HR Privacy Policy กับ Recruitment Privacy Policy ต่างกันอย่างไร บริษัทจำเป็นต้องมีไหม พร้อมสิ่งที่ HR ควรรู้

    พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA (Privacy Data Protection Act) กำหนดให้ธุรกิจและองค์กรมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ซึ่งมีหน้าที่ต่อเจ้าของข้อมูลส่วนบุคคล ในที่นี้อาจเป็นลูกค้า พนักงานในองค์กร หรือคู่ค้า ที่ภาคธุรกิจจัดเก็บข้อมูลส่วนบุคคลไว้ และนำข้อมูลส่วนบุคคลที่ขอความยินยอม (Consent) จากเจ้าของข้อมูลไปใช้ โดยอาจใช้วิธีการแจ้งเตือนผ่านนโยบายความเป็นส่วนตัว (Privacy Policy) หรือการแจ้งเตือนหน้าเว็บไซต์ (Notice)

ตัวอย่างเช่น หากองค์กรประกาศรับสมัครพนักงานผ่านเว็บไซต์จัดหางานก็จะต้องแจ้งผ่านฟอร์มหรือแจ้งในระบบรับสมัครให้ผู้สมัครงานที่เป็นเจ้าของข้อมูลทราบว่าจะมีการจัดเก็บข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ วันเกิด ประวัติการศึกษา และแจ้งวัตถุประสงค์การรวบรวมข้อมูลเพื่อใช้สำหรับกระบวนการรับสมัครงานเท่านั้น

กฎหมาย PDPA สำหรับ HR บริษัทจำเป็นต้องมี Privacy Policy หรือไม่

แผนกบุคคล หรือ HR มีหน้าที่ในการบริหารทรัพยากรบุคคลที่หลากหลาย ตั้งแต่การสรรหาคัดเลือกบุคลากร การว่าจ้าง การเบิกจ่ายค่าจ้างเงินเดือน ดูแลสวัสดิการบุคลากร ทำให้พนักงานในแผนก HR ต้องบริหารจัดการข้อมูลส่วนบุคคลให้ปลอดภัยทั้งของบุคคลที่สมัครงานกับบริษัท พนักงานในบริษัท รวมถึงพนักงานเก่าที่ที่องค์กรได้เลิกจ้างไปแล้ว โดยจะต้องมีมาตรการที่รัดกุมมากเพียงพอไม่ให้ข้อมูลรั่วไหลออกไป มิฉะนั้น องค์กรก็จะได้รับโทษทางกฎหมาย PDPA และยังเสียความน่าเชื่อถืออีกด้วย ดังนั้น HR จึงควรมีความรู้ความเข้าใจเกี่ยวกับกฎหมาย PDPA เพื่อจัดการข้อมูลส่วนบุคคลที่ดูแลได้อย่างถูกต้องตามกฎหมาย PDPA

สิ่งที่ HR จำเป็นต้องทำตาม PDPA คือ กำหนดนโยบายเพื่อแจ้งขอความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะเป็นผู้สมัครงานหรือพนักงานในองค์กรเพื่อขอใช้ เก็บรวมรวบหรือเปิดเผยข้อมูลส่วนบุคคล ดังนั้น เพื่อให้การแจ้งขอ consent มีความเฉพาะเจาะจงมากยิ่งขึ้น จึงควรแยกการแจ้งขอความยินยอมผ่าน Privacy Policy ตามประเภทการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลเพื่อให้การแจ้งเฉพาะเจาะจงมากยิ่งขึ้น โดยแบ่งออกเป็น HR Privacy Policy กับ Recruitment Privacy Policy

