Privacy Policy ของ HR & Recruitment ต่างกันอย่างไร?

Privacy Policy ของ HR & Recruitment ต่างกันอย่างไร?

          อย่างที่ว่านโยบายสองฉบบนี้เป็นนโยบายที่มีการจัดทำขึ้นเพื่อลดความเสี่ยงต่างๆ เพราะเมื่อมีการจ้างพนักงานเข้ามาใหม่สิ่งสำคัญของข้อมูลที่นายจ้างทุกคนจะต้องขอจากผู้สมัครงาน คือ ชื่อ-นามสกุล, เบอร์โทร, อีเมล, ที่อยู่ และเลขบัตรประชาชน หรืออาจจะรวมไปถึงข้อมูลอื่นๆที่ประกอบในส่วนการคัดเลือกพนักงาน เช่น Resume, CV ซึ่งข้อมูลเหล่านี้เป็นข้อมูลส่วนบุคคลตาม PDPA แต่ นอกจากนี้ทางนายจ้างยังสามารถเก็บข้อมูลเหล่านี้ได้ตามปกติ เพราะว่ามีความจำเป็นตามที่กฎหมายกำหนด เช่น ในเรื่องการจ่ายเงินเดือน, การหักภาษี และการส่งประกันสังคม หรือตามลักษณะการจ้างงานของบริษัท ซึ่งในที่นี้นายจ้างสามารถแจ้งผ่านเอกสารที่ชื่อว่า ” HR Privacy Policy “

         และฝ่าย HR มีหน้าที่สำคัญเกี่ยวกับการจัดการข้อมูลส่วนบุคคลของ พนักงานในองค์กรและผู้สมัครงาน และยังเป็นกลุ่มแรกที่เสี่ยงต่อการละเมิดข้อมูลส่วนบุคคลโดยไม่รู้ตัว ดังนั้นเพื่อลดความเสี่ยงที่จะเกิดขึ้นในอนาคตและบริษัทจำเป็นต้องมีเอกสารควบคุมในการจัดการในเรื่องนี้ แต่ถ้าหาก HR ไม่มีมาตรการรักษาข้อมูลที่ครอบคลุม เกิดกรณีข้อมูลหลุดออกไป บริษัทก็อาจจะได้รับโทษทางกฎหมาย โทษ PDPA และไม่ว่าจะเป็นการจัดเก็บในรูปแบบของกระดาษ หรือไฟล์เอกสารอิเล็กทรอนิกส์ เอกสารทั้งหมดนี้จะต้องผ่านการขอความยินยอม (Consent) ของพนักงานเท่านั้น ไม่ว่าจะเป็นผู้สมัครงาน พนักงานในองค์กร และรวมไปถึงพนักงานเก่าที่ลาออกหรือโดนไล่ออกด้วยเช่นกัน

