fbpx

บทบาทที่สำคัญที่สุดอีกครั้งของ HR มาถึงแล้ว กับ การทำตาม PDPA ที่หากไม่ทำ อาจส่งผลกระทบต่อธุรกิจอย่างแรงได้ (ตอนที่ 3)

การคุ้มครองข้อมูลส่วนบุคคล ในงานฝ่าย HR

ตอนที่ 3 การคุ้มครองข้อมูลส่วนบุคคล ในงานฝ่าย HR ด้วย PDPA 

ตัวอย่างการคุ้มครองข้อมูลส่วนบุคคล ในงานฝ่าย HR ด้วย PDPA

การปฏิบัติงานของฝ่าย HR ที่ต้องมีการดำเนินงานต่าง ๆ ที่เกี่ยวกับข้อมูลส่วนบุคคลของพนักงานในฐานะเจ้าของข้อมูลส่วนบุคคล โดยผมจะเปรียบเทียบให้เห็นว่า การทำงานมีความแตกต่างและความปลอดภัยของข้อมูลส่วนบุคคลมีมากขึ้นอย่างไร ก่อนและหลัง PDPA มีผลบังคับใช้

ตัวอย่างการคุ้มครองข้อมูลส่วนบุคคลด้วย PDPA ในงาน HR

ประเภทของกิจกรรมและการทำงาน

ก่อนมิถุนายน 2565

 

ไม่ได้คุ้มครองข้อมูลส่วนบุคคล

กิจกรรมและการทำงานปกติ

หลังมิถุนายน 2565

คุ้มครองข้อมูลส่วนบุคคล

กิจกรรมและแนวทางการทำงาน

1. งานจัดทำ Organization Chart ที่มีรูป ชื่อนามสกุล ตำแหน่ง แผนก ฝ่ายเมื่อจัดทำ Organization Chart เสร็จแล้ว จะนำไปประกาศที่บอร์ดส่วนกลาง บอร์ดฝ่ายต่าง ๆ และเก็บต้นฉบับไว้ใน Folder บุคคลภายนอกที่เข้ามาในพื้นที่เห็นข้อมูลส่วนบุคคลได้การเก็บและเผยแพร่ข้อมูลของทุกคนใน Organization Chart ต้องได้รับการยินยอมจากเจ้าของข้อมูลนั้น โดยมีการแจ้งวัตถุประสงค์ ฐานกฎหมาย ผลที่คาดว่าจะได้รับ ฯลฯ ต่อเจ้าของข้อมูล
2. การจัดทำแผนกำลังคนองค์กรข้อมูลที่จัดทำเสร็จแล้วนั้น ต้องนำไปใช้ประชุมต่อกับผู้ถือหุ้นที่ประกอบด้วยบุคคลภายนอก และมีสื่อมวลชนร่วมด้วย ชื่อ นามสกุล รูปภาพ ตำแหน่ง ชื่อบริษัท ต้องถูกต้อง และเปิดเผยต่อสาธารณะชนผู้จัดทำแผนข้อมูลกำลังคนต้องได้รับการยินยอมประมวลผลข้อมูลจากเจ้าของข้อมูลก่อน โดยต้องแจ้งวัตถุประสงค์ ฐานกฏหมาย สิทธิเจ้าของข้อมูลที่ได้รับ การประเมินความเสี่ยงต่าง ๆ ฯลฯ

 

หรือเขียนให้การใช้ข้อมูลเพื่อจัดทำแผนกำลังคนองค์กรได้รับอนุญาตตามสัญญาจ้างแรงงาน

3. งานสรรหาคัดเลือกและว่าจ้าง– ผู้สมัครงานจะต้องกรอกประวัติส่วนตัว ซึ่งข้อมูลส่วนบุคคลบางส่วนเป็นข้อมูลส่วนบุคคลประเภทอ่อนไหว เมื่อเสร็จแล้วจะนำไปจัดเก็บในแฟ้มหรือระบบ Online การส่งใบสมัครต่อไปที่ฝ่ายต่าง ๆ ที่ใครอาจเห็นประวัติก็ได้ เป็นความเสี่ยงภายในองค์กร            และบางองค์กรมีการส่งใบสมัครไปให้บริษัทในเครือเดียวกันหรือต่างบริษัทกัน เป็นความเสี่ยงภายนอกองค์กร

 

