กฎหมาย PDPA ที่ HR ควรรู้

กฎหมาย PDPA ที่ HR ควรรู้

PDPA คืออะไร และมีความสำคัญอย่างไร ?

ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ทั้งทางตรงและทางอ้อม ซึ่งในปัจจุบันความก้าวหน้าของเทคโนโลยีทำให้การละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลทำได้ง่ายขึ้น สร้างความเดือดร้อนให้กับเจ้าของข้อมูลส่วนบุคคล และยังก่อให้เกิดความเสียหายต่อเศรษฐกิจโดยรวม

จึงมีการบังคับใช้ PDPA ตามกฎหมายทั้งฉบับ เมื่อวันที่ 1 มิถุนายน 2565 ซึ่ง PDPA  (Personal Data Protection Act) เป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้ภาคเอกชนและภาครัฐที่มีข้อมูลส่วนบุคคลอยู่ในความดูแล ทำการเก็บรวบรวม ใช้ เปิดเผย และ/หรือโอนข้อมูลส่วนบุคคลในไทย ให้เป็นไปตามมาตรการปกป้องข้อมูลของผู้อื่นจากการถูกละเมิดสิทธิส่วนตัว

ซึ่งหลักสำคัญของ PDPA คือ ก่อนนำข้อมูลส่วนบุคคลไปใช้ต้องขอความยินยอมจากเจ้าของข้อมูล หากไม่ดำเนินการตามหลักของ PDPA อาจได้รับโทษที่รุนแรงทั้งทางแพ่ง อาญา และปกครอง

งาน HR เกี่ยวข้องกับ PDPA อย่างไร ?

HR เป็นฝ่ายที่ต้องทำงานเกี่ยวกับ "คน" ไม่ว่าจะเป็นผู้สมัครงาน พนักงานในองค์กร รวมไปถึงพนักงานเก่าที่ลาออกหรือโดนไล่ออก จึงไม่สามารถหลีกเลี่ยงการรวบรวมและจัดเก็บเอกสารข้อมูลส่วนบุคคลของพนักงานได้ ทั้งในรูปแบบกระดาษ ไฟล์ในคอมพิวเตอร์หรือในระบบคลาวด์ที่ระบุถึงตัวตนของบุคคลนั้น เพื่อทำความรู้จักพนักงานให้มากที่สุด งาน HR จึงมีความเกี่ยวข้องกับ PDPA โดยตรง

โดยข้อมูลส่วนบุคคล แบ่งออกเป็น 2 ประเภท คือ

● ข้อมูลส่วนบุคคลทั่วไป (Personal Data) เช่น ชื่อ-นามสกุล, หลักฐานการศึกษา, ข้อมูลทะเบียนบ้าน, บัตรประชาชน, ใบรับรองการฝึกอบรม

● ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) เช่น ศาสนา, ผลการตรวจสุขภาพ, ข้อมูลเกี่ยวกับผู้สมัครด้านพฤติกรรม, ประวัติทางอาชญากรและประวัติเกี่ยวกับการกระทำความผิดต่างๆ ก่อนเป็นพนักงาน

ซึ่ง PDPA กำหนดให้ HR สามารถเก็บข้อมูลส่วนบุคคลทั่วไปของพนักงานเพื่อใช้ในวัตถุประสงค์ต่างๆ ซึ่งไม่สามารถนำข้อมูลเหล่านี้ไปเปิดเผยได้ โดยไม่จำเป็นต้องขออนุญาตพนักงานแต่ต้องแจ้งให้พนักงานทราบตามความเหมาะสม เช่น การส่งอีเมลหาพนักงาน, การปิดประกาศ HR Privacy Policy ในออฟฟิศหรือในพื้นที่ที่พนักงานมองเห็นได้อย่างชัดเจน, การระบุในสัญญาจ้างงาน หรือติดตั้ง HR Privacy Policy บนเว็บไซต์ของบริษัท

แต่หากต้องการเก็บข้อมูลส่วนบุคคลที่อ่อนไหว อาจต้องทำการขอความยินยอมจากพนักงาน หรือทำ Consent Form เพื่อแจ้งวัตถุประสงค์ในการเก็บและใช้ข้อมูลส่วนนี้ให้เป็นลายลักษณ์อักษรอย่างชัดเจน

ควรทำอย่างไรเมื่อต้องเกี่ยวข้องกับข้อมูลส่วนบุคคลของพนักงาน?

ดำเนินการตามแนวทางของกฎหมาย PDPA

รวบรวมข้อมูลส่วนบุคคลในด้านต่างๆ ที่เกี่ยวข้องกับองค์กร ทั้งการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล และประเมินข้อมูลเหล่านั้น ว่าประเด็นไหนต้องปฏิบัติตาม PDPA และประเด็นไหนที่ยังไม่ได้จัดการให้สอดคล้องกับกฎหมาย กำหนดนโยบายและแนวทางที่ชัดเจน รวมทั้งเตรียมพร้อมพนักงานที่ต้องทำงานเกี่ยวข้องกับข้อมูลส่วนบุคคลให้เข้าใจ PDPA

กำหนดมาตรการในจัดการข้อมูลส่วนบุคคลให้ปลอดภัย

องค์กรควรประเมินผลข้อมูลส่วนบุคคล ทั้งจำนวนการเก็บข้อมูลส่วนบุคคล วิธีการได้มาซึ่งข้อมูล และวิธีการจัดเก็บข้อมูล การดูแลป้องกันข้อมูลส่วนบุคคลทั้งด้านระบบและบุคคล รวมถึงการลบทำลายข้อมูลและการบันทึกหลักฐานต่างๆ เพื่อให้เห็นถึงปริมาณการมีอยู่ของข้อมูล และลำดับความสำคัญของข้อมูลส่วนต่างๆ

สำหรับสิทธิข้อมูลส่วนบุคคลของพนักงานที่สำคัญ คือ สิทธิการรับทราบและยินยอมการเก็บข้อมูลส่วนตัว สิทธิในการขอเข้าถึงข้อมูลส่วนตัว สิทธิในการคัดค้านและเพิกถอนการเก็บและนำข้อมูลไปใช้ และสิทธิขอให้ลบหรือทำลายข้อมูลส่วนตัว

.ซึ่งสิทธิที่เพิ่มขึ้นของเจ้าของข้อมูลส่วนบุคคลนี้ ทำให้องค์กรต้องปรับเปลี่ยนกระบวนการเก็บรวบรวมและนำข้อมูลส่วนตัวของเจ้าของข้อมูลไปใช้ให้เป็นไปตามหลักการปฏิบัติใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 สามารถอ่านเพิ่มเติมได้ที่ https://bit.ly/2YK90fo 

------

ref

https://openpdpa.org/pdpa-job-application/ 

https://www.dharmniti.co.th/human-resources-and-pdpa/