การคุ้มครองข้อมูลส่วนบุคคลสำหรับการบริหารทรัพยากรบุคคล
บทนำ
เนื่องด้วยธนาคารทหารไทยธนชาต จำกัด (มหาชน) (“ธนาคาร”) และบริษัทในกลุ่มธุรกิจของธนาคารได้เล็งเห็นถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลตามหลักการของกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยมีรายละเอียดดังนี้
- ข้อมูลส่วนบุคคลจะต้องถูกประมวลผลโดยชอบด้วยกฎหมาย มีความเป็นธรรมและโปร่งใส จะต้องไม่นำไปประมวลผลต่อในลักษณะที่ไม่สอดคล้องกับวัตถุประสงค์ที่ได้รับอนุญาตจากเจ้าของข้อมูลส่วนบุคคลหรือขัดต่อกฎหมายหรือกฎเกณฑ์ของทางการ
- เก็บรวบรวมข้อมูลส่วนบุคคลเฉพาะที่จำเป็น (Data Minimization) เกี่ยวข้องกับวัตถุประสงค์ที่ระบุไว้อย่างชัดเจน (Purpose Limitation) ไม่ขัดต่อกฎหมาย เป็นธรรมและโปร่งใส (Lawfulness, Fairness and Transparency)
ทั้งนี้ หน่วยงานทรัพยากรบุคคลยังสามารถประมวลผลข้อมูลส่วนบุคคลที่ธนาคารได้ เก็บรวบรวมก่อนวันที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จะมีผลบังคับใช้อย่างเต็มรูปแบบในวันที่ 1 มิถุนายน 2565 โดยอ้างอิงการขออนุญาตและวัตถุประสงค์การใช้ที่มีแต่เดิมอย่างเคร่งครัดและหากมีความจำเป็นต้องขอใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ใหม่ ให้ดำเนินการขอความยินยอมจากเจ้าของข้อมูลอย่างชัดแจ้ง
- ข้อมูลส่วนบุคคลควรมีคุณภาพ คือ มีความถูกต้อง (Accurate) สมบูรณ์ (Complete) และเป็นปัจจุบัน (Up-to-Date) หากพบข้อมูลใดไม่มีคุณภาพจะต้องดำเนินการปรับปรุงแก้ไขโดยไม่ล่าช้า
- ข้อมูลส่วนบุคคลจะต้องไม่เก็บเกินความจำเป็นและต้องเก็บในระยะเวลาที่เหมาะสม (Storage Limitation) หรือตามที่กฎหมายกำหนด เพื่อป้องกันความเสี่ยงกรณีข้อมูลรั่วไหลและอาจสร้าง ความเสียหายให้กับเจ้าของข้อมูลส่วนบุคคลและธนาคารในอนาคต
- ในการประมวลผลข้อมูลส่วนบุคคลจะต้องมีมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูล ส่วนบุคคล และข้อมูลส่วนบุคคลจะต้องมีความสมบูรณ์ ถูกต้อง โดยจัดให้มีมาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard) ที่มีความเหมาะสมเพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) มีหน้าที่และความรับผิดชอบในการปฏิบัติตามกฎหมายและกฎหมายลำดับรองที่เกี่ยวข้อง
ทั้งนี้ เพื่อให้การบริหารงานทรัพยากรบุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของพนักงาน อดีตพนักงาน ผู้สมัครงาน หรือผู้ที่เกี่ยวข้องกับงานบริหารทรัพยากรบุคคลอื่น ๆ เช่น บุคคลธรรมดาที่ธนาคารว่าจ้างมาเป็นที่ปรึกษาประจำอยู่ในหน่วยงานต่าง ๆ ภายในธนาคาร เป็นต้น มีความสอดคล้องกับหลักการดังกล่าวข้างต้น หน่วยงานทรัพยากรบุคคลจึงกำหนดให้มีมาตรฐานป้องกันและลดความเสี่ยงที่มีผลกระทบต่อข้อมูลส่วนบุคคลอันอาจสร้างความเสียหายในระดับบุคคลหรือองค์กรได้
วัตถุประสงค์
- เพื่อให้การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลได้รับความคุ้มครองและปราศจาก การล่วงละเมิดความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล
