fbpx

บทบาทที่สำคัญที่สุดอีกครั้งของ HR มาถึงแล้ว กับ การทำตาม PDPA ที่หากไม่ทำ อาจส่งผลกระทบต่อธุรกิจอย่างแรงได้ (ตอนที่ 1)

บทบาทสำคัญของ HR PDPA

ตอนที่ 1 ความรู้เบื้องต้น สำหรับ HR

จุดเริ่มต้นเล็ก ที่ทำให้เข้าใจว่า เหตุใดต้องทำ PDPA

ท่าน ๆ คงเคยได้ยินเรื่องราวเหล่านี้มาพอสมควรแล้ว เช่น มีคนโทรมาหาท่านว่า หนูจะขายประกัน ผมจะขายผลิตภัณฑ์บำรุงสุขภาพ หนูจะขายโปรแกรมการท่องเที่ยวระดับโรงแรม 5 ดาว หนูจะขายโครงการดูแลสุขภาพจากโรงพยาบาลชั้น 1 ระดับประเทศ ฯลฯ บางท่านอาจปล่อยใจไปกับการหลอกล่อพูดหว่านล้อมจนซื้อสินค้า แต่ส่วนมากจะไม่ซื้อสินค้าและสงสัยว่า ผู้ขายได้เบอร์โทรศัพท์ของเรามาได้อย่างไร เมื่อเราถามเขา เขาก็ไม่ตอบเรา ตอบไม่ได้และรีบหยุดการคุยขายสินค้าทันที บางรายตกใจที่เราถามกลับไป ถึงกับวางสายไปเลยก็มี เรื่องทั้งหมดนี้เป็นตัวอย่างเล็ก ๆ น้อย ๆ ที่เราในฐานะเจ้าของข้อมูลส่วนบุคคลก็ได้แต่สงสัยว่า เบอร์โทรศัพท์มือถือของเราเอง ใครก็ไม่ทราบเหมือนกันเอาเบอร์มือถือของเราไปได้อย่างไร เราไม่เคยให้เบอร์มือถือกับใครเลย แล้วใช้เบอร์มือถือของเราโทรกลับมาหาเราเพื่อขายสินค้าให้เรา เท่ากับเป็นการนำเบอร์มือถือของเรามาทำธุรกิจกับเราเองโดยที่เรายังไม่ได้ยินยอมให้ใช้เบอร์มือถือนี้เลย ก็เป็นการเอาเปรียบเราแล้ว เรื่องนี้เป็นเพียงเรื่องเดียวนะครับ เราลองนึกถึงประชาชนอีกจำนวนมากทั่วทั้งประเทศซิครับที่ไม่รู้อีโหน่อีเหน่อีกมาก ไม่ทันเล่ห์เหลี่ยมคนเหล่านี้อีกมาก ที่เอาเปรียบผู้บริโภคทั้งที่ถูกกฎหมายและไม่ถูกกฎหมายอีกมากมาย แล้วยังมีตัวอย่างที่ถูกเอาเปรียบแบบเดียวกันที่ยังไม่ได้ถูกเปิดเผยอีกมาก เราจะแก้ไขกันอย่างไร

ทั้งหมดที่กล่าวมานี้ จึงเป็นส่วนหนึ่งของจุดเริ่มต้นของที่มาเรื่อง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act : PDPA ที่มีวัตถุประสงค์สำคัญ เพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชน ไม่ให้ถูกเอาเปรียบจากข้อมูลส่วนบุคคลต่าง ๆ อีกมากมาย ที่ไม่ใช่เบอร์มือถือเพียงอย่างเดียว แต่ยังมีข้อมูลอย่างอื่นอีก เช่น บัตรประจำตัวประชาชน ที่ระบุชื่อ นามสกุล รูปภาพ ที่อยู่ เลขที่ในบัตรประชาชนและใช้ข้อมูลนั้นกลับมาทวนสอบ กลับมาบ่งชี้ระบุได้ว่า ข้อมูลเหล่านี้เป็นของใคร ชื่ออะไร ใครเป็นเจ้าของข้อมูล เจ้าของบัตรประชาชนนี้หน้าตาอย่างไร บ้านพักอยู่ที่ไหน เป็นต้น

