5 ข้อดีของการทำ ROPA ภายในองค์กร

5 ข้อดี ของการทำ ROPA ภายในองค์กร

วันนี้ Trust vision มีเนื้อหาที่น่าสนใจเกี่ยวกับ 5 ข้อดี ของการทำ ROPA ภายในองค์กร มาแชร์ให้กับทุกท่านได้รับทราบกันค่ะ

มีประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก .. 2565 อาทิ วิสาหกิจขนาดย่อมหรือวิสาหกิจขนาดกลาง , วิสาหกิจชุมชนหรือเครือข่ายวิสาหกิจชุมชน , วิสาหกิจเพื่อสังคมหรือกลุ่มกิจการเพื่อสังคม , สหกรณ์ ชุมนุมสหกรณ์ หรือกลุ่มเกษตรกร , มูลนิธิ สมาคม องค์กรศาสนา หรือองค์กรที่ไม่แสวงหากำไร , กิจการในครัวเรือนหรือกิจการอื่นในลักษณะเดียวกัน จะต้องไม่เป็นผู้ให้บริการที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ตามกฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ เว้นแต่จะเป็นผู้ให้บริการประเภทผู้ให้บริการร้านอินเทอร์เน็ต หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26

สำหรับการบันทึกกิจกรรมประมวณผลจะยึดตามกฎหมายลูก PDPA ที่มีประกาศเพิ่มเติมวันที่ 20 มิ..2565 ระบุให้ผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลตามวรรคหนึ่งเป็นลายลักษณ์อักษร โดยจะจัดทำเป็นหนังสือหรือในรูปแบบอิเล็กทรอนิกส์ก็ได้ แต่จะต้องเข้าถึงได้ง่าย และสามารถแสดงให้เจ้าหน้าที่ชุดดังกล่าวมอบหมายตรวจสอบได้อย่างรวดเร็วเมื่อมีการร้องขอ

โดยประกาศนี้ให้ใช้บังคับเมื่อพ้นกำหนด 180 วันนับแต่วันประกาศในราชกิจจานุเบกษาเป็นต้นไป อ่านฉบับเต็มได้ที่ : กฎหมายลูกประกาศเพิ่มเติมเกี่ยวกับ ROPA

Record of rocessing activity หรือการจัดบันทึกการประมวณผลข้อมูลส่วนบุคคล กิจกรรมนี้ช่วยให้องค์กรสามารถปฏิบัติตามมาตรา 39 และมาตรา 40 (3) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 โดยต้องบันทึกกิจรายละเอียดเกี่ยวกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่เกิดขึ้นในองค์กร

ข้อดีของการทำ Record of rocessing activity

ข้อที่ 1 ทำให้องค์กรเห็นภาพรวมของกิจกรรมการใช้ข้อมูลส่วนบุคคลทั้งหมด อย่างที่ทุกท่านทราบกันดีว่า Record of rocessing activity  คือการบันทึกการประมวลผลข้อมูลส่วนบุคคล อันประกอบไปด้วย รายชื่อกิจกรรมการใช้ข้อมูลส่วนบุคคล, สถานที่จัดเก็บข้อมูลส่วนบุคคล, วัตถุประสงค์ของการจัดเก็บ, รถบุรายชื่อบุคคลที่สามารถเข้าถึงข้อมูลเหล่านั้นได้ หรือ ระยะเวลาการทำลายข้อมูล ซึ่งตัว Record of rocessing activity  ก็เปรียบเสมือนแผนที่ ที่บ่งบอกการใช้ข้อมูลส่วนบุคคลทั้งหมดภายในองค์กร ทำให้เห็นภาพรวมกิจกรรมทั้งหมดและรวมไปถึงกิจกรรมการใช้ข้อมูลที่ไม่ได้เกิดขึ้นบ่อยหรือคาดไม่ถึง หากองค์กรทำ Record of rocessing activity  จนบรรบุความสำเร็จ กระบวนการอื่นที่เกี่ยวข้องจะกลายเป็นเรื่องง่าย และสามารถอัพเดทข้อมูลกิจกรรมต่าง ๆ ให้เป็นปัจจุบันได้สะดวกยิ่งขึ้น

ข้อที่ 2 Record of rocessing activity เกี่ยวข้องกับการประกาศนโยบายความเป็นส่วนตัว หากองค์กรทำ Record of rocessing activity  สำเร็จแล้ว องค์กรจะเห็นภาพการใช้ข้อมูลส่วนบุคคลทั้งหมดภายในองค์กร ซึ่งจะทำให้การออกประกาศนโยบายความเป็นส่วนตัวหรือ Privacy Notice นั้นครอบคลุมกิจกรรมและข้อมูลส่วนบุคคลที่ต้องการใช้ทั้งหมด ขณะเดียวกันหากองค์กรทำการร่าง Privacy Notice ก่อนการทำ Record of rocessing activity  อาจมีกิจกรรมการใช้ข้อมูลส่วนบุคคลบางอย่างที่คาดไม่ถึงและตกหล่นไป และอาจต้องเสียเวลาในการขอคำยินยอมใหม่

ข้อที่ 3 เพื่อเตรียมพร้อมและรองรับการใช้สิทธิ์ของเจ้าของข้อมูลส่วนบุคคล จากข้อที่ 1 หากองค์กรเห็นภาพรวมการใช้ข้อมูลส่วนบุคคลภายในองค์กรทั้งหมดแล้ว การดำเนินการเพื่อขอใช้สิทธิของเจ้าของข้อมูล จะสามารถจัดการสิทธิ์ได้อย่างรวดเร็วและถูกต้อง

ข้อที่ 4 สร้างวัฒนธรรมการตระหนักรู้เรื่องความเป็นส่วนตัวภายในองค์กร เมื่อองค์กรเข้าใจกิจกรรมการใช้ข้อมูลส่วนบุคคลทั้งหมดภายในแผนก และเข้าใจความสำคัญของข้อมูลส่วนบุคคลแล้ว จะเอื้อให้เกิดการสร้างการตระหนักรู้ในการใช้ข้อมูลส่วนบุคคลภายในแผนกได้ เมื่อกพนักงานในองค์กรตระหนักรู้และเห็นความสำคัญโดยพร้อมเพรียงกัน การตระหนักรู้จะเกิดขึ้นในกระบวนการทำงานได้อัตโนมัติ

ข้อที่ 5 เพื่อ Comply กฎหมาย PDPA ปัจจุบันและอนาคตที่จะเกิดขึ้น อย่างที่ทุกท่านทราบว่าการทำ Record of rocessing activity  ถือเป็นกระบวนหนึ่งในการปฏิบัติตามกฎหมาย PDPA ตามมาตรา 39 และหากในอนาคตมีกฎหมายลูกหรือกฎหมายพิเศษที่เกี่ยวข้องออกมา การทำ Record of rocessing activity  จะเป็นหนึ่งในกระบวนการที่ช่วยให้การ Comply กฎหมายใหม่เหล่านั้นได้ง่ายมากขึ้นนั้นเอง

สามารถอ่าน content ที่น่าสนใจได้ที่ สรุปบทลงโทษกฎหมาย PDPA หากไม่กระทำตาม

Guideline For HR Recruiter

Guideline For HR Recruiter

วันนี้ Trust vision จะมาแนะนำ Guideline For HR Recruiter ในกิจกรรมการสรรหาและคัดเลือกพนักงานใหม่หลังกฎหมายคุ้มครองข้อมูลส่วนบุคคล ได้บังคับใช้วันที่ 1 มิถุนายน 2565 ควรปฏิบัติอย่างไรไม่ให้คัดต่อกฎหมายฉบับนี้ในการรวบรวม จัดเก็บ ใช้ เปิดเผย ข้อมูลส่วนบุคคลของผู้สมัคร กิจกรรมสรรหาหรือคัดเลือกพนักงานถือได้ว่าเกี่ยวข้องกับข้อมูลส่วนบุคคลโดยตรง ดังนั้นฝ่าย HR ปฏิบัติอย่างไรเพื่อลดความเสี่ยงและเป็นไปตามกฎหมาย PDPA ได้กำหนด

กิจกรรมสรรหาและคัดเลือกควรปฏิบัติอย่างไรหลังจาก 1 มิถุนายน 2565?

เมื่อ HR Recruiter ต้องขอจัดเก็บข้อมลูส่วนบุคคลในวันสมัครงานต้องแจ้ง Privacy policy ให้ผู้สมัครรับทราบว่าการเก็บรวบรวมใช้เปิดเผยข้อมลูส่วนบุคคลอะไรบ้างตามความจำเป็นของบริษัทในการคัดเลือก และใช้ในวัตถุประสงค์ใด และหากมีการขอข้อมลูส่วนบุคคลอ่อนไหว HR ต้องขอความยินยอมจากเจ้าของข้อมลู (Consent Form)ว่าต้องการใช้ข้อมลูส่วนบุคคลอ่อนไหว อะไรบ้าง และใช้ในวัตถปุระสงค์ใด HR ต้องอธิบายให้ผู้สมัครด้วยความเข้าใจ และต้องให้ผู้สมัครเซ็นยินยอมโดยอิสระ(ไม่เป็นการบังคับให้เซ็นยินยอม) แนะนําให้จัดเก็บข้อมลูที่จําเป็นเท่านนั้น ณ วันสมัคร หากผู้สมัครผ่านการคัดเลือก ณ วันเซ็นสัญญาค่อยขอข้อมลู อื่นๆเพื่อเติม หากมีการขอสําเนาบัตรประชาชนในขั้นตอนสมัครงาน ควรนำปากกาสีเข้มให้ผู้สมัครขีดลบข้อมูลศาสนาด้วย 

เมื่อ HR Recruiter คัดเลือก candidate เรียบร้อยขั้นตอนการนัดสัมภาษณ์งาน HR ควรแนบไฟล์เอกสาร Recruitment Privacy Policy ไปพร้อมกับ E-mail นัดสัมภาษณ์ เพื่อแจ้งให้กับ candidate รับทราบ หรือ ณ วันสัมภาษณ์งาน HR Recruiter ต้องนำเอกสาร Recruitment Privacy Policy เพื่อให้ผู้สมัครอ่านนโยบายความเป็นส่วนตัวก็ได้เช่นกันสามารถใช้ได้ทั้ง 2 รูปแบบ

เอกสารแนบท้าย Recruitment Privacy Policy ที่ต้องแจ้งให้ candidate รับทราบต้องประกอบไปด้วยอะไรบ้าง?

