ในยุคที่คนส่วนใหญ่ เริ่มหันมาให้ความสำคัญกับข้อมูลส่วนตัวมากขึ้น ทำให้องค์กรต่าง ๆ ต้องเข้มงวดกับการคุ้มครองข้อมูลพนักงาน เพราะเป็นสิ่งที่สะท้อนถึงความรับผิดชอบขององค์กร ในบทความนี้ Cloud-TA จะพาทุกคนไปทำความรู้จัก กฎหมาย PDPA กฎหมายสำคัญ ที่คอยปกป้องข้อมูลส่วนบุคคลของแรงงาน เพื่อจัดการข้อมูลให้ปลอดภัย และหลีกเลี่ยงการทำผิดกฎหมาย หากพร้อมแล้ว เราไปดูกัน
ทำความรู้จัก กฎหมาย PDPA คืออะไร?
กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่ปกป้องข้อมูลส่วนบุคคลของแรงงาน โดยกำหนดให้นายจ้าง ต้องขอความยินยอมในการเก็บ ใช้ หรือเปิดเผยข้อมูลจากพนักงาน พร้อมกับจัดการข้อมูลอย่างปลอดภัย
ซึ่งจุดประสงค์หลักของ PDPA คือ การป้องกันไม่ให้องค์กร นำข้อมูลส่วนตัวของพนักงานไปใช้ในกิจกรรมอื่น โดยที่เจ้าของข้อมูลไม่ยินยอม หรือทำข้อมูลหลุดออกไป รวมถึงมีการเยียวยา และบทลงโทษทางกฎหมาย หากเกิดเหตุละเมิด เช่น ปรับสูงสุดไม่เกิน 5 ล้านบาท โดยข้อมูลที่ควรระมัดระวัง มีดังนี้
- ข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคล หรือข้อมูลทั่วไป (Personal Data) คือ ข้อมูลที่สามารถระบุตัวบุคคลนั้นได้ ทั้งในทางตรง และทางอ้อม แต่จะไม่รวมถึงข้อมูลของผู้เสียชีวิต หรือข้อมูลของนิติบุคคล ซึ่งทางแผนก HR ของแต่ละบริษัท ต้องจัดเก็บข้อมูลส่วนบุคคลให้ดี และขอความยินยอมจากพนักงานก่อนเสมอ ไม่ว่าจะเป็น
- ชื่อ – นามสกุล หรือชื่อเล่น
- เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร และเลขบัตรเครดิต
- ที่อยู่, อีเมล และหมายเลขโทรศัพท์
- ข้อมูลอุปกรณ์อิเล็กทรอนิกส์ เช่น IP address, MAC Address และ Cookie ID
- ข้อมูลระบุทรัพย์สินของบุคคล
- ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลส่วนตัว เช่น วันเดือนปีเกิด, เชื้อชาติ, สัญชาติ และข้อมูลตำแหน่งที่อยู่
- ข้อมูลหมายเลขอ้างอิง ที่เก็บไว้ในไมโครฟิล์ม
- ข้อมูลการประเมินผลการทำงาน
- ข้อมูลบันทึก ที่ใช้ติดตามตรวจสอบกิจกรรมต่าง ๆ ของบุคคล
- ข้อมูลที่สามารถใช้ในการค้นหาข้อมูลส่วนบุคคลอื่น ในอินเทอร์เน็ต
- ข้อมูลส่วนบุคคลที่อ่อนไหว
ในส่วนของข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) เป็นข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน และสุ่มเสี่ยงต่อการถูกใช้ ในการเลือกปฏิบัติอย่างไม่เป็นธรรมภายในองค์กร ดังนั้น HR ต้องระมัดระวังข้อมูลในส่วนนี้เป็นพิเศษ ไม่ว่าจะเป็น
- เชื้อชาติ
- ความคิดเห็นทางการเมือง
- ความเชื่อทางศาสนา
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลสุขภาพ ความพิการ และข้อมูลสุขภาพจิต
- ข้อมูลสหภาพแรงงาน
- ข้อมูลทางชีวมิติ (Biometric) เช่น ลายนิ้วมือ, รูปภาพใบหน้า และข้อมูลพันธุกรรม
- ข้อมูลที่ไม่จำเป็นต้องขอความยินยอม
แม้ว่าทางบริษัท จะต้องมีการเก็บข้อมูลส่วนตัว และต้องได้รับคำยินยอม (Consent) จากเจ้าของข้อมูลอยู่เสมอ เมื่อต้องการนำข้อมูลไปใช้ แต่ในพรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้มีการระบุข้อยกเว้น ที่ไม่จำเป็นต้องขอความยินยอมไว้ในมาตรา 24, 26 และ 27 โดยสรุปข้อยกเว้นไว้ ดังนี้
- กรณีที่ต้องป้องกัน หรือระงับเหตุอันตรายต่อชีวิต
- การดำเนินกิจกรรมโดยชอบ ด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสม
- ใช้สิทธิเรียกร้องตามกฎหมาย
- การรักษาทางการแพทย์
- การประเมินขีดความสามารถในการทำงาน
บทลงโทษใน พรบ.คุ้มครองข้อมูลส่วนบุคคล ที่ HR ต้องรู้
ในกรณีที่บริษัทเปิดเผยข้อมูลส่วนตัวของพนักงาน และเจ้าของข้อมูลส่วนบุคคลได้ร้องขอตามสิทธิ PDPA แล้ว แต่ทางบริษัท และฝ่าย HR ยังคงเพิกเฉย เจ้าของข้อมูลสามารถดำเนินตามกฎหมาย เพื่อให้ทางองค์กรได้รับบทลงโทษได้ 3 ส่วน ได้แก่ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง โดยมีรายละเอียด ดังนี้
- โทษทางแพ่ง
หากบริษัททำให้พนักงานเสียหาย จากการที่ข้อมูลส่วนตัวถูกเผยแพร่ โทษทางแพ่ง ได้กำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริง ให้กับเจ้าของข้อมูลส่วนบุคคล และอาจต้องจ่ายบวกเพิ่มอีก เป็นค่าสินไหมทดแทน จากการลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่าของค่าเสียหายจริง
โดยบทลงโทษทางแพ่งของ PDPA มีอายุความ 3 ปี นับแต่วันที่ผู้เสียหาย รู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ เว้นแต่จะพิสูจน์ได้ว่า เหตุการณ์ที่เกิดขึ้นนั้น เป็นเหตุสุดวิสัย หรือเป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ ซึ่งปฏิบัติการตามหน้าที่ และอำนาจตามกฎหมาย
- โทษทางอาญา
การละเมิดสิทธิ PDPA ที่เข้าข่ายผิดกฎหมายอาญา มักเป็นการใช้ข้อมูล หรือเปิดเผยข้อมูล และส่งโอนข้อมูลไปยังต่างประเทศ รวมถึงละเมิดข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) โดยบทลงโทษ PDPA ทางอาญามีทั้งโทษจำคุก และโทษปรับ โดยมีโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
- โทษทางปกครอง
สำหรับโทษทางปกครอง จะเป็นกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนของการใช้ข้อมูล การเปิดเผยข้อมูล และส่งข้อมูลไปยังต่างประเทศ ซึ่งจะเป็นโทษที่แยกออกมา จากการชดใช้ค่าเสียหายของโทษทางแพ่ง และโทษทางอาญาอีกด้วย ซึ่งโทษปรับจะมีตั้งแต่ 1 ล้านบาท สูงสุดไม่เกิน 5 ล้านบาท
สำหรับผู้ประกอบการ หรือเจ้าของบริษัท ที่กำลังมองหาเครื่องมือในการจัดการข้อมูลส่วนตัวของพนักงาน และเอกสารสำคัญขององค์กรให้ปลอดภัย เพื่อไม่ให้ละเมิดPDPA และกฎหมายแรงงานบางส่วน ขอแนะนำ Cloud-TA เพราะระบบของเรา จัดเก็บข้อมูลอย่างปลอดภัย บนระบบคลาวด์ของไมโครซอฟต์ (Microsoft Azure) มั่นใจได้เลยว่า ข้อมูลทั้งหมดจะถูกรักษาไว้อย่างปลอดภัยแน่นอน