HR สามารถแจ้งผ่านเอกสารซึ่งสามารถแบ่งออกได้มี 2 แบบดังนี้

  1. นโยบาย Recruitment  จะเป็นเอกสารที่เกี่ยวกับ ผู้สมัครงานโดยตรง หรือ บุคคลภายนอก ที่อยู่ระหว่างกระบวนการสรรหาและคัดเลือก ที่ยังไม่ได้เป็นพนักงานของบริษัทนั้นเอง เป็นนโยบายความเป็นส่วนตัวด้านการสรรหาและคัดเลือกบุคลากรธุรกิจที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้สมัครงาน เช่น ชื่อ-นามสกุล ประวัติการทำงาน ประวัติการศึกษา ประวัติสุขภาพ ไปจนถึงประวัติอาชญากรรม เพื่อใช้ในกระบวนการก่อนการพิจารณาจ้างงาน
  • วิธีดำเนินการของนโยบาย Recruitment
  • สื่อสารให้ผู้สมัครรับทราบประกาศนโยบายให้ชัดเจนฝ่าย HR จะต้องประกาศนโยบายข้อมูลส่วนบุคคลสำหรับการสรรหาทุกตำแหน่งงานที่เปิดรับ
  • ดำเนินการยินยอมในการเข้าถึงข้อมูลส่วนบุคคลของผู้สมัคร ผู้สมัครอ่านในนโยบายและ Consent Form ผ่านช่องทางที่บริษัทกำหนด
  • HR ตรวจสอบและแจ้งเตือนประมวลผลข้อมูลส่วนบุคคลในการพิจารณาของข้อมูลผู้สมัครที่ยินยอมเปิดเผยข้อมูลส่วนบุคคล และดำเนินการตามกระบวนการต่อไป
  • เมื่อเสร็จสิ้นการดำเนินตามกระบวนการ HR จะต้องแจ้งกำหนดวิธีวิการจัดเก็บ ตามขั้นตอนต่อไป
  1. นโยบาย HR  จะเป็นเอกสารที่เกี่ยวกับ พนักงานที่เป็นพนักงานปัจจุบันภายในองค์กร หรือ บุคคลที่ผ่านกระบวนการสรรหาและผ่านการคัดเลือกได้บรรจุเป็นพนักงานขององค์กรแล้ว นโยบายความเป็นส่วนตัวนี้จะเป็นเอกสารที่ออกโดยนายจ้างหรือบริษัทเพื่อแจ้งให้พนักงานทุกคนทราบว่าบริษัทมีการเก็บข้อมูลของพนักงานอะไรไปบ้าง เอาไปใช้เพื่ออะไร จะเก็บรักษาให้ปลอดภัยอย่างไร รวมไปถึงจะลบหรือทำลายข้อมูลเมื่อไหร่ และถ้าหากพนักงานเกิดมีข้อสงสัยในเรื่องของข้อมูลเหล่านี้สามารถติดต่อบุคคลใดได้บ้าง
  • สิ่งที่ต้องดำเนินการของนโยบาย HR  ที่เป็นเอกสารประกาศแจ้งในการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อให้พนักงานอ่านและทำความเข้าใจ ใน
  • ขอบเขตของประกาศ
  • การเคารพสิทธิในความเป็นส่วนตัวบุคคล
  • ผู้ควบคุมข้อมูลส่วนบุคคล [ระบุช่องทางติดต่อ]
  • วิธีการเก็บรวบรวมข้อมูล
  • รายการข้อมูลส่วนบุคคล วัตถุประสงค์และระยะเวลาในการเก็บข้อมูล
  • หน่วยงานที่ข้อมูลอาจถูกเปิดเผย
  • สิทธิของเจ้าของข้อมูลส่วนบุคคล
  • รูปแบบวิธีดำเนินการของนโยบาย HR
  • สื่อสารให้พนักงานเตรียมพร้อมมีการกำหนดวันให้ชัดเจน HR แจ้งให้พนักงานผ่านช่องทาง Email หรือระบบอิเล็กทรอนิกส์
  • ดำเนินการระหว่างวันที่ ถึง วันที่ พนักงาน อ่านทำความเข้าในใจนโยบายและ Consent Form กลับมา
  • ตรวจสอบและแจ้งเตือนระหว่างวันที่ ถึง วันที่  HR ตรวจสอบและแจ้งเตือนพนักงานที่ยังไม่ได้ดำเนินการ
  • เสร็จสิ้นกำหนดวันให้ชัดเจน พนักงาน ดำเนินการตามวันที่กำหนด

การทำนโยบายกับการขอความยินยอม (Consent)

          ดังนั้น บริษัทจะขอความยินยอมเฉพาะกรณีเพื่อขอความยินยอมจากพนักงานในการขอเก็บรวบรวมและใช้ รวมทั้งขอเปิดเผยให้บริษัทในเครือฯ ไม่ว่าจะเป็น ข้อมูลศาสนา, ข้อมูลสุขภาพ, รหัสพนักงาน, เบอร์โทรศัพท์และอีเมล

  • ผ่านการได้รับความยินยอมก่อน หรือขณะเก็บรวบรวมข้อมูล
  • จัดทำโดยชัดแจ้งเป็นหนังสือหรือระบบอิเล็กทรอนิกส์
  • ความเป็นอิสระในการให้ความยินยอม
  • ถอนความยินยอมเมื่อไหร่ก็ได้ (ยกเว้นแต่มีข้กฎหมายกำหนด)
  • มีการแจ้งวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • ต้องแยกส่วน ใช้ภาษาที่อ่านง่ายและไม่เป็นการหลอกลวง

“ พนักงานต้องให้ความยินยอมบริษัทจึงจะสามารถ เก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลได้ ”

บริษัทสามารถแจ้ง Privacy Policy ให้พนักงานทราบได้อย่างไรบ้าง?