1.ข้อมูลส่วนนบุคคลใดบ้างที่บริษัทมีการเก็บรวบรวม

ตัวอย่างเช่น บริษัทอาจมีการเก็บข้อมูลส่วนบุคคลบางส่วนหรือทั้งหมด ได้แก่

  • ชื่อ-นามสกลุ
  • รปูถ่าย
  • หมายเลขบัตรประชาชน และข้อมูลที่ปรากฏบนบัตรประชาชน
  • ข้อมูลการติดต่อ เช่น ที่อยู่ หมายเลขโทรศัพท์ อีเมล 
  • ข้อมูลการศึกษา เช่น ผลการศึกษา สาขา และสถาบันการศึกษา หรือ ข้อมูลการทํางาน เช่น ตําแหน่งหน่วยงาน 

2.ข้อมูลอ่อนไหว (SENSITIVE DATA) ใดบ้างที่บริษัทมีการเก็บรวบรวม

ตัวอย่างเช่น  

  • ไม่มี 

ไม่แนะนำให้เก็บข้อมูลอ่อนไหวใน ณ วันสมัครงาน แต่หากเป็นความจำเป็นต้องใช้ เพื่อประกอบการพิจารณาต้องขอความยินยอมจากเจ้าของข้อมลู (Consent Form) ในกรณีที่ท่านจำเป็นต้องใช้สำเนาบัตรประชาชนเป็นหลักฐานประกอบการ ขอรับบริการ และในสำเนาบัตรประชาชนมข้อมูล “ศาสนา” ทางบริษัทจะไม่จัดเก็บข้อมูลนี้โดยจะดำเนิน การลบข้อมูลออก

3.เหตุผลที่บริษัทจำเป็นต้องเก็บรวบรวม หรือใช้ข้อมูลส่วนบุคคลของท่าน

  • เพื่อพิจารณาคุณสมบัติ ทักษะความรู้และความสามารถของผู้สมัครในการรับเข้าทํางานที่บริษัท ตลอดจนการเข้าทําสัญญากับบริษัท
  • เพื่อติดต่อประสานงาน ขอข้อมูลเพิ่มเติม ตอบข้อซักถาม หรือ แจ้งความคืบหน้าการดำเนินงานที่เกี่ยวกับการสมัครงาน
  • เพื่อประโยชน์ในการวิเคราะห์และจัดทำข้อมูลเชิงสถิติโดยข้อมูลบางส่วนเช่นข้อมูลหน่วยงานเป็นต้นอาจถูกประมวลผลแสดงผลเป็นข้อมูลในภาพรวมโดยวิธีการทำให้ไม่สามารถระบุตัวบุคคลได้

4.เหุตผลที่บริษัทได้รับการอนุญาตให้เก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคลของท่านได้

บริษัทได้รับการอนุญาตให้เก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคลของท่านเนื่องจาก

  • เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาที่ท่านได้เข้าผูกพันกับบริษัท หรือเพื่อใช้ในการดำเนินการตามคําขอของท่านก่อนเข้าทําสัญญากับบริษัท (CONTRACT)
  • เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของบริษัท (LEGITIMATE INTEREST)
  • ท่านได้ให้ความยินยอมกับบริษัท (CONSENT) (กรณีบริษัทมการเก็บรวบรวมและใช้ ข้อมูลนอกเหนือการดำเนินงาน)

5.บริษัทมีการแบ่งปันหรือ เปิด เผยข้อมูลส่วนบุคคลของท่านให้ใครบ้าง

ข้อมูลส่วนบุคคลของท่านจะมีการเปิดเผยเป็นการภายในบริษัทเฉพาะพนักงานของบริษัทมีส่วนเกี่ยวข้องกับการดำเนินงาน หรือ คณะกรรมการบริหาร (กรณีผู้ที่จะมาปฏิบัติหน้าที่ใน ตําแหน่งที่จำเป็นต้องได้รับความเห็นชอบจากคณะกรรมการด้วย) รวมถึงผู้ตรวจสอบภายนอก (EXTERNAL AUDITOR) ที่ทําหน้าที่ตรวจประเมินตามระบบมาตรฐานการดำเนินกิจการนี้ท่านนั้น

6.ระยะเวลาในการจัดเก็บข้อมูลนานเท่าใด

  • ข้อมูลส่วนบุคคลของท่านจะมีการจัดเก็บเป็นระยะเวลา 1 ปีนับแต่สิ้นสุดการพิจารณา (กรณที่ไม่ผ่านการคัดเลือก)
  • ในกรณีที่ท่านผ่านการคัดเลือกและได้เป็นพนักงานของสำนักงานการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของท่าน จะเป็นไปตามนโยบายและประกาศความเป็นส่วน ตัวสำหรับพนักงาน (EMPLOYEE PRIVACY POLICY AND NOTICE)

เมื่อพ้นกําหนดระยะเวลาดังกล่าว บริษัททจะหยุดใช้ข้อมูลของท่านและเมื่อถึงกําหนดรอบระยะ เวลาการทําลายข้อมูลและเอกสารของบริษัท บริษัทจะดำเนินการลบทําลาย หรือ ทําให้ข้อมูลส่วนบุคคลนั้นไม่สามารถระบุตัวบุคคลได้

7.กรณีที่ข้อมูลส่วนบุคคลของท่านอาจมีการส่งหรือโอนไปยังต่างประเทศ

  • ไม่มี

สำหรับเอกสารแนบ Recruitment Privacy Policy เป็นส่วนสำคัญเพื่อแจ้งให้กับผู้สมัครรับทราบรายละเอียดในการขอจัดเก็บข้อมูลส่วนบุคคลอะไรบ้าง และใช้ในวัตถุประสงค์ใด และเป็นไปตามกฎหมาย PDPA ได้กำหนด Trust vision หวังว่า Content ที่เราได้นำมาแชร์ในวันนี้จะเป็นประโยชน์ให้กับฝ่าย HR Recruiter ทุกท่านไม่มากก็น้อย

สามารถอ่าน content อื่นๆที่น่าสนใจได้ที่ 6 สิ่งสำคัญที่องค์กรควรต้องทำ เพื่อรับมือกับกฎหมาย PDPA

อ้างอิงข้อมูลจาก PDPA คืออะไร ?

Overview PDPA

Overview PDPA

 วันนี้ Trust Vision จะมาแชร์ภาพรวม Overview PDPA เพื่อให้ทุกท่านได้รู้จักกับกฎหมายฉบับนี้มากยิ่งขึ้น เมื่อกฎหมาย PDPA บังคับใช้เป็นที่เรียบร้อย หลายๆองค์กรคงอยากทราบที่มาของกฎหมายฉบับนี้กันแล้วใช่ไหมคะ เดี๋ยวเราไปทำความรู้จักพร้อมๆกันเลย

PDPA หรือ พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล ได้รับแนวคิดว่าจาก GDPR หรือ General Data Protection Regulation เป็นกฎหมายของสหภาพยุโรว่าด้วยมาตรการ คุ้มครองความเป็นส่วนตัววของข้อมูลส่วนบุคคล ป้องกันการนำไปใช้โดยผิดกฎหมาย ประชาชนรู้จักในชื่อ GDPR บังคับใช้วันที่ 25 พฤษภาคม  2561 สำหรับประเทศไทยมีการร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act ไว้ตั้งแต่ พ.ศ.2562 เพื่อใช้บังคับในแนวทางเดียวกันกับ GDPA

Overview PDPA ข้อมูลส่วนบุคคลคืออะไร ?

PDPA ซึ่งย่อมาจากคําว่า ‘Personal Data Protection Act’ เปนกฎหมายทีเกียวข้องกับการคุ้มครองข้อมูลส่วนบุคคลทีทําให้ สามารถระบุตัวตนของคนๆนันได้ โดยข้อมูลส่วนบุคคลทีเข้าข่ายความคุ้มครอง พ.ร.บ.นี ได้แก่ 

ข้อมูลส่วนบุคคลพื้นฐาน หรือ ข้อมูลทั่วไป Personal Daata ข้อมูลที่สามารถบ่งบอกได้ว่าใครเป็นเจ้าของข้อมูลนั้น (มาตรา 6)  เช่น เบอร์โทร อีเมล ที่อยู่ เลขบัตรประชาชน ชื่อ-นามสกุล เป็นต้น

ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน Sensitive Data ข้อมูลที่ละเอียดอ่อนมาก ซึ่งอาจจะนำไปสู่การเลือกปฏิบัติ อย่างไม่เป็นธรรม (มาตรา 26)  เช่น ข้อมูลสุขภาพ พฤติกรรม ทางเพศ ศาสนา ข้อมูลชีวภาพ ประวัติอาชญากรรม เป็นต้น

ซึ่งข้อมูลส่วนบุคคลไม่เกี่ยวข้องนิติบุคคลหรือผู้ถึงแก่กรรม

ข้อมูลส่วนบุคคลทางตรงและทางอ้อมแตกต่างกันอย่างไร ?

ข้อมูลทางตรง คือ ข้อมูลทางตรงก็คือข้อมูลตรงไปตรงมา เช่น ชื่อ-สกุล เพศ อายุ เลขบัตรประชาชนสิบสามหลัก ที่อยู่ เบอร์โทรศัพท์ ฯลฯ

ข้อมูลทางอ้อม คือ ข้อมูลที่สามารถนำไปแยกแยะได้ว่าเราคือใครและเอาไปใช้ติดตาม ถึงตัวบุคคลได้และมีความสามารถในการเชื่อมโยงกับข้อมูลอื่นๆข้างนอกหรือสามารถนำข้อมูลเหล่านี้สามารถบอกลักษณะ การใช้ชีวิตของเขาได้ 

ตัวอย่างข้อมูลทางอ้อม เช่น
- บุคคลนี้เติมน้ำมันที่ปั๊มใด ละแวกใด
- การตรวจสอบการขึ้นลงรถไฟ เดิน ทางไปสถานีใดบ้างมีการใช้บัตรเป็นรายวัน หรือรายเดือน ต่างๆ
- บัญชีออนไลน์นี้ เคยซื้อของออนไลน์หมวดหมู่ใดบ้าง และมีรูปแบบของการซื้อของใหม่ซ้ำบ่อยแค่ไหน
- การเข้าถึงเว็บไซต์ผ่านโลกออนไลน์ไม่ว่าจะเป็น อีเมล หรือเฟสบุค เป็นต้น

ผู้มีส่วนเกี่ยวข้อง ?

เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ ข้อมูลส่วนบุคคลที่สามารถเชื่อมโยงถึงบุคคลที่ชีวิต ที่สามารถระบุตัวตนได้ บุคคลดังกล่าวเรียกว่า เจ้าของข้อมูลส่วนบุคคล

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนาม ของผู้ควบคุมขอมูลส่วนบุคคลทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

บทโทษกฎหมาย PDPA

บทลงโทษของกฎหมาย PDPA ถึงได้ว่ามีบทลงโทษที่รุนแรงมากที่สุดในกฎหมายดิจิทัล เพราะมีถึง 3 กฎหมายเข้ามารองรับได้แก่

โทษทางแพ่ง คิดค่าเสียหายตามจริง โดยสามารถเรียกค่าสินไหมทดแทนสูงสุด 2 เท่าของความเสียหาย หากความเสียหายนั้นเกิดกับผู้ที่เป็นที่รู้จักทางสังคมค่าเสียหายนั้นยิ่งจะเพิ่มพูน

โทษทางอาญา จำคุกสูงสุด 1 ปี ปรับไม่เกิน 1,000,000 บาท คือ เกิดจากมีการกระทำความผิดต่อส่วนรวมซึ่งส่งผลกระทบต่อความสงบเรียบร้อยของสังคมและประชาชน

โทษทางปกครอง ปรับไม่เกิน 5,000,000 บาท คือ การลงโทษผู้กระทำความผิดที่ฝ่าฝืนข้อห้ามตามกฎหมาย หรือไม่ปฏิบัติตามบทบัญญัติที่กฎหมายบัญญัติที่กฎหมายบัญญัติให้ต้องกระทำ

อ้างอิงข้อมูลจาก PDPA คืออะไร ?

6 สิ่งสำคัญที่องค์กรควรต้องทำ เพื่อรับมือกับกฎหมาย PDPA

6 สิ่งสำคัญที่องค์กรควรต้องทำ เพื่อรับมือกับกฎหมาย PDPA

6 สิ่งสำคัญที่องค์กรควรต้องทำ เพื่อรับมือกับกฎหมาย PDPA มีอะไรบ้างนะ? วันนี้ Trsut vision มีคำตอบให้ค่ะ 

  เมื่อ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลเริ่มบังคับใช้แล้ว ตั้งแต่นวันที่ 1 มิถุนายน 2022 เป็นที่เรียบร้อบ ไม่ว่าจะเป็นองค์กรภาครัฐหรือเอกชนต้องปฏิบัติตามกฎหมายฉบับนี้อย่างเคร่งครัด โดยเรามี 6 สิ่งสำคัญที่องค์กรควร เพื่อเตรียมพร้อมกับมือกับกฎหมายกฉบับนี้ดังนี้

1.ตั้งคณะทำงานภายในองค์กร

Department ที่จะเข้ามาเป็นคณะทำงานภายในองค์กร ต้องเป็นประกอบด้วย department ที่สามารถเข้าถึงข้อมูลส่วนบุคคลภายในองค์กรมากที่สุด เช่น Hr, Sales, It, Marketing เป็นต้น แต่ขึ้นอยู่กับรูปแบบแต่ละองค์กรในการคัดเลือก

2.การสำรวจข้อมูล [DATA INVENTORY]

รวบรวมกิจกรรมที่เกี่ยวข้องกับข้อมูลสว่นบุคคลตั้งแต่ รวบรวม ใช้ และเปิดเผยข้อมูลทุกประเภท ขององค์กร และจัดทำข้อมูลส่วนบุคคลที่มีการใช้ในปัจจุบันโดยระบุแหล่งที่มา การจัดเก็บ และการใช้งานข้อมูล เพื่อให้ทราบว่าในแต่ละ department มีการใช้ข้อมูลส่วนบุคคลในกิจกรรมใดบ้าง

3.ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล [DATA PROTION IMPACT ASSESSMENT]

ในแต่ละ department ต้องสามารถอธิบายขอบเขตวัตถุประสงค์ในกิจกรรมที่มีการใช้ข้อมูลส่วนบุคคลได้ ว่าใช้เพื่อวัตถุประสงค์ใดมีข้อมูลส่วนบุคคลอะไรบ้าง พร้อมทั้งสามารถประเมินความเสี่ยงที่มีต่อเสรีภาพของบุคคลต่อการดำเนินธุรกิจ และกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานให้เหมาะสม

4.จัดทำนโยบายและแนวทางปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน

องค์กรต้องจัดทำนโยบายความเป็นส่วนตัว เพื่อประกาศให้กับลูกค้า ผู้มาติดต่อ รวมไปถึงพนักงานภายในองค์กรให้ทราบถึงนโนบายความเป็นส่วนตัวที่งานองค์กรได้จัดทำขึ้นและสอดคล้องกับกฎหมาย PDPA ได้กำหนด พร้อมทั้งจัดทำแนวทางการปฏิบัติเพื่อให้พนักงานภายในองค์กรสามารถใช้ข้อมูลส่วนบุคคลได้อย่างถูกต้อง

5.จัดทำบันทึกรายการกิจกรรมที่เกี่ยวข้อง[RECORD OF PROCESSING]

หน่วยงานจะต้องบันทึกรายการกิจกรรมที่เกี่ยวข้อง เพื่อให้เจ้าของข้อมูลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ และทำให้องค์กรได้เห็นการไหล่ของข้อมูลส่วนบุคคลถูกนำไปใช้ในกิจกรรมใดบ้าง ใครเป็นผู้ดูแล

6.สร้างความตระหนักรู้ และฝึกอบรม

กฎหมายได้กำหนดให้หน่วยงานต้องสร้างความตระหนักรู้สำนึกรับผิดชอบต่อสิทธิของเจ้าของข้อมูลส่วนบุคคลและหน้าที่ความรับผิดชอบของหน่วยงาน รวมถึงการักษาความมั่นคงปลอดภัยของข้อมูล ซึ่งหน้าที่หลักในการสร้างความตระหนักรู้ให้กับพนักงานภายในองค์กรคือฝ่าย HRD ทำร่วมกับ DPO ขององค์กรนั้นเอง 

ดังนั้นองค์กรที่กำลังกังวลในเรื่องของการจัดทำ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลอยู่ลองทำ 6 สิ่งที่ Trust vision ได้ทำมาแชร์ในวันนี้รับรองได้ว่าทุกองค์กรจะสามารถรับมือกับกฎหมายฉบับนี้ได้อย่างแน่นอน

สามารถอ่าน content อื่นๆที่น่าสนใจได้ที่ Cookie Consent คืออะไร? สำคัญอย่างไรต่อ PDPA

อ้างอิงข้อมูลจาก PDPA คืออะไร ?

DPO คืออะไร และต้องมีคุณสมบัติอย่างไรถึงจะเหมาะสมกับตำแหน่ง DPO ?

DPO คืออะไร และต้องมีคุณสมบัติอย่างไรถึงจะเหมาะสมกับตำแหน่งงาน DPO ?

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลคือใครกันนะ ?

DPO คืออะไร และต้องมีคุณสมบัติอย่างไรถึงจะเหมาะสมกับตำแหน่งงาน DPO ? วันนี้ Trsut vision เรามีคำตอบให้ค่ะ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data protection officer เป็นตัวละครหลักที่มีบทบาทสำคัญ ในการดูแลรักษาข้อมูลส่วนบุคคลทั้งหมดขององค์กรไม่ว่าจะเป็นข้อมูลส่วนบุคคลของพนักงานภายในองค์กร และข้อมูลส่วนบุคคลของลูกค้า เพื่อไม่ให้นำข้อมูลส่วนบุคคลไปใช้อย่างผิดวัตถุประสงค์ที่ได้รับความยินยอมจากเจ้าของข้อมูล และต้องเป็นผู้กำหนดทิศทางการใช้ข้อมูลส่วนบุคคลให้ปลอดภัยและสอดคล้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

หน้าที่ของ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีอะไรบ้าง ?

มาตรา 42 กฎหมาย PDPA เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้

ให้คำแนะนำเรื่องกฎหมาย PDPA แก่องค์กร 

หมายถึง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องเป็นผู้นำในการให้ความรู้แก่ พนักงานภายในองค์กรให้มีความตะหนักรู้เกี่ยวกับการจัดเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคลอย่างไรให้ปลอดภัยและเป็นไปตามกฎหมาย PDPA ได้กำหนด ซึ่งกิจกรรมนี้ต้องทำงานร่วมกับฝ่าย HRD ขององค์กรให้การจัดฝึกอบรมให้ความรู้

ตรวจสอบการดำเนินงานเกี่ยวกับกฎหมาย PDPA ขององค์กร 

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ตรวจสอบการจัดทำเอกสารต่าง ๆ ที่เกี่ยวข้องและจำเป็นต้องใช้ ตัวอย่างเช่น นโนบายความเป็นส่วนตัว แนวทางการปฏิบัติ เอกสารขอความยินยอม เอกสารขอตกลงการใช้ข้อมูลร่วมกัน เป็นต้น เพื่อตรวจสอบว่าเอกสารดังกล่าวมีความครบถ้วนถูกต้องตามกฎหมาย PDPA ได้กำหนดหรือไม่ 

ประสานงานและให้ความร่วมมือกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ในกรณีที่มีข้อพิพาทเกิดขึ้นหรือพบการรั่วไหลของข้อมูลส่วนบุคคลภายในองค์กร เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ประสานงานและต้องจัดทำจดหมายแจ้งการละเมิดข้อมูลส่วนบุคคลให้กับคณะกรรมคุ้มครองข้อมูลส่วนบุคคลทราบ ไม่ช้ากว่า 72 ชม นับตั้งแต่วันทราบเหตุ

รักษาความลับของข้อมูลส่วนบุคคลขององค์กร

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องปฏิบัติอย่างแข้งขัดในการรักษาความลับที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ ตามกฎหมาย PDPA

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ต้องมีคุณสมบัติ อย่างไร ?

