การปกป้องความเป็นส่วนตัวและข้อมูลส่วนบุคคล
มิชลินเชื่อว่าการปกป้องข้อมูลส่วนบุคคลเป็นเรื่องสำคัญอย่างยิ่งในการทำให้ผู้มีส่วนได้ส่วนเสียทุกฝ่ายเกิดความเชื่อมั่นในความสัมพันธ์กับเรา ทั้งนี้ กลุ่มมิชลินจัดเก็บและประมวลผลข้อมูลเฉพาะที่จำเป็นต่อกิจกรรมการดำเนินงานเท่านั้น
คำจำกัดความและบริบท
ข้อมูลส่วนบุคคลคือข้อมูลที่ระบุตัวตนธรรมดาทั้งทางตรงและทางอิ้ม ได้ ยกตัวอย่างเช่น
- การระบุตัวตนทางตรง เช่น รูปภาพ หรือข้อมูลสถานภาพพลเมือง (ชื่อ นามสกุล ฯลฯ)
- การระบุตัวตนทางอ้อม เช่น หมายเลขประจำตัวต่าง ๆ (ทะเบียนรถ รหัสพนักงานมิชลิน หมายเลขโทรศัพท์มือถือ ฯลฯ) หรือการผสานข้อมูลต่าง ๆ เข้าด้วยกัน (เพศ อายุ อาชีพ เมืองที่อาศัยอยู่ ฯลฯ)
ข้อมูลส่วนบุคคลทั้งหมดจะต้องได้รับการปกป้อง
ในช่วงหลายปีที่ผ่านมากฎระเบียบที่ใช้ปกป้องความเป็นส่วนตัวและข้อมูลส่วนบุคคลมีจำนวนเพิ่มขึ้นอย่างมากทั่วโลก ในหลายประเทศ การไม่ปฏิบัติตามกฎระเบียบดังกล่าวจะมีมาตรการลงโทษทางการเงิน (ส่วนใหญ่จะถูกรายงานโดยสื่อมวลชน) รวมถึงทางอาญา
หลักปฏิบัติ
ข้อมูลส่วนบุคคลของพนักงาน ลูกค้า ซัพพลายเออร์ ผู้ถือหุ้น พันธมิตร หรือผู้รับจ้างช่วง ต้องได้รับการประมวลผลตามหลักกฎหมายและกฎระเบียบต่างๆ รวมทั้งตามข้อบังคับที่เกี่ยวข้องในเรื่องการปกป้องข้อมูลส่วนบุคคลของกลุ่มมิชลิน
กลุ่มมิชลินจัดเก็บและประมวลผลข้อมูลเฉพาะที่จำเป็นต่อกิจกรรมการดำเนินงานเท่านั้น
ทั้งนี้ ไม่ควรเปิดเผยข้อมูลส่วนบุคคลใดๆ แก่บุคคลที่สาม ยกเว้นในกรณีที่จำเป็นและได้รับอนุญาตตามกฎหมาย
มิชลินเชื่อมั่นว่า “การปกป้องข้อมูล” เป็นสินทรัพย์ที่มีศักยภาพทางการแข่งขันสำคัญอย่างหนึ่ง ทั้งยังเป็นเครื่องมือเสริมสร้างให้ผู้มีส่วนได้ส่วนเสียทุกฝ่ายเกิดความเชื่อมั่นในความสัมพันธ์กับเรา
อย่างไรก็ตาม การปกป้องข้อมูลส่วนบุคคลจะเป็นไปได้อย่างเต็มประสิทธิภาพ ก็ต่อเมื่อได้รับความช่วยเหลือจากของพนักงานทุกคน
สิ่งที่ควรทำ
- จัดเก็บและจัดการข้อมูลส่วนบุคคลเฉพาะที่จำเป็นต่อการบรรลุเป้าหมาย และดูแลให้มั่นใจว่าเป้าหมายดังกล่าวถูกต้องตามกฎหมายและระบุไว้อย่างชัดเจน
- ตรวจสอบให้มั่นใจว่าการจัดเก็บและการใช้ข้อมูลส่วนบุคคลเป็นไปตามข้อมูลที่ให้แก่บุคคลที่เกี่ยวข้อง ทั้งนี้หากจำเป็นควรได้รับความยินยอมจากผู้ที่ข้อมูลส่วนบุคคลถูกจัดเก็บและนำไปใช้
- ในช่องแสดงความคิดเห็น ให้กรอกเฉพาะความคิดเห็นที่เกี่ยวข้องในปริมาณที่เหมาะสม ถามตนเองว่ารู้สึกสะดวกใจหรือไม่ หากผู้ที่ถูกเอ่ยถึงได้อ่านความคิดเห็นนี้
- ทำลายหรือแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์ และเคารพสิทธิในข้อมูลส่วนบุคคลของเจ้าของข้อมูล
- ส่งข้อมูลส่วนบุคคลให้กับผู้รับภายในองค์กรที่ได้รับอนุญาต ซึ่งมีความจำเป็นทางกฎหมายที่จะต้องทราบข้อมูลดังกล่าวเท่านั้น
- ส่งข้อมูลส่วนบุคคลให้กับบุคคลภายนอกองค์กรเฉพาะในกรณีที่จำเป็นต้องปฏิบัติตามภาระผูกพันตามกฎหมาย หรือส่งให้กับกฎระเบียบองค์กรที่มีผลผูกพัน
- อ่านและปฏิบัติตามข้อผูกพันทั้งหมดที่ใช้บังคับภายในกลุ่มบริษัทในกรณีที่ได้รับอนุญาตให้เข้าถึงข้อมูลจากประเทศอื่นหรือการโอนข้อมูลระหว่างประเทศ โดยเอกสารเหล่านี้สามารถเข้าถึงได้ทางอินทราเน็ต (เช่น กฎบังคับใช้สำหรับบริษัท (BCR))
