นายจ้างต้องรู้ ! เก็บข้อมูลอย่างไรให้ถูกกฎหมายคุ้มครองข้อมูลส่วนบุคคล

    เมื่อพูดถึงข้อมูลส่วนบุคคลแล้ว เชื่อว่าหลายๆ คนเริ่มที่จะตื่นตัวและให้ความสนใจเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลกันมากขึ้น เพราะเป็นเรื่องของข้อบังคับใช้และบทลงโทษหากไม่ปฏิบัติตาม หรืออีกนัยยะหนึ่งคือการกระทำความผิดตามกฎหมายนั่นเอง

โดยเฉพาะในฝั่งของการดำเนินธุรกิจ องค์กรต่างๆ จำเป็นที่จะต้องปรับตัวให้ทันต่อทุกสถานการณ์ โดยเฉพาะการเตรียมตัวให้พร้อมก่อนที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลจะประกาศใช้อย่างเต็มรูปแบบในปี 2565 เพราะนอกจากที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลจะให้ความคุ้มครองกับข้อมูลส่วนบุคคลของลูกค้าและผู้ใช้งานแล้ว ยังรวมถึงเหล่าพนักงานบริษัท ที่นายจ้างและ HR (ฝ่ายบุคคล) ได้มีการเก็บข้อมูลส่วนบุคคลเอาไว้ ไม่ว่าจะเป็น ชื่อ ที่อยู่ หลักฐานด้านการศึกษา ข้อมูลทะเบียนบ้าน บัตรประชาชน สลิปเงินเดือน สัญญาจ้าง หรือแม้กระทั่งข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ก็ตาม ซึ่งถือว่าได้รับการคุ้มครองทั้งสิ้น

ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) คืออะไร ?

ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) คือ ข้อมูลส่วนบุคคลที่สามารถระบุตัวบุคคลได้เฉพาะเจาะจง ไม่ว่าจะเป็นเรื่องของเชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ข้อมูลสุขภาพ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ลายนิ้วมือ, Face ID) ซึ่งข้อมูลเหล่านี้ถือว่าเป็นข้อมูลที่มีความละเอียดอ่อนสูง หากถูกนำไปใช้โดยที่ไม่ได้รับอนุญาต ก็อาจจะเป็นอันตรายต่อเจ้าของข้อมูลหรือถูกเลือกปฏิบัติอย่างไม่เป็นธรรมได้

ขั้นตอนในการจัดเก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) คือ ผู้จัดเก็บขององค์กรหรือ HR ควรที่จะต้องขอความยินยอมอย่างชัดเจนจากเจ้าของข้อมูลซึ่งเป็นพนักงานขององค์กร โดยมีรายละเอียดที่เกี่ยวกับการนำข้อมูลเหล่านั้นไปใช้งาน ซึ่งข้อมูลที่มีความอ่อนไหวเหล่านี้ จะต้องถูกนำไปใช้งานเท่าที่จำเป็นตามที่กำหนดเอาไว้ขณะที่ขอความยินยอม และมีมาตรการในการจัดเก็บข้อมูลและรักษาความปลอดภัยอย่างเหมาะสม เพื่อคุ้มครองสิทธิของเจ้าของข้อมูลเป็นหลัก

เก็บข้อมูลแบบไหนที่นายจ้างมีความเสี่ยงต่อการทำผิด PDPA

สิ่งสำคัญสำหรับนายจ้างในการเก็บข้อมูลส่วนบุคคลของพนักงานในองค์กรก็คือการขอความยินยอมในการเก็บรวบรวม ใช้ และเผยแพร่ข้อมูลเหล่านั้น ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลได้กำหนดเอาไว้นั้น หลังจากที่นายจ้างพิจารณารับผู้สมัครงานเข้าทำงานแล้วจำเป็นจะต้องขอความยินยอมในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของพนักงาน หากนายจ้างไม่ได้ขอความยินยอมแล้วนำข้อมูลไปใช้โดยที่ลูกจ้างไม่ได้ให้ความยินยอม ก็จะถือว่ามีความผิดตามกฎหมายฉบับนี้

HR สามารถติดต่อเพื่อขอข้อมูลเพิ่มเติมของผู้สมัครงานจากบุคคลอ้างอิงได้ หากมีการระบุว่าให้ผู้สมัครขอความยินยอมกับบุคคลอ้างอิงในการติดต่อกลับเพื่อสอบถามข้อมูล พนักงานจะไม่สามารถปฏิเสธการให้ข้อมูลหรือลบข้อมูลส่วนบุคคลของตนได้ เนื่องจากเป็นการเก็บข้อมูลตามข้อบังคับของกฎหมาย หรือตามสัญญาจ้าง