เนื่องจากในปัจจุบันยังไม่มีการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลอย่างเป็นทางการ ดังนั้นในกฎหมายยังไม่มีการระบุคุณสมบัติของตำแหน่ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไว้อย่างชัดเจน แต่คุณสมบัติพื้นฐานที่ตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องมีดังนี้

มีความรู้ความเข้าใจใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลอย่างชัดเจน

เพราะเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องเป็นตัวแทนขององค์กรในการจัดทำโครงการ PDPA และมีหน้าที่ให้คำปรึกษาแก่พนักงานภายในองค์กร, คณะทำงานโครงการ PDPA รวมไปถึงลูกค้า เกี่ยวกับกฎหมาย PDPA และกฎหมายที่เกี่ยวข้อง ดังนั้นผู้ที่ดำรงตำแหน่งจะต้องมีความรู้และเชี่ยวชาญด้านกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 

มีทักษะในการสื่อสารที่ดี

เนื่องจากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องประสานงานกับหน่วยงานภายในองค์กรและภายนอกองค์กร เกี่ยวกับกฎหมาย PDPA ดังนั้น ต้องเป็นคนที่สามารถอธิบายให้พนักงานในองค์กรเข้าใจและสามารถปฎิบัติได้อย่างถูกต้องเกี่ยวกับการรวบรวมจัดเก็บ เปิดเผย ส่งต่อ ข้อมูลส่วนบุคคลอย่างไรให้ถูกต้องสอดคล้องกับกฎหมายฉบับนี้ 

มีความรู้เรื่องเกี่ยวกับการบริหารจัดการความปลอดภัยของข้อมูล

นอกจากการเก็บข้อมูลแล้ว การปกป้องข้อมูลไม่ให้รั่วไหลนั้นก็สำคัญไม่แพ้กัน ดังนั้นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะต้องมีความรู้ด้านพื้นฐานด้าน CyberSecurity ซึ่งหากองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลในรูปแบบ Digital จะต้องมีมาตรฐานในการเก็บรักษาข้อมูลให้มีความปลอดภัยด้วย

ไม่ทำหน้าที่อื่นใด ที่ขัดแย้งต่อการปฏิบัติหน้าที่

ตัวอย่างเช่น Sales หรือ Marketing ที่สามารถใช้ประโยชน์จากข้อมูลส่วนบุคคลของลูกค้าได้โดยตรง เมื่อเกิดข้อพิพาทเกิดขึ้นหากผู้ดำรงตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลกระทำผิดก็สามารถปิดบังหรือบิดเบือนข้อมูลความผิดเหล่านั้นได้ 

สามารถรายงานผู้บริหารได้โดยตรง

ผู้ที่ดำรงตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องเป็นผู้ที่สามารถประสานงานตรงกับผู้บริหารได้โดยตรง เนื่องจากกฎหมาย PDPA ได้กำหนดระยะเวลาในการแจ้งเกี่ยวกับข้อมูลส่วนบุคคลเกิดรั่วไหลภายในองค์กรไว้ไม่ช้ากว่า 72 ชม. ตั้งแต่วันทราบเหตุ ดังนั้นเวลามีจำกัดและต้องจัดเตรียมเอกสารอื่น ๆ ให้กับทางผู้บริหารและคณะกรรมการคุ้ครองข้อมูลส่วนบุคคลรับทราบให้ทันเวลา ผู้ที่จะเข้ามาดำรงตำแหน่งต้องอยู่ในระดับ manager, Leader เป็นต้น

สามารถใช้ Outsource มาเป็น เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ได้หรือไม่ ?

ตามมาตรา 41 กฎหมาย PDPA ได้กำหนดหน้าที่ของตำแหน่งนี้ไว้ ดังนี้ตัวกฎหมายได้บอกชัดเจนอยู่แล้วว่า เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจเป็นพนักงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลหรือเป็นผู้รับให้บริการตามสัญญากับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลข้อมูลส่วนบุคคลก็ได้ ซึ่งในฐานะของเจ้าของข้อมูลส่วนบุคคลนั้น ย่อมเห็นว่ามีความเหมาะสม เพราะตำแหน่งนี้เปรียบเสมือนตัวแทนของเจ้าของข้อมูล ที่จะต้องปกป้องเจ้าของข้อมูลมากกว่าที่จะปกป้องบริษัท แต่ถ้าเป็นคนในบริษัทอาจจะมีความโน้มเอียงไปทางผลประโยชน์ของบริษัทมากกว่าเจ้าของข้อมูลก็เป็นได้

องค์กรแบบไหนที่จำเป็นจะต้องมี ?

หากสรุปตาม พ... จะเห็นได้ว่ากิจการหรือองค์กรใดที่จะต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล องค์กรดังกล่าวจะต้องมีกิจกรรมดังนี้ ข้อใดข้อหนึ่งหรือทั้งหมดก็ได้ อันได้แก่

  • เป็นหน่วยงานตามที่หน่วยงานรัฐกำหนด
  • ดำเนินกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (อันได้แก่การเก็บรวบรวม ใช้ และเปิดเผย) อย่างสม่ำเสมอ
  • มีการประมวลผลข้อมูลส่วนบุคคลประเภทข้อมูลอ่อนไหว ตามมาตรา 26

ในกรณีองค์กรของท่านไม่ได้เข้าเกณฑ์ข้อกำหนดตาม พ... ทางเราก็มีข้อแนะนำว่าอาจมีการแต่งตั้งตัวแทนในองค์กร เพื่อทำหน้าที่ประสานงานเกี่ยวกับข้อมูลส่วนบุคคลเมื่อเจ้าของข้อมูลมาขอใช้สิทธิ และเพื่อทำหน้าที่ในการติดต่อประสานงานกับหน่วยงานกำกับดูแลได้นั้นเอง

สรุป : เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นอีกหนึ่งตัวละครสำคัญที่จะเข้ามาครอบคลุมดูแลการใช้ข้อมูลส่วนบุคคลให้โปร่งใสแต่การจัดเก็บ รวบรวม เปิดเผย ใช้ข้อมูลส่วนบุคคลให้ถูกต้อง สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และให้ความสำคัญกับสิทธิเจ้าของข้อมูลส่วนบุคคล นั้นเอง

สามารถอ่าน content เกี่ยวกับกฎหมาย PDPA ได้ที่ CONSENT ” พื้นฐานที่ HR ต้องรู้ ?

“Consent” พื้นฐานที่ HR ต้องรู้ ? 

"CONSENT " พื้นฐานที่ HR ต้องรู้ ?

” CONSENT ” พื้นฐานที่ HR ต้องรู้ ? วันนี้ Trust vision เรามีข้อแนะนำให้ค่ะ โดยปกติแล้วทีม HR จะได้รับหน้าที่ในการออกนโยบายสำหรับพนักงานใหม่ (Employee Policy) ซึ่งควรมีข้อกำหนดที่ครอบคลุมในการใช้ข้อมูลส่วนบุคคล ที่เป็นไปตามวัตถุประสงค์ที่ชัดเจน ซึ่งเราจะเรียกว่า เอกสารขอความยินยอม หรือ Consent ตามพระราชบัญญัติ พ.ร.บ.คุ้มครองข้อมูลส่วน คือข้อตกลงระหว่างเจ้าของข้อมูล (Data Subject) และองค์กร (Data Collector) เพื่อขออนุญาตการเก็บ เปิดเผย และประมวลผลข้อมูลส่วนบุคคล ซึ่งใจความของหนังสือขอความยินยอมจะต้องมีความชัดเจน ไม่คลุมเครือ และระบุกิจกรรมที่จำเป็นต้องขอจัดเก็บข้อมูลส่วนบุคคลไปใช้ในกิจกรรมใด โดยมีเนื้อหาสำคัญที่ต้องระบุดังนี้

เนื้อหาของ หนังสือขอความยินยอม มีอะไรบ้าง

  1. ชื่อองค์กรที่ต้องการขอความยินยอมในการประมวลผลข้อมูล
  2. วัตถุประสงค์ในการประมวลผลข้อมูล
  3. ประเภทของข้อมูลส่วนบุคคลที่จะดำเนินการ 
  4. ระยะเวลาในการเก็บข้อมูลส่วนบุคคล
  5. Data Subject Right หรือช่องทางการเพิกถอนความยินยอมสามรถติดต่อได้ทั้งช่องทาง online และ offline เพื่อให้พนักงานรับทราบ

กิจกรรมที่ต้องขอ "ความยินยอม" พื้นฐานที่ HR ต้องรู้

การเก็บรอยนิ้วมือ และ ข้อมูลสุขภาพของพนักงาน

เมื่อองค์กรรับพนักงานใหม่เข้ามาทำงาน หรือเป็นพนักงานเก่าขององค์กร หลาย ๆ องค์กรจำเป็นต้องขอจัดเก็บข้อมูลลายนิ้วมือ หรือ การแสกนใบหน้าเพื่อให้พนักงานสามารถเช็คอินเข้าทำงาน หรือ เช็คเอ้าท์ออกหลังเลิกงานได้ รวมถึงข้อมูลสุขภาพ ซึ่งข้อมูลเหล่านั้นตามกกฎหมาย PDPA จัดอยู่ในประเภทข้อมูลส่วนบุคคลอ่อนไหว ซึ่งองค์กรควรจะมีการขอความยินยอมกับพนักงานอีกครั้งว่า เพื่อให้พนักงานรับทราบว่าฝ่าย HR จะเอาข้อมูลส่วนบุคคลอ่อนไหวไปใช้ในวัตถุประสงค์อะไร และ ใช้ไปเพื่ออะไรบ้าง และฝ่าย HR ควรมีทางเลือกให้สำหรับพนักงานที่ไม่สะดวกให้จัดเก็บข้อมูลส่วนบุคคลอ่อนไหวดังกล่าว ยังสามารถเช็คอินเข้าหรือเช็คเอ้าท์ออกบริษัทได้ เช่น การเซ็นชื่อกับหัวหน้าทีมของพนักงานคนนั้นทุกเช้า  หรือ ใช้เครื่องตักบัตรในการบันทึกเวลาเข้า-ออกงาน แทนการเก็บข้อมูลอ่อนไหว เนื่องจากข้อมูลเหล่านี้เป็นข้อมูลทางชีวภาพ (Biometric data) ที่เมื่อข้อมูลรั่วไหลไปแล้วอาจส่งผลกระทบต่อพนักงานได้ และ องค์กรเองก็จะโดนโทษปรับและโทษทางปกครอง

