การปกป้องความเป็นส่วนตัวและข้อมูลส่วนบุคคล

มิชลินเชื่อว่าการปกป้องข้อมูลส่วนบุคคลเป็นเรื่องสำคัญอย่างยิ่งในการทำให้ผู้มีส่วนได้ส่วนเสียทุกฝ่ายเกิดความเชื่อมั่นในความสัมพันธ์กับเรา ทั้งนี้ กลุ่มมิชลินจัดเก็บและประมวลผลข้อมูลเฉพาะที่จำเป็นต่อกิจกรรมการดำเนินงานเท่านั้น

securite_des_clients_opaque@2x

คำจำกัดความและบริบท

ข้อมูลส่วนบุคคลคือข้อมูลที่ระบุตัวตนธรรมดาทั้งทางตรงและทางอิ้ม ได้ ยกตัวอย่างเช่น

  • การระบุตัวตนทางตรง เช่น รูปภาพ หรือข้อมูลสถานภาพพลเมือง (ชื่อ นามสกุล ฯลฯ)
  • การระบุตัวตนทางอ้อม เช่น หมายเลขประจำตัวต่าง ๆ (ทะเบียนรถ รหัสพนักงานมิชลิน หมายเลขโทรศัพท์มือถือ ฯลฯ) หรือการผสานข้อมูลต่าง ๆ เข้าด้วยกัน (เพศ อายุ อาชีพ เมืองที่อาศัยอยู่ ฯลฯ)

ข้อมูลส่วนบุคคลทั้งหมดจะต้องได้รับการปกป้อง

ในช่วงหลายปีที่ผ่านมากฎระเบียบที่ใช้ปกป้องความเป็นส่วนตัวและข้อมูลส่วนบุคคลมีจำนวนเพิ่มขึ้นอย่างมากทั่วโลก ในหลายประเทศ การไม่ปฏิบัติตามกฎระเบียบดังกล่าวจะมีมาตรการลงโทษทางการเงิน (ส่วนใหญ่จะถูกรายงานโดยสื่อมวลชน) รวมถึงทางอาญา

หลักปฏิบัติ

ข้อมูลส่วนบุคคลของพนักงาน ลูกค้า ซัพพลายเออร์ ผู้ถือหุ้น พันธมิตร หรือผู้รับจ้างช่วง ต้องได้รับการประมวลผลตามหลักกฎหมายและกฎระเบียบต่างๆ รวมทั้งตามข้อบังคับที่เกี่ยวข้องในเรื่องการปกป้องข้อมูลส่วนบุคคลของกลุ่มมิชลิน

กลุ่มมิชลินจัดเก็บและประมวลผลข้อมูลเฉพาะที่จำเป็นต่อกิจกรรมการดำเนินงานเท่านั้น

ทั้งนี้ ไม่ควรเปิดเผยข้อมูลส่วนบุคคลใดๆ แก่บุคคลที่สาม ยกเว้นในกรณีที่จำเป็นและได้รับอนุญาตตามกฎหมาย

มิชลินเชื่อมั่นว่า “การปกป้องข้อมูล” เป็นสินทรัพย์ที่มีศักยภาพทางการแข่งขันสำคัญอย่างหนึ่ง ทั้งยังเป็นเครื่องมือเสริมสร้างให้ผู้มีส่วนได้ส่วนเสียทุกฝ่ายเกิดความเชื่อมั่นในความสัมพันธ์กับเรา

อย่างไรก็ตาม การปกป้องข้อมูลส่วนบุคคลจะเป็นไปได้อย่างเต็มประสิทธิภาพ ก็ต่อเมื่อได้รับความช่วยเหลือจากของพนักงานทุกคน

