ทราบหรือไม่ ? ว่า กิจกรรมด้าน Human Resource (HR) สุ่มเสี่ยงต่อการละเมิดข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA ที่จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ และสิ่งที่มีแนวโน้มจะทำให้เกิดความยุ่งยาก หรือความเสียหายต่อธุรกิจนั่นก็คือ ‘ข้อมูลบุคคลพนักงาน’ ตลอดจนข้อมูลใน เรซูเม่ (Resume)  ซีวี (CV) คลิปวิดีโอแนะนำตัวของผู้สมัครงานที่บริษัทเก็บไว้ 

ที่ผ่านมา การกรอกข้อมูลเพื่อสมัครเข้าทำงานหรือเพื่อประกอบการพิจารณาในการรับเป็นพนักงานในตำแหน่งต่างๆ มักจะมีสิ่งที่นอกเหนือจากข้อมูลการศึกษา ทักษะวิชาชีพ และประสบการณ์ในการทำงาน ตัวอย่างที่เห็นได้บ่อยครั้ง อาทิ การให้กรอกข้อมูลส่วนที่ ‘ละเอียดอ่อน’ จนเกินไป ซึ่งไม่ได้มีผลต่อการทำงาน เช่น ข้อมูลครอบครัว ชื่อพ่อแม่ ญาติพี่น้อง ภรรยา บุคคลอ้างอิง ชื่อโรงเรียนตอนประถม มัธยม กิจกรรมพิเศษ ความสนใจ ทัศนคติการทำงาน ศาสนา หรือแม้ ทัศนคติทางการเมือง และอีกมากมายที่ HR เองก็อาจไม่ทราบว่าจะนำไปใช้ประโยชน์อะไร

กระนั้น คงไม่จำเป็นต้องถามในบรรทัดนี้ว่า ‘เก็บไปทำไม?’ หากจะบอกว่า ข้อมูลที่เก็บ หรือให้ผู้สมัครงานกรอกลงไปในใบสมัครงานตามที่ระบุในข้างต้น ที่ไม่เพียงแต่สามารถระบุตัวตนบุคคลนั้นๆ ยังสามารถระบุตัวตนของอีกหลายๆ คน รวมทั้งข้อมูลอ่อนไหวบางอย่างอาจนำไปสู่การ ‘เลือกปฏิบัติ’ หรือที่ร้ายแรงกว่านั้น

ที่สำคัญ หากข้อมูลดังกล่าวเกิดการรั่วไหล หรือมีการนำไปใช้ผิดวัตถุประสงค์ บริษัทก็อาจจะโดนฟ้องร้องเรียกค่าเสียหาย รวมถึงมีโทษทั้งจำคุกและปรับสูงสุดถึง 5 ล้านบาท!

ด้วยเหตุนี้ ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ กฎหมาย PDPA ที่มีวัตถุประสงค์เพื่อปกป้องสิทธิบุคคลไม่ให้องค์กร บริษัท ต่าง ๆ นำเอาข้อมูลส่วนบุคคลไปใช้ในกิจกรรมอื่นโดยที่เจ้าของข้อมูล ‘ไม่ยินยอม’ ตลอดจนการเยียวยาหากเกิดเหตุละเมิดซึ่งมีโทษทั้งเพ่ง อาญา และโทษทางปกครอง 

 

ใบสมัครงานยุคใหม่ ปลอดภัยจากกฎหมาย PDPA จะต้องทำอย่างไร 

โดยทั่วไป กิจกรรมด้าน Human Resource จะเริ่มเกี่ยวข้องกับข้อมูลบุคคลตั้งแต่ การรับสมัครและคัดเลือกพนักงาน ส่วนนี้จะมีการเก็บข้อมูลบุคคล อาทิ ประวัติย่อในรูปแบบต่างๆ หรือคลิปวิดีโอแนะนำตัว ด้วยเหตุนี้ คำแนะนำสำหรับ HR และบริษัท คือ ‘เก็บเท่าที่จำเป็นต้องใช้’ เช่น รูปถ่ายปัจจุบัน วุฒิการศึกษา ทักษะทางอาชีพ ประวัติการทำงาน และช่องทางติดต่อ 

หากบุคคลนั้นได้รับการพิจารณาก็อาจจะขอให้ระบุประวัติเพิ่มเติมได้ในอนาคต ตามแต่กรณีที่มีความจำเป็นต้องใช้ อาทิ หมายเลขบัตรประจำตัวประชาชนสำหรับการยื่นภาษีและประกันสังคม สวัสดิการ, หมายเลขบัญชีธนาคารเพื่อจ่ายค่าจ้าง, ลายนิ้วมือสำหรับการลงบันทึกการเข้าออกบริษัท การทำแบบประเมินความสามารถในการทำงาน หรือแม้แต่การขอความยินยอมในการเข้าถึงข้อมูลอ่อนไหว เช่น ประวัติอาชญากรรม สำหรับบางอาชีพ เป็นต้น 

คำแนะนำ คือ เก็บเฉพาะที่ต้องใช้ และไม่ควรใช้มาตรฐานเดียวกับสำหรับการเก็บข้อมูลพนักงาน แต่ควรมีการจัดการเก็บข้อมูลบุคคลให้เหมาะสมตามบทบาทหน้าที่ของงานในตำแหน่งนั้นๆ หรือการกำหนดระดับ(Level)ในการจัดเก็บข้อมูลบุคคล รวมทั้งกำหนดวัตถุประสงค์ และระยะเวลาการจัดเก็บที่ชัดเจน   

