ข้อมูลส่วนบุคคล มีอะไรบ้าง ? อาจจะเป็น 1 ในคำถามที่ชาวเราฝ่ายบุคคลฯ มีข้อสงสัย เพราะข้อมูลส่วนบุคคลนี้เป็นสิ่งสำคัญของกฎหมาย PDPA ( Personal Data Protection Act ) หรือที่ภาษาไทยเรียกว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งเป็นกฎหมายที่ออกมาพื่อคุ้มครองสิทธิเกี่ยวกับข้อมูลส่วนบุคคล ไม่ทำถือว่าผิด ไม่ว่าจะเป็นการควบคุมไม่ให้องค์กร หรือบริษัทนำข้อมูลส่วนบุคคลของเราไปใช้โดยไม่ได้รับความยินยอม และเพื่อเป็นการป้องกันไม่ให้เกิดการนำข้อมูลไปใช้โดยมิชอบ
ในปัจจุบันที่เราอยู่ในยุคที่ธุรกิจและการตลาดขับเคลื่อนด้วยข้อมูลแล้วนั้น ทำให้ “ข้อมูลส่วนบุคคล” ของเรากลายเป็นสิ่งที่มีมูลค่า และมีความสำคัญสำหรับหลาย ๆ ธุรกิจเป็นอย่างมาก เพราะข้อมูลส่วนตัวของเรานั้นอาจจะเสี่ยงในการถูกเผยแพร่โดยไม่ได้มีการทำเรื่องในการขออนุญาตในการเปิดเผยให้กับองค์กรต่างๆ เพราะหลายๆธุรกิจสามารถนำข้อมูลของเรานั้นไปต่อยอดธุรกิจจากข้อมูลที่มี เพื่อพัฒนาสินค้าและบริการให้ตอบโจทย์ความต้องการของลูกค้าได้ แต่น้อยคนนักจะรู้ว่า PDPA และข้อมูลส่วนบุคคลมีความสำคัญอย่างไรต่องาน HR ?
รู้หรือไม่?! ว่าการจัดเก็บข้อมูลส่วนบุคคลนั้นมีทั้งในรูปแบบออฟไลน์ หรือออนไลน์ หากมีการเก็บข้อมูลโดยไม่ถูกต้อง อาจมีความผิดตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ได้
และด้วยเหตุนี้ ประเทศไทยจึงได้มีการกำหนดกฎหมาย PDPA (Personal Data Protection Act: PDPA) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้บริษัท พนักงาน หรือผู้ที่เกี่ยวข้องนั้นมีการคำนึงถึงความสำคัญของความสำคัญของข้อมูลส่วนบุคคลให้มีความปลอดภัยมากยิ่งขึ้น ซึ่งถ้าบริษัทเก็บรวบรวมข้อมูลทันที โดยไม่ได้มีการชี้แจงรายละเอียดเกี่ยวกับการเก็บข้อมูลส่วนบุคคลของพนักงานหรือผู้ใช้งาน หรือไม่ได้มีการขอความยินยอมจากเจ้าของข้อมูลก่อนสำหรับการจัดเก็บและไม่ได้มีการแจ้งเป็นลายลักษณ์อักษรที่ชัดเจน จะกลายเป็นการที่ว่าบริษัทไม่ปฏิบัติให้ถูกต้องตามหลักกฎหมาย PDPA และอาจมีความผิดได้
ข้อมูลส่วนบุคคล คืออะไร ?
ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ทั้งทางตรงหรือทางอ้อม แต่จะไม่นับรวมข้อมูลของผู้ที่เสียชีวิตไปแล้ว ซึ่งข้อมูลส่วนบุคคลนี้แบ่งออกเป็น 2 แบบก็คือ ข้อมูลส่วนบุคคล (Personal Data) และ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data)
ข้อมูลส่วนบุคคล (Personal Data)
ข้อมูลส่วนบุคคล (Personal Data) คือ ข้อมูลใด ๆ ที่สามารถระบุตัวบุคคลนั้นได้ (ระบุไปถึงเจ้าของข้อมูล) ไม่ว่าจะเป็นทางตรงหรือทางอ้อมก็ตาม แต่จะไม่รวมไปถึงข้อมูลของผู้ที่เสียชีวิตแล้ว หรือ ข้อมูลของนิติบุคคล เช่น บริษัท มูลนิธิ สมาคม องค์กร
ตัวอย่างข้อมูลส่วนบุคคลทั่วไป ประกอบด้วย
1. ชื่อ นามสกุล ชื่อเล่น
2. เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต (การเก็บเป็นภาพสำเนาบัตรประชาชน หรือสำเนาบัตรอื่นๆที่ที่ข้อมูลส่วนบุคคล)
3. ที่อยู่ อีเมล โทรศัพท์
4. ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิดและสถานที่เกิด, เชื้อชาติ, สัญชาติ, น้ำหนัก, ส่วนสูง, ข้อมูลตำแหน่งที่อยู่ (location), ข้อมูลการแพทย์, ข้อมูลการศึกษา, ข้อมูลทางการเงิน, ข้อมูลการจ้างงาน เป็นต้น
ตัวอย่างข้อมูลที่ไม่เป็นข้อมูลส่วนบุคคล ประกอบด้วย
1. เลขทะเบียนบริษัท
2. ข้อมูลสำหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคลเช่นหมายเลขโทรศัพท์หรือ แฟกซ์ที่ทำงาน, ที่อยู่สำนักงาน, อีเมลที่ใช้ในการทำงาน, อีเมลของบริษัท เป็นต้น
3. ข้อมูลนิรนาม (Anonymous Data) หรือข้อมูลแฝง (Pseudonymous Data) หมายถึง ข้อมูลหรือชุดข้อมูลที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีการทางเทคนิค
4. ข้อมูลผู้ตาย
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data)
คือ ข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม จึงจำเป็นต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ
ตัวอย่างข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว ประกอบด้วย
2. เผ่าพันธุ์
3. ความคิดเห็นทางการเมือง
4. ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
5. พฤติกรรมทางเพศ
6. ประวัติอาชญากรรม
7. ข้อมูลสุขภาพความพิการหรือข้อมูลสุขภาพจิต
8. ข้อมูลสหภาพแรงงาน
9. ข้อมูลพันธุกรรม
10. ข้อมูลชีวภาพ
11. ข้อมูลอื่นใดตามที่คณะกรรมการประกาศกำหนด
แล้วในฐานะที่เราเป็นนายจ้างหรือเจ้าของบริษัทอย่าพึ่งตกใจไป เรายังสามารถเก็บข้อมูลเหล่านี้ได้ตามปกติ ตราบใดที่เรามีความจำเป็นตามที่กฎหมายกำหนด หรือตามลักษณะการจ้างงานของเรา เพียงแต่เราจะต้องมีการแจ้งให้พนักงานทราบอย่างชัดเจนเท่านั้นเองค่ะ ว่าเราเก็บข้อมูลอะไรบ้างและนำไปใช้ทำอะไรบ้าง ซึ่งในที่นี้นายจ้างสามารถแจ้งผ่านเอกสาร อย่างการทำเอกสารที่ชื่อว่า HR Privacy Policy
HR Privacy Policy คืออะไร?