- เพื่อให้สามารถบริหารจัดการข้อมูลอย่างเป็นระบบ และหาวิธีการป้องกันข้อมูลประเภท ต่าง ๆ ไม่ให้รั่วไหลได้อย่างเหมาะสมและดีที่สุด
- เพื่อให้สามารถแยกประเภทของข้อมูลส่วนบุคคลของพนักงาน ผู้สมัครงานหรือบุคคลภายนอกตามการจัดชั้นของข้อมูล (Data Classification) เพื่อกำหนดมาตรการป้องกันข้อมูลรั่วไหลและทำการบริหารจัดการข้อมูลอย่างเป็นระบบ ให้เข้าถึงง่าย สะดวก และรวดเร็วในการเข้าถึงข้อมูลนั้น ๆ
ขอบเขต
เอกสารฉบับนี้ครอบคลุมการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของพนักงาน อดีตพนักงาน ผู้สมัครงานกับธนาคาร และบริษัทในกลุ่มธุรกิจของธนาคาร โดยวิธีการทางอิเล็กทรอนิกส์และในระบบการจัดเก็บเอกสารที่เป็นเอกสารต้นฉบับและสำเนาที่เข้าถึงได้อย่างเป็นระบบ ซึ่งข้อมูลดังกล่าวธนาคารนำมาเพื่อใช้ในการบริหารทรัพยากรบุคคล สวัสดิการ การอบรมให้ความรู้ และเพื่อปฏิบัติตามที่กฎหมายกำหนด
คำจำกัดความ
ธนาคาร หมายถึง ธนาคารทหารไทยธนชาต จำกัด (มหาชน) และบริษัทในกลุ่มธุรกิจของธนาคาร
พนักงาน หมายถึง บุคคลผู้ซึ่งตกลงทำงานให้กับธนาคาร หรือบริษัทในกลุ่มธุรกิจของธนาคาร โดยได้รับค่าจ้างเป็นค่าตอบแทนในการทำงานตามสัญญาจ้าง ให้หมายความรวมถึงพนักงานสัญญาจ้างและบุคคลภายนอก (Outsource) ด้วย
อดีตพนักงาน หมายถึง บุคคลผู้ซึ่งพ้นสภาพจากการเป็นพนักงานของธนาคาร หรือบริษัทในกลุ่มธุรกิจของธนาคารแล้วไม่ว่าด้วยเหตุใด ๆ ก็ตาม
ผู้สมัครงาน หมายถึง บุคคลผู้สนใจและแจ้งความประสงค์เข้ารับการคัดเลือกเป็นพนักงานของธนาคาร หรือบริษัทในกลุ่มธุรกิจของธนาคารตามตำแหน่งงานที่เปิดรับสมัครและยังไม่ได้ลงนามสัญญาจ้าง หรือลงนามสัญญาจ้างแต่ไม่ได้เริ่มงานตามที่ได้ตกลง
ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
ข้อมูลส่วนบุคคลอ่อนไหว หมายถึง ข้อมูลส่วนบุคคลประเภทที่ระบุไว้ในข้อ 2 ของเอกสารฉบับนี้
ผู้ควบคุมข้อมูลส่วนบุคคล หมายถึง บุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
ประมวลผล หมายถึง การดำเนินการหรือชุดการดำเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น การจัดเก็บ รวบรวม การบันทึก การจัดระบบ จัดโครงสร้าง การอัปเดตหรือการแก้ไข การดึงข้อมูล การใช้ การเปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำใด ๆ เพื่อให้พร้อมใช้งาน การใช้ การรวม การบล็อก การลบ หรือ การทำลายข้อมูลซึ่งครอบคลุมรูปแบบกระดาษและอิเล็กทรอนิกส์
หลักเกณฑ์
ประเภทของข้อมูลส่วนบุคคลของพนักงาน อดีตพนักงาน และผู้สมัครงานกับธนาคาร
- ข้อมูลส่วนบุคคลทั่วไป
- • รูปถ่าย
- • ชื่อ-นามสกุล
- • ข้อมูล/สำเนาเอกสารการเปลี่ยนชื่อ-นามสกุล (ถ้ามี)
- • ชื่อ-นามสกุลของคู่สมรส บุตร บิดามารดา พี่น้อง
- • สัญชาติ
- • วัน เดือน ปีเกิด
- • เลขที่บัตรประจำตัวประชาชน หรือเลขที่หนังสือเดินทาง (พาสปอร์ต)
- • ที่อยู่อาศัยตามสำเนาบัตรประชาชน หรือที่อยู่อาศัยปัจจุบัน
