5PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายใหม่ที่เรียกได้ว่ามีผลกระทบต่อทุก ๆ องค์กร โดยเฉพาะฝ่ายทรัพยากรบุคคล หรือ HR ทุกบริษัท เนื่องจากมีแนวโน้มเป็นหน่วยงานที่มีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล มากที่สุดในองค์กร เพราะต้องบริหารจัดการข้อมูลทั้งของพนักงานภายใน รวมถึงข้อมูลของผู้สมัครงาน และพนักงานที่ออกจากจากองค์กรไปแล้ว

ตัวอย่างข้อมูลส่วนบุคคลที่ HR ต้องเจอ

  • ชื่อ นามสกุล ที่อยู่ รายละเอียดติดต่อ ของพนักงาน ตั้งแต่ระดับปฎิบัติการจนถึงระดับบริหาร
  • Resume หรือ CV ของผู้สมัครงานที่ยื่นเข้ามายังองค์กร
  • บันทึกประวัติการทำงานของผู้ที่ออกจากองค์กรไปแล้ว (อาจย้ายงาน ลาออก หรือถูกไล่ออก) เก็บรักษาไว้เป็นฐานข้อมูลในกรณีมีการสอบถามเข้ามาจากองค์กรสังกัดใหม่ของพนักงาน
  • ข้อมูลติดต่อประสานงานวิทยากรจากภายนอกสำหรับงานฝึกอบรม

สำหรับบริษัทใหญ่ ๆ อาจมีงบประมาณในการจ้างที่ปรึกษา ผู้เชี่ยวชาญ หรือบริการบริหารจัดการ เข้ามาช่วยจัดการวางระบบ Flow ของข้อมูล ตลอดจนการ Storage ให้สอดคล้องกับ PDPA และมีความปลอดภัยสูงสุด แต่สำหรับองค์กรเล็ก ๆ SMEs หรือบริษัทที่เพิ่งตั้งตัวอาจมีงบประมาณไม่มาก ผู้บริหารตลอดจนเจ้าหน้าที่ฝ่าย HR จึงจำเป็นต้องเรียนรู้เกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และดำเนินงานขององค์กรให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลด้วยตนเอง

HR ทุกบริษัท ควรคำนึงถึงจุดใดบ้าง เพื่อดำเนินการตาม PDPA?

สำหรับชาว HR ต้องคำนึงว่าข้อมูลในมือของพวกคุณมีโอกาสเป็นข้อมูลส่วนบุคคลได้เสมอ และข้อมูลเหล่านี้ล้วนอยู่ภายใต้การคุ้มครองจาก PDPA (และกฎหมายอย่าง GDPR รวมถึงกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับอื่น ๆ หากมีการโอนถ่ายข้อมูลจากหรือไปยังองค์กรในต่างประเทศ) จึงจำเป็นต้องมีนโยบายเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูล ที่เขียนไว้เป็นลายลักษณ์อักษรอย่างชัดเจน โดยมีตัวอย่างแนวทางการปฏิบัติงานของฝ่ายทรัพยากรบุคคลภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ที่คุณอาจนำไปปรับใช้ได้ ดังนี้

