รู้ทัน PDPA เตรียมรับมืออย่างไรให้เหมาะสมทั้งฝ่ายนายจ้างและลูกจ้าง

หลังจากที่ PDPA (Personal Data Protection Act) หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีผลบังคับใช้ไปสด ๆ ร้อน ๆ ในช่วงสองปีที่ผ่านมานี้

Share This Post

Share on facebook
Share on linkedin
Share on twitter
Share on email

หลังจากที่ PDPA (Personal Data Protection Act) หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีผลบังคับใช้ไปสด ๆ ร้อน ๆ ในช่วงสองปีที่ผ่านมานี้ โดยมีใจความสำคัญคือเพื่อป้องกันการละเมิดสิทธิและความเป็นส่วนตัวทางข้อมูลของบุคคล ที่อาจเกิดขึ้นได้ง่ายเพราะเทคโนโลยีที่พัฒนาอย่างรวดเร็วนี่ล่ะค่ะ

ผู้สมัครงาน ในฐานะ “เจ้าของข้อมูลส่วนบุคคล” (Data Subject) และ แผนกทรัพยากรบุคคล (Human Resource หรือ HR) ซึ่งเป็นตัวแทนของผู้ประกอบการในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) จึงต้องตระหนักถึงความสำคัญของ PDPA ให้มากขึ้น 

สาเหตุหนึ่งก็เพื่อจะได้รู้ถึงสิทธิและหน้าที่ที่จะต้องปฏิบัติตามอย่างเคร่งครัด ถ้าหากไม่ปฏิบัติตามก็อาจจะมีการฟ้องร้องและถูกดำเนินคดีเอาได้ง่าย ๆ เลย คงไม่มีใครอยากทำผิดกฎหมายจริงไหมคะ วันนี้ทางเราจึงมาพูดคุยกันเกี่ยว PDPA ในแง่มุมของ HR ที่จะต้องรับมือให้เหมาะสม และในแง่มุมของผู้สมัครงานที่ต้องรู้ถึงสิทธิของตัวเองกันค่ะ

ข้อมูลส่วนบุคคลสำคัญอย่างไร?

“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลต่าง ๆ ที่มีความเกี่ยวข้องกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลที่เป็นเจ้าของได้ ไม่ว่าจะทางตรงหรือทางอ้อม  โดยบุคคลที่ข้อมูลระบุไปถึง เรียกว่า “เจ้าของข้อมูล” (Data Subject)

 

ตัวอย่างข้อมูลส่วนบุคคลที่พบได้บ่อย ๆ ได้แก่ ชื่อ นามสกุล เลขประจำตัวประชาชน ที่อยู่ เบอร์โทรศัพท์ วันเกิด อีเมล เพศ ประวัติการศึกษา ฐานะทางการเงิน ประวัติสุขภาพ ประวัติการทำงาน ประวัติอาชญากรรม ฯลฯ 

 

HR ควรเตรียมพร้อมรับมือกับ PDPA อย่างไร?

 

  • การสมัครรับบุคคลเข้ามาเป็นพนักงาน

 

ฝ่ายทรัพยากรมนุษย์ หรือ HR ซึ่งมีหน้าที่รับผิดชอบโดยตรงเกี่ยวกับการคัดเลือกบุคคลเข้ามาเป็นพนักงาน จึงเป็นผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลมากที่สุด เริ่มตั้งแต่การประกาศรับสมัคร ซึ่งขั้นตอนนี้จำเป็นจะต้องแจ้งรายละเอียดเกี่ยวกับข้อมูลที่ผู้มัครจะต้องกรอกลงในใบสมัครเพื่อให้แก่ทางบริษัท เพื่อที่จะให้เป็นเกณฑ์คัดเลือก เราถือว่าเป็นกระบวนการรวบรวม ใช้ หรือเปิดเผยข้อมูลค่ะ 

 

HR จะต้องแจ้งให้ผู้สมัครทราบว่ามีข้อมูลอะไรบ้างที่จำเป็นต้องนำไปใช้ และจะต้องได้รับความยินยอมจากผู้สมัคร โดยการได้รับความยินยอมจากผู้สมัครนี้เอง ฝ่าย HR จะต้องทำเป็นหนังสือ หรือทำโดยผ่านระบบอิเล็กทรอนิกส์ ว่าสามารถนำข้อมูลที่ผู้สมัครให้มา ไปเก็บไว้ ไปใช้ หรือนำไปเปิดเผยกับคณะกรรมการที่จะทำหน้าที่ลงมติรับผู้สมัครคนนั้นเข้าทำงาน 

 

ขั้นตอนนี้จึงเป็นขั้นตอนที่สำคัญอย่างมากเลยค่ะ

 

