ICDL Thailand by DBC ชวนอ่านความผิดพลาดเหล่า HR เมื่อ กม.คุ้มครองข้อมูลส่วนบุคคล บังคับใช้

ICDL Thailand by DBC ชวนอ่านความผิดพลาดเหล่า HR เมื่อ กม.คุ้มครองข้อมูลส่วนบุคคล บังคับใช้

ICDL Thailand by DBC ชวนพิจารณาการจัดการข้อมูลส่วนบุคคลของฝ่ายทรัพยากรบุคคล (HR) ตามหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อตอบสนองต่อข้อกังวลที่เกิดขึ้นเกี่ยวกับผลกระทบของกฎหมาย

อย่างที่เราเล่ากันไปในหลายๆ บทความว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ของไทยได้รับแรงบันดาลใจมาจาก GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแรกของโลกจากสหภาพยุโรป ข้อแตกต่างของกฎหมายก็ไม่ได้ต่างกันมาก แต่โดยรวมเน้นไปที่พื้นฐานของการต้องการที่จะปกป้องคุ้มครองประชาชนจากกาที่องค์กร หน่วยงาน ทั้งรัฐ เอกชน และอื่นๆ นำไปใช้ เผยแพร่ เก็บ ฯลฯ

แน่นอนว่ามันเกี่ยวข้องกับทุกบริษัทและหน่วยงาน และลึกลงไปยังแผนก โดยเฉพาะฝ่ายที่จัดการเกี่ยวกับ Data ไม่ว่าจะเป็น Digital Marketing, Programmer, Analytics และ Human Resource หรือทรัพยากรบุคคล โดยเฉพาะความกังวลต่างๆ ที่มีต่อฝ่าย HR ดังต่อไปนี้

  1. ความยินยอมต่อการที่ HR จะนำข้อมูลของผู้สมัครหรือพนักงานไปดำเนินการใดๆ ตามนิยามที่กฎหมายระบุ
  2. ขอบเขตของการยินยอม
  3. สิทธิในการปกป้องข้อมูลตนเอง เช่น กรณีถูกไล่ออกแล้วโดนส่งจดหมายเวียน เป็นต้น
  4. รูปภาพ ข้อมูลพาสปอร์ตและบัตรประชาชน
  5. ข้อมูลเกี่ยวกับการรักษาพยาบาล เช่น ประกันสังคม การลาป่วย เป็นต้น

‘ความยินยอม’ จึงเป็นจุดสำคัญที่สุดในกฎหมายคุ้มครองข้อมูลส่วนบุคคล หากพนักงานหรือผู้สมัครให้ ‘ความยินยอม’ สำหรับการประมวลผลเพื่อเรื่องอะไร หรือเก็บนานแค่ไหน เก็บอะไรบ้าง หรือรวมรวม และใช้ทำอะไร (HR ต้องทำการชี้แจงการเก็บการใช้และระยะเวลาและทำการขอความยินยอม) ซึ่งหากองค์กรทำนอกเหนือจากที่ขอไว้ ผู้ที่มีตำแหน่งรับผิดชอบหรือ DPO ที่ต้องรับผิดชอบมีหน้าที่เก็บและประมวลผลต้องหยุด ใช้ จัดเก็บ และรวมรวมทันที และหากเจ้าของข้อมูลมีการ ‘ถอนความยินยอม’ ก็ต้องหยุดทันทีเช่นกัน

เพราะฉะนั้น กรณีที่พนักงานลาออกแล้ว หรือโดนไล่ออก หรือมีการเก็บข้อมูลผู้สมัครงานไว้ หากฝ่ายทรัพยากรบุคคล ไม่มีมาตรการรักษาข้อมูลทำให้ถูกโจรกรรม หลุด หรือเผยแพร่ออกไป โดยไม่ได้อยู่ในข้อตกลงความยินยอมที่ต้องแจ้งให้ทราบต่อเจ้าของข้อมูล ไม่ว่าจะเป็นระยะเวลาการเก็บนานแค่ไหน เก็บข้อมูลอะไรบ้าง นำไปใช้อะไรบ้าง และจะมีวิธีการทำลายอย่างไรเมื่อไม่ใช้หรือครบกำหนดระยะเวลาการเก็บแล้ว จะทำให้ถูกได้รับโทษทั้งจำและปรับตามกฎหมาย หรือกรณีที่เจ้าของข้อมูลไม่มีความยินยอมอีกต่อไปแล้ว แม้ในตอนแรกจะยินยอมก็จะหมดสิทธิ์ทำการใดๆ ทันที

ส่วนกรณีที่ HR นำข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปใช้ในขอบเขตที่ไม่ได้เข้าข่ายตามข้อตกลงความยินยอมแต่แรก อย่างเช่น การทำจดหมายเวียนกรณีถูกไล่ออก โดยมีข้อมูลส่วนบุคคลของเจ้าของข้อมูลชัดเจน เพื่อเผยแพร่ ส่งต่อ ก็จะเข้าข่ายผิดทันทีตามกฎหมาย

I am Title

ใบรับรองคุณวุฒิ Data Protection Certificate โดย ICDL Thailand by DBC จากมูลนิธิ ECDL Foundation คือ โมดูลรับรองทักษะการปกป้องข้อมูลส่วนบุคคลที่ภาคธุรกิจต้องมี ตามข้อกำหนดความรู้ที่จำเป็นเกี่ยวกับแนวคิดและหลักการปกป้องข้อมูล ในเป็นไปตามนโยบายและมาตรการป้องกันข้อมูล โดยเฉพาะเพื่อตอบสนองความต้องการของคนทำงานในองค์กรขนาดเล็กและขนาดใหญ่ที่ต้องจัดการกับข้อมูลส่วนบุคคล ช่วยให้องค์กรมั่นใจได้ว่าพนักงงานมีทักษะที่เหมาะสมเข้าใจถึงสิทธิ์ของตนเองเกี่ยวกับข้อมูลส่วนบุคคล

ในหลายสิบปีที่ผ่านมาเราเก็บข้อมูลลูกค้าหรือรายชื่อผู้รับจดหมายมามหาศาล โดยไม่ได้ใส่ใจกับเรื่องความรับผิดชอบต่อข้อมูลของลูกค้าตามกฎหมายในฐานะ ‘data controller’ และ ‘data processor’ โดยในเฉพาะในองค์กรขนาดเล็กที่ความเชี่ยวชาญในการปกป้องข้อมูลมีน้อยมาก
มูลนิธิ ECDL จึงได้พัฒนาทักษะโมดูลใหม่เกี่ยวกับการปกป้องข้อมูลครอบคลุมทักษะที่สำคัญรวมถึงหลักการของการปกป้องข้อมูลส่วนบุคคลและการปฏิบัติตามการปกป้องข้อมูล ภาพรวมของ GDPR ซึ่งเป็นกฎหมายต้น แบบพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่ดีที่สุดฉบับหนึ่งของโลก และประเทศไทยก็นำมาใช้เป็นต้นแบบในการทำ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
ถึงเวลาแล้วที่จะต้องย้อนกลับไปและถามว่าคุณพร้อมหรือยัง

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *

X