การรับสมัครพนักงานเป็นงานที่ฝ่าย HR ต้องจัดการข้อมูลส่วนบุคคลของผู้สมัครงานเป็นจำนวนมาก เพื่อให้การทำงานนี้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) บทความนี้จึงรวบรวมแนวทางปฏิบัติและ Checklist ที่ฝ่าย HR ต้องรู้ ตั้งแต่เอกสารและขั้นตอนที่จำเป็นตามกฎหมาย รวมถึงข้อพิจารณาในการเลือกข้อมูลที่จำเป็นและไม่จำเป็นในใบสมัครงาน
1. วางแผนก่อนการเก็บข้อมูลส่วนบุคคล
ในกระบวนการรับสมัครงาน องค์กรจะต้องปฏิบัติตามหลักการใช้ข้อมูลให้น้อยที่สุด หรือ หลักการ Data Minimization ตามมาตรา 22 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมข้อมูลเฉพาะที่จำเป็น เพียงพอ และเกี่ยวข้องกับวัตถุประสงค์ในการเก็บรวบรวมเท่านั้น ในบริบทของการรับสมัครงาน ฝ่าย HR จึงต้องระมัดระวังไม่ให้เก็บข้อมูลส่วนเกินที่ไม่เกี่ยวข้องกับการประเมินคุณสมบัติของผู้สมัคร
• การประเมินความจำเป็นของข้อมูล
ฝ่าย HR ควรประเมินข้อมูลแต่ละประเภทด้วยคำถามว่า "หากขาดข้อมูลนี้ จะส่งผลต่อการตัดสินใจในการคัดเลือกผู้สมัครหรือไม่" หากคำตอบคือไม่ส่งผล ก็ไม่ควรเก็บข้อมูลนั้น
• ความระมัดระวังพิเศษกับข้อมูลอ่อนไหว
ข้อมูลส่วนบุคคลประเภทอ่อนไหวตามมาตรา 26 ของพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ จำเป็นต้องได้รับการคุ้มครองเป็นพิเศษ เนื่องจากมีความเสี่ยงสูงต่อการถูกเลือกปฏิบัติหรือกระทบสิทธิเสรีภาพของเจ้าของข้อมูล ดังนั้น หากไม่มีความจำเป็นอย่างแท้จริงที่เกี่ยวข้องโดยตรงกับลักษณะของงาน ฝ่าย HR ไม่ควรเก็บรวบรวมข้อมูลเหล่านี้
• ข้อมูลระบุตัวตน (ชื่อ-นามสกุล, ข้อมูลติดต่อ)
• ประวัติการศึกษาที่เกี่ยวข้องกับตำแหน่ง
• ประวัติการทำงานและประสบการณ์ที่เกี่ยวข้อง
• ข้อมูลสุขภาพ (ยกเว้นตำแหน่งที่กฎหมายกำหนด)
• ความเชื่อทางศาสนา
• ความคิดเห็นทางการเมือง
• ประวัติอาชญากรรม (ยกเว้นตำแหน่งที่เกี่ยวข้องกับความปลอดภัย)
• การปรับแต่งแบบฟอร์มสมัครงาน
• ขอเฉพาะข้อมูลที่จำเป็นต่อการประเมินคุณสมบัติ
• หลีกเลี่ยงคำถามที่อาจเป็นการเลือกปฏิบัติ
• ให้ผู้สมัครเลือกได้ว่าจะเปิดเผยข้อมูลส่วนบุคคลอ่อนไหวหรือไม่
• ขอสำเนาบัตรประชาชนที่มีการปิดบังข้อมูลศาสนา
• เก็บเฉพาะส่วนของเอกสารที่จำเป็น
• ให้ผู้สมัครทำการปิดบังข้อมูลที่ไม่จำเป็นด้วยตนเอง
การปฏิบัติตามหลักการนี้ไม่เพียงช่วยให้องค์กรปฏิบัติตามกฎหมายเท่านั้น แต่ยังช่วยสร้างความไว้วางใจจากผู้สมัครงาน ลดความเสี่ยงจากการรั่วไหลของข้อมูล และทำให้กระบวนการรับสมัครมีประสิทธิภาพมากขึ้นด้วยการมุ่งเน้นไปที่ข้อมูลที่สำคัญจริงๆ
