PDPA สำหรับฝ่ายบุคคล (HR): คู่มือและแนวทางปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของพนักงาน
สารบัญ
- 1. ข้อมูลประเภทใดบ้างของพนักงานที่อยู่ภายใต้การคุ้มครองของ PDPA
- 2. ขั้นตอนการบริหารงานบุคคลที่ต้องปรับปรุงตามหลัก PDPA
- 3. ข้อควรระวังและแนวทางปฏิบัติในการเตรียมความพร้อมสำหรับองค์กร
- สรุป
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act) เป็นกฎหมายที่มีผลกระทบอย่างสูงต่อทุกส่วนงานในองค์กร โดยเฉพาะอย่างยิ่ง "ฝ่ายบุคคล" หรือ HR (Human Resources) เนื่องจากเป็นแผนกที่ต้องเกี่ยวข้องกับการรวบรวม จัดเก็บ และประมวลผลข้อมูลส่วนบุคคลของพนักงานและผู้สมัครงานจำนวนมหาศาล ตั้งแต่ข้อมูลพื้นฐาน ข้อมูลสุขภาพ ไปจนถึงข้อมูลลายนิ้วมือหรือประวัติอาชญากรรม
หากองค์กรจัดเก็บและใช้งานข้อมูลเหล่านี้โดยไม่สอดคล้องกับข้อกำหนดของ PDPA อาจนำไปสู่โทษปรับทางแพ่ง โทษทางอาญา หรือสร้างความเสียหายต่อชื่อเสียงขององค์กรอย่างร้ายแรง บทความนี้จะสรุปข้อควรรู้และแนวทางปฏิบัติที่ถูกต้องสำหรับ HR เพื่อให้มั่นใจว่าการบริหารงานบุคคลเป็นไปตามกฎหมาย 100%
1. ข้อมูลประเภทใดบ้างของพนักงานที่อยู่ภายใต้การคุ้มครองของ PDPA
ข้อมูลส่วนบุคคล (Personal Data) ของพนักงานภายใต้ PDPA สามารถแบ่งออกเป็น 2 ประเภทหลักที่ HR ต้องทำความเข้าใจ:
- ข้อมูลส่วนบุคคลทั่วไป: เช่น ชื่อ-นามสกุล, ที่อยู่, เบอร์โทรศัพท์, อีเมล, ประวัติการศึกษา, ประวัติการทำงาน, เลขบัตรประชาชน, รูปถ่าย, และพิกัด GPS จากระบบลงเวลาทำงาน
- ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data): ข้อมูลกลุ่มนี้กฎหมายให้การคุ้มครองเข้มงวดเป็นพิเศษ และห้ามเก็บรวบรวมโดยไม่ได้รับความยินยอมโดยชัดแจ้ง เว้นแต่มีข้อยกเว้นตามกฎหมาย เช่น ข้อมูลสุขภาพ (รวมถึงประวัติการรักษาพยาบาลและการตรวจสุขภาพประจำปี), ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน, ข้อมูลลายนิ้วมือหรือใบหน้า (Biometrics) ที่ใช้ในการลงเวลาทำงาน, ศาสนา และเชื้อชาติ
2. ขั้นตอนการบริหารงานบุคคลที่ต้องปรับปรุงตามหลัก PDPA
ฝ่ายบุคคลต้องทบทวนและปรับปรุงขั้นตอนการทำงานตลอดวงจรการทำงานของพนักงาน (Employee Lifecycle) ดังนี้:
2.1 ขั้นตอนการรับสมัครงาน (Recruitment)
ในการเปิดรับสมัครงานและคัดเลือกผู้สมัคร HR มักได้รับเรซูเม่ (Resume) และเอกสารส่วนตัวที่มีข้อมูลต่างๆ แนวปฏิบัติที่ถูกต้องคือ:
- แจ้ง นโยบายความเป็นส่วนตัวของผู้สมัครงาน (Candidate Privacy Notice) ให้ผู้สมัครรับทราบก่อนหรือขณะรวบรวมข้อมูล
- เก็บข้อมูลเฉพาะที่จำเป็นในการพิจารณารับเข้าทำงานเท่านั้น หากมีการขอสำเนาบัตรประชาชน ควรขอให้ผู้สมัครขีดฆ่าข้อมูล "ศาสนา" และ "กรุ๊ปเลือด" ออก หากไม่มีความจำเป็นต้องใช้
2.2 ขั้นตอนการเริ่มต้นสัญญาจ้าง (Onboarding & Employment Contract)
เมื่อตัดสินใจจ้างงานและเซ็นสัญญา:
- จัดทำ นโยบายความเป็นส่วนตัวของพนักงาน (Employee Privacy Notice) ชี้แจงวัตถุประสงค์ในการเก็บข้อมูล ระยะเวลาการจัดเก็บ และสิทธิ์ของพนักงาน
- จัดทำ หนังสือขอความยินยอม (Consent Form) แยกส่วนออกจากสัญญาจ้างงานอย่างชัดเจน โดยใช้สำหรับข้อมูลอ่อนไหว เช่น การสแกนลายนิ้วมือลงเวลาทำงาน หรือประวัติสุขภาพ
2.3 ขั้นตอนการปฏิบัติงานประจำวัน (Daily Operations)
- การบันทึกเวลาทำงาน: หากใช้ระบบลงเวลาผ่านมือถือ เช่น GPS Check-In หรือ QR Code ของระบบ HRPM องค์กรต้องแจ้งให้พนักงานทราบว่าจะบันทึกพิกัดตำแหน่งเฉพาะตอนกดลงเวลาเท่านั้น ไม่มีการติดตามตลอดเวลา (Tracking) เพื่อไม่ให้เป็นการละเมิดสิทธิ์ความเป็นส่วนตัว
- การส่งต่อข้อมูลภายนอก: การส่งข้อมูลเงินเดือนให้ธนาคารเพื่อโอนเงิน หรือการส่งข้อมูลพนักงานให้บริษัทประกันกลุ่ม ต้องแน่ใจว่าคู่ค้าเหล่านั้น (Data Processor) มีมาตรการรักษาความปลอดภัยของข้อมูลที่เพียงพอและมีการทำข้อตกลงประมวลผลข้อมูล (Data Processing Agreement - DPA)
2.4 ขั้นตอนการสิ้นสุดการจ้างงาน (Termination)
เมื่อพนักงานลาออกหรือพ้นสภาพ:
- องค์กรไม่สามารถลบข้อมูลพนักงานออกได้ทันที เนื่องจากกฎหมายแรงงาน กฎหมายภาษี หรืออายุความฟ้องร้องกำหนดให้ต้องเก็บรักษาเอกสารไว้ระยะหนึ่ง (เช่น 5 - 10 ปี)
- HR ต้องระบุระยะเวลาที่จัดเก็บนี้ไว้ใน Privacy Notice อย่างชัดเจน และเมื่อครบกำหนดเวลาแล้ว จะต้องทำลายข้อมูลหรือทำให้ข้อมูลนั้นไม่สามารถระบุตัวบุคคลได้อีกต่อไป
3. ข้อควรระวังและแนวทางปฏิบัติในการเตรียมความพร้อมสำหรับองค์กร
- ทบทวนแบบฟอร์มเอกสารเดิม: ตรวจสอบแบบฟอร์มใบสมัคร สัญญาจ้าง และข้อตกลงเรื่องสวัสดิการต่างๆ ว่ามีการเขียนข้อสัญญาที่คลุมเครือหรือไม่
- จำกัดสิทธิ์การเข้าถึงข้อมูล (Access Control): จำกัดให้เฉพาะบุคลากรที่เกี่ยวข้องในฝ่าย HR เท่านั้นที่เข้าถึงฐานข้อมูลพนักงานได้ โดยเฉพาะข้อมูลประวัติสุขภาพ เงินเดือน และเลขบัญชีธนาคาร
- อบรมให้ความรู้แก่ทีมงาน: ฝ่าย HR และผู้บริหารทุกระดับควรผ่านการอบรม PDPA เพื่อลดความเสี่ยงจากการแชร์ข้อมูลพนักงานโดยไม่ได้ตั้งใจ (เช่น การส่งไฟล์ Excel เงินเดือนหรือวันลาในกลุ่มแชทสาธารณะ)
สรุป
PDPA ไม่ใช่เรื่องยากหากฝ่ายบุคคลมีการวางแผนและใช้เครื่องมือที่ถูกต้อง การใช้ระบบบริหารงานบุคคลที่เป็นมิตรต่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างระบบ HRPM จะช่วยให้การจัดเก็บและประมวลผลข้อมูลเวลาทำงานและเงินเดือนของพนักงานเป็นไปอย่างโปร่งใส ปลอดภัย และถูกต้องตามกฎหมายอย่างง่ายดาย หากองค์กรของคุณต้องการระบบ HR สำเร็จรูปที่รองรับมาตรการความปลอดภัยของข้อมูลส่วนบุคคลอย่างรอบด้าน ติดต่อขอคำปรึกษากับทีมงาน HRPM ได้ฟรีวันนี้
ยกระดับงาน HR และ Payroll ของคุณให้เป็นเรื่องง่าย
ลดเวลางานเอกสาร คำนวณเงินเดือนอัตโนมัติ จัดการเวลาเข้างาน GPS และสลิปเงินเดือนออนไลน์ในระบบเดียว
