fbpx

Data protection – HR ต้องระวัง! ข้อมูลส่วนบุคคลของผู้สมัครงานที่พวกคุณเก็บ

HR ต้องระวัง! ข้อมูลส่วนบุคคลของผู้สมัครงานที่พวกคุณเก็บไว้แบบไม่มีระบบ ไม่มีการขออนุญาต และจัดการไม่ดี ตามกฎระเบียบของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA อาจสร้างความเสียหายให้บริษัท โทษจำคุกตั้งแต่ 6 เดือนถึง 1 ปี และโทษปรับตั้งแต่ 5 แสนถึง 5 ล้านบาท!

Data Protection คืออะไร

HR-Data-Protection-2

Data Protection เป็นส่วนหนึ่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA ) เน้นไปที่การปกป้องเจ้าของข้อมูลจากการรวบรวม การใช้ หรือการเปิดเผยและการประมวลผล ข้อมูลส่วนบุคคล
โดยไม่ได้รับอนุญาตหรือผิดกฎหมาย

ให้เวลาเตรียมตัวนับตั้งแต่ลงประกาศในราชกิจจานุเบกษา เท่ากับว่าตั้งแต่ 28 พ.ค. 63 เป็นต้นไป (ปัจจุบันขยายเวลาเป็น 1 มิถุนายน 2565) รัฐและเอกชน ไม่ว่าจะรายย่อยแค่ไหน หรือรายใหญ่เท่าไหร่ ต้องทำตามกฎระเบียบ และข้อกำหนดที่ระบุในกฎหมาย PDPA โทษปรับทำเอาธุรกิจติดขัดด้านการเงินไปได้หลายปีเลยทีเดียว (Update! PDPA เลื่อนบังคับใช้อีก 1 ปี)

pdpa data protection th lcdl dbc

กระทบกับ HR อย่างไร

HR-Data-Protection-3

HR เป็นผู้ที่เก็บข้อมูลส่วนบุคคลของพนักงาน ตั้งแต่วันสมัคร (แม้จะรับหรือไม่ก็ตาม) จนถึงวันสุดท้ายที่ทำงาน ทำให้ข้อมูลของพนักงานลูกจ้าง ที่เขียนไว้ในใบสมัครงาน หรือแจ้งให้นายจ้าง ทราบ ในวันสมัครงาน มีขอบเขตอย่างไร? หรือการขอข้อมูลส่วนบุคคลจากหน่วยงานอื่น นายจ้างจะทำได้เพียงใด จะกลายเป็นเรื่องใหญ่มากๆ

HR ยุค 2019-2020 ต้องเตรียมตัวยังไง

HR-Data-Protection-4

HR ต้องแจ้งแก่เจ้าของข้อมูลถึงการแจ้งเมื่อจะมีการใช้ข้อมูลส่วนบุคคล เมื่อไร อย่างไร จะเก็บข้อมูลถึงเมื่อไหร่ เก็บไว้ที่ไหน อย่างไร

นิยาม

ข้อมูลส่วนบุคคล – ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม  แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) – บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม  ใช้  หรือเปิดเผยข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) – บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม  ใช้  หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล  ทั้งนี้  บุคคลหรือนิติบุคคล ซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

สิ่งที่องค์กรต้องเตรียมตัว

  • จัดสรรงบประมาณจำนวนหนึ่ง เพื่อเตรียมสร้างระบบรักษาความมั่นคงปลอดภัย ป้องกันไม่ให้ข้อมูลผู้ใช้รั่วไหล
  • อาจต้องมีตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
  • การเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูลอย่างชัดเจน นำข้ออะไร ไปใช้อะไร โดยใช้ภาษาที่เข้าใจง่าย เห็นชัด
  • จัดการแยกประเภทของข้อมูลส่วนบุคคล ตามหาทำการเช็กลิสต์จัดเก็บอยู่ที่ไหนบ้าง มีอะไรบ้าง มีการขออนุญาตหรือไม่ และถ้าเป็นข้อมูลส่วนบุคคลที่ไม่จำเป็นทำลายอย่างเหมาะสม
  • เจ้าของข้อมูลส่วนบุคคล สามารถถอนความยินยอมได้ในภายหลัง รวมถึงเจ้าของข้อมูลมีสิทธิขอให้ลบหรือทำลายเมื่อการเก็บ ใช้ เปิดเผย ทำโดยไม่ชอบด้วยกฎหมายหรือเมื่อถอนความยินยอม
  • กําหนดประเภทของข้อมูลและมาตรการในการจัดการข้อมูล
  • ทบทวนระยะเวลาของการเก็บรักษาข้อมูลและการทําลายข้อมูล
  • จัดอบรมด้าน Data Protection ให้กับบุคลากรพนักงานและเจ้าหน้าที่
  • พัฒนาทักษะและกระบวนการตรวจสอบประเมิน (Audit) หรือสอบใบรับรองวุฒิบัตรด้าน Data Protection

X