HR ต้องระวัง! ข้อมูลส่วนบุคคลของผู้สมัครงานที่พวกคุณเก็บไว้แบบไม่มีระบบ ไม่มีการขออนุญาต และจัดการไม่ดี ตามกฎระเบียบของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA อาจสร้างความเสียหายให้บริษัท โทษจำคุกตั้งแต่ 6 เดือนถึง 1 ปี และโทษปรับตั้งแต่ 5 แสนถึง 5 ล้านบาท!
Data Protection คืออะไร
Data Protection เป็นส่วนหนึ่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA ) เน้นไปที่การปกป้องเจ้าของข้อมูลจากการรวบรวม การใช้ หรือการเปิดเผยและการประมวลผล ข้อมูลส่วนบุคคล
โดยไม่ได้รับอนุญาตหรือผิดกฎหมาย
ให้เวลาเตรียมตัวนับตั้งแต่ลงประกาศในราชกิจจานุเบกษา เท่ากับว่าตั้งแต่ 28 พ.ค. 63 เป็นต้นไป รัฐและเอกชน ไม่ว่าจะรายย่อยแค่ไหน หรือรายใหญ่เท่าไหร่ ต้องทำตามกฎระเบียบ และข้อกำนดที่ระบุในกฎหมาย PDPA (โทษปรับทำเอาธุรกิจติดขัดด้านการเงินไปได้หลายปีเลยทีเดียว)
กระทบกับ HR อย่างไร
HR เป็นผู้ที่เก็บข้อมูลส่วนบุคคลของพนักงาน ตั้งแต่วันสมัคร (แม้จะรับหรือไม่ก็ตาม) จนถึงวันสุดท้ายที่ทำงาน ทำให้ข้อมูลของพนักงานลูกจ้าง ที่เขียนไว้ในใบสมัครงาน หรือแจ้งให้นายจ้าง ทราบ ในวันสมัครงาน มีขอบเขตอย่างไร? หรือการขอข้อมูลส่วนบุคคลจากหน่วยงานอื่น นายจ้างจะทำได้เพียงใด จะกลายเป็นเรื่องใหญ่มากๆ
HR ยุค 2019 ต้องเตรียมตัวยังไง
HR ต้องแจ้งแก่เจ้าของข้อมูลถึงการแจ้งเมื่อจะมีการใช้ข้อมูลส่วนบุคคล เมื่อไร อย่างไร จะเก็บข้อมูลถึงเมื่อไหร่ เก็บไว้ที่ไหน อย่างไร
นิยาม
ข้อมูลส่วนบุคคล – ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) – บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) – บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคล ซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
สิ่งที่องค์กรต้องเตรียมตัว
- จัดสรรงบประมาณจำนวนหนึ่ง เพื่อเตรียมสร้างระบบรักษาความมั่นคงปลอดภัย ป้องกันไม่ให้ข้อมูลผู้ใช้รั่วไหล
- ต้องมีตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
- การเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูลอย่างชัดเจน นำข้ออะไร ไปใช้อะไร โดยใช้ภาษาที่เข้าใจง่าย เห็นชัด
- จัดการแยกประเภทของข้อมูลส่วนบุคคล ตามหาทำการเช็กลิสต์จัดเก็บอยู่ที่ไหนบ้าง มีอะไรบ้าง มีการขออนุญาตหรือไม่ และถ้าเป็นข้อมูลส่วนบุคคลที่ไม่จำเป็นทำลายอย่างเหมาะสม
- เจ้าของข้อมูลส่วนบุคคล สามารถถอนความยินยอมได้ในภายหลัง รวมถึงเจ้าของข้อมูลมีสิทธิขอให้ลบหรือทำลายเมื่อการเก็บ ใช้ เปิดเผย ทำโดยไม่ชอบด้วยกฎหมายหรือเมื่อถอนความยินยอม
- กําหนดประเภทของข้อมูลและมาตรการในการจัดการข้อมูล
- ทบทวนระยะเวลาของการเก็บรักษาข้อมูลและการทําลายข้อมูล
- จัดอบรมด้าน Data Protection ให้กับบุคลากรพนักงานและเจ้าหน้าที่
- พัฒนาทักษะและกระบวนการตรวจสอบประเมิน (Audit) หรือสอบใบรับรองวุฒิบัตรด้าน Data Protection
I am Title
ใบรับรองคุณวุฒิ Data Protection Certificate โดย ICDL Thailand by DBC จากมูลนิธิ ECDL Foundation คือ โมดูลรับรองทักษะการปกป้องข้อมูลส่วนบุคคลที่ภาคธุรกิจต้องมี ตามข้อกำหนดความรู้ที่จำเป็นเกี่ยวกับแนวคิดและหลักการปกป้องข้อมูล ในเป็นไปตามนโยบายและมาตรการป้องกันข้อมูล โดยเฉพาะเพื่อตอบสนองความต้องการของคนทำงานในองค์กรขนาดเล็กและขนาดใหญ่ที่ต้องจัดการกับข้อมูลส่วนบุคคล ช่วยให้องค์กรมั่นใจได้ว่าพนักงงานมีทักษะที่เหมาะสมเข้าใจถึงสิทธิ์ของตนเองเกี่ยวกับข้อมูลส่วนบุคคล
ถึงเวลาแล้วที่จะต้องย้อนกลับไปและถามว่าคุณพร้อมหรือยัง
About Post Author