  • การทำหนังสือขอความยินยอมจากผู้สมัคร

 

HR จะต้องทำหนังสือ หรือทำโดย่านระบบอิเล็กทรอนิกส์ก็ได้ ตามที่สะดวกแต่ที่สำคัญ คือถ้อยคำการขอความยินยอมจะต้องแยกออกมาจากข้อความอื่นอย่างชัดเจน และต้องใช้ข้อความหรือภาษาที่ผู้สมัครจะเข้าใจได้ง่าย เพื่อให้เข้าใจได้ชัดเจน ไม่เกิดความสับสน และอย่าลืมใส่วัตถุประสงค์ของการเก็บข้อมูล หรือการนำข้อมูลไปใช้ ลงไปด้วยนะคะ 

 

นอกจากนั้นต้องอย่าลืมให้ความเป็นอิสระในการให้ความยินยอมของผู้สมัครด้วย ทั้งการให้ความยินยอม หรือการเข้าทำสัญญา จะต้องไม่มีเงื่อนไขในการให้ความยินยอมนั้นนะคะ เพราะการยินยอมนี้ถือเป็นสิทธิของผู้สมัครค่ะ

 

  • การเก็บรักษาข้อมูลของผู้สมัคร และพนักงานภายในบริษัท

 

ในฐานะ HR หลีกเลี่ยงไม่ได้ที่จะต้องเก็บข้อมูลส่วนบุคคลของทุกคนที่เข้ามาสมัคร รวมถึงข้อมูลส่วนบุคคลของพนักงานภายในบริษัททุก ๆ คนจริงไหมคะ จำเป็นมากค่ะ ที่จะจัดให้มีมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลเหล่านี้ เพื่อป้องกันการสูญหาย หรือป้องกันคนอื่นจะเข้ามา ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลเหล่านั้น 

 

  • การใช้ข้อมูลส่วนบุคคลกับบุคคลภายนอก

 

กรณีที่ HR จะต้องให้ข้อมูลส่วนบุคคลของพนักงาน แก่บุคคลหรือนิติบุคคลอื่น เช่น การทำประกันการรักษาให้แก่พนักงานภายในบริษัท จำเป็นจะต้องส่งมอบข้อมูลบางประการให้แก่บริษัทประกัน อย่าลืมที่จะต้องมีมาตรการป้องกันไม่ให้บุคคลหรือนิติบุคคลอื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลน้ันด้วยนะคะ

 

  • การอัพเดทข้อมูลพนักงาน

เมื่อถึงระยะเวลาหนึ่ง HR จะต้องตรวจสอบข้อมูลส่วนบุคคลที่มี เมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องกับวัตถุประสงค์ หรือตามที่เจ้าของข้อมูลร้องขอให้ลบ ก็ต้องดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคลนั้น นอกจากจะเป็นการป้องกันการนำไปใช้ และป้องกันการถูกเปิดเผยแล้ว ยังเป็นการจัดระเบียบให้เรียบร้อย และอัพเดทข้อมูลให้มีความเป็นปัจจุบันอีกด้วย

  • กรณีที่จะนำข้อมูลไปใช้ในเรื่องอื่น ๆ 

    หาก HR มีความจำเป็นที่จะนำข้อมูลส่วนบุคคลที่มีไปใช้ในกิจการอื่น ๆ ที่อยู่นอกเหนือจากวัตถุประสงค์ที่ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลนั้นทราบแล้ว HR สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ ต่อเมื่อได้รับความยินยอมจากเจ้าของข้อมูลเท่านั้น อย่าลืมที่จะทำเป็นหนังสือให้ชัดเจนด้วยนะคะ 

    แต่ก็มีบางกรณีที่ HR ก็สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้โดยที่ไม่ได้รับความยินยอมได้แก่
 

  • การจัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือเกี่ยวกับการศึกษาที่จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล ตามที่กำหนด
    • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
    • เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา
    • เป็นการจำเป็นเพื่อปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล
    • เป็นการปฏิบัติตามกฎหมาย
 

สิทธิของเจ้าของข้อมูลส่วนบุคคล ในฐานะผู้สมัครงาน/พนักงานในบริษัทควรรู้

 

  • การกรอกข้อมูลส่วนบุคคลในการสมัครงาน

    ในการส่งข้อมูลส่วนตัวหรือประวัติส่วนตัวของผู้สมัครงาน ผู้สมัครมีสิทธิได้รับการแจ้งให้ทราบถึงวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลจากฝ่าย HR หากมีข้อสงสัยในวัตถุประสงค์จุดไหน อย่าลืมที่จะถาม HR ให้เข้าใจด้วยนะคะ ในฐานะเจ้าของข้อมูล ผู้สมัครมีสิทธเต็มที่ที่จะรู้ว่าทางบริษัทจะนำข้อมูลไปใช้อย่างไรบ้าง
 

  • สามารถขอตรวจสอบและรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวข้องได้

    ผู้สมัครหรือผู้ที่ได้เป็นพนักงานแล้ว ยังสามารถขอตรวจสอบ และขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนเองที่อยู่ในความรับผิดชอบของ HR ซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลได้ตลอดเวลา หากมีความเคลือบแคลงใจ หรือต้องการอัพเดทข้อมูลก็สามารถแจ้ง HR ได้ทุกเมื่อเลยค่ะ
 

  • สามารถถอนความยินยอมเมื่อใดก็ได้

    หลังจากที่ได้ส่งข้อมูลส่วนบุคคลให้ HR แล้ว ผู้สมัครหรือผู้ที่ได้เป็นพนักงานแล้ว สามารถจะถอนความยินยอมเมื่อใดก็ได้ แต่การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้เคยให้ความยินยอมไปแล้วนะคะ (ซึ่งการถอนความยินยอมอาจส่งผลให้เสียไปซึ่งสิทธิบางอย่างที่อาจได้รับได้)

    นอกจากนั้นยังมีสิทธิขอให้ HR ดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลก็ได้อีกด้วย
 

ความรับผิดตาม PDPA 

 

การปกป้องข้อมูลส่วนบุคคลนั้นถือเป็นเรื่องสำคัญ เพื่อเป็นการป้องกันไม่ให้ข้อมูลถูกนำไปใช้โดยไม่เหมาะสมและอาจก่อให้กิดความเสียหายกับเจ้าของข้อมูลนั้น ผู้สมัครควรตรวจสอบและพิจารณาอย่างรอบคอบในการที่จะให้ข้อมูลในการสมัครงาน

 

ในขณะเดียวกันนั้นทางฝั่งของ HR ในการได้มาซึ่งข้อมูล การเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลของผู้ที่มาสมัครงาน รวมถึงพนักงานภายในหน่วยงาน จำเป็นจะต้องมีการกำหนดมาตรการในการปฏิบัติตามข้อกำหนดของ PDPA อย่างเคร่งครัด 

หากไม่ปฏิบัติตามก็อาจก่อให้เกิดความเสียหายขึ้นได้ และเป็นการละเมิดต่อข้อกฎหมาย ทำให้จะต้องรับโทษได้ ทั้งความรับผิดในทางแพ่ง โทษทางอาญา และโทษในทางปกครองได้ สิ่งสำคัญที่สุดก็คือ การแจ้งให้เจ้าของข้อมูลทราบถึงการกระทำต่าง ๆ กับข้อมูลส่วนบุคล และจะต้องได้รับความยินยอมจากเจ้าตัวอย่างชัดเจนนั่นเองค่ะ

 

สุดท้ายนี้การพัฒนาบริษัท หรือองค์กรเพื่อให้ก้าวสู่ความเป็นสากล ปฏิเสธไม่ได้ว่าภาษานั้นเป็นเรื่องสำคัญ การเริ่มต้นที่ดีคือการพัฒนาศักยภาพทางด้านภาษาของบุคลากรภายในองค์กร ไว้วางใจการฝึกภาษากับ Rosett Stone เราทุ่มเทในการเทในการเปลี่ยนแปลงชีวิตผู้คนผ่านพลังของการศึกษาภาษา โดยใช้นวัตกรรมใหม่เป็นตัวผลักดันการเรียนรู้เชิงบวกให้กับผู้เรียนในแวดวงธุรกิจทั่วโลก

 

ส่วนในเรื่องความปลอดภัยของข้อมูลส่วนบุคคล Rosetta Stone ได้ตระหนักและเข้มงวดเรื่องการรักษาความลับทางข้อมูลของลูกค้าซึ่งมีอยู่ทั่วโลก โดยมีนโยบายปฏิบัติตาม GDPR ซึ่งเป็นกฎระเบียบที่ทาง EU ออกมาเพื่อคุ้มครองประชาชนในกลุ่มปะเทศ EU จากการที่ความเป็นส่วนตัวและข้อมูลส่วนบุคคลถูกละเมิดมาเป็นเวลาหลายปี และอยู่ใน Privacy Shield Framework (https://www.privacyshield.gov/list) กรอบข้อตกลงการโอนข้อมูลระหว่างสหภาพยุโรปและสหรัฐอเมริกา จึงขอให้เชื่อมั่นว่า Rosetta Stone จะรักษาข้อมูลส่วนบุคคลในองค์กรของท่านอย่างเต็มที่

More To Explore

สนใจเรียนรู้เพิ่มเติมเรื่อง การฝึกอบรมภาษาสำหรับองค์กร?

drop us a line and keep in touch