ปรับอะไรกับงาน Recruitment เพื่อให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA)

งานสรรหาและคัดเลือกบุคลากร (Recruitment & Selection) ต้องทำการประมวลผลข้อมูลส่วนบุคคลแบบทั่วไป (General Data) และข้อมูลส่วนบุคคลแบบอ่อนไหว (Sensitive Data) หลายรายการ ซึ่งแต่ละแบบจะต้องกำหนดแนวปฏิบัติงานไว้ต่างกันไปบ้าง สำหรับการปรับงาน Recruitment เพื่อให้สอดคล้องกับกฎหมาย PDPA ขอแนะนำ 10 เรื่องต่อไปนี้
1. องค์กรควรสร้างช่องทางรับสมัครงานออนไลน์ หรือทำ e-Recruitment ขององค์กรเอง เพื่อเป็นช่องทางการรับสมัครเพิ่มเติมจากการใช้ผ่านช่องทางของ Recruitment Website ภายนอก
2. การสมัครงานเบื้องต้น องค์กรควรแจ้งผู้สมัครว่ายังไม่ต้องส่งข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว (Sensitive Data) เช่น ข้อมูลศาสนาที่นับถือ (เป็นข้อมูลพันธุกรรม) หรือแม้แต่โรคประจำตัว (เป็นข้อมูลสุขภาพ) แต่ขอให้ส่ง Resume ที่มีข้อมูลส่วนบุคคลทั่วไป (General Data) มาประกอบการพิจารณาก่อน หากผ่าน ก็ค่อยให้ผู้สมัครเขียนแบบฟอร์มสมัครงาน และให้ความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอีกครั้ง
3. แจ้งผู้สมัครงานที่จะนำส่งเอกสารประกอบการสมัคร เช่น สำเนาบัตรประจำตัวประชาชน สำเนาทะเบียนบ้าน เป็นต้น ซึ่งมักจะมีข้อมูลศาสนาที่นับถือ (เป็นข้อมูลส่วนบุคคลแบบอ่อนไหว) ตามที่ว่าไปก่อนหน้า โดยให้ลบหรือใช้ปากกาเคมีสีดำระบายทึบข้อมูลส่วนบุคคลอ่อนไหวไว้ ก่อนนำส่งมาให้องค์กร
4. องค์กรควรปรับปรุงใบสมัครงานให้มีเนื้อหาในส่วนขอความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไว้ให้กับผู้สมัครงานที่เป็นเจ้าของข้อมูลส่วนบุคคลลงนาม
5. ในกรณีที่กำหนดให้มีบุคคลอื่นเข้าไปเกี่ยวข้องกับงานสรรหาและคัดเลือก เช่น มอบหมายให้พนักงานประชาสัมพันธ์คอยต้อนรับผู้สมัครงาน กรณีนี้องค์กรต้องกำหนดให้พนักงานประชาสัมพันธ์ เป็น Authorized Person หรือผู้มีหน้าที่รับผิดชอบโดยตรงที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของผู้สมัครงาน
6. ควรกำหนดแหล่งจัดเก็บใบสมัครงาน และเอกสารประกอบของผู้สมัครงานให้ชัดเจน เพื่อป้องกันไม่ให้มีปัญหาข้อมูลส่วนบุคคลรั่วไหลในภายหลัง
7. ควรศึกษาให้ถี่ถ้วนว่ามี “กิจกรรมงาน” ใด และในกิจกรรมงานนั้นมี “วัตถุประสงค์” ใดบ้างที่จะต้องประมวลผลข้อมูลส่วนบุคคล โดยใช้ฐานความยินยอม (Consent) เพื่อที่จะได้ไปจัดทำแนวทางการขอความยินยอม (Consent) ทั้งที่เป็นความยินยอมในการประมวลผลข้อมูล (การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล) สำหรับข้อมูลส่วนบุคคลแบบทั่วไป และความยินยอมโดยแจ้งชัด (Explicit Consent) สำหรับข้อมูลส่วนบุคคลแบบอ่อนไหวให้เรียบร้อย
8. กำหนดมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้ครบถ้วนตามที่กฎหมายกำหนด โดยจัดทำนโยบาย เอกสาร และกำหนดวิธีปฏิบัติงานให้ชัดเจนว่าองค์กรของท่านจะทำการเก็บรักษาข้อมูลส่วนบุคคลไว้เป็นอย่างดี
9. จัดทำระบบในการตรวจสอบเพื่อดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคลของผู้สมัครงาน หรือทำให้ข้อมูลนั้นไม่สามารถระบุตัวบุคคลของผู้สมัครงานได้ ในกรณีที่พ้นกำหนดระยะเวลาในการเก็บรักษา
10. จัดทำ Privacy Notice หรือประกาศความเป็นส่วนตัวที่ต้องครอบคลุมถึงกลุ่มของเจ้าของข้อมูลส่วนบุคคลที่ครบถ้วนตามที่มาตรา 23 กำหนดไว้