- • เบอร์โทรศัพท์ หรืออีเมลส่วนตัว
- • วุฒิการศึกษา หรือผลการศึกษา (Transcript)
- • ประสบการณ์การทำงาน หรือประวัติการทำงาน (CV)
- • ค่าจ้างและค่าตอบแทน
- • ชื่อและเลขที่บัญชีธนาคาร
- • ข้อมูลผู้รับผลประโยชน์กรณีพนักงานเสียชีวิต
- ข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว
- • ศาสนา และกรุ๊ปเลือดที่ปรากฎอยู่ในสำเนาบัตรประจำตัวประชาชน
- • ประวัติการตรวจสุขภาพก่อนเข้าทำงาน และประวัติการรักษาพยาบาล
- • ประวัติอาชญากรรม
- • ข้อมูลสถานะเครดิต
- • ข้อมูลประเภทความพิการ
- วัตถุประสงค์ของการเก็บ/ใช้/เปิดเผยข้อมูลส่วนบุคคล
- 3.1 เพื่อปฏิบัติตามข้อกำหนดของระเบียบธนาคารแห่งประเทศไทย เรื่อง การว่าจ้างของผู้บริหารของสถาบันการเงิน ตามพระราชบัญญัติธุรกิจสถาบันการเงิน
- 3.2 เพื่อปฏิบัติตามกฎหมายที่เกี่ยวข้องกับการจ้างแรงงานและการบริหารจัดการสวัสดิการ เช่น กฎหมายคุ้มครองแรงงานเพื่อจัดทำทะเบียนลูกจ้าง กฎหมายความปลอดภัย การขึ้นทะเบียนประกันสังคมและการนำส่งเงินประกันสังคม การจ่ายเงินและนำส่งเข้ากองทุนสำรองเลี้ยงชีพ การนำส่งประวัติการอบรมให้กับกรมพัฒนาฝีมือแรงงาน การทำบัญชีและรายงานการนำส่งเงิน หักภาษีเงินได้บุคคลธรรมดา
- 3.3 เพื่อให้ธนาคารนำมาประกอบการพิจารณาเรื่องคุณสมบัติของพนักงานเพื่อให้ตรงกับตำแหน่ง หน้าที่และความรับผิดชอบ รวมถึงการหลีกเลี่ยงความเสี่ยงที่จะเกิดขึ้นและก่อให้เกิดความเสียหายต่อธนาคาร โดยธนาคารได้กำหนดเรื่องดังกล่าวขึ้นเป็นระเบียบข้อบังคับในการทำงาน หรือระเบียบปฏิบัติภายในแล้วแต่กรณี
- 3.4 เพื่อให้ธนาคารนำมาประกอบเป็นหลักฐานในการจ่ายผลประโยชน์และค่าตอบแทนให้กับพนักงาน
- 3.5 เพื่อเป็นหลักฐานในการตรวจสอบตามหลักการตรวจสอบและการบัญชี
- 3.6 เพื่อเป็นหลักฐานกรณีจำเป็นต้องดำเนินคดีกรณีมีข้อพิพาทแรงงาน
- 3.7 เพื่อประโยชน์ในการบริหารงานบุคคลต่าง ๆ ภายใต้ขอบเขตตามสัญญาจ้างแรงงาน
- ฐานกฎหมายที่ใช้ในการเก็บรวบรวมข้อมูลส่วนบุคคล
- 4.1 ธนาคารมีหลักการเก็บข้อมูลส่วนบุคคล ดังนี้
- (1) ข้อมูลส่วนบุคคลทั่วไปของพนักงาน ธนาคารจะจัดเก็บข้อมูลโดยอาศัยฐานสัญญาจ้างแรงงาน และการปฏิบัติตามกฎหมายที่เกี่ยวข้องกำหนด
- (2) ข้อมูลส่วนบุคคลทั่วไปของผู้สมัครงาน ธนาคารจะจัดเก็บข้อมูลโดยอาศัยฐานความยินยอมจากผู้สมัครงาน
- (3) ข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวของพนักงาน ธนาคารจะจัดเก็บข้อมูลโดยอาศัยฐานความยินยอมจากพนักงานเป็นการเฉพาะในแต่ละกรณี
- 4.2 ธนาคารมีวิธีการจัดเก็บข้อมูล หรือเอกสารข้อมูลส่วนบุคคล ที่เป็นมาตรฐาน มีระบบการควบคุม และสามารถตรวจสอบการเข้าถึงฐานข้อมูลได้ โดยมีวิธีการจัดเก็บดังนี้
- (1) เอกสารข้อมูลส่วนบุคคล จะจัดเก็บไว้ในแฟ้มประวัติของพนักงานแต่ละราย เพื่อใช้ยืนยันตัวตนของพนักงาน ประกอบการบริหารงานบุคคลตามสัญญาจ้าง และ/หรือปฏิบัติตามที่กฎหมายกำหนด
