นายจ้าง และ HR ควรรู้! แนวทางจัดการเมื่อต้องเกี่ยวข้องกับข้อมูลส่วนบุคคลของพนักงาน

เมื่อกฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะเริ่มบังคับใช้อย่างเต็มรูปแบบในเร็วๆ นี้ (กำหนดระยะเวลาใช้บังคับ ทำให้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จะมีผลใช้บังคับในวันที่ 1 มิถุนายน 2565 )ทำให้การเตรียมตัวและวางแนวทางเพื่อปฏิบัติตามอย่างถูกต้องครบถ้วนนั้น อาจไม่ใช่แค่บริษัทที่เกี่ยวข้องกับข้อมูลลูกค้าเท่านั้นที่ต้องเร่งเตรียมตัว แต่ต้องบอกว่าทุกองค์กรต้องตั้งรับ ปรับตัว และเตรียมพร้อม เพราะกฎหมาย PDPA นี้ มีผลครอบคลุมไปถึงข้อมูลของพนักงาน ลูกจ้าง และบุคคลทุกคนในองค์กรด้วย แล้วนายจ้างและผู้เกี่ยวข้องโดยตรงอย่าง HR ควรปฏิบัติหรือต้องระวังอะไรบ้าง เพื่อไม่พลาดทำผิดกฎหมายดังกล่าว 

คำถามที่มักเกิดขึ้นคือเมื่อกฎหมาย PDPA บังคับใช้ นายจ้าง และ HR จะมีความเกี่ยวข้องอย่างไร และต้องปรับตัว เตรียมการมากน้อยเพียงใด

  • นายจ้าง ถือเป็นผู้ควบคุมข้อมูลส่วนบุคคล ตามบทบัญญัติในมาตรา 6 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลซึ่งมีใจความว่า “ผู้ควบคุมข้อมูลส่วนบุคคล หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล”
  • ฝ่ายทรัพยากรบุคคล หรือ HR เป็นผู้ที่ทำหน้าที่ตามคำสั่งของนายจ้าง จึงถือเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งตามมาตรา 6 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล บัญญัติไว้ว่า “ผู้ประมวลผลข้อมูลส่วนบุคคล หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล”

ข้อมูลพนักงานที่องค์กรต้องเกี่ยวข้องมีอะไรบ้าง?

การรับลูกจ้างเข้าทำงาน นายจ้าง และ HR ย่อมมีข้อมูลต่างๆ ของผู้สมัคร เพื่อทำความรู้จักบุคคลนั้นๆ ให้มากที่สุด จึงเลี่ยงไม่ได้ที่จะต้องเกี่ยวข้องกับข้อมูลส่วนบุคคล ซึ่งระบุตัวตนของคนนั้นๆ ได้ชัดเจน เช่น

1) ประวัติส่วนตัว
2) ใบสมัครงาน และเอกสารประกอบ เช่น หลักฐานการศึกษา ข้อมูลทะเบียนบ้าน บัตรประชาชน ใบรับรองการฝึกอบรม
3) ผลการตรวจสุขภาพ
4) ผลการประเมินช่วงทดลองงาน และระหว่างปฏิบัติงาน
5) สลิปเงินเดือน และเงินพิเศษเพิ่มเติมอื่นๆ ที่เกี่ยวกับงาน
6) ข้อมูลเกี่ยวกับผู้สมัครด้านพฤติกรรม ความประพฤติ ประวัติทางวินัย หนังสือตักเตือน หรือหนังสือเลิกสัญญาจ้าง
7) ใบประกาศด้านความดีความชอบ หรือรางวัลต่างๆ
8) สัญญาจ้าง ลักษณะการจ้างงานในแต่ละช่วง
9) ข้อมูลสถิติการเข้างาน – เลิกงาน การลางาน ขาดงาน หรือมาสาย
10) ประวัติทางอาชญากรและประวัติเกี่ยวกับการกระทำความผิดต่างๆ ก่อนเป็นพนักงาน
11) ประวัติครอบครัว และบุคคลที่เกี่ยวข้องกับพนักงาน

โดยการปฏิบัติอย่างถูกต้องตามกฎหมาย PDPA นั้น ก่อนที่นายจ้างจะได้พิจารณาข้อมูลส่วนบุคคลของผู้สมัคร จะต้องมีการขอความยินยอมจากผู้สมัครงานก่อน

ทำอย่างไรเมื่อต้องเกี่ยวข้องกับข้อมูลส่วนบุคคลของพนักงาน?

