GDPR vs PDPA: เปรียบเทียบกฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับการสรรหาบุคลากรในประเทศไทย
ในยุคดิจิทัลที่ข้อมูลส่วนบุคคลมีความสำคัญมากขึ้น กฎหมายคุ้มครองข้อมูลส่วนบุคคลถูกนำมาใช้ทั่วโลกเพื่อปกป้องความเป็นส่วนตัวของบุคคล สองกฎหมายที่ได้รับความสนใจมากที่สุดคือ GDPR (General Data Protection Regulation) ของสหภาพยุโรป และ PDPA (Personal Data Protection Act) ของประเทศไทย ทั้งสองกฎหมายนี้มีเป้าหมายเดียวกันแต่มีความแตกต่างที่สำคัญ โดยเฉพาะในบริบทของการสรรหาบุคลากร มาดูกันว่าทั้งสองกฎหมายนี้มีความเหมือนและแตกต่างกันอย่างไร และนายจ้างต้องปฏิบัติตามข้อกำหนดอย่างไรบ้าง
GDPR และ PDPA คืออะไร ?
GDPR คืออะไร ?
GDPR เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปที่มีผลบังคับใช้ตั้งแต่ปี 2018 กฎหมายนี้กำหนดมาตรฐานสูงสุดในการปกป้องข้อมูลของพลเมืองยุโรป ไม่ว่าข้อมูลนั้นจะถูกประมวลผลที่ใดในโลก บริษัทใดก็ตามที่เก็บหรือประมวลผลข้อมูลของพลเมืองยุโรปต้องปฏิบัติตาม GDPR
แล้วอะไรคือ PDPA?
PDPA เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยที่มีผลบังคับใช้ตั้งแต่ปี 2022 โดยมีแนวคิดคล้ายคลึงกับ GDPR แต่ปรับให้เข้ากับบริบทของประเทศไทย กฎหมายนี้บังคับใช้กับองค์กรที่เก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลธรรมดาในประเทศไทย
เปรียบเทียบ GDPR และ PDPA ในบริบทของการสรรหาบุคลากร
การปฏิบัติตาม GDPR และ PDPA ในกระบวนการสรรหาบุคลากร
1. การเก็บรวบรวมข้อมูลส่วนบุคคล
- ต้องแจ้งผู้สมัครให้ทราบเกี่ยวกับวัตถุประสงค์ของการเก็บข้อมูล และวิธีการใช้ข้อมูล
- ห้ามเก็บข้อมูลที่ไม่จำเป็นต่อการพิจารณาคัดเลือกพนักงาน
2. การขอความยินยอม
- การขอความยินยอมจากผู้สมัครต้องมีการแจ้งให้ทราบล่วงหน้าอย่างชัดเจนก่อนการเก็บข้อมูล
- ผู้สมัครสามารถถอนความยินยอมได้ทุกเมื่อ
3. การรักษาความปลอดภัยของข้อมูล
- ต้องใช้มาตรการป้องกันข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต เช่น การเข้ารหัสข้อมูล และการจำกัดการเข้าถึง
4. การเปิดเผยข้อมูลต่อบุคคลที่สาม
- หากต้องส่งต่อข้อมูลให้กับหน่วยงานภายนอก เช่น บริษัทตรวจสอบประวัติ ต้องได้รับความยินยอมจากผู้สมัครก่อน
5. การจัดเก็บและลบข้อมูล
- ห้ามเก็บข้อมูลของผู้สมัครที่ไม่ได้รับการจ้างงานไว้นานเกินความจำเป็น
- ต้องลบข้อมูลเมื่อไม่จำเป็นต้องใช้แล้ว หรือเมื่อผู้สมัครร้องขอ
การปรับกระบวนการสรรหาบุคลากรให้สอดคล้องกับ GDPR และ PDPA
เนื่องจากบริษัทจัดหางานในประเทศไทยหลายแห่งต้องติดต่อกับผู้สมัครทั้งในประเทศและต่างประเทศ การดำเนินงานให้สอดคล้องกับทั้ง GDPR และ PDPA จึงเป็นสิ่งสำคัญที่จะช่วยให้กระบวนการสรรหาเป็นไปอย่างราบรื่น ซึ่งสามารถเริ่มต้นได้จากขั้นตอนต่อไปนี้:
- อัปเดตนโยบายความเป็นส่วนตัว: ระบุให้ชัดเจนว่ามีการเก็บ บันทึก และประมวลผลข้อมูลของผู้สมัครอย่างไร ภายใต้กฎหมายทั้งสองฉบับ
- ขอความยินยอมอย่างชัดเจน: ทำให้แน่ใจว่าผู้สมัครได้ให้ความยินยอม ก่อนที่จะมีการเก็บข้อมูลใด ๆ
- จัดเก็บข้อมูลอย่างปลอดภัย: ใช้ฐานข้อมูลที่มีการเข้ารหัส และจำกัดการเข้าถึงเฉพาะผู้ที่มีสิทธิ์เท่านั้น
- มีการตรวจสอบอย่างสม่ำเสมอ: ดำเนินการตรวจสอบภายในเป็นระยะ เพื่อให้แน่ใจว่าการจัดการข้อมูลยังเป็นไปตามข้อกำหนดของ GDPR และ PDPA
แนวทางปฏิบัติในการสรรหาบุคลากรที่สอดคล้องกับ GDPR และ PDPA
- ใช้ซอฟต์แวร์การสรรหาที่ปลอดภัย: เลือกใช้ระบบติดตามผู้สมัคร (ATS) ที่ปฏิบัติตามข้อกำหนด GDPR และ PDPA
- ให้ความรู้แก่ทีมงานและผู้เกี่ยวข้อง: จัดอบรมเพื่อสร้างความเข้าใจเกี่ยวกับกฎหมายคุ้มครองข้อมูล
- กำหนดนโยบายการเก็บรักษาข้อมูล: กำหนดระยะเวลาการเก็บรักษาข้อมูลของผู้สมัคร และวิธีการกำจัดอย่างปลอดภัย
- เตรียมแผนรับมือเหตุการณ์ข้อมูลรั่วไหล: มีแนวทางในการจัดการเหตุการณ์ข้อมูลรั่วไหลอย่างมีประสิทธิภาพ
ข้อควรระวังสำหรับองค์กรในประเทศไทย
แม้ว่ากฎหมาย PDPA จะได้รับอิทธิพลจากกฎหมาย GDPR แต่รายละเอียดบางประการของทั้งสองกฎหมายนี้ก็มีความแตกต่างกัน รวมถึงหลาย ๆ อย่างของกฎหมาย PDPA ก็ยังมีความไม่ชัดเจน รวมถึงองค์กรในประเทศไทยที่มีการรับสมัครพนักงานจากสหภาพยุโรปต้องปฏิบัติตาม GDPR ด้วย ซึ่งอาจทำให้เกิดความซับซ้อนและสับสน ดังนั้นจึงทำความเข้าใจข้อกำหนดของทั้งกฎหมาย PDPA และ GDPR และปรับกระบวนการสรรหาบุคลากรให้สอดคล้องกับทั้งสองกฎหมายนี้
สรุป
GDPR และ PDPA ต่างมีเป้าหมายในการคุ้มครองข้อมูลส่วนบุคคล แต่มีข้อกำหนดที่แตกต่างกันบ้างในรายละเอียด องค์กรที่ดำเนินธุรกิจในประเทศไทยต้องให้ความสำคัญกับ PDPA ในขณะที่บริษัทที่มีผู้สมัครจากยุโรปต้องปฏิบัติตาม GDPR ด้วย เพื่อให้มั่นใจว่าการสรรหาบุคลากรเป็นไปตามมาตรฐานการคุ้มครองข้อมูลที่ถูกต้องและปลอดภัย
หากคุณต้องการคำแนะนำเพิ่มเติมเกี่ยวกับการปฏิบัติตาม PDPA และ