HIGHLIGHT
|
ถ้าพูดถึง PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล อาจจะฟังเป็นเรื่องไกลตัว แถมบางคนอาจไม่รู้ด้วยซ้ำว่ากฎหมายข้อนี้คืออะไร
แต่รู้ไหมว่า PDPA มีผลกระทบต่อองค์กรและหน่วยงานต่าง ๆ เป็นอย่างมาก โดยเฉพาะฝ่ายทรัพยากรบุคคล หรือ ฝ่ายทรัพยากรมนุษย์ (Human Resources : HR) ที่เก็บข้อมูลส่วนบุคคลของพนักงานทั้งบริษัท ฉะนั้นกฎหมายดังกล่าวจึงเกี่ยวข้องกับการทำงานของ HR โดยตรง
สำหรับคนที่ยังไม่คุ้นเคย หรือเคยได้ยินชื่อ PDPA มาบ้าง แต่ยังไม่แน่ใจว่าคืออะไร วันนี้เราจะมาคุยถึงรายละเอียด วิธีการรับมือ และสิ่งที่ฝ่ายทรัพยากรบุคคลต้องเตรียมพร้อมสำหรับการบังคับใช้ที่กำลังจะเกิดขึ้น
Contents
รู้จักให้มากขึ้นว่า PDPA คืออะไร
PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ย่อมาจาก Personal Data Protection Act เป็นกฎหมายที่กำหนดหลักเกณฑ์ กลไก และมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลในความดูแลขององค์กรต่าง ๆ ไม่ว่าจะเป็นภาครัฐและเอกชน
มีหน้าที่สำคัญในการปกป้องสิทธิว่า องค์กรต่าง ๆ จะไม่นำเอาข้อมูลส่วนตัวของใครสักคนไปใช้ในกิจกรรมอื่นโดยที่เจ้าของข้อมูลไม่ยินยอม ตลอดจนกำหนดมาตรการการเยียวยาหากเกิดเหตุละเมิด
ทั้งนี้ PDPA ถอดแบบมาจากกฎหมายต้นแบบอย่าง GDPR หรือ General Data Protection Regulation ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลในสหภาพยุโรป มีวัตถุประสงค์คล้ายกันคือเก็บรักษาข้อมูลส่วนบุคคล เพื่อป้องกันไม่ให้ผู้อื่นมาขโมยหรือละเมิดความเป็นส่วนตัว
โดยคำว่า ข้อมูลส่วนบุคคล (Personal Data) ก็คือข้อมูลที่สามารถระบุตัวตนบุคคลนั้นได้ทั้งทางตรงหรือทางอ้อม เช่น ชื่อ – นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, ใบหน้า หรือแม้กระทั่งข้อมูลทางการเงิน ฯลฯ
รวมไปถึงข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน เช่น ข้อมูลทางการแพทย์, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม เป็นต้น สิ่งเหล่านี้ล้วนแล้วอยู่ภายใต้การคุ้มครองของ PDPA ทั้งสิ้น
ทำไม PDPA ถึงสำคัญ
เคยไหมที่จู่ ๆ ก็มีพนักงานโทรศัพท์เข้ามาขายประกัน หรือได้รับ SMS โฆษณาแปลก ๆ ทั้ง ๆ ที่ไม่เคยสมัคร นั่นเกิดจากองค์กรใดองค์กรหนึ่งที่เราเคยทำธุรกรรมด้วย นำข้อมูลส่วนตัวไปใช้ในการทำโฆษณา นำเสนอสินค้าและบริการอื่นในบริษัท หรือขายข้อมูลให้กับบริษัทอื่นเลยก็มี
PDPA จึงเกิดขึ้นมาเพื่อคุ้มครองข้อมูลส่วนตัวเหล่านั้น ไม่ให้องค์กรต่าง ๆ นำไปใช้ง่ายโดยไม่ผ่านการยินยอมจากเรา นั่นเอง
สาเหตุที่ PDPA มีความสำคัญมากขึ้นก็เพราะ ปัจจุบันเทคโนโลยีก้าวหน้าเป็นอย่างมาก รวมไปถึงช่องทางการสื่อสารก็หลากหลายขึ้น ทำให้การละเมิดสิทธิความเป็นส่วนตัวทำได้ง่ายขึ้น เห็นได้จากไม่กี่ปีมานี้ มีข่าวหลุดรั่วของข้อมูลออกมาต่อเนื่องตลอดทั้งปี สร้างความเดือดร้อนและความเสียหายแก่เจ้าของข้อมูลเป็นอย่างมาก
สิ่งเหล่านี้ทำให้ทุกคนเริ่มตระหนักและใส่ใจ ความเป็นส่วนตัว (Privacy) มากขึ้น เพื่อปกป้องสิทธิส่วนบุคคลและปลอดภัยนั่นเอง
- สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)
- สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
- สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
- สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
- สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure / Right to be forgotten)
- สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)
การบังคับใช้ PDPA ในประเทศไทย
จริง ๆ แล้ว PDPA มีการบังคับใช้ในประเทศไทยแล้ว ทว่าเป็นการบังคับใช้เพียงบางส่วนเท่านั้น โดยก่อนหน้าก่อนหน้านี้กำหนดมีผลบังคับใช้เต็มทั้งฉบับในวันที่ 1 มิถุนายน 2564 แต่เนื่องจากสถานการณ์การแพร่ระบาดของ COVID-19 ทำให้มีการเลื่อนบังคับใช้ทั้งฉบับอีก 1 ปี เป็น วันที่ 1 มิถุนายน 2565 แทน
เท่ากับว่าองค์กรและหน่วยงานต่าง ๆ จะมีระยะเวลาในการเตรียมความพร้อมด้านการคุ้มครองข้อมูลส่วนบุคคลเพิ่มมากขึ้น เพราะการรับมือกับ PDPA เป็นกระบวนการที่ต้องใช้เวลา องค์ความรู้ ทุนทรัพย์ ตลอดจนเทคโนโลยีต่าง ๆ
ถึงกระนั้น เราขอแนะนำให้จัดการระบบข้อมูลตั้งแต่วันนี้ เพราะมีบทลงโทษรุนแรงหากไม่ปฏิบัติตาม ดังนี้
- โทษทางแพ่ง – ผู้ละเมิดต้องชดเชยค่าสินไหมทดแทนเป็น 2 เท่าของความเสียหายจริง
- โทษทางอาญา – ผู้ละเมิดจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับสูงสุดไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
- โทษทางปกครอง – ผู้ละเมิดปรับสูงสุดไม่เกิน 5 ล้านบาท
สำหรับใครที่อยากอ่านข้อกฎหมาย PDPA ฉบับเต็ม สามารถอ่านได้ที่นี่ https://bit.ly/2MjRWc1
ทุกคนล้วนเกี่ยวข้องกับ PDPA
ถามว่า PDPA ส่งผลกระทบใครบ้าง?
คำตอบง่ายๆ ก็คือ “ทุกคน”
เพราะธุรกิจ องค์กร หรือหน่วยงานต่าง ๆ มีการเก็บข้อมูลส่วนบุคคลตลอดเวลา ไม่ว่าจะเป็นการสมัครซื้อสินค้าหรือบริการต่าง ๆ ที่จะต้องให้เรากรอกรายละเอียดส่วนตัว โดยเฉพาะกลุ่มธุรกิจออนไลน์ที่มักจะใช้ข้อมูลเหล่านี้ทำการตลาดโดยตรงกับเรา
ไม่เว้นแม้แต่หน่วยงานของรัฐบาลก็มีการเก็บข้อมูลส่วนบุคคลด้วย เช่น สำเนาบัตรประชาชน สำเนาทะเบียนบ้าน หรือเอกสารสำคัญทางกฎหมายต่าง ๆ ซึ่งล้วนครอบคลุมโดย PDPA ทั้งหมด
เรียกได้ว่า ทุกคน ทุกองค์กร ทุกประเภทธุรกิจต้องปรับตัวตามกฎหมายฉบับนี้หมดเลย
เมื่อฝ่าย HR เกี่ยวข้องกับ PDPA มากที่สุด
ฝ่ายทรัพยากรบุคคลถือเป็นอีกหนึ่งฝ่ายที่เกี่ยวข้องกับ PDPA โดยตรง เพราะเป็นฝ่ายที่รวบรวมและจัดเก็บเอกสารพนักงานซึ่งเต็มไปด้วยข้อมูลส่วนบุคคลทั้งสิ้น เช่น ชื่อ – นามสกุล, ที่อยู่, เบอร์โทรศัพท์, อีเมล, สำเนาเอกสารทางกฎหมาย หรือกระทั่ง Resume และ Portfolio
ไม่เฉพาะข้อมูลในรูปแบบเอกสารกระดาษ แต่ยังครอบคลุมไปถึงไฟล์เอกสารในคอมพิวเตอร์และระบบคลาวด์ด้วย ทั้ง Word, Excel หรือ PDF โดยเอกสารทั้งหมดนี้จะต้องผ่าน ความยินยอม (Consent) ของพนักงานเท่านั้น ไม่ว่าจะเป็นผู้สมัครงาน พนักงานในองค์กร รวมไปถึงพนักงานเก่าที่ลาออกหรือโดนไล่ออกด้วยเช่นกัน
ฉะนั้นหาก HR ไม่มีมาตรการรักษาข้อมูลที่ครอบคลุม เกิดกรณีข้อมูลหลุดออกไป ก็จะได้รับโทษทางกฎหมายอย่างที่กล่าวไว้ข้างต้น
นี่จึงเป็นเหตุผลว่า วิธีการรวมรวบ การเก็บข้อมูล และการนำไปใช้ข้อมูลส่วนบุคคลของทุกองค์กรจะต้องเปลี่ยนไปอย่างสิ้นเชิง
