การปกป้องความเป็นส่วนตัวและข้อมูลส่วนบุคคล
มิชลินเชื่อว่าการปกป้องข้อมูลส่วนบุคคลเป็นเรื่องสำคัญอย่างยิ่งในการทำให้ผู้มีส่วนได้ส่วนเสียทุกฝ่ายเกิดความเชื่อมั่นในความสัมพันธ์กับเรา ทั้งนี้ กลุ่มมิชลินจัดเก็บและประมวลผลข้อมูลเฉพาะที่จำเป็นต่อกิจกรรมการดำเนินงานเท่านั้น
คำจำกัดความและบริบท
ข้อมูลส่วนบุคคลเป็นข้อมูลที่ใช้ระบุตัวตนบุคคลธรรมดาทั้งทางตรงและทางอ้อม
ยกตัวอย่างเช่น
- การระบุตัวตนทางตรง เช่น รูปภาพหรือข้อมูลสถานภาพพลเมือง (ชื่อ นามสกุล ฯลฯ)
- การระบุตัวตนทางอ้อม เช่น หมายเลขประจำตัวต่างๆ (ทะเบียนรถ รหัสพนักงานมิชลิน หมายเลขโทรศัพท์มือถือ ฯลฯ) หรือการผสานข้อมูลต่างๆ เข้าด้วยกัน (เพศ อายุ อาชีพ เมืองที่อาศัยอยู่ ฯลฯ)
ข้อมูลส่วนบุคคลทั้งหมดจะต้องได้รับการปกป้อง
ในช่วงหลายปีที่ผ่านมา กฎระเบียบที่ใช้ปกป้องความเป็นส่วนตัวและข้อมูลส่วนบุคคลมีจำนวนเพิ่มขึ้นอย่างมากทั่วโลก และในหลายประเทศ การไม่ปฏิบัติตามกฎระเบียบดังกล่าวจะมีมาตรการลงโทษทางการเงิน (ส่วนใหญ่จะถูกรายงานโดยสื่อมวลชน) รวมถึงทางอาญา
หลักปฏิบัติ
ข้อมูลส่วนบุคคลของพนักงาน ลูกค้า ซัพพลายเออร์ ผู้ถือหุ้น พันธมิตร หรือผู้รับจ้างช่วง ต้องได้รับการประมวลผลตามหลักกฎหมายและกฎระเบียบต่างๆ รวมทั้งตามข้อบังคับที่เกี่ยวข้องในเรื่องการปกป้องข้อมูลส่วนบุคคลของกลุ่มมิชลิน
กลุ่มมิชลินจัดเก็บและประมวลผลข้อมูลเฉพาะที่จำเป็นต่อกิจกรรมการดำเนินงานเท่านั้น
ทั้งนี้ ไม่ควรเปิดเผยข้อมูลส่วนบุคคลใดๆ แก่บุคคลที่สาม ยกเว้นในกรณีที่จำเป็นและได้รับอนุญาตตามกฎหมาย
มิชลินเชื่อมั่นว่า “การปกป้องข้อมูล” เป็นสินทรัพย์ที่มีศักยภาพทางแข่งขันสำคัญอย่างหนึ่ง ทั้งยังเป็นเครื่องมือเสริมสร้างให้ผู้มีส่วนได้ส่วนเสียทุกฝ่ายเกิดความเชื่อมั่นในความสัมพันธ์กับเรา
อย่างไรก็ตาม การปกป้องข้อมูลส่วนบุคคลจะเป็นไปได้อย่างเต็มประสิทธิภาพก็ต่อเมื่อได้รับความช่วยเหลือจากพนักงานทุกคน
สิ่งที่ควรทำ
- จัดเก็บและจัดการข้อมูลส่วนบุคคลเฉพาะที่จำเป็นต่อการบรรลุเป้าหมาย และดูแลให้มั่นใจว่าเป้าหมายดังกล่าวถูกต้องตามกฎหมายและระบุไว้อย่างชัดเจน
- ตรวจสอบให้มั่นใจว่าการจัดเก็บและการใช้ข้อมูลส่วนบุคคลเป็นไปตามข้อมูลที่ให้แก่บุคคลที่เกี่ยวข้อง ทั้งนี้หากจำเป็น ควรได้รับความยินยอมจากผู้ที่ข้อมูลส่วนบุคคลถูกจัดเก็บและนำไปใช้
- ในช่องแสดงความคิดเห็น ให้กรอกเฉพาะความคิดเห็นที่เกี่ยวข้อง ในปริมาณที่เหมาะสม ถามตนเองว่ารู้สึกสะดวกใจหรือไม่ หากผู้ที่ถูกเอ่ยถึงได้อ่านความคิดเห็นนี้
- ทำลายหรือแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์ และเคารพสิทธิในข้อมูลส่วนบุคคลของเจ้าของข้อมูล
- ส่งข้อมูลส่วนบุคคลให้กับผู้รับภายในองค์กรที่ได้รับอนุญาตซึ่งมีความจำเป็นทางกฎหมายที่จะต้องทราบข้อมูลดังกล่าวเท่านั้น
- ส่งข้อมูลส่วนบุคคลให้กับบุคคลภายนอกองค์กรเฉพาะในกรณีที่จำเป็นต้องปฏิบัติตามภาระผูกพันตามกฎหมายหรือส่งให้กับบริษัทซึ่งลงนามในข้อตกลงร่วมกับกลุ่มมิชลินเท่านั้น
- อ่านและปฏิบัติตามพันธกิจทั้งหมดที่เกี่ยวข้องและมีผลบังคับใช้ภายในกลุ่มมิชลิน ในกรณีที่ได้รับอนุญาตให้เข้าถึงข้อมูลจากประเทศอื่นหรือจากการส่งผ่านข้อมูลระหว่างประเทศ โดยเอกสารเหล่านี้สามารถเข้าถึงได้ทางระบบอินทราเน็ต (อาทิ กฎระเบียบองค์กรที่มีผลผูกพัน)