การแจ้งให้ทราบสามารถทำได้หลายวิธี เลือกใช้งานได้ตามความเหมาะสมดังนี้

  • ส่งอีเมลหาพนักงานทุกคน
  • ปิดประกาศถึงนโยบายภายในสำนักงาน ในตำแหน่งที่พนักงานทุกคนเห็นได้ชัด
  • รวมไว้เป็นส่วนหนึ่งในสัญญาจ้างงานของพนักงาน

ข้อมูลอ้างอิงจาก

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม

Thailand Data Protection Guidelines 3.0

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR     คลิ๊ก!!!

“Consent” พื้นฐานที่ HR ต้องรู้ ? 

"CONSENT " พื้นฐานที่ HR ต้องรู้ ?

” CONSENT ” พื้นฐานที่ HR ต้องรู้ ? วันนี้ Trust vision เรามีข้อแนะนำให้ค่ะ โดยปกติแล้วทีม HR จะได้รับหน้าที่ในการออกนโยบายสำหรับพนักงานใหม่ (Employee Policy) ซึ่งควรมีข้อกำหนดที่ครอบคลุมในการใช้ข้อมูลส่วนบุคคล ที่เป็นไปตามวัตถุประสงค์ที่ชัดเจน ซึ่งเราจะเรียกว่า เอกสารขอความยินยอม หรือ Consent ตามพระราชบัญญัติ พ.ร.บ.คุ้มครองข้อมูลส่วน คือข้อตกลงระหว่างเจ้าของข้อมูล (Data Subject) และองค์กร (Data Collector) เพื่อขออนุญาตการเก็บ เปิดเผย และประมวลผลข้อมูลส่วนบุคคล ซึ่งใจความของหนังสือขอความยินยอมจะต้องมีความชัดเจน ไม่คลุมเครือ และระบุกิจกรรมที่จำเป็นต้องขอจัดเก็บข้อมูลส่วนบุคคลไปใช้ในกิจกรรมใด โดยมีเนื้อหาสำคัญที่ต้องระบุดังนี้

เนื้อหาของ หนังสือขอความยินยอม มีอะไรบ้าง

  1. ชื่อองค์กรที่ต้องการขอความยินยอมในการประมวลผลข้อมูล
  2. วัตถุประสงค์ในการประมวลผลข้อมูล
  3. ประเภทของข้อมูลส่วนบุคคลที่จะดำเนินการ 
  4. ระยะเวลาในการเก็บข้อมูลส่วนบุคคล
  5. Data Subject Right หรือช่องทางการเพิกถอนความยินยอมสามรถติดต่อได้ทั้งช่องทาง online และ offline เพื่อให้พนักงานรับทราบ

กิจกรรมที่ต้องขอ "ความยินยอม" พื้นฐานที่ HR ต้องรู้

การเก็บรอยนิ้วมือ และ ข้อมูลสุขภาพของพนักงาน

เมื่อองค์กรรับพนักงานใหม่เข้ามาทำงาน หรือเป็นพนักงานเก่าขององค์กร หลาย ๆ องค์กรจำเป็นต้องขอจัดเก็บข้อมูลลายนิ้วมือ หรือ การแสกนใบหน้าเพื่อให้พนักงานสามารถเช็คอินเข้าทำงาน หรือ เช็คเอ้าท์ออกหลังเลิกงานได้ รวมถึงข้อมูลสุขภาพ ซึ่งข้อมูลเหล่านั้นตามกกฎหมาย PDPA จัดอยู่ในประเภทข้อมูลส่วนบุคคลอ่อนไหว ซึ่งองค์กรควรจะมีการขอความยินยอมกับพนักงานอีกครั้งว่า เพื่อให้พนักงานรับทราบว่าฝ่าย HR จะเอาข้อมูลส่วนบุคคลอ่อนไหวไปใช้ในวัตถุประสงค์อะไร และ ใช้ไปเพื่ออะไรบ้าง และฝ่าย HR ควรมีทางเลือกให้สำหรับพนักงานที่ไม่สะดวกให้จัดเก็บข้อมูลส่วนบุคคลอ่อนไหวดังกล่าว ยังสามารถเช็คอินเข้าหรือเช็คเอ้าท์ออกบริษัทได้ เช่น การเซ็นชื่อกับหัวหน้าทีมของพนักงานคนนั้นทุกเช้า  หรือ ใช้เครื่องตักบัตรในการบันทึกเวลาเข้า-ออกงาน แทนการเก็บข้อมูลอ่อนไหว เนื่องจากข้อมูลเหล่านี้เป็นข้อมูลทางชีวภาพ (Biometric data) ที่เมื่อข้อมูลรั่วไหลไปแล้วอาจส่งผลกระทบต่อพนักงานได้ และ องค์กรเองก็จะโดนโทษปรับและโทษทางปกครอง