PDPA เริ่มบังคับใช้แล้วและองค์กรอาจเสี่ยงมีความผิดได้

ความจริงแล้ว พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ได้ประกาศออกมาบังคับใช้แล้วเมื่อเดือนพฤษภาคม 2563 ที่ผ่านมา แต่กฎหมายดังกล่าวได้ถูกประกาศเลื่อนการบังคับใช้ เป็นเดือนมิถุนายน 2565 แทน เนื่องจากประเทศไทยได้รับผลกระทบจากโรคระบาด COVID-19 จึงไม่มีความพร้อมในการใช้ในด้านต่าง ๆ การที่กฎหมายดังกล่าวต้องเลื่อนการบังคับใช้นั้น ไม่ได้หมายความว่า บริษัท สถานประกอบการ ธุรกิจต่าง ๆ ไม่ต้องเตรียมตัวล่วงหน้าในการทำตาม PDPA แต่เนิ่น ๆ แต่อย่างใด ในทางตรงกันข้าม เป็นโอกาสดีกับนายจ้างที่มีเวลาเหลืออีกหลายเดือนในการเตรียมตัวล่วงหน้า ศึกษาหาความรู้ ฝึกอบรมบุคลากรในองค์กรให้ทราบถึงการเอารัดเอาเปรียบด้านข้อมูลส่วนบุคคลต่าง ๆ ทั้งที่รู้ตัวและไม่รู้ตัว ที่อาจเกิดขึ้นได้ เมื่อไรก็ได้ ขั้นตอนใดก็ได้ ที่เจ้าของข้อมูลฯ อาจไม่รู้ตัวเลย เช่น ในระหว่างการบริหารจัดการธุรกิจ การทำธุรกรรมทางการค้า การติดต่อประสานงาน การมีคำสั่งซื้อ การซื้อขาย การจัดจำหน่าย การทำสัญญานิติกรรมต่าง ๆ การจัดทำเอกสารส่งให้ไปมาระหว่างกันและกันทั้งภายในและภายนอกองค์กรทั้งเป็นเอกสาร ทางอิเล็กทรอนิกส์ และทางด้านระบบคอมพิวเตอร์ Network ต่าง ๆ การจัดทำสัญญาต่างๆ ฯลฯ

การดำเนินการต่าง ๆ จำเป็นต้องมีการใช้ข้อมูลส่วนบุคคลอย่างมากมาย ทั้งที่เป็นของบุคคลภายในองค์กร เช่น พนักงาน หัวหน้างาน หัวหน้าหน่วยงาน ผู้จัดการ ผู้บริหาร เจ้าของธุรกิจ เจ้าของเงินทุน หุ้นส่วนทางธุรกิจ เป็นต้น และ Stakeholder ผู้มีส่วนได้ส่วนเสีย ที่เป็นบุคคลภายนอกองค์กร เช่น ลูกค้า ผู้ที่มาติดต่องาน ผู้เข้ามาร่วมประชุม ผู้มาเยี่ยมชมโรงงาน ผู้มาส่งสินค้า ผู้เข้ามาค้าขายร่วมกัน ผู้มาสมัครงาน พนักงานที่รับเหมางาน ข้าราชการหน่วยงานต่าง ๆ โดยเฉพาะ กลุ่มผู้ที่มีอาชีพตรวจสอบติดตามกระบวนการทำงานด้านระบบคุณภาพที่เรียกรวม ๆ ว่า Third Party หรือ Auditor: กลุ่มงานมาตรฐานแรงงานไทย (มรท.) ระบบ ISO ระบบ Social ระบบ Safety ระบบสิ่งแวดล้อม ในธุรกิจและสายผลิตภัณฑ์ต่าง ๆ

