Department ใดบ้าง ? ที่เกี่ยวข้องกับ PDPA

          Department ในองค์กรกับกฎหมาย PDPA สำหรับกฎหมาย PDPA นั้นไม่เพียงแต่มีความสำคัญเฉพาะฝ่ายใดฝ่ายหนึ่งในองค์กร หรือเกี่ยวข้องเฉพาะแต่คนทำธุรกิจเท่านั้น เพราะถือว่าเป็นผู้ที่เกี่ยวข้องกับการเก็บข้อมูลส่วนบุคคลของผู้อื่นโดยตรง แต่สำหรับกฎหมาย PDPA นั้นสำคัญกับทุก ๆฝ่าย ทุก ๆ แผนกในองค์กร เพราะทุกแผนกนั้นก็มีความสำคัญหรือบริบทในการทำงานที่แตกต่างกันไปและยังมีการเข้าถึงข้อมูลส่วนบุคคลของผู้อื่นไม่ว่าจะเป็นฝ่าย HR จัดซื้อจัดจ้าง ฝ่ายขาย เป็นต้น และเพื่อเป็นการลดความเสี่ยงในการนำข้อมูลไปใช้ในทางที่ผิด ดังนั้นทุกคนในองค์กรจะต้องตระหนักรู้ถึงความสำคัญของกฎหมาย PDPA เพื่อไม่ให้เกิดข้อผิดพลาด ดังนั้นแล้ว วันนี้ทางทีมงาน Trust-Vision ได้รวบรวมข้อสรุปถึงความสำคัญในกฎหมาย PDPA ว่ามีความเกี่ยวข้องกับแต่ละแผนกอย่างใดบ้าง

Department ใดบ้าง ? ที่เกี่ยวข้องกับ PDPA

แผนกทรัพยากรบุคคล

สำหรับแผนกทรัพยากรบุคคลหรือ HR ที่มีการจัดเก็บข้อมูลของพนักงานให้กับองค์กรที่เกี่ยวข้องกับ PDPA โดยตรง ต้องมั่นใจว่ามีการจัดการข้อมูลอย่างถูกต้อง เพราะเป็นฝ่ายที่รวบรวมและจัดเก็บเอกสารพนักงานซึ่งเต็มไปด้วยข้อมูลส่วนบุคคลทั้งสิ้น เช่น ชื่อ – นามสกุล, ที่อยู่, เบอร์โทรศัพท์, อีเมล, สำเนาเอกสารทางกฎหมาย หรือกระทั่ง Resume และ Portfolio ทั้งข้อมูลที่เป็นเอกสารและข้อมูลที่เป็นไฟล์อิเล็กทรอนิกส์ โดยการนำข้อมูลมาใช้ทุกครั้งจะต้องผ่านการขอยินยอม Consent กับพนักงานในทุกครั้งที่นำข้อมูลมาใช้เท่านั้น ไม่ว่าจะเป็นผู้สมัครงาน พนักงานในองค์กร รวมไปถึงพนักงานเก่าที่ลาออกหรือโดนไล่ออกด้วยเช่นกัน และต้องมีการจัดอบรมเพื่อให้พนักตระหนักรู้ถึงความสำคัญของกฎหมาย ดังนั้นแล้วหากฝ่าย HR ไม่มีมาตรการในการรักษาข้อมูลที่ครอบคลุม ก็อาจจะก่อให้เกิดกรณีข้อมูลหลุดออกไป และเสี่ยงที่จะได้รับโทษตามกฎหมายกำหนด โทษ PDPA

ฝ่ายฝึกอบรม

แผนกฝึกอบรมจะมีส่วนในการรวบรวมข้อมูลส่วนบุคคลที่เกี่ยวกับการฝึกอบรมที่มีข้อมูลพนักงานถือว่าเป็นข้อมูลส่วนบุคคล ไม่ว่าจะเป็น ชื่อ-นามสกุล เลขบัตรประชาชน เพศ อายุ เป็นต้น สำหรับการฝึกอบรมจะต้องมีการแจ้งให้กับผู้เข้าร่วมอบรมทราบถึงวัตถุประสงค์ในการเก็บรวบรวมข้อมูล ว่าใช้เพื่อการสิ่งใดบ้าง ซึ่งองค์กรหรือผู้ที่เป็นเจ้าหน้าที่ควบคุมข้อมูลสาวนบุคคลจะต้องเก็บไว้อย่างถูกต้อง และปลอดภัยเช่นเดียวกัน

จัดซื้อ

ข้อมูลสำคัญที่แผนกจัดซื้อต้องทำการเก็บรวบรวมไม่ว่าจะเป็น ชื่อบุคคลที่อยู่ในสัญญาจัดซื้อจัดจ้างของบริษัทซึ่งเป็นข้อมูลส่วนบุคคล ผู้ที่ดูแลฝ่ายจัดซื้อควรตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลที่ได้มาได้ถูกนำมาใช้ในการประมวลผลข้อมูลที่เป็นไปตามสัญญาว่าข้อมูลส่วนบุคคลนั้นได้รับการคุ้มครองไม่แบ่งปันต่อบุคคลอื่น และที่สำคัญมีการส่งผ่านเพียงแค่เฉพาะข้อมูลที่จำเป็นเท่านั้น หารเกิดการสงสัยว่าข้อมูลเหล่านั้นถูกบุกรุกจากระบบที่เกิดขึ้น เราจะสื่อสารในฐานะ ผู้ควบคุมข้อมูล หรือ Data Controller ได้ว่าอย่างไร? และถ้าหากเราจ้างฝ่าย IT ที่เป็นบุคคบลภายนอกเข้ามาดูแลระบบให้ เราจะต้องตระหนักว่าผู้ให้บริการจะมีกระบวนการดูแลและมีการจัดระบบที่ถูกต้องเพื่อจัดการข้อมูลของคุณอย่างปลอดภัยได้อย่างไร?

