HR ควรรู้! จัดการข้อมูลพนักงานอย่างไรให้ถูกกฎหมาย PDPA ?

หลังการบังคับใช้อย่างเป็นทางการของกฎหมาย PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จะเห็นว่าหลายองค์กรมีนโยบายและมาตรการต่างๆ เพื่อให้บุคคลภายในและภายนอกรับทราบและปฏิบัติอย่างถูกต้องตามแนวทางของ PDPA โดยหนึ่งในฝ่ายงานที่ต้องเกี่ยวข้องกับข้อมูลส่วนบุคคลขององค์กรอย่างฝ่ายทรัพยากรบุคคลหรือ HR นั้น ก็เป็นอีกฝ่ายงานสำคัญที่ต้องทำความเข้าใจทุกรายละเอียดอย่างชัดเจน เพื่อให้ข้อมูลที่เก็บรักษาและใช้อยู่นั้นเป็นไปอย่างถูกต้อง โดยจะมีเรื่องใดน่าสนใจและต้องคำนึงถึงเป็นพิเศษบ้าง ไปติดตามพร้อมๆ กันเลย

 

ทำความเข้าใจ PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีการบังคับใช้อย่างเป็นทางการเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา โดยถือเป็นกฎหมายสำคัญที่เรียกได้ว่าเกี่ยวข้องและคุ้มครองโดยตรงกับทุกคนในฐานะเจ้าของข้อมูลส่วนบุคคล

นอกจาก PDPA จะคุ้มครองเจ้าของข้อมูลแล้ว ในขณะเดียวกันยังควบคุมการนำข้อมูลไปใช้สำหรับหน่วยงานต่างๆ ทั้งภาครัฐและเอกชนที่มีข้อมูลส่วนบุคคลอยู่ในความดูแล โดยครอบคลุมทั้งการเก็บรวบรวม ใช้ เปิดเผย และ/หรือโอนข้อมูลส่วนบุคคล

***หลักเกณฑ์สำคัญของการใช้ข้อมูลส่วนบุคคลคือต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลให้ถูกต้องก่อนนำข้อมูลไปใช้

 

HR เกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างไร?

HR ในฐานะผู้ดูแลข้อมูลพนักงานและทำตามคำสั่งของนายจ้าง จึงถือเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ตามมาตรา 6 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล บัญญัติไว้ว่า “ผู้ประมวลผลข้อมูลส่วนบุคคล หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล”

โดยข้อมูลพนักงานที่ HR ต้องเกี่ยวข้องอย่างหลีกเลี่ยงไม่ได้ เช่น

ประวัติส่วนตัว

ใบสมัครงาน และเอกสารประกอบ เช่น หลักฐานการศึกษา ข้อมูลทะเบียนบ้าน บัตรประชาชน ใบรับรองการฝึกอบรม

ข้อมูลเกี่ยวกับผู้สมัครด้านพฤติกรรม ความประพฤติ ประวัติทางวินัย หนังสือสัญญาจ้าง

ใบประกาศต่างๆ

ผลการตรวจสุขภาพ

ผลการประเมินงาน

สลิปเงินเดือน และเงินพิเศษต่างๆ

ข้อมูลสถิติการทำงาน (เข้า-ออกงาน การขาด ลา มาสาย)

ประวัติทางอาชญากรและประวัติเกี่ยวกับการกระทำความผิดต่างๆ ก่อนเป็นพนักงาน

ประวัติครอบครัว และบุคคลที่เกี่ยวข้องกับพนักงาน

 

Q & A แนวทางปฏิบัติของ HR ตามกฎหมาย PDPA

Q : หากต้องการทราบข้อมูลอาชญากรรมของพนักงาน ควรทำอย่างไร?

A : ขอความยินยอมจากพนักงานเจ้าของข้อมูล เพื่อตรวจสอบข้อมูลประวัติอาชญากรรมผ่านกองทะเบียนประวัติอาชญากร สำนักงานตำรวจแห่งชาติ

 

Q : พนักงานที่ลาออกไปแล้วจะขอใช้สิทธิ์เข้าถึงสำเนาข้อมูลของตนเองที่องค์กรเก็บไว้อยู่ได้หรือไม่?