บางองค์กรมีการจัดตั้งตำแหน่งงานนี้โดยเฉพาะ เรียกว่า เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) มีหน้าที่รับผิดชอบมีหน้าที่เก็บและประมวลผลข้อมูลส่วนบุคคลทั้งหมด ไม่ว่าจะเป็นข้อมูลส่วนบุคคลทั้งภายใน เช่น ข้อมูลพนักงาน หรือภายนอก เช่น ข้อมูลลูกค้า เป็นต้น
ตัวอย่างการเตรียมพร้อมของ HR สำหรับ PDPA
สำหรับบริษัทใหญ่ ๆ อาจมีงบประมาณในการจ้างที่ปรึกษาหรือผู้เชี่ยวชาญในการจัดการระบบข้อมูล แต่องค์กรขนาดเล็กมีความจำเป็นอย่างยิ่งที่ HR จะต้องเรียนรู้เกี่ยวกับ PDPA และดำเนินการให้สอดคล้องกับตัวบทกฎหมาย
อย่างแรกเลย HR ต้องคำนึงว่าข้อมูลพนักงานทุกอย่างล้วนเป็นข้อมูลส่วนบุคคลเสมอ ซึ่งจะอยู่ภายใต้การคุ้มครองจาก PDPA ทั้งหมด HR จึงต้องกำหนดนโยบายเกี่ยวกับการเก็บรวบรวม การรักษา และการนำไปใช้อย่างเปิดเผยเป็นลายลักษณ์อักษรที่ชัดเจน
โดยเรามีตัวอย่างง่าย ๆ จาก PDPA Thailand โดย ICDL ที่ HR สามารถนำไปปรับใช้ดังนี้
- ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนเก็บรวบรวมเสมอ ผ่านลายลักษณ์อักษรที่ระบุถึงวิธีการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล
- ไม่แนะนำให้ขอข้อมูลบัตรประชาชนทั้งตัวจริงหรือสำเนา จนกระทั่งผ่านพิจารณาได้รับตำแหน่งงาน
- จัดการแยกประเภทของข้อมูลส่วนบุคคล ตามหาทำการเช็กลิสต์จัดเก็บอยู่ที่ไหนบ้าง มีอะไรบ้าง มีการขออนุญาตหรือไม่
- เอกสาร ข้อมูล หรือประวัติการสมัครงานควรเก็บไว้เพียงระยะสั้น ๆ และควรมีขั้นตอนทำลายข้อมูลนั้นอย่างปลอดภัย
- เจ้าของข้อมูลส่วนบุคคลสามารถถอนความยินยอมได้ในภายหลัง รวมถึงมีสิทธิขอให้ลบหรือทำลายข้อมูลส่วนบุคคลของตัวเองได้
- ก่อนมีการส่งต่อข้อมูลผู้สมัครงานเพื่อพิจารณาในตำแหน่งงานอื่น ๆ จะต้องมีการขอความยินยอมเสียก่อน โดยจะต้องเขียนข้อความขอความยินยอมแยกออกมาให้ชัดแจ้ง และให้ผู้สมัครงานเซ็นชื่อยอมรับในจุดนี้แยกอีกครั้ง
- ฝ่ายบุคคลต้องมีนโยบายเกี่ยวกับการเก็บรักษา และมาตรการทำลายข้อมูลส่วนบุคคลของอดีตบุคลากรที่ชัดเจน
- หากองค์กรมีความจำเป็นที่จะตรวจสอบหรือสังเกตการณ์การทำงานของบุคลากรผ่านอีเมล คอมพิวเตอร์ และโทรศัพท์ จะต้องมีการแจ้งให้เจ้าของข้อมูลให้รับทราบ พร้อมระบุถึงเหตุผลของการดำเนินการดังกล่าวด้วย
ทั้งหมดนี้เป็นเพียงส่วนหนึ่งของแนวทางปฏิบัติภายใต้ PDPA ซึ่งเป็นกระบวนการที่จะต้องใช้ระยะเวลาในการวางแผนและดำเนินการต่อไป เพราะ HR มีทั้งข้อมูลเก่า และข้อมูลใหม่จากพนักงานที่เข้ามาสมัครงานเรื่อยๆ
สำหรับประเด็นนี้ มีเพื่อน HR เข้ามาถึงวิธีการปรับสัญญาจ้างอย่างไรให้สอดคล้อง PDPA ทุกคนสามารถเข้าไปร่วมแสดงความคิดเห็นกันได้ที่ HR Board
บทสรุป
การเตรียมตัวรับมือกับ PDPA จึงเป็นช่วงเวลาสำคัญที่ทุกคน ทุกองค์กร ทุกธุรกิจที่จะต้องเร่งทำความเข้าใจ เตรียมตัว และสร้างแรงกระตุ้นให้ตระหนักความสำคัญของเรื่องนี้ โดยเฉพาะฝ่ายทรัพยากรบุคคล หรือ HR หนึ่งในแผนกสำคัญที่ทำงานอยู่กับข้อมูลส่วนบุคคลมากที่สุด เพื่อที่ว่าองค์กรของเราจะการดำเนินการตามนโยบาย และการปฏิบัติให้สอดคล้องตามข้อบังคับของกฎหมายนั่นเอง