สิ่งที่ HR ต้องรู้และเข้าใจเกี่ยวกับ PDPA

July 07, 2021

สิ่งที่ HR ต้องรู้และเข้าใจเกี่ยวกับ PDPA

กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้ธุรกิจและองค์กรมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ซึ่งมีหน้าที่ต่อเจ้าของข้อมูลส่วนบุคคล ซึ่งอาจเป็นลูกค้า พนักงานในองค์กร หรือคู่ค้า ที่ภาคธุรกิจจัดเก็บข้อมูลส่วนบุคคลไว้ และนำข้อมูลส่วนบุคคลที่ขอความยินยอม (Consent) จากเจ้าของข้อมูลไปใช้ ตัวอย่างเช่น หากภาคธุรกิจเป็นเว็บไซต์ขายของออนไลน์ ก็จะต้องขอข้อมูลทั้งชื่อ ที่อยู่ เบอร์โทรศัพท์ ข้อมูลการจ่ายเงิน ของลูกค้าที่ต้องการสั่งซื้อของและจัดส่งสินค้าไปยังที่อยู่ของเจ้าของข้อมูล

PDPA กำหนดว่าเมื่อธุรกิจได้ข้อมูลมาแล้ว ก็ต้องจัดให้มีมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคล (Data security) ด้วย ซึ่งแน่นอนว่าแทบทุกแผนกในองค์กรทั้งแผนก IT กฎหมาย HR ฝ่ายขาย ฝ่ายการตลาด ฝ่าย Customer Service ฝ่ายการเงินการบัญชี ก็มีการใช้ เก็บรวบรวมหรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้า พนักงานบริษัท บริษัทคู่ค้า (vendor) บริษัทที่ได้รับการว่าจ้าง (outsource) ผู้เข้าร่วมสัมมนา ผู้สมัครงาน อย่างแน่นอน ดังนั้น บุคลากรแต่ละฝ่ายจึงจำเป็นต้องมีความรู้ความเข้าใจ PDPA โดยเฉพาะแผนก HR ที่เป็นแผนกสำคัญในการจัด training ให้กับพนักงานจะต้องมีความรู้ด้าน PDPA ผ่านการอบรมหลักสูตร PDPA สำหรับ HR เพื่อให้ทุกฝ่ายปฏิบัติตามกฎหมายได้อย่างถูกต้อง

บทบาท HR กับ PDPA

แผนกบุคคล หรือ HR มีหน้าที่ในการบริหารทรัพยากรบุคคลที่หลากหลาย ตั้งแต่การสรรหาคัดเลือกบุคลากร การว่าจ้าง การเบิกจ่ายค่าจ้างเงินเดือน ดูแลสวัสดิการบุคลากร ทำให้พนักงานในแผนก HR ต้องบริหารจัดการข้อมูลส่วนบุคคลของทั้งบุคคลที่สมัครงานกับบริษัทและของพนักงานในบริษัท แผนก HR จึงควรได้รับ PDPA training สำหรับ HR เพื่อจัดการฝึกอบรมให้กับพนักงานต่อไป โดยตัวอย่างงานที่แผนก HR มีส่วนเกี่ยวข้องกับ PDPA มีดังนี้

การฝึกอบรม

HR มักเป็นแผนกที่จัดการฝึกอบรม PDPA training เพื่อสร้าง Awareness ให้กับพนักงานในองค์กรผ่านการอบรม PDPA ทำให้บุคลากรรู้ถึงหน้าที่ในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลตามหน้าที่ที่ได้รับมอบหมาย อีกทั้งมีความเข้าใจในความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่องค์กรได้ประมวลผล จัดเก็บหรือโอนข้อมูลในองค์กร และร่วมมือร่วมใจปฏิบัติตาม PDPA โดยใช้การสัมมนา หรืออบรมรูปแบบ E-Learning ก็จะช่วยให้พนักงานปฏิบัติตาม PDPA ได้ ซึ่งถ้าพนักงานปฏิบัติตามนโยบายบริษัทจะช่วยลดความเสี่ยงจากการที่ข้อมูลส่วนบุคคลในองค์กรรั่วไหลหรือถูกผู้ไม่ประสงค์ดีนำไปใช้ ก็จะช่วยลดโอกาสที่บริษัทต้องสูญเสียทรัพยากรหรือทรัพย์สินไปจากการเป็นคดีความ อีกทั้งยังทำให้ภาคธุรกิจมีความน่าเชื่อถือในการประกอบธุรกิจอีกด้วย

การรับสมัครงาน

แผนกบุคคลต้องขอความยินยอมเพื่อจัดเก็บหรือใช้ข้อมูลของผู้สมัครงานตาม PDPA เสมอ อาจใช้วิธีการแจ้งผู้สมัครผ่านใบรับสมัครงานหรือช่องทางการติดต่อสำหรับยื่น Resume ซึ่งรายละเอียดการแจ้งครอบคลุมถึงการตรวจสอบข้อมูลเอกสารก่อนการจ้างงาน โดยควรรวบรวมข้อมูลส่วนบุคคลของผู้สมัครงานตามวัตถุประสงค์ที่แจ้งไว้อย่างชัดเจนและเท่าที่จำเป็น