A : แม้พนักงานจะลาออกไปแล้ว แต่หากบริษัทยังเก็บข้อมูลของพนักงานไว้อยู่ ก็ยังถือว่าเป็นผู้ควบคุมข้อมูลส่วนบุคคล ดังนั้นหากพนักงานขอเข้าถึงสำเนาข้อมูลหรือขอรับสำเนาข้อมูลของตนเองก็สามารถทำได้ โดยไม่เป็นไปในเชิงก่อกวนหรือใช้สิทธิ์เกินจากที่ควรมี

 

Q : บริษัททำการเก็บข้อมูลที่อยู่และเลขบัตรประชาชนพนักงานสำหรับจัดสวัสดิการพิเศษ เช่น การให้ชุดยังชีพช่วงโควิด แต่เมื่อจัดการเรียบร้อยแล้ว ต้องการเก็บข้อมูลนั้นไว้ใช้ในอนาคตอีก ทำได้หรือไม่?

A : ข้อมูลส่วนบุคคล ควรเก็บเท่าที่จำเป็นตามวัตถุประสงค์การใช้งาน หากดำเนินการตามวัตถุประสงค์นั้นๆ เรียบร้อยแล้ว ไม่ควรเก็บข้อมูลไว้เผื่อสำหรับอนาคต

 

Q : การเก็บข้อมูลวันเกิดพนักงาน เพื่อนำไปจัดกิจกรรมแจกของขวัญและฉลองวันเกิดแก่พนักงาน สามารถทำได้หรือไม่?

A : ทำได้ แต่ต้องขอความยินยอมจากพนักงานก่อนเพราะพนักงานบางคนอาจไม่สะดวกใจที่จะให้ผู้อื่นรู้วันเกิด

 

Q : หาก HR เก็บข้อมูลพนักงานที่มีรายละเอียดของข้อมูลศาสนา (เป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว) ไว้ก่อนมีการบังคับใช้กฎหมาย PDPA ต้องลบหรือทำลาย และขอความยินยอมจากพนักงานก่อนหรือไม่?

A : ข้อมูลส่วนบุคคลที่เก็บรวบรวมไว้ก่อนบังคับใช้กฎหมาย PDPA สามารถเก็บและใช้ต่อได้ตามวัตถุประสงค์เดิม โดยไม่ต้องลบทิ้งและขออนุญาตจากเจ้าของข้อมูล เว้นแต่จะได้รับการร้องขอจากเจ้าของข้อมูลให้ลบหรือเปลี่ยนแปลง

 

Q : บริษัทมีสวัสดิการให้ครอบครัวพนักงานสามารถเบิกค่ารักษาพยาบาลได้ แต่ต้องใช้ใบรับรองแพทย์ประกอบการเบิก ซึ่งใบรับรองแพทย์มีข้อมูลชื่อ นามสกุล และปัญหาสุขภาพของบุคคลนั้น กรณีนี้ควรทำอย่างไรให้ถูกกฎหมาย PDPA?

A : การเก็บข้อมูลของบุคคลที่สาม โดยเฉพาะข้อมูลปัญหาสุขภาพซึ่งเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว สามารถทำได้โดยได้รับความยินยอมจากเจ้าของข้อมูล

 

Q : บริษัทต้องการเก็บลายนิ้วมือและข้อมูลใบหน้าพนักงานเพื่อใช้สำหรับบันทึกการเข้า-ออก งาน ต้องขอความยินยอมจากเจ้าของข้อมูลก่อนหรือไม่?

A : ลายนิ้วมือและข้อมูลใบหน้าเป็นข้อมูลที่มีความอ่อนไหว จึงต้องขอความยินยอมก่อน หากพนักงานไม่ยินยอม และบริษัทไม่ได้มีนโยบายต้องใช้ลายมือหรือใบหน้าเป็นข้อบังคับเท่านั้น อาจหาแนวทางอื่นเก็บข้อมูลแทน เช่น การใช้โปรแกรมบันทึกเวลาเข้า-ออกงานแบบออนไลน์

***ทั้งนี้ หากเป็นกรณีของบางตำแหน่งที่ต้องเกี่ยวข้องกับการเก็บรักษาความลับหรือข้อมูลสำคัญของบริษัท โดยใช้เพียงพาสเวิร์ดเข้าระบบอย่างเดียวไม่พอ และต้องมีการเก็บข้อมูลลายนิ้วมือ หรือใบหน้าเพื่อสแกนเข้าระบบเพิ่ม บริษัทต้องแจ้งพนักงานทราบและได้รับความยินยอมก่อนที่จะรับพนักงานทำงานในตำแหน่งนั้นๆ

Tag

Copyright ©2022  dharmniti.co.th All rights reserved.

Log in with your credentials

Forgot your details?