วิธีรับมือ พรบ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ที่ HR ทุกบริษัทต้องรู้

                       PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายใหม่ที่เรียกได้ว่ามีผลกระทบต่อทุก ๆ องค์กร โดยเฉพาะฝ่ายทรัพยากรบุคคล หรือ HR ทุกบริษัท เนื่องจากมีแนวโน้มเป็นหน่วยงานที่มีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล มากที่สุดในองค์กร เพราะต้องบริหารจัดการข้อมูลทั้งของพนักงานภายใน รวมถึงข้อมูลของผู้สมัครงาน และพนักงานที่ออกจากจากองค์กรไปแล้ว

ตัวอย่างข้อมูลส่วนบุคคลที่ HR ต้องเจอ

• ชื่อ นามสกุล ที่อยู่ รายละเอียดติดต่อ ของพนักงาน ตั้งแต่ระดับปฏิบัติการจนถึงระดับบริหาร
• Resume หรือ CV ของผู้สมัครงานที่ยื่นเข้ามายังองค์กร
• บันทึกประวัติการทำงานของผู้ที่ออกจากองค์กรไปแล้ว (อาจย้ายงาน ลาออก หรือถูกไล่ออก) เก็บรักษาไว้เป็นฐานข้อมูลในกรณีมีการสอบถามเข้ามาจากองค์กรสังกัดใหม่ของพนักงาน
• ข้อมูลติดต่อประสานงานวิทยากรจากภายนอกสำหรับงานฝึกอบรม

                       สำหรับบริษัทใหญ่ ๆ อาจมีงบประมาณในการจ้างที่ปรึกษา ผู้เชี่ยวชาญ หรือบริการบริหารจัดการ เข้ามาช่วยจัดการวางระบบ Flow ของข้อมูล ตลอดจนการ Storage ให้สอดคล้องกับ PDPA และมีความปลอดภัยสูงสุด แต่สำหรับองค์กรเล็ก ๆ SMEs หรือบริษัทที่เพิ่งตั้งตัวอาจมีงบประมาณไม่มาก ผู้บริหารตลอดจนเจ้าหน้าที่ฝ่าย HR จึงจำเป็นต้องเรียนรู้เกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และดำเนินงานขององค์กรให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลด้วยตนเอง

HR ทุกบริษัท ควรคำนึงถึงจุดใดบ้าง เพื่อดำเนินการตาม PDPA?

                       สำหรับชาว HR ต้องคำนึงว่าข้อมูลในมือของพวกคุณมีโอกาสเป็นข้อมูลส่วนบุคคลได้เสมอ และข้อมูลเหล่านี้ล้วนอยู่ภายใต้การคุ้มครองจาก PDPA (และกฎหมายอย่าง GDPR รวมถึงกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับอื่น ๆ หากมีการโอนถ่ายข้อมูลจากหรือไปยังองค์กรในต่างประเทศ) จึงจำเป็นต้องมีนโยบายเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูล ที่เขียนไว้เป็นลายลักษณ์อักษรอย่างชัดเจน โดยมีตัวอย่างแนวทางการปฏิบัติงานของฝ่ายทรัพยากรบุคคลภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ที่คุณอาจนำไปปรับใช้ได้ ดังนี้

• ก่อนการเก็บรวบรวมข้อมูลส่วนบุคคล HR ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล แม้เรซูเม่/ประวัติโดยย่อของบุคคลจะถูกส่งมาจากผู้สมัครงานโดยตรง ซึ่งอาจตีความได้ว่าเป็นการให้ความยินยอมแล้ว แต่ยังคงต้องมีการแจ้งและให้ยอมรับเกี่ยวกับการเก็บรักษาข้อมูลนั้นเอาไว้เป็นฐานข้อมูลในกรณีที่การสมัครงานไม่ผ่านตามที่คาดหวัง และไม่เก็บข้อมูลนั้นไว้เกินระยะเวลาที่ระบุตามนโยบายการประมวลผลข้อมูลขององค์กร
• ฝ่ายบุคคลยังไม่ควรขอข้อมูลบัตรประชาชนจากผู้สมัครงาน ไม่ว่าจะเป็นตัวจริงหรือสำเนา จนกระทั่งผ่านกระบวนการพิจารณาและได้ตำแหน่งงานในบริษัทอย่างเป็นทางการ
• เรซูเม่/ประวัติของผู้ที่ไม่ผ่านการสมัครงานควรถูกเก็บรักษาเอาไว้แค่เพียงระยะสั้น ๆ และควรมีขั้นตอนในการทำลายข้อมูลนั้นอย่างปลอดภัย
• ก่อนมีการส่งต่อข้อมูลของผู้สมัครงานเพื่อพิจารณาในตำแหน่งงานอื่น ๆ นอกเหนือจากตำแหน่งที่ผู้สมัครงานระบุว่ามีความประสงค์ จะต้องมีการขอความยินยอมเสียก่อน โดย HR ควรแจ้งในประกาศรับสมัครงานว่าทางบริษัทจะมีการส่งต่อข้อมูลของบุคคลสำหรับการพิจารณาตำแหน่งงานอื่น ๆ ที่เกี่ยวข้องให้กับผู้สมัครงานด้วย ตาม PDPA คุณจะต้องเขียนข้อความเพื่อขอความยินยอมในส่วนนี้แยกออกมาจากส่วนอื่นให้ชัดแจ้ง และอาจให้ผู้สมัครงานเซ็นต์ยอมรับในจุดนี้แยกอีกครั้งหนึ่งด้วย
• ฝ่ายบุคคลต้องมีนโยบายเกี่ยวกับการเก็บรักษา และมาตรการทำลายข้อมูลส่วนบุคคลของอดีตบุคลากรที่ชัดเจน
• หากบริษัทหรือองค์กรของคุณมีความจำเป็นในการคอยตรวจสอบ/สังเกตการณ์การทำงานของบุคลากรผ่านอีเมล์ การใช้งานคอมพิวเตอร์ และโทรศัพท์ กรณีดังกล่าวจะต้องมีการแจ้งให้บุคลากรผู้เป็นเจ้าของข้อมูลรับทราบ พร้อมระบุถึงเหตุผลของการดำเนินการดังกล่าว

                      และนี่เป็นเพียงส่วนหนึ่งของแนวทางการปฏิบัติงานที่ฝ่ายทรัพยากรบุคคลต้องดำเนินการภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) โดยทางผู้เขียนเชื่อว่าการคุ้มครองข้อมูลส่วนบุคคลต้องใช้ระยะเวลาในการวางแผนและดำเนินการ เพราะ HR เป็นแผนกหนึ่งในบริษัท/องค์กรที่มีอำนาจหน้าที่เกี่ยวข้องกับข้อมูลส่วนบุคคลมากที่สุด ไม่ว่าจะเป็นระดับ Manager หรือระดับปฏิบัติการทั่วไป จึงต้องเตรียมตัวให้พร้อมตั้งแต่เนิ่น ๆ เพื่อไม่เกิดปัญหา  และหากองค์กรของยังไม่ปรับตัวรับมือกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลอาจมีความผิด เสียใจ เสียทรัพย์ และอาจถูกตัดสินจำคุกได้หากเกิดการละเมิดของข้อมูลภายใต้ความดูแลได้เลย

สามารถอ่านบทความน่าสนใจอื่นๆได้ ที่นี่ คลิ๊ก!!

ที่มา : https://pdpa.online.th/content/8946/