บันทึกกล้องวงจรปิด

องค์กรส่วนใหญ่มีการติดกล้องวงจรปิดเพื่อรักษาความปลอดภัย ให้กับพนักงาน ผู้มาติดต่อ รวมไปถึง ลูกค้า องค์กรจะต้องมีการร่างนโยบายแจ้งให้รับทราบว่ามีการติดต่อกล้องวงจรปิดเพื่อวัตถุประสงค์ใด ตัวอย่างเช่น มีผู้ติดต่อหรือผู้สมัคร เข้ามาภายในองค์กร ทางองค์กรก็สามารถนำประกาศไปติดไว้ตรงช่องรับบัตรหรือบริเวณจุดที่มีการติดตั้งกล้องวงจรปิดว่า ” บริเวณนี้มีการบันทึกกล้องวงจรปิดเพื่อความปลอดภัยตามนโยบายความปลอดภัยขององค์กรเป็นต้น “ ซึ่งอันนี้ก็เป็นรูปแบบประกาศเชิงนโยบายของการขอความยินยอม ที่จะต้องให้ทุกคนสามารถทำให้ผู้มาติดต่อหรือผู้สมัครเข้าถึงและรับรู้ได้อย่างชัดเจน เพราะฉะนั้นแล้ว พนักงาน ผู้มาติดต่อ หรือ ลูกค้า ได้เห็นประกาศนี้แล้ว พวกเขาได้เดินเข้ามาในสถานที่นั้นก็คือการที่พวกเขาได้ให้ ความยินยอม ในการเก็บรูปร่าง หน้าตา แล้วนั่นเอง

ส่งข้อมูลพนักงานให้กับบุคคลภายนอก

การส่งข้อมูลส่วนบุคคลของพนักงานหรือลูกค้าไปยังองค์กรภายนอก ตัวอย่างเช่นฝ่าย HR ได้ว่าจ้างองค์กรภายนอกในการทำระบบเงินเดือนให้กับพนักงาน ฝ่าย HR จะต้องจัดทำนโยบายชี้แจงให้กับพนักงานทราบว่ามีการจัดจ้างองค์กรภายนอกทำระบบเงินเดือนโดยระบุชื่อองค์กรผู้รับจ้างอย่างชัดเจน และระบุข้อมูลที่นำส่งไปประกอบด้วยข้อมูลอะไรบ้าง เพื่อให้พนักงานรับทราบและพิจารณาให้ความยินยอมในกิจกรรมดังกล่าวตั้งแต่วันเซ็นสัญญาจ้าง ในฐานะ Data Controller หรือผู้ควบคุมข้อมูล เมื่อองค์กรได้มีการส่งข้อมูลส่วนบุคคลไปให้องค์กรภายนอก ก็ควรที่จะมีการร่าง Processing Agreement หรือข้อตกลงการประมวลผล ระหว่าง 2 องค์กร เพื่อรับทราบถึงขอบเขตและวัตถุประสงค์ในกิจกรรมการใช้ข้อมูลอีกด้วย

ดังนั้น " หนังสือขอความยินยอม " จะมีบทบาทหน้าที่ที่สำคัญซึ่งจะช่วยให้องค์กรสร้างความน่าเชื่อถือต่อเจ้าของข้อมูลส่วนบุคคล (พนักงาน) เพื่อให้พนักงานรับทราบถึงมาตรการการรักษาความปลอดภัย จัดเก็บ เปิดเผย ส่งต่อข้อมูลส่วนบุคคล ว่าองค์กรนั้นได้ปฏิบัติตามมาตฐาน PDPA อย่างถูกต้องและสามารถตรวจสอบได้

สามารถอ่าน content ที่น่าสนใจเกี่ยวกับ PDPA ได้ที่ Data Processing Agreement หรือ สัญญา DPA คืออะไร? ทำไม HR อย่างเราต้องรู้

Data Processing Agreement หรือ สัญญา DPA คืออะไร? ทำไม HR อย่างเราต้องรู้

Data Processing Agreement หรือ สัญญา DPA คืออะไร? ทำไม HR อย่างเราต้องรู้

Data Processing Agreement หรือ สัญญา DPA คือเอกสารข้อตกลงการประมวลผล เอกสารที่มีผลผูกพันทางกฎหมายซึ่งต้องทำขึ้นระหว่างผู้ควบคุมข้อมูลส่วนบุคคล Data Controller (บริษัทผู้ว่าจ้าง) และผู้ประมวลผลข้อมูลส่วนบุคคล Data Processor (ผู้ให้บริการภายนอกหรือบุคคลอื่น) เพื่อให้ผู้ประมวลผลข้อมูลดำเนินการตามวัตถุประสงค์และขอบเขตข้อตลกลงตามสัญญาที่บริษัทผู้ว่าจ้างกำหนดเท่านั้น โดยสามารถจัดทำเอกสารเป็นลายลักษณ์อักษรหรือในรูปแบบอิเล็กทรอนิกส์ ดังนั้นเอกสารสัญญาข้อตกลงการประมวลผลข้อมูล จะเป็นเอกสารสำคัญระหว่างผู้ควบคุมข้อมูลที่มีการขอจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล และมีการส่งข้อมูลส่วนบุคคลนั้น ๆ ไปยังบุคคลอื่นภายนอกองค์กรเพื่อทำกิจกรรมใดกิจกรรมหนึ่ง ต้องมีการทำเอกสารสัญญา DPA เพื่อเป็นหลักฐานข้อตกลงการใช้ข้อมูลส่วนบุคคลร่วมกันทำให้ทั้ง 2 ฝ่ายรับทราบข้อตกลงและปฎิบัติตามเงื่อนไขที่ตกลงกันเท่านั้น พร้อมทั้งเพื่อป้องกันการใช้ข้อมูลส่วนบุคคลผิดวัตถุประสงค์ที่เจ้าของข้อมูลให้ความยิมยอม

ผู้ที่มีส่วนเกี่ยวข้องกับสัญญาข้อตกลงการประมวลผลข้อมูล (DPA)

Data Subject (เจ้าของข้อมูล) คือ พนักงานภายในองค์กร 

Data Controller (ผู้ควบคุมข้อมูล) คือ ฝ่ายบุคคล หรือ องค์กรผู้จ้างงาน

Data Processor (ผู้ประมวลผลข้อมูลส่วนบุคคล) คือ องค์กรภายนอก หรือ ผู้รับจ้างงาน

ตัวอย่าง เช่น ฝ่ายบุคคลในนามผู้ควบคุมข้อมูลมีการจ้างบริษัทภายนอกองค์กรทำระบบการจ่ายเงินเดือนพนักงานของบริษัท  โดยบริษัทมีการส่งข้อมูลส่วนบุคคลของพนักงานประกอบไปด้วย ข้อมูลเลขบัญชีธนาคาร เลขประจำตัวผู้เสียภาษี ID เลขประจำตัวพนักงาน ล้วนเป็นข้อมูลส่วนบุคคลทั้งสิ้น ให้กับผู้ให้บริการภายนอกองค์กร  ฝ่ายบุคคลมีหน้าที่จัดทำสัญญา DPA ระหว่างองค์กรและผู้ให้บริการภายนอกองค์กรรับทราบวัตถุประสงค์และขอบเขตที่ระบุไว้ในสัญญาเท่านั้น หากผู้ให้บริการภายนอกองค์กรนำข้อมูลส่วนบุคคลของพนักงานไปใช้ในวัตถุประสงค์อื่นนอกเหนือจากผู้ว่าจ้างระบุไว้ในสัญญา เมื่อเกิดกรณีมีข้อพิพาทขึ้น สัญญา DPA จะเป็นหลักฐานสำคัญในการยื่นเพื่อให้เจ้าหน้าที่ตรวจสอบและพิจาณาต่อไป

 

องค์ประกอบที่สำคัญในสัญญา DPA

โดยทั่วไป DPA ควรมีขอบเขตและวัตถุประสงค์ของข้อตกลงการประมวลผลข้อมูลส่วนบุคคล รายละเอียดของข้อมูลที่จะนำไปประมวลผล วิธีป้องกัน และความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับผู้ประมวลผลข้อมูลส่วนบุคคล นอกจากนี้ควรกำหนดรายละเอียด เช่น

ข้อ 1 ข้อมูลที่แลกเปลี่ยนมีอะไรบ้างโดยผู้ควบคุมข้อมูลส่วนบุคคลต้องระบุข้อมูลที่แลกเปลี่ยนอย่างชัดเจน ว่ามีการส่งต่อข้อมูลส่วนบุคคลอะไรบ้างให้กับองค์กรภายนอกและระบุฝ่ายที่รับผิดชอบในการตรวจสอบว่าข้อมูลเป็นไปตามแนวปฏิบัติของกฎหมาย PDPA หรือไม่

ข้อ 2 วัตถุประสงค์และขอบเขตในการประมวลผลข้อมูล โดยผู้ควบคุมข้อมูลส่วนบุคคลต้องระบุถึงกิจกรรมที่เกี่ยวข้องกับข้อตกลงการประมวลผลข้อมูลอย่างชัดเจน 

ข้อ 3 ผู้ประมวลผลข้อมูลจะดําเนินการลบและทําลายข้อมูลภายใน ระยะเวลา หลังบรรลุวัตถุประสงค์ตามสัญญา

