ชวนพิจารณาการจัดการข้อมูลส่วนบุคคลของฝ่ายทรัพยากรบุคคล (HR) ตามหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อตอบสนองต่อข้อกังวลที่เกิดขึ้นเกี่ยวกับผลกระทบของกฎหมาย

อย่างที่เราเล่ากันไปในหลายๆ บทความว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ของไทยได้รับแรงบันดาลใจมาจาก GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแรกของโลกจากสหภาพยุโรป ข้อแตกต่างของกฎหมายก็ไม่ได้ต่างกันมาก แต่โดยรวมเน้นไปที่พื้นฐานของการต้องการที่จะปกป้องคุ้มครองประชาชนจากกาที่องค์กร หน่วยงาน ทั้งรัฐ เอกชน และอื่นๆ นำไปใช้ เผยแพร่ เก็บ ฯลฯ

แน่นอนว่ามันเกี่ยวข้องกับทุกบริษัทและหน่วยงาน และลึกลงไปยังแผนก โดยเฉพาะฝ่ายที่จัดการเกี่ยวกับ Data ไม่ว่าจะเป็น Digital Marketing, Programmer, Analytics และ Human Resource หรือทรัพยากรบุคคล โดยเฉพาะความกังวลต่างๆ ที่มีต่อฝ่าย HR ดังต่อไปนี้

  1. ความยินยอมต่อการที่ HR จะนำข้อมูลของผู้สมัครหรือพนักงานไปดำเนินการใดๆ ตามนิยามที่กฎหมายระบุ
  2. ขอบเขตของการยินยอม
  3. สิทธิในการปกป้องข้อมูลตนเอง เช่น กรณีถูกไล่ออกแล้วโดนส่งจดหมายเวียน เป็นต้น
  4. รูปภาพ ข้อมูลพาสปอร์ตและบัตรประชาชน
  5. ข้อมูลเกี่ยวกับการรักษาพยาบาล เช่น ประกันสังคม การลาป่วย เป็นต้น

‘ความยินยอม’ จึงเป็นจุดสำคัญที่สุดในกฎหมายคุ้มครองข้อมูลส่วนบุคคล หากพนักงานหรือผู้สมัครให้ ‘ความยินยอม’ สำหรับการประมวลผลเพื่อเรื่องอะไร หรือเก็บนานแค่ไหน เก็บอะไรบ้าง หรือรวมรวม และใช้ทำอะไร (HR ต้องทำการชี้แจงการเก็บการใช้และระยะเวลาและทำการขอความยินยอม) ซึ่งหากองค์กรทำนอกเหนือจากที่ขอไว้ ผู้ที่มีตำแหน่งรับผิดชอบหรือ DPO ที่ต้องรับผิดชอบมีหน้าที่เก็บและประมวลผลต้องหยุด ใช้ จัดเก็บ และรวมรวมทันที และหากเจ้าของข้อมูลมีการ ‘ถอนความยินยอม’ ก็ต้องหยุดทันทีเช่นกัน

เพราะฉะนั้น กรณีที่พนักงานลาออกแล้ว หรือโดนไล่ออก หรือมีการเก็บข้อมูลผู้สมัครงานไว้ หากฝ่ายทรัพยากรบุคคล ไม่มีมาตรการรักษาข้อมูลทำให้ถูกโจรกรรม หลุด หรือเผยแพร่ออกไป โดยไม่ได้อยู่ในข้อตกลงความยินยอมที่ต้องแจ้งให้ทราบต่อเจ้าของข้อมูล ไม่ว่าจะเป็นระยะเวลาการเก็บนานแค่ไหน เก็บข้อมูลอะไรบ้าง นำไปใช้อะไรบ้าง และจะมีวิธีการทำลายอย่างไรเมื่อไม่ใช้หรือครบกำหนดระยะเวลาการเก็บแล้ว จะทำให้ถูกได้รับโทษทั้งจำและปรับตามกฎหมาย หรือกรณีที่เจ้าของข้อมูลไม่มีความยินยอมอีกต่อไปแล้ว แม้ในตอนแรกจะยินยอมก็จะหมดสิทธิ์ทำการใดๆ ทันที

ส่วนกรณีที่ HR นำข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปใช้ในขอบเขตที่ไม่ได้เข้าข่ายตามข้อตกลงความยินยอมแต่แรก อย่างเช่น การทำจดหมายเวียนกรณีถูกไล่ออก โดยมีข้อมูลส่วนบุคคลของเจ้าของข้อมูลชัดเจน เพื่อเผยแพร่ ส่งต่อ ก็จะเข้าข่ายผิดทันทีตามกฎหมาย

Copyright © 2024 DBC Group, All Rights Reserved. PDPA Thailand 

Email : [email protected] 

FB : PDPA Thailand

Line ID : @pdpathailand

หมายเลขโทรศัพท์ : 02 029 0707

สอบถามบริการ 

ด้านที่ปรึกษา PDPA (PDPA Consultant)  : 081-6325918

ด้านการสอบทานและตรวจสอบ PDPA (PDPA Audit) : 081-6325918

ด้าน DPO Outsource Service  : 081-6325918

Privacy Notice