PDPA เกี่ยวข้องอย่างไรกับแผนก HR

   

ในองค์กรหรือบริษัทต่าง ๆ ข้อมูลพนักงานถือเป็นสิ่งที่มีการจัดเก็บและรวบรวมไฟล์โดยแผนก HR ทำให้จำเป็นที่จะต้องมีการเก็บข้อมูลและดำเนินการจัดการตามข้อกำหนดของ PDPA สำหรับงาน HR คำถามคือ PDPA มีความเกี่ยวข้องกับแผนก HR อย่างไรบ้าง

PDPA ในงาน HR

PDPA ย่อมาจาก Personal Data Protection Act 2012 เป็นตัว พ.ร.บ. กฎหมายคุ้มครองข้อมูลส่วนบุคคล มีผลบังคับใช้กับทุกองค์กรและหน่วยงาน หรือแผนกงานต่าง ๆ ที่เกี่ยวข้องกับข้อมูล ไม่ว่าจะเป็น IT, Sales, Digital Marketing, Operation, และ Human Resource หรือแผนกทรัพยากรบุคคล ที่ต้องเก็บข้อมูลพนักงานและผู้ที่มาสมัครงาน

เนื่องจากพนักงานมีข้อมูลส่วนบุคคลจำนวนมากที่ HR ต้องรวบรวมจัดการและจัดเก็บ PDPA ส่งผลกระทบโดยตรงต่อวิธีการทำงานของ HR แม้แต่ไฟล์ .Word หรือ .Excel ที่มีชื่อ ข้อมูลติดต่อ ซึ่งดูเหมือนจะไม่ได้เป็นข้อมูลลับแต่อย่างใด ก็ยังจัดเป็นข้อมูลส่วนบุคคล และการดำเนินการจัดการก็ควรเป็นไปตามข้อกำหนดของ พ.ร.บ. เอาไว้อย่างชัดเจน

ข้อควรทราบ

1. ฝ่ายแผนกทรัพยากรบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูล ให้สามารถนำข้อมูลของผู้สมัครหรือพนักงานไปดำเนินการใดๆ ตามนิยามที่กฎหมายระบุได้
2. ความยินยอมนั้นต้องมีขอบเขต
3. ความยินยอมในการจัดเก็บรูปภาพ ข้อมูลบัตรประชาชนและพาสปอร์ต
4. ความยินยอมที่ให้เข้าถึงข้อมูลเกี่ยวกับการรักษาพยาบาล เช่น ประกันสังคม การลาป่วย เป็นต้น
5. ผู้เป็นเจ้าของข้อมูลมีสิทธิปกป้องข้อมูลส่วนตัวของตนเอง

จึงสรุปได้ว่าการกระทำใด ๆ ต้องมีการผ่าน ‘ความยินยอม’ ของพนักงานหรือผู้สมัครก่อนเสมอ ความยินยอมเป็นหนึ่งในปัจจัยที่สำคัญอย่างมากใน พ.ร.บ. กฎหมายคุ้มครองข้อมูลส่วนบุคคล ผู้ที่เป็นเจ้าของข้อมูลสามารถยินยอมหรือปฏิเสธ และรับรู้ถึงการประมวลผลข้อมูลเพื่อเรื่องอะไร เก็บนานแค่ไหน เก็บอะไรบ้าง หรือรวบรวม และใช้ทำอะไรบ้าง เป็นต้น

ตามที่ PDPA ได้ระบุเอาไว้ในงาน HR ต้องทำการชี้แจงการเก็บใช้ ระยะเวลา และทำการขอความยินยอม ในกรณีที่องค์กรละเมิดข้อตกลงหรือทำนอกเหนือจากที่ระบุไว้ ไม่ว่าเจ้าของข้อมูลมีการขอ ‘ถอนความยินยอม’ หรือไม่ เจ้าหน้าที่ได้รับมอบหมายเป็น Data Protection Officer: DPO (อ่านเพิ่มเติมได้ที่บทความ PDPA กับองค์กรในปัจจุบัน) ก็ก็ต้องหยุด ใช้ จัดเก็บข้อมูลทันที หรืออีกนัยหนึ่งก็คือการที่แผนก Human Resource นำข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปใช้เกินกว่าขอบเขตข้อตกลงแต่แรก ก็จะเข้าข่ายผิดทันทีตามกฎหมาย

กฎหมาย PDPA กับ HR นั้นไม่ได้หมดเพียงเท่านี้

เคสที่พนักงานลาออก/โดนไล่ออก หรือมีการเก็บข้อมูลผู้สมัครงานไว้ หาก HR ไม่มีมาตรการรักษาข้อมูลอย่างครอบคลุมที่สามารถก่อให้เกิดการถูกโจรกรรมข้อมูล หลุด หรือถูกเผยแพร่ออกไป โดยไม่ได้อยู่ในข้อตกลงความยินยอมที่ต้องแจ้งให้ทราบต่อเจ้าของข้อมูลตั้งแต่แรก หรือกรณีที่เจ้าของข้อมูลไม่มีความยินยอมอีกต่อไปแล้ว ไม่ว่าจะเป็นการเก็บข้อมูลอะไรบ้าง ระยะเวลาการเก็บนานแค่ไหน และจะมีวิธีการทำลายอย่างไรเมื่อไม่ใช้ข้อมูลนั้นหรือครบกำหนดระยะเวลาการเก็บแล้ว จะทำให้ถูกได้รับโทษทั้งจำและปรับตามกฎหมาย

ปรับจูนองค์กรของคุณให้สอดคล้องกับกฎหมายด้วยการสร้าง Privacy Policy https://pdpa.pro ได้แล้ววันนี้! สร้างแบบบฟอร์มที่จะช่วยให้บริษัทของคุณรับคำขอสิทธิต่างๆ จากเจ้าของข้อมูลอย่างง่ายดาย เพียงคลิก https://pdpaform.com