– การจัดทำสัญญาจ้างงานอาจจัดทำโดยเจ้าหน้าที่ HR คนใดก็ได้ซึ่งเห็นข้อมูล ส่วนบุคคลในใบสมัครทั้งหมด

– บริษัทอาจจัดทำป้ายชี้แจงประกาศความเป็นส่วนตัวไว้ที่โต๊ะหรือสถานที่เขียนใบสมัครงาน และจัดทำเอกสารแนบกับใบสมัครงานเพื่อขอความยินยอมจากผู้สมัครงาน ว่ายินยอมให้ทางบริษัทนำข้อมูลส่วนบุคคลไปดำเนินการต่าง ๆ ได้ตามความจำเป็น โดยต้องแจ้งวัตถุประสงค์การใช้ข้อมูลให้ชัดเจน มีฐานกฏหมายมารองรับ แจ้งสิทธิของเจ้าของข้อมูล วิธีการจัดเก็บข้อมูล คนที่มีสิทธิเข้าถึงข้อมูล วิธีรักษาความปลอดภัยของข้อมูล ความเสี่ยงของข้อมูล ระยะเวลาจัดเก็บข้อมูล ฯลฯ

 

– การจัดทำสัญญาจ้างงาน ต้องกำหนดผู้รับผิดชอบแน่นอนเท่านั้น เช่น ตำแหน่งใดระดับใดใครจัดทำ ใครมีหน้าที่ป้อนข้อมูลประวัติพนักงานใส่ในระบบข้อมูลเงินเดือน มีแนวทางการส่งให้ผู้บริหารลงนามในสัญญาแล้วจึงนำส่งให้พนักงานเซ็นชื่ออย่างไรใครอยู่ในกระบวนการบ้าง เป็นต้น

4. งานค่าจ้างเงินเดือนการดำเนินการเพื่อจ่ายค่าจ้างเงินเดือน นำส่งข้อมูลต่อสถาบันการเงิน นำส่งเงินสมทบต่อกองทุนประกันสังคม สหกรณ์ออมทรัพย์ บริษัทประกัน กองทุนสำรองเลี้ยงชีพ กองทุนฌาปนกิจสงเคราะห์ การนำส่งเงินที่หักจากการกู้เงิน เป็นหนี้ หรือทำความเสียหาย งานเหล่านี้ฝ่าย HR อาจต้องดำเนินการเป็นประจำทุกเดือน ทุก 2 เดือน ทุกไตรมาส ทุก 6 เดือน หรือ ไม่แน่นอน แล้วแต่กรณีที่เกิดขึ้น โดยผู้รับผิดชอบงานเหล่านี้อาจเป็นผู้จัดการ ผู้ช่วยผู้จัดการ เจ้าหน้าที่ HR อาวุโสหรือทำหน้าที่ประจำ ดังนั้น อาจเกิดความผิดพลาดในการทำงานเดียวกันหลายคนได้ หรืออาจทำให้ข้อมูลส่วนบุคคลรั่วไหลได้ง่ายมากขึ้นในหลาย ๆ ช่องทาง

 

นอกจากนั้น การติดตามทวงหนี้สินจากสถาบันทางการเงิน เช่น สอบถามว่ามีพนักงานทำงานอยู่หรือไม่ ขอรายละเอียดติดต่อ หรือขอหักหนี้สินผ่านบริษัท เป็นอีกหนึ่งเคสที่ HR มักให้ความร่วมมือ และเป็นช่องทางหนึ่งที่ข้อมูลอาจถูกละเมิดได้

บริษัทต้องให้พนักงานยินยอมที่จะให้ บริษัทหรือฝ่าย HR ประมวลข้อมูลส่วนบุคคลนั้นก่อน โดยแจ้งระบุว่ามีการเปิดเผย โอน ย้าย ส่งต่อ ให้หน่วยงานภายนอกใดบ้าง ประมวลข้อมูลกี่ครั้งต่อเดือน ต่อปี หรือเมื่อใด อยู่ในรูปแบบใด ถูกเก็บไว้ที่ไหน เป็นต้น

 

และต้องกำหนดว่า ผู้จัดการ ผู้ช่วยผู้จัดการ เจ้าหน้าที่ HR อาวุโสหรือทำหน้าที่ประจำแต่ละคน ต้องรับผิดชอบงานด้านใดบ้าง ใครเข้าถึงข้อมูลบ้าง ใครเข้าทำหน้าที่แทนได้บ้าง ใครแก้ไขปรับเปลี่ยนข้อมูลได้ มีการกำหนดอำนาจอนุมัติการเข้าถึงข้อมูลทั้งระบบ Manual หรือ ระบบ IT ที่แน่นอน และมีการประเมินความเสี่ยงการของจัดเก็บอีกด้วย