- (2) ข้อมูลส่วนบุคคล จะบันทึกลงในระบบสารสนเทศทรัพยากรบุคคล (HCM) เพื่อใช้สำหรับประกอบการบริหารงานบุคคลตามสัญญาจ้างและ/หรือปฏิบัติตามที่กฎหมายกำหนด โดยธนาคารได้กำหนดวิธีการเข้าถึงข้อมูล การใช้ข้อมูล และการขอข้อมูลระหว่างหน่วยงานภายในธนาคาร ดังนี้
- การกำหนดสิทธิเข้าถึงข้อมูล
หัวหน้างานจะเป็นผู้พิจารณาสิทธิการเข้าถึงข้อมูลของพนักงานตามหน้าที่ความรับผิดชอบ และแจ้งคำขอสิทธิเข้าถึงข้อมูลมายังหน่วยงานสารสนเทศทรัพยากรบุคคล (HCM) บริหารผลตอบแทนและสิทธิประโยชน์ เพื่อพิจารณาอนุมัติและดำเนินการ
- การขอข้อมูลจากหน่วยงานภายในธนาคาร
ให้หน่วยงานผู้ขอข้อมูลกรอกข้อมูลคำขอลงในแบบฟอร์มที่ธนาคารกำหนด HR Data Request Form และ Data Subject Right Request Form (DSR Request Form) พร้อมระบุเหตุผลความจำเป็นประกอบคำขอ โดยต้องได้รับอนุมัติจากผู้มีอำนาจตามที่ธนาคารกำหนด
ทั้งนี้ การดำเนินการดังกล่าวข้างต้น ให้หัวหน้าบริหารผลตอบแทนและสิทธิประโยชน์ เป็นผู้พิจารณาและวินิจฉัยตามความเหมาะสมและสอดคล้องกับระเบียบของธนาคาร
- 4.3 การเปิดเผยข้อมูลส่วนบุคคล ธนาคารอาจเปิดเผยข้อมูลส่วนบุคคลกับบุคคล/หน่วยงานที่เกี่ยวข้อง ดังนี้
- (1) บริษัทในกลุ่มธุรกิจของธนาคาร
- (2) ผู้รับจ้างที่เป็นคู่สัญญากับธนาคาร ตลอดจนพนักงานหรือที่ปรึกษาของผู้รับจ้างดังกล่าว เช่น การว่าจ้างพัฒนาโปรแกรมเกี่ยวกับงานทรัพยากรบุคคล การว่าจ้างโรงพยาบาลให้บริการตรวจสุขภาพประจำปีพนักงาน หรือตรวจสุขภาพก่อนเข้างาน บริษัทประกันภัยที่รับประกันสุขภาพตามสิทธิในสวัสดิการที่พนักงานได้รับจากธนาคาร ผู้รับจ้างออกบัตรสติ๊กเกอร์จอดรถ บริษัทจัดการที่บริหารเงินกองทุนสำรองเลี้ยงชีพ ผู้ว่าจ้างตรวจสอบภายนอก เป็นต้น
- (3) หน่วยงานราชการที่เกี่ยวข้อง เช่น สำนักงานประกันสังคม กระทรวงแรงงานและสวัสดิการสังคม กรมสรรพากร สำนักงานตำรวจแห่งชาติ ธนาคารแห่งประเทศไทย สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ ศาลในกรณีที่ฟ้องร้องธนาคารและพนักงานเป็นจำเลยร่วมกัน เป็นต้น
- 4.4 ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล
- (1) เอกสารข้อมูลส่วนบุคคลของพนักงาน ธนาคารจะไม่จัดเก็บเอกสารข้อมูลส่วนบุคคลของพนักงานไว้เกินกว่าความจำเป็นของธนาคาร โดยจะมีการทำลายเอกสารข้อมูลส่วนบุคคลตามระยะเวลาที่กำหนดไว้ในคู่มือปฏิบัติงานOP-056-V.3-TH เรื่อง การฝาก เบิก คืน เอกสารธนาคาร เพื่อรอทำลาย หรือการฝากทำลายเอกสาร
ทั้งนี้ ยกเว้นอดีตพนักงานที่มีประวัติโทษทางวินัย อดีตพนักงานที่ธนาคารเลิกจ้าง รวมถึงอดีตพนักงานที่ขอเกษียณอายุก่อนกำหนด และได้รับเงินชดเชยจากธนาคาร ซึ่งธนาคารจะเก็บข้อมูลไว้เพื่อสงวนสิทธิ์ในการพิจารณารับกลับเข้ามาทำงานกับธนาคาร