ส่วนเอกสารของ ‘ผู้ที่ไม่ได้รับการคัดเลือก’ หรือบุคคลที่ไม่ได้มีส่วนเกี่ยวข้องกับบริษัทแล้ว ทั้งกรณีลาออกและเชิญให้ออก ก็ควรมีการจัดเก็บที่ปลอดภัย ป้องกันไม่ให้บุคคลที่ไม่มีส่วนเกี่ยวข้องเข้าถึงข้อมูลนั้นได้ และกำหนดระยะเวลาในการจัดเก็บที่เหมาะสม 

อย่างไรก็ตาม หากมองโดยภาพรวม กิจกรรมและรูปแบบธุรกิจของแต่ละบริษัทมีความแตกต่างกัน หากเป็นบริษัททั่วๆไป การเก็บข้อมูลพนักงานจึงควรจัดเก็บเท่าที่ใช้ เพราะตามกฎหมายยังระบุถึงมาตรการในการจัดเก็บและรักษาข้อมูลขององค์กร ตลอดจนเจ้าของข้อมูลสามารถเข้าถึงข้อมูลบุคคล ขอให้แก้ไข หรือแม้แต่ขอให้ทำลายข้อมูลนั้นได้ตลอดเวลา 

ดังนั้น การจัดเก็บข้อมูลที่ไม่เพียง ‘สุ่มเสี่ยง’ ยังอาจจะก่อให้เกิด ‘ต้นทุนการจัดการ’ อาจต้องจ้างบุคลากรมาจัดการส่วนนี้ หรือการลงทุนด้านอุปกรณ์และเทคโนโลยีเพิ่มเติมอีกด้วย เพราะหาก HR หรือบริษัทไม่มีมาตรการในการจัดเก็บ การเข้าถึงข้อมูลที่ดีพอก็สุ่มเสี่ยงที่จะเกิดการรั่วไหลของข้อมูลบุคคล และก่อให้เกิดความยุ่งยากอีกมากในอนาคต ซึ่งกฎหมาย PDPA กำหนดโทษทั้งทางแพ่ง อาญา และยังมีโทษทางปกครองร่วมด้วย

 

ข้อมูลอ่อนไหว จัดเก็บข้อมูลพนักงงานได้แต่ควรมีมาตรการที่รัดกุม 

อีกประเด็นที่สำคัญมาก คือ ธุรกิจที่มีการเก็บ ข้อมูลประเภทอ่อนไหว (Sensitive Data)  อาทิ ความเห็นทางการเมือง มุมมองด้านศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (ใบหน้า, ลายนิ้วมือ) ฯลฯ โดยการจัดเก็บจะต้องแจ้งให้ทราบ และ ‘ขอความยินยอม’ จากพนักงานทุกครั้ง เนื่องจากข้อมูลเหล่านี้มีความละเอียดอ่อนสูง อาจนำไปสู่การเลือกปฏิบัติ การสร้างความขัดแย้ง เกลียดชัง ทำให้เกิดความเสื่อมเสียชื่อเสียง หรือความไม่ปลอดภัยในชีวิตและทรัพย์สิน  

เพราะแม้กฎหมาย PDPA ระบุว่าสามารถเก็บได้ แต่ต้องมีการแจ้งให้เจ้าตัวทราบ รวมทั้งมีการยินยอม ทั้งยังต้องมีมาตรการในการรักษาข้อมูลที่ปลอดภัยเพียงพอ กำหนดวัตถุประสงค์ในการจัดเก็บ และมีระยะเวลาในการจัดเก็บ 

ด้วยเหตุที่หยิบยกมาเหล่านี้ พอสรุปได้ว่า ใบสมัครงาน และกิจกรรมของ HR ยุคใหม่ ยังไม่จำเป็นจะต้องขอข้อมูลส่วนบุคคลทั้งหมดของผู้สมัคร และพนักงาน แต่จะต้องมีการจัดเก็บเก็บข้อมูลส่วนบุคคลของพนักงานอย่างเหมาะสมตามบทบาทหน้าที่ ซึ่งไม่เฉพาะแค่ข้อมูลที่เป็นกระดาษ กฎหมาย PDPA ยังระบุถึงข้อมูลที่เป็นไฟล์เอกสารในคอมพิวเตอร์ และระบบคลาวด์ ไม่ว่าจะเป็นผู้สมัครงาน พนักงานในองค์กร รวมไปถึงพนักงานเก่าที่ลาออกหรือโดนเชิญออกไปแล้วก็ตาม 

รวมทั้งมีมาตรการในการจัดเก็บที่ปลอดภัย ทั้งจากบุคคลภายในที่ไม่มีส่วนเกี่ยวข้อง และบุคคลภายนอกที่อาจจะแอบมาเจาะข้อมูลพนักงานและนำไปใช้ผิดวัตถุประสงค์ 

ด้วยเหตุนี้ HR หรือบริษัท จะมีมีการพิจารณาในการขอข้อมูลบุคคลอย่างรอบคอบ และเหมาะสมตามบทบาทหน้าที่ และถึงตรงนี้ หลายๆ ท่านอาจจะมีคำถามว่า “หากพนักงาน หรือผู้สมัครงาน ไม่ยินยอมให้เก็บและใช้ข้อมูลจะทำอย่างไร” 

ง่ายมาก ! HR ของแต่ละบริษัทควรมีการจัดทำหนังสือสัญญาข้อตกลงและให้ความยินยอมให้เก็บและใช้ข้อมูลเพื่อประโยชน์ของธุรกิจอย่างชัดเจน เป็นลายลักษณ์อักษร ก็นอกเสียจากว่า ผู้สมัครงาน หรือพนักงานคนนั้นไม่ประสงค์จะ ‘ปฏิบัติตามกฎขององค์กร’ ถึงเวลานั้นก็ขึ้นอยู่กับดุลพินิจของ HR หรือเจ้าของบริษัทว่าจะให้บุคคลนั้นไปต่อหรือพอกันแค่นี้ !