1. ดำเนินการตามแนวทางที่สอดรับกับกฎหมาย

บริษัทควรรวบรวมข้อมูลความเกี่ยวข้องของบริษัทกับข้อมูลส่วนบุคคลในด้านต่างๆ พร้อมประเมินเกี่ยวกับข้อมูลนั้นๆ ทั้งด้านของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลว่ามีประเด็นส่วนไหนที่ต้องปฏิบัติตามกฎหมาย และประเด็นไหนยังไม่ได้จัดการในทางที่สอดคล้องกับกฎหมาย พร้อมกำหนดนโยบาย แนวทางปฏิบัติอย่างชัดเจน และเตรียมพร้อมบุคคลที่ต้องเกี่ยวข้องกับข้อมูลด้วย

2. มีมาตรการจัดการข้อมูลส่วนบุคคลที่รัดกุมปลอดภัย

บริษัทต้องประเมินผลเกี่ยวกับข้อมูลส่วนบุคคล ทั้งจำนวนการเก็บข้อมูลส่วนบุคคล ลักษณะการเดินทางของข้อมูลส่วนบุคคล (ได้ข้อมูลมาอย่างไร ผ่านใครมาบ้าง และถูกเก็บไว้ที่ไหนอย่างไร) การดูแลป้องกันข้อมูลส่วนบุคคล รวมถึงการลบทำลายข้อมูล และการบันทึกหลักฐานต่างๆ เพื่อให้เห็นถึงปริมาณการมีอยู่ของข้อมูล และลำดับความสำคัญของข้อมูลส่วนต่างๆ โดยการจัดการข้อมูลนั้นแบ่งเป็น 2 ด้านคือ

  • การจัดการบันทึกข้อมูลส่วนบุคคล โดยข้อมูลเหล่านั้นจะต้องมีระบบจัดเก็บ จัดการ วิเคราะห์ และดูแลอย่างมีมาตรฐาน เพื่อให้เห็นภาพรวมที่เชื่อมโยงและแนวทางบริหารจัดการที่ถูกต้อง ป้องกันการรั่วไหล รวมถึงการอัปเดตข้อมูลได้อย่างมีประสิทธิภาพ
  • การดำเนินการด้านความยินยอม โดยบริษัทควรมีเอกสารให้พนักงาน ลูกจ้าง ที่เป็นเจ้าของข้อมูลลงนามยินยอมต่อการใช้ จัดเก็บ และเปิดเผยข้อมูลส่วนบุคคล พร้อมระบุวัตถุประสงค์ ระยะเวลาของการนำข้อมูลส่วนบุคคลไปใช้อย่างชัดเจน

3. วางแผนป้องกันการละเมิดและการถูกโจมตีข้อมูล

ข้อมูลส่วนบุคคลของพนักงานนั้นมีความสำคัญไม่ต่างจากข้อมูลของลูกค้า ดังนั้นจึงต้องป้องกันทั้งด้านระบบ และบุคคล เพราะการปกป้องข้อมูลที่ดีจากภายใน จะสะท้อนถึงความน่าเชื่อถือที่บุคคลภายนอกเห็น เป็นผลดีกับทุกฝ่าย ไม่ว่าจะเป็นบริษัทเอง หรือพนักงาน หรือลูกค้า

 

ลงทะเบียนรับคู่มือ PDPA ที่ HR ควรทราบ คลิก

สาระเพิ่มเติม vdo และ เอกสารประกอบ HR ต้องรู้ เพื่อรับมือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล โดยอาจารย์ มยุรี ชวนชม จาก THINK PEOPLE CONSULTING ใน ปี 2564

เอกสารสัมมนา HR ต้องรู้ เพื่อรับมือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

VDO HR ต้องรู้ เพื่อรับมือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

EP.01
EP.02
EP.03

รายละเอียดเพิ่มเติม งานสัมมนา PDPA ก่อนบังคับใช้...อะไรที่ต้องพร้อม สำหรับผู้ประกอบธุรกิจที่มิใช่สถาบันการเงิน

24 กุมภาพันธ์ 2564 ที่มา Bank of Thailand

เอกสาร

เอกสารประกอบงานสัมมนา ช่วงที่ 1
เอกสารประกอบงานสัมมนา ช่วงที่ 2
เอกสารประกอบงานสัมมนา ช่วงที่ 3