- ตรวจสอบให้มั่นใจถึงการรักษาความปลอดภัยและการรักษาความลับของข้อมูลส่วนบุคคล (เช่น ในการส่งเอกสาร ควรปฏิบัติตามกฎระเบียบด้านการรักษาความปลอดภัยของกลุ่มมิชลินเรื่องการเข้ารหัสไฟล์)
- แจ้งทีมรับมือสถานการณ์ฉุกเฉินเกี่ยวกับคอมพิวเตอร์ (Computer Emergency Response Team: CERT) ซึ่งมีหน้าที่บริหารจัดการสถานการณ์ด้านความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศตามขั้นตอนที่กำหนดในกรณีที่มีการละเมิดข้อมูล (ข้อมูลสูญหาย การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การเผยแพร่ข้อมูลโดยไม่ได้รับอนุญาต ฯลฯ)
- เข้าร่วมการฝึกอบรมที่จัดขึ้นเป็นประจำ หากมีหน้าที่ต้องดูแลจัดการข้อมูลส่วนบุคคล รวมทั้งควรรู้ขอบข่ายการดำเนินงานของตน
สิ่งที่ไม่ควรทำ
- จัดเก็บข้อมูลส่วนบุคคลโดยไม่มีความรู้เกี่ยวกับเจ้าของข้อมูล
- จัดเก็บข้อมูลที่มี “ความอ่อนไหว” (สถานะทางสุขภาพ รสนิยมทางเพศ ความคิดเห็นทางการเมือง ความเชื่อมั่นทางศาสนา เชื้อชาติหรือชาติพันธุ์) โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล หรือโดยที่กฎหมายไม่กำหนด
- มอบการเข้าถึงข้อมูลส่วนบุคคลให้กับผู้ที่อยู่ในอีกประเทศโดยไม่ได้ปรึกษา
- เก็บข้อมูลส่วนบุคคลนานเกินกว่าที่จำเป็นตามวัตถุประสงค์ที่กำหนดไว้
กรณีตัวอย่าง #1
คุณเป็นหนึ่งในทีมงานฝ่ายขายและต้องการเสริมสร้างความสัมพันธ์ใกล้ชิดกับลูกค้า ด้วยเหตุนี้คุณจึงอยากจัดเก็บข้อมูลเกี่ยวกับชีวิตส่วนตัวของลูกค้าไว้ในเครื่องมือบริหารความสัมพันธ์กับลูกค้า (Customer Relationship Management Tool) ของกลุ่มมิชลินอย่างไรก็ตาม หากคุณขาดงาน ผู้ที่ทำหน้าที่แทนคุณจะสามารถเข้าาถึงข้อมูลนี้ได้ แนวทางเช่นนี้สามารถทำได้หรือไม่?
ไม่ได้ คุณสามารถจัดเก็บเฉพาะข้อมูลที่เป็นข้อเท็จจริงในขอบเขตที่เกี่ยวข้องกับหน้าที่การงานเท่านั้น นอกจากนี้ การจัดเก็บข้อมูลที่มีความอ่อนไหวบางประเภท (เช่น สถานะทางสุขภาพ ศาสนา ฯลฯ) ยังเป็นข้อห้ามโดยเด็ดขาด พึงระลึกไว้ว่าลูกค้าสามารถขอเข้าถึงข้อมูลส่วนบุคคลของตนเองได้เสมอ
กรณีตัวอย่าง #2
เพื่อนร่วมงานคนหนึ่งประสบอุบัติเหตุในที่ทำงาน คุณอยากแจ้งข้อมูลเกี่ยวกับเรื่องนี้ให้กับพื้นที่ปฏิบัติงานทางอุตสาหกรรมทุกแห่งได้รับทราบ คุณจึงให้ข้อมูลดังต่อไปนี้ โรนัน เอ. เจ้าหน้าที่ฝ่ายตรวจสอบประจำพื้นที่ปฏิบัติงานในเมืองวานส์ (Vannes) รวมทั้งรายละเอียดเกี่ยวกับการบาดเจ็บและบริบทของการเกิดอุบัติเหตุ คุณระบุเพียงชื่อ ต้น ของเพื่อนร่วมงานคนดังกล่าว การทำเช่นนี้ถือเป็นการปฏิบัติตามกฎระเบียบหรือไม่?
คุณควรตั้งคำถามกับตัวเองดังต่อไปนี้
- คุณต้องการบรรลุเป้าหมายอันชอบด้วยกฎหมายหรือไม่
ใช่ การให้ข้อมูลเหล่านี้เป็นไปเพื่อปรับปรุงความปลอดภัยของพนักงาน
- จำเป็นหรือไม่ที่จะต้องแจ้งข้อมูลทั้งหมดนี้?
ไม่ พื้นที่ปฏิบัติงาน ตำแหน่งงาน และชื่อ ต้น ไม่จำเป็นต่อการรายงานอุบัติเหตุนี้เลย
การ “ไม่เปิดเผย” ข้อมูลส่วนบุคคล คุณต้องถามตนเองเสมอว่าสามารถระบุตัวตนบุคคลผู้นี้จากข้อมูลที่ให้มาหรือไม่ ในกรณีนี้ การแจ้งชื่อ ต้น ตำแหน่งหน้าที่ และพื้นที่ปฏิบัติงานทางอุตสาหกรรม เป็นข้อมูลที่มากพอจะทำให้ระบุตัวตนบุคคลผู้นี้ได้