30 เมษายน 2021

ทำความเข้าใจ “ข้อมูลอ่อนไหวในงาน HR”
สุ่มเสี่ยงผิดกฎหมาย PDPA หรือไม่

โดย คุณบุญญดา อู่ไพบูรณ์
หัวหน้าแผนกทรัพยากรมนุษย์, FTPI PDPA Specialist
สถาบันเพิ่มผลผลิตแห่งชาติ

การสมัครงานถือเป็นจุดเริ่มต้นของการนำข้อมูลส่วนบุคคลเข้ามาสู่ระบบงาน HR ผู้สมัครงานซึ่งเป็นว่าที่พนักงานในอนาคตของบริษัทจะทุ่มเทเขียนประวัติส่วนตัวอย่างละเอียดและส่งเอกสารจำนวนมาก ตั้งแต่เกิดไปจนถึงเรียนจบหรือการทำงานล่าสุด มาให้กับบริษัทที่ตนเองอยากร่วมงาน ข้อมูลส่วนบุคคลเหล่านี้ถือเป็นงานใหญ่สำหรับ HR ที่ต้องจัดการ โดยเฉพาะเมื่อมี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA งานนี้จึงเป็นสิ่งจำเป็นที่ทุกองค์กรต้องรีบดำเนินการ

PDPA-บทความ

พ.ร.บ.ฉบับนี้ให้ความคุ้มครองข้อมูลของบุคคลที่ยังมีชีวิตอยู่เท่านั้น โดยข้อมูลที่ พ.ร.บ.นี้คุ้มครองแบ่งออกเป็น 2 ประเภท ได้แก่

  1. ข้อมูลส่วนบุคคล เช่น ชื่อ สกุล อายุ เลขบัตรประจำตัวประชาชนสิบสามหลัก ที่อยู่ เบอร์โทรศัพท์ ฯลฯ
  2. ข้อมูลอ่อนไหว เช่น ศาสนา กรุ๊ปเลือด โรคประจำตัว เป็นต้น

ตามมาตรา 26 ได้กำหนดรายละเอียดข้อมูลอ่อนไหวไว้ว่า “ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนดนั้นจัดเป็นข้อมูลอ่อนไหว”

ข้อมูลอ่อนไหวห้ามมิให้เก็บรวบรวม โดยไม่ได้รับความยินยอมโดยชัดแจ้ง
จากเจ้าของข้อมูลส่วนบุคคล เว้นแต่

PDPA-การเก็บข้อมูล

จะเห็นได้ว่า ข้อมูลอ่อนไหว เป็นส่วนที่ พ.ร.บ.ให้ความสำคัญและมีข้อกำหนด “ห้าม” จัดเก็บโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล หรือจัดเก็บโดยไม่จำเป็น  ดังนั้น การให้ผู้สมัครระบุข้อมูลส่วนบุคคลประเภท ท่านนับถือศาสนาอะไร หรือ ท่านมีโรคประจำตัวอะไรบ้าง จึงเข้าข่ายผิดตาม พ.ร.บ.ฉบับนี้อย่างชัดเจน สิ่งแรกที่ HR ควรทำ คือ นำใบสมัครงานมาทบทวน และปรับปรุงคำถามที่เป็นการถามถึงข้อมูลอ่อนไหวอย่าง ศาสนา กรุ๊ปเลือด โรคประจำตัว ฯลฯ ออกไป เพื่อไม่ให้สุ่มเสี่ยงกับการผิดกฎหมายใหม่นี้ และเสี่ยงต่อการที่มีข้อมูลอ่อนไหวในระบบ HR จนมีโอกาสที่ข้อมูลรั่วไหลไปสู่ผู้ไม่หวังดี สร้างผลกระทบต่อพนักงานหรือผู้สมัครได้

หากบริษัทต้องการใช้ข้อมูลอ่อนไหวในการพิจารณาเพื่อรับสมัครเข้าทำงานก็สามารถแจ้งเป็นนโยบายในการรับสมัครงาน (Recruitment Privacy Notice) ชี้แจงเหตุผลของการขอข้อมูลส่วนบุคคลและข้อมูลอ่อนไหว รวมถึงเอกสารเหล่านั้น ว่ามีอะไรบ้าง เพื่อให้ผู้สมัครได้มีโอกาสในการพิจารณาว่าควรแจ้งข้อมูลมากน้อยเพียงใด ทั้งนี้ควรระบุให้ชัดเจนว่า “ไม่มีความจำเป็น” ที่ผู้สมัครจะต้องเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวของตนเองในขั้นตอนการสมัครงาน และจะไม่ปฏิเสธการสมัครงานด้วยเหตุที่ผู้สมัครตัดสินใจไม่เปิดเผยข้อมูลอ่อนไหว ก็ถือเป็นการแสดงเจตนาให้สิทธิกับผู้สมัคร หากผู้สมัครทำการกรอกข้อมูลเองก็ถือว่าเป็นการยินยอมเปิดเผยข้อมูลโดยสมบูรณ์แล้ว

แม้ว่าจะมีการแสดงความยินยอม แต่การขอข้อมูลอ่อนไหวไปนั้น หากไม่จำเป็นจริงๆ ก็ไม่ควรทำ เพราะจะทำให้กระทบต่อการเก็บรักษาข้อมูลที่ต้องเพิ่มชั้นความลับไปโดยปริยาย และข้อมูลอ่อนไหวที่ได้รับการยินยอมนี้สามารถนำไปใช้งานได้เฉพาะตรงตามวัตถุประสงค์ที่ขอความยินยอมเอาไว้ จึงเพิ่มภาระกับการจัดการข้อมูล ให้มีระบบที่รัดกุมมากยิ่งขึ้น

ดังนั้น หลักการของการทำงานบนพื้นฐานกฎหมาย PDPA นี้ก็คือ
“ขอเท่าที่ใช้ เก็บเท่าที่จำเป็น ทำลายเมื่อถึงเวลาที่กำหนด”

…….

หลักสูตรอบรม Inhouse Training

หลักสูตรอบรม PDPA in-house training

PDPA Compliance for Executive Management Training Course 

PDPA Compliance Implementation with NIST Privacy Framework 




Writer

โดย บุญญดา อู่ไพบูรณ์

Human Resource Section Head, FTPI PDPA Inhouse Specialist
สถาบันเพิ่มผลผลิตแห่งชาติ