2. การเก็บข้อมูลส่วนบุคคลอ่อนไหว (sensitive data)
แม้ตามหลัก data minimization จะให้เก็บข้อมูลเท่าที่จำเป็น หลีกเลี่ยงการเก็บข้อมูลอ่อนไหว แต่ลักษณะการทำงานบางตำแหน่งงานอาจก็มีความจำเป็นต้องเก็บข้อมูลส่วนบุคคลอ่อนไหวเพื่อพิจารณาว่าผู้สมัครมีคุณสมบัติที่เหมาะสมสอดคล้องกับสภาพการทำงานหรือไม่ เช่น
- อาชีพซึ่งเกี่ยวข้องการกระบวนการยุติธรรม เช่น ตำรวจ จำเป็นต้องเก็บข้อมูลประวัติอาชญากรรมตามกฎ ก.ตร. ว่าด้วยคุณสมบัติและลักษณะต้องห้ามของการเป็นข้าราชการตำรวจ
- กลุ่มอาชีพขนส่ง เช่น พนักงานขับรถบรรทุก พนักงานขับรถโดยสาร นักบินพาณิชย์ บุคคลทำงานบนเรือ จำเป็นต้องมีการตรวจสอบข้อมูลประวัติอาชญากรรม ข้อมูลสุขภาพ
จากกลุ่มอาชีพตัวอย่างข้างต้น หากพิจารณาจากสภาพงาน พบว่า เป็นอาชีพที่เกี่ยวข้องกับชีวิตและทรัพย์สินของผู้รับบริการ ดังนั้น เพื่อสร้างความเชื่อมั่นแก่ผู้รับบริการและสังคมโดยรวม การเก็บข้อมูลอ่อนไหวเพื่อสมัครตำแหน่งงานดังกล่าว จึงเป็นการป้องกันผู้มีพฤติกรรมเสี่ยงต่อความปลอดภัยเข้ามาทำงาน อีกทั้งเป็นการสร้างความมั่นใจแก่นายจ้างได้ว่า ผู้สมัครมีความพร้อมสามารถเข้าทำงานได้อย่างมีประสิทธิภาพ
3. ขั้นตอนการรับสมัครและสัมภาษณ์พนักงาน
ในขั้นตอนนี้ องค์กรจะต้องเตรียมความพร้อมทั้งด้านเอกสารและกระบวนการเพื่อให้สอดคล้องกับหลักการคุ้มครองข้อมูลส่วนบุคคล โดยประกอบด้วยขั้นตอนสำคัญ ได้แก่ การจัดเตรียมเอกสารที่จำเป็น และการรักษาความปลอดภัยข้อมูล
3.1 การจัดเตรียมเอกสารที่จำเป็น
• ประกาศความเป็นส่วนตัว (Privacy Notice)
องค์กรในฐานะผู้ควบคุมข้อมูลมีหน้าที่แจ้งให้ผู้สมัครทราบถึงรายละเอียดการเก็บ ใช้ และคุ้มครองข้อมูลส่วนบุคคล และควรแจ้งตั้งแต่ขั้นตอนประกาศรับสมัคร โดยอาจพิจารณาแนบเอกสารประกาศความเป็นส่วนตัวไปกับแบบฟอร์มรับสมัคร หรือประกาศบนเว็บไซต์
• แบบฟอร์มรับสมัครงาน
แก้ไขแบบฟอร์มรับสมัครงานโดยเลือกเก็บเฉพาะข้อมูลที่จำเป็น และทำเครื่องหมายให้ผู้สมัครงานทราบว่าข้อมูลใดจำเป็น/ไม่จำเป็นต้องกรอก
• เอกสารขอความยินยอม (Consent Form)
สำหรับกรณีที่มีการนำข้อมูลส่วนบุคคลไปใช้ในกระบวนการอื่นซึ่งไม่เกี่ยวข้องกับกระบวนการรับสมัครงานและองค์กรไม่สามารถอ้างอิงฐานการประมวลผลอื่นตามมาตรา 24 เพื่อการประมวลผลข้อมูลดังกล่าวหรือกรณีมีการเก็บข้อมูลอ่อนไหวโดยไม่มีกฎหมายให้อำนาจ หรือไม่เข้าข้อยกเว้นตามมาตรา 26
