ประกาศเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของ PDPA และ GDPR สำหรับพนักงาน – สิ่งที่นายจ้างจำเป็นต้องรู้

 

ฝ่ายทรัพยากรบุคคลต้องจัดทำนโยบายความเป็นส่วนตัว


GDPR และ PDPA ต่างกันอย่างไร

GDPR กำหนดกฎเกณฑ์เฉพาะสำหรับการประมวลผลข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ในการวิจัย ซึ่งรวมถึงการลดขนาดข้อมูล และการทำให้ข้อมูลไม่ระบุชื่อ PDPA ไม่ได้รวมกฎเกณฑ์เฉพาะสำหรับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังกล่าว แต่กำหนดให้ มีการกำหนดมาตรการที่เหมาะสม

 

ปฏิบัติต่อความเป็นส่วนตัวของข้อมูลพนักงานด้วยความเอาใจใส่

 

เหตุใดนายจ้างทุกคนจึงต้องคำนึงถึงการสร้างเอกสารที่มีความหมาย

หลายองค์กรคงคุ้นเคยกับแนวคิดเรื่องนโยบายความเป็นส่วนตัวอยู่แล้ว อย่างไรก็ตาม ข้อมูลเหล่านี้ เกือบจะทั้งหมดอยู่ในบริบทของการจัดหาข้อมูลบางอย่างเกี่ยวกับวิธีที่องค์กรกำลังประมวลผลข้อมูลส่วนบุคคลของลูกค้า (แทนที่จะเป็นพนักงาน) ภายใต้กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค ('GDPR') การประกาศดังกล่าวจะมีความสำคัญมากขึ้นสำหรับเจ้าของข้อมูลทั้งหมด องค์กรอาจจัดการข้อมูลส่วนบุคคลที่เกี่ยวข้อง รวมถึงพนักงาน และผู้สมัครงาน นอกจากนี้ นโยบายความเป็นส่วนตัวจะต้องมีข้อมูลโดยละเอียดมากขึ้น เกี่ยวกับวิธีการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้อง เพื่อให้เป็นไปตามข้อกำหนดขั้นสูงของ GDPR

นโยบายความเป็นส่วนตัวของพนักงานคืออะไร

นโยบายความเป็นส่วนตัวของพนักงานเป็นแหล่งข้อมูลที่อธิบายให้บุคคลทราบถึง 

"อะไร อย่างไร ที่ไหน ทำไม และเมื่อใด" เกี่ยวกับวิธีที่ผู้ควบคุมข้อมูล (ในกรณีของเราคือนายจ้าง) ประมวลผลข้อมูลส่วนบุคคลของพนักงาน การประมวลผลเป็นคำที่กว้างและรวมถึง (เหนือสิ่งอื่นใด) การรวบรวม บันทึก จัดเก็บ แก้ไข ตรวจสอบ ใช้ และลบข้อมูลส่วนบุคคล ข้อมูลที่เกี่ยวข้องกับการจ้างงานจำนวนมากได้รับการประมวลผลโดยนายจ้าง และภายใต้ GDPR/PDPA ข้อมูลเหล่านี้จะต้องโปร่งใส และเปิดกว้างมากขึ้นกว่าที่เคยเกี่ยวกับการประมวลผลดังกล่าว

ทำไมนายจ้างต้องร่างนโยบายความเป็นส่วนตัว?

เป็นภาระหน้าที่บังคับภายใต้ GDPR/PDPA สำหรับนายจ้างในการให้ข้อมูลบางอย่าง (รายละเอียดเพิ่มเติมด้านล่าง) แก่พนักงานของตน นอกจากนี้ยังเป็นหลักการสำคัญของ GDPR/PDPA สำหรับนายจ้างในการประมวลผลข้อมูลที่เกี่ยวข้องกับฝ่ายทรัพยากรบุคคลอย่างยุติธรรม และโปร่งใส การออกนโยบายความเป็นส่วนตัวตามสั่ง และให้ข้อมูลอย่างเพียงพอแก่พนักงานจึงเป็นขั้นตอนสำคัญในการบรรลุการปฏิบัติตาม GDPR

นายจ้างไม่สามารถให้ข้อมูลนี้ได้ อย่างไรก็ตาม คำแนะนำที่มั่นคงของเราคือ นายจ้างดำเนินการดังกล่าวโดยใช้นโยบายเกี่ยวกับความเป็นส่วนตัว วิธีการสื่อสารประกาศความเป็นส่วนตัวนั้นให้กับพนักงานนั้นขึ้นอยู่กับดุลยพินิจขององค์กร และเราจะพูดถึงเรื่องนี้เพิ่มเติมด้านล่าง

