กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA (Personal Data Protection Act) ไม่ใช่เรื่องของฝ่ายไอทีหรือแค่ฝ่ายกฎหมายอีกต่อไป เพราะ “ฝ่ายทรัพยากรบุคคล (HR)” คือหนึ่งในตำแหน่งสำคัญที่ต้องรับมือกับข้อมูลส่วนบุคคลของพนักงานและผู้สมัครงานโดยตรง ตั้งแต่ขั้นตอนการรับสมัคร ไปจนถึงการดูแลพนักงานในองค์กร
การเข้าใจ กฎหมาย PDPA อย่างถูกต้องจึงไม่ใช่ “ตัวเลือก” แต่คือ “ความจำเป็น” ที่จะช่วยลดความเสี่ยงทางกฎหมาย และสร้างความน่าเชื่อถือให้กับองค์กรในระยะยาว
HR มีความเกี่ยวข้องกับกฎหมาย PDPA อย่างไร?
PDPA ย่อมาจาก พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลบังคับใช้อย่างเต็มรูปแบบในวันที่ 1 มิถุนายน 2565 จุดประสงค์คือคุ้มครองสิทธิของเจ้าของข้อมูลไม่ให้ถูกละเมิดความเป็นส่วนตัวโดยไม่ได้รับอนุญาต
สำหรับ HR แล้ว PDPA ส่งผลอย่างมาก เพราะทุกกิจกรรมในฝ่ายนี้เกี่ยวข้องกับ ข้อมูลส่วนบุคคล เช่น:
- ประวัติส่วนตัวของผู้สมัครงาน (Resume, Transcript, บัตรประชาชน)
- ข้อมูลสุขภาพ, การลาคลอด, เวลาทำงาน
- ข้อมูลทางการเงิน (เงินเดือน, สลิปเงินเดือน, บัญชีธนาคาร)
- ภาพถ่ายหรือวิดีโอจากกิจกรรมองค์กร
HR จึงเป็น “ขั้นตอนแรก” ที่ต้องรับผิดชอบการเก็บ ใช้ และเปิดเผยข้อมูลเหล่านี้อย่างถูกต้องตามกฎหมาย
4 ข้อกำหนดของ กฎหมาย PDPA ที่ HR ต้องเข้าใจ
1. การขอความยินยอม (Consent) อย่างชัดเจน
ไม่ว่าคุณจะเก็บหรือใช้ข้อมูลใดก็ตาม ต้องขอความยินยอมจากเจ้าของข้อมูลก่อนเสมอ โดยต้องแจ้งวัตถุประสงค์ให้ชัดเจน และไม่สามารถใช้ Consent ที่คลุมเครือ เช่น “เพื่อประโยชน์ของบริษัท” ได้
2. แจ้งสิทธิ และวัตถุประสงค์อย่างโปร่งใส
HR ต้องแจ้งเจ้าของข้อมูลว่า:
- ข้อมูลนี้จะถูกใช้ทำอะไร
- ใครสามารถเข้าถึงได้
- จะเก็บไว้นานแค่ไหน
- เจ้าของข้อมูลมีสิทธิอะไรบ้าง (เช่น ขอให้ลบ/แก้ไขข้อมูล)
ข้อนี้มีความสำคัญเป็นอย่างมากควรอธิบายจุดประสงค์ให้เจ้สของข้อมูลเข้าใจ เพื่อป้องกันปัญหาการเข้าใจผิดพลาด หรือใช้ผิดจุดประสงค์ภายในอนาคต
3. จำกัดการเข้าถึงเฉพาะผู้ที่จำเป็น
ข้อมูลส่วนบุคคล เช่น ใบรับรองแพทย์ หรือเงินเดือน ต้องถูกจำกัดการเข้าถึงในระดับที่เหมาะสม และไม่เผยแพร่ภายในองค์กรแบบไม่จำเป็น
4. จัดการข้อมูลอ่อนไหว (Sensitive Data) ด้วยความระมัดระวัง
ข้อมูลเช่น ศาสนา, เชื้อชาติ, สุขภาพ, ความพิการ, ลายนิ้วมือ ฯลฯ ต้องได้รับ Consent แยกต่างหาก และต้องมีมาตรการจัดเก็บที่ปลอดภัยยิ่งขึ้น
พนักงานมีสิทธิอะไรบ้าง? ที่ HR ควรรู้
ภายใต้ กฎหมาย PDPA พนักงาน (หรือ “เจ้าของข้อมูล”) มีสิทธิพื้นฐานที่องค์กร โดยเฉพาะฝ่าย HR ต้องให้ความเคารพและเตรียมพร้อมในการดำเนินการให้ถูกต้อง ครบถ้วน และภายในระยะเวลาที่เหมาะสม โดยสิทธิที่สำคัญมีดังนี้:
1. สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right to Access)
พนักงานสามารถร้องขอให้บริษัทเปิดเผยข้อมูลส่วนบุคคลที่องค์กรเก็บรวบรวมไว้เกี่ยวกับตนเองได้ เช่น
- บริษัทเก็บข้อมูลอะไรเกี่ยวกับพนักงานไว้บ้าง
- ข้อมูลนั้นถูกนำไปใช้เพื่อวัตถุประสงค์อะไร
- ใครเป็นผู้มีสิทธิเข้าถึงข้อมูลเหล่านั้น
HR ควรมีระบบที่สามารถรวบรวมและเปิดเผยข้อมูลให้เจ้าของข้อมูลได้อย่างรวดเร็วและถูกต้อง รวมถึงจัดทำเอกสารชี้แจงรูปแบบมาตรฐาน เช่น แบบฟอร์มคำขอ หรือขั้นตอนการดำเนินการ
