i-PDPA GCME
20 มิถุนายน 2568
ในการคัดเลือกสรรหาพนักงานในปัจจุบัน องค์กรได้ใช้เครื่องมือ และแนวทางหลายอย่างเพื่อให้ได้ข้อมูลมาประกอบการพิจารณาเพื่อให้มั่นใจได้ว่า องค์กรได้คัดกรอง คัดเลือกคนที่มีความเหมาะสมที่สุด มีคุณสมบัติที่ถูกต้อง เป็นทั้งคนดี คนเก่งในแบบที่องค์กรต้องการ
เครื่องมือหนึ่งที่มีการปรับใช้กับในเกือบทุกองค์กร คือ การตรวจสอบประวัติการทำงานย้อนหลังในที่ทำงานเดิมของผู้สมัครงาน ซึ่งมีทั้งหน่วยงาน HR ขององค์กรที่ทำการคัดเลือกสรรหาพนักงานดำเนินการเอง และมีทั้งองค์กรที่คัดเลือกสรรหาว่าจ้างให้บริษัทข้างนอกช่วยทำการตรวจสอบประวัติให้กับพนักงาน
ในบทบาทของ DPO ผมได้เคยให้ความเห็นต่อหน่วยงาน HR ที่ได้รับคำร้องขอจากบริษัทตรวจสอบประวัติที่มีลักษณะเป็นข้อมูลส่วนบุคคลว่า ควรจะดำเนินการอย่างไรจากการทีมีบริษัทตรวจสอบประวัติพนักงานส่งอีเมล์และโทรศัพท์มาตรวจสอบประวัติพนักงานที่ลาออกไปแล้วท่านหนึ่งตามที่ลูกค้าที่กำลังเตรียมการจ้างงานพนักงานท่านนี้แจ้งมา ผมจึงขอนำแนวทางที่ได้ดำเนินการไปมาแบ่งปันประสบการณ์ดังนี้ครับ
ขั้นตอนแรก ตรวจสอบรายละเอียดว่า บริษัทตรวจสอบประวัตินั้นได้ขอข้อมูลอะไรไป
เพื่อจะได้ทราบว่า การขอตรวจสอบประวัตินั้นมีการขอให้เปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวอยู่ด้วยหรือไม่ หรือมีเฉพาะข้อมูลส่วนบุคคลทั่วไป เพราะการดำเนินการขั้นต่อไปจะมีรายละเอียดที่แตกต่างกันอยู่บ้าง
ขั้นตอนที่สอง ตรวจทานว่า การขอเก็บรวบรวมของต้นทางทั้งสองบริษัท คือ บริษัทที่คัดเลือกสรรหาพนักงาน และบริษัทที่ถูกว่าจ้างให้ช่วยตรวจสอบประวัติผู้สมัครงาน ทำถูกต้องตาม PDPA หรือไม่
ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องแจ้ง Privacy Notice แก่ผู้สมัครงานหากเก็บข้อมูลส่วนบุคคลทั่วไป หรือ ทำหนังสือขอความยินยอมจากผู้สมัครงานหากมีการเก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหว โดยต้องแจ้งหรือขอความยินยอมใน “ขณะ” หรือ “ก่อน” การเก็บรวบรวม
ดังนั้น DPO ของบริษัทที่ถูกขอข้อมูลก็จะต้องสอบถามบริษัทตรวจสอบประวัติว่า บริษัทลูกค้าที่ทำการคัดเลือกพนักงานได้มีการแจ้ง Privacy Notice ไว้แล้วหรือไม่ และหากมีการขอข้อมูลส่วนบุคคลที่มีความอ่อนไหวจากผู้สมัครที่เป็นเจ้าของข้อมูลส่วนบุคคล ได้มีการขอความยินยอมแล้วหรือไม่ โดยขอให้บริษัทตรวจสอบประวัติส่งสำเนา Privacy Notice และหนังสือขอความยินยอมมาให้ DPO ได้สอบทาน
เหตุผลที่ DPO จะต้องสอบทานดังข้างต้นก็เพราะ ผู้สมัครที่เป็นเจ้าของข้อมูลส่วนบุคคลได้พ้นสภาพพนักงานไปแล้ว เป็นบุคคลภายนอกที่บริษัทเดิมจะเปิดเผยข้อมูลให้กับบุคลภายนอกหากไม่ได้ หากเจ้าของข้อมูลส่วนบุคคลไม่ยินยอม แต่บริษัทเดิมเปิดเผยออกไปก็จะมีความผิดทางอาญาต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
ขั้นตอนที่สาม พิจารณาตัดสินใจว่าควรให้ข้อมูลหรือไม่
เมื่อได้ข้อมูลดังขั้นตอนที่สองมาแล้ว ให้พิจารณาว่า Privacy Notice และหนังสือขอความยินยอมนั้นมีเนื้อหาที่ครบถ้วนถูกต้องตาม PDPA หรือไม่
- ถ้าครบถ้วนก็เปิดเผยข้อมูลตามที่ร้องขอ พร้อมบันทึกรายละเอียดการเปิดเผยข้อมูลเอาไว้
- ถ้าไม่ครบถ้วนถูกต้องตาม PDPA DPO ควรแนะนำหน่วยงาน HR ให้ปฏิเสธการให้ข้อมูลเพื่อปิดความเสี่ยงที่จะเกิดขึ้นจากการเปิดเผยข้อมูลอย่างไม่ถูกต้อง
ซึ่งกรณีของผมเองในบทบาทของ DPO ผมได้ตัดสินใจแจ้งหน่วยงาน HR ไม่ให้แจ้งเปิดเผยข้อมูลต่อบริษัทตรวจสอบประวัติ เพราะหนังสือขอความยินยอมที่บริษัทตรวจสอบประวัติพนักงานให้เจ้าของข้อมูลส่วนบุคคลลงนามยินยอม ไม่ได้มีเนื้อหาที่ครบถ้วนตามที่กำหนดไว้ใน PDPA ซึ่งจะทำให้การเปิดเผยข้อมูลของเรามีความเสี่ยงที่จะละเมิดการคุ้มครองข้อมูลส่วนบุคคลได้
