องรู้
ประกาศ “คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่องหลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม ที่มิได้กระทำการควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย พ.ศ. 2566 ” (บังคับใช้ตั้งแต่วันที่ 7 เมษายน 2567) เป็นกฎหมายลำดับรอง ที่ว่าด้วยเรื่องของการเก็บรวบรวมข้อมูลส่วนบุคคลโดยอาศัยอำนาจตามมาตรา 26 วรรคสาม แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่บัญญัติว่า
“การเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมต้องกระทำภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย หรือได้จัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคล ตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด”
หมายความว่า ถ้าองค์กรไม่ใช่หน่วยงานรัฐที่ทำหน้าที่เก็บรวบรวมข้อมูลประวัติอาชญากรรม องค์กรของคุณก็สามารถเก็บได้เช่นกัน โดยต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลตามเกณฑ์ฯ โดยประกาศดังกล่าวระบุถึงมาตรการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับอาชญากรรมตามที่ สคส. กำหนด ได้แก่ ระยะเวลาการเก็บ ข้อยกเว้นกรณีหากจำเป็นต้องเก็บเกินเวลา และการลบทำลาย/ทำเป็นข้อมูลไม่สามารถรระบุตัวตนได้
นิยามของข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมตาม PDPA
“ข้อมูลส่วนบุคคลที่เกี่ยวกับประวัติอาชญากรรม” ในบริบทนี้ หมายถึง ข้อมูลส่วนบุคคลเกี่ยวกับการสืบสวนสอบสวนการกระทำความผิดอาญา การดำเนินคดีอาญา หรือการรับโทษทางอาญาที่เป็นข้อมูลที่เป็นทางการ หรือรับรองโดยหน่วยงานของรัฐที่มีอำนาจหน้าที่ตามกฎหมาย เกี่ยวกับการดำเนินการดังกล่าว ทั้งนี้ ไม่ว่าการดำเนินการนั้นจะถึงที่สุดแล้วหรือไม่ก็ตาม
หลักเกณฑ์ในการเก็บรวบรวมและเก็บรักษาข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม
จากประกาศฯ การเก็บรวบรวมข้อมูลประวัติอาชญากรรมสามารถทำได้ ภายใต้วัตถุประสงค์ ดังนี้
1. มีกฎหมายเฉพาะกำหนดให้เก็บรวบรวมเพื่อตรวจสอบประวัติอาชญากรรม คุณสมบัติหรือลักษณะต้องห้ามเกี่ยวกับการกระทำความผิดทางอาญา
ตัวอย่างเช่น ตำแหน่งงานที่ทำงานด้านการป้องกันและปราบปรามการฟอกเงินต้องมีการตรวจประวัติอาชญากรรมตามกฎหมายป้องกันและปราบปรามการฟอกเงิน
2. ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล สำหรับกรณีที่เป็นไปตามวัตถุประสงค์เฉพาะ ดังนี้
2.1 การพิจารณารับบุคคลเข้าทำงาน หรือการตรวจสอบคุณสมบัติ ลักษณะต้องห้ามหรือพิจารณาความเหมาะสมของบุคคลที่จะดำรงตำแหน่งใด
การตรวจสอบประวัติอาชญากรรมเพื่อพิจารณาการรับสมัครเข้าทำงาน จะต้องได้รับความยินยอมจากเจ้าของข้อมูลในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูล องค์กรหรือบริษัทจึงจำเป็นต้องมีเอกสารขอความยินยอมในการให้องค์กรหรือบริษัท ตรวจสอบข้อมูลประวัติอาชญากรรม จึงจำเป็นต้องมี “ลายเซ็น” ของเจ้าของข้อมูลเซ็นกำกับ เพื่อให้องค์กรหรือบริษัทดำเนินการได้ตามที่ PDPA บัญญัติไว้
ตัวอย่างเช่น การรับสมัครผู้ที่ดำรงตำแหน่งเจ้าหน้าที่รักษาความปลอดภัย (รปภ.) ต่าง ๆ ไม่ว่าจะเป็นทั้งองค์กรหรือบริษัท จัดตั้งด้วยตัวเอง ซึ่งรวมไปถึงการใช้บริการ Outsource จากองค์กรหรือบริษัทที่ให้บริการด้านรักษาความปลอดภัย จึงจำเป็นต้องใช้ข้อมูลส่วนตัวเกี่ยวกับประวัติอาชญากรรมเพื่อการพิจารณารับเข้าทำงานหรือใช้บริการได้ด้วย
2.2 การตรวจสอบคุณสมบัติหรือลักษณะต้องห้ามของบุคคลในการออกใบอนุญาตต่าง ๆ ซึ่งดำเนินการโดยหน่วยงานของรัฐ หรือผู้ควบคุมข้อมูลส่วนบุคคลที่ได้รับมอบหมายให้ปฏิบัติหน้าที่ในการใช้อำนาจแทนหน่วยงานของรัฐ
ตัวอย่างเช่น การออกใบอนุญาตขับขี่ประเภท 2 ให้กับบุคคลขับรถรับจ้างทั้งประจำทางและไม่ประจำทาง เพื่อการพิจารณาในการออกใบอนุญาตของกรมขนส่งทางบก
2.3 การตรวจสอบคุณสมบัติหรือลักษณะต้องห้ามของบุคคลในการอนุญาตต่าง ๆ โดยผู้ควบคุมข้อมูลส่วนบุคคลอื่น ที่นอกเหนือจากข้อ (2.2)
โดยภายใต้วัตถุประสงค์ตามข้างต้นนี้ต้องได้รับความยินยอมโดยชัดแจ้ง หรือมีฐานทางกฎหมายรองรับให้สามารถเก็บรวบรวมได้ ซึ่งต้องแจ้งผลกระทบระหว่างการให้ – ไม่ให้ความยินยอม ในขั้นตอนการขอความยินยอม และแจ้งให้ทราบว่าจะมีการตรวจประวัติอาชญากรรมตั้งแต่ขั้นตอนแรก เช่น ขั้นตอนการประกาศรับสมัคร การสรรหา การรับเลือก
หลักเกณฑ์ในการเก็บรักษาข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม
จากประกาศฯ เมื่อประมวลผลหรือใช้ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมเสร็จแล้ว ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) สามารถเก็บข้อมูลนั้นต่อไปได้อีก “ไม่เกิน 6 เดือน” หากเกินระยะเวลาดังกล่าว ผู้ควบคุมข้อมูลส่วนบุคคล ต้องลบ ทำลาย หรือทำให้ข้อมูลไม่สามารถระบุถึงเจ้าของข้อมูลส่วนบุคคลได้
