ชวนพิจารณาการจัดการข้อมูลส่วนบุคคลของฝ่ายทรัพยากรบุคคล (HR) ตามหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อตอบสนองต่อข้อกังวลที่เกิดขึ้นเกี่ยวกับผลกระทบของกฎหมาย
อย่างที่เราเล่ากันไปในหลายๆ บทความว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ของไทยได้รับแรงบันดาลใจมาจาก GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแรกของโลกจากสหภาพยุโรป ข้อแตกต่างของกฎหมายก็ไม่ได้ต่างกันมาก แต่โดยรวมเน้นไปที่พื้นฐานของการต้องการที่จะปกป้องคุ้มครองประชาชนจากกาที่องค์กร หน่วยงาน ทั้งรัฐ เอกชน และอื่นๆ นำไปใช้ เผยแพร่ เก็บ ฯลฯ
แน่นอนว่ามันเกี่ยวข้องกับทุกบริษัทและหน่วยงาน และลึกลงไปยังแผนก โดยเฉพาะฝ่ายที่จัดการเกี่ยวกับ Data ไม่ว่าจะเป็น Digital Marketing, Programmer, Analytics และ Human Resource หรือทรัพยากรบุคคล โดยเฉพาะความกังวลต่างๆ ที่มีต่อฝ่าย HR ดังต่อไปนี้
- ความยินยอมต่อการที่ HR จะนำข้อมูลของผู้สมัครหรือพนักงานไปดำเนินการใดๆ ตามนิยามที่กฎหมายระบุ
- ขอบเขตของการยินยอม
- สิทธิในการปกป้องข้อมูลตนเอง เช่น กรณีถูกไล่ออกแล้วโดนส่งจดหมายเวียน เป็นต้น
- รูปภาพ ข้อมูลพาสปอร์ตและบัตรประชาชน
- ข้อมูลเกี่ยวกับการรักษาพยาบาล เช่น ประกันสังคม การลาป่วย เป็นต้น
‘ความยินยอม’ จึงเป็นจุดสำคัญที่สุดในกฎหมายคุ้มครองข้อมูลส่วนบุคคล หากพนักงานหรือผู้สมัครให้ ‘ความยินยอม’ สำหรับการประมวลผลเพื่อเรื่องอะไร หรือเก็บนานแค่ไหน เก็บอะไรบ้าง หรือรวมรวม และใช้ทำอะไร (HR ต้องทำการชี้แจงการเก็บการใช้และระยะเวลาและทำการขอความยินยอม) ซึ่งหากองค์กรทำนอกเหนือจากที่ขอไว้ ผู้ที่มีตำแหน่งรับผิดชอบหรือ DPO ที่ต้องรับผิดชอบมีหน้าที่เก็บและประมวลผลต้องหยุด ใช้ จัดเก็บ และรวมรวมทันที และหากเจ้าของข้อมูลมีการ ‘ถอนความยินยอม’ ก็ต้องหยุดทันทีเช่นกัน
เพราะฉะนั้น กรณีที่พนักงานลาออกแล้ว หรือโดนไล่ออก หรือมีการเก็บข้อมูลผู้สมัครงานไว้ หากฝ่ายทรัพยากรบุคคล ไม่มีมาตรการรักษาข้อมูลทำให้ถูกโจรกรรม หลุด หรือเผยแพร่ออกไป โดยไม่ได้อยู่ในข้อตกลงความยินยอมที่ต้องแจ้งให้ทราบต่อเจ้าของข้อมูล ไม่ว่าจะเป็นระยะเวลาการเก็บนานแค่ไหน เก็บข้อมูลอะไรบ้าง นำไปใช้อะไรบ้าง และจะมีวิธีการทำลายอย่างไรเมื่อไม่ใช้หรือครบกำหนดระยะเวลาการเก็บแล้ว จะทำให้ถูกได้รับโทษทั้งจำและปรับตามกฎหมาย หรือกรณีที่เจ้าของข้อมูลไม่มีความยินยอมอีกต่อไปแล้ว แม้ในตอนแรกจะยินยอมก็จะหมดสิทธิ์ทำการใดๆ ทันที
ส่วนกรณีที่ HR นำข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปใช้ในขอบเขตที่ไม่ได้เข้าข่ายตามข้อตกลงความยินยอมแต่แรก อย่างเช่น การทำจดหมายเวียนกรณีถูกไล่ออก โดยมีข้อมูลส่วนบุคคลของเจ้าของข้อมูลชัดเจน เพื่อเผยแพร่ ส่งต่อ ก็จะเข้าข่ายผิดทันทีตามกฎหมาย