2. สิทธิในการแก้ไข หรือ ลบข้อมูลส่วนบุคคล (Right to Rectification / Erasure)
เจ้าของข้อมูลมีสิทธิ:
- ขอแก้ไขข้อมูลที่ไม่ถูกต้อง เช่น ชื่อ-นามสกุล, ที่อยู่, เบอร์โทรศัพท์ ฯลฯ ให้เป็นปัจจุบันและถูกต้องตามเอกสารทางราชการ
- ขอให้ลบข้อมูลบางส่วนหรือทั้งหมด หากไม่มีเหตุผลทางกฎหมายที่องค์กรจะต้องเก็บไว้อีกต่อไป
เช่น:
- พนักงานลาออกแล้ว และไม่ต้องการให้บริษัทเก็บข้อมูลประวัติการทำงานไว้ต่อ
- เอกสารที่หมดอายุหรือไม่มีความจำเป็น เช่น แบบฟอร์มเวชระเบียน ใบลา หรือข้อมูลทางสุขภาพ
HR ต้องมีแนวทางลบหรือแก้ไขข้อมูลอย่างปลอดภัย ไม่ทิ้งร่องรอยที่อาจถูกเข้าถึงโดยไม่ได้รับอนุญาต
3. สิทธิในการถอนความยินยอม (Withdraw Consent)
พนักงานสามารถถอนความยินยอมในการใช้ข้อมูลของตนเองได้ทุกเมื่อ สำหรับกรณีที่เคยให้อนุญาตไว้ก่อนหน้านี้ เช่น:
- เคยอนุญาตให้บริษัทใช้รูปภาพจากกิจกรรมภายในเพื่อเผยแพร่บนเว็บไซต์หรือโซเชียลมีเดีย
- เคยให้ข้อมูลเพื่อใช้ในการอ้างอิงบุคคล หรือส่งต่อให้กับบริษัทคู่ค้า
หากพนักงานเปลี่ยนใจและไม่ต้องการให้บริษัทใช้ข้อมูลนั้นอีก HR จะต้องหยุดการใช้งานข้อมูลดังกล่าวทันที และดำเนินการลบข้อมูลออกจากระบบตามคำขอ ดังนั้นการไม่มีระบบรองรับคำขอถอนความยินยอม อาจทำให้องค์กรเสี่ยงต่อการละเมิด PDPA และถูกลงโทษทางกฎหมายได้
โทษและความเสี่ยง หาก HR ไม่ปฏิบัติตาม PDPA
กฎหมาย PDPA มีบทลงโทษทั้ง ทางแพ่ง, ทางอาญา และทางปกครอง ซึ่งอาจเกิดขึ้นกับองค์กรและผู้ที่เกี่ยวข้องโดยตรง (รวมถึง HR ด้วย)
ความผิดทางแพ่ง
เจ้าของข้อมูลสามารถเรียกร้องค่าเสียหายจากการละเมิด PDPA ซึ่งอาจมีค่าปรับสูงถึง 2 เท่าของความเสียหายที่เกิดขึ้นจริง
ความผิดทางอาญา
กรณีเผยแพร่ข้อมูลโดยมิชอบ อาจต้องโทษ จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท
ความผิดทางปกครอง
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) สามารถสั่งปรับทางปกครองได้สูงสุด 5 ล้านบาท
การละเมิดแม้เพียงครั้งเดียวโดยไม่ตั้งใจ อาจทำให้องค์กรเสียชื่อเสียง หรือสูญเสียความเชื่อมั่นจากพนักงานและคู่ค้าได้ทันที
5 ขั้นตอน ที่ HR ควรเริ่มให้สอดคล้องกับ PDPA
- ปรับปรุงเอกสาร Consent ให้สอดคล้องกับข้อกฎหมาย PDPA
- วางระบบจัดการข้อมูลให้ปลอดภัยและเป็นไปตามแนวปฏิบัติ
- จัดทำ HR Privacy Policy สำหรับพนักงานโดยเฉพาะ
- ฝึกอบรมทีม HR ให้เข้าใจกฎหมายและแนวทางปฏิบัติ
- ร่วมมือกับฝ่าย IT และกฎหมาย เพื่อออกแบบโครงสร้างการจัดเก็บข้อมูลที่ปลอดภัยและยืดหยุ่น
บทสรุป
HR ที่เข้าใจกฎหมาย PDPA ไม่เพียงแต่ป้องกันองค์กรจากความเสี่ยงทางกฎหมาย แต่ยังช่วยสร้าง “วัฒนธรรมองค์กรที่เคารพสิทธิส่วนบุคคล” ซึ่งเป็นจุดแข็งในการแข่งขันในยุคใหม่ หากเข้าใจ 4 หลักการของสิทธิส่วนบุคคล คือ 1. ขอความยินยอมในการให้ข้อมูล 2. แจ้งจุดประสงค์ให้ชัดเจน 3. จำกัดการเข้าถึงเฉพาะจำเป็น 4. จัดการข้อมูลที่อ่อนไหวอย่างเหมาะสม เพียงเท่านี้ก็ลดความเสี่ยงที่จะทำผิดฎหมาย หรือโอกาสโดนฟ้องในอนาคตได้เช่นกัน
อ่านความสำคัญของ PDPA ต่อได้ ที่นี่
หากมีข้อสงสัยเพิ่มเติมเกี่ยวกับการใช้งาน หรือสนใจใช้บริการของ t-reg
โทร 089-698-2591
รับชมบริการของเราได้ที่ t-reg.co
