เพื่อน ๆ ชาว HR หลายคนคงได้ศึกษาตัวกฎหมาย PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) แบบคร่าว ๆ กันมาบ้างแล้ว และรู้สึกได้เหมือนกันว่างานฝ่ายทรัพยากรบุคคลที่เราทำอยู่ เกี่ยวข้องกับกฎหมายฉบับนี้เป็นอย่างมาก แถมกฎหมายฉบับนี้ยังเป็นสิ่งที่บังคับให้ทุกองค์กรต้องมีการทำตามอย่างหลีกเลี่ยงไม่ได้อีกด้วย จึงเป็นที่มาของ PDPA for HR ในบทความนี้
ว่ากันว่าภายในฝ่ายทรัพยากรบุคคลเป็นแหล่งรวบรวมเอกสารที่มีข้อมูลส่วนบุคคลของพนักงานปัจจุบัน และผู้ที่จะเข้ามาเป็นพนักงานในอนาคต ไม่ว่าจะเป็นใบสมัครงาน สำเนาเอกสารต่าง ๆ รวมถึง Resume และ Portfolio ฝ่าย HR หลายคนยังไม่รู้ว่า ถ้ากฎหมายฉบับนี้บังคับใช้ จะรับมืออย่างไรให้สอดคล้องกับกฎหมาย PDPA ซึ่งบทความนี้ ตอบคำถามคลายความกังวลได้แน่นอน
ทำไมต้องมีการทำ PDPA for HR ในองค์กร
เนื่องจากกฎหมาย PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) ได้กำหนดไว้ว่าทุกองค์กรที่ใช้ข้อมูลส่วนบุคคลในวัตถุประสงค์ต่าง ๆ ไม่ว่าจะได้มาจากคนในองค์กร หรือนอกองค์กร ต้องมีการจัดทำมาตรการรักษาความปลอดภัย หรือกำหนดนโยบายเกี่ยวกับการเก็บรวบรวม รักษา และนำข้อมูลส่วนบุคคลไปใช้อย่างเปิดเผยผ่านลายลักษณ์อักษรที่ชัดเจน ซึ่ง HR ผู้ดูแลข้อมูลส่วนบุคคลของทุกคนในองค์กร ก็ต้องปฏิบัติตามให้สอดคล้องกับกฎหมายฉบับนี้เช่นกัน
PDPA for HR ระบุไว้จะขอข้อมูลส่วนบุคคลใคร ต้องขอ Consent ก่อน
ตามกฎหมาย PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กล่าวเกี่ยวกับ Consent ไว้ว่า
“ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคล และพูดให้ชัดคือ องค์กรห้ามใช้ข้อมูลเรา หรือเปิดเผยข้อมูลโดยไม่ได้รับความยินยอมจากลูกค้า หรือเจ้าของข้อมูลก่อน”
ดังนั้นก่อนที่จะเริ่มเก็บรวบรวมข้อมูล เพื่อนำมาใช้ และเผยแพร่ ทางผู้ควบคุมข้อมูลที่เป็นเจ้าหน้าที่ฝ่ายทรัพยากรบุคคล ต้องมีการทำ Consent Management หรือการสร้างแบบขอความยินยอมเป็นลายลักษณ์อักษรชัดเจน พร้อมระบุวัตถุประสงค์ในการจัดเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล และระบุสิทธิ์ในการจัดการของผู้ให้ข้อมูลซึ่งในที่นี้ก็คือ พนักงาน หรือผู้สมัครงาน ดังนั้นการทำ Consent เป็นสิ่งที่ฝ่าย HR ต้องห้ามปล่อยปะละเลยเป็นอันขาด
ถ้าอยากศึกษาเรื่องนี้เพิ่มเติม สามารถเข้าดูได้ที่ Consent Management (ระบบบริหารจัดการข้อมูลส่วนบุคคล) และ หน้าตาของ consent เป็นอย่างไร?