ข้อ 4 ผู้ประมวลผลข้อมูลจะจัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามที่กฎหมายกําหนด เป็นการระบุถึงมาตรการรักษาความปลอดภัยของข้อมูล การเข้ารหัสข้อมูล วิธีการตรวจสอบย้อนกลับ การรักษาความลับ ความสมบูรณ์ ความพร้อมใช้งาน และความยืดหยุ่นของระบบการประมวลผลข้อมูลและบริการให้เป็นไปตามสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมถึงค่าใช้จ่ายและผู้รับผิดชอบในการดำเนินการ

ข้อ 5 ผู้ประมวลผลข้อมูลจะไม่นําข้อมูลที่ได้รับจากบริษัทไปใช้ในวัตถุประสงค์อื่นนอกเหนือจากที่ระบุในข้อตกลงฉบับนี้ 

ข้อ 6 หากการกระทําใดของผู้ประมวลผลข้อมูลทําให้เกิดข้อพิพาท หรือความเสียหายแก่บริษัท ผู้ประมวลผลข้อมูลต้อง รับผิดชอบความเสียหายที่เกิดขึ้นทั้งหมด

 

ดังนั้นการจัดทำสัญญาข้อตกลงการประมวลผลข้อมูล จึงมีความสำคัญกับทุก ๆ องค์กรที่มีการส่งต่อข้อมูลส่วนบุคคลไปยังองค์กรภายนอก เพื่อป้องกันผู้ประมวลผลข้อมูลนำของมูลส่วนบุคคลไปใช้นอกวัตถุประสงค์ที่ได้ตกลงกันและป้องกันการนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปใช้ผิดวัตถุประสงค์ที่เจ้าของข้อมูลได้ให้ consent จนเกิดของพิพาทขึ้นในอนาคต

สามารถเข้าไปอ่าน content ที่น่าสนใจอื่น ๆ เกี่ยวกับ PDPA ได้ที่ PDPA for HR งานฝ่ายบุคคลฯ กับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

สำหรับคนที่อยากรู้เรื่อง ข้อตกลงประมวลผลข้อมูล หรือ สัญญา DPA สามารถรับชมใน VDO ด้านล่วงได้ หากดูแล้วชื่นชอบช่วยกดไลค์และแชร์ เพื่อเป็นกำลังใจให้พวกเราด้วยนะคะ

Sensitive Data PDPA หรือ “ข้อมูลอ่อนไหว” ที่ไม่ควรมีในใบสมัครงาน

Sensitive Data PDPA หรือ "ข้อมูลอ่อนไหว" ที่ไม่ควรมีในใบสมัครงาน

     “Sensitive Data PDPA หรือ ข้อมูลอ่อนไหว ที่ไม่ควรมีในใบสมัครงานมีอะไรบ้าง?” วันนี้ Trust Vision มีข้อแนะนำให้ทุกท่านค่ะ อย่างที่ทุกท่านทราบกันดี พรบ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ที่เป็นกฎหมายใหม่เข้ามาคุ้มครองดูแลความเป็นส่วนตัวให้กับเจ้าของข้อมูลส่วนบุคคลให้มีความปลอดภัยมากยิ่งขึ้น ซึ่งจะมีผลบังคับใช้วันที่ 1 มิถุนายน 2565 นี้ กฎหมายฉบับนี้ร่างไว้ตั้งแต่ปี พ.ศ.2562 โดยได้รับแนวคิดมาจาก GPDA หรือ General Data Protection Regulation เป็นกฎหมายของสหภาพยุโรปว่าด้วยมาตรการ ” คุ้มครอง “ความเป็นส่วนตัวของข้อมูลส่วนบุคคล”ป้องกัน”การนำข้อมูลไปใช้โดยผิดกฎหมายประชาชนทั่วไปจะรู้จักในชื่อ ” GDPR ” บังคับใช้วันที่ 25 พฤษภาคม 2561 

ดังนั้นทำให้หลายองค์กรตื่นตัวในเรื่องนี้มาก เพราะหลาย ๆ องค์กรมีการใช้ข้อมูลส่วนบคุคคลไม่ว่าจะเป็น ข้อมูลลูกค้า ผู้ที่มาติดต่อ รวมไปถึงข้อมูลพนักงานและผู้สมัคร ในการใช้ประกอบกิจกรรมต่าง ๆภายในองค์กรและ department หลักที่สามารถเข้าถึงข้อมูลส่วนบุคคลภายในองค์กรเป็นอันดับต้น ๆ ได้แก่ HR มีการจัดเก็บ เปิดเผย ส่งต่อ ข้อมูลส่วนบุคคลทำให้ทุกองค์กรเกี่ยวข้องกับ พรบ.คุ้มครองข้อมูลส่วนบุคคลฉบับนี้

HR ควรปฏิบัติอย่างไรในการเรียกเก็บ Sensitive Data PDPA?

ในการจัดเก็บเอกสารนั้น Trust Vision เคยมีการแชร์ข้อมูลการเก็บข้อมูลอย่างไรให้ปลอดภัยสามารถศึกษาข้อมูลเพิ่มเติมได้ที่.. PDPA เก็บข้อมูลอย่างไร? ให้ปลอดภัย การจัดเก็บเอกสารข้อมูลส่วนบุคคลนั้นสำคัญและเป็นข้อบังคับตามกฏหมาย PDPA การเก็บรวบรวมข้อมูลส่วนบุคคลผ่านใบสมัครงาน (Application Form) จะต้องมีการระบุถึงข้อมูลอันเป็นสาระสำคัญที่ผู้สมัครควรจะรู้ได้แก่ ชื่อขององค์กรที่เรียกขอข้อมูล องค์กรที่เก็บรักษาข้อมูล คำอธิบายถึงที่มาและเหตุผล วัตถุประสงค์ในการขอหรือใช้ข้อมูลนั้น โดยเฉพาะอย่างยิ่งในกรณีที่มีวัตถุประสงค์อื่นในการใช้ข้อมูลนั้น นอกเหนือไปจากการใช้เพื่อพิจารณาคัดเลือกลูกจ้าง หรือข้อมูลนั้นจะต้องถูกส่งไปยัง
บุคคลที่สามจะต้องมีการระบุบนใบสมัครอย่างชัดเจน

การพิจารณาในการกำหนดให้มีการนำส่งข้อมูลส่วนบุคคลของผู้สมัคร การเรียกขอข้อมูลจากผู้สมัครต้องทำเท่าที่จำเป็นและเป็นประโยชน์ต่อกระบวนการรับสมัครงานและ พิจารณาคัดเลือก โดยต้องพิจารณาว่าคำถามหรือข้ลอมูลที่จะขอนั้นสามารถใช้ได้กับผู้สมัคร ทุกคน (หรือโดยทั่วไป) ไม่ว่าภายหลังผู้สมัครคนนั้นอาจจะผ่านการคัดเลือกหรือไม่ก็ตาม

ตัวอย่างข้อมูลส่วนบุคคลในใบสมัครงาน

ใบสมัครงานนั้นอาจกำหนดให้ผู้สมัครกรอก/นำส่งข้อมูลดังต่อไปนี้ 

1.รูปถ่าย 

2.ชื่อ-นามสกุล 

3.วัน/เดือน/ปี เกิด 

4.ศาสนา 

5.ประวัติครอบครัว (เช่น ชื่อ-นามสกุลของบิดามารดา/คู่สมรส) 

6.ประวัติการศึกษา – ประวัติการทำงาน (เช่น ตำแหน่ง ค่าจ้าง เหตุที่ออก) 

7.บุคคลที่จะถูกติดต่อในเวลาฉุกเฉิน 

8.เคยป่วยหนักและเป็นโรคติดต่อร้ายแรงมาก่อนหรือไม่ (ถ้าเคยโปรดระบุชื่อโรค)

ตามตัวอย่างข้อมูลส่วนบุคคลในใบสมัครงาน ทุกท่านจะสังเกตุได้ว่าในใบสมัครมีทั้งข้อมูลทั่วไปและข้อมูลอ่อนไหว ซึ่งข้อมูลตามตัวอย่างดังกล่าวมีข้อมูล "ข้อมูลอ่อนไหว" ประกอบไปด้วย ศาสนา,ประวัติการเจ็บป่วย ที่ฝ่าย HR อย่างเราต้องมีการจัดเก็บเพราะวัตถุประสงค์บางอย่าง เช่น การรักษาพยาบาล ประชีวิต อาหารการกิน ต่างจะต้องนำข้อมูลดังกล่าวมาใช้ประกอบกิจกรรม ดังนั้นฝ่าย HR จะต้องขอความยินยอม (Consent forms) จากเจ้าข้อมูล (ผู้สมัครงาน) ก่อนทุกครั้งโดยระบุไว้ในใบสมัคร เพื่อให้เจ้าข้อมูลรับทราบถึงวัตถุประสงค์ในการจัดเก็บ

ข้อมูลทั่วไปและข้อมูลอ่อนไหวประกอบไปด้วยอะไรบ้างนะ?