3.2 การจัดมาตรการรักษาความปลอดภัยข้อมูล
ตลอดกระบวนการรับสมัครงาน องค์กรจะต้องจัดให้มีระบบรักษาความมั่นคงปลอดภัยที่เหมาะสมกับประเภทข้อมูลของผู้สมัครที่เก็บ เช่น
• การล็อกตู้เอกสาร
• การตั้งรหัสผ่านคอมพิวเตอร์
• การจำกัดสิทธิการเข้าถึงเฉพาะผู้รับผิดชอบที่เกี่ยวข้องกับการพิจารณารับสมัครงานเท่านั้น
4. การจัดการข้อมูลหลังเสร็จสิ้นกระบวนการรับสมัครงาน
เมื่อกระบวนการรับสมัครเสร็จสิ้นแล้ว ประเด็นสำคัญที่องค์กรต้องตัดสินใจคือการจัดการข้อมูลของผู้สมัคร โดยเฉพาะข้อมูลของผู้ที่ไม่ผ่านการคัดเลือก ซึ่งมี 2 แนวทางหลัก ดังนี้
4.1 การลบทำลายข้อมูลทันที
หลักการพื้นฐานคือ องค์กรต้องมีนโยบายที่ชัดเจนในการลบทำลายข้อมูลของผู้สมัครที่ไม่ผ่านการคัดเลือก โดย
• พิจารณาลบทันทีเมื่อเสร็จสิ้นการพิจารณา
• กำหนดขั้นตอนการลบทำลายที่ชัดเจน
4.2 การเก็บรักษาข้อมูลเพื่อใช้ในอนาคต
หากองค์กรต้องการเก็บข้อมูลของผู้สมัครที่ไม่ผ่านการคัดเลือกเพื่อพิจารณาในโอกาสต่อไป จะต้องดำเนินการตามขั้นตอนที่ถูกต้อง ดังนี้
• จะมีการเก็บรักษาข้อมูลของผู้สมัครต่อไปแม้ว่าจะไม่ผ่านการคัดเลือก โดยกำหนดระยะเวลาที่เหมาะสมเพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้
• วัตถุประสงค์เพื่อการพิจารณาเมื่อบริษัทเปิดรับตำแหน่งที่เหมาะสมในอนาคต
• แจ้งแก้ไข เปลี่ยนแปลง อัปเดตข้อมูล
• ขอให้ลบข้อมูลของตัวเองได้ตลอดเวลา
การเก็บบันทึกข้อมูลประวัติอาชญากรรม มีกำหนดระยะเวลาพิเศษตามประกาศสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ดังนี้
• เก็บรักษาไว้ได้ไม่เกิน 6 เดือน นับตั้งแต่วันที่เสร็จสิ้นกระบวนการพิจารณา เว้นแต่จะมีกฎหมายให้อำนาจหรือกำหนดให้องค์กรเก็บรักษาข้อมูลประวัติอาชญากรรมนานกว่า 6 เดือน หรือองค์กรได้รับความยินยอมจากเจ้าของข้อมูลให้เก็บข้อมูลนานกว่า 6 เดือน
• หลังจากนั้นต้องลบ ทำลาย หรือทำให้ข้อมูลไม่สามารถระบุตัวตนได้
จะเห็นได้ว่า หากดำเนินการตาม Checklist ข้างต้นนี้ การรับสมัครงานให้ถูกต้องตาม PDPA ก็ไม่ใช่เรื่องที่ยากแต่อย่างใด บุคลากรเป็นส่วนสำคัญของทุกหน่วยงาน การดูแลข้อมูลส่วนบุคคลของบุคลากรให้ดีตั้งแต่เริ่มต้นเป็นส่วนหนึ่งที่สามารถเพิ่มแต้มต่อในการแข่งขันทางธุรกิจของการแย่งชิงบุคลากรที่มีความสามารถเข้ามาร่วมงานในองค์กรได้ หากมีข้อสงสัยเกี่ยวกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล Athentic Consulting ยินดีให้บริการเพื่อสนับสนุนการดำเนินการของธุรกิจของท่าน
