PDPA คือสิ่งที่ HR ต้องรู้ วิธีการรับมือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

Highlight

  • PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มีหน้าปกป้องสิทธิไม่ให้องค์กรต่าง ๆ นำเอาข้อมูลส่วนบุคคลไปใช้ในกิจกรรมอื่นโดยที่เจ้าของข้อมูลไม่ยินยอม ตลอดจนการเยียวยาหากเกิดเหตุละเมิด 
  • ข้อมูลส่วนบุคคล คือ ข้อมูลที่สามารถระบุตัวตนบุคคลนั้นได้ทั้งทางตรงหรือทางอ้อม เช่น ชื่อ – นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์ รวมไปถึงข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน เช่น ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนา หรือพฤติกรรมทางเพศ 
  • PDPA จะบังคับใช้ทั้งฉบับในวันที่ 1 มิถุนายน 2565 ทำให้มีระยะเวลาในการเตรียมความพร้อมด้านการคุ้มครองข้อมูลส่วนบุคคลเพิ่มมากขึ้น หากไม่ปฏิบัติตามจะมีบทลงโทษรุนแรง เช่น โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท
  • ฝ่ายทรัพยากรบุคคล หรือ HR เป็นอีกหนึ่งฝ่ายที่เกี่ยวข้องกับ PDPA โดยตรง เพราะเป็นฝ่ายที่รวบรวมและจัดเก็บเอกสารพนักงานซึ่งเต็มไปด้วยข้อมูลส่วนบุคคลทั้งสิ้น ไม่ว่าจะเป็นใบสมัคร สำเนาเอกสาร หรือกระทั่ง Resume และ Portfolio
  • หาก HR ไม่มีมาตรการรักษาจนเกิดกรณีข้อมูลหลุดออกไป ก็จะได้รับโทษทางกฎหมาย นี่จึงเป็นเหตุผลว่า วิธีการรวบรวม การเก็บรักษา และการนำไปใช้ข้อมูลส่วนบุคคลของทุกองค์กรจะเปลี่ยนไปอย่างสิ้นเชิง

 

ถ้าพูดถึง PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล อาจจะฟังเป็นเรื่องไกลตัว แถมบางคนอาจไม่รู้ด้วยซ้ำว่ากฎหมายข้อนี้คืออะไร

แต่รู้ไหมว่า PDPA มีผลกระทบต่อองค์กรและหน่วยงานต่าง ๆ เป็นอย่างมาก โดยเฉพาะฝ่ายทรัพยากรบุคคล หรือ ฝ่ายทรัพยากรมนุษย์ (Human Resources : HR) ที่เก็บข้อมูลส่วนบุคคลของพนักงานทั้งบริษัท ฉะนั้นกฎหมายดังกล่าวจึงเกี่ยวข้องกับการทำงานของ HR โดยตรง

สำหรับคนที่ยังไม่คุ้นเคย หรือเคยได้ยินชื่อ PDPA มาบ้าง แต่ยังไม่แน่ใจว่าคืออะไร วันนี้เราจะมาคุยถึงรายละเอียด วิธีการรับมือ และสิ่งที่ฝ่ายทรัพยากรบุคคลต้องเตรียมพร้อมสำหรับการบังคับใช้ที่กำลังจะเกิดขึ้น

 

รู้จักให้มากขึ้นว่า PDPA คืออะไร

PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ย่อมาจาก Personal Data Protection Act เป็นกฎหมายที่กำหนดหลักเกณฑ์ กลไก และมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลในความดูแลขององค์กรต่าง ๆ ไม่ว่าจะเป็นภาครัฐและเอกชน

มีหน้าที่สำคัญในการปกป้องสิทธิว่า องค์กรต่าง ๆ จะไม่นำเอาข้อมูลส่วนตัวของใครสักคนไปใช้ในกิจกรรมอื่นโดยที่เจ้าของข้อมูลไม่ยินยอม ตลอดจนกำหนดมาตรการการเยียวยาหากเกิดเหตุละเมิด

ทั้งนี้ PDPA ถอดแบบมาจากกฎหมายต้นแบบอย่าง GDPR หรือ General Data Protection Regulation ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลในสหภาพยุโรป มีวัตถุประสงค์คล้ายกันคือเก็บรักษาข้อมูลส่วนบุคคล เพื่อป้องกันไม่ให้ผู้อื่นมาขโมยหรือละเมิดความเป็นส่วนตัว

โดยคำว่า ข้อมูลส่วนบุคคล (Personal Data) ก็คือข้อมูลที่สามารถระบุตัวตนบุคคลนั้นได้ทั้งทางตรงหรือทางอ้อม เช่น ชื่อ – นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, ใบหน้า หรือแม้กระทั่งข้อมูลทางการเงิน ฯลฯ