- ตรวจสอบให้มั่นใจถึงการรักษาความปลอดภัยและการรักษาความลับของข้อมูลส่วนบุคคล (อาทิ ในการส่งเอกสาร ควรปฏิบัติตามกฎระเบียบด้านการรักษาความปลอดภัยของกลุ่มมิชลินเรื่องการเข้ารหัสไฟล์)
- แจ้งทีมรับมือสถานการณ์ฉุกเฉินเกี่ยวกับคอมพิวเตอร์ (Computer Emergency Response Team: CERT) ซึ่งมีหน้าที่บริหารจัดการสถานการณ์ด้านความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศตามขั้นตอนที่กำหนดในกรณีที่มีการละเมิด ข้อมูล (ข้อมูลสูญหาย การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การเผยแพร่ข้อมูลโดยไม่ได้รับอนุญาต ฯลฯ)
- เข้าร่วมการฝึกอบรมที่จัดขึ้นเป็นประจำ หากมีหน้าที่ต้องดูแลจัดการข้อมูลส่วนบุคคล รวมทั้งควรรู้ขอบข่ายการดำเนินงานของตน
สิ่งที่ไม่ควรทำ
- จัดเก็บข้อมูลส่วนบุคคลโดยไม่มีความรู้เกี่ยวกับเจ้าของข้อมูล
- จัดเก็บข้อมูลที่มี “ความอ่อนไหว” (สถานะทางสุขภาพ รสนิยมทางเพศ ความคิดเห็นทางการเมือง ความเชื่อมั่นทางศาสนา เชื้อชาติหรือชาติพันธุ์) โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล หรือโดยที่กฎหมายไม่ได้กำหนด
- มอบการเข้าถึงข้อมูลส่วนบุคคลให้กับผู้ที่อยู่ในอีกประเทศ โดยไม่ได้ปรึกษาแผนกกฎหมายก่อน
- เก็บข้อมูลส่วนบุคคลนานเกินกว่าที่จำเป็นตามวัตถุประสงค์ที่กำหนดไว้
กรณีตัวอย่าง #1
คุณเป็นหนึ่งในทีมงานฝ่ายขายและต้องการเสริมสร้างความสัมพันธ์ใกล้ชิดกับลูกค้า ด้วยเหตุนี้ คุณจึงอยากจัดเก็บข้อมูลเกี่ยวกับชีวิตส่วนตัวของลูกค้าไว้ในเครื่องมือบริหารความสัมพันธ์กับลูกค้า (Customer Relationship Management Tool) ของกลุ่มมิชลิน อย่างไรก็ตาม หากคุณขาดงาน ผู้ที่ทำหน้าที่แทนคุณจะสามารถเข้าถึงข้อมูลนี้ด้วย แนวทางเช่นนี้สามารถทำได้หรือไม่
ไม่ได้ คุณสามารถจัดเก็บเฉพาะข้อมูลที่เป็นข้อเท็จจริงในขอบเขตที่เกี่ยวข้องกับหน้าที่การงานเท่านั้นนอกจากนี้ การจัดเก็บข้อมูลที่มีความอ่อนไหวบางประเภท (สถานะทางสุขภาพ ศาสนา ฯลฯ) ยังเป็นข้อห้ามโดยเด็ดขาด พึงระลึกไว้ว่าลูกค้าสามารถขอเข้าถึงข้อมูลส่วนบุคคลของตนเองได้เสมอ
กรณีตัวอย่าง #2
เพื่อนร่วมงานคนหนึ่งประสบอุบัติเหตุในที่ทำงาน คุณอยากแจ้งข้อมูลเกี่ยวกับเรื่องนี้ให้พื้นที่ปฏิบัติงานทางอุตสาหกรรมทุกแห่งได้ทราบ คุณจึงให้ข้อมูลดังต่อไปนี้ โรนัน เอ. เจ้าหน้าที่ฝ่ายตรวจสอบ ประจำพื้นที่ปฏิบัติงานในเมืองวานส์ (Vannes) รวมทั้งรายละเอียดเกี่ยวกับการบาดเจ็บและบริบทของการเกิดอุบัติเหตุ คุณระบุเพียงชื่อต้นของเพื่อนร่วมงานคนดังกล่าว การทำเช่นนี้ถือเป็นการปฏิบัติตามกฏระเบียบหรือไม่
คุณควรตั้งคำถามกับตนเองดังต่อไปนี้
- 1) คุณต้องการบรรลุเป้าหมายอันชอบด้วยกฎหมายหรือไม่
- ใช่ การให้ข้อมูลเหล่านี้เป็นไปเพื่อปรับปรุงความปลอดภัยของพนักงาน
- 2) จำเป็นหรือไม่ที่จะต้องแจ้งข้อมูลทั้งหมดนี้
- ไม่ พื้นที่ปฏิบัติงาน ตำแหน่งงาน ชื่อต้น ไม่ได้จำเป็นต่อการรายงานอุบัติเหตุนี้เลย
- ในการ “ไม่เปิดเผย” ข้อมูลส่วนบุคคล คุณต้องถามตนเองเสมอว่าสามารถระบุตัวตนบุคคลผู้นี้จากข้อมูลที่ให้มาได้หรือไม่ ในกรณีนี้ การแจ้งชื่อต้น ตำแหน่งหน้าที่ และพื้นที่ปฏิบัติงานทางอุตสาหกรรม เป็นข้อมูลที่มากพอจะทำให้ระบุตัวตนบุคคลผู้นี้ได้