เรื่องต้องรู้ ! กฎหมาย PDPA เกี่ยวข้องกับแผนกอะไรบ้าง
PDPA ไม่ได้เป็นเรื่องของ HR และพนักงานแต่ละคนเท่านั้น เนื่องจาก ภายในองค์กร มีการจัดเก็บข้อมูลส่วนบุคคลหลากหลายรูปแบบ ไม่ว่าจะเป็น ข้อมูลของลูกค้า พนักงานบริษัท บริษัทคู่ค้า และผู้สมัครงาน ด้วยเหตุนี้ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงมีความเกี่ยวข้องกับหลายแผนกในองค์กร ไม่ว่าจะเป็น
- แผนกฝ่ายบุคคล (HR)
แผนกฝ่ายบุคคล (HR) เป็นตำแหน่งที่คอยสรรหา และคัดเลือกบุคลากร รวมถึงดูแลเรื่องเงินเดือน และสวัสดิการพนักงานในบริษัท ทำให้ HR ต้องคลุกคลีกับเอกสารข้อมูลส่วนบุคคล ทั้งของผู้สมัครงานกับบริษัท และพนักงานในองค์กร ทั้งยังมีข้อมูลสุขภาพที่เกี่ยวข้องของพนักงานแต่ละคนอีกด้วย
- แผนกเทคโนโลยีสารสนเทศ (IT)
อีกหนึ่งแผนกที่มีส่วนเกี่ยวข้องกับ PDPA โดยตรง คือ แผนกเทคโนโลยีสารสนเทศ (IT) เพราะต้องจัดทำระบบการจัดเก็บข้อมูล และมาตรการรักษาความปลอดภัยของข้อมูล รวมถึงออกแบบ UX/UI ของเว็บไซต์ และแอปพลิเคชัน ให้สอดคล้องตาม กฎหมาย PDPA
- แผนกการตลาด และแผนกบริการลูกค้า
สำหรับฝ่ายการตลาด และฝ่ายบริการลูกค้า ก็มีส่วนเกี่ยวข้องกับ PDPA ในส่วนของการเก็บ และใช้ข้อมูลส่วนบุคคลของลูกค้า เพื่อนำข้อมูลที่ได้ไปพัฒนาสินค้า หรือคอนเทนต์ต่าง ๆ ให้ตรงกับกลุ่มเป้าหมาย และกระตุ้นยอดขายให้เพิ่มขึ้นในทุกแคมเปญ
- แผนกบัญชี
แผนกบัญชี มีหน้าที่คอยรับเงิน เก็บเงิน และนำเงินฝากธนาคาร รวมถึงตรวจสอบความถูกต้อง และจัดทำรายงานทางการเงินในแต่ละเดือน ทำให้เจ้าหน้าที่บัญชีประจำองค์กร มีส่วนเกี่ยวข้องกับ PDPA ในเรื่องของการจัดเก็บข้อมูลส่วนบุคคลของลูกค้า เช่น บัญชีธนาคาร, เอกสารยืนยันตัวตน และเอกสารลับทางธุรกิจ เป็นต้น
- แผนกกฎหมาย
ปิดท้ายกันด้วย แผนกกฎหมาย ถือเป็นแผนกที่มีส่วนเกี่ยวข้องกับ PDPA โดยตรง เพราะต้องคอยตรวจสอบการดำเนินงานขององค์กร ให้สอดคล้องกับกฎหมาย โดยเฉพาะกฎหมายแรงงาน รวมถึงดำเนินการ ด้านงานคดี ทั้งในคดีแพ่ง คดีอาญา และคดีทางปกครอง
สุดท้ายนี้ สำหรับใครที่กำลังมองหาระบบลงเวลาเข้า – ออกงานของพนักงาน และระบุวันหยุดประจำบริษัทไว้อย่างชัดเจน เพื่อดำเนินการตามกฎหมายแรงงาน ทั้งยังช่วยจัดเก็บข้อมูลส่วนบุคคล ของพนักงานให้ปลอดภัย ทำให้ HR ไม่ต้องคอยจัดเก็บเอกสารกระดาษ ซึ่งอาจเกิดความผิดพลาดได้ง่าย
Cloud-TA เป็นระบบบันทึกเวลาเข้า – ออกงาน (Time & Attendance System) ยุคใหม่ที่ช่วยให้องค์กรของคุณ ทำงานได้อย่างมีประสิทธิภาพ โดยข้อมูลของพนักงานทั้งหมด จะถูกส่งไปจัดเก็บอย่างปลอดภัยบนระบบคลาวด์ในทันที หากสนใจสามารถติดต่อ และสอบถามเพิ่มเติมได้ที่
Website: https://cloud-ta.com/
Email: cloud-ta@innova.co.th
Tel: 091-717-5499, 092-273-1760 (Sale)
Line: @Cloud-TA
