PDPA สำหรับ HR
PDPA สำหรับ HR คืออะไร? คำตอบก็คือ.. ฝ่าย HR เป็นฝ่ายที่มีการใช้ข้อมูลส่วนบุคคลภายในองค์กรเป็นอันดับต้นๆ เพราะเป็นผู้ จัดเก็บ ใช้ เปิดเผย เข้าถึง ส่งต่อ ข้อมูลส่วนบุคคลของพนักงานภายในองค์กร ข้อมูลส่วนบุคคลไม่ได้หมายถึงข้อมูลส่วนบุคคลของลูกค้าหรือผู้มาติดต่อกับองค์กรเพียงอย่างเดียว แต่ร่วมถึงข้อมูลส่วนบุคคลพนักงานในองค์กรก็ถือว่าเป็นเจ้าของข้อมูลเช่นกัน PDPA หรือ กฎหมายคุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายใหม่เพื่อเข้ามาป้องกันการใช้มูลส่วนบุคคลภายในองค์กรให้เป็นไปตามมาตรฐาน PDPA Thai ได้กำหนด ซึ่งมีผลบังคับใช้วันที่ 1 มิถุนายน 2565 ที่จะถึงนี้ ข้อมูลส่วนบุคคลหมายถึง ข้อมูลที่สามารถบ่งบอกตัวตนบุคคลได้ไม่ว่าจะเป็นทางตรงหรือทางอ้อม ไม่เกี่ยวกับนิติบุคคล หรือ ผู้ถึงแก่กรรม
ดังนั้น HR ต้องเตรียมพร้อมรับมือกับกฎหมายฉบับนี้อย่างไร ให้ถูกต้องและเป็นไปตามมาตรฐานที่กฎหมายกำหนดตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ได้กำหนดไว้ เพื่อปกป้องข้อมูลส่วนบุคคลของพนักงานภายในองค์กรให้ปลอดภัยมากที่สุด
ฝ่าย HR ต้องเตรียมตัวรับมืออย่างไรในการทำ PDPA ?
1.ประกาศนโยบายความเป็นส่วนตัว (Privacy Notice) อย่างเป็นลายลักษณ์อักษร และแนวทางการปฏิบัติ (Privacy Poliy) ในการใช้ จัดเก็บ เปิดเผยข้อมูลส่วนบุคคลให้กับพนักงานในองค์กรรับทราบ ทั้งช่องทาง online และ offline อย่างชัดเจน
2.กรณีมีการเปิดรับสมัครงานที่ต้องมีการขอเก็บข้อมูลส่วนบุคคลของผู้สมัคร ฝ่าย HR ต้องจัดทำเอกสารขอความยินยอมในการจัดเก็บข้อมูลส่วนบุคคล โดยมีวัตถุประสงค์ในการนำข้อมูลไปใช้ในกิจกรรมอะไร และมีระยะเวลาในการจัดเก็บกี่ปี กรณีผู้สมัครไม่ผ่านการคัดเลือกมีการจัดการกับเอกสารอย่างไร เพื่อให้เจ้าของข้อมูลรับทราบและอนุญาตให้จัดเก็บข้อมูลได้
3.กรณีการจัดเก็บสัญญาจ้างที่มีข้อมูลส่วนบุคคลและสวัสดิการต่างๆ ควรมีการจัดเก็บไว้ในสถานที่ปลอดภัยและมีผู้ดูแลรับผิดชอบอย่างชัดเจน เพื่อง่ายต่อการตรวจสอบกรณีมีข้อมูลรั่วไหลเกิดขึ้น
4.กรณีมีการขอเก็บข้อมูลชีวภาพ ควรมีการจัดทำเอกสารขออนุญาตจากเจ้าข้อมูลและมีการแจ้งวัตถุประสงค์อย่างชัดเจน เช่น การเก็บลายนิ้วมือ หรือสเกนบนหน้า เพื่อให้เจ้าของข้อมูลรับทราบถึงวัตถุประสงค์และยินยอมให้จัดเก็บ เพราะลายนิ้วมือหรือบนหน้า ถือได้ว่าเป็นข้อมูลส่วนบุคคลเช่น
5.กรณีมีการส่งรายชื่อพนักงานไปให้บุคคลที่สาม ต้องจัดทำเอกสารข้อตกลงการใช้ข้อมูลร่วมกัน ( Processing Agreem ) หากเกิดของพิพาทเกิดกรณีบุคคลที่สามทำเกินหน้าที่ ที่บริษัทได้กำหนดไว้ในสัญญาเอกสาร ( Processing Agreem ) จะเป็นเอกสารสำคัญในการพิจารณาในศาลต่อไป
เกิดอะไรขึ้นหากบริษัทไม่ทำตามกฎหมาย PDPA ?
กรณีมีผู้เสียหายฟ้องร้องเกิดขึ้นเมื่อบริษัททำข้อมูลส่วนบุคคลรั่วไหล ทางคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเข้ามาตรวจสอบและหากไม่สามารถตรวจสอบที่มาที่ไปข้อมูลไม่ได้ ทางบริษัทต้องจะได้รับโทษตามกฎหมาย PDPA กำหนด ซึ่งบทลงโทษของกฎหมายฉบับนี้มีความรุงแรงมากที่สุดในบรรดากฎหมายดิจิทัลมีโทษปรับสูงสุดถึงห้าล้านบาท โทษ PDPA โดนแน่ถ้าคิดว่าจะไม่ทำ
ดังนั้นการทำ PDPA เป็นเรื่องที่สำคัญกับองค์กรที่มีการใช้ข้อมูลส่วนบุคคล เพื่อให้ทราบถึงการไหลของข้อมูลส่วนบุคคลภายในองค์กรว่าใช้ในกิจกรรมอะไรบ้างและใครเป็นผู้ดูแลในกิจกรรมนั้น เพื่อเป็นหลักฐานในการตรวจสอบให้กับคณะกรรมคุ้มครองข้อมูลส่วนบุคคลต่อไป
ทุกคนทราบน่าจะแล้วว่า PDPA สำหรับฝ่ายบุคคล? ต้องปฏิบัติอย่างไร ดังนั้นการจัดทำ PDPA จึงต้องเป็นหน้าที่ของทุกฝ่ายโดยเฉพาะฝ่าย HR ในการจัดเก็บรักษาข้อมูลส่วนบุคคลภายในองค์กร ให้มีความปลอดภัยและเป็นไปตามมาตรฐานกฎหมาย PDPA ได้กำหนด และฝ่าย HR ถือได้ว่าเป็นผู้ที่จัดเก็บข้อมูลส่วนบุคคลเป็นอันดับต้นๆขององค์กร ควรนำร่วงในการจัดทำการจัดเก็บข้อมูลส่วนบุคคลให้เป็นมาตรฐานตามกฎหมาย PDPA เพื่อสามารถตรวจสอบได้ว่าในแต่ละกิจกรรมมีการใช้ข้อมูลบุคคลอะไรบ้างและใช้เพื่อวัตถุประสงค์อะไร
สามารถอ่านข้อมูลเพิ่มเติมได้ที่ PDPA for HR งานฝ่ายบุคคลฯ กับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
