"CONSENT " พื้นฐานที่ HR ต้องรู้ ?
” CONSENT ” พื้นฐานที่ HR ต้องรู้ ? วันนี้ Trust vision เรามีข้อแนะนำให้ค่ะ โดยปกติแล้วทีม HR จะได้รับหน้าที่ในการออกนโยบายสำหรับพนักงานใหม่ (Employee Policy) ซึ่งควรมีข้อกำหนดที่ครอบคลุมในการใช้ข้อมูลส่วนบุคคล ที่เป็นไปตามวัตถุประสงค์ที่ชัดเจน ซึ่งเราจะเรียกว่า เอกสารขอความยินยอม หรือ Consent ตามพระราชบัญญัติ พ.ร.บ.คุ้มครองข้อมูลส่วน คือข้อตกลงระหว่างเจ้าของข้อมูล (Data Subject) และองค์กร (Data Collector) เพื่อขออนุญาตการเก็บ เปิดเผย และประมวลผลข้อมูลส่วนบุคคล ซึ่งใจความของหนังสือขอความยินยอมจะต้องมีความชัดเจน ไม่คลุมเครือ และระบุกิจกรรมที่จำเป็นต้องขอจัดเก็บข้อมูลส่วนบุคคลไปใช้ในกิจกรรมใด โดยมีเนื้อหาสำคัญที่ต้องระบุดังนี้
เนื้อหาของ หนังสือขอความยินยอม มีอะไรบ้าง
- ชื่อองค์กรที่ต้องการขอความยินยอมในการประมวลผลข้อมูล
- วัตถุประสงค์ในการประมวลผลข้อมูล
- ประเภทของข้อมูลส่วนบุคคลที่จะดำเนินการ
- ระยะเวลาในการเก็บข้อมูลส่วนบุคคล
- Data Subject Right หรือช่องทางการเพิกถอนความยินยอมสามรถติดต่อได้ทั้งช่องทาง online และ offline เพื่อให้พนักงานรับทราบ
กิจกรรมที่ต้องขอ "ความยินยอม" พื้นฐานที่ HR ต้องรู้
การเก็บรอยนิ้วมือ และ ข้อมูลสุขภาพของพนักงาน
เมื่อองค์กรรับพนักงานใหม่เข้ามาทำงาน หรือเป็นพนักงานเก่าขององค์กร หลาย ๆ องค์กรจำเป็นต้องขอจัดเก็บข้อมูลลายนิ้วมือ หรือ การแสกนใบหน้าเพื่อให้พนักงานสามารถเช็คอินเข้าทำงาน หรือ เช็คเอ้าท์ออกหลังเลิกงานได้ รวมถึงข้อมูลสุขภาพ ซึ่งข้อมูลเหล่านั้นตามกกฎหมาย PDPA จัดอยู่ในประเภทข้อมูลส่วนบุคคลอ่อนไหว ซึ่งองค์กรควรจะมีการขอความยินยอมกับพนักงานอีกครั้งว่า เพื่อให้พนักงานรับทราบว่าฝ่าย HR จะเอาข้อมูลส่วนบุคคลอ่อนไหวไปใช้ในวัตถุประสงค์อะไร และ ใช้ไปเพื่ออะไรบ้าง และฝ่าย HR ควรมีทางเลือกให้สำหรับพนักงานที่ไม่สะดวกให้จัดเก็บข้อมูลส่วนบุคคลอ่อนไหวดังกล่าว ยังสามารถเช็คอินเข้าหรือเช็คเอ้าท์ออกบริษัทได้ เช่น การเซ็นชื่อกับหัวหน้าทีมของพนักงานคนนั้นทุกเช้า หรือ ใช้เครื่องตักบัตรในการบันทึกเวลาเข้า-ออกงาน แทนการเก็บข้อมูลอ่อนไหว เนื่องจากข้อมูลเหล่านี้เป็นข้อมูลทางชีวภาพ (Biometric data) ที่เมื่อข้อมูลรั่วไหลไปแล้วอาจส่งผลกระทบต่อพนักงานได้ และ องค์กรเองก็จะโดนโทษปรับและโทษทางปกครอง
