OUR

ARTICLES

  • ธีรชัย จำปีแก้ว

เช็กความพร้อม! แนวทางรับมือกฎหมาย PDPA ที่ HR ทุกบริษัทต้องรู้

“ข้อมูลส่วนบุคคล” (Personal Data) เป็นข้อมูลที่ใช้สำหรับการระบุตัวตน เช่น ชื่อ – นามสกุล ที่อยู่ เลขประจำตัวประชาชน เบอร์โทรศัพท์ อีเมล การศึกษา รูปถ่าย ข้อมูลทางการเงิน หรือข้อมูลใดก็ตามที่ระบุได้ว่าหมายถึงบุคคลใด ซึ่งทั้งหมดล้วนเป็นข้อมูลส่วนบุคคลทั้งสิ้น


ปวดตาจากการใช้คอมพิวเตอร์


โดยในแง่ขององค์กรที่เป็นธุรกิจ ข้อมูลเหล่านี้มักจะถูกจัดเก็บทั้งแบบทางตรงและทางอ้อม เพื่อใช้สำหรับการวิเคราะห์กลุ่มลูกค้า และนำไปพัฒนาสินค้า หรือการบริการให้ตอบโจทย์ความต้องการของลูกค้าได้มากที่สุด ซึ่งองค์กรเป็นผู้จัดเก็บทั้งข้อมูลของลูกค้าและพนักงาน


แต่ปัจจุบัน โลกของเทคโนโลยีนั้นก้าวหน้ามากยิ่งขึ้น จนเกิดช่องทางการสื่อสารหลากหลายช่องทาง ทำให้ข้อมูลส่วนบุคคลมีความเสี่ยงที่จะถูกละเมิดสิทธิความเป็นส่วนตัวได้ง่าย และนำพามาซึ่งความเสียหาย หรือความเดือดร้อนรำคาญแก่เจ้าของข้อมูล นอกจากนี้ยังส่งผลกระทบต่อเศรษฐกิจโดยรวมของประเทศอีกด้วย


ดังนั้นจึงต้องมีกฎหมายที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA (Personal Data Protection Act 2012) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 โดยเป็นไปตามกฎหมายที่กำหนดหลักเกณฑ์ กลไก และมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลในความดูแลขององค์กรต่างๆ ทั้งในส่วนของภาครัฐและเอกชน ซึ่งรับรองสิทธิแก่เจ้าของข้อมูลส่วนบุคคล


รวมถึงการกำหนดการเยียวยาเจ้าของข้อมูลส่วนบุคคล ให้มีความเหมาะสมในกรณีที่เกิดเหตุละเมิด เพื่อให้เป็นไปตามมาตรฐานสากล ซึ่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ได้ขยายเวลาในการบังใช้จากเดิมวันที่ 1 มิถุนายน 2564 เลื่อนไปเป็นวันที่ 1 มิถุนายน 2565


เหตุที่เป็นเช่นนั้นส่วนหนึ่งเกิดจากสถานการณ์การแพร่ระบาดของ COVID-19 ที่ยังคงมีผู้ติดเชื้อรายใหม่เกิดขึ้นทุกวัน จึงส่งผลโดยตรงต่อเศรษฐกิจและสังคม ซึ่งเป็นอุปสรรคสำคัญต่อการดำเนินการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายฉบับนี้

เมื่อ PDPA ได้เข้ามามีบทบาทกับทุกองค์กร


พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA เป็นกฎหมายที่มีผลกระทบแทบจะทุกองค์กร โดยนอกจากผู้ประกอบการที่จะต้องปรับตัวกับกฎหมายนี้แล้ว ยังรวมไปถึง “ฝ่ายทรัพยากรบุคคล” หรือ HR (Human Resource) เพราะเป็นตำแหน่งที่มีหน้าที่ในการเก็บรวบรวมข้อมูลส่วนบุคคลของพนักงานทุกคนภายในองค์กร รวมไปถึงข้อมูลของผู้สมัครงาน และพนักงานที่ลาออกจากองค์กรไปแล้ว