5. งานสวัสดิการและผลประโยชน์ตอบแทนประวัติการตรวจหรือรักษาพยาบาลซึ่งเป็นสวัสดิการของพนักงาน จะถูกเก็บรักษาเอาไว้ที่ฝ่าย HR หรือโอนย้ายเพื่อผลประโยชน์ในการรักษาพยาบาล ดูแลรักษาผู้ป่วย กรณีเร่งด่วนฉุกเฉินหรืออุบัติเหตุ ซึ่งในระหว่างขั้นตอนการเก็บรักษาหรือโอนย้ายอาจเกิดความผิดพลาด ประมาทเลินเล่อ หรือถูกตั้งใจลักลอบนำข้อมูลนั้นไปใช้ในทางการค้าอย่างได้ข้อมูลด้านการรักษาพยาบาลต่าง ๆ ทั้งหมดที่เป็นข้อมูลแบบอ่อนไหวนั้น จะได้รับการจัดเก็บอย่างเป็นความลับ เป็นระบบ ไม่ถูกเปิดเผยอย่างง่าย การเปิดเผยข้อมูลต้องได้รับการยินยอม (อย่างชัดแจ้ง) จากพนักงานเจ้าของข้อมูลส่วนบุคคลเสียก่อน ต้องได้รับการแจ้งวัตถุประสงค์ในการใช้ข้อมูลฯ ฐานกฏหมายที่นำมาอ้างอิง ขอบเขตการใช้ข้อมูล ฯลฯ

หมายเหตุ: ตัวอย่างข้างต้น คืองานต่าง ๆ ในฝ่าย HR ที่แสดงให้เห็นว่า ก่อนเดือนมิถุนายน 2565 ข้อมูลส่วนบุคคลมีโอกาสเสี่ยงต่อการถูกละเมิดสูง แต่หากเป็นการทำงานของฝ่าย HR ที่จำเป็นต้องใช้ข้อมูลส่วนบุคคลตั้งแต่เดือน มิถุนายน 2565 เป็นต้นไป ข้อมูลส่วนบุคคล หรือ ข้อมูลที่มีความอ่อนไหวจะได้รับการคุ้มครองในด้านต่าง ๆ จากการถูกละเมิด จากความเสี่ยงภายใต้การดูแลของผู้ควบคุมและผู้ประมวลข้อมูลส่วนบุคคลอย่างเคร่งครัด พนักงานหรือบุคคลภายนอก ผู้ควบคุมข้อมูลหรือผู้ที่ประสงค์จะใช้ข้อมูลต้องขอความยินยอมจากเจ้าของข้อมูลก่อน โดยต้องแจ้งวัตถุประสงค์ ฐานกฎหมายที่มารองรับ มีการจัดการประเมินความเสี่ยงของข้อมูล มีการจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล มีการจัดทำขั้นตอนการปฎิบัติที่เคร่งครัดอย่างเป็นมาตรฐาน มีการนำระบบ IT มาใช้ในการรักษามาตรฐานความลับ ฯลฯ ท่านจึงเห็นได้ว่า ความแตกต่างในความปลอดภัยของข้อมูลส่วนบุคคลจึงมีต่างกันอย่างสิ้นเชิง หลังจากที่องค์กรได้ทำตาม PDPA เสร็จแล้ว

ผลดีที่จะเกิดขึ้นกับองค์กรที่ทำตาม PDPA

ยิ่งองค์กรทำตาม PDPA เสร็จเร็วเท่าไร ก็ย่อมจะส่งผลดีกับธุรกิจมากขึ้น เร็วขึ้นเท่านั้น ซึ่งเห็นอย่างชัดเจน ดังนี้

