วิธีรับมือ PDPA พรบ.คุ้มครองข้อมูลส่วนบุคคลที่ HR ทุกบริษัทต้องรู้!

พรบ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA

กฎหมายใหม่ที่มีการบัญญัติขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคล ทั้งการรวบรวม การใช้ การประมวลผลและการเปิดเผย ซึ่งสามารถส่งผลกระทบต่อทุกองค์กรได้โดยตรง โดยเฉพาะฝ่ายบุคคล หรือ Hr ซึ่งเป็นแผนกที่สามารถเข้าถึงข้อมูลส่วนบุคคลมากที่สุดในองค์กร ทั้งรวบรวมข้อมูลพนักงานและผู้สมัครงาน การนำไปใช้หรือส่งต่อให้แผนกอื่นหรือบริษัทอื่นๆจำเป็นที่จะต้องมีขอบเขต เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลเหล่านั้น

แล้วข้อมูลส่วนบุคคลอะไรบ้างที่ HR ต้องเจอ

• ชื่อ นามสกุล ที่อยู่ รายละเอียดติดต่อ ของพนักงาน ตั้งแต่ระดับปฎิบัติการไปจนถึงระดับบริหาร
• Resume หรือ CV ของผู้สมัครงานที่ยื่นเข้ามายังองค์กร
• บันทึกประวัติการทำงานของผู้ที่ออกจากองค์กรไปแล้ว (อาจย้ายงาน ลาออก หรือถูกไล่ออก) เก็บรักษาไว้เป็นฐานข้อมูลในกรณีมีการสอบถามเข้ามาจากองค์กรสังกัดใหม่ของพนักงาน
• ข้อมูลติดต่อประสานงานวิทยากร จากภายนอกสำหรับงานฝึกอบรม

จะเห็นได้ว่าข้อมูลเหล่านี้ ล้วนเป็นข้อมูลที่สามารถระบุตัวตนเจ้าของข้อมูลได้อย่างชัดเจน และเป็นข้อมูลที่อยู่ภายใต้การคุ้มครองของ PDPA ดังนั้น HR ของทุกๆองค์กรควรรู้ถึงนโยบายการเก็บรวบรวม การใช้ ประมวลผล และการเปิดเผยข้อมูลส่วนบุคคลเหล่านี้ เพื่อป้องกันข้อมูลรั่วไหลหรือการถูกโจรกรรมข้อมูล รวมถึงเป็นการปกป้องสิทธิ์ของเจ้าของข้อมูลและลดความเสียหายที่จะเกิดขึ้นกับองค์กร

HR ควรเตรียมตัวและรับมือกับ พรบ.คุ้มครองข้อมูลส่วนบุคคล 2564 อย่างไรบ้าง?

• HR ควรมีการแจ้งให้เจ้าของข้อมูลทราบถึงแหล่งที่มาของการรวบรวมข้อมูลส่วนบุคคล เช่น Resume หรือ CV ว่าแหล่งข้อมูลมาจากไหน ถ้าไม่ได้ส่งมาจากเจ้าของข้อมูลโดยตรง กำหนดระยะเวลาที่เก็บข้อมูลไว้ รวมถึงการใช้และการเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูลอย่างชัดเจนทุกขั้นตอน
• ฝ่ายบุคคลยังไม่ควรขอข้อมูลบัตรประชาชนจากผู้สมัครงาน ไม่ว่าจะเป็นตัวจริงหรือสำเนา จนกระทั่งผ่านกระบวนการพิจารณาและได้ตำแหน่งงานในบริษัทอย่างเป็นทางการ
• HR ควรแจ้งในใบประกาศรับสมัครงานว่าทางบริษัทจะมีการส่งต่อข้อมูลให้บริษัทอื่นเพื่อพิจารณาในตำแหน่งงานอื่นที่เกี่ยวข้อง หากผู้สมัครที่ไม่ผ่านเกณฑ์การคัดเลือกในตำแหน่งที่ผู้สมัครระบุมา และต้องเขียนข้อความเป็นลายลักษณ์อักษรตามหลัก PDPA เพื่อให้ผู้สมัครเซ็นรับความยินยอมก่อนนำข้อมูลไปส่งต่อ
• Resume/CV ของผู้ที่ไม่ผ่านการสมัครงานควรถูกเก็บไว้เพียงระยะสั้นๆ และควรมีขั้นตอนการทำลายข้อมูลนั้นอย่างปลอดภัย
• ทำเช็กลิสต์แยกประเภทของข้อมูลส่วนบุคคล ว่าข้อมูลจัดเก็บอยู่ที่ไหนบ้าง มีอะไรบ้าง มีการขออนุญาตหรือไม่ และถ้าเป็นข้อมูลส่วนบุคคลที่ไม่จำเป็น ต้องนำไปทำลายอย่างเหมาะสม
• เจ้าของข้อมูลส่วนบุคคล สามารถถอนความยินยอมได้ในภายหลัง รวมถึงเจ้าของข้อมูลมีสิทธิขอให้ลบหรือทำลายเมื่อการเก็บ ใช้ เปิดเผย ทำโดยไม่ชอบด้วยกฎหมายหรือเมื่อถอนความยินยอม (อ่านการทำลายข้อมูลตามมาตรฐานสากลเพิ่มเติมได้ที่นี่)
• หากบริษัทหรือองค์กรของคุณ มีความจำเป็นในการคอยตรวจสอบ / สังเกตการณ์การทำงานของบุคลากรผ่านอีเมล การใช้งานคอมพิวเตอร์ และโทรศัพท์ กรณีดังกล่าวจะต้องมีการแจ้งให้บุคลากรผู้เป็นเจ้าของข้อมูลรับทราบ พร้อมระบุถึงเหตุผลของการดำเนินการดังกล่าว
• จัดอบรมด้าน Data Protection ให้กับบุคลากรพนักงานและเจ้าหน้าที่

และนี่เป็นแนวทางเบื้องต้นสำหรับฝ่ายบุคคล หรือ HR ในการเตรียมความพร้อมเพื่อรับมือกับ พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่ได้มีผลบังคับใช้แล้วตอนนี้ เพื่อให้ผู้ที่เกี่ยวข้องเตรียมวางแผนและดำเนินการปรับเปลี่ยนนโยบายขององค์กรให้สอดคล้องกับการบังคับใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคล 2564

แหล่งที่มา : PDPA.Online , ICDL