  • ก่อนการเก็บรวบรวมข้อมูลส่วนบุคคล HR ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล แม้เรซูเม่/ประวัติโดยย่อของบุคคลจะถูกส่งมาจากผู้สมัครงานโดยตรง ซึ่งอาจตีความได้ว่าเป็นการให้ความยินยอมแล้ว แต่ยังคงต้องมีการแจ้งและให้ยอมรับเกี่ยวกับการเก็บรักษาข้อมูลนั้นเอาไว้เป็นฐานข้อมูลในกรณีที่การสมัครงานไม่ผ่านตามที่คาดหวัง และไม่เก็บข้อมูลนั้นไว้เกินระยะเวลาที่ระบุตามนโยบายการประมวลผลข้อมูลขององค์กร
  • ฝ่ายบุคคลยังไม่ควรขอข้อมูลบัตรประชาชนจากผู้สมัครงาน ไม่ว่าจะเป็นตัวจริงหรือสำเนา จนกระทั่งผ่านกระบวนการพิจารณาและได้ตำแหน่งงานในบริษัทอย่างเป็นทางการ
  • เรซูเม่/ประวัติของผู้ที่ไม่ผ่านการสมัครงานควรถูกเก็บรักษาเอาไว้แค่เพียงระยะสั้น ๆ และควรมีขั้นตอนในการทำลายข้อมูลนั้นอย่างปลอดภัย
  • ก่อนมีการส่งต่อข้อมูลของผู้สมัครงานเพื่อพิจารณาในตำแหน่งงานอื่น ๆ นอกเหนือจากตำแหน่งที่ผู้สมัครงานระบุว่ามีความประสงค์ จะต้องมีการขอความยินยอมเสียก่อน โดย HR ควรแจ้งในประกาศรับสมัครงานว่าทางบริษัทจะมีการส่งต่อข้อมูลของบุคคลสำหรับการพิจารณาตำแหน่งงานอื่น ๆ ที่เกี่ยวข้องให้กับผู้สมัครงานด้วย ตาม PDPA คุณจะต้องเขียนข้อความเพื่อขอความยินยอมในส่วนนี้แยกออกมาจากส่วนอื่นให้ชัดแจ้ง และอาจให้ผู้สมัครงานเซ็นต์ยอมรับในจุดนี้แยกอีกครั้งหนึ่งด้วย
  • ฝ่ายบุคคลต้องมีนโยบายเกี่ยวกับการเก็บรักษา และมาตรการทำลายข้อมูลส่วนบุคคลของอดีตบุคลากรที่ชัดเจน
  • หากบริษัทหรือองค์กรของคุณมีความจำเป็นในการคอยตรวจสอบ/สังเกตการณ์การทำงานของบุคลากรผ่านอีเมล การใช้งานคอมพิวเตอร์ และโทรศัพท์ กรณีดังกล่าวจะต้องมีการแจ้งให้บุคลากรผู้เป็นเจ้าของข้อมูลรับทราบ พร้อมระบุถึงเหตุผลของการดำเนินการดังกล่าว

          และนี่เป็นเพียงส่วนหนึ่งของแนวทางการปฏิบัติงานที่ฝ่ายทรัพยากรบุคคลต้องดำเนินการภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) โดยทางผู้เขียนเชื่อว่าการคุ้มครองข้อมูลส่วนบุคคลต้องใช้ระยะเวลาในการวางแผนและดำเนินการ เพราะ HR เป็นแผนกหนึ่งในบริษัท/องค์กรที่มีอำนาจหน้าที่เกี่ยวข้องกับข้อมูลส่วนบุคคลมากที่สุด ไม่ว่าจะเป็นระดับ Manager หรือระดับปฏิบัติการทั่วไป จึงต้องเตรียมตัวให้พร้อมตั้งแต่เนิ่น ๆ ครับ

          เจ็บหนักแน่! หากคุณไม่ปรับตัวตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เพราะอาจมีความผิด เสียใจ เสียทรัพย์ และอาจถูกตัดสินจำคุกได้หากเกิดการละเมิดของข้อมูลภายใต้ความดูแล ที่เราเชื่อว่าคุณเองก็คงไม่อยากโดน

หลักสูตร Personal Data Protection Certificate (PDPC) ออกแบบมาเพื่อสร้างความรู้ความเข้าใจด้านการคุ้มครองข้อมูลส่วนบุคคลอย่างลึกซึ้งและครอบคลุม โดยปูพื้นฐานเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) ตามด้วย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ของไทย ตั้งแต่คอนเซ็ปต์และหลักการพื้นฐาน ตลอดจนแนวปฏิบัติตามกฎหมาย ด้วยหวังว่าผู้เข้าอบรมจะสามารถนำองค์ความรู้ที่ได้ไปประยุกต์ใช้สำหรับการทำงานภายในองค์กร ตลอดจนสามารถปฏิบัติให้สอดคล้องกับกฎหมายทั้งสองได้อย่างมีประสิทธิภาพ

สนใจรายละเอียดหลักสูตรสอบถามเพิ่มเติมได้ที่ Facebook: PDPA ICDLTHAILAND

อ้างอิงข้อมูลเกี่ยวแนวทางการปฏิบัติงานของฝ่าย HR บางส่วนจาก:

https://sbr.com.sg/hr-education/commentary/singapore-companies-must-protect-personal-data-and-adhere-pdpa-or-risk-reput