  • ข้อมูลส่วนบุคคลของเจ้าของข้อมูลต่าง ๆ อันได้แก่ เจ้าของธุรกิจ เจ้าของเงินทุน หุ้นส่วนทางธุรกิจ กรรมการผู้จัดการ ผู้บริหารระดับสูง ผู้จัดการ หัวหน้าหน่วยงาน หัวหน้างาน พนักงานระดับต่าง ๆ จะได้รับการคุ้มครอง
  • ข้อมูลส่วนบุคคลของผู้มีส่วนได้ส่วนเสีย (Stakeholder) ลูกค้า พันธมิตรทางธุรกิจ บุคคลภายนอกที่เข้ามาติดต่อกับบริษัท บุคคลที่เข้ามาส่งของส่งสินค้า บุคคลที่เข้ามาร่วมประชุม บุคคลที่เข้ามาร่วมสัมมนา บุคคลที่เข้ามาเยี่ยมชมกิจการ การผลิต ทัศนศึกษา ข้าราชการต่าง ๆ ฯลฯ จะได้รับคุ้มครอง
  • องค์กรสร้างภาพลักษณ์อันดีต่อสังคมภายนอกต่อผู้มีส่วนได้ส่วนเสียจากการทำตาม PDPA
  • องค์กรไม่เสี่ยงต่อความผิดในด้านต่าง ๆ อันได้แก่ ความผิดทางแพ่ง ทางอาญา และทางปกครอง
  • บุคลากรขององค์กรในภาพรวมมีความรู้ ความเข้าใจเรื่องการคุ้มครองข้อมูล สามารถหลีกเลี่ยงที่จะถูกเอาเปรียบจากผู้ที่ไม่ปรารถนาดี
  • พันธมิตรทางการค้า คู่ค้าทางธุรกิจ มีความมั่นใจมากขึ้น ในการทำธุรกิจร่วมกันต่อไป
  • เป็นกลยุทธทางการค้าได้ในภาพรวม เพื่อขยายธุรกิจไปยังประเทศต่าง ๆ ที่ให้ความสำคัญต่อ PDPA หรือประเทศกลุ่ม EU ที่บังคับใช้ GDPR เป็นต้น
  • สร้างจุดแข็ง (Strength) และปิดจุดอ่อน (Weakness) ให้กับธุรกิจได้ในกลยุทธระดับ Corporate และอาจสนับสนุนให้เป็นส่วนหนึ่งของ Vision Mission หรือในการจัด Business Plan ด้วย
  • สอดคล้องกับ Requirement ของระบบคุณภาพต่าง ๆ ในระดับ World Class ได้แก่ ระบบ ISO บาง Version ระบบ Social Audit ต่างๆ ทั่วโลกที่อาจจะพัฒนาข้อกำหนดขึ้นมาในอนาคต เท่ากับเป็นการลดอุปสรรคหรือการกีดกันทางการค้าขององค์กร
  • เป็นการยกระดับความรู้ความเข้าใจ ส่งเสริมการศึกษา ทัศนคติ คุณภาพชีวิต ความเป็นอยู่ทางสังคม และ Quality of Work Life ให้สูงขึ้น

เรามาร่วมกันทำตาม PDPA กันเถอะครับ เพื่อยกระดับจริยธรรมในด้านการร่วมกันปกป้องคุ้มครองข้อมูลส่วนบุคคลของ Stakeholder ที่เกี่ยวข้องกับองค์กร/ธุรกิจของเราทุกภาคส่วน ทั้งทางตรงและทางอ้อมครับ

ด้วยความปรารถนาดี

สมศักดิ์ วิศวแสวงสุข

ผู้เชี่ยวชาญ ที่ปรึกษา วิทยากร

สายงานทรัพยากรมนุษย์และพัฒนาระบบการจัดการองค์กร/โรงงานอุตสาหกรรม

——————————

บทความโดย คุณสมศักดิ์ วิศวแสวงสุข
กรรมการบริหาร บริษัท HR 6 Packs จำกัด และ ที่ปรึกษา ออกแบบ พัฒนาระบบงาน HRM HRD HROD OD modern management และ การบริหารงานเชิงกลยุทธ์

ย้อนไปอ่าน >>> บทบาทที่สำคัญที่สุดอีกครั้งของ HR มาถึงแล้ว กับ การทำตาม PDPA ที่หากไม่ทำ อาจส่งผลกระทบต่อธุรกิจอย่างแรงได้ (ตอนที่ 1)

ย้อนไปอ่าน >>> บทบาทที่สำคัญที่สุดอีกครั้งของ HR มาถึงแล้ว กับ การทำตาม PDPA ที่หากไม่ทำ อาจส่งผลกระทบต่อธุรกิจอย่างแรงได้ (ตอนที่ 2)