- (2) ข้อมูลส่วนบุคคลของพนักงาน ธนาคารจะจัดเก็บข้อมูลส่วนบุคคลในระบบสารสนเทศทรัพยากรบุคคล (HCM) เพื่อใช้สำหรับประกอบการบริหารงานบุคคลโดยใช้ฐานความชอบด้วยกฎหมาย มีการกำหนดมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลและกำหนดการเข้าถึงข้อมูลส่วนบุคคล รวมถึงการนำไปใช้ และเปิดเผยข้อมูลส่วนบุคคลอย่างเคร่งครัดเพื่อไม่ให้เกิดความเสี่ยงกรณีข้อมูลรั่วไหลได้ ทั้งนี้ ธนาคารจะทำลายข้อมูลส่วนบุคคลอดีตพนักงานเมื่อเกินกำหนด 10 ปี ยกเว้นอดีตพนักงาน ที่มีประวัติโทษทางวินัย อดีตพนักงานที่ธนาคารเลิกจ้าง รวมถึงอดีตพนักงานที่ขอเกษียณอายุก่อนกำหนด และได้รับเงินชดเชยจากธนาคาร ซึ่งธนาคารจะจัดเก็บข้อมูลเพื่อสงวนสิทธิ์ในการพิจารณารับกลับเข้ามาทำงานกับธนาคาร
- (3) เอกสารข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลของผู้สมัครงาน ธนาคารจะไม่จัดเก็บข้อมูลส่วนบุคคลไว้เกินกว่าความจำเป็นของธนาคาร โดยจะมีการทำลายเอกสารข้อมูลส่วนบุคคลดังกล่าวเมื่อครบกำหนดระยะเวลา 2 ปี นับแต่วันที่ได้รับข้อมูล
- 4.5 การคุ้มครองข้อมูลส่วนบุคคล
ธนาคารได้กำหนดนโยบาย ระเบียบ และมาตรฐานในการคุ้มครองข้อมูลของพนักงานเช่นเดียวกับการดูแลข้อมูลส่วนบุคคลของลูกค้า อาทิ มาตรฐานความปลอดภัยของระบบเทคโนโลยีสารสนเทศ และมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันไม่ให้ผู้ไม่มีอำนาจเข้าถึงข้อมูลส่วนบุคคล ทำการแก้ไข เปลี่ยนแปลง ทำให้สูญหายหรือนำข้อมูลไปใช้และเปิดเผยผิดวัตถุประสงค์หรือผิดกฎหมาย โดยธนาคารได้มีการปรับปรุงนโยบาย ระเบียบและมาตรฐานขั้นต่ำดังกล่าวเป็นประจำทุกปี หรือปรับปรุงเมื่อมีการเปลี่ยนแปลงของกฎหมายที่เกี่ยวข้องหรือนโยบายของธนาคารอย่างมีนัยสำคัญ
นอกจากนี้ ธนาคารยังกำหนดให้คู่สัญญาของธนาคารหรือบุคคลภายนอก (3rd party) มีหน้าที่ต้องปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ในด้านมาตรการป้องกันการละเมิดความเป็นส่วนตัวของข้อมูลส่วนบุคคล การป้องกันข้อมูลรั่วไหล รวมถึงรักษาความลับข้อมูลของพนักงาน ผู้สมัครงานและบุคคลอื่นใดที่อยู่ภายใต้การกำกับดูแลของหน่วยงานทรัพยากรบุคคลให้มีมาตรฐานเดียวกันหรือสูงกว่าโดยอ้างอิงมาตรการรักษาความมั่นคงปลอดภัยสากล เช่น ISO27001, NIST เป็นต้น และกำหนดให้มีกระบวนการรับเรื่องร้องเรียนกรณีข้อมูลรั่วไหล การขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลที่จะต้องทำงานประสานงานกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Office/DPO) และทีมกำกับกฎหมายข้อมูลส่วนบุคคล (PDPA Compliance) ในการบริหารจัดการเรื่องข้อร้องเรียนและจัดทำรายงานข้อมูลรั่วไหลต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) และเจ้าของข้อมูลส่วนบุคคลในกรณีเป็นความเสี่ยงสูง เป็นต้น ซึ่งกระบวนการนี้จะต้องมีกำกับจากคู่สัญญาที่ทำหน้าที่ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) และพันธมิตรทางการเงิน (Business Partner) ที่จะต้องลงนามสัญญาประมวลผลข้อมูล (Data Processing Agreement – DPA) และ Controller to Controller Agreement/ data sharing agreement แล้วแต่กรณี