นี่เป็นหนึ่งในเอกสารที่สำคัญที่สุดที่นายจ้างจะต้องเตรียมเพื่อให้สอดคล้องกับ GDPR องค์กรมีข้อมูลส่วนบุคคลจำนวนมหาศาล และมักมีหมวดหมู่พิเศษของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับพนักงานของตน และเนื่องจากหนึ่งในแนวคิดใหม่ภายใต้ GDPR คือ 

'ความโปร่งใส' จึงมีความจำเป็นที่นายจ้างจะต้องเปิดเผย ซื่อสัตย์ และมีรายละเอียดเพียงพอใน ข้อมูลที่พวกเขาให้กับพนักงานที่เกี่ยวข้องกับการจัดการข้อมูลของพวกเขา นโยบายเกี่ยวกับความเป็นส่วนตัวควบคู่ไปกับความเหมาะสม นโยบาย ขั้นตอน และการฝึกอบรมที่เกี่ยวข้องเป็นส่วนพื้นฐานของจิ๊กซอว์ GDPR แต่น่าจะเป็นเอกสารที่มีการพิจารณามากที่สุดโดยเจ้าหน้าที่ที่มีสิทธิ์เพิ่มขึ้นมากภายใต้ GDPR

 

ข้อมูลใดบ้างที่ต้องรวมอยู่ในนโยบายความเป็นส่วนตัวของพนักงาน

"ประเภท" ข้อมูลบังคับที่ต้องระบุไว้ในนโยบายความเป็นส่วนตัว ได้แก่:

  • ข้อมูลประจำตัวและรายละเอียดการติดต่อของนายจ้าง
  • คำอธิบายของข้อมูลส่วนบุคคลที่รวบรวม
  • วัตถุประสงค์ในการประมวลผลข้อมูล
  • พื้นฐานทางกฎหมายที่การประมวลผลจะเกิดขึ้น
  • ข้อมูลส่วนบุคคลถูกแบ่งปันกับใคร
  • ไม่ว่าข้อมูลส่วนบุคคลจะถูกโอนไปนอกประเทศหรือไม่ และหากมี รายละเอียดของมาตรการป้องกันที่มีไว้เพื่อป้องกันความปลอดภัยของข้อมูล
  • ข้อมูลส่วนบุคคลจะถูกเก็บไว้นานเท่าใด และ
  • รายละเอียดเกี่ยวกับสิทธิที่พนักงานมีเกี่ยวกับข้อมูลส่วนบุคคลนั้น ๆ เช่น สิทธิขอให้นายจ้างแก้ไขข้อมูลที่ไม่ถูกต้อง

นายจ้างเริ่มสร้างนโยบายความเป็นส่วนตัวที่มีความหมายสำหรับพนักงานอย่างไร

นโยบายความเป็นส่วนตัวจะต้อง "มีความหมาย" โดยพื้นฐานแล้ว หมายความว่าต้องมีการปรับแต่งให้สะท้อนถึงโครงสร้างของธุรกิจของนายจ้าง ประเภทของข้อมูลส่วนบุคคลที่นายจ้างดำเนินการ และลักษณะของการประมวลผล (เหนือสิ่งอื่นใด) ดังนั้น แม้ว่าแบบร่างนโยบายเกี่ยวกับความเป็นส่วนตัวจะเป็นจุดเริ่มต้นที่เป็นประโยชน์สำหรับนายจ้าง แต่จะกลายเป็นเอกสารที่มีจุดประสงค์ก็ต่อเมื่อได้รับการปรับแต่งเป็นพิเศษ เพื่อให้สะท้อนถึงการประมวลผลข้อมูลส่วนบุคคลของพนักงานภายในองค์กรที่เกี่ยวข้อง

ขั้นตอนแรกสำหรับนายจ้างในการดำเนินการตามนโยบายความเป็นส่วนตัว คือการทำความเข้าใจว่าข้อมูลใดที่เก็บไว้ วิธีดำเนินการ ใครสามารถเข้าถึงข้อมูลได้ เหตุใดจึงได้รับการประมวลผล และอะไรคือพื้นฐานทางกฎหมายของบริษัทในการดำเนินการ ข้อมูลนั้น สิ่งนี้สามารถทำได้อย่างมีประสิทธิภาพมากที่สุด โดยดำเนินการตรวจสอบข้อมูลฝ่ายทรัพยากรบุคคล หรือแบบฝึกหัดการทำแผนที่ข้อมูลบางรูปแบบ

เมื่อนายจ้างมีภาพที่ชัดเจนของข้อมูลที่เก็บไว้ และวิธีจัดการกับข้อมูลนั้น นายจ้างก็สามารถเริ่มดำเนินการรายละเอียดเหล่านี้ในนโยบายเกี่ยวกับความเป็นส่วนตัวได้ ในส่วนที่เกี่ยวกับข้อมูลแต่ละประเภท นายจ้างจะต้องยืนยันภายในนโยบายความเป็นส่วนตัว วัตถุประสงค์ในการประมวลผลข้อมูลนั้น และเหตุผลทางกฎหมายที่ต้องใช้เพื่อดำเนินกิจกรรมการประมวลผลนั้น