ตัวอย่างข้อมูลที่ HR มักพบเจอ


> ชื่อ-นามสกุล ที่อยู่ และรายละเอียดที่ใช้สำหรับการติดต่อของพนักงาน ตั้งแต่ระดับปฏิบัติการจนถึงระดับบริหาร


> Resume หรือ CV (Curriculum Vitae) ของผู้สมัครงานที่ยื่นเข้ามายังองค์กรหรือ HR


> บันทึกประวัติการทำงานของพนักงานที่ลาออก ย้ายงาน หรือพ้นสภาพการเป็นพนักงาน แต่ต้องเก็บรักษาไว้เป็น ฐานข้อมูล ในกรณีที่มีการสอบถามเข้ามาจากองค์กรสังกัดใหม่ของพนักงานรายนั้น


> ข้อมูลการติดต่อประสานงานวิทยากรจากภายนอก สำหรับการฝึกอบรมพนักงาน หรืออื่นๆ


ในอนาคตบริษัทใหญ่ๆ อาจเลือกที่จะจ้างที่ปรึกษา ผู้เชี่ยวชาญ หรือผู้ให้บริการบริหารจัดการ เพื่อเข้ามาจัดวางระบบข้อมูลทุกรูปแบบให้สอดคล้องกับกฎหมาย PDPA และเพิ่มประสิทธิภาพด้านความปลอดภัยให้แน่นหนามากยิ่งขึ้น ซึ่งองค์กรขนาดใหญ่อาจมีงบประมาณในการจัดการกับเรื่องนี้อยู่แล้ว


แต่สำหรับองค์กรเล็กอย่าง Startup, SMEs หรือบริษัทเปิดใหม่ที่เพิ่งตั้งตัว อาจมีงบประมาณไม่มาก ทั้งผู้ประกอบการ ผู้บริหาร ตลอดจน HR จึงต้องจำเป็นอย่างมาก ที่จะต้องเรียนรู้เกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และดำเนินงานต่างๆ ขององค์กรให้สอดคล้อง และไปในทิศทางเดียวกันกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลด้วยตนเอง


แล้ว HR ต้องคำนึงถึงจุดใดบ้างเมื่อมี PDPA..?


ข้อแนะนำสำหรับชาว HR ก็คือ จะต้องคำนึงเสมอว่า ข้อมูลส่วนบุคคลที่อยู่ในมือของเรานั้น ล้วนอยู่ภายใต้การคุ้มครองจากกฎหมาย PDPA (รวมถึงกฎหมาย GDPR และกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับอื่นๆ กรณีที่มีการถ่ายโอนข้อมูลทั้งจากหรือไปยังองค์กรต่างประเทศ)


จึงจำเป็นอย่างมากที่จะต้องมีนโยบายเกี่ยวกับการจัดเก็บรวบรวม การใช้ และการเปิดเผยข้อมูล โดยเขียนไว้เป็นลายลักษณ์อักษรอย่างชัดเจน ซึ่งมีตัวอย่างแนวทางการปฏิบัติงานของทรัพยากรฝ่ายบุคคล ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ที่ HR สามารถนำไปปรับใช้ได้ ดังนี้


> ก่อนที่ HR จะทำการจัดเก็บข้อมูลส่วนบุคคล จะต้องขอความยินยอมจากเจ้าของ แม้กระทั่ง Resume หรือประวัติโดยย่อของบุคคลนั้น ก็จะต้องเป็นข้อมูลที่ถูกส่งมาจากเจ้าของข้อมูลโดยตรง เพราะนั่นอาจเป็นสิ่งที่ ยืนยันว่าได้รับการยินยอมแล้ว อย่างไรก็ตาม ยังจะต้องมีการแจ้ง และให้มีการยอมรับเกี่ยวกับการเก็บรักษา ข้อมูลดังกล่าว เพื่อเป็นข้อมูลในกรณีที่สมัครงานไม่ผ่าน แต่จะไม่เก็บข้อมูลนั้นไว้เกินระยะเวลาที่ระบุตามนโยบาย การประมวลผลข้อมูลขององค์กร