รวมไปถึงข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน เช่น ข้อมูลทางการแพทย์, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม เป็นต้น สิ่งเหล่านี้ล้วนแล้วอยู่ภายใต้การคุ้มครองของ PDPA ทั้งสิ้น

ทำไม PDPA ถึงสำคัญ

เคยไหมที่จู่ ๆ ก็มีพนักงานโทรศัพท์เข้ามาขายประกัน หรือได้รับ SMS โฆษณาแปลก ๆ ทั้ง ๆ ที่ไม่เคยสมัคร นั่นเกิดจากองค์กรใดองค์กรหนึ่งที่เราเคยทำธุรกรรมด้วย นำข้อมูลส่วนตัวไปใช้ในการทำโฆษณา นำเสนอสินค้าและบริการอื่นในบริษัท หรือขายข้อมูลให้กับบริษัทอื่นเลยก็มี

PDPA จึงเกิดขึ้นมาเพื่อคุ้มครองข้อมูลส่วนตัวเหล่านั้น ไม่ให้องค์กรต่าง ๆ นำไปใช้ง่ายโดยไม่ผ่านการยินยอมจากเรา นั่นเอง

สาเหตุที่ PDPA มีความสำคัญมากขึ้นก็เพราะ ปัจจุบันเทคโนโลยีก้าวหน้าเป็นอย่างมาก รวมไปถึงช่องทางการสื่อสารก็หลากหลายขึ้น ทำให้การละเมิดสิทธิความเป็นส่วนตัวทำได้ง่ายขึ้น เห็นได้จากไม่กี่ปีมานี้ มีข่าวหลุดรั่วของข้อมูลออกมาต่อเนื่องตลอดทั้งปี สร้างความเดือดร้อนและความเสียหายแก่เจ้าของข้อมูลเป็นอย่างมาก

สิ่งเหล่านี้ทำให้ทุกคนเริ่มตระหนักและใส่ใจ ความเป็นส่วนตัว (Privacy) มากขึ้น เพื่อปกป้องสิทธิส่วนบุคคลและปลอดภัยนั่นเอง

สิทธิในข้อมูลส่วนบุคคล มีอะไรบ้าง?
  • สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)
  • สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
  • สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
  • สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
  • สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure / Right to be forgotten)
  • สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)

การบังคับใช้ PDPA ในประเทศไทย

จริง ๆ แล้ว PDPA มีการบังคับใช้ในประเทศไทยแล้ว ทว่าเป็นการบังคับใช้เพียงบางส่วนเท่านั้น โดยก่อนหน้าก่อนหน้านี้กำหนดมีผลบังคับใช้เต็มทั้งฉบับในวันที่ 1 มิถุนายน 2564 แต่เนื่องจากสถานการณ์การแพร่ระบาดของ COVID-19 ทำให้มีการเลื่อนบังคับใช้ทั้งฉบับอีก 1 ปี เป็น วันที่ 1 มิถุนายน 2565 แทน

เท่ากับว่าองค์กรและหน่วยงานต่าง ๆ จะมีระยะเวลาในการเตรียมความพร้อมด้านการคุ้มครองข้อมูลส่วนบุคคลเพิ่มมากขึ้น เพราะการรับมือกับ PDPA เป็นกระบวนการที่ต้องใช้เวลา องค์ความรู้ ทุนทรัพย์ ตลอดจนเทคโนโลยีต่าง ๆ

ถึงกระนั้น เราขอแนะนำให้จัดการระบบข้อมูลตั้งแต่วันนี้ เพราะมีบทลงโทษรุนแรงหากไม่ปฏิบัติตาม ดังนี้

  • โทษทางแพ่ง – ผู้ละเมิดต้องชดเชยค่าสินไหมทดแทนเป็น 2 เท่าของความเสียหายจริง
  • โทษทางอาญา – ผู้ละเมิดจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับสูงสุดไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • โทษทางปกครอง – ผู้ละเมิดปรับสูงสุดไม่เกิน 5 ล้านบาท

สำหรับใครที่อยากอ่านข้อกฎหมาย PDPA ฉบับเต็ม สามารถอ่านได้ที่นี่ https://bit.ly/2MjRWc1 

ทุกคนล้วนเกี่ยวข้องกับ PDPA

ถามว่า PDPA ส่งผลกระทบใครบ้าง?

