วิธีรับมือ พรบ.คุ้มครองข้อมูลส่วนบุคคลที่ HR ทุกบริษัทต้องรู้!

วิธีรับมือ พรบ.คุ้มครองข้อมูลส่วนบุคคลที่ HR ทุกบริษัทต้องรู้! 1

พรบ.คุ้มครองข้อมูลส่วนบุคคล หรือ  PDPA เป็นกฎหมายใหม่ที่บัญญัติขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคล ทั้งการรวบรวม การใช้ การประมวลผลและการเปิดเผย ซึ่งส่งผลกระทบต่อทุกองค์กรโดยเฉพาะฝ่ายบุคคล หรือ Hr ซึ่งเป็นแผนกที่เข้าถึงข้อมูลส่วนบุคคลมากที่สุดในองค์กร ทั้งรวบรวมข้อมูลพนักงานและผู้สมัครงาน การนำไปใช้หรือส่งต่อให้แผนกอื่นหรือบริษัทอื่นๆ จำเป็นที่จะต้องมีขอบเขตเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลเหล่านั้น

แล้วข้อมูลส่วนบุคคลอะไรบ้างที่ HR ต้องเจอ

  • ชื่อ นามสกุล ที่อยู่ รายละเอียดติดต่อ ของพนักงาน ตั้งแต่ระดับปฎิบัติการจนถึงระดับบริหาร
  • Resume หรือ CV ของผู้สมัครงานที่ยื่นเข้ามายังองค์กร
  • บันทึกประวัติการทำงานของผู้ที่ออกจากองค์กรไปแล้ว (อาจย้ายงาน ลาออก หรือถูกไล่ออก) เก็บรักษาไว้เป็นฐานข้อมูลในกรณีมีการสอบถามเข้ามาจากองค์กรสังกัดใหม่ของพนักงาน
  • ข้อมูลติดต่อประสานงานวิทยากรจากภายนอกสำหรับงานฝึกอบรม

จะเห็นได้ว่าข้อมูลเหล่านี้ล้วนเป็นข้อมูลที่สามารถระบุตัวตนเจ้าของข้อมูลได้อย่างชัดเจน และเป็นข้อมูลที่อยู่ภายใต้การคุ้มครองของ PDPA ดังนั้น HR ของทุกๆองค์กรควรรู้ถึงนโยบายการเก็บรวบรวม การใช้ ประมวลผลและการเปิดเผยข้อมูลส่วนบุคคลเหล่านี้ เพื่อป้องกันข้อมูลรั่วไหลหรือการถูกโจรกรรมข้อมูล รวมถึงเป็นการปกป้องสิทธิ์ของเจ้าของข้อมูลและลดความเสียหายที่จะเกิดขึ้นกับองค์กร

วิธีรับมือ พรบ.คุ้มครองข้อมูลส่วนบุคคลที่ HR ทุกบริษัทต้องรู้! 2

HR ควรเตรียมตัวและรับมือกับ พรบ.คุ้มครองข้อมูลส่วนบุคคล 2564 อย่างไรบ้าง?

  • ทาง HR ควรแจ้งให้เจ้าของข้อมูลทราบถึงแหล่งที่มาของการรวบรวมข้อมูลส่วนบุคคล เช่น Resume หรือ CV ว่าได้มาจากแหล่งไหนถ้าไม่ได้ส่งมาจากเจ้าของข้อมูลโดยตรง กำหนดระยะเวลาที่เก็บข้อมูลไว้ รวมถึงการใช้และการเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูลอย่างชัดเจนทุกขั้นตอน
  • ฝ่ายบุคคลยังไม่ควรขอข้อมูลบัตรประชาชนจากผู้สมัครงาน ไม่ว่าจะเป็นตัวจริงหรือสำเนา จนกระทั่งผ่านกระบวนการพิจารณาและได้ตำแหน่งงานในบริษัทอย่างเป็นทางการ
  • HR ควรแจ้งในใบประกาศรับสมัครงานว่าทางบริษัทจะมีการส่งต่อข้อมูลให้บริษัทอื่นเพื่อพิจารณาในตำแหน่งงานอื่นที่เกี่ยวข้อง หากผู้สมัครที่ไม่ผ่านเกณฑ์การคัดเลือกในตำแหน่งที่ผู้สมัครระบุมา และต้องเขียนข้อความเป็นลายลักษณ์อักษรตามหลัก PDPA เพื่อให้ผู้สมัครเซ็นรับความยินยอมก่อนนำข้อมูลไปส่งต่อ
  • Resume/CV ของผู้ที่ไม่ผ่านการสมัครงานควรถูกเก็บไว้เพียงระยะสั้นๆ และควรมีขั้นตอนการทำลายข้อมูลนั้นอย่างปลอดภัย
  • ทำเช็กลิสต์แยกประเภทของข้อมูลส่วนบุคคล ว่าข้อมูลจัดเก็บอยู่ที่ไหนบ้าง มีอะไรบ้าง มีการขออนุญาตหรือไม่ และถ้าเป็นข้อมูลส่วนบุคคลที่ไม่จำเป็น ต้องนำไปทำลายอย่างเหมาะสม
  • เจ้าของข้อมูลส่วนบุคคล สามารถถอนความยินยอมได้ในภายหลัง รวมถึงเจ้าของข้อมูลมีสิทธิขอให้ลบหรือทำลายเมื่อการเก็บ ใช้ เปิดเผย ทำโดยไม่ชอบด้วยกฎหมายหรือเมื่อถอนความยินยอม (อ่านการทำลายข้อมูลตามมาตรฐานสากลเพิ่มเติมได้ที่นี่)
  • หากบริษัทหรือองค์กรของคุณมีความจำเป็นในการคอยตรวจสอบ/สังเกตการณ์การทำงานของบุคลากรผ่านอีเมล การใช้งานคอมพิวเตอร์ และโทรศัพท์ กรณีดังกล่าวจะต้องมีการแจ้งให้บุคลากรผู้เป็นเจ้าของข้อมูลรับทราบ พร้อมระบุถึงเหตุผลของการดำเนินการดังกล่าว
  • จัดอบรมด้าน Data Protection ให้กับบุคลากรพนักงานและเจ้าหน้าที่

และนี่เป็นแนวทางเบื้องต้นสำหรับฝ่ายบุคคล หรือ Hr ในการเตรียมความพร้อมเพื่อรับมือกับ พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่จะบังคับใช้ทุกมาตราในปี 2564 นี้ เพื่อให้ผู้ที่เกี่ยวข้องเตรียมวางแผนและดำเนินการปรับเปลี่ยนนโยบายขององค์กร เพื่อให้สอดคล้องกับการบังคับใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคล 2564 (PDPA) ที่จะเกิดขึ้นในเร็วๆนี้

ที่มา : PDPA.Online , ICDL

You May Also Like

การทำลายข้อมูล-Data-Center
อันตรายข้อมูลส่วนบุคคลใกล้ตัวกว่าที่คิด
Trade in iphone
Refurbished
Shredding
data wiping คืออะไร
ลบข้อมูล กับบริษัท
ข้อมูลส่วนบุคคล
ทำลายข้อมูล ISO 27001