องค์กรทำ ROP เพื่อสอดคล้อง PDPA ฉันใด PDPA for HR ก็ต้องทำ ROP ด้วยฉันนั้น
ฝ่าย HR เมื่อได้รับข้อมูลส่วนบุคคล ไม่ว่าจากพนักงานในองค์กรก็ดี หรือจากผู้สมัครก็ตาม ต้องมีการทำ ROP (Record of Processing Activity) หรือที่ภาษาไทยเรียกกันว่า “การบันทึกรายการประมวลผลข้อมูล” ซึ่งการทำ ROP นี้ต้องครอบคลุมตั้งแต่กระบวนการสำรวจข้อมูล ไปจนถึงการส่งต่อข้อมูลส่วนบุคคล นอกจากนี้ทางฝ่าย HR ต้องแยกประเภท และระบุได้ว่าข้อมูลส่วนบุคคลในแต่ละหมวดมีอะไรบ้าง ถูกจัดเก็บไว้ที่ใด พร้อมมอบหมายให้ใครดูแล หรือมีสิทธิ์เข้าถึงข้อมูลส่วนบุคคลนี้บ้าง
รายละเอียดเกี่ยวกับ RoP สามารถศึกษาเพิ่มเติมได้ที่ RoP Records of Processing Activity คืออะไร
สิทธิ์ของผู้ให้ข้อมูลส่วนบุคคลนั้นยิ่งใหญ่
มาตรา 30 ในกฎหมาย PDPA ได้กล่าวถึงสิทธิ์ของผู้ให้ข้อมูลไว้ว่า
“เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม”
ซึ่งสามารถสรุปใจความแบบเข้าใจง่าย ๆ ได้ว่า
“ผู้ให้ข้อมูลมีสิทธิ์ในการเรียกดู แก้ไข เคลื่อนย้าย ระงับ คัดค้าน ข้อมูลส่วนบุคคลของตน และผู้ควบคุมข้อมูลจะต้องให้สิทธิ์แก่เจ้าของข้อมูลอีกด้วย”
โดยในเชิง PDPA for HR ฝ่ายทรัพยากรบุคคลต้องสามารถบอกพนักงานได้ว่า ข้อมูลส่วนบุคคลที่เก็บรวบรวมไปนั้นมีวัตถุประสงค์อย่างไร เก็บอะไรไปบ้าง และนำไปจัดเก็บไว้ที่ไหน ซึ่งทางฝ่ายบุคคลฯ ต้องทำการจัดเก็บข้อมูลในส่วนนี้อย่างเป็นระบบ และบอกกล่าวให้ทุกคนในแผนก หรือผู้มีสิทธิ์ดูแลข้อมูลส่วนบุคคลได้รับรู้เกี่ยวกับเรื่องนี้
นอกจากนี้ฝ่าย HR จะต้องให้ความร่วมมือแก่พนักงานที่ขอสิทธิ์ในการแก้ไข ลบ จำกัด ถ่ายโอน คัดค้านข้อมูลส่วนบุคคลที่ทางฝ่ายทรัพยากรบุคคลได้จัดเก็บไว้ ในส่วนการขอถอนความยินยอม พนักงานก็มีสิทธิ์ในการขอถอน Consent ได้เช่นกัน แต่ทางฝ่าย HR สามารถปฏิเสธในส่วนนี้ได้ ถ้าแจ้งเหตุผลว่าใช้ข้อมูลส่วนบุคคลนั้นเพื่อเกี่ยสุขภาพของพนักงาน หรือสิทธิประโยชน์จากบริษัท
อ่านสรุป มาตรา 30 ของพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล แบบเข้าใจง่าย เพิ่มเติมได้ที่ สิทธิของเจ้าของข้อมูล (Data Subject Right)
ถึงเป็นสาย Recruiter ก็ต้องรู้
หน้าที่ของฝ่าย HR นอกเหนือจากดูแลความเรียบร้อยของพนักงานแล้ว ยังต้องมีการคัดเลือกผู้สมัครที่จะมาเป็นส่วนหนึ่งขององค์กรในอนาคต สิ่งที่ต้องคำนึงสำหรับคนที่มาสายงาน Recruit ก็คือการรักษาข้อมูลส่วนบุคคลของผู้สมัคร ทั้งข้อมูลส่วนบุคคลทั่วไป และข้อมูลส่วนบุคคลอ่อนไหวที่ได้มาจากใบสมัคร, Resume และ Portfolio นอกจากนี้กระบวนการเก็บข้อมูลจากใบสมัครทางฝั่ง HR ต้องมีการทำ Consent เป็นลายลักษณ์อักษรอย่างชัดเจน
โดยหลายคนอาจจะสงสัยว่าใบสมัครของผู้ที่ไม่ผ่านการคัดเลือกทาง Recruiter ต้องจัดการอย่างไร ? คำตอบก็คือ
“สำหรับเอกสารผู้สมัครงานที่ไม่ผ่านการคัดเลือก ทาง HR ต้องทำลายเอกสาร และประวัติสมัครงานทันที!! หลังประกาศผล เพื่อความปลอดภัย และถูกต้องตามกฎหมาย PDPA”
อ่านถึงตรงนี้แล้ว ถ้าคุณยังเก็บใบสมัครของผู้ที่ไม่ผ่านการคัดเลือกไว้ ทางเราแนะนำให้คุณทำลายเอกสารนั้นแบบไม่ต้องเผื่อรีไซเคิล เพราะถ้าข้อมูลส่วนบุคคลรั่วไหลไป เข้าข่ายผิดกฎหมาย PDPA แน่นอน!!