บันทึกกล้องวงจรปิด
องค์กรส่วนใหญ่มีการติดกล้องวงจรปิดเพื่อรักษาความปลอดภัย ให้กับพนักงาน ผู้มาติดต่อ รวมไปถึง ลูกค้า องค์กรจะต้องมีการร่างนโยบายแจ้งให้รับทราบว่ามีการติดต่อกล้องวงจรปิดเพื่อวัตถุประสงค์ใด ตัวอย่างเช่น มีผู้ติดต่อหรือผู้สมัคร เข้ามาภายในองค์กร ทางองค์กรก็สามารถนำประกาศไปติดไว้ตรงช่องรับบัตรหรือบริเวณจุดที่มีการติดตั้งกล้องวงจรปิดว่า ” บริเวณนี้มีการบันทึกกล้องวงจรปิดเพื่อความปลอดภัยตามนโยบายความปลอดภัยขององค์กรเป็นต้น “ ซึ่งอันนี้ก็เป็นรูปแบบประกาศเชิงนโยบายของการขอความยินยอม ที่จะต้องให้ทุกคนสามารถทำให้ผู้มาติดต่อหรือผู้สมัครเข้าถึงและรับรู้ได้อย่างชัดเจน เพราะฉะนั้นแล้ว พนักงาน ผู้มาติดต่อ หรือ ลูกค้า ได้เห็นประกาศนี้แล้ว พวกเขาได้เดินเข้ามาในสถานที่นั้นก็คือการที่พวกเขาได้ให้ ความยินยอม ในการเก็บรูปร่าง หน้าตา แล้วนั่นเอง
ส่งข้อมูลพนักงานให้กับบุคคลภายนอก
การส่งข้อมูลส่วนบุคคลของพนักงานหรือลูกค้าไปยังองค์กรภายนอก ตัวอย่างเช่นฝ่าย HR ได้ว่าจ้างองค์กรภายนอกในการทำระบบเงินเดือนให้กับพนักงาน ฝ่าย HR จะต้องจัดทำนโยบายชี้แจงให้กับพนักงานทราบว่ามีการจัดจ้างองค์กรภายนอกทำระบบเงินเดือนโดยระบุชื่อองค์กรผู้รับจ้างอย่างชัดเจน และระบุข้อมูลที่นำส่งไปประกอบด้วยข้อมูลอะไรบ้าง เพื่อให้พนักงานรับทราบและพิจารณาให้ความยินยอมในกิจกรรมดังกล่าวตั้งแต่วันเซ็นสัญญาจ้าง ในฐานะ Data Controller หรือผู้ควบคุมข้อมูล เมื่อองค์กรได้มีการส่งข้อมูลส่วนบุคคลไปให้องค์กรภายนอก ก็ควรที่จะมีการร่าง Processing Agreement หรือข้อตกลงการประมวลผล ระหว่าง 2 องค์กร เพื่อรับทราบถึงขอบเขตและวัตถุประสงค์ในกิจกรรมการใช้ข้อมูลอีกด้วย
ดังนั้น " หนังสือขอความยินยอม " จะมีบทบาทหน้าที่ที่สำคัญซึ่งจะช่วยให้องค์กรสร้างความน่าเชื่อถือต่อเจ้าของข้อมูลส่วนบุคคล (พนักงาน) เพื่อให้พนักงานรับทราบถึงมาตรการการรักษาความปลอดภัย จัดเก็บ เปิดเผย ส่งต่อข้อมูลส่วนบุคคล ว่าองค์กรนั้นได้ปฏิบัติตามมาตฐาน PDPA อย่างถูกต้องและสามารถตรวจสอบได้
สามารถอ่าน content ที่น่าสนใจเกี่ยวกับ PDPA ได้ที่ Data Processing Agreement หรือ สัญญา DPA คืออะไร? ทำไม HR อย่างเราต้องรู้
อ้างอิงข้อมูลจาก 5 กิจกรรมยอดฮิตที่องค์กรต้องขอ consent ตามกฎหมาย PDPA
