PDPA Thailand

1,351

PDPA Thailand
PDPA Thailand

สหภาพแรงงาน องค์กรของลูกจ้างที่จัดตั้งขึ้นตามกฎหมายแรงงานสัมพันธ์โดยมีวัตถุประสงค์เพื่อการแสวงหาความคุ้มครองผลประโยชน์ของลูกจ้าง มุ่งเน้นกิจกรรมด้านแรงงานสัมพันธ์ หรือการสร้างความสัมพันธ์ที่ดี และเป็นธรรมระหว่างนายจ้างกับลูกจ้าง มีสถานะเป็น ‘นิติบุคคล’ โดยการก่อตั้งสหภาพแรงงานวิสาหกิจต่างๆ จะต้องประกอบด้วยสมาชิกไม่น้อยกว่าร้อยละ 25 ของลูกจ้างประจำทั้งหมด 

ดังนั้นสามารถกล่าวได้ว่า ภายในสหภาพแรงงานงานอาจมีสมาชิกตั้งแต่หลักร้อย ไปจนถึงหลักหลายหมื่นคน และย่อมต้องมี ‘ข้อมูลส่วนบุคคล’ เป็นจำนวนมากถูกเก็บ รวบรวม ใช้ และเปิดเผย 

ด้วยเหตุนี้ สหภาพแรงงาน จึงมีอีกสถานะหนึ่ง นั่นคือ ‘ผู้ควบคุมข้อมูลส่วนบุคคล’ มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) ซึ่งจะต้องมีการบันทึกรายการข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ 

บันทึกรายการข้อมูลส่วนบุคคลที่สหภาพแรงงานต้องทำ

โดยการจัดทำบันทึกรายการข้อมูลส่วนบุคคล มิใช่เพียงแต่เป็นประโยชน์สำหรับแนวทางปฏิบัติสำหรับสหภาพแรงงานให้สอดคล้องตามกฎหมาย แต่ยังมองถึงประโยชน์ที่ผู้ควบคุมของมูลสามารถจะเข้าใจในเบื้องต้น แยกแยะ รวมถึงสามารถวิเคราะห์ได้ว่า สถานะของสหภาพในปัจจุบันมีการเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลใดบ้าง ด้วยเหตุนี้จึงนำไปสู่การจัดทำ นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) หรือคำประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice) และเอกสารแสดงความยินยอม (Consent) ซึ่งเป็นการเตรียมพร้อมเบื้องต้นที่สหภาพแรงงาน ‘ต้องทำ’ ก่อนการบังคับใช้กฎหมาย PDPA ในวันที่ 1 มิถุนายน นี้ 

PDPA การยกเว้นโดยไม่ต้องขอความยินยอมในบางกรณี

ในแง่มุมของ สหภาพแรงงาน ซึ่งเป็นนิติบุคคลที่มีกฎหมายกำกับดูแลเฉพาะ ขณะเดียวกันก็มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลด้วย ดังนั้น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคล อาจจะได้รับการยกเว้นโดยไม่ต้องขอความยินยอมในบางกรณี โดยกฎหมายระบุว่า 

ห้ามไม่ให้เก็บข้อมูลอ่อนไหว เช่น  เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ฯลฯ โดยไม่ได้รับการยินยอม เว้นแต่ 

1.เพื่อป้องกันหรือระงับอันตรายต่อชีวิต 

2.เป็นการดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสม 

3.เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล

4.เพื่อการใช้สิทธิเรียกร้องตามกฎหมาย 

5.การปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์บางอย่าง เช่น การรักษาทางการแพทย์ การประเมินขีดความสามารถในการทำงาน ด้านสาธารณะสุข การคุ้มครองแรงงาน การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ 

หน้าที่สหภาพแรงงานในฐานะ ‘ผู้ควบคุมข้อมูล’

สถานะของสหภาพแรงงาน ที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล แม้จะเป็นการดำเนินการโดยชอบด้วยกฎหมาย แต่ก็มีหน้าที่ซึ่งบทบัญญัติไว้ในกฎหมาย PDPA เพื่อให้การดำเนินการมีขอบเขตที่ชัดเจน โปรงใส ปลอดภัย และตรวจสอบได้ อันประกอบด้วย 