สิ่งที่ควรทำ

  • จัดเก็บและจัดการข้อมูลส่วนบุคคลเฉพาะที่จำเป็นต่อการบรรลุเป้าหมาย และดูแลให้มั่นใจว่าเป้าหมายดังกล่าวถูกต้องตามกฎหมายและระบุไว้อย่างชัดเจน
  • ตรวจสอบให้มั่นใจว่าการจัดเก็บและการใช้ข้อมูลส่วนบุคคลเป็นไปตามข้อมูลที่ให้แก่บุคคลที่เกี่ยวข้อง ทั้งนี้หากจำเป็นควรได้รับความยินยอมจากผู้ที่ข้อมูลส่วนบุคคลถูกจัดเก็บและนำไปใช้
  • ในช่องแสดงความคิดเห็น ให้กรอกเฉพาะความคิดเห็นที่เกี่ยวข้องในปริมาณที่เหมาะสม ถามตนเองว่ารู้สึกสะดวกใจหรือไม่ หากผู้ที่ถูกเอ่ยถึงได้อ่านความคิดเห็นนี้
  • ทำลายหรือแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์ และเคารพสิทธิในข้อมูลส่วนบุคคลของเจ้าของข้อมูล
  • ส่งข้อมูลส่วนบุคคลให้กับผู้รับภายในองค์กรที่ได้รับอนุญาต ซึ่งมีความจำเป็นทางกฎหมายที่จะต้องทราบข้อมูลดังกล่าวเท่านั้น
  • ส่งข้อมูลส่วนบุคคลให้กับบุคคลภายนอกองค์กรเฉพาะในกรณีที่จำเป็นต้องปฏิบัติตามภาระผูกพันตามกฎหมาย หรือส่งให้กับกฎระเบียบองค์กรที่มีผลผูกพัน
  • อ่านและปฏิบัติตามข้อผูกพันทั้งหมดที่ใช้บังคับภายในกลุ่มบริษัทในกรณีที่ได้รับอนุญาตให้เข้าถึงข้อมูลจากประเทศอื่นหรือการโอนข้อมูลระหว่างประเทศ โดยเอกสารเหล่านี้สามารถเข้าถึงได้ทางอินทราเน็ต (เช่น กฎบังคับใช้สำหรับบริษัท (BCR))
  • ตรวจสอบให้มั่นใจถึงการรักษาความปลอดภัยและการรักษาความลับของข้อมูลส่วนบุคคล (เช่น ในการส่งเอกสาร ควรปฏิบัติตามกฎระเบียบด้านการรักษาความปลอดภัยของกลุ่มมิชลินเรื่องการเข้ารหัสไฟล์)
  • แจ้งทีมรับมือสถานการณ์ฉุกเฉินเกี่ยวกับคอมพิวเตอร์ (Computer Emergency Response Team: CERT) ซึ่งมีหน้าที่บริหารจัดการสถานการณ์ด้านความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศตามขั้นตอนที่กำหนดในกรณีที่มีการละเมิดข้อมูล (ข้อมูลสูญหาย การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การเผยแพร่ข้อมูลโดยไม่ได้รับอนุญาต ฯลฯ)
  • เข้าร่วมการฝึกอบรมที่จัดขึ้นเป็นประจำ หากมีหน้าที่ต้องดูแลจัดการข้อมูลส่วนบุคคล รวมทั้งควรรู้ขอบข่ายการดำเนินงานของตน

สิ่งที่ไม่ควรทำ

  • จัดเก็บข้อมูลส่วนบุคคลโดยไม่มีความรู้เกี่ยวกับเจ้าของข้อมูล
  • จัดเก็บข้อมูลที่มี “ความอ่อนไหว” (สถานะทางสุขภาพ รสนิยมทางเพศ ความคิดเห็นทางการเมือง ความเชื่อมั่นทางศาสนา เชื้อชาติหรือชาติพันธุ์) โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล หรือโดยที่กฎหมายไม่กำหนด
  • มอบการเข้าถึงข้อมูลส่วนบุคคลให้กับผู้ที่อยู่ในอีกประเทศโดยไม่ได้ปรึกษา
  • เก็บข้อมูลส่วนบุคคลนานเกินกว่าที่จำเป็นตามวัตถุประสงค์ที่กำหนดไว้