ข้อมูลทั่วไป "Personal Data"

1.ชื่อ-นามสกุล

2.เลขบัตรปรชาชน

3.อีเมลล์

4.ที่อยู่

5.เบอร์โทรศัทพ์

ข้อมูลอ่อนไหว "Sensitive Data"

1.เชื้อชาติ ศาสนา เผ่าพันธ์

2.รสนิยมทางเพศ

3.ประวัติการเจ็บป่วย ประวัติอาชญากรรม

4.ทัศนคติความคิดเห็นด้านการเมือง

5.ข้อมูลชีวภาพ ลายนิ้วมือ ม่านตา ใบหน้า

ดังนั้น Trust vision แนะนำว่าการจัดทำใบสมัครควรหลีกเลี่ยงข้อมูลที่เป็นข้อมูลประเภทข้อมูลอ่อนไหว หากองค์กรใดไม่สามารถหลีกเลี่ยงการจัดเก็บข้อมูลประเภทได้ ต้องมีการขอความยินยอมจากเจ้าของข้อมูลก่อนทุกครั้ง และแจ้งวัตถุประสงค์อย่างชัดเจนในการขอเก็บเพื่อวัตถุประสงค์ใด เช่น บริษัททำธุรกิจเกี่ยวกับรักษาความปลอดภัย จำเป็นต้องตรวจสอบประวัติอาชญากรรม เพื่อคัดเลือกเข้าทำงาน ต้องมีการแจ้งวัตถุประสงค์ขอตรวจสอบประวัติอาชญากรรมของผู้สมัคร เพื่อเป็นไปตามนโยบายด้านความปลอดภัยของบริษัท เป็นต้น

สามารถศึกษาข้อมูลเพิ่มเติมได้ที่ PDPA for HR งานฝ่ายบุคคลฯ กับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

สำหรับคนที่อยากรู้เรื่อง “ข้อมูลอ่อนไหว”ที่ไม่ควรมีในใบสมัครงาน สามารถรับชมใน VDO ด้านล่วงได้ หากดูแล้วชื่นชอบช่วยกดไลค์และแชร์ เพื่อเป็นกำลังใจให้พวกเราด้วยนะคะ

PDPA for HR งานฝ่ายบุคคลฯ กับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

เพื่อน ๆ ชาว HR หลายคนคงได้ศึกษาตัวกฎหมาย PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) แบบคร่าว ๆ กันมาบ้างแล้ว และรู้สึกได้เหมือนกันว่างานฝ่ายทรัพยากรบุคคลที่เราทำอยู่ เกี่ยวข้องกับกฎหมายฉบับนี้เป็นอย่างมาก แถมกฎหมายฉบับนี้ยังเป็นสิ่งที่บังคับให้ทุกองค์กรต้องมีการทำตามอย่างหลีกเลี่ยงไม่ได้อีกด้วย จึงเป็นที่มาของ PDPA for HR ในบทความนี้

ว่ากันว่าภายในฝ่ายทรัพยากรบุคคลเป็นแหล่งรวบรวมเอกสารที่มีข้อมูลส่วนบุคคลของพนักงานปัจจุบัน และผู้ที่จะเข้ามาเป็นพนักงานในอนาคต ไม่ว่าจะเป็นใบสมัครงาน สำเนาเอกสารต่าง ๆ รวมถึง Resume และ Portfolio ฝ่าย HR หลายคนยังไม่รู้ว่า ถ้ากฎหมายฉบับนี้บังคับใช้ จะรับมืออย่างไรให้สอดคล้องกับกฎหมาย PDPA ซึ่งบทความนี้ ตอบคำถามคลายความกังวลได้แน่นอน

ทำไมต้องมีการทำ PDPA for HR ในองค์กร

เนื่องจากกฎหมาย PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) ได้กำหนดไว้ว่าทุกองค์กรที่ใช้ข้อมูลส่วนบุคคลในวัตถุประสงค์ต่าง ๆ ไม่ว่าจะได้มาจากคนในองค์กร หรือนอกองค์กร ต้องมีการจัดทำมาตรการรักษาความปลอดภัย หรือกำหนดนโยบายเกี่ยวกับการเก็บรวบรวม รักษา และนำข้อมูลส่วนบุคคลไปใช้อย่างเปิดเผยผ่านลายลักษณ์อักษรที่ชัดเจน ซึ่ง HR ผู้ดูแลข้อมูลส่วนบุคคลของทุกคนในองค์กร ก็ต้องปฏิบัติตามให้สอดคล้องกับกฎหมายฉบับนี้เช่นกัน

PDPA for HR ระบุไว้จะขอข้อมูลส่วนบุคคลใคร ต้องขอ Consent ก่อน

ตามกฎหมาย PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กล่าวเกี่ยวกับ Consent ไว้ว่า

“ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคล และพูดให้ชัดคือ องค์กรห้ามใช้ข้อมูลเรา หรือเปิดเผยข้อมูลโดยไม่ได้รับความยินยอมจากลูกค้า หรือเจ้าของข้อมูลก่อน”

ดังนั้นก่อนที่จะเริ่มเก็บรวบรวมข้อมูล เพื่อนำมาใช้ และเผยแพร่ ทางผู้ควบคุมข้อมูลที่เป็นเจ้าหน้าที่ฝ่ายทรัพยากรบุคคล ต้องมีการทำ Consent Management หรือการสร้างแบบขอความยินยอมเป็นลายลักษณ์อักษรชัดเจน พร้อมระบุวัตถุประสงค์ในการจัดเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล และระบุสิทธิ์ในการจัดการของผู้ให้ข้อมูลซึ่งในที่นี้ก็คือ พนักงาน หรือผู้สมัครงาน ดังนั้นการทำ Consent เป็นสิ่งที่ฝ่าย HR ต้องห้ามปล่อยปะละเลยเป็นอันขาด

ถ้าอยากศึกษาเรื่องนี้เพิ่มเติม สามารถเข้าดูได้ที่ Consent Management (ระบบบริหารจัดการข้อมูลส่วนบุคคล) และ  หน้าตาของ consent เป็นอย่างไร?

องค์กรทำ ROP เพื่อสอดคล้อง PDPA ฉันใด PDPA for HR ก็ต้องทำ ROP ด้วยฉันนั้น

ฝ่าย HR เมื่อได้รับข้อมูลส่วนบุคคล ไม่ว่าจากพนักงานในองค์กรก็ดี หรือจากผู้สมัครก็ตาม ต้องมีการทำ ROP (Record of Processing Activity) หรือที่ภาษาไทยเรียกกันว่า “การบันทึกรายการประมวลผลข้อมูล” ซึ่งการทำ ROP นี้ต้องครอบคลุมตั้งแต่กระบวนการสำรวจข้อมูล ไปจนถึงการส่งต่อข้อมูลส่วนบุคคล นอกจากนี้ทางฝ่าย HR ต้องแยกประเภท และระบุได้ว่าข้อมูลส่วนบุคคลในแต่ละหมวดมีอะไรบ้าง ถูกจัดเก็บไว้ที่ใด พร้อมมอบหมายให้ใครดูแล หรือมีสิทธิ์เข้าถึงข้อมูลส่วนบุคคลนี้บ้าง  

รายละเอียดเกี่ยวกับ RoP สามารถศึกษาเพิ่มเติมได้ที่  RoP Records of Processing Activity คืออะไร

สิทธิ์ของผู้ให้ข้อมูลส่วนบุคคลนั้นยิ่งใหญ่

มาตรา 30 ในกฎหมาย PDPA ได้กล่าวถึงสิทธิ์ของผู้ให้ข้อมูลไว้ว่า

“เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม”

ซึ่งสามารถสรุปใจความแบบเข้าใจง่าย ๆ ได้ว่า

“ผู้ให้ข้อมูลมีสิทธิ์ในการเรียกดู แก้ไข เคลื่อนย้าย ระงับ คัดค้าน ข้อมูลส่วนบุคคลของตน และผู้ควบคุมข้อมูลจะต้องให้สิทธิ์แก่เจ้าของข้อมูลอีกด้วย”

โดยในเชิง PDPA for HR ฝ่ายทรัพยากรบุคคลต้องสามารถบอกพนักงานได้ว่า ข้อมูลส่วนบุคคลที่เก็บรวบรวมไปนั้นมีวัตถุประสงค์อย่างไร เก็บอะไรไปบ้าง และนำไปจัดเก็บไว้ที่ไหน ซึ่งทางฝ่ายบุคคลฯ ต้องทำการจัดเก็บข้อมูลในส่วนนี้อย่างเป็นระบบ และบอกกล่าวให้ทุกคนในแผนก หรือผู้มีสิทธิ์ดูแลข้อมูลส่วนบุคคลได้รับรู้เกี่ยวกับเรื่องนี้

นอกจากนี้ฝ่าย HR จะต้องให้ความร่วมมือแก่พนักงานที่ขอสิทธิ์ในการแก้ไข ลบ จำกัด ถ่ายโอน คัดค้านข้อมูลส่วนบุคคลที่ทางฝ่ายทรัพยากรบุคคลได้จัดเก็บไว้ ในส่วนการขอถอนความยินยอม พนักงานก็มีสิทธิ์ในการขอถอน Consent ได้เช่นกัน แต่ทางฝ่าย HR สามารถปฏิเสธในส่วนนี้ได้ ถ้าแจ้งเหตุผลว่าใช้ข้อมูลส่วนบุคคลนั้นเพื่อเกี่ยสุขภาพของพนักงาน หรือสิทธิประโยชน์จากบริษัท

อ่านสรุป มาตรา 30 ของพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล แบบเข้าใจง่าย เพิ่มเติมได้ที่ สิทธิของเจ้าของข้อมูล (Data Subject Right)

ถึงเป็นสาย Recruiter ก็ต้องรู้

หน้าที่ของฝ่าย HR นอกเหนือจากดูแลความเรียบร้อยของพนักงานแล้ว ยังต้องมีการคัดเลือกผู้สมัครที่จะมาเป็นส่วนหนึ่งขององค์กรในอนาคต สิ่งที่ต้องคำนึงสำหรับคนที่มาสายงาน Recruit ก็คือการรักษาข้อมูลส่วนบุคคลของผู้สมัคร ทั้งข้อมูลส่วนบุคคลทั่วไป และข้อมูลส่วนบุคคลอ่อนไหวที่ได้มาจากใบสมัคร, Resume และ Portfolio นอกจากนี้กระบวนการเก็บข้อมูลจากใบสมัครทางฝั่ง HR ต้องมีการทำ Consent เป็นลายลักษณ์อักษรอย่างชัดเจน

โดยหลายคนอาจจะสงสัยว่าใบสมัครของผู้ที่ไม่ผ่านการคัดเลือกทาง Recruiter ต้องจัดการอย่างไร ?  คำตอบก็คือ 

“สำหรับเอกสารผู้สมัครงานที่ไม่ผ่านการคัดเลือก ทาง HR ต้องทำลายเอกสาร และประวัติสมัครงานทันที!! หลังประกาศผล เพื่อความปลอดภัย และถูกต้องตามกฎหมาย PDPA”

อ่านถึงตรงนี้แล้ว ถ้าคุณยังเก็บใบสมัครของผู้ที่ไม่ผ่านการคัดเลือกไว้ ทางเราแนะนำให้คุณทำลายเอกสารนั้นแบบไม่ต้องเผื่อรีไซเคิล เพราะถ้าข้อมูลส่วนบุคคลรั่วไหลไป เข้าข่ายผิดกฎหมาย PDPA แน่นอน!!