การบริหารทรัพยากรบุคคล

ในส่วนนี้จะมีการจัดเก็บข้อมูลทั้ง ชื่อ นามสกุล ที่อยู่ ประวัติของพนักงานตั้งแต่ระดับปฏิบัติการไปจนถึงระดับผู้บริหาร การจัดการข้อมูลส่วนบุคคลของพนักงานตาม PDPA ส่วนใหญ่จะใช้การดำเนินการผ่านสัญญาจ้างงาน ซึ่งจะแจ้งรายละเอียดการขอเก็บข้อมูลว่าจะมีการเก็บรวบรวมข้อมูลในรูปแบบใด ระยะเวลาเท่าใด ข้อมูลส่วนบุคคลส่วนใดบ้างที่สามารถใช้กับบริษัทในเครือได้ ถ้ามีการขอเก็บข้อมูลส่วนบุคคลเพิ่มเติมก็จะต้องขอความยินยอมและแจ้งวัตถุประสงค์ให้อย่างชัดเจน อาจใช้วิธีการเวียนแจ้งผ่านทางอีเมลหรือแบบฟอร์มก็ได้ ส่วนการปฏิบัติตามสิทธิ PDPA ของพนักงานในองค์กร เช่น การขอแก้ไขเปลี่ยนแปลงข้อมูลส่วนบุคคล การขอทำสำเนาข้อมูลส่วนบุคคล แผนก HR ก็จะต้องเป็นผู้ดำเนินการให้กับพนักงานตามสิทธินั้น

นอกจากนี้ยังมีการจัดการข้อมูลส่วนบุคคลตาม PDPA ด้านอื่นๆ ทั้งการจัดเก็บข้อมูลสุขภาพเพื่อลางานตามกฎหมายแรงงานหรือเพื่อเบิกจ่ายค่ารักษาพยาบาลตามสิทธิประกันสังคม การจัดเก็บลายนิ้วมือเพื่อสแกนเวลาเข้าทำงาน ซึ่งในทางปฏิบัติสามารถทำได้ตาม PDPA แต่ก็ควรจัดเก็บข้อมูลส่วนบุคคลของพนักงานเท่าที่จำเป็นและมีระบบจัดเก็บข้อมูลส่วนบุคคลให้ปลอดภัยตามมาตรฐาน

สิ่งที่ต้องทำ และผลกระทบ

จะเห็นได้ว่า HR เป็นแผนกสำคัญที่อยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตามกฎหมาย PDPA โดยมีหน้าที่รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของทั้งพนักงานในองค์กรและผู้สมัครงาน ก่อนที่พนักงานในบริษัทจะปฏิบัติตาม PDPA ได้นั้น แผนก HR จะต้องผ่านอบรมหลักสูตร PDPA สำหรับ HR มาก่อน เนื่องจากการบริหารจัดการข้อมูลส่วนบุคคลของ HR มีหลายมิติ และใช้ฐานกฎหมายเพื่อประมวลผลข้อมูลส่วนบุคคลแตกต่างกัน

นอกจากการสร้าง Privacy Awareness ให้กับพนักงานในองค์กรแล้ว หลักสูตร PDPA training สำหรับ HR จะช่วยให้ HR มีความรู้เกี่ยวกับ PDPA ตามลักษณะงานได้อย่างเฉพาะเจาะจงมากยิ่งขึ้น ซึ่งการบริหารจัดการข้อมูลส่วนบุคคลของ HR แตกต่างจากแผนกอื่นที่ไม่ได้เน้นการจัดการข้อมูลส่วนบุคคลของลูกค้า แต่เน้นการจัดการข้อมูลส่วนบุคคลของพนักงานในองค์กรและผู้สมัครงานเป็นหลัก และยังเป็นแผนกหลักที่เป็นผู้จัดอบรมหรือสัมมนาด้าน PDPA ให้กับพนักงานในบริษัทอีกด้วย

HR จะต้องเรียนรู้เกี่ยวกับ PDPA และดำเนินการให้สอดคล้องกับตัวบทกฎหมาย เนื่องจากเป็นผู้กำหนดนโยบายเกี่ยวกับการจัดเก็บรวบรวม และรักษาเอกสารข้อมูลส่วนบุคคลของพนักงาน โดยเฉพาะข้อมูลส่วนบุคคลที่อ่อนไหว เช่น ประวัติสุขภาพ เชื้อชาติ ข้อมูลประกันสังคม รวมถึงข้อมูลทางชีวมิติ (face ID, ลายนิ้วมือ) ให้มีความปลอดภัยตามมาตรฐานการจัดเก็บข้อมูล ดังนั้น HR จำเป็นต้องมีความรู้จากการอบรม PDPA ผ่านหลักสูตร PDPA training สำหรับ HR ที่ถูกออกแบบโดยผู้เชี่ยวชาญ PDPA ซึ่งสามารถเรียนผ่านคอร์สออนไลน์ที่ช่วยให้เตรียมพร้อมกับ PDPA ที่จะเริ่มใช้บังคับเต็มรูปแบบในอีก 1 ปีข้างหน้าได้อย่างถูกต้องแน่นอน

ให้คำปรึกษาและดำเนินการ

ให้ธุรกิจของคุณ สอดคล้องกับ PDPA

ดูข้อมูลเพิ่มเติม