> HR ยังไม่ควรขอข้อมูลบัตรประชาชนจากผู้สมัครงาน ทั้งตัวจริงหรือสำเนาเอกสาร จนกว่าจะผ่านกระบวนการ พิจารณา และรับเข้าทำงานอย่างเป็นทางการแล้ว


> Resume และประวัติของผู้ที่สมัครงานไม่ผ่านจะต้องเก็บรักษาไว้ในระยะเวลาสั้นๆ และมีขั้นตอนการทำลาย ข้อมูลที่ปลอดภัย


> การส่งต่อข้อมูลของผู้สมัครเพื่อพิจารณาไปยังตำแหน่งอื่น นอกเหนือจากตำแหน่งที่ผู้สมัครระบุไว้ ก็จะต้องมี การขอความยินยอมเช่นกัน โดย HR ควรแจ้งตั้งแต่ในการประกาศรับสมัครพนักงาน ว่าทางบริษัทมีนโยบายที่ จะส่งต่อข้อมูลของผู้สมัครสู่การพิจารณาในตำแหน่งงานอื่นๆ ที่เกี่ยวข้องกับคุณสมบัติของผู้สมัคร ซึ่งตาม หลักของ PDPA จะต้องระบุข้อความเพื่อขอความยินยอมในส่วนนี้ให้ชัดเจน หรืออาจแยกเป็นอีกแบบฟอร์ม เพื่อ ใช้สำหรับยืนยันการยอมรับอีกครั้งหนึ่งด้วย


> ฝ่ายทรัพยากรบุคคลจะต้องมีนโยบายเกี่ยวกับการเก็บรักษา และมาตรการในการทำลายข้อมูลส่วนบุคคลของ พนักงานที่ลาออก หรือพ้นสภาพการเป็นพนักงานที่ชัดเจน


> หากบริษัทหรือองค์กรของคุณมีความจำเป็นต้องตรวจสอบ หรือสังเกตการณ์การทำงานของบุคลากรผ่าน อีเมล ทั้งการใช้งานคอมพิวเตอร์ และโทรศัพท์ จะต้องแจ้งให้บุคลากรที่เป็นเจ้าของข้อมูลทราบ พร้อมระบุ เหตุผลของการดำเนินการที่กล่าวมา


7 สิ่ง ที่ผู้ประกอบการควรเตรียมรับมือ เมื่อองค์กรกำลังปรับตัวให้เข้ากับ PDPA


เมื่อรู้ถึงสิ่งที่ต้องคำนึงเกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ในส่วนต่อไปก็คือเรื่องของการเตรียมความพร้อม ซึ่งมีข้อแนะนำ ดังนี้


1. ศึกษาข้อมูลให้เข้าใจอย่างถี่ถ้วน รวมถึงบทบาทหน้าที่ที่ต้องปฏิบัติตามกฎหมาย


2. จัดเตรียมเอกสาร และแบบฟอร์มต่างๆ เพื่อทำเช็กลิสต์สำหรับใช้ในองค์กร ทั้งการขอความยินยอม หรือขั้นตอนในการจัดเก็บข้อมูลส่วนบุคคล


3. กำหนดระเบียบและหลักเกณฑ์ต่างๆ ที่ใช้ในองค์กรให้สอดรับกับ PDPA ตลอดจนถึงการกำหนดมาตรการการแก้ปัญหา เมื่อมีการล่วงละเมิดข้อมูลส่วนบุคคล


4. ศึกษาค้นคว้าหาข้อมูล ระบบ และโปรแกรมต่างๆ ที่จะเข้ามาช่วยจัดเก็บข้อมูลส่วนบุคคลให้มีความปลอดภัย ดึงข้อมูลมาใช้ได้ง่าย และเป็นไปตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล


5. ให้ความรู้ความเข้าใจเกี่ยวกับ PDPA และข้อมูลส่วนบุคคลแก่บุคลากร เพื่อให้เข้าใจในหลักการ และนำไปปรับใช้ได้อย่างถูกต้อง


6. ทบทวนเกี่ยวกับการปรับข้อมูลใน Terms & Policy ต่างๆ ภายในองค์กรให้มีความโปร่งใส และชัดเจน


7. แต่งตั้งและมอบหมายให้ HR หรือผู้รับผิดชอบคนอื่นภายในองค์กร เพื่อดำเนินการให้สอดคล้องกับกฎหมายฉบับนี้


พนักงาน และสิทธิส่วนบุคคล


เนื่องด้วยเป็นข้อมูลส่วนบุคคลของพนักงาน HR หรือผู้ที่เกี่ยวข้องนึกคำนึงเสมอว่า สิทธิของพนักงานเกี่ยวกับข้อมูลส่วนบุคคลนั้น จะต้องพิจารณาตามสัญญาจ้างงานเสมอ โดยองค์กรหรือบริษัทจำเป็นต้องแจ้งให้ทราบเกี่ยวกับการเก็บข้อมูลในส่วนนี้เอาไว้ ซึ่งพนักงานเองยังสามารถแจ้งความจำนงต่อองค์กรเกี่ยวกับข้อมูลส่วนบุคคลได้ ดังนี้


> การให้ความยินยอมในการจัดเก็บรูปภาพ ข้อมูลบัตรประชาชน และหนังสือเดินทาง


> การให้ความยินยอมในการเข้าถึงข้อมูลการรักษาพยาบาลต่างๆ


> สามารถถอนความยินยอมที่ให้ไว้ได้


> การลบ ทำลาย หรือให้ข้อมูลส่วนบุคคลของพนักงานนั้นไม่สามารถระบุตัวตนได้


> การคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวข้องกับพนักงาน


> การระงับการใช้ข้อมูลส่วนบุคคลของพนักงาน


> การแก้ไขข้อมูลส่วนบุคคลของพนักงานที่ผิดให้ถูกต้อง


> สามารถขอดู และคัดลอกข้อมูลส่วนบุคคล รวมถึงการขอให้เปิดเผยถึงที่มาของข้อมูลส่วนบุคคล


> สามารถร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล รวมถึงผู้ ประมวลผลข้อมูลส่วนบุคคลกระทำการฝ่าฝืน หรือไม่ปฏิบัติตาม PDPA


HR ต้องจัดการกับพนักงานที่ลาออก โดนไล่ออก และผู้สมัครงาน


กรณีที่ HR หรือองค์กรมีข้อมูลของพนักงานที่ลาออกไปแล้ว โดนไล่ออก และผู้สมัครงาน จะต้องมีมาตรการรักษาความปลอดภัยของข้อมูลอย่างครอบคลุม เพื่อป้องกันการถูกโจรกรรมข้อมูลทุกช่องทาง การป้องกันข้อมูลรั่วไหล หรือข้อมูลถูกเผยแพร่ออกไป โดยไม่ได้อยู่ในข้อตกลงความยินยอมที่ต้องแจ้งให้ทราบต่อเจ้าของข้อมูลส่วนบุคคลตั้งแต่แรก


รวมถึงกรณีที่เจ้าของข้อมูลไม่ยินยอมอีกต่อไปแล้ว ทั้งการจัดเก็บข้อมูล และระยะเวลาในการจัดเก็บ ที่สำคัญยังต้องมีวิธีการทำลายข้อมูลที่มีประสิทธิภาพ เมื่อข้อมูลส่วนบุคคลเหล่านั้นครบกำหนดระยะเวลาในการจัดเก็บ ซึ่งหากไม่มีมาตรการเหล่านี้จะทำให้มีโทษทั้งจำและปรับตามกฎหมายฉบับนี้


