Sensitive Data หรือ ข้อมูลที่ละเอียดอ่อน หมายถึงข้อมูลที่มีความสำคัญสูง หากรั่วไหล อาจส่งผลกระทบต่อองค์กร, บุคคล หรือหน่วยงานที่เกี่ยวข้อง ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมืองความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคล ที่ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) กำหนดว่าห้ามเก็บใช้รวบรวม หรือเปิดเผยข้อมูล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล ซึ่งหากทำการเปิดเผยข้อมูลโดยไม่ได้รับความยินยอม ผู้ควบคุมข้อมูล (นายจ้าง) จะมีโทษทางอาญา และความรับผิดทางแพ่ง
1. หากลูกจ้างขู่ว่าถ้าไม่ผ่านโปรให้ จะเปิดเผยข้อมูล Sensitive data (ที่นายจ้างเป็นผู้เก็บใช้ รวมรวม) ออกสู่สาธารณะ นายจ้างทำอย่างไรได้บ้าง ?
- แนะนำให้นายจ้างเก็บหลักฐานและไปแจ้งความดำเนินคดีกับลูกจ้างก่อนเลย ซึ่งกรณีดังกล่าวเข้าลักษณะความผิดลหุโทษ ตาม ม. 392 ฐานทำให้ผู้อื่นเกิดความกลัว หรือความตกใจ โดยการขู่เข็ญ ต้องระวางโทษจำคุกไม่เกิน 1 เดือน ปรับไม่เกิน 10,000 บาท หรือทั้งจำทั้งปรับ
- นายจ้างมีสิทธิเลิกจ้างได้โดยต้องจ่ายค่าชดเชย ทั้งนี้ ตาม ม.119 (1) (2) เพราะลูกจ้างกระทำความผิดอาญาโดยเจตนาต่อนายจ้าง และจงใจทำให้นายจ้างได้รับความเสียหายเพราะการเปิดเผยข้อมูล Sensitive data ออกสู่สาธารณะ อาจเป็นเหตุให้นายจ้างมีความผิด PDPA ได้
2. หากลูกจ้างเปิดเผยข้อมูลตามคำขู่จริง นายจ้างจะมีความผิดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลหรือไม่
“ไม่ผิด” เพราะ ถึงแม้นายจ้าง จะมีหน้าที่ต้องจัดให้มาตรการรักษาความปลอดภัย เพื่อป้องกันการเข้าถึงข้อมูลหรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ แต่หากลูกจ้าง ฝ่าฝืนเปิดเผยข้อมูลส่วนบุคคล โดยนายจ้างไม่ได้มีคำสั่งให้เปิดเผย ถือว่าลูกจ้างเป็น ผู้ควบคุมข้อมูล ม. 40 ที่หากฝ่าฝืนเปิดเผยข้อมูลที่ทำให้เกิดความเสียหายต่อเจ้าของข้อมูล ต้องรับผิดชดใช้ค่าสินไหมทดแทนเพื่อการนั้นแก่เจ้าของข้อมูล ม.77 และต้องรับโทษทางอาญา ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกินห้าแสนบาท หรือทั้งจำทั้งปรับ ตาม ม.78 เช่น ลูกจ้างขู่นายจ้างถ้าไม่ผ่านโปรให้จะเปิดเผยข้อมูลของคนไข้(เจ้าของข้อมูล) ที่ป่วยด้วยโรคติดต่อ ซึ่งลูกจ้างมีหน้าที่เก็บรวบรวมใช้ตามคำสั่งของนายจ้าง แต่หากลูกจ้างนำข้อมูลคนไข้ว่าป่วยด้วยโรคติดต่อไปเผยแพร่โดยนายจ้างไม่ได้สั่งและไม่ได้รับความยินยอมจากคนไข้ และการเผยแพร่ต่อสาธารณะนั้นก่อให้เกิดความเสียหายต่อคนไข้ ดังนี้ ลูกจ้างถือเป็นผู้ควบคุมข้อมูล ตาม ม.40 ที่ฝ่าฝืนเปิดเผยข้อมูลที่ทำให้เกิดความเสียหายต่อเจ้าของข้อมูล ต้องรับผิดชดใช้ค่าสินไหมทดแทนแก่คนไข้ ม.77 และต้องรับโทษทางอาญา ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกินห้าแสนบาท หรือทั้งจำทั้งปรับ ตาม ม.78
PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คืออะไร
โดยทั่วไป Sensitive Data แบ่งออกเป็นหลายประเภท
1. ข้อมูลส่วนบุคคล (Personal Data)
-
ชื่อ-นามสกุล
-
หมายเลขบัตรประชาชน, หนังสือเดินทาง
-
ที่อยู่, เบอร์โทรศัพท์, อีเมล
-
วันเดือนปีเกิด
-
เลขบัญชีธนาคาร
2. ข้อมูลที่มีความอ่อนไหวเป็นพิเศษ (Sensitive Personal Data - SPD)
3. ข้อมูลทางธุรกิจและองค์กร
4. ข้อมูลทรัพย์สินทางปัญญา
-
สูตรลับทางการค้า
-
ซอร์สโค้ดของซอฟต์แวร์
-
แผนพัฒนาและนวัตกรรมใหม่
5. ข้อมูลด้านความปลอดภัย
เรื่องนี้เป็นเรื่องที่ต้องจัดการอย่างรอบคอบและระมัดระวัง เพราะ Sensitive data นั้นเป็นสิ่งที่สำคัญและต้องการความคุ้มครองเพื่อป้องกันการรั่วไหลข้อมูลที่สำคัญไปยังบุคคลที่ไม่มีสิทธิ์เข้าถึง ต้องพิจารณาอย่างรอบคอบเพื่อป้องกันปัญหาที่อาจเกิดขึ้นในอนาคต และให้ความสำคัญกับความปลอดภัยข้อมูลอย่างสูง
น้องบีพลัสมีเทคนิค จัดการอย่างไร เมื่อ ลูกจ้างขู่จะเปิดเผย Sensitive data
-
สอบถามเหตุผลและจัดการกับปัญหา สอบถามเหตุผลที่ทำให้ลูกจ้างต้องการเปิดเผยข้อมูลที่ละเอียดอ่อน อาจจะมีปัญหาที่สามารถแก้ไขได้ เช่น ความไม่พอใจหรือข้อขัดแย้ง
-
สร้างความเข้าใจ อธิบายถึงความสำคัญของความปลอดภัยข้อมูลและผลกระทบที่อาจเกิดขึ้นหากมีการเปิดเผยข้อมูลที่ไม่เหมาะสม
-
ใช้มาตรการความปลอดภัย ให้แน่ใจว่ามีมาตรการความปลอดภัยข้อมูลที่เพียงพอ เช่น การใช้รหัสผ่านที่มีความปลอดภัยสูง การเข้ารหัสข้อมูล และการจำกัดสิทธิ์การเข้าถึงข้อมูล
-
พิจารณาการศึกษาทางกฎหมาย การที่ลูกจ้างขู่จะเปิดเผยข้อมูลอาจมีผลกระทบทางกฎหมาย ควรปรึกษากับทนายความหรือทีมที่เชี่ยวชาญเพื่อให้คำปรึกษาและแนวทาง
-
ติดต่อบุคคลที่เกี่ยวข้อง หากเป็นเรื่องที่ซับซ้อนหรือต้องการความช่วยเหลือเพิ่มเติม ควรแจ้งให้บุคคลที่เกี่ยวข้องทราบ เพื่อให้ได้การช่วยเหลือในการจัดการ
ที่มา คลินิคกฎหมายแรงงาน
