ในยุคดิจิทัลที่ข้อมูลส่วนบุคคลมีความสำคัญมากขึ้น กฎหมายคุ้มครองข้อมูลส่วนบุคคลถูกนำมาใช้ทั่วโลกเพื่อปกป้องความเป็นส่วนตัวของบุคคล สองกฎหมายที่ได้รับความสนใจมากที่สุดคือ GDPR (General Data Protection Regulation) ของสหภาพยุโรป และ PDPA (Personal Data Protection Act) ของประเทศไทย ทั้งสองกฎหมายนี้มีเป้าหมายเดียวกันแต่มีความแตกต่างที่สำคัญ โดยเฉพาะในบริบทของการสรรหาบุคลากร มาดูกันว่าทั้งสองกฎหมายนี้มีความเหมือนและแตกต่างกันอย่างไร และนายจ้างต้องปฏิบัติตามข้อกำหนดอย่างไรบ้าง

GDPR และ PDPA คืออะไร ?

GDPR คืออะไร ?

GDPR เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปที่มีผลบังคับใช้ตั้งแต่ปี 2018 กฎหมายนี้กำหนดมาตรฐานสูงสุดในการปกป้องข้อมูลของพลเมืองยุโรป ไม่ว่าข้อมูลนั้นจะถูกประมวลผลที่ใดในโลก บริษัทใดก็ตามที่เก็บหรือประมวลผลข้อมูลของพลเมืองยุโรปต้องปฏิบัติตาม GDPR

แล้วอะไรคือ PDPA?

PDPA เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยที่มีผลบังคับใช้ตั้งแต่ปี 2022 โดยมีแนวคิดคล้ายคลึงกับ GDPR แต่ปรับให้เข้ากับบริบทของประเทศไทย กฎหมายนี้บังคับใช้กับองค์กรที่เก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลธรรมดาในประเทศไทย

เปรียบเทียบ GDPR และ PDPA ในบริบทของการสรรหาบุคลากร

การปฏิบัติตาม GDPR และ PDPA ในกระบวนการสรรหาบุคลากร

1. การเก็บรวบรวมข้อมูลส่วนบุคคล

• ต้องแจ้งผู้สมัครให้ทราบเกี่ยวกับวัตถุประสงค์ของการเก็บข้อมูล และวิธีการใช้ข้อมูล
• ห้ามเก็บข้อมูลที่ไม่จำเป็นต่อการพิจารณาคัดเลือกพนักงาน

2. การขอความยินยอม

• การขอความยินยอมจากผู้สมัครต้องมีการแจ้งให้ทราบล่วงหน้าอย่างชัดเจนก่อนการเก็บข้อมูล
• ผู้สมัครสามารถถอนความยินยอมได้ทุกเมื่อ

3. การรักษาความปลอดภัยของข้อมูล

• ต้องใช้มาตรการป้องกันข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต เช่น การเข้ารหัสข้อมูล และการจำกัดการเข้าถึง

4. การเปิดเผยข้อมูลต่อบุคคลที่สาม

• หากต้องส่งต่อข้อมูลให้กับหน่วยงานภายนอก เช่น บริษัทตรวจสอบประวัติ ต้องได้รับความยินยอมจากผู้สมัครก่อน

5. การจัดเก็บและลบข้อมูล

• ห้ามเก็บข้อมูลของผู้สมัครที่ไม่ได้รับการจ้างงานไว้นานเกินความจำเป็น
• ต้องลบข้อมูลเมื่อไม่จำเป็นต้องใช้แล้ว หรือเมื่อผู้สมัครร้องขอ

การปรับกระบวนการสรรหาบุคลากรให้สอดคล้องกับ GDPR และ PDPA

เนื่องจากบริษัทจัดหางานในประเทศไทยหลายแห่งต้องติดต่อกับผู้สมัครทั้งในประเทศและต่างประเทศ การดำเนินงานให้สอดคล้องกับทั้ง GDPR และ PDPA จึงเป็นสิ่งสำคัญที่จะช่วยให้กระบวนการสรรหาเป็นไปอย่างราบรื่น ซึ่งสามารถเริ่มต้นได้จากขั้นตอนต่อไปนี้:

• อัปเดตนโยบายความเป็นส่วนตัว: ระบุให้ชัดเจนว่ามีการเก็บ บันทึก และประมวลผลข้อมูลของผู้สมัครอย่างไร ภายใต้กฎหมายทั้งสองฉบับ
• ขอความยินยอมอย่างชัดเจน: ทำให้แน่ใจว่าผู้สมัครได้ให้ความยินยอม ก่อนที่จะมีการเก็บข้อมูลใด ๆ
• จัดเก็บข้อมูลอย่างปลอดภัย: ใช้ฐานข้อมูลที่มีการเข้ารหัส และจำกัดการเข้าถึงเฉพาะผู้ที่มีสิทธิ์เท่านั้น
• มีการตรวจสอบอย่างสม่ำเสมอ: ดำเนินการตรวจสอบภายในเป็นระยะ เพื่อให้แน่ใจว่าการจัดการข้อมูลยังเป็นไปตามข้อกำหนดของ GDPR และ PDPA

แนวทางปฏิบัติในการสรรหาบุคลากรที่สอดคล้องกับ GDPR และ PDPA

• ใช้ซอฟต์แวร์การสรรหาที่ปลอดภัย: เลือกใช้ระบบติดตามผู้สมัคร (ATS) ที่ปฏิบัติตามข้อกำหนด GDPR และ PDPA
• ให้ความรู้แก่ทีมงานและผู้เกี่ยวข้อง: จัดอบรมเพื่อสร้างความเข้าใจเกี่ยวกับกฎหมายคุ้มครองข้อมูล
• กำหนดนโยบายการเก็บรักษาข้อมูล: กำหนดระยะเวลาการเก็บรักษาข้อมูลของผู้สมัคร และวิธีการกำจัดอย่างปลอดภัย
• เตรียมแผนรับมือเหตุการณ์ข้อมูลรั่วไหล: มีแนวทางในการจัดการเหตุการณ์ข้อมูลรั่วไหลอย่างมีประสิทธิภาพ

ข้อควรระวังสำหรับองค์กรในประเทศไทย

แม้ว่ากฎหมาย PDPA จะได้รับอิทธิพลจากกฎหมาย GDPR แต่รายละเอียดบางประการของทั้งสองกฎหมายนี้ก็มีความแตกต่างกัน รวมถึงหลาย ๆ อย่างของกฎหมาย PDPA ก็ยังมีความไม่ชัดเจน รวมถึงองค์กรในประเทศไทยที่มีการรับสมัครพนักงานจากสหภาพยุโรปต้องปฏิบัติตาม GDPR ด้วย ซึ่งอาจทำให้เกิดความซับซ้อนและสับสน ดังนั้นจึงทำความเข้าใจข้อกำหนดของทั้งกฎหมาย PDPA และ GDPR และปรับกระบวนการสรรหาบุคลากรให้สอดคล้องกับทั้งสองกฎหมายนี้ 

สรุป

GDPR และ PDPA ต่างมีเป้าหมายในการคุ้มครองข้อมูลส่วนบุคคล แต่มีข้อกำหนดที่แตกต่างกันบ้างในรายละเอียด องค์กรที่ดำเนินธุรกิจในประเทศไทยต้องให้ความสำคัญกับ PDPA ในขณะที่บริษัทที่มีผู้สมัครจากยุโรปต้องปฏิบัติตาม GDPR ด้วย เพื่อให้มั่นใจว่าการสรรหาบุคลากรเป็นไปตามมาตรฐานการคุ้มครองข้อมูลที่ถูกต้องและปลอดภัย

หากคุณต้องการคำแนะนำเพิ่มเติมเกี่ยวกับการปฏิบัติตาม PDPA และ GDPR ในกระบวนการสรรหาบุคลากร ติดต่อผู้เชี่ยวชาญด้านกฎหมายของเราเพื่อรับคำปรึกษาฟรี !

ที่มา:
https://www.arit.rmutt.ac.th/2022/06/08/pdpa/
https://pdpathailand.com/news-article/gdpr-pdpa/
https://www.acisonline.net/?p=8802