ยิ่งมีการส่งออกไปที่ USA หรือ Japan หรือ กลุ่มการค้า EU ยิ่งมีความสำคัญมากขึ้นไปอีก ถ้าข้อมูลส่วนบุคคลของบุคลากรเหล่านี้หลุดรอดออกไปจากองค์กรสู่ภายนอกได้และข้อมูลเหล่านี้ถูกนำไปใช้ในด้านต่าง ๆ ที่เจ้าของข้อมูล ยังมิได้ให้การยินยอมในการใช้ตรงตามวัตถุประสงค์ของเจ้าของข้อมูลและไม่มีฐานกฎหมายใดมารองรับ ฯลฯ ย่อมสุ่มเสี่ยงที่องค์กรของท่านที่จัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลฯ เหล่านั้นไว้ อาจจะมีความผิดตามกฎหมาย PDPA ทั้งทางแพ่ง อาญา และทางปกครองไปด้วยไม่ว่าท่านไม่ตั้งใจ ตั้งใจ ประมาท ไม่ประมาทเลินเล่อ รู้เท่าไม่ถึงการณ์ พลั้งเผลอ จากความบกพร่องที่เรียกว่า Human Error ก็ได้ สุดแล้วแต่กรณี

ดังนั้น ผู้บริหารและพนักงานในองค์กรจึงมีความจำเป็นอย่างยิ่งยวด ที่ควรต้องได้รับการฝึกอบรมพัฒนาให้เข้าใจสาระสำคัญของ PDPA อย่างชัดแจ้ง ตระหนักรู้ เขาควรได้รับรู้ว่ามีสิทธิอะไรบ้างที่ได้รับการคุ้มครอง จากการที่ข้อมูลส่วนบุคคลของตัวเขาเองถูกนำไปใช้ในเรื่องต่าง ๆ การที่ผู้ประกอบการขออนุญาต (Consent ) จากพนักงานหรือบุคคลภายนอก ฯลฯ เพื่อไปดำเนินการต่าง ๆ ตามวัตถุประสงค์  หรือในบางกรณีที่สถานประกอบการหรือผู้ที่ต้องการใช้ข้อมูลนั้น อาจไม่ต้องขอความยินยอมจากเจ้าของข้อมูลฯ ก็ได้ จึงจำเป็นอย่างยิ่งที่เจ้าของข้อมูลฯ ต้องทราบกฎหมาย กฎเกณฑ์ ข้อยกเว้นต่าง ๆ อย่างชัดแจ้ง ไม่ว่าจะนำข้อมูลฯ เหล่านั้นจะถูกนำไปดำเนินการเพื่อผลทางการค้า เพื่อผลทางการวิจัย เพื่อผลทางการศึกษา เพื่อผลการรักษาพยาบาล เพื่อผลประโยชน์ทางสังคม เพื่อผลประโยชน์ความรู้ทางสาธารณะ ฯลฯ ก็ดี และเพื่อทราบว่าบุคคลหรือองค์กรที่ขอความยินยอมจากเราไปแล้วนั้น ได้ใช้ข้อมูลส่วนบุคคลตรงวัตถุประสงค์นั้นไหม ได้ทำตามกฎหมายที่ถูกต้อง เป็นธรรม โปร่งใสไหม รวมไปถึงกลุ่มบุคคลภายนอกที่ได้รับข้อมูลข่าวสาร หรือ การทำธุรกรรมอย่างหนึ่งอย่างใดนั้นตรงตามกฎหมายที่รองรับไว้ไหม

บทความโดย คุณสมศักดิ์ วิศวแสวงสุข
กรรมการบริหาร บริษัท HR 6 Packs จำกัด และ ที่ปรึกษา ออกแบบ พัฒนาระบบงาน HRM HRD HROD OD modern management และ การบริหารงานเชิงกลยุทธ์

ติดตามอ่าน >>> บทบาทที่สำคัญที่สุดอีกครั้งของ HR มาถึงแล้ว กับ การทำตาม PDPA ที่หากไม่ทำ อาจส่งผลกระทบต่อธุรกิจอย่างแรงได้ (ตอนที่ 2)

ติดตามอ่าน >>> บทบาทที่สำคัญที่สุดอีกครั้งของ HR มาถึงแล้ว กับ การทำตาม PDPA ที่หากไม่ทำ อาจส่งผลกระทบต่อธุรกิจอย่างแรงได้ (ตอนที่ 3)