บันทึกกล้องวงจรปิด

องค์กรส่วนใหญ่มีการติดกล้องวงจรปิดเพื่อรักษาความปลอดภัย ให้กับพนักงาน ผู้มาติดต่อ รวมไปถึง ลูกค้า องค์กรจะต้องมีการร่างนโยบายแจ้งให้รับทราบว่ามีการติดต่อกล้องวงจรปิดเพื่อวัตถุประสงค์ใด ตัวอย่างเช่น มีผู้ติดต่อหรือผู้สมัคร เข้ามาภายในองค์กร ทางองค์กรก็สามารถนำประกาศไปติดไว้ตรงช่องรับบัตรหรือบริเวณจุดที่มีการติดตั้งกล้องวงจรปิดว่า ” บริเวณนี้มีการบันทึกกล้องวงจรปิดเพื่อความปลอดภัยตามนโยบายความปลอดภัยขององค์กรเป็นต้น “ ซึ่งอันนี้ก็เป็นรูปแบบประกาศเชิงนโยบายของการขอความยินยอม ที่จะต้องให้ทุกคนสามารถทำให้ผู้มาติดต่อหรือผู้สมัครเข้าถึงและรับรู้ได้อย่างชัดเจน เพราะฉะนั้นแล้ว พนักงาน ผู้มาติดต่อ หรือ ลูกค้า ได้เห็นประกาศนี้แล้ว พวกเขาได้เดินเข้ามาในสถานที่นั้นก็คือการที่พวกเขาได้ให้ ความยินยอม ในการเก็บรูปร่าง หน้าตา แล้วนั่นเอง

ส่งข้อมูลพนักงานให้กับบุคคลภายนอก

การส่งข้อมูลส่วนบุคคลของพนักงานหรือลูกค้าไปยังองค์กรภายนอก ตัวอย่างเช่นฝ่าย HR ได้ว่าจ้างองค์กรภายนอกในการทำระบบเงินเดือนให้กับพนักงาน ฝ่าย HR จะต้องจัดทำนโยบายชี้แจงให้กับพนักงานทราบว่ามีการจัดจ้างองค์กรภายนอกทำระบบเงินเดือนโดยระบุชื่อองค์กรผู้รับจ้างอย่างชัดเจน และระบุข้อมูลที่นำส่งไปประกอบด้วยข้อมูลอะไรบ้าง เพื่อให้พนักงานรับทราบและพิจารณาให้ความยินยอมในกิจกรรมดังกล่าวตั้งแต่วันเซ็นสัญญาจ้าง ในฐานะ Data Controller หรือผู้ควบคุมข้อมูล เมื่อองค์กรได้มีการส่งข้อมูลส่วนบุคคลไปให้องค์กรภายนอก ก็ควรที่จะมีการร่าง Processing Agreement หรือข้อตกลงการประมวลผล ระหว่าง 2 องค์กร เพื่อรับทราบถึงขอบเขตและวัตถุประสงค์ในกิจกรรมการใช้ข้อมูลอีกด้วย

ดังนั้น " หนังสือขอความยินยอม " จะมีบทบาทหน้าที่ที่สำคัญซึ่งจะช่วยให้องค์กรสร้างความน่าเชื่อถือต่อเจ้าของข้อมูลส่วนบุคคล (พนักงาน) เพื่อให้พนักงานรับทราบถึงมาตรการการรักษาความปลอดภัย จัดเก็บ เปิดเผย ส่งต่อข้อมูลส่วนบุคคล ว่าองค์กรนั้นได้ปฏิบัติตามมาตฐาน PDPA อย่างถูกต้องและสามารถตรวจสอบได้

สามารถอ่าน content ที่น่าสนใจเกี่ยวกับ PDPA ได้ที่ Data Processing Agreement หรือ สัญญา DPA คืออะไร? ทำไม HR อย่างเราต้องรู้