HR Privacy Policy คืออะไร

HR Privacy Policy เป็นนโยบายความเป็นส่วนตัวฝ่ายบุคคล โดยภาคธุรกิจที่เก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลของพนักงานในองค์กร หรือประมวลผลข้อมูลส่วนบุคคลของพนักงาน เช่น ชื่อ-นามสกุล ที่อยู่ เลขบัตรประชาชน เพื่อใช้ยื่นภาษีหรือประกันสังคม จะต้องมีหน้าที่แจ้งจุดประสงค์และแนวปฏิบัติของการประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานในการประมวลผลข้อมูลและสิทธิเกี่ยวกับข้อมูลส่วนบุคคลตามกฎหมาย PDPA

นอกจากนี้ HR Privacy Policy ยังครอบคลุมไปถึงการปฏิบัติ และมาตรการจัดการด้านความปลอดภัยของบริษัท เพื่อคุ้มครองข้อมูลส่วนบุคคลที่บริษัทนำข้อมูลของพนักงานไปประมวลผล รวมทั้งแจ้งนโยบายเกี่ยวกับการเก็บรักษา และมาตรการทำลายข้อมูลส่วนบุคคลในกรณีที่พนักงานไม่ได้เป็นลูกจ้างขององค์กรอีกต่อไป และหากองค์กรมีความจำเป็นที่จะตรวจสอบหรือสังเกตการณ์การทำงานของบุคลากรผ่านอีเมล คอมพิวเตอร์ และโทรศัพท์ จะต้องมีการแจ้งให้เจ้าของข้อมูลให้รับทราบ พร้อมระบุถึงเหตุผลของการดำเนินการดังกล่าวด้วย

Recruitment Privacy Policy คืออะไร

Recruitment Privacy Policy เป็นนโยบายความเป็นส่วนตัวด้านการสรรหาและคัดเลือกบุคลากร โดยภาคธุรกิจที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้สมัครงาน เช่น ชื่อ-นามสกุล ประวัติการทำงาน ประวัติการศึกษา ประวัติสุขภาพ ไปจนถึงประวัติอาชญากรรม เพื่อใช้ในกระบวนการก่อนการพิจารณาจ้างงาน การประกาศโฆษณารับสมัครงาน การสมัครงาน การคัดเลือก และการสัมภาษณ์

บริษัทมีหน้าที่ต้องแจ้งวัตถุประสงค์และแนวปฏิบัติของการประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานในการประมวลผลข้อมูลและขอความยินยอม (Consent) โดยแจ้งการขอใช้หรือเก็บรวบรวมข้อมูลผ่านใบสมัคร หรือ Recruitment Privacy Policy ในระบบรับสมัคร นอกจากนี้ Recruitment Privacy Policy ยังครอบคลุมไปถึงการปฏิบัติ ไปจนถึงมาตรการจัดการด้านความปลอดภัยของบริษัท รวมถึงกระบวนการลบหรือทำลายข้อมูลส่วนบุคคลของผู้สมัครงานอีกด้วย

ความแตกต่างระหว่าง Recruitment Privacy Policy กับ HR Privacy Policy

• Recruitment Privacy Policy - ใช้สำหรับประกาศแจ้งผู้สมัครงานในระหว่างกระบวนการรับสมัครพนักงาน
• HR Privacy Policy - ใช้สำหรับประกาศแจ้งพนักงานปัจจุบันในองค์กร

ภาคธุรกิจที่มีการประกาศโฆษณารับสมัครงานและขอรวบรวมข้อมูลส่วนบุคคลของผู้สมัครงาน เช่น ชื่อ-นามสกุล ประวัติการทำงาน ประวัติการศึกษา ประวัติสุขภาพ ไปจนถึงประวัติอาชญากรรม เพื่อเป็นหลักฐานในการพิจารณาและคัดเลือกเพื่อว่าจ้าง บริษัทควรเก็บข้อมูลเท่าที่จำเป็นกับการพิจารณาเพื่อรับเข้าทำงานเท่านั้น โดยใช้ฐานสัญญาหรือขอความยินยอมโดยชัดแจ้งได้ ซึ่งสามารถแจ้งผ่านฟอร์มหรือแจ้งในระบบรับสมัครก็ได้ สำหรับขั้นตอนการรับสมัครงาน เจ้าของข้อมูลมีสถานะเป็นผู้สมัคร กรณีนี้บริษัทจะใช้การขอความยินยอม (Consent) เป็นหลัก โดยแจ้งการขอใช้หรือเก็บรวบรวมข้อมูลผ่านใบสมัคร หรือ Recruitment Privacy Policy ในระบบรับสมัคร