คำตอบง่ายๆ ก็คือ “ทุกคน”

เพราะธุรกิจ องค์กร หรือหน่วยงานต่าง ๆ มีการเก็บข้อมูลส่วนบุคคลตลอดเวลา ไม่ว่าจะเป็นการสมัครซื้อสินค้าหรือบริการต่าง ๆ ที่จะต้องให้เรากรอกรายละเอียดส่วนตัว โดยเฉพาะกลุ่มธุรกิจออนไลน์ที่มักจะใช้ข้อมูลเหล่านี้ทำการตลาดโดยตรงกับเรา

ไม่เว้นแม้แต่หน่วยงานของรัฐบาลก็มีการเก็บข้อมูลส่วนบุคคลด้วย เช่น สำเนาบัตรประชาชน สำเนาทะเบียนบ้าน หรือเอกสารสำคัญทางกฎหมายต่าง ๆ ซึ่งล้วนครอบคลุมโดย PDPA ทั้งหมด

เรียกได้ว่า ทุกคน ทุกองค์กร ทุกประเภทธุรกิจต้องปรับตัวตามกฎหมายฉบับนี้หมดเลย

เมื่อฝ่าย HR เกี่ยวข้องกับ PDPA มากที่สุด

ฝ่ายทรัพยากรบุคคลถือเป็นอีกหนึ่งฝ่ายที่เกี่ยวข้องกับ PDPA โดยตรง เพราะเป็นฝ่ายที่รวบรวมและจัดเก็บเอกสารพนักงานซึ่งเต็มไปด้วยข้อมูลส่วนบุคคลทั้งสิ้น เช่น ชื่อ – นามสกุล, ที่อยู่, เบอร์โทรศัพท์, อีเมล, สำเนาเอกสารทางกฎหมาย หรือกระทั่ง Resume และ Portfolio

ไม่เฉพาะข้อมูลในรูปแบบเอกสารกระดาษ แต่ยังครอบคลุมไปถึงไฟล์เอกสารในคอมพิวเตอร์และระบบคลาวด์ด้วย ทั้ง Word, Excel หรือ PDF โดยเอกสารทั้งหมดนี้จะต้องผ่าน ความยินยอม (Consent) ของพนักงานเท่านั้น ไม่ว่าจะเป็นผู้สมัครงาน พนักงานในองค์กร รวมไปถึงพนักงานเก่าที่ลาออกหรือโดนไล่ออกด้วยเช่นกัน

ฉะนั้นหาก HR ไม่มีมาตรการรักษาข้อมูลที่ครอบคลุม เกิดกรณีข้อมูลหลุดออกไป ก็จะได้รับโทษทางกฎหมายอย่างที่กล่าวไว้ข้างต้น

นี่จึงเป็นเหตุผลว่า วิธีการรวมรวบ การเก็บข้อมูล และการนำไปใช้ข้อมูลส่วนบุคคลของทุกองค์กรจะต้องเปลี่ยนไปอย่างสิ้นเชิง

Did You Know?

บางองค์กรมีการจัดตั้งตำแหน่งงานนี้โดยเฉพาะ เรียกว่า เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) มีหน้าที่รับผิดชอบมีหน้าที่เก็บและประมวลผลข้อมูลส่วนบุคคลทั้งหมด ไม่ว่าจะเป็นข้อมูลส่วนบุคคลทั้งภายใน เช่น ข้อมูลพนักงาน หรือภายนอก เช่น ข้อมูลลูกค้า เป็นต้น

 

ตัวอย่างการเตรียมพร้อมของ HR สำหรับ PDPA

สำหรับบริษัทใหญ่ ๆ อาจมีงบประมาณในการจ้างที่ปรึกษาหรือผู้เชี่ยวชาญในการจัดการระบบข้อมูล แต่องค์กรขนาดเล็กมีความจำเป็นอย่างยิ่งที่ HR จะต้องเรียนรู้เกี่ยวกับ PDPA และดำเนินการให้สอดคล้องกับตัวบทกฎหมาย

อย่างแรกเลย HR ต้องคำนึงว่าข้อมูลพนักงานทุกอย่างล้วนเป็นข้อมูลส่วนบุคคลเสมอ ซึ่งจะอยู่ภายใต้การคุ้มครองจาก PDPA ทั้งหมด HR จึงต้องกำหนดนโยบายเกี่ยวกับการเก็บรวบรวม การรักษา และการนำไปใช้อย่างเปิดเผยเป็นลายลักษณ์อักษรที่ชัดเจน