อ้างอิงข้อมูลจาก 5 กิจกรรมยอดฮิตที่องค์กรต้องขอ consent ตามกฎหมาย PDPA

PDPA for HR งานฝ่ายบุคคลฯ กับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

เพื่อน ๆ ชาว HR หลายคนคงได้ศึกษาตัวกฎหมาย PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) แบบคร่าว ๆ กันมาบ้างแล้ว และรู้สึกได้เหมือนกันว่างานฝ่ายทรัพยากรบุคคลที่เราทำอยู่ เกี่ยวข้องกับกฎหมายฉบับนี้เป็นอย่างมาก แถมกฎหมายฉบับนี้ยังเป็นสิ่งที่บังคับให้ทุกองค์กรต้องมีการทำตามอย่างหลีกเลี่ยงไม่ได้อีกด้วย จึงเป็นที่มาของ PDPA for HR ในบทความนี้

ว่ากันว่าภายในฝ่ายทรัพยากรบุคคลเป็นแหล่งรวบรวมเอกสารที่มีข้อมูลส่วนบุคคลของพนักงานปัจจุบัน และผู้ที่จะเข้ามาเป็นพนักงานในอนาคต ไม่ว่าจะเป็นใบสมัครงาน สำเนาเอกสารต่าง ๆ รวมถึง Resume และ Portfolio ฝ่าย HR หลายคนยังไม่รู้ว่า ถ้ากฎหมายฉบับนี้บังคับใช้ จะรับมืออย่างไรให้สอดคล้องกับกฎหมาย PDPA ซึ่งบทความนี้ ตอบคำถามคลายความกังวลได้แน่นอน

ทำไมต้องมีการทำ PDPA for HR ในองค์กร

เนื่องจากกฎหมาย PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) ได้กำหนดไว้ว่าทุกองค์กรที่ใช้ข้อมูลส่วนบุคคลในวัตถุประสงค์ต่าง ๆ ไม่ว่าจะได้มาจากคนในองค์กร หรือนอกองค์กร ต้องมีการจัดทำมาตรการรักษาความปลอดภัย หรือกำหนดนโยบายเกี่ยวกับการเก็บรวบรวม รักษา และนำข้อมูลส่วนบุคคลไปใช้อย่างเปิดเผยผ่านลายลักษณ์อักษรที่ชัดเจน ซึ่ง HR ผู้ดูแลข้อมูลส่วนบุคคลของทุกคนในองค์กร ก็ต้องปฏิบัติตามให้สอดคล้องกับกฎหมายฉบับนี้เช่นกัน

PDPA for HR ระบุไว้จะขอข้อมูลส่วนบุคคลใคร ต้องขอ Consent ก่อน

ตามกฎหมาย PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กล่าวเกี่ยวกับ Consent ไว้ว่า

“ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคล และพูดให้ชัดคือ องค์กรห้ามใช้ข้อมูลเรา หรือเปิดเผยข้อมูลโดยไม่ได้รับความยินยอมจากลูกค้า หรือเจ้าของข้อมูลก่อน”

ดังนั้นก่อนที่จะเริ่มเก็บรวบรวมข้อมูล เพื่อนำมาใช้ และเผยแพร่ ทางผู้ควบคุมข้อมูลที่เป็นเจ้าหน้าที่ฝ่ายทรัพยากรบุคคล ต้องมีการทำ Consent Management หรือการสร้างแบบขอความยินยอมเป็นลายลักษณ์อักษรชัดเจน พร้อมระบุวัตถุประสงค์ในการจัดเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล และระบุสิทธิ์ในการจัดการของผู้ให้ข้อมูลซึ่งในที่นี้ก็คือ พนักงาน หรือผู้สมัครงาน ดังนั้นการทำ Consent เป็นสิ่งที่ฝ่าย HR ต้องห้ามปล่อยปะละเลยเป็นอันขาด

ถ้าอยากศึกษาเรื่องนี้เพิ่มเติม สามารถเข้าดูได้ที่ Consent Management (ระบบบริหารจัดการข้อมูลส่วนบุคคล) และ  หน้าตาของ consent เป็นอย่างไร?

