Thai (TH) 
English (UK) 
ประวัติอาชญากรรมของลูกจ้าง จะเก็บเอาไว้ตลอดไป ระวังผิดตามกฎหมาย PDPA !
ต้องบอกว่าองค์กรปัจจุบันมีการตรวจสอบประวัติอาชญากรรมของลูกจ้างเกือบจะทุกตำแหน่งงาน แม้กฎหมายจะกำหนดหรือไม่กำหนดก็ตาม เพื่อเป็นการคัดกรองผู้สมัครก่อนตัดสินใจจ้างงาน ซึ่งข้อมูลดังกล่าวถือว่ามีความสำคัญ และเป็นข้อมูลอ่อนไหว (Sensitive Data) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มาตรา 26 และองค์กรจะทำอย่างไรให้การเก็บข้อมูลประวัติอาชญากรรมถูกต้องตามกฎหมาย และเป็นไปตาม PDPA
ถ้าอ้างอิงตามกฎหมาย PDPA การจะเก็บประวัติอาชญากรรมนั้น หากไม่มีกฎหมายอื่นกำหนดให้ลูกจ้างต้องตรวจประวัติอาชญากรรมก่อนเข้าทำงาน องค์กรจะต้องทำการ “ขอความยินยอม” ก่อนการจัดเก็บข้อมูล โดยต้องได้รับความยินยอมอย่างชัดแจ้ง และต้องให้ความเป็นอิสระในการให้ความยินยอมของเจ้าของข้อมูลด้วย รวมถึงเมื่อได้ข้อมูลมา ผู้ควบคุมข้อมูลจะต้องมีมาตรการการจัดเก็บ รักษาข้อมูลประวัติอาชญากรรมดังกล่าวไว้ตามมาตรา 37 (1)
เมื่อวันที่ 28 ธันวาคม 2566 มีกฎหมายลำดับรอง เรื่องหลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสำหรับการเก็บรวบรวมข้อมูลส่วนบุคคล เกี่ยวกับประวัติอาชญากรรมที่มิได้กระทำภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย พ.ศ. 2566 ประกาศออกมาถึงหลักเกณฑ์ที่สำคัญในการจัดเก็บข้อมูลประวัติอาชญากรรม โดยใจความสำคัญของประกาศดังกล่าว มีดังนี้
1. ถ้ากฎหมายอื่นไม่ได้กำหนดให้ต้องตรวจสอบประวัติอาชญากรรม องค์กรไม่สามารถทำการตรวจสอบประวัติอาชญากรรมผู้สมัครงานได้
2. ถ้าองค์กรต้องการตรวจสอบประวัติอาชญากรรมในกรณีกฎหมายไม่ได้กำหนด ต้องทำการขอความยินยอมเจ้าของข้อมูลส่วนบุคคล ตามหลักมาตรา 19 เรื่องการขอความยินยอม
3. เมื่อมีการใช้ข้อมูลประวัติอาชญากรรมตามวัตถุประสงค์ (พิจารณาเพื่อการรับสมัครงาน พิจารณาปรับเปลี่ยนตำแหน่งงาน) เรียบร้อยแล้ว สามารถจัดเก็บข้อมูลดังกล่าวไว้ได้ไม่เกิน 6 เดือน นับจากเสร็จสิ้นวัตถุประสงค์การใช้งาน โดยให้ลบ ทำลายข้อมูลประวัติอาชญากรรมดังกล่าวให้ไม่สามารถระบุตัวตนเจ้าของข้อมูลได้ แต่ถ้าองค์กรต้องการจะจัดเก็บเอาไว้นานกว่าที่กฎหมายกำหนด อาจพิจารณาถึงความจำเป็นของการจัดเก็บข้อมูล และต้องขอความยินยอมกับเจ้าของข้อมูลอย่างชัดแจ้งเกี่ยวกับระยะเวลาที่ต้องการจะจัดเก็บ และระบุวัตถุประสงค์ในการเก็บข้อมูลเกินกว่าที่กฎหมายกำหนดอย่างชัดเจนด้วย
4. ประกาศดังกล่าวบังคับใช้นับแต่วันที่ประกาศไปอีก 90 วัน นั่นคือ จะมีผลบังคับใช้วันที่ 27 มีนาคม 2567
โดยแม้ข้อมูลในรูปแบบกระดาษจะทำลายไปแล้ว ข้อมูลที่บันทึกบนระบบ ก็ไม่สามารถที่จะจัดเก็บได้เช่นเดียวกัน กล่าวคือข้อมูลทุกรูปแบบที่สามารถบ่งบอกได้ว่าบุคคลนั้นมีหรือไม่มีประวัติอาชญากรรม และหลายท่านอาจมีคำถามว่า แล้วข้อมูลประวัติอาชญากรรมที่เก็บมาก่อนหน้าวันที่ 27 มีนาคม 2567 จะต้องทำยังไงบ้าง ต้องบอกว่าประกาศฯอาจไม่ได้บอกข้อมูลตรงนี้มาอย่างชัดเจน แต่ถ้าตีความแล้วจะพบว่า ประกาศดังกล่าวเป็นกฎหมายฉบับรอง ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งตามมาตรา 95 บอกอย่างชัดเจนว่า ข้อมูลที่ถูกจัดเก็บหลังวันที่ 1 มิถุนายน 2565 ต้องดำเนินการให้เป็นไปตามกฎหมาย PDPA จึงสมควรยึดหลักการตามกฎหมายหลัก
ฉะนั้นวันนี้องค์กรต้องเริ่มตรวจสอบข้อมูลย้อนหลัง ว่าข้อมูลประวัติอาชญากรรมของลูกจ้างคนไหน ที่เกินกำหนดระยะเวลาตามกฎหมายแล้ว ให้รีบลบหรือทำลายข้อมูลดังกล่าวไม่ให้ระบุตัวตนได้ และพิจารณาแนวทางการจัดเก็บข้อมูลในอนาคต ให้เป็นไปตามที่กฎหมายกำหนด
หากท่านกำลังมองหาที่ปรึกษา หรือบริการอื่นๆ ที่เกี่ยวข้องกับ PDPA สามารถติดต่อได้ที่ คุณกัญทิมา หุมากรณ์ 02-596-0500 ต่อ 327 ถ้าชอบก็อย่าลืมกด Like และกดติดตาม Facebook Fan Page “บริษัท ตรวจสอบภายในธรรมนิติ จำกัด” ของเราด้วยนะคะ ท่านจะได้ไม่พลาดเนื้อหาดีๆ ในครั้งถัดไป สำหรับวันนี้ก็ขอกล่าวคำว่า “ขอบคุณ และสวัสดีค่ะ”
แหล่งอ้างอิง: ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมที่มิได้กระทำภายใต้การควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย พ.ศ. 2566
ผู้เขียน : คุณโศรญา กมลวานนท์ (แผนกตรวจสอบการกำกับดูแล)
ผู้เรียบเรียง : คุณเอกรัตน์ บุญรัตนกลิน และคุณผดุงเกียรติ จำชาติ