ส่วนใหญ่แล้วข้อมูลที่บริษัทเก็บล้วนแต่มีความจำเป็นในการทำงานหรือมีความจำเป็นตามทางกฎหมายทั้งสิ้น ซึ่งหากเป็นไปตามนี้บริษัทไม่จำเป็นต้องขออนุญาตในการเก็บ เพียงแต่ต้องแจ้งให้ทราบเท่านั้น ยกตัวอย่างเช่น
– การเก็บชื่อ ที่อยู่ และหมายเลขบัตรประจำตัวประชาชนสำหรับการยื่นภาษีและประกันสังคม
– การเก็บชื่อ และ หมายเลขบัญชีธนาคาร เพื่อใช้โอนเงินเดือน
– การเก็บข้อมูลเกี่ยวกับคุณสมบัติในการทำงาน เช่น ประวัติการศึกษา ประวัติการทำงาน และประวัติอาชญากรรม เพื่อการประเมินความเหมาะสมในการจ้างพนักงาน
– การเก็บข้อมูลการทำงาน เช่น ประวัติการเข้าทำงาน แบบประเมินความสามารถและการวัดผลต่างๆ เพื่อประเมินประสิทธิภาพในการทำงานของพนักงาน
อย่างไรก็ตามบริษัทหลายแห่งมีการเก็บรูปถ่าย หรือลายนิ้วมือของพนักงาน (เช่นสำหรับการเข้าออกประตู หรือลงเวลาทำงาน) ข้อมูลเหล่านี้ถือว่าเป็นข้อมูลส่วนบุคคลอ่อนไหว (Sensitive PII) ทางบริษัทต้องขอความยินยอมจากทางพนักงานทุกครั้ง
บริษัทสามารถแจ้ง HR Privacy Policy ให้พนักงานทราบได้อย่างไรบ้าง?
การแจ้งให้ทราบสามารถทำได้หลายวิธี เลือกใช้งานได้ตามความเหมาะสมดังนี้
– ส่งอีเมลหาพนักงานทุกคน
– ปิดประกาศ HR Privacy Policy ในสำนักงาน ในตำแหน่งที่พนักงานทุกคนเห็นได้ชัด
– รวมไว้เป็นส่วนหนึ่งในสัญญาจ้างงาน
อย่างแรกเลย HR ต้องคำนึงว่าข้อมูลพนักงานทุกอย่างล้วนเป็นข้อมูลส่วนบุคคลเสมอ ซึ่งจะอยู่ภายใต้การคุ้มครองจาก PDPA ทั้งหมด HR จึงต้องกำหนดนโยบายเกี่ยวกับการเก็บรวบรวม การรักษา และการนำไปใช้อย่างเปิดเผยเป็นลายลักษณ์อักษรที่ชัดเจน นอกจากการจัดทำเอกสาร Privacy Policy แล้วเมื่อมีการเก็บรักษาข้อมูลส่วนบุคคลของบุคคลใด นายจ้างหรือ HR มีหน้าที่รักษาความปลอดภัยของข้อมูล ไม่ใช่แค่ความลับ แต่ต้องรวมถึง ความถูกต้องและความพร้อมใช้ของข้อมูลส่วนบุคคลที่ตนใช้
สรุปข้อมูลส่วนบุคคล มีอะไรบ้าง?
ข้อมูลส่วนบุคคลที่เรากล่าวไปข้างต้นนั้น แบ่งออกเป็น 2 ประเภทก็คือ ข้อมูลส่วนบุคคล (Personal Data) และ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ซึ่งทั้งสองประเภทเกี่ยวข้องกับกฎหมาย PDPA และงานของ HR เป็นอย่างมาก ดังนั้นทางฝ่ายทรัพยากรบุคคลจึงต้องใส่ใจ และหาข้อมูลเกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรืออาจจะหาผู้ช่วยอย่าง Trust Vision ที่จะช่วยให้ PDPA ของฝ่าย HR ง่ายยิ่งขึ้นอย่างแน่นอน
อ่านเพิ่มเติมเกี่ยวกับข้อมูลส่วนบุคคล และ PDPA for HR
ข้อมูลส่วนบุคคล ข้อมูลอ่อนไหว คืออะไร มีกี่ประเภท มีอะไรบ้าง ?
PDPA for HR งานฝ่ายบุคคลฯ กับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
