PDPA เกี่ยวข้องกับใครบ้าง? พนักงานทุกคนจำเป็นต้องเข้าใจ PDPA หรือไม่?

กฎหมาย PDPA (Personal Data Protection Act) หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะเริ่มบังคับใช้เต็มรูปแบบในเดือนมิถุนายน 2565 นี้ โดย PDPA เป็นกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นข้อมูลที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้ ในระหว่างนี้ ภาคธุรกิจยังคงต้องปฏิบัติตามมาตรฐานรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามที่กระทรวงดิจิทัลฯ กำหนดใจความสำคัญไว้ โดยให้องค์กรจัดเตรียมระบบรักษาความปลอดภัยของข้อมูลส่วนบุคคลให้ปลอดภัยมากยิ่งขึ้น อีกทั้งเตรียมเอกสารแนวทางปฏิบัติ และเอกสารที่จำเป็นตามกฎหมาย รวมถึงเตรียมบุคลากรให้เกิดความเชี่ยวชาญ พร้อมกับสร้างทักษะให้กับพนักงานในองค์กรผ่านการอบรม PDPA

PDPA เกี่ยวข้องกับแผนกอะไรบ้าง

ในองค์กรที่มีการจัดเก็บข้อมูลส่วนบุคคลหลากหลายรูปแบบ ทั้งข้อมูลของลูกค้า พนักงานบริษัท บริษัทคู่ค้า (vendor) บริษัทที่ได้รับการว่าจ้าง (outsource) ผู้เข้าร่วมสัมมนา ผู้สมัครงาน จะเห็นได้ว่ามีข้อมูลหลากหลายที่พนักงานจากหลายแผนกจำเป็นต้องเข้าไปมีส่วนเกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเหล่านั้น ทำให้ภาคธุรกิจอยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตามกฎหมาย PDPA

เรามาดูกันว่าแต่ละแผนกจะต้องจัดการข้อมูลส่วนบุคคลหรือมีหน้าที่ปฏิบัติตาม PDPA อย่างไรบ้าง

แผนกเทคโนโลยีสารสนเทศ (IT)

มีหน้าที่จัดทำระบบการจัดเก็บข้อมูลและมาตรการรักษาความปลอดภัยของข้อมูลให้สอดคล้องตามกฎหมาย PDPA ออกแบบ UX/UI ของหน้าเว็บไซต์และแบบฟอร์มการกรอกข้อมูลส่วนบุคคล รวมถึงแบบฟอร์มขอถอนหรือยกเลิกความยินยอม

แผนกบุคคล หรืองานด้านการบริหารทรัพยากรบุคคล (HR)

มีหน้าที่ดูแลเรื่องการสรรหา คัดเลือกบุคลากร การว่าจ้าง ดูแลเรื่องค่าจ้าง เงินเดือน และสวัสดิการบุคลากร พนักงานในแผนก HR จึงมีหน้าที่จัดการข้อมูลส่วนบุคคลของบุคคลที่สมัครงานกับบริษัท และดูแลข้อมูลส่วนบุคคลของพนักงานในบริษัท ข้อมูลประกันสังคมหรือข้อมูลสุขภาพที่เกี่ยวข้องในการเบิกจ่ายเงินค่ารักษาพยาบาล รวมทั้งจัดการฝึกอบรมความรู้ด้านต่างๆ โดยเฉพาะ PDPA training ผ่านหลักสูตร PDPA ที่จัดโดยผู้เชี่ยวชาญ

แผนกการตลาด แผนกขาย และแผนกบริการลูกค้า

มีหน้าที่ในการติดต่อ แสวงหาลูกค้า เสนอขาย จัดการโฆษณา จัดการกระตุ้นการขาย (Promotion) กำหนดกลุ่มลูกค้าเป้าหมายสำหรับบริการหรือสินค้าที่องค์กรขาย กระตุ้นให้ลูกค้าเกิดความตั้งใจและตัดสินใจซื้อ ให้บริการก่อนและหลังการขาย รวมถึงการให้คำแนะนำลูกค้าในการซื้อสินค้าหรือใช้บริการ ซึ่งแผนกนี้ก็จะเกี่ยวข้องกับ PDPA ในส่วนของการเก็บและใช้ข้อมูลส่วนบุคคลของลูกค้าโดยส่วนใหญ่

แผนกการเงินการบัญชี

มีหน้าที่เก็บข้อมูลยอดการสั่งซื้อ ดูแลจัดเตรียมเช็คสั่งจ่าย การรับเงินเก็บเงิน การนำเงินฝากธนาคาร รวมทั้งตรวจสอบความถูกต้องครบถ้วนของการบันทึกรายการ การจัดทำรายงานทางการเงินและบัญชี ซึ่งแผนกนี้ก็จะเกี่ยวข้องกับการจัดเก็บข้อมูลส่วนบุคคลลูกค้าและบริษัทคู่ค้า เช่น บัญชีธนาคาร เอกสารยืนยันตัวตน เป็นต้น

แผนกกฎหมาย หรือ Compliance

มีหน้าที่ตรวจสอบการดำเนินงานของบริษัทให้สอดคล้องกับกฎหมายระเบียบและนโยบายขององค์กร ดูแลการชำระภาษีของบริษัท ปฏิบัติงานเกี่ยวกับการดำเนินการด้านงานคดีในทางแพ่ง คดีอาญา และคดีทางปกครอง และกฎหมายอื่นที่เกี่ยวข้องรวมทั้งกฎหมาย PDPA ด้วย

ทำไมพนักงานถึงต้องเข้าใจเรื่อง PDPA

ภาคธุรกิจหรือองค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตาม PDPA มีหน้าที่ต้องดำเนินการให้สอดคล้องตามกฎหมาย PDPA โดยการกำหนดนโยบายความเป็นส่วนบุคคล และมีระบบมาตรการในการจัดเก็บข้อมูลส่วนบุคคลให้ปลอดภัยและได้มาตรฐานสากล เพื่อลดความเสี่ยงที่ผู้ไม่ประสงค์ดีจะนำข้อมูลส่วนบุคคลที่ภาคธุรกิจจัดเก็บไว้ ไปใช้ในทางที่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลและบริษัทเอง

นอกจากการจัดทำระบบคุ้มครองข้อมูลส่วนบุคคลแล้ว ความผิดพลาดในการใช้ข้อมูลส่วนบุคคลจากพนักงานในองค์กรเองซึ่งอาจเกิดโดยเจตนา หรือเกิดจากความประมาท ความรู้เท่าไม่ถึงการณ์ ก็ทำให้เกิดความเสียหายได้เช่นกัน พนักงานในองค์กรจึงควรมีความรู้ความเข้าใจในเรื่อง PDPA Awareness และเข้ารับการอบรม PDPA เกี่ยวกับมาตรการด้านความปลอดภัยที่เกี่ยวข้อง เช่น การตั้งรหัสผ่านที่รัดกุม ระมัดระวังไม่เปิดไฟล์แนบหรืออีเมลที่ไม่รู้จัก การใช้บัญชีข้อมูลส่วนตัวเพื่อให้สามารถระบุตัวพนักงานที่เป็นผู้ดำเนินการได้ การรายงานเหตุการณ์และรับมือเมื่อเกิดการละเมิดข้อมูล เป็นต้น

ด้วยบริการ PDPA Training & Seminars ที่จัด PDPA training course ให้การอบรมและสัมมนาทั้งในบริษัทและนอกสถานที่ หรือผ่าน E-learning Platform ตามความต้องการ ครอบคลุมความรู้ทั่วไปเกี่ยวกับ PDPA แนวปฏิบัติและข้อสงสัยต่างๆ เพื่อไม่ให้ข้อมูลส่วนบุคคลรั่วไหลไปสู่ภายนอกโดยบังเอิญ และป้องกันไม่ให้องค์กรต้องสูญเสียค่าใช้จ่ายจากการถูกลงโทษตามกฎหมาย

PDPA กับ HR

แผนกบุคคล หรือ HR มีหน้าที่ในการบริหารทรัพยากรบุคคลที่หลากหลาย ตั้งแต่การสรรหาคัดเลือกบุคลากร การว่าจ้าง การเบิกจ่ายค่าจ้างเงินเดือน ดูแลสวัสดิการบุคลากร ทำให้พนักงานในแผนก HR ต้องจัดการข้อมูลส่วนบุคคลของทั้งบุคคลที่สมัครงานกับบริษัทและของพนักงานในบริษัท รวมทั้งยังมีหน้าที่จัดการฝึกอบรมความรู้ด้านต่างๆ โดยเฉพาะ PDPA training ให้กับพนักงานด้วย โดยแผนก HR มีรายละเอียดเกี่ยวข้องกับ PDPA ดังนี้

การฝึกอบรม

การสอน Awareness ผ่านหลักสูตร PDPA ให้กับพนักงาน ซึ่ง PDPA training course จะทำให้พนักงานรู้ภาพรวมของกฎหมาย PDPA ที่เกี่ยวข้อง ได้รู้ปัญหาและแนวปฏิบัติจากผู้เชี่ยวชาญ โดยเฉพาะด้านความปลอดภัยทางไซเบอร์เพื่อลดข้อผิดพลาดจากการทำงาน เช่น การใช้อีเมลบัญชีของพนักงานเพื่อใช้งานส่วนตัว การกดอีเมลฟิชชิ่งโดยบังเอิญ หรือการเพิกเฉยเมื่อลูกค้าร้องขอตามสิทธิ PDPA โดยใช้การอบรม PDPA สัมมนา หรืออบรมรูปแบบ E-Learning ก็จะช่วยให้พนักงานปฏิบัติตาม PDPA ได้ ซึ่งจะช่วยให้รู้ถึงความสำคัญของความปลอดภัยของข้อมูลและช่วยรักษาสถานที่ทำงานให้ปลอดภัย

การรับสมัครงาน

แผนกบุคคลต้องขอความยินยอมเพื่อจัดเก็บหรือใช้ข้อมูลของผู้สมัครงานตาม PDPA เสมอ อาจใช้วิธีการแจ้งผู้สมัครผ่านใบรับสมัครงาน ซึ่งรายละเอียดการแจ้งครอบคลุมถึงการตรวจสอบข้อมูลเอกสารก่อนการจ้างงาน โดยควรรวบรวมข้อมูลส่วนบุคคลของผู้สมัครงานตามวัตถุประสงค์ที่แจ้งไว้อย่างชัดเจนและเท่าที่จำเป็น

การบริหารทรัพยากรบุคคล

การจัดการข้อมูลส่วนบุคคลของพนักงานตาม PDPA ส่วนใหญ่จะใช้การดำเนินการผ่านสัญญาจ้างงาน ซึ่งจะแจ้งรายละเอียดการขอเก็บข้อมูลว่าจะมีการเก็บรวบรวมข้อมูลในรูปแบบใด ระยะเวลาเท่าใด ข้อมูลส่วนบุคคลส่วนใดบ้างที่สามารถใช้กับบริษัทในเครือได้ ถ้ามีการขอเก็บข้อมูลส่วนบุคคลเพิ่มเติมก็จะต้องขอความยินยอมและแจ้งวัตถุประสงค์ให้อย่างชัดเจน อาจใช้วิธีการเวียนแจ้งผ่านทางอีเมลหรือแบบฟอร์มก็ได้ ส่วนการปฏิบัติตามสิทธิ PDPA ของพนักงานในองค์กร เช่น การขอแก้ไขเปลี่ยนแปลงข้อมูลส่วนบุคคล การขอทำสำเนาข้อมูลส่วนบุคคล แผนก HR ก็จะต้องเป็นผู้ดำเนินการให้กับพนักงานตามสิทธินั้น

นอกจากนี้ยังมีการจัดการข้อมูลส่วนบุคคลตาม PDPA ด้านอื่นๆ ทั้งการจัดเก็บข้อมูลสุขภาพเพื่อลางานตามกฎหมายแรงงานหรือเพื่อเบิกจ่ายค่ารักษาพยาบาลตามสิทธิประกันสังคม การจัดเก็บลายนิ้วมือเพื่อสแกนเวลาเข้าทำงาน ซึ่งในทางปฏิบัติสามารถทำได้ตาม PDPA แต่ก็ควรจัดเก็บข้อมูลส่วนบุคคลของพนักงานเท่าที่จำเป็นและมีระบบจัดเก็บข้อมูลส่วนบุคคลให้ปลอดภัยตามมาตรฐาน

ในภาคธุรกิจมักมีการจัดรวบรวมและใช้ข้อมูลส่วนบุคคลในหลายส่วน ทำให้ PDPA ล้วนมีส่วนเกี่ยวข้องกับพนักงานทุกแผนกซึ่งมีหน้าที่รับผิดชอบเกี่ยวกับการจัดการข้อมูลส่วนบุคคลแตกต่างกันออกไป โดยพนักงานในแต่ละแผนกคงจะทำงานเฉพาะกับคนในแผนกเดียวกันตลอดไปไม่ได้ ในบางครั้งจำเป็นต้องประสานงานกันให้สอดคล้องตามนโยบายที่บริษัทกำหนดแนวทางการดำเนินงานไว้ นอกจากนี้ การที่พนักงานในแต่ละแผนกรู้หน้าที่และมีความรู้จากการอบรม PDPA ผ่านหลักสูตร PDPA training course ก็จะทำให้การทำงานในทุกฝ่ายสามารถประสานงานกันได้สอดคล้องตามกฎหมาย PDPA