ถ้าใครอยากรู้ว่าข้อมูลส่วนบุคคลทั่วไป และข้อมูลส่วนบุคคลอ่อนไหว คืออะไร? หาคำตอบได้ในบทความ  PDPA เก็บข้อมูลอย่างไร? ให้ปลอดภัย

สาย HR Development ก็ต้องรู้เหมือนกัน

กฎหมาย PDPA (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ได้ระบุไว้ในประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๓ ข้อ 4 ความว่า

“ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามประกาศนี้ ให้แก่บุคลากร พนักงาน ลูกจ้างหรือบุคคลที่เกี่ยวข้องทราบ รวมถึงสร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้กับกลุ่มบุคคลดังกล่าว ปฏิบัติตามมาตรการที่กาหนดอย่างเคร่งครัด”

ซึ่งจากข้อกฎหมายดังกล่าว สรุปใจความง่าย ๆ ก็คือ

“องค์กรที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล ต้องมีการอบรม PDPA Awareness ให้แก่พนักงานทุกภาคส่วนในบริษัท”

ในฐานะที่ฝ่าย HR เป็นผู้ดูแลเกี่ยวกับการพัฒนาความรู้ และทักษะของพนักงานในองค์กร การสร้างความตระหนักในข้อมูลส่วนบุคคลก็เป็นเรื่องที่ทุกองค์กรต้องปฏิบัติให้สอดคล้องกับกฎหมาย PDPA นอกจากนี้การสร้างความตระหนักทางความปลอดภัยด้านไซเบอร์ก็เป็นสิ่งที่ต้องทำควบคู่กันไปด้วยเพื่อให้พนักงานในองค์กรทันต่อภัยไซเบอร์ที่จะเข้ามาคุกคามล้วงความลับองค์กร และเห็นความสำคัญของข้อมูลส่วนบุคคล 

สรุป

จากบทความทั้งหมดที่กล่าวมาเห็นได้ชัดเลยว่ากฎหมาย PDPA (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ที่จะบังคับใช้ในอีก 2 เดือนข้างหน้า (1 มิถุนายน 2565) นั้นมีความเกี่ยวข้องกับฝ่ายทรัพยากรบุคคล (HR) เป็นอย่างมาก เพราะเป็นแผนกสำคัญที่ทำงานอยู่กับข้อมูลส่วนบุคคลจำนวนมาก ดังนั้นองค์กรของเราควรเริ่มดำเนินการตามนโยบาย และการปฏิบัติให้สอดคล้องตามข้อบังคับของกฎหมายต่อไป

หากบทความนี้เป็นประโยชน์แก่คุณ อย่าลืมส่งต่อสิ่งดี ๆ แบบนี้ให้กับคนที่คุณรู้จัก และสามารถติดตามบทความอื่น ๆ หรือสาระน่ารู้ที่จะช่วยพัฒนางาน HR ของคุณให้มีประสิทธิภาพได้ที่  trust-vision.co

PDPA จะไม่ใช่เรื่องยากสำหรับชาว HR อีกต่อไป

PDPA จะไม่ใช่เรื่องยาก
สำหรับชาว HR อีกต่อไป

PDPA สำหรับ HR

PDPA สำหรับ HR

PDPA สำหรับ HR คืออะไร? คำตอบก็คือ.. ฝ่าย HR  เป็นฝ่ายที่มีการใช้ข้อมูลส่วนบุคคลภายในองค์กรเป็นอันดับต้นๆ เพราะเป็นผู้ จัดเก็บ ใช้ เปิดเผย เข้าถึง ส่งต่อ ข้อมูลส่วนบุคคลของพนักงานภายในองค์กร ข้อมูลส่วนบุคคลไม่ได้หมายถึงข้อมูลส่วนบุคคลของลูกค้าหรือผู้มาติดต่อกับองค์กรเพียงอย่างเดียว แต่ร่วมถึงข้อมูลส่วนบุคคลพนักงานในองค์กรก็ถือว่าเป็นเจ้าของข้อมูลเช่นกัน PDPA หรือ กฎหมายคุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายใหม่เพื่อเข้ามาป้องกันการใช้มูลส่วนบุคคลภายในองค์กรให้เป็นไปตามมาตรฐาน PDPA Thai ได้กำหนด ซึ่งมีผลบังคับใช้วันที่ 1 มิถุนายน 2565 ที่จะถึงนี้ ข้อมูลส่วนบุคคลหมายถึง ข้อมูลที่สามารถบ่งบอกตัวตนบุคคลได้ไม่ว่าจะเป็นทางตรงหรือทางอ้อม ไม่เกี่ยวกับนิติบุคคล หรือ ผู้ถึงแก่กรรม 

ดังนั้น HR ต้องเตรียมพร้อมรับมือกับกฎหมายฉบับนี้อย่างไร ให้ถูกต้องและเป็นไปตามมาตรฐานที่กฎหมายกำหนดตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ได้กำหนดไว้ เพื่อปกป้องข้อมูลส่วนบุคคลของพนักงานภายในองค์กรให้ปลอดภัยมากที่สุด

ฝ่าย HR ต้องเตรียมตัวรับมืออย่างไรในการทำ PDPA ?

1.ประกาศนโยบายความเป็นส่วนตัว (Privacy Notice) อย่างเป็นลายลักษณ์อักษร  และแนวทางการปฏิบัติ (Privacy Poliy) ในการใช้ จัดเก็บ เปิดเผยข้อมูลส่วนบุคคลให้กับพนักงานในองค์กรรับทราบ ทั้งช่องทาง online และ offline อย่างชัดเจน

2.กรณีมีการเปิดรับสมัครงานที่ต้องมีการขอเก็บข้อมูลส่วนบุคคลของผู้สมัคร ฝ่าย HR ต้องจัดทำเอกสารขอความยินยอมในการจัดเก็บข้อมูลส่วนบุคคล โดยมีวัตถุประสงค์ในการนำข้อมูลไปใช้ในกิจกรรมอะไร และมีระยะเวลาในการจัดเก็บกี่ปี กรณีผู้สมัครไม่ผ่านการคัดเลือกมีการจัดการกับเอกสารอย่างไร เพื่อให้เจ้าของข้อมูลรับทราบและอนุญาตให้จัดเก็บข้อมูลได้ 

3.กรณีการจัดเก็บสัญญาจ้างที่มีข้อมูลส่วนบุคคลและสวัสดิการต่างๆ ควรมีการจัดเก็บไว้ในสถานที่ปลอดภัยและมีผู้ดูแลรับผิดชอบอย่างชัดเจน เพื่อง่ายต่อการตรวจสอบกรณีมีข้อมูลรั่วไหลเกิดขึ้น

4.กรณีมีการขอเก็บข้อมูลชีวภาพ ควรมีการจัดทำเอกสารขออนุญาตจากเจ้าข้อมูลและมีการแจ้งวัตถุประสงค์อย่างชัดเจน เช่น การเก็บลายนิ้วมือ หรือสเกนบนหน้า เพื่อให้เจ้าของข้อมูลรับทราบถึงวัตถุประสงค์และยินยอมให้จัดเก็บ เพราะลายนิ้วมือหรือบนหน้า ถือได้ว่าเป็นข้อมูลส่วนบุคคลเช่น

5.กรณีมีการส่งรายชื่อพนักงานไปให้บุคคลที่สาม ต้องจัดทำเอกสารข้อตกลงการใช้ข้อมูลร่วมกัน ( Processing Agreem ) หากเกิดของพิพาทเกิดกรณีบุคคลที่สามทำเกินหน้าที่ ที่บริษัทได้กำหนดไว้ในสัญญาเอกสาร ( Processing Agreem ) จะเป็นเอกสารสำคัญในการพิจารณาในศาลต่อไป

เกิดอะไรขึ้นหากบริษัทไม่ทำตามกฎหมาย PDPA ?

กรณีมีผู้เสียหายฟ้องร้องเกิดขึ้นเมื่อบริษัททำข้อมูลส่วนบุคคลรั่วไหล ทางคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเข้ามาตรวจสอบและหากไม่สามารถตรวจสอบที่มาที่ไปข้อมูลไม่ได้ ทางบริษัทต้องจะได้รับโทษตามกฎหมาย PDPA กำหนด ซึ่งบทลงโทษของกฎหมายฉบับนี้มีความรุงแรงมากที่สุดในบรรดากฎหมายดิจิทัลมีโทษปรับสูงสุดถึงห้าล้านบาท โทษ PDPA โดนแน่ถ้าคิดว่าจะไม่ทำ 

ดังนั้นการทำ PDPA เป็นเรื่องที่สำคัญกับองค์กรที่มีการใช้ข้อมูลส่วนบุคคล เพื่อให้ทราบถึงการไหลของข้อมูลส่วนบุคคลภายในองค์กรว่าใช้ในกิจกรรมอะไรบ้างและใครเป็นผู้ดูแลในกิจกรรมนั้น เพื่อเป็นหลักฐานในการตรวจสอบให้กับคณะกรรมคุ้มครองข้อมูลส่วนบุคคลต่อไป

ทุกคนทราบน่าจะแล้วว่า PDPA สำหรับฝ่ายบุคคล? ต้องปฏิบัติอย่างไร ดังนั้นการจัดทำ PDPA จึงต้องเป็นหน้าที่ของทุกฝ่ายโดยเฉพาะฝ่าย HR ในการจัดเก็บรักษาข้อมูลส่วนบุคคลภายในองค์กร ให้มีความปลอดภัยและเป็นไปตามมาตรฐานกฎหมาย PDPA ได้กำหนด และฝ่าย HR ถือได้ว่าเป็นผู้ที่จัดเก็บข้อมูลส่วนบุคคลเป็นอันดับต้นๆขององค์กร ควรนำร่วงในการจัดทำการจัดเก็บข้อมูลส่วนบุคคลให้เป็นมาตรฐานตามกฎหมาย PDPA เพื่อสามารถตรวจสอบได้ว่าในแต่ละกิจกรรมมีการใช้ข้อมูลบุคคลอะไรบ้างและใช้เพื่อวัตถุประสงค์อะไร

สามารถอ่านข้อมูลเพิ่มเติมได้ที่ PDPA for HR งานฝ่ายบุคคลฯ กับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล