Show อ่านบทความเต็มได้ใน... วารสาร HR Society magazine ปีที่ 17 ฉบับที่ 202 เดือนตุลาคม 2562 PSYCHOLOGY : The Effective Management : ดร.ทองพันชั่ง พงษ์วารินทร์ วารสาร : HR Society Magazine ตุลาคม 2562 เมื่อกฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะเริ่มบังคับใช้อย่างเต็มรูปแบบในเร็วๆ นี้ ทำให้การเตรียมตัวและวางแนวทางเพื่อปฏิบัติตามอย่างถูกต้องครบถ้วนนั้น อาจไม่ใช่แค่บริษัทที่เกี่ยวข้องกับข้อมูลลูกค้าเท่านั้นที่ต้องเร่งเตรียมตัว แต่ต้องบอกว่าทุกองค์กรต้องตั้งรับ ปรับตัว และเตรียมพร้อม เพราะกฎหมาย PDPA นี้ มีผลครอบคลุมไปถึงข้อมูลของพนักงาน ลูกจ้าง และบุคคลทุกคนในองค์กรด้วย แล้วนายจ้างและผู้เกี่ยวข้องโดยตรงอย่าง HR ควรปฏิบัติหรือต้องระวังอะไรบ้าง เพื่อไม่พลาดทำผิดกฎหมายดังกล่าว ตามไปดูกันค่ะ
บทบาทนายจ้าง และ HR ในกฎหมาย PDPA (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562)คำถามที่มักเกิดขึ้นคือเมื่อกฎหมาย PDPA บังคับใช้ นายจ้าง และ HR จะมีความเกี่ยวข้องอย่างไร และต้องปรับตัว เตรียมการมากน้อยเพียงใด • นายจ้าง ถือเป็นผู้ควบคุมข้อมูลส่วนบุคคล ตามบทบัญญัติในมาตรา 6 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลซึ่งมีใจความว่า “ผู้ควบคุมข้อมูลส่วนบุคคล หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล” • ฝ่ายทรัพยากรบุคคล หรือ HR เป็นผู้ที่ทำหน้าที่ตามคำสั่งของนายจ้าง จึงถือเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งตามมาตรา 6 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล บัญญัติไว้ว่า “ผู้ประมวลผลข้อมูลส่วนบุคคล หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล”
ข้อมูลพนักงานที่องค์กรต้องเกี่ยวข้องมีอะไรบ้าง?การรับลูกจ้างเข้าทำงาน นายจ้าง และ HR ย่อมมีข้อมูลต่างๆ ของผู้สมัคร เพื่อทำความรู้จักบุคคลนั้นๆ ให้มากที่สุด จึงเลี่ยงไม่ได้ที่จะต้องเกี่ยวข้องกับข้อมูลส่วนบุคคล ซึ่งระบุตัวตนของคนนั้นๆ ได้ชัดเจน เช่น 1) ประวัติส่วนตัว โดยการปฏิบัติอย่างถูกต้องตามกฎหมาย PDPA นั้น ก่อนที่นายจ้างจะได้พิจารณาข้อมูลส่วนบุคคลของผู้สมัคร จะต้องมีการขอความยินยอมจากผู้สมัครงานก่อน
ทำอย่างไรเมื่อต้องเกี่ยวข้องกับข้อมูลส่วนบุคคลของพนักงาน?1. ดำเนินการตามแนวทางที่สอดรับกับกฎหมายบริษัทควรรวบรวมข้อมูลความเกี่ยวข้องของบริษัทกับข้อมูลส่วนบุคคลในด้านต่างๆ พร้อมประเมินเกี่ยวกับข้อมูลนั้นๆ ทั้งด้านของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลว่ามีประเด็นส่วนไหนที่ต้องปฏิบัติตามกฎหมาย และประเด็นไหนยังไม่ได้จัดการในทางที่สอดคล้องกับกฎหมาย พร้อมกำหนดนโยบาย แนวทางปฏิบัติอย่างชัดเจน และเตรียมพร้อมบุคคลที่ต้องเกี่ยวข้องกับข้อมูลด้วย 2. มีมาตรการจัดการข้อมูลส่วนบุคคลที่รัดกุมปลอดภัยบริษัทต้องประเมินผลเกี่ยวกับข้อมูลส่วนบุคคล ทั้งจำนวนการเก็บข้อมูลส่วนบุคคล