การตลาด และการขาย

ส่วนใหญ่ในการเก็บข้อมูลของฝ่ายนี้จะเป็นในส่วนสำคัญในสื่อสาร และสร้างความเชื่อมั่นให้แก่ลูกค้าผู้ที่มาใบริการ ดังนั้นจะต้องสร้างความมั่นใจที่ว่าข้อมูลส่วนบุคคลที่ถูกจัดเก็บไว้นั้นจะมีปลอดภัย และ Comply กับ PDPA ในส่วนของพนักงานที่ทำงานเกี่ยวกับด้านการตลาดจะเป็นส่วนหน้าของด่านแรกในการขอความยินยอมในเก็บข้อมูลส่วนบุคคลจากลูกค้าผู้ใช้บริการไม่ว่าจะเป็นช่องทางใด และเพื่อเป็นการสร้างความมั่นใจว่าข้อมูลส่วนตัวที่องค์กรจัดเก็บไว้นั้นได้มีการปฏิบัติตาม กฎหมาย พ.ร.บ. ข้อมูลส่วนบุคคล หรือ (PDPA) ได้อย่างชัดเจนและถูกต้อง

แผนกธุรการ

แผนกธุรการถือเป็นอีกหนึ่งแผนกที่เป็นส่วนของฝ่ายปฏิบัติการสำคัญ และเป็นแผนกที่เกี่ยวข้องกับทุกแผนกที่มีส่วนความเกี่ยวข้องกับข้อมูลส่วนบุคคลไม่ว่าจะเป็นข้อมูลภายในองค์กรหรือว่าภายนอกองค์กร ทั้งผู้ที่มาติดต่อสื่อสาร การซ่อมบำรุง การจัดซื้อต่างๆ เพราะจะต้องมีการอัปเดตข้อมูล เพื่อให้เป็นไปตามกฎหมาย (PDPA) กำหนดเช่นกัน

ข้อมูลส่วนบุคคลที่เก็บรวบรวมไว้ก่อนวันที่กฎหมายบังคับใช้

  1. ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม
  2. ต้องกำหนดวิธีการยกเลิกความยินยอมและเผยแพร่ประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่ประสงค์ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย
  3. การเปิดเผยและการดำเนินการอื่นที่มิใช่การเก็บรวบรวมและการใช้ข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัตินี้

การร้องเรียนการถูกล่วงละเมิดข้อมูล

1. คณะกรรมการผู้เชี่ยวชาญ

  • พิจารณาเรื่องร้องเรียน
  • ตรวจสอบการกระทำใด ๆ ของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
  • ไกล่เกลี่ยข้อพิพาทเกี่ยวกับข้อมูลส่วนบุคคล

2. พนักงานเจ้าหน้าที่

  • มีหนังสือแจ้งให้บุคคลมาให้ข้อมูล หรือส่งเอกสารหรือหลักฐานใด ๆ
  • ตรวจสอบและรวบรวมข้อเท็จจริง แล้วรายงานต่อคณะกรรมการผู้เชี่ยวชาญ
  • ในกรณีตามข้อ (2) หากมีความจำเป็นเพื่อคุ้มครองประโยชน์ของเจ้าของข้อมูล หรือเพื่อประโยชน์สาธารณะให้พนักงานเจ้าหน้าที่ยื่นขอหมายศาล เพื่อเข้าไปในสถานที่ของผู้ควบคุม ผู้ประมวลผลหรรือผู้ใด ในระหว่างพระอาทิตย์ขึ้นถึงพระอาทิตย์ตกหรือในเวลาทำการของสถานที่นั้น

สรุป   ดังนั้นการปฏิบัติตามกฎหมาย PDPA เพื่อให้ถูกต้องและครบถ้วน เจ้าของบริษัทและ Department อื่น ๆ ควรให้เวลาในการทำความเข้าใจในตัวกฎหมาย เพราะถ้าหากไม่มีการเตรียมความพร้อมในการตอบรับที่ดีพอและหากเกิดพลาดกระทำความผิดไปแล้ว ก็จะส่งผลที่ตามมานอกจากจะเสียค่าปรับตามโทษของกฎหมาย ก็จะทำให้เสียชื่อเสียงอีกด้วย แถมยังเสียภาพลักษณ์และความน่าเชื่อถือจากลูกค้าตามมาอีกด้วย เห็นแบบนี้แล้วจำเป็นอย่างยิ่งที่ทุก ๆ คนจะต้องหันมาทำความเข้าใจและปฏิบัติตามให้ถูกต้องเพื่อลดผลกระทบที่จะตามมานั้นเองค่ะ

ข้อมูลอ้างอิงจาก

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

Thailand Data Protection Guidelines 2.0

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR  คลิ๊ก!!!