20 พฤษภาคม 2565
เมื่อกฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะเริ่มบังคับใช้อย่างเต็มรูปแบบในเร็วๆ นี้ ทำให้การเตรียมตัวและวางแนวทางเพื่อปฏิบัติตามอย่างถูกต้องครบถ้วนนั้น อาจไม่ใช่แค่บริษัทที่เกี่ยวข้องกับข้อมูลลูกค้าเท่านั้นที่ต้องเร่งเตรียมตัว แต่ต้องบอกว่าทุกองค์กรต้องตั้งรับ ปรับตัว และเตรียมพร้อม เพราะกฎหมาย PDPA นี้ มีผลครอบคลุมไปถึงข้อมูลของพนักงาน ลูกจ้าง และบุคคลทุกคนในองค์กรด้วย แล้วนายจ้างและผู้เกี่ยวข้องโดยตรงอย่าง HR ควรปฏิบัติหรือต้องระวังอะไรบ้าง เพื่อไม่พลาดทำผิดกฎหมายดังกล่าว ตามไปดูกันค่ะ
บทบาทนายจ้าง และ HR ในกฎหมาย PDPA (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562)
คำถามที่มักเกิดขึ้นคือเมื่อกฎหมาย PDPA บังคับใช้ นายจ้าง และ HR จะมีความเกี่ยวข้องอย่างไร และต้องปรับตัว เตรียมการมากน้อยเพียงใด
• นายจ้าง ถือเป็นผู้ควบคุมข้อมูลส่วนบุคคล ตามบทบัญญัติในมาตรา 6 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลซึ่งมีใจความว่า “ผู้ควบคุมข้อมูลส่วนบุคคล หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล”
• ฝ่ายทรัพยากรบุคคล หรือ HR เป็นผู้ที่ทำหน้าที่ตามคำสั่งของนายจ้าง จึงถือเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งตามมาตรา 6 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล บัญญัติไว้ว่า “ผู้ประมวลผลข้อมูลส่วนบุคคล หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล”
ข้อมูลพนักงานที่องค์กรต้องเกี่ยวข้องมีอะไรบ้าง?
การรับลูกจ้างเข้าทำงาน นายจ้าง และ HR ย่อมมีข้อมูลต่างๆ ของผู้สมัคร เพื่อทำความรู้จักบุคคลนั้นๆ ให้มากที่สุด จึงเลี่ยงไม่ได้ที่จะต้องเกี่ยวข้องกับข้อมูลส่วนบุคคล ซึ่งระบุตัวตนของคนนั้นๆ ได้ชัดเจน เช่น
1) ประวัติส่วนตัว
2) ใบสมัครงาน และเอกสารประกอบ เช่น หลักฐานการศึกษา ข้อมูลทะเบียนบ้าน บัตรประชาชน ใบรับรองการฝึกอบรม
3) ผลการตรวจสุขภาพ
4) ผลการประเมินช่วงทดลองงาน และระหว่างปฏิบัติงาน
5) สลิปเงินเดือน และเงินพิเศษเพิ่มเติมอื่นๆ ที่เกี่ยวกับงาน
6) ข้อมูลเกี่ยวกับผู้สมัครด้านพฤติกรรม ความประพฤติ ประวัติทางวินัย หนังสือตักเตือน หรือหนังสือเลิกสัญญาจ้าง
7) ใบประกาศด้านความดีความชอบ หรือรางวัลต่างๆ
8) สัญญาจ้าง ลักษณะการจ้างงานในแต่ละช่วง
9) ข้อมูลสถิติการเข้างาน – เลิกงาน การลางาน ขาดงาน หรือมาสาย
10) ประวัติทางอาชญากรและประวัติเกี่ยวกับการกระทำความผิดต่างๆ ก่อนเป็นพนักงาน
11) ประวัติครอบครัว และบุคคลที่เกี่ยวข้องกับพนักงาน
โดยการปฏิบัติอย่างถูกต้องตามกฎหมาย PDPA นั้น ก่อนที่นายจ้างจะได้พิจารณาข้อมูลส่วนบุคคลของผู้สมัคร จะต้องมีการขอความยินยอมจากผู้สมัครงานก่อน
ทำอย่างไรเมื่อต้องเกี่ยวข้องกับข้อมูลส่วนบุคคลของพนักงาน?
1. ดำเนินการตามแนวทางที่สอดรับกับกฎหมาย
บริษัทควรรวบรวมข้อมูลความเกี่ยวข้องของบริษัทกับข้อมูลส่วนบุคคลในด้านต่างๆ พร้อมประเมินเกี่ยวกับข้อมูลนั้นๆ ทั้งด้านของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลว่ามีประเด็นส่วนไหนที่ต้องปฏิบัติตามกฎหมาย และประเด็นไหนยังไม่ได้จัดการในทางที่สอดคล้องกับกฎหมาย พร้อมกำหนดนโยบาย แนวทางปฏิบัติอย่างชัดเจน และเตรียมพร้อมบุคคลที่ต้องเกี่ยวข้องกับข้อมูลด้วย
2. มีมาตรการจัดการข้อมูลส่วนบุคคลที่รัดกุมปลอดภัย
บริษัทต้องประเมินผลเกี่ยวกับข้อมูลส่วนบุคคล ทั้งจำนวนการเก็บข้อมูลส่วนบุคคล ลักษณะการเดินทางของข้อมูลส่วนบุคคล (ได้ข้อมูลมาอย่างไร ผ่านใครมาบ้าง และถูกเก็บไว้ที่ไหนอย่างไร) การดูแลป้องกันข้อมูลส่วนบุคคล รวมถึงการลบทำลายข้อมูล และการบันทึกหลักฐานต่างๆ เพื่อให้เห็นถึงปริมาณการมีอยู่ของข้อมูล และลำดับความสำคัญของข้อมูลส่วนต่างๆ โดยการจัดการข้อมูลนั้นแบ่งเป็น 2 ด้านคือ
• การจัดการบันทึกข้อมูลส่วนบุคคล โดยข้อมูลเหล่านั้นจะต้องมีระบบจัดเก็บ จัดการ วิเคราะห์ และดูแลอย่างมีมาตรฐาน เพื่อให้เห็นภาพรวมที่เชื่อมโยงและแนวทางบริหารจัดการที่ถูกต้อง ป้องกันการรั่วไหล รวมถึงการอัปเดตข้อมูลได้อย่างมีประสิทธิภาพ
• การดำเนินการด้านความยินยอม โดยบริษัทควรมีเอกสารให้พนักงาน ลูกจ้าง ที่เป็นเจ้าของข้อมูลลงนามยินยอมต่อการใช้ จัดเก็บ และเปิดเผยข้อมูลส่วนบุคคล พร้อมระบุวัตถุประสงค์ ระยะเวลาของการนำข้อมูลส่วนบุคคลไปใช้อย่างชัดเจน
3. วางแผนป้องกันการละเมิดและการถูกโจมตีข้อมูล
ข้อมูลส่วนบุคคลของพนักงานนั้นมีความสำคัญไม่ต่างจากข้อมูลของลูกค้า ดังนั้นจึงต้องป้องกันทั้งด้านระบบ และบุคคล เพราะการปกป้องข้อมูลที่ดีจากภายใน จะสะท้อนถึงความน่าเชื่อถือที่บุคคลภายนอกเห็น เป็นผลดีกับทุกฝ่าย ไม่ว่าจะเป็นบริษัทเอง หรือพนักงาน หรือลูกค้า
โทษหนักแค่ไหน?…หากไม่ปฏิบัติตามกฎหมาย PDPA
PDPA แบ่งการกำหนดโทษออกเป็น 3 ส่วน คือ โทษทางแพ่ง ทางอาญา และทางปกครอง
1. โทษทางแพ่ง
ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทน โดยต้องจ่าย 2 ส่วน คือ
1) ค่าสินไหมทดแทนที่แท้จริง
2) ค่าสินไหมทดแทนเพื่อการลงโทษสูงสุด 2 เท่าของค่าสินไหมทดแทนที่แท้จริง (ค่าสินไหมทดแทนเพื่อการลงโทษสูงสุด คือค่าใช้จ่ายในการกระทำความผิดนอกเหนือจากค่าสินไหมทดแทน ซึ่งศาลอาจมีคำสั่งให้ผู้ทำผิดจ่ายเพิ่มจากจำนวนค่าสินไหมทดแทนที่แท้จริง)
ดังนั้นหากศาลตัดสินให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องจ่ายค่าสินไหมทดแทนให้เจ้าของข้อมูล 500,000 บาท ยอดรวมที่ผู้ทำผิดต้องจ่ายคือ
ค่าสินไหมทดแทนที่แท้จริง + (ค่าสินไหมทดแทนเพื่อการลงโทษ × 2)
500,000 + (500,000 × 2) = 1,500,000 บาท
2. โทษทางอาญา
มีบทลงโทษทั้งโทษปรับและจำคุก คือ ปรับตั้งแต่ 5 แสนบาท ไปจนถึง 5 ล้านบาท และจำคุกตั้งแต่ 6 เดือน ไปจนถึง 1 ปี หรือทั้งจำทั้งปรับ ซึ่งบทลงโทษนั้นเป็นไปตามลักษณะความผิด
3. โทษทางปกครอง
เป็นลักษณะของโทษปรับที่เป็นตัวเงิน ซึ่งมีตั้งแต่ 1 ล้านบาท ไปจนถึง 5 ล้านบาท ซึ่งบทลงโทษนั้นเป็นไปตามลักษณะความผิด และความผิดในโทษทางปกครองนี้จะเป็นคนละส่วนกับการชดใช้ค่าเสียหายทางแพ่งและโทษปรับทางอาญาด้วย
การปฏิบัติตามกฎหมาย PDPA อย่างถูกต้องครบถ้วน เจ้าของบริษัทและฝ่าย HR ควรให้เวลากับการทำความเข้าใจ เพราะหากไม่มีการเตรียมความพร้อมที่ดีพอและพลาดกระทำความผิดไปแล้ว ผลที่ตามมานอกจากจะเสียค่าปรับ เสียชื่อเสียงแล้ว ยังเสียภาพลักษณ์และความน่าเชื่อถือจากลูกค้าอีกด้วย