H&M Group ถูกปรับกว่า 1300 ล้านบาทจากการจัดเก็บข้อมูลพนักงานที่เกินความจำเป็นและนำไปสู่การรั่วไหลของข้อมูล sensitive ของพนักงานกว่าร้อยคน
เป็นข่าวใหญ่ไปเมื่อปลายปีก่อน สำหรับกรณีศึกษาเกี่ยวกับการรั่วไหลของข้อมูลส่วนบุคคลหลังจากมีการบังคับใช้ GPDR ในสหภาพยุโรปเมื่อปี 2018
เหตุการณ์ที่ H&M เกิดขึ้นเมื่อ นับจากปี 2014 ,หัวหน้างานของทีมงาน service center ใน Nuremberg ได้เริ่มโครงการสัมภาษณ์หลังจากกลับมาทำงาน กับกลุ่มพนักงานที่มีการ ขาดงาน ลาพักร้อน หรือลากิจธุระต่างๆ ซึ่งเป็นลักษณะการสอบถามสารทุกข์สุขดิบแบบไม่เป็นทางการ เช่น สอบถามถึงอาการป่วย ผลตรวจ หรือสาเหตุอื่นๆที่หยุดพัก ไปจนถึงข้อมูลปัญหาครอบครัว หรือแม้กระทั่งพิธีกรรมทางศาสนาที่พนักงานได้ลาไปร่วมพิธี และ ข้อมูลดังกล่าว ได้ถูกจัดเก็บบนระบบ online ซึ่งสามารถเข้าถึงได้จาก manager มากกว่า 50 คน
เรื่องการละเมิดข้อมูลดังกล่าวนี้ ได้เป็นข่าวฉาวขึ้นมา เนื่องจากวันหนึ่งในปี 2019 ได้มีเหตุการณ์ที่ระบบ IT ขัดข้อง นำมาสู่ข้อมูลพนักงานดังกล่าวรั่วไหล จนสามารถเข้าถึงได้จากพนักงานทุกคนในบริษัท H&M จึงเป็นเหตุให้มีการฟ้องร้องขึ้นในช่วง ตุลาคม 2019
เมื่อมีการสอบสวนพบว่า มีการละเมิดข้อมูลพนักงานในลักษณะดังกล่าวนี้มาตั้งแต่ปี 2014 โดยมีผู้จัดการคนหนึ่งได้ให้ข้อมูลว่าข้อมูลดังกล่างนั้น ได้มีการนำมาเป็นส่วนหนึ่งของการประเมินผลงานพนักงานด้วย ซึ่งเป็นการนำไปใช้งานในวัตถุประสงค์อื่น
จากเหตุการณ์ดังกล่าว ทาง H&M Group ได้ออกมารับผิดชอบโดยกล่าวว่า เหตุการณ์ที่เกิดขึ้นนั้น เป็นการจัดเก็บและประมวลผลข้อมูลพนักงานโดยมิชอบและไม่สอดคล้องต่อนโยบายของบริษัท H&M
H&M ยิมยอมและรับผิดต่อความผิดดังกล่าว และได้กล่าวขอโทษต่อพนักงานที่ได้รับผลกระทบนี้
H&M ยังได้กล่าวอีกว่า ทางองค์กรไม่ได้นิ่งนอนใจ และได้ทำการ review และจัดตั้งทีม Internal audit เพื่อทำการตรวจสอบและปรับปรุงการจัดเก็บข้อมูลให้ถูกต้องตามหลักการ GDPR compliance อีกทั้งยังให้ความรู้กับผู้บริหารในองค์กรเกี่ยวกับการบริหารงานและดูแลองค์กรให้ปลอดภัยและถูกหลักธรรมนองคลองธรรมอีกด้วย
นอกเหนือจากนั้น H&M Group ได้จัดให้มีการจ่ายเงินเยียวยาแก่พนักงานที่ทำงานอยู่ใน service center ดังกล่าว ก่อนเดือน พค 2018
Piers Dryden, partner and head of the technology sector ที่ law firm Brabners ได้กล่าวไว้ว่า ทางผู้ควบคุมหวังว่า กรณีศึกษาของ H&M จะเป็นตัวอย่างว่าทุกองค์กร ไม่ว่าจะเล็กหรือใหญ่ ต้องตระหนักถึงสิทธิ์ของพนักงานให้มาก องค์กรไม่สามารถเพิกเฉยต่อการละเมิดข้อมูลส่วนบุคคลและต้องสร้างความเข้าในในองค์กรเกี่ยวกับข้อมูลทุกอย่างของพนักงานที่องค์กรมีการจัดเก็บประมวลผล
จากบทเรียนนี้ บริษัทอื่นๆควรใช้เป็นกรณีศึกษาและปรับปรุงองค์กร ก่อนที่จะเกิดเหตุการณ์ data breach แบบ H&M
ดังต่อไปนี้
1.แจ้งและขอความยินยอมกับเจ้าของข้อมูลก่อนจัดเก็บเสมอ
2.ไม่จัดเก็บข้อมูลที่เกินความจำเป็น โดยเฉพาะข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน
3.ไม่นำข้อมูลส่วนบุคคลไปใช้นอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้
4.จัดให้มีระบบที่มีความปลอดภัยสูงในการเก็บรักษาข้อมูลส่วนบุคคล
จะเห็นได้ว่า สิ่งที่เกิดกับ H&M เป็นหลักการพื้รฐานของ GDPR ที่ตรงกันกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2564 (PDPA) ของเมืองไทย ดังนั้น พวกเราชาว HR จะต้องตระหนักและจัดเตรียมความพร้อม ก่อนที่พวกเราจะเกิดเหตุการณ์ใหญ่โดอย่างที่เกิดขึ้นกับ H&M
หากท่านต้องการตัวช่วยในการจัดการ PDPA สำหรับงาน Recruitment
ระบบ “Buddy Recruit” ของเรา
จัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยบน Cloud computing ระดับสากล
และยังมี module “Consent Management” ที่คอยดูแลให้มีการจัดการขอความยินยอม/ถอนคำยินยอม ได้อย่างอัตโนมัติ