องค์กรทำ ROP เพื่อสอดคล้อง PDPA ฉันใด PDPA for HR ก็ต้องทำ ROP ด้วยฉันนั้น

ฝ่าย HR เมื่อได้รับข้อมูลส่วนบุคคล ไม่ว่าจากพนักงานในองค์กรก็ดี หรือจากผู้สมัครก็ตาม ต้องมีการทำ ROP (Record of Processing Activity) หรือที่ภาษาไทยเรียกกันว่า “การบันทึกรายการประมวลผลข้อมูล” ซึ่งการทำ ROP นี้ต้องครอบคลุมตั้งแต่กระบวนการสำรวจข้อมูล ไปจนถึงการส่งต่อข้อมูลส่วนบุคคล นอกจากนี้ทางฝ่าย HR ต้องแยกประเภท และระบุได้ว่าข้อมูลส่วนบุคคลในแต่ละหมวดมีอะไรบ้าง ถูกจัดเก็บไว้ที่ใด พร้อมมอบหมายให้ใครดูแล หรือมีสิทธิ์เข้าถึงข้อมูลส่วนบุคคลนี้บ้าง  

รายละเอียดเกี่ยวกับ RoP สามารถศึกษาเพิ่มเติมได้ที่  RoP Records of Processing Activity คืออะไร

สิทธิ์ของผู้ให้ข้อมูลส่วนบุคคลนั้นยิ่งใหญ่

มาตรา 30 ในกฎหมาย PDPA ได้กล่าวถึงสิทธิ์ของผู้ให้ข้อมูลไว้ว่า

“เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม”

ซึ่งสามารถสรุปใจความแบบเข้าใจง่าย ๆ ได้ว่า

“ผู้ให้ข้อมูลมีสิทธิ์ในการเรียกดู แก้ไข เคลื่อนย้าย ระงับ คัดค้าน ข้อมูลส่วนบุคคลของตน และผู้ควบคุมข้อมูลจะต้องให้สิทธิ์แก่เจ้าของข้อมูลอีกด้วย”

โดยในเชิง PDPA for HR ฝ่ายทรัพยากรบุคคลต้องสามารถบอกพนักงานได้ว่า ข้อมูลส่วนบุคคลที่เก็บรวบรวมไปนั้นมีวัตถุประสงค์อย่างไร เก็บอะไรไปบ้าง และนำไปจัดเก็บไว้ที่ไหน ซึ่งทางฝ่ายบุคคลฯ ต้องทำการจัดเก็บข้อมูลในส่วนนี้อย่างเป็นระบบ และบอกกล่าวให้ทุกคนในแผนก หรือผู้มีสิทธิ์ดูแลข้อมูลส่วนบุคคลได้รับรู้เกี่ยวกับเรื่องนี้

นอกจากนี้ฝ่าย HR จะต้องให้ความร่วมมือแก่พนักงานที่ขอสิทธิ์ในการแก้ไข ลบ จำกัด ถ่ายโอน คัดค้านข้อมูลส่วนบุคคลที่ทางฝ่ายทรัพยากรบุคคลได้จัดเก็บไว้ ในส่วนการขอถอนความยินยอม พนักงานก็มีสิทธิ์ในการขอถอน Consent ได้เช่นกัน แต่ทางฝ่าย HR สามารถปฏิเสธในส่วนนี้ได้ ถ้าแจ้งเหตุผลว่าใช้ข้อมูลส่วนบุคคลนั้นเพื่อเกี่ยสุขภาพของพนักงาน หรือสิทธิประโยชน์จากบริษัท

อ่านสรุป มาตรา 30 ของพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล แบบเข้าใจง่าย เพิ่มเติมได้ที่ สิทธิของเจ้าของข้อมูล (Data Subject Right)

ถึงเป็นสาย Recruiter ก็ต้องรู้

หน้าที่ของฝ่าย HR นอกเหนือจากดูแลความเรียบร้อยของพนักงานแล้ว ยังต้องมีการคัดเลือกผู้สมัครที่จะมาเป็นส่วนหนึ่งขององค์กรในอนาคต สิ่งที่ต้องคำนึงสำหรับคนที่มาสายงาน Recruit ก็คือการรักษาข้อมูลส่วนบุคคลของผู้สมัคร ทั้งข้อมูลส่วนบุคคลทั่วไป และข้อมูลส่วนบุคคลอ่อนไหวที่ได้มาจากใบสมัคร, Resume และ Portfolio นอกจากนี้กระบวนการเก็บข้อมูลจากใบสมัครทางฝั่ง HR ต้องมีการทำ Consent เป็นลายลักษณ์อักษรอย่างชัดเจน

