PDPA กฎหมายคุมข้อมูลส่วนบุคคล งานหนัก HR - โอกาสติวเตอร์

แม้ว่ากระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมจะประกาศเลื่อนบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ออกไปอีก 1 ปี พร้อมกับเหตุผลที่ว่ายังอยู่ในระหว่างสถานการณ์การระบาดของโควิด-19 นั้น เสมือนทำให้ฝ่ายทรัพยากรมนุษย์ (HR) ของแต่ละองค์กรได้มีเวลาทำความเข้าใจ พร้อมปรับวิธีการทำงานให้รัดกุมในข้อมูลส่วนบุคคลของพนักงานมากขึ้นด้วย

PDPA บริษัทรู้แต่ห้ามบอกต่อ

ทั้งนั้น ต้องทำความเข้าใจเบื้องต้นต่อพระราชบัญญัติดังกล่าวเกิดขึ้นเพื่อดูแลเจ้าของข้อมูลที่อาจจะมีข้อมูลบางส่วนที่ไม่ต้องการเปิดเผย แต่ในช่วงที่ผ่านมาข้อมูลส่วนบุคคลมีการรั่วไหลไปยังบุคคลที่ 3 โดยเฉพาะอย่างยิ่งในการทำธุรกรรมต่าง ๆ ภาระหนี้สินที่สถาบันการเงินต้องการเข้าถึงเพื่อขยายฐานลูกค้า เป็นต้น

กฎหมายนี้ระบุว่า บริษัท หรือองค์กรในฐานะที่เป็น “ผู้ควบคุมข้อมูล” ส่วนบุคคล ดำเนินการจัดเก็บข้อมูล รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ไม่ได้” หากว่าเจ้าของข้อมูลส่วนบุคคลไม่ได้ยินยอมไว้ก่อน หรือในขณะนั้น เว้นแต่บทบัญญัติแห่งกฎหมายนี้ หรือกฎหมายอื่นบัญญัติให้กระทำได้

แต่หากต้องการใช้ข้อมูลของพนักงานต้องมีการแจ้ง และขอความยินยอมจากเจ้าของข้อมูลก่อน โดยในการขอความยินยอม ต้องทำเป็น “หนังสือแจ้ง” อย่างชัดเจน หรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่ในกรณีที่สภาพไม่อาจขอความยินยอมด้วยวิธีข้างต้นได้ องค์กรต้องให้เหตุผลว่าเพราะสาเหตุใด จึงต้องเปิดเผยข้อมูล การขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน ด้วยข้อความที่เข้าใจได้ เพื่อป้องกันความเข้าใจผิดของพนักงานต่อวัตถุประสงค์ขององค์กรที่ต้องเปิดเผยข้อมูล

ทั้งนี้ ในการขอความยินยอมให้เปิดเผยข้อมูลนั้น จะต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูลในการให้ความยินยอม เมื่อต้องทำสัญญาใด ๆ ก็ตาม รวมถึงการให้บริการต้อง “ไม่มีเงื่อนไข” ในการยินยอมเพื่อให้องค์กร เก็บรวบรวมข้อมูล ใช้ หรือเปิดเผยข้อมูลที่ไม่มีความจำเป็น หรือเกี่ยวข้องสำหรับการทำสัญญา และรวมถึง “การให้บริการ” นั้น ๆ นอกจากนี้ ยังให้สิทธิเจ้าของข้อมูลจะ “ถอน” ความยินยอมได้ โดยสามารถถอนความยินยอมได้ง่ายเช่นเดียวกับที่ให้ความยินยอม

เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมาย หรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล การถอนความยินยอมยังต้องไม่ส่งผลกระทบต่อการเก็บรวบรวมข้อมูล ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไปแล้วโดยชอบตามที่กฎหมายระบุไว้

6 ข้อยกเว้นเปิดเผยข้อมูลได้

ส่วนการใช้ หรือเปิดเผยข้อมูลส่วนบุคคล มี “ข้อยกเว้น” ที่สามารถเปิดเผยได้ ตามสถานการณ์ดังนี้ คือ 1) เป็นการปฏิบัติงานตามกฎหมาย

2) ได้รับความยินยอมจากเจ้าของข้อมูลเพื่อให้บุคคลทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศปลายทาง หรือองค์กรระหว่างประเทศที่รับข้อมูลส่วนบุคคลแล้ว