ลักษณะการเดินทางของข้อมูลส่วนบุคคล (ได้ข้อมูลมาอย่างไร ผ่านใครมาบ้าง และถูกเก็บไว้ที่ไหนอย่างไร) การดูแลป้องกันข้อมูลส่วนบุคคล รวมถึงการลบทำลายข้อมูล และการบันทึกหลักฐานต่างๆ เพื่อให้เห็นถึงปริมาณการมีอยู่ของข้อมูล และลำดับความสำคัญของข้อมูลส่วนต่างๆ โดยการจัดการข้อมูลนั้นแบ่งเป็น 2 ด้านคือ • การจัดการบันทึกข้อมูลส่วนบุคคล โดยข้อมูลเหล่านั้นจะต้องมีระบบจัดเก็บ จัดการ วิเคราะห์ และดูแลอย่างมีมาตรฐาน เพื่อให้เห็นภาพรวมที่เชื่อมโยงและแนวทางบริหารจัดการที่ถูกต้อง ป้องกันการรั่วไหล รวมถึงการอัปเดตข้อมูลได้อย่างมีประสิทธิภาพ • การดำเนินการด้านความยินยอม โดยบริษัทควรมีเอกสารให้พนักงาน ลูกจ้าง ที่เป็นเจ้าของข้อมูลลงนามยินยอมต่อการใช้ จัดเก็บ และเปิดเผยข้อมูลส่วนบุคคล พร้อมระบุวัตถุประสงค์ ระยะเวลาของการนำข้อมูลส่วนบุคคลไปใช้อย่างชัดเจน 3. วางแผนป้องกันการละเมิดและการถูกโจมตีข้อมูลข้อมูลส่วนบุคคลของพนักงานนั้นมีความสำคัญไม่ต่างจากข้อมูลของลูกค้า ดังนั้นจึงต้องป้องกันทั้งด้านระบบ และบุคคล เพราะการปกป้องข้อมูลที่ดีจากภายใน จะสะท้อนถึงความน่าเชื่อถือที่บุคคลภายนอกเห็น เป็นผลดีกับทุกฝ่าย ไม่ว่าจะเป็นบริษัทเอง หรือพนักงาน หรือลูกค้า
โทษหนักแค่ไหน?…หากไม่ปฏิบัติตามกฎหมาย PDPAPDPA แบ่งการกำหนดโทษออกเป็น 3 ส่วน คือ โทษทางแพ่ง ทางอาญา และทางปกครอง 1. โทษทางแพ่งผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทน โดยต้องจ่าย 2 ส่วน คือ 1) ค่าสินไหมทดแทนที่แท้จริง 2) ค่าสินไหมทดแทนเพื่อการลงโทษสูงสุด 2 เท่าของค่าสินไหมทดแทนที่แท้จริง (ค่าสินไหมทดแทนเพื่อการลงโทษสูงสุด คือค่าใช้จ่ายในการกระทำความผิดนอกเหนือจากค่าสินไหมทดแทน ซึ่งศาลอาจมีคำสั่งให้ผู้ทำผิดจ่ายเพิ่มจากจำนวนค่าสินไหมทดแทนที่แท้จริง) ดังนั้นหากศาลตัดสินให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องจ่ายค่าสินไหมทดแทนให้เจ้าของข้อมูล 500,000 บาท ยอดรวมที่ผู้ทำผิดต้องจ่ายคือ ค่าสินไหมทดแทนที่แท้จริง + (ค่าสินไหมทดแทนเพื่อการลงโทษ × 2) 500,000 + (500,000 × 2) = 1,500,000 บาท 2. โทษทางอาญามีบทลงโทษทั้งโทษปรับและจำคุก คือ ปรับตั้งแต่ 5 แสนบาท ไปจนถึง 5 ล้านบาท และจำคุกตั้งแต่ 6 เดือน ไปจนถึง 1 ปี หรือทั้งจำทั้งปรับ ซึ่งบทลงโทษนั้นเป็นไปตามลักษณะความผิด 3. โทษทางปกครองเป็นลักษณะของโทษปรับที่เป็นตัวเงิน ซึ่งมีตั้งแต่ 1 ล้านบาท ไปจนถึง 5 ล้านบาท ซึ่งบทลงโทษนั้นเป็นไปตามลักษณะความผิด และความผิดในโทษทางปกครองนี้จะเป็นคนละส่วนกับการชดใช้ค่าเสียหายทางแพ่งและโทษปรับทางอาญาด้วย
การปฏิบัติตามกฎหมาย PDPA อย่างถูกต้องครบถ้วน เจ้าของบริษัทและฝ่าย HR ควรให้เวลากับการทำความเข้าใจ เพราะหากไม่มีการเตรียมความพร้อมที่ดีพอและพลาดกระทำความผิดไปแล้ว ผลที่ตามมานอกจากจะเสียค่าปรับ เสียชื่อเสียงแล้ว ยังเสียภาพลักษณ์และความน่าเชื่อถือจากลูกค้าอีกด้วย |