โดยเรามีตัวอย่างง่าย ๆ จาก PDPA Thailand โดย ICDL ที่ HR สามารถนำไปปรับใช้ดังนี้

  • ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนเก็บรวบรวมเสมอ ผ่านลายลักษณ์อักษรที่ระบุถึงวิธีการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล
  • ไม่แนะนำให้ขอข้อมูลบัตรประชาชนทั้งตัวจริงหรือสำเนา จนกระทั่งผ่านพิจารณาได้รับตำแหน่งงาน
  • จัดการแยกประเภทของข้อมูลส่วนบุคคล ตามหาทำการเช็กลิสต์จัดเก็บอยู่ที่ไหนบ้าง มีอะไรบ้าง มีการขออนุญาตหรือไม่
  • เอกสาร ข้อมูล หรือประวัติการสมัครงานควรเก็บไว้เพียงระยะสั้น ๆ และควรมีขั้นตอนทำลายข้อมูลนั้นอย่างปลอดภัย
  • เจ้าของข้อมูลส่วนบุคคลสามารถถอนความยินยอมได้ในภายหลัง รวมถึงมีสิทธิขอให้ลบหรือทำลายข้อมูลส่วนบุคคลของตัวเองได้
  • ก่อนมีการส่งต่อข้อมูลผู้สมัครงานเพื่อพิจารณาในตำแหน่งงานอื่น ๆ จะต้องมีการขอความยินยอมเสียก่อน โดยจะต้องเขียนข้อความขอความยินยอมแยกออกมาให้ชัดแจ้ง และให้ผู้สมัครงานเซ็นชื่อยอมรับในจุดนี้แยกอีกครั้ง
  • ฝ่ายบุคคลต้องมีนโยบายเกี่ยวกับการเก็บรักษา และมาตรการทำลายข้อมูลส่วนบุคคลของอดีตบุคลากรที่ชัดเจน
  • หากองค์กรมีความจำเป็นที่จะตรวจสอบหรือสังเกตการณ์การทำงานของบุคลากรผ่านอีเมล คอมพิวเตอร์ และโทรศัพท์ จะต้องมีการแจ้งให้เจ้าของข้อมูลให้รับทราบ พร้อมระบุถึงเหตุผลของการดำเนินการดังกล่าวด้วย

ทั้งหมดนี้เป็นเพียงส่วนหนึ่งของแนวทางปฏิบัติภายใต้ PDPA ซึ่งเป็นกระบวนการที่จะต้องใช้ระยะเวลาในการวางแผนและดำเนินการต่อไป เพราะ HR มีทั้งข้อมูลเก่า และข้อมูลใหม่จากพนักงานที่เข้ามาสมัครงานเรื่อยๆ

สำหรับประเด็นนี้ มีเพื่อน HR เข้ามาถึงวิธีการปรับสัญญาจ้างอย่างไรให้สอดคล้อง PDPA ทุกคนสามารถเข้าไปร่วมแสดงความคิดเห็นกันได้ที่ HR Board

HR มีข้อสงสัยหรือคำถามเกี่ยวกับประเด็นนี้

 

 

Q: ปรับสัญญาจ้างอย่างไรให้สอดคล้อง PDPA

ในขั้นตอนกระบวนการรับสมัครงานจะเป็นช่วงที่ต้องดีลกับข้อมูลพนักงานหลายๆ อย่างเลยค่ะ อยากสอบถามว่ามีจุดไหนที่ต้องระวังว่าจะไปละเมิดกฎหมายข้อมูลส่วนบุคคลบ้างคะ HR Board

 

บทสรุป

นับตั้งแต่วันนี้ จนถึงวันบังคับใช้ 1 มิถุนายน 2565 เรายังพอมีเวลาในการเตรียมตัวรับมือกับ PDPA นี่จึงเป็นช่วงเวลาสำคัญที่ทุกคน ทุกองค์กร ทุกธุรกิจที่จะต้องเร่งทำความเข้าใจ เตรียมตัว และสร้างแรงกระตุ้นให้ตระหนักความสำคัญของเรื่องนี้ โดยเฉพาะฝ่ายทรัพยากรบุคคล หรือ HR หนึ่งในแผนกสำคัญที่ทำงานอยู่กับข้อมูลส่วนบุคคลมากที่สุด เพื่อที่ว่าองค์กรของเราจะการดำเนินการตามนโยบาย และการปฏิบัติให้สอดคล้องตามข้อบังคับของกฎหมายนั่นเอง

 

คุณมีปัญหาหรือคำถามที่ต้องการคำตอบใช่หรือเปล่า?

หากคุณรู้สึกว่าได้รับเทคนิคดี ๆ จากบทความนี้และอยากได้รับความช่วยเหลือเพิ่มเติมอีก

สามารถตั้งคำถามได้ในชุมชนของเรา ! แล้วคุณจะได้รับคำตอบมืออาชีพจากผู้เชี่ยวชาญ

 

Q&A HR Board

 

Relation Tags