เนื้อหาอื่นที่น่าสนใจ เกี่ยวกับ PDPA

อ่านเพิ่มเติม PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คืออะไร

อ่านเพิ่มเติม เจ้าของธุรกิจควรรู้ ไม่ทำ Privacy Policy เสี่ยงผิดพรบ.คุ้มครองข้อมูล

อ่านเพิ่มเติม HR สามารถตอบคำถามที่ทำงานใหม่ของอดีตลูกจ้างโทรมาสอบถามถึงสาเหตุการลาออกได้หรือไม่

อ่านเพิ่มเติม นายจ้างสามารถส่งข้อมูลชื่อ นามสกุลและอัตราเงินเดือนของลูกจ้าง ให้แก่บริษัทรับจ้างทำจ่ายเงินเดือนได้หรือไม่

Bplus e-Recruit ระบบสมัครงาน รองรับนโยบายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ส่วนข้อมูลของผู้สมัครงาน พร้อมให้แสดงในเว็บไซต์เพื่อให้ผู้สมัครรับทราบและยินยอมก่อนเข้าเว็ปไซต์ก่อนการสมัครงาน และรองรับการกำหนดระยะเวลาจัดเก็บข้อมูลของผู้สมัคร และการลบประวัติที่ครบอายุจัดเก็บ

ตัวอย่างแบบฟอร์ม ที่มา สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.)

ตัวอย่าง แบบฟอร์มสมัครงาน

ตัวอย่าง สัญญาจ้างงาน

โทษหนักแค่ไหน?…หากไม่ปฏิบัติตามกฎหมาย PDPA

PDPA แบ่งการกำหนดโทษออกเป็น 3 ส่วน คือ โทษทางแพ่ง ทางอาญา และทางปกครอง

1. โทษทางแพ่ง

ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทน โดยต้องจ่าย 2 ส่วน คือ

1) ค่าสินไหมทดแทนที่แท้จริง

2) ค่าสินไหมทดแทนเพื่อการลงโทษสูงสุด 2 เท่าของค่าสินไหมทดแทนที่แท้จริง (ค่าสินไหมทดแทนเพื่อการลงโทษสูงสุด คือค่าใช้จ่ายในการกระทำความผิดนอกเหนือจากค่าสินไหมทดแทน ซึ่งศาลอาจมีคำสั่งให้ผู้ทำผิดจ่ายเพิ่มจากจำนวนค่าสินไหมทดแทนที่แท้จริง)

ดังนั้นหากศาลตัดสินให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องจ่ายค่าสินไหมทดแทนให้เจ้าของข้อมูล 500,000 บาท ยอดรวมที่ผู้ทำผิดต้องจ่ายคือ

ค่าสินไหมทดแทนที่แท้จริง + (ค่าสินไหมทดแทนเพื่อการลงโทษ × 2)

500,000 + (500,000 × 2) = 1,500,000 บาท

2. โทษทางอาญา

มีบทลงโทษทั้งโทษปรับและจำคุก คือ ปรับตั้งแต่ 5 แสนบาท ไปจนถึง 5 ล้านบาท และจำคุกตั้งแต่ 6 เดือน ไปจนถึง 1 ปี หรือทั้งจำทั้งปรับ ซึ่งบทลงโทษนั้นเป็นไปตามลักษณะความผิด

3. โทษทางปกครอง

เป็นลักษณะของโทษปรับที่เป็นตัวเงิน ซึ่งมีตั้งแต่ 1 ล้านบาท ไปจนถึง 5 ล้านบาท ซึ่งบทลงโทษนั้นเป็นไปตามลักษณะความผิด และความผิดในโทษทางปกครองนี้จะเป็นคนละส่วนกับการชดใช้ค่าเสียหายทางแพ่งและโทษปรับทางอาญาด้วย

การปฏิบัติตามกฎหมาย PDPA อย่างถูกต้องครบถ้วน เจ้าของบริษัทและฝ่าย HR ควรให้เวลากับการทำความเข้าใจ เพราะหากไม่มีการเตรียมความพร้อมที่ดีพอและพลาดกระทำความผิดไปแล้ว ผลที่ตามมานอกจากจะเสียค่าปรับ เสียชื่อเสียงแล้ว ยังเสียภาพลักษณ์และความน่าเชื่อถือจากลูกค้าอีกด้วย 

ที่มา www.dharmniti.co.th