เมื่อมีการจัดทำนโยบายเกี่ยวกับความเป็นส่วนตัวที่มีความหมายสำหรับพนักงานที่มีอยู่แล้ว นายจ้างจะต้องพิจารณาปรับแต่งให้เหมาะสมกับผู้สมัครงาน หรือรูปแบบอื่น ๆ ของผู้ปฏิบัติงานที่ผิดปกติ

นโยบายความเป็นส่วนตัวจำเป็นต้องให้รายละเอียดที่เพียงพอ เพื่อให้เจ้าของข้อมูลมีความรู้ที่ชัดเจนเกี่ยวกับประเภทของข้อมูลที่เก็บไว้ ลักษณะของกิจกรรมการประมวลผล และสิทธิ์ภายใต้ GDPR อย่างไรก็ตาม โดยไม่คำนึงถึงระดับของรายละเอียดที่ต้องระบุ GDPR กำหนดให้เอกสารต้องเขียนด้วยภาษาที่ชัดเจนและรัดกุม การรวมข้อมูลที่จำเป็นทั้งหมดในขณะที่การกระชับถือเป็นศิลปะ!

นโยบายความเป็นส่วนตัวควรออกให้กับพนักงานเมื่อใด

ข้อมูลความเป็นส่วนตัวจะต้องมีการสื่อสารกับบุคคล ณ จุดที่รวบรวมข้อมูล ในทางปฏิบัติ จะหมายถึงการออกนโยบายความเป็นส่วนตัว "ผู้สมัคร" ให้กับทุกคนที่สมัครรับตำแหน่งว่าง พวกเขาจะหมายถึงการออกนโยบายความเป็นส่วนตัว "พนักงาน" ฉบับใหม่ ซึ่งเป็นส่วนหนึ่งของการฝึกปฏิบัติสำหรับพนักงานใหม่ นอกเหนือไปจากการออกนโยบายความเป็นส่วนตัวให้กับพนักงานที่มีอยู่ทั้งหมด

นโยบายความเป็นส่วนตัวควรแจกจ่ายให้กับพนักงานอย่างไร

นโยบายความเป็นส่วนตัวสามารถสื่อสารได้หลายวิธี ทั้งในรูปแบบเอกสารหรือทางอิเล็กทรอนิกส์ อย่างไรก็ตาม เป็นการดีที่จะใช้สื่อเดียวกับที่คุณใช้เพื่อรวบรวมข้อมูลส่วนบุคคลจากบุคคล เพื่อสื่อสารนโยบายความเป็นส่วนตัว ตัวอย่างเช่น ในกรณีที่นายจ้างออกแบบฟอร์มใบสมัครงานให้กับผู้สมัคร อาจมีสำเนานโยบายความเป็นส่วนตัวฉบับพิมพ์มาด้วย

แม้ว่าข้อมูลจะต้องได้รับการสื่อสารกับบุคคล ณ จุดที่รวบรวม แต่ไม่ได้หมายความว่าข้อมูลที่จำเป็นทั้งหมดจะต้องมีอยู่ในเอกสารเดียวกัน ในแง่นี้ Information Commissioners Office (“ICO”) ยังตระหนักด้วยว่าบางองค์กรอาจเลือกใช้แนวทางใหม่ในการเผยแพร่ข้อมูลนี้ ดังนั้นจึงเป็นโอกาสสำหรับองค์กรที่จะมีความคิดสร้างสรรค์ในลักษณะที่ให้ข้อมูลนี้แก่พนักงาน และเป็นโอกาสที่เท่าเทียมกันในการมีส่วนร่วมกับพนักงานในประเด็นเรื่องการปกป้องข้อมูล สามารถทำได้ เช่น โดยการสร้างแอพที่พนักงานสามารถอ่าน และมีส่วนร่วมกับนโยบาย หรือบางทีโดยการตั้งค่าข้อมูลสำคัญบางอย่างในข้อความที่ส่งถึงพนักงาน ซึ่งจะนำพนักงานไปยังลิงก์ไปยังเอกสารนโยบายที่ครบถ้วน ไม่ว่าจะเลือกวิธีการใด องค์กรต้องแน่ใจว่าพนักงานทุกคนได้รับข้อมูลนี้และสามารถรับทราบการรับข้อมูลได้ด้วยวิธีใดวิธีหนึ่ง

 

This article in English: PDPA & GDPR Privacy Notice for Employees – What employers need to know

ความคิดเห็น

โพสต์ยอดนิยมจากบล็อกนี้

รวบรวมข้อเสนอแนะและคำติชมของพนักงาน

วิธีใช้คิวอาร์โค้ดบันทึกเวลาเข้า-ออกงาน

5 ความท้าทาย และแนวทางแก้ไขด้านทรัพยากรบุคคล