ในปัจจุบันข้อมูลส่วนตัว คือ สิ่งที่ละเอียดอ่อนสำหรับคนทุกคน โดยเฉพาะ Personal Data หรือข้อมูลส่วนตัว เช่น ชื่อ นามสกุล ที่อยู่ เบอร์ หรือโทรศัพท์ นอกจากนี้ยังมีข้อมูลส่วนที่เรียกว่า Sensitive Data เป็น ข้อมูลอ่อนไหว ของบุคคลนั้น ๆ ที่หากหลุดออกไปอาจสร้างความเสียหายต่อเจ้าของข้อมูล ทั้งชื่อเสียง และทรัพย์สิน จนทำให้ในมีกฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อปกป้องข้อมูลของผู้ใช้งานให้มีความปลอดภัยมากยิ่งขึ้น
นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy,PDPA) เริ่มบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิ.ย. 2565 เป็นกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล ประวัติสุขภาพ รูปถ่าย บัญชีธนาคาร บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถที่จะระบุถึงตัวตนของเจ้าของข้อมูลนั้นได้ ซึ่งอาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบไฟล์อิเล็กทรอนิกส์ก็ได้
Sensitive Data คืออะไร ?
ข้อมูลส่วนบุคคลอ่อนไหว หรือ Sensitive Data คือ ข้อมูลที่สามารถระบุตัวบุคคลในรูปแบบเฉพาะเจาะจง ที่มีความละเอียดอ่อนสูง เช่น เชื้อชาติ ศาสนา เพศ ประวัติอาชญากรรม ความคิดเห็นทางการเมือง ไปจนถึงข้อมูลชีวภาพอย่าง ใบหน้า หรือลายนิ้วมือ เป็นต้น ซึ่งหากข้อมูลเหล่านี้หลุดออกไปโดยไม่ได้รับอนุญาตจากเจ้าของข้อมูล อาจทำให้เกิดอันตรายจากเจ้าของข้อมูล ที่อาจถูกนำข้อมูลไปใช้ในทางผิดกฎหมาย จนสร้างความเสียหายต่อชื่อเสียง หรือทรัพย์สินของเจ้าของข้อมูลได้
ดังนั้นเพื่อป้องกันข้อมูล Sensitive Data หลุดรอด กฎหมาย PDPA จึงมีบทบาท โดยจะทำหน้าที่คุ้มครองข้อมูลส่วนบุคคลเป็นพิเศษ โดยมีการออกบทลงโทษสำหรับคนที่ละเมิด Sensitive Data ทั้งโทษทางแพ่ง ทางอาญา และทางปกครอง
แผนก HR ควรจัดการข้อมูล Sensitive Data อย่างไร ?
อย่างที่ทราบดีว่าข้อมูล Sensitive Data ได้รับการคุ้มครองจากกฎหมาย PDPA ดังนั้นการจัดการข้อมูลในส่วนนี้จึงเป็นหน้าที่สำคัญของแผนก HR เพื่อไม่ให้ข้อมูลส่วนนี้หลุดออกไป โดยเจ้าหน้าที่ HR จะต้องได้รับความยินยอมจากเจ้าของข้อมูล เพื่อให้องค์กรนำข้อมูลเหล่านั้นไปใช้งานผ่านใบสมัครงาน ซึ่งจะต้องระบุข้อมูลที่ผู้สมัครควรรู้ ได้แก่ ชื่อองค์กร และคำอธิบายถึงเหตุผล วัตถุประสงค์ในการขอข้อมูลเหล่านั้น โดยองค์กรจะต้องมีมาตรการในการรักษาความปลอดภัยที่เหมาะสม
แนวทางในการจัดเก็บข้อมูลบุคคลของแผนก HR
การปฏิบัติตามกฎหมายคุ้มครองข้อมูล
องค์กรจะต้องมีความพร้อมในการจัดการข้อมูลส่วนบุคคลของพนักงานอย่างเหมาะสม ไม่ว่าจะเป็นวิธีในการจัดเก็บข้อมูล รวมถึงการนำข้อมูลเหล่านั้นไปใช้งาน หรือเปิดเผย โดยองค์กรจะต้องกำหนดนโยบาย หรือแนวทางในการดำเนินการเพื่อนำข้อมูลไปใช้งาน รวมถึงต้องมีบุคลากรที่จะทำหน้าที่ดูแล และจัดการข้อมูลต่าง ๆ ให้มีความปลอดภัย สามารถปฏิบัติภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลได้
การจัดการข้อมูลพนักงาน
หน้าที่ขององค์กร คือจะต้องจัดเก็บข้อมูลส่วนบุคคลของพนักงานด้วยมาตรการที่รอบคอบ รัดกุม โดยจะต้องได้รับการยินยอมจากพนักงานในการจัดเก็บข้อมูล และนำไปเผยแพร่ นอกจากนี้ทางองค์กรจะต้องกำหนดวัตถุประสงค์ และระยะเวลาในการใช้ข้อมูลไว้อย่างชัดเจน ซึ่งข้อมูลส่วนบุคคลที่องค์กรต้องจัดการมี ดังนี้
- ชื่อ ที่อยู่ หมายเลขบัตรประชาชนที่ใช้ในการยื่นภาษี และประกันสังคม
- ชื่อ และหมายเลขบัญชีธนาคาร ที่ใช้สำหรับโอนเงินเดือน
- ประวัติการศึกษา ประวัติการทำงาน ประวัติอาชญากรรม
- ข้อมูลส่วนบุคคลที่อ่อนไหว เช่น รูปถ่าย ลายนิ้วมือ เป็นต้น
มาตรการป้องกันข้อมูลส่วนบุคคล
องค์กรควรจะมีการกำหนดมาตรการที่จะช่วยรักษาความปลอดภัยข้อมูลส่วนบุคคลของพนักงาน โดยมีการกำหนดเป็นนโยบาย หรือกฎในการทำงาน เช่น การกำหนดระยะเวลาในการเก็บรักษาข้อมูล และมีการทำลายเอกสารข้อมูลส่วนบุคคลทุกครั้งหลังจากที่ใช้ข้อมูลเสร็จแล้ว นอกจากนี้ควรมีการสร้างแบบฟอร์มเพื่อขอความยินยอมข้อมูลส่วนบุคคลจากพนักงานให้มีความสะดวกง่ายดาย
เทคโนโลยี OCR ตัวช่วยในการจัดการกับ Sensitive Data
ในปัจจุบันเทคโนโลยี OCR เข้ามามีบทบาทในการจัดการเอกสารต่าง ๆ ในองค์กรให้มีความสะดวก และปลอดภัยมากขึ้น โดยเทคโนโลยี OCR จะเข้ามาช่วยจัดการในส่วนของข้อมูล Sensitive Data ด้วยการทำหน้าที่อ่านข้อมูลบนบัตรประชาชน จากนั้น ระบบ OCR จะทำหน้าที่เซ็นเซอร์ข้อมูลในส่วนที่เป็น Sensitive Data ทั้งหมด ช่วยลดโอกาสที่ข้อมูลเหล่านี้ถูกเปิดเผย หรือหลุดออกไป