แนวทางของบริษัทสำหรับการจัดเก็บข้อมูลส่วนบุคคลของพนักงาน

ด้านการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ในการจัดเก็บข้อมูลส่วนบุคคลของพนักงานนั้น บริษัทควรที่จะต้องเตรียมความพร้อมในด้านต่าง ๆ อย่างเหมาะสม ไม่ว่าจะเป็นเรื่องของการจัดเก็บและการนำข้อมูลไปใช้งาน ประมวลผล หรือเปิดเผยข้อมูลต่างๆ ให้ครอบคลุมและตรงตามที่กฎหมายได้กำหนดเอาไว้ ซึ่งตัวบริษัทเองจำเป็นที่จะต้องกำหนดนโยบาย แนวทางการปฏิบัติงาน และเตรียมพร้อมบุคลากรที่จำเป็นและเกี่ยวข้องต่อการจัดเก็บข้อมูลต่างๆ ให้สามารถปฏิบัติได้ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด

ด้านการจัดการข้อมูลส่วนบุคคลของพนักงาน

การจัดเก็บข้อมูลส่วนบุคคลของพนักงานภายในองค์กรจะต้องมีการจัดเก็บอย่างครอบคลุมและข้อมูลเหล่านั้นจะต้องเกี่ยวข้องกับการทำงาน ไม่ว่าจะเป็น

• ชื่อ ที่อยู่ หมายเลขบัตรประชาชน สำหรับการยื่นภาษีและประกันสังคม
• ชื่อ หมายเลขบัญชีธนาคาร สำหรับโอนเงินเดือน หรือเงินพิเศษต่างๆ
• ประวัติการศึกษา ประวัติการทำงาน ประวัติอาชญากรรม เพื่อประเมินความเหมาะสมในการจ้างงาน
• ข้อมูลการทำงานต่างๆ ทั้งประวัติการเข้าทำงาน แบบประเมินและการวัดผลต่างๆ เพื่อประเมินประสิทธิภาพในการทำงานของพนักงาน
• ข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่น รูปถ่าย ลายนิ้วมือของพนักงาน (สำหรับการลงเวลาทำงาน หรือเข้า-ออก ประตู

ซึ่งข้อมูลเหล่านี้จำเป็นจะต้องมีระบบจัดเก็บที่ดี มีการจัดการ วิเคราะห์ และดูแลอย่างมีมาตรฐาน รวมไปถึงการป้องกันการรั่วไหลของข้อมูลอีกด้วย ทั้งนี้ ควรที่จะต้องมีการดำเนินการเกี่ยวกับการให้ความยินยอมด้วยเช่นกัน ซึ่งเจ้าของข้อมูลที่เป็นพนักงานขององค์กรนั้นจำเป็นจะต้องให้ความยินยอมต่อการจัดเก็บ รวบรวมใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยเฉพาะข้อมูลส่วนบุคคลที่มีความอ่อนไหว ต้องมีการระบุวัตถุประสงค์และระยะเวลาของการนำข้อมูลส่วนบุคคลไปใช้งานเอาไว้อย่างชัดเจน

ด้านการป้องกันข้อมูลส่วนบุคคล

บริษัทควรที่จะต้องมีการป้องกันข้อมูลส่วนบุคคลของพนักงานไม่ให้รั่วไหล ถูกละเมิด หรือถูกโจมตี ทำให้บริษัทต้องมีการป้องกันอย่างครอบคลุมทั้งในเรื่องของระบบและบุคคล ไม่ต่างกับข้อมูลของลูกค้า

แม้ว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลจะยังไม่บังคับใช้อย่างเต็มรูปแบบ แต่องค์กรของคุณก็ควรที่จะต้องมีการจัดการเกี่ยวกับข้อมูลส่วนบุคคลของพนักงานภายในองค์กรให้ดี โดยเฉพาะการวางแผนสร้าง Privacy Policy ให้เหมาะกับองค์กร พร้อมด้วยการสร้างแบบฟอร์มรับคำขอสิทธิ์จากเจ้าของข้อมูลได้อย่างง่ายดายที่ PDPA Form นอกจากนี้คุณยังสามารถสร้างแบนเนอร์คุกกี้เพื่อขอความยินยอมในการใช้คุกกี้กับ Cookie Wow ได้อีกด้วย