ถ้าใครอยากรู้ว่าข้อมูลส่วนบุคคลทั่วไป และข้อมูลส่วนบุคคลอ่อนไหว คืออะไร? หาคำตอบได้ในบทความ PDPA เก็บข้อมูลอย่างไร? ให้ปลอดภัย
สาย HR Development ก็ต้องรู้เหมือนกัน
กฎหมาย PDPA (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ได้ระบุไว้ในประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๓ ข้อ 4 ความว่า
“ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามประกาศนี้ ให้แก่บุคลากร พนักงาน ลูกจ้างหรือบุคคลที่เกี่ยวข้องทราบ รวมถึงสร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้กับกลุ่มบุคคลดังกล่าว ปฏิบัติตามมาตรการที่กาหนดอย่างเคร่งครัด”
ซึ่งจากข้อกฎหมายดังกล่าว สรุปใจความง่าย ๆ ก็คือ
“องค์กรที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล ต้องมีการอบรม PDPA Awareness ให้แก่พนักงานทุกภาคส่วนในบริษัท”
ในฐานะที่ฝ่าย HR เป็นผู้ดูแลเกี่ยวกับการพัฒนาความรู้ และทักษะของพนักงานในองค์กร การสร้างความตระหนักในข้อมูลส่วนบุคคลก็เป็นเรื่องที่ทุกองค์กรต้องปฏิบัติให้สอดคล้องกับกฎหมาย PDPA นอกจากนี้การสร้างความตระหนักทางความปลอดภัยด้านไซเบอร์ก็เป็นสิ่งที่ต้องทำควบคู่กันไปด้วยเพื่อให้พนักงานในองค์กรทันต่อภัยไซเบอร์ที่จะเข้ามาคุกคามล้วงความลับองค์กร และเห็นความสำคัญของข้อมูลส่วนบุคคล
สรุป
จากบทความทั้งหมดที่กล่าวมาเห็นได้ชัดเลยว่ากฎหมาย PDPA (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ที่จะบังคับใช้ในอีก 2 เดือนข้างหน้า (1 มิถุนายน 2565) นั้นมีความเกี่ยวข้องกับฝ่ายทรัพยากรบุคคล (HR) เป็นอย่างมาก เพราะเป็นแผนกสำคัญที่ทำงานอยู่กับข้อมูลส่วนบุคคลจำนวนมาก ดังนั้นองค์กรของเราควรเริ่มดำเนินการตามนโยบาย และการปฏิบัติให้สอดคล้องตามข้อบังคับของกฎหมายต่อไป
หากบทความนี้เป็นประโยชน์แก่คุณ อย่าลืมส่งต่อสิ่งดี ๆ แบบนี้ให้กับคนที่คุณรู้จัก และสามารถติดตามบทความอื่น ๆ หรือสาระน่ารู้ที่จะช่วยพัฒนางาน HR ของคุณให้มีประสิทธิภาพได้ที่ trust-vision.co
PDPA จะไม่ใช่เรื่องยากสำหรับชาว HR อีกต่อไป
PDPA จะไม่ใช่เรื่องยาก
สำหรับชาว HR อีกต่อไป