  1. ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม เพื่อป้องกันการละเมิด และต้องทบทวน มาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลง 
  2.  กรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล ต้องดำเนินการเพื่อป้องกันมิให้นำไปใช้หรือเปิดเผยโดยมิชอบ
  3. จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนด ระยะเวลาการเก็บรักษา หรือที่เกินความจำ
  4. แจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน 72ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อ สิทธิและเสรีภาพของบุคคล
  5. หากเป็นผู้ควบคุมข้อมูลที่อยู่ ‘นอกราชอาณาจักร’ ต้องมีการแต่งตั้งตัวแทนในราชอาณาจักร 





ทั้งนี้ จากข้อสังเกต สหภาพแรงงานหลายๆ แห่งมีการเก็บ รวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลของสมาชิกจำนวนมาก ทั้งสมาชิกปัจจุบัน และสมาชิกที่พ้นสภาพไปแล้ว ประกอบกับมีการจัดเก็บข้อมูลอ่อนไหว (Sensitive Data) ในหลายๆ กรณี อาทิ ข้อมูลสุขภาพ ข้อมูลเชื้อชาติ ศาสนา ความพิการ หรือแม้แต่ข้อมูลอาชญากรรม ซึ่งข้อมูลเหล่านี้หากเกิดการนำไปใช้ผิดจากวัตถุประสงค์หลักของสหภาพแรงงาน หรือมีการส่งต่อข้อมูลส่วนบุคคลให้กับบุคคลที่สามโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ก็เข้าข่ายกระทำผิดกฎหมาย PDPA ในทันที 

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) คือ ผู้ที่มีหน้าที่สำคัญในการจัดการและตรวจสอบการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เพื่อช่วยให้องค์กรนั้นสามารถดำเนินงานได้อย่างถูกต้องและตรงตามหลักกฎหมาย PDPA และจากคำถามที่ว่า สหภาพแรงงาน ต้องแต่งตั้ง ‘DPO’ หรือไม่? คำตอบ คือ สมควรแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO ถ้าหากองค์กรตรงตามหลักเกณฑ์กฎหมาย ซึ่งมีระบุคุณสมบัติไว้ดังนี้ 

– หน่วยงานรัฐ ส่วนราชการ รัฐวิสาหกิจและองค์การบริหารส่วนท้องถิ่น 

– องค์กรที่ประกอบธุรกิจหลักเกี่ยวข้องกับการประมวลผลข้อมูลอ่อนไหว อาทิ โรงพญาบาล ประกัน ธุรกิจด้านการสื่อสาร หรือให้บริการประชาชน 

– องค์กรที่มีการจัดเก็บข้อมูลต่อปีเป็นจำนวนมาก คือมีการประมวลผลข้อมูลส่วนบุคคลทั่วไป 5,0000 ราย หรือข้อมูลประเภทอ่อนไหว 5,000 ราย/ปี  

อย่างไรก็ตามแม้กฎหมายไม่ได้บังคับอย่างเจาะจง  แต่ด้วยโครงสร้างขององค์กรจำเป็นที่จะต้องสั่งสมข้อมูลอย่างต่อเนื่อง นี่จึงเป็นเหตุผลให้สหภาพแรงงาน ที่มีคุณสมบัติตรงตามกฎหมายจำเป็นต้องแต่งตั้ง DPO แต่หากสหภาพแรงงานไม่เข้าเกณฑ์ตามข้างต้น อาจพิจารณาแต่งตั้ง ‘เจ้าหน้าที่ประสานงานด้านข้อมูลส่วนบุคคล’  ที่อาจจะไม่ต้องมีคุณสมบัติเทียบเท่า DPO แต่ก็มีความรู้ ความเข้าใจ ตลอดจนการให้คำแนะนำ และวางแนวทางการจัดการข้อมูลให้สอดคล้องตามกฎหมาย PDPA ได้อย่างเหมาะสม

pdpa guru
dpo in action อบรม pdpa dpo
DPO ภาครัฐ PDPA
หลักสูตร PDPA in Action
DPAC อบรม PDPA Internal Audit
PDPA Guru Google Forms EP8
DPOinActionรุ่น19 1200x300
DPO in Action TU - 1200x300
Advanced PDPA in Action สำหรับภาคเอกชน
Banner DPAC 1200x300
dpo รวม