Data protection – HR ต้องระวัง! ข้อมูลส่วนบุคคลของผู้สมัครงานที่พวกคุณเก็บ

HR Data Protection

HR ต้องระวัง! ข้อมูลส่วนบุคคลของผู้สมัครงานที่พวกคุณเก็บไว้แบบไม่มีระบบ ไม่มีการขออนุญาต และจัดการไม่ดี ตามกฎระเบียบของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA อาจสร้างความเสียหายให้บริษัท โทษจำคุกตั้งแต่ 6 เดือนถึง 1 ปี และโทษปรับตั้งแต่ 5 แสนถึง 5 ล้านบาท!

Data Protection คืออะไร

HR-Data-Protection-2

Data Protection เป็นส่วนหนึ่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA ) เน้นไปที่การปกป้องเจ้าของข้อมูลจากการรวบรวม การใช้ หรือการเปิดเผยและการประมวลผล ข้อมูลส่วนบุคคล
โดยไม่ได้รับอนุญาตหรือผิดกฎหมาย

ให้เวลาเตรียมตัวนับตั้งแต่ลงประกาศในราชกิจจานุเบกษา เท่ากับว่าตั้งแต่ 28 พ.ค. 63 เป็นต้นไป รัฐและเอกชน ไม่ว่าจะรายย่อยแค่ไหน หรือรายใหญ่เท่าไหร่ ต้องทำตามกฎระเบียบ และข้อกำนดที่ระบุในกฎหมาย PDPA (โทษปรับทำเอาธุรกิจติดขัดด้านการเงินไปได้หลายปีเลยทีเดียว)

pdpa data protection th lcdl dbc

กระทบกับ HR อย่างไร

HR-Data-Protection-3

HR เป็นผู้ที่เก็บข้อมูลส่วนบุคคลของพนักงาน ตั้งแต่วันสมัคร (แม้จะรับหรือไม่ก็ตาม) จนถึงวันสุดท้ายที่ทำงาน ทำให้ข้อมูลของพนักงานลูกจ้าง ที่เขียนไว้ในใบสมัครงาน หรือแจ้งให้นายจ้าง ทราบ ในวันสมัครงาน มีขอบเขตอย่างไร? หรือการขอข้อมูลส่วนบุคคลจากหน่วยงานอื่น นายจ้างจะทำได้เพียงใด จะกลายเป็นเรื่องใหญ่มากๆ

HR ยุค 2019 ต้องเตรียมตัวยังไง

HR-Data-Protection-4

HR ต้องแจ้งแก่เจ้าของข้อมูลถึงการแจ้งเมื่อจะมีการใช้ข้อมูลส่วนบุคคล เมื่อไร อย่างไร จะเก็บข้อมูลถึงเมื่อไหร่ เก็บไว้ที่ไหน อย่างไร

นิยาม

ข้อมูลส่วนบุคคล ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม  แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) – บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม  ใช้  หรือเปิดเผยข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) – บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม  ใช้  หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล  ทั้งนี้  บุคคลหรือนิติบุคคล ซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

สิ่งที่องค์กรต้องเตรียมตัว

  • จัดสรรงบประมาณจำนวนหนึ่ง เพื่อเตรียมสร้างระบบรักษาความมั่นคงปลอดภัย ป้องกันไม่ให้ข้อมูลผู้ใช้รั่วไหล
  • ต้องมีตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
  • การเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูลอย่างชัดเจน นำข้ออะไร ไปใช้อะไร โดยใช้ภาษาที่เข้าใจง่าย เห็นชัด
  • จัดการแยกประเภทของข้อมูลส่วนบุคคล ตามหาทำการเช็กลิสต์จัดเก็บอยู่ที่ไหนบ้าง มีอะไรบ้าง มีการขออนุญาตหรือไม่ และถ้าเป็นข้อมูลส่วนบุคคลที่ไม่จำเป็นทำลายอย่างเหมาะสม
  • เจ้าของข้อมูลส่วนบุคคล สามารถถอนความยินยอมได้ในภายหลัง รวมถึงเจ้าของข้อมูลมีสิทธิขอให้ลบหรือทำลายเมื่อการเก็บ ใช้ เปิดเผย ทำโดยไม่ชอบด้วยกฎหมายหรือเมื่อถอนความยินยอม
  • กําหนดประเภทของข้อมูลและมาตรการในการจัดการข้อมูล
  • ทบทวนระยะเวลาของการเก็บรักษาข้อมูลและการทําลายข้อมูล
  • จัดอบรมด้าน Data Protection ให้กับบุคลากรพนักงานและเจ้าหน้าที่
  • พัฒนาทักษะและกระบวนการตรวจสอบประเมิน (Audit) หรือสอบใบรับรองวุฒิบัตรด้าน Data Protection

I am Title

ใบรับรองคุณวุฒิ Data Protection Certificate โดย ICDL Thailand by DBC จากมูลนิธิ ECDL Foundation คือ โมดูลรับรองทักษะการปกป้องข้อมูลส่วนบุคคลที่ภาคธุรกิจต้องมี ตามข้อกำหนดความรู้ที่จำเป็นเกี่ยวกับแนวคิดและหลักการปกป้องข้อมูล ในเป็นไปตามนโยบายและมาตรการป้องกันข้อมูล โดยเฉพาะเพื่อตอบสนองความต้องการของคนทำงานในองค์กรขนาดเล็กและขนาดใหญ่ที่ต้องจัดการกับข้อมูลส่วนบุคคล ช่วยให้องค์กรมั่นใจได้ว่าพนักงงานมีทักษะที่เหมาะสมเข้าใจถึงสิทธิ์ของตนเองเกี่ยวกับข้อมูลส่วนบุคคล

ในหลายสิบปีที่ผ่านมาเราเก็บข้อมูลลูกค้าหรือรายชื่อผู้รับจดหมายมามหาศาล โดยไม่ได้ใส่ใจกับเรื่องความรับผิดชอบต่อข้อมูลของลูกค้าตามกฎหมายในฐานะ ‘data controller’ และ ‘data processor’ โดยในเฉพาะในองค์กรขนาดเล็กที่ความเชี่ยวชาญในการปกป้องข้อมูลมีน้อยมาก
มูลนิธิ ECDL จึงได้พัฒนาทักษะโมดูลใหม่เกี่ยวกับการปกป้องข้อมูลครอบคลุมทักษะที่สำคัญรวมถึงหลักการของการปกป้องข้อมูลส่วนบุคคลและการปฏิบัติตามการปกป้องข้อมูล ภาพรวมของ GDPR ซึ่งเป็นกฎหมายต้น แบบพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่ดีที่สุดฉบับหนึ่งของโลก และประเทศไทยก็นำมาใช้เป็นต้นแบบในการทำ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
ถึงเวลาแล้วที่จะต้องย้อนกลับไปและถามว่าคุณพร้อมหรือยัง

X