ส่วนในขั้นตอนการสัมภาษณ์งาน ภาคธุรกิจจะต้องตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลของผู้สมัครที่ถูกบันทึกและเก็บรักษาไว้นั้นเกี่ยวข้องและจำเป็นต่อกระบวนการรับสมัครงาน และบันทึกดังกล่าวควรจะถูกลบหรือทำลายในเวลาอันสมควร ทั้งนี้ บริษัทอาจมีความจำเป็นจะต้องทำการตรวจสอบภูมิหลังและข้อเท็จจริงต่างๆ ของตัวผู้สมัครจากบุคคลที่สาม ซึ่งอาจก่อให้เกิดความเสี่ยงการล่วงล้ำความเป็นส่วนตัวของผู้สมัครได้ จึงควรทำเฉพาะกรณีที่ผู้ว่าจ้างมีความจำเป็นและไม่มีทางเลือกอื่น โดยบริษัทอาจแจ้งการขอใช้หรือเก็บรวบรวมข้อมูลผ่าน Recruitment Privacy Policy ในระบบรับสมัครหรือแจ้งก่อนการสัมภาษณ์งานได้เช่นเดียวกัน

ต่อมาเมื่อได้รับคัดเลือกเป็นพนักงานแล้ว เจ้าของข้อมูลส่วนบุคคลมีสถานะเป็นพนักงาน กรณีนี้บริษัทจะใช้ฐานสัญญาโดยทำสัญญาจ้างงาน และใช้ฐานความจำเป็นในการปฏิบัติตามกฎหมาย (legal obligation) ตามกฎหมายแรงงานเป็นหลัก ส่วนการแจ้งจุดประสงค์ แนวปฏิบัติของการประมวลผลข้อมูลส่วนบุคคลและสิทธิเกี่ยวกับข้อมูลส่วนบุคคลอื่นๆ จะแจ้งเพิ่มเติมผ่าน HR Privacy Policy เพื่อขอความยินยอม (Consent) จากพนักงานผู้เป็นเจ้าของข้อมูลส่วนบุคคล

บทสรุป

PDPA กำหนดว่าธุรกิจจะต้องแจ้งวัตถุประสงค์เพื่อขอใช้ รวบรวมหรือเปิดข้อมูลส่วนบุคคลกับเจ้าของข้อมูล ซึ่งเจ้าของข้อมูลส่วนบุคคลไม่ได้มีเพียงลูกค้าของบริษัทเท่านั้น แต่ยังมีผู้สมัครงานและพนักงานปัจจุบันอีกด้วย ในฐานะที่แผนก HR เป็นผู้ดูแลรับผิดชอบข้อมูลส่วนบุคคลของทั้งผู้สมัครงานและของพนักงานในองค์กร ก็จำเป็นต้องขอความยินยอมการประมวลผลข้อมูลส่วนบุคคลผ่าน Privacy Policy แยกตามแต่ละประเภทเจ้าของข้อมูลส่วนบุคคล โดยบริษัทสามารถจัดทำ HR Privacy Policy สำหรับพนักงานปัจจุบัน และผ่าน Recruitment Privacy Policy สำหรับผู้สมัครงาน แบบมือโปรกับ PDPA Pro ง่ายๆ ใช้ได้กับทุกธุรกิจ เพื่อให้ปฏิบัติตามกฎหมาย PDPA ได้อย่างถูกต้อง