- 4.6 สิทธิเกี่ยวกับข้อมูลส่วนบุคคลของพนักงาน อดีตพนักงาน ผู้สมัครงานกับธนาคาร พนักงานและอดีตพนักงานบริษัทในกลุ่มธุรกิจของธนาคาร สามารถอ้างอิงนโยบายความเป็นส่วนตัวสำหรับพนักงานได้ที่ www.intranet.ttb และสำหรับผู้สมัครงานได้ที่ https://www.ttbbank.com/th/policy/candidate
- (1) สิทธิขอเพิกถอนความยินยอม (Right to withdraw consent)
พนักงานและผู้สมัครงานมีสิทธิขอเพิกถอนความยินยอมที่ให้ธนาคารจัดเก็บรวบรวม ใช้ และเปิดเผยข้อมูล เว้นแต่มีกรณีจำเป็นบางประการที่จะไม่สามารถเพิกถอนความยินยอมได้ เช่น มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมาย หรือมีสัญญาที่ให้ประโยชน์แก่พนักงานอยู่จากการที่พนักงานมีบริการและ/หรือผลิตภัณฑ์ และ/หรือมีภาระหนี้หรือภาระผูกพันอยู่กับธนาคาร
อย่างไรก็ดี กรณีที่เป็นพนักงานขอเพิกถอนความยินยอมดังกล่าวอาจส่งผลกระทบต่อพนักงานจากการปฏิบัติตามภาระหน้าที่ของธนาคารตามสัญญาจ้าง และ/หรือกฎหมายที่เกี่ยวข้อง ดังนั้น เพื่อประโยชน์ของพนักงาน จึงควรสอบถามถึงผลกระทบจากธนาคารก่อนเพิกถอนความยินยอม โดยธนาคารจะพิจารณาเป็นกรณี ๆ ไป
แม้จะมีการเพิกถอนความยินยอมดังกล่าว หรือพนักงานพ้นสภาพการเป็นพนักงานไปแล้ว ธนาคารอาจมีความจำเป็นต้องเก็บข้อมูลของพนักงานต่อไปตามที่กฎหมายกำหนด หรือต้องเก็บไว้เพื่อวัตถุประสงค์ในการพิสูจน์การตรวจสอบทั้งของพนักงานเองและของธนาคาร เช่น กรณีทุจริต การกระทำผิดวินัย หรือเกิดข้อพิพาทภายในอายุความตามที่กฎหมายกำหนด เป็นต้น
- (2) สิทธิขอทราบข้อมูลส่วนบุคคล (Right to access)
มีสิทธิขอทราบและขอรับสำเนาข้อมูลส่วนบุคคลของพนักงาน ซึ่งอยู่ในความรับผิดชอบของธนาคาร หรือขอให้ธนาคารเปิดเผยการได้มาซึ่งข้อมูลที่พนักงานไม่ได้ให้ความยินยอม ทั้งนี้ ตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
- (3) สิทธิขอถ่ายโอนข้อมูลส่วนบุคคล (Right to data portability)
มีสิทธิขอรับข้อมูลในกรณีที่ธนาคารได้ทำให้ข้อมูลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติ และสามารถใช้หรือเปิดเผยข้อมูลได้ด้วยวิธีการอัตโนมัติ รวมทั้งมีสิทธิดังนี้
- ขอให้ธนาคารส่งหรือโอนข้อมูลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น เมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ
- ขอรับข้อมูลที่ธนาคารส่งหรือโอนข้อมูลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่สภาพทางเทคนิคไม่สามารถทำได้
- (4) สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
มีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยที่เกี่ยวกับพนักงาน ในกรณีดังนี้
- กรณีที่เป็นข้อมูลที่เก็บรวบรวมได้ด้วยเหตุจำเป็น เพื่อการดำเนินภารกิจตามสัญญาจ้าง (Contract) อันเป็นประโยชน์อันชอบด้วยกฎหมาย (Legitimate Interest) ของธนาคารหรือของบุคคลอื่น ซึ่งเหตุจำเป็นดังกล่าวเป็นกรณีที่ได้รับยกเว้นไม่ต้องขอความยินยอมจากพนักงานตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เว้นแต่ กรณีเป็นไปโดยผลของการบังคับใช้กฎหมายที่สำคัญยิ่งกว่า หรือเป็นไปเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
- กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ เป็นต้น
- (5) สิทธิขอให้ลบข้อมูลส่วนบุคคล (Right to be forgotten/erasure)
มีสิทธิขอให้ธนาคารลบหรือทำลาย ระงับการใช้ชั่วคราว หรือทำให้ข้อมูลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลว่าเป็นพนักงานหรือผู้สมัครงานได้ (Depersonalization) โดยพนักงานจะใช้สิทธิในข้อนี้ได้เฉพาะกรณีที่ธนาคารไม่ปฏิบัติตามหลักเกณฑ์แห่งกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือได้รับความเห็นชอบจากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
นอกจากการขอให้ระงับการใช้ข้อมูลชั่วคราวตามกรณีข้างต้น พนักงานอาจขอให้ระงับการใช้ข้อมูลชั่วคราว ในกรณี ดังนี้
- เมื่อธนาคารอยู่ระหว่างการตรวจสอบตามที่พนักงานร้องขอให้แก้ไขข้อมูลให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
- เมื่อพ้นกำหนดระยะเวลาการเก็บข้อมูลตามวัตถุประสงค์ในการเก็บรวบรวม แต่พนักงานมีความจำเป็นต้องขอให้เก็บไว้เพื่อใช้ในการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
- เมื่อธนาคารอยู่ระหว่างการพิสูจน์หรือตรวจสอบ เพื่อปฏิเสธการคัดค้านของพนักงาน
- (6) สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล (Right to rectification)
มีสิทธิร้องขอให้ธนาคารดำเนินการให้ข้อมูลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
- (7) สิทธิร้องเรียน (Right to complain)
มีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีธนาคาร หรือผู้ประมวลผลข้อมูล รวมทั้งลูกจ้าง หรือผู้รับจ้างของธนาคาร หรือผู้ประมวลผลส่วนบุคคล ฝ่าฝืน หรือไม่ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล กฎกระทรวง หรือประกาศที่ออกตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
- (8) สิทธิคัดค้านผลการวิเคราะห์ด้วยระบบอัตโนมัติ (Right to object to automated decision making)
มีสิทธิร้องขอให้ธนาคารทำการทบทวนผลการวิเคราะห์ด้วยระบบอัตโนมัติ โดยให้ใช้พนักงานของธนาคารดำเนินการแทนระบบอัตโนมัติ
สิทธิดังกล่าวข้างต้นขึ้นอยู่กับปัจจัยต่าง ๆ ที่เกี่ยวข้องที่ธนาคารอาจไม่สามารถดำเนินการตามคำร้องขอได้ หากธนาคารมีเหตุจำเป็นอย่างอื่น เช่น ขัดต่อกฎหมายอื่น ต้องปฏิบัติตามคำสั่งศาล หรือเพื่อประโยชน์สาธารณะ เป็นต้น โดยอำนาจในการตัดสินใจพิจารณาการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลนั้นจะต้องได้รับการเห็นชอบจากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ที่ dpo@ttbbank.com ร่วมกับเจ้าของข้อมูล (DO)
- ขั้นตอนการขอใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคล
ในกรณีที่พนักงานมีความประสงค์ขอใช้สิทธิอย่างใดอย่างหนึ่ง หรือมีข้อสงสัยเกี่ยวกับข้อมูล ส่วนบุคคลของตนเองเบื้องต้น สามารถติดต่อสอบถามได้ผ่านช่องทาง ดังต่อไปนี้
-
(1) อีเมล : EmployeeRelations@ttbbank.com
-
(2) โทรศัพท์ : 02-299-1740 กด 2