โดยหลายคนอาจจะสงสัยว่าใบสมัครของผู้ที่ไม่ผ่านการคัดเลือกทาง Recruiter ต้องจัดการอย่างไร ?  คำตอบก็คือ 

“สำหรับเอกสารผู้สมัครงานที่ไม่ผ่านการคัดเลือก ทาง HR ต้องทำลายเอกสาร และประวัติสมัครงานทันที!! หลังประกาศผล เพื่อความปลอดภัย และถูกต้องตามกฎหมาย PDPA”

อ่านถึงตรงนี้แล้ว ถ้าคุณยังเก็บใบสมัครของผู้ที่ไม่ผ่านการคัดเลือกไว้ ทางเราแนะนำให้คุณทำลายเอกสารนั้นแบบไม่ต้องเผื่อรีไซเคิล เพราะถ้าข้อมูลส่วนบุคคลรั่วไหลไป เข้าข่ายผิดกฎหมาย PDPA แน่นอน!!

ถ้าใครอยากรู้ว่าข้อมูลส่วนบุคคลทั่วไป และข้อมูลส่วนบุคคลอ่อนไหว คืออะไร? หาคำตอบได้ในบทความ  PDPA เก็บข้อมูลอย่างไร? ให้ปลอดภัย

สาย HR Development ก็ต้องรู้เหมือนกัน

กฎหมาย PDPA (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ได้ระบุไว้ในประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๓ ข้อ 4 ความว่า

“ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามประกาศนี้ ให้แก่บุคลากร พนักงาน ลูกจ้างหรือบุคคลที่เกี่ยวข้องทราบ รวมถึงสร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้กับกลุ่มบุคคลดังกล่าว ปฏิบัติตามมาตรการที่กาหนดอย่างเคร่งครัด”

ซึ่งจากข้อกฎหมายดังกล่าว สรุปใจความง่าย ๆ ก็คือ

“องค์กรที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล ต้องมีการอบรม PDPA Awareness ให้แก่พนักงานทุกภาคส่วนในบริษัท”

ในฐานะที่ฝ่าย HR เป็นผู้ดูแลเกี่ยวกับการพัฒนาความรู้ และทักษะของพนักงานในองค์กร การสร้างความตระหนักในข้อมูลส่วนบุคคลก็เป็นเรื่องที่ทุกองค์กรต้องปฏิบัติให้สอดคล้องกับกฎหมาย PDPA นอกจากนี้การสร้างความตระหนักทางความปลอดภัยด้านไซเบอร์ก็เป็นสิ่งที่ต้องทำควบคู่กันไปด้วยเพื่อให้พนักงานในองค์กรทันต่อภัยไซเบอร์ที่จะเข้ามาคุกคามล้วงความลับองค์กร และเห็นความสำคัญของข้อมูลส่วนบุคคล 

สรุป

จากบทความทั้งหมดที่กล่าวมาเห็นได้ชัดเลยว่ากฎหมาย PDPA (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ที่จะบังคับใช้ในอีก 2 เดือนข้างหน้า (1 มิถุนายน 2565) นั้นมีความเกี่ยวข้องกับฝ่ายทรัพยากรบุคคล (HR) เป็นอย่างมาก เพราะเป็นแผนกสำคัญที่ทำงานอยู่กับข้อมูลส่วนบุคคลจำนวนมาก ดังนั้นองค์กรของเราควรเริ่มดำเนินการตามนโยบาย และการปฏิบัติให้สอดคล้องตามข้อบังคับของกฎหมายต่อไป

หากบทความนี้เป็นประโยชน์แก่คุณ อย่าลืมส่งต่อสิ่งดี ๆ แบบนี้ให้กับคนที่คุณรู้จัก และสามารถติดตามบทความอื่น ๆ หรือสาระน่ารู้ที่จะช่วยพัฒนางาน HR ของคุณให้มีประสิทธิภาพได้ที่  trust-vision.co

PDPA จะไม่ใช่เรื่องยากสำหรับชาว HR อีกต่อไป

PDPA จะไม่ใช่เรื่องยาก
สำหรับชาว HR อีกต่อไป