5 ข้อที่ฝ่าย HR ต้องรู้! เกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA)

Personal Data Protection Act (PDPA) หรือ กฎหมายคุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายใหม่ที่ประกาศในปี 2562 และปัจจุบัน มีการบังคับใช้กฎหมาย PDPA อย่างเต็มรูปแบบ โดย PDPA เป็นกฎหมายที่กำหนดหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น เจ้าของธุรกิจและฝ่ายบุคคลจำเป็นต้องให้ความสำคัญกับเรื่อง PDPA เป็นอย่างมาก เนื่องจากข้อมูลของพนักงานเกี่ยวข้องกับเรื่อง PDPA โดยตรง ฝ่าย HR จึงต้องมีความรู้ ความเข้าใจ และวิธีป้องกันที่จะไม่ทำให้เกิดปัญหาขึ้นในภายหลัง มาดูกันว่า

5 ข้อที่ฝ่าย HR ต้องรู้เกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลมีอะไรบ้าง

1. ฝ่ายบุคคลต้องขอความยินยอมจากพนักงาน เพื่อจัดเก็บหรือใช้ข้อมูลตาม PDPA ตามกฎหมายของ PDPA ฝ่ายบุคคลจะต้องขอความยินยอมจากพนักงานเสมอ เมื่อต้องการจัดเก็บหรือนำข้อมูลส่วนบุคคลไปใช้ ตั้งแต่การยื่นสมัครงาน โดยสามารถใช้วิธีการแจ้งผู้สมัครผ่านใบสมัครงานหรือส่งผ่านทางอีเมลที่เป็นช่องทางในการยื่น Resume ฝ่ายบุคคลควรมีการวางแผนและตรวจสอบให้เกิดความสอดคล้องกับกฎหมาย PDPA เพื่อไม่ให้เกิดข้อผิดพลาดในภายหลัง
2. ฝ่ายบุคคลต้องจัดเก็บและป้องกันข้อมูลส่วนบุคคลของพนักงานไว้เป็นอย่างดี แน่นอนว่าฝ่ายบุคคลหรือฝ่าย HR เป็นผู้ที่ถือข้อมูลส่วนตัวของผู้สมัครและพนักงานทุกคนในองค์กร เมื่อกฎหมาย PDPA มีการบังคับใช้ ฝ่ายบุคคลจำเป็นต้องเก็บและรวบรวมข้อมูลเอาไว้ไม่ให้รั่วไหล หรือมีการนำไปใช้ที่ผิดจุดประสงค์ มีการประเมินผลเกี่ยวกับข้อมูลส่วนบุคคล ปกป้องข้อมูลของพนักงาน ให้เป็นไปตามที่กฎหมายกำหนดและตรงตามนโยบายที่กำหนดของบริษัท
3. ฝ่ายบุคคลต้องแจ้งพนักงานเกี่ยวกับการเก็บข้อมูลส่วนบุคคล ที่ตรงตามข้อบัญญัติของ PDPA ข้อมูลส่วนบุคคลของพนักงาน ฝ่ายบุคคลต้องแจ้งให้พนักงานทราบรายละเอียดเกี่ยวกับการรวบรวม จัดเก็บ หรือการเปิดเผยข้อมูลดังกล่าว ซึ่งการแจ้งให้พนักงานทราบ ฝ่าย HR สามารถทำได้หลายวิธีด้วยกัน ไม่ว่าจะเป็นการส่งอีเมลเวียนเกี่ยวกับนโยบาย PDPA ภายในบริษัท การติดตั้ง HR Privacy Policy บนเว็บไซต์ หรือปิดประกาศ HR Privacy Policy ที่ป้ายปิดประกาศของออฟฟิศ
4. เมื่อฝ่ายบุคคลต้องมีการส่งข้อมูลส่วนบุคคลให้กับบุคคลที่สาม ต้องระบุรายละเอียดของการส่งต่อข้อมูลใน Privacy Policy และต้องขอความยินยอมก่อนทุกครั้ง เมื่อฝ่ายบุคคลมีความจำเป็นต้องยื่นเอกสารให้กับหน่วยงานอื่นๆ ในองค์กร เช่น การส่งข้อมูลเกี่ยวกับเงินเดือนพนักงาน การส่งชื่อหรือเลขบัญชีธนาคารและเงินเดือน ให้แผนกบัญชีในบริษัท หรือการติดต่อกับหน่วยงานของรัฐ เช่น การยื่นสิทธิประกันสังคม การยื่นภาษีกรมสรรพากร ทั้งหมดถือเป็นการประมวลผลข้อมูลตาม PDPA ฝ่าย HR จะต้องมีการระบุรายละเอียดใน Privacy Policy ว่าส่งให้หน่วยงานไหน เพื่ออะไร และต้องแจ้งให้พนักงานยินยอมให้การเปิดเผยข้อมูลก่อนทุกครั้ง
5. เตรียมความพร้อมสำหรับมาตรฐานในการจัดเก็บข้อมูลส่วนบุคคลให้ตรงตามกฎหมาย PDPA กฎหมาย PDPA เป็นเรื่องที่ฝ่ายบุคคลต้องให้ความสำคัญอย่างมาก หากไม่มีการเตรียมความพร้อมและมาตรการรักษาข้อมูลที่ครอบคลุม เมื่อเกิดเหตุการณ์ไม่คาดฝัน เช่น กรณีที่ข้อมูลส่วนบุคคลรั่วไหลออกไป บริษัทจะต้องได้รับบทลงโทษตามข้อบัญญัติของ PDPA ดังนี้

• โทษทางแพ่ง – ผู้ละเมิดต้องชดเชยค่าสินไหมทดแทนเป็น 2 เท่าของความเสียหายจริง
• โทษทางอาญา – ผู้ละเมิดจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับสูงสุดไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
• โทษทางปกครอง – ผู้ละเมิดปรับสูงสุดไม่เกิน 5 ล้านบาท

กฎหมาย PDPA เป็นกฎหมายที่เริ่มกำหนดใช้ได้ไม่นาน ฝ่ายบุคคลหรือจะต้องผู้นำในการปรับเปลี่ยนการจัดเก็บข้อมูลในองค์กร เพื่อให้สอดคล้องกับกฎหมาย PDPA

Vinarco เป็นบริษัท Manpower Contractor Agency ที่จัดหาโซลูชันด้านการจัดหาทรัพยากรบุคคลที่มีความเชี่ยวชาญและทักษะสูง จากความต้องการของอุตสาหกรรมที่ต้องการบุคลากรที่มีความสามารถด้านเทคนิคเฉพาะทางอย่าง Oil & Gas อีกทั้ง เรายังมีบริการให้คำปรึกษาเกี่ยวกับกฎหมาย PDPA, วางแผนโซลูชันในการปฏิบัติตามข้อกำหนดของ PDPA จากเจ้าหน้าที่คุ้มครองข้อมูล (DPO) และมีการจัดฝึกอบรม PDPA Training สำหรับองค์กรต่างๆ ด้วยแพลตฟอร์ม VinarcoFormiti LMS ที่สามารถดำเนินการบนพีซี  สมาร์ทโฟนได้อย่างง่ายดาย ช่วยให้องค์กรสามารถเตรียมความพร้อมและวางแผน Privacy Policy ให้สอดคล้องกับกฎหมาย PDPA อย่างรอบคอบและแม่นยำมากขึ้น