กรณีตัวอย่าง #1

คุณเป็นหนึ่งในทีมงานฝ่ายขายและต้องการเสริมสร้างความสัมพันธ์ใกล้ชิดกับลูกค้า ด้วยเหตุนี้คุณจึงอยากจัดเก็บข้อมูลเกี่ยวกับชีวิตส่วนตัวของลูกค้าไว้ในเครื่องมือบริหารความสัมพันธ์กับลูกค้า (Customer Relationship Management Tool) ของกลุ่มมิชลินอย่างไรก็ตาม หากคุณขาดงาน ผู้ที่ทำหน้าที่แทนคุณจะสามารถเข้าาถึงข้อมูลนี้ได้ แนวทางเช่นนี้สามารถทำได้หรือไม่?

 

ไม่ได้ คุณสามารถจัดเก็บเฉพาะข้อมูลที่เป็นข้อเท็จจริงในขอบเขตที่เกี่ยวข้องกับหน้าที่การงานเท่านั้น นอกจากนี้ การจัดเก็บข้อมูลที่มีความอ่อนไหวบางประเภท (เช่น สถานะทางสุขภาพ ศาสนา ฯลฯ) ยังเป็นข้อห้ามโดยเด็ดขาด พึงระลึกไว้ว่าลูกค้าสามารถขอเข้าถึงข้อมูลส่วนบุคคลของตนเองได้เสมอ

กรณีตัวอย่าง #2

เพื่อนร่วมงานคนหนึ่งประสบอุบัติเหตุในที่ทำงาน คุณอยากแจ้งข้อมูลเกี่ยวกับเรื่องนี้ให้กับพื้นที่ปฏิบัติงานทางอุตสาหกรรมทุกแห่งได้รับทราบ คุณจึงให้ข้อมูลดังต่อไปนี้ โรนัน เอ. เจ้าหน้าที่ฝ่ายตรวจสอบประจำพื้นที่ปฏิบัติงานในเมืองวานส์ (Vannes) รวมทั้งรายละเอียดเกี่ยวกับการบาดเจ็บและบริบทของการเกิดอุบัติเหตุ คุณระบุเพียงชื่อ ต้น ของเพื่อนร่วมงานคนดังกล่าว การทำเช่นนี้ถือเป็นการปฏิบัติตามกฎระเบียบหรือไม่?

คุณควรตั้งคำถามกับตัวเองดังต่อไปนี้

  1. คุณต้องการบรรลุเป้าหมายอันชอบด้วยกฎหมายหรือไม่

            ใช่ การให้ข้อมูลเหล่านี้เป็นไปเพื่อปรับปรุงความปลอดภัยของพนักงาน

  1. จำเป็นหรือไม่ที่จะต้องแจ้งข้อมูลทั้งหมดนี้?

            ไม่ พื้นที่ปฏิบัติงาน ตำแหน่งงาน และชื่อ ต้น ไม่จำเป็นต่อการรายงานอุบัติเหตุนี้เลย

การ “ไม่เปิดเผย” ข้อมูลส่วนบุคคล คุณต้องถามตนเองเสมอว่าสามารถระบุตัวตนบุคคลผู้นี้จากข้อมูลที่ให้มาหรือไม่  ในกรณีนี้ การแจ้งชื่อ ต้น ตำแหน่งหน้าที่ และพื้นที่ปฏิบัติงานทางอุตสาหกรรม เป็นข้อมูลที่มากพอจะทำให้ระบุตัวตนบุคคลผู้นี้ได้

ข้อมูลอ้างอิง:

ผู้ที่ควรติดต่อ:

  • ผู้จัดการฝ่าย
  • แผนกกฎหมาย
  • ผู้จัดการด้านความเป็นส่วนตัวของข้อมูล (Privacy Manager) ประจำท้องถิ่น
  • เจ้าหน้าที่ปกป้องข้อมูล (Data Protection Officer) ของกลุ่มมิชลิน อีเมล: privacy.fr@michelin.com