ข้อควรทราบก่อนปฏิบัติใช้กับองค์กร


อย่างที่กล่าวทั้งหมดจะสรุปได้ว่า HR จะต้องได้รับการยินยอมจากเจ้าของข้อมูลส่วนบุคคล ก่อนที่จะนำข้อมูลเหล่านั้นไปดำเนินการใดๆ ทั้งในส่วนของพนักงานปัจจุบัน พนักงานที่ลาออก หรือถูกไล่ออก รวมถึงผู้สมัครงาน ตามที่กฎหมายระบุไว้


โดยความยินยอมนั้นจะต้องมีขอบเขต ทั้งการจัดเก็บรูปภาพ ข้อมูลบัตรประชาชน และหนังสือเดินทาง รวมถึงความยินยอมให้เข้าถึงข้อมูลที่เกี่ยวกับการรักษาพยาบาล เช่น ประกันสังคม หรือการลาป่วย เป็นต้น ซึ่งเจ้าของข้อมูลมีสิทธิที่จะปกป้องข้อมูลส่วนตัวของตนเอง


ดังนั้นไม่ว่าจะทำสิ่งใดก็ตามจะต้องได้รับการยินยอมจากเจ้าของข้อมูลก่อนเสมอ โดยเจ้าตัวก็สามารถยินยอม หรือปฏิเสธ และสามารถรับรู้ได้ว่าข้อมูลเหล่านั้นจะนำไปใช้ทำอะไรบ้าง หรือแม้กระทั่งข้อมูลจะถูกเก็บไว้นานแค่ไหน ก็เป็นสิทธิที่สามารถรับรู้ได้


หาก HR หรือองค์กรละเมิดข้อตกลง หรือนำข้อมูลไปใช้นอกเหนือจากที่ระบุไว้ ไม่ว่าเจ้าของข้อมูลจะมีการถอนความยินยอมหรือไม่ ก็จะต้องหยุดใช้ หรือจัดเก็บข้อมูลในทันที รวมถึงกรณีที่นำข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปใช้เกินกว่าขอบเขตข้อตกลงแต่แรก ก็จะนับว่าเข้าข่ายผิดกฎหมาย!


เพราะหากไม่ปฏิบัติตาม PDPA จะมีความผิดและอาจได้รับโทษ ดังนี้


ความผิดทางแพ่ง : ต้องเสียค่าสินไหมทดแทนให้แก่เจ้าของข้อมูล ตามความเสียหายที่เกิดขึ้นจริง

โทษทางอาญา : จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ

โทษทางปกครอง : ปรับสูงสุดไม่เกิน 5 ล้านบาท โดยแบ่งโทษทางปกครองเอาไว้ทั้งโทษของผู้ควบคุมข้อมูล โทษของผู้ประมวลผลข้อมูล และโทษทางปกครองอื่นๆ


ดังนั้นหากไม่อยากเสียทั้งทรัพย์สิน หรือถูกตัดสินจำคุก HR จะต้องมีแนวทางการปฏิบัติงานที่สอดคล้องไปกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ที่จะต้องวางแผนและดำเนินการ เพราะ HR ถือเป็นผู้ที่มีอำนาจหน้าที่เกี่ยวข้องกับข้อมูลส่วนบุคคลมากที่สุดกับบุคลากรทุกระดับ ซึ่งจะต้องมีการวางแผนและดำเนินการกันตั้งแต่เนิ่นๆ เพื่อความถูกต้องและชัดเจนมากที่สุด


#PDPA #ข้อมูลส่วนบุคคล #กฎหมายคุ้มครองข้อมูลส่วนบุคคล #GDPR #สิทธิส่วนบุคคล


บทความจาก

PDPA THAILAND CERTIFICATE BY DBC, PDPA PRO



2 Soi Rong Muang 5, Rong Muang Rd.

Rong Muang, Pathum Wan Bangkok 10330

Tel: 02 092 9222 Ext. 5107     |     Sales@benix.co.th