3) เป็นความจำเป็นเพื่่อการปฏิบัติตามสัญญา ซึ่งเจ้าของข้อมูลเป็นคู่สัญญาหรือเพื่อใช้ตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น ๆ

4) เป็นการกระทำตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลหรือนิติบุคคลอื่นเพื่อประโยชน์ต่อเจ้าของข้อมูล

5) เพื่อป้องกันหรือระงับอันตรายต่อชีวิตร่างกาย หรือสุขภาพเจ้าของข้อมูลหรือบุคคลอื่น ๆ เมื่อเจ้าของข้อมูลส่วนบุุคคลไม่สามารถยินยอมได้เองในขณะนั้น

และ 6) เป็นความจำเป็นเพื่อดำเนินการเพื่อประโยชน์ของสาธารณะที่สำคัญ

คำถามจาก HR กม.ใช้ได้จริงหรือ

เพียงประเด็นที่ว่าภายใต้กฎหมายดังกล่าวมีอะไรที่ทำได้บ้าง ไม่ได้บ้าง ก็ส่งผลต่อการทำงานของฝ่าย HR ขององค์กรต่าง ๆ เพิ่มขึ้น หรือแม้แต่การทำความเข้าใจในกฎหมายต่าง ๆ หลายองค์กรถึงกับต้องซื้อคอร์สเพื่อทำความเข้าใจกับกฎหมายดังกล่าวด้วย

แหล่งข่าวจากบุคลากรด้าน HR ในธุรกิจอสังหาริมทรัพย์ เปิดเผย “ประชาชาติธุรกิจ” ว่า ต้องยอมรับว่ากฎหมายดังกล่าวจะถูกนำมาใช้ได้จริงหรือไม่ อีกทั้งอ้างอิงมาจากอะไรบ้าง เพราะเมื่อพิจารณาจากรายละเอียดแล้วมีข้อจำกัดค่อนข้างมาก

โดยเฉพาะเรื่องข้อห้ามที่มีรายละเอียดค่อนข้างซับซ้อน ยกตัวอย่าง เช่น แม้ว่าองค์กรจะเข้มข้นเรื่องการเปิดเผยข้อมูลส่วนบุคคลของพนักงานแล้ว แต่ยังมีช่องว่างที่ทำให้มีความจำเป็นต้องเปิดเผยข้อมูลอยู่ดี อย่างเช่น ในกรณีที่พนักงานบริษัทยื่นขอกู้เงินจากสถาบันการเงินต่าง ๆ หากไม่มีการเปิดเผยข้อมูลให้ครบถ้วน ก็ส่งผลต่อการอนุมัติวงเงินกู้ได้ เพราะสถาบันการเงินไม่ต้องการให้การปล่อยสินเชื่อมีความเสี่ยง เป็นต้น

“ในทางปฏิบัติภาคเอกชนยังต้องใช้เวลาในการทำความเข้าใจกฎหมายดังกล่าวแม้จะเลื่อนบังคับใช้ไปอีก 1 ปี ตอนนี้ฝ่ายบุคคลต้องกุมขมับว่าอะไรทำได้บ้าง ไม่ได้บ้าง เสี่ยงที่จะทำผิดกฎหมายโดยไม่รู้ตัว ก่อนหน้านี้ที่ยังอยู่ในกระบวนการร่างกฎหมายฉบับนี้ ไม่ได้มีการเปิดรับฟังความคิดเห็นจากภาคเอกชนแต่อย่างใด” แหล่งข่าวกล่าว

PDPA คลุมเครือ-ต้องตีความ

สำหรับวงในด้าน HR วิพากษ์วิจารณ์พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลว่า เป็นไปตามหลักการของข้อบังคับกฎหมายของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูลความเป็นส่วนตัว และเขตเศรษฐกิจยุโรป หรือ GDPR (General Data Protection) ที่ประเทศไทยรับหลักการทางการค้าไว้ หากไม่ดำเนินการ อาจจะต้องถูก “กีดกันทางการค้า” ได้

“บวรนันท์ ทองกัลยา” นายกสมาคมการจัดการงานบุคคลแห่งประเทศไทย หรือ PMAT (Personal Management Association of Thailand) ระบุว่า เมื่อพิจารณาจากรายละเอียดของกฎหมาย ยังมีความคลุมเครือ ยากต่อความเข้าใจ และปฏิบัติ ซึ่งแม้ว่าการผลักดันให้มีกฎหมายคุ้มครองส่วนบุคคลถือเป็นเรื่องที่ดี แต่ต้องมีความเข้าใจบริบทของภาคธุรกิจในประเทศด้วยว่าเป็นอย่างไร

ฉะนั้น การขยับเลื่อนบังคับใช้กฎหมายอย่างเป็นทางการออกไปอีก 1 ปี หน่วยงานที่เกี่ยวข้องควรวางแผนด้านความพร้อมด้วยการสื่อสาร และสร้างความเข้าใจที่ถูกต้องของกฎหมายเป็นอันดับแรก ในแง่ของกฎหมายจะต้องมีความชัดเจน ไม่เป็นอุปสรรคในการทำธุรกิจ อีกทั้งประเทศกำลังเผชิญการระบาดของโควิด-19 หากมีอุปสรรคเกิดขึ้นอีก อาจจะกระทบต่อการฟื้นตัวของภาคธุรกิจได้

ทั้งนี้ แม้ว่ากฎหมายดังกล่าวจะประกาศในราชกิจจานุเบกษาไปแล้วก็ตาม แต่จนถึงขณะนี้ยังไม่มีการแต่งตั้ง “คณะกรรมการ” คุ้มครองข้อมูลส่วนบุคคล ที่จะเข้ามากำกับดูแลตามที่กฎหมายกำหนด โดยมีหน้าที่คือจัดทำแผนแม่บทการส่งเสริม และการคุ้มครองข้อมูลส่วนบุคคล แผนยุทธศาสตร์ที่เกี่ยวข้อง กำหนดมาตรการ หรือแนวทางเกี่ยวกับการคุ้มครองข้อมูลเพื่อให้เป็นไปตามกฎหมาย เป็นต้น

“ความคลุมเครืออาจทำให้ต้องตีความกันนาน มองเห็นถึงความวุ่นวายที่จะเกิดขึ้นกับภาคธุรกิจในอนาคต เพราะอาจจะต้องส่งเรื่องให้มีการตีความมากมายเกิดขึ้น ฉะนั้นในช่วง 1 ปีที่ตัดสินใจเลื่อนบังคับใช้ขอให้ภาครัฐมีการวางแผน เร่งการสื่อสารไปยังทุกฝ่ายที่เกี่ยวข้อง พร้อมกำหนดทิศทางการใช้กฎหมายดังกล่าวให้ชัดเจนมากขึ้น” บวรนันท์กล่าว

โอกาสของติวเตอร์ด้าน PDPA

ผู้สื่อข่าว “ประชาชาติธุรกิจ” สำรวจคอร์ส เพื่ออบรมสร้างความรู้ความเข้าใจต่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พบว่ามีสถาบันติวเตอร์ที่เปิดติวคอร์ส PDPA โดยเฉพาะ ที่มีทั้งติวด้วยรูปแบบออนไลน์ เรียนรู้ผ่านวิดีโอ

เช่น คอร์สของ “ดร.ชัชวาล อรวงศ์ศุภทัต” วิทยากร และที่ปรึกษาด้านการพัฒนาระบบบริหารทรัพยากรบุคคล และพัฒนาองค์กรที่เปิดอบรมให้เข้าใจกันตั้งแต่ขอบเขตบังคับใช้ของกฎหมาย PDPA องค์กรต้องทำอย่างไรกับข้อมูลส่วนบุคคลที่รวบรวมไว้ก่อนกฎหมายบังคับใช้หลักการดำเนินการด้านข้อมูลส่วนบุคคลเพื่อให้ถูกต้องตามกฎหมาย การใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ตามมาด้วย PDPA Coach ของ “อาจารย์อั๋น ซีพีเอ็ม” (ดร.พงศ์พรรณ์ ผลเยี่ยม) บริษัท ซีพีเอ็ม สำนักกฎหมายและบริการ จำกัด รวมถึง PDPA Thailandที่จัดคอร์ส Train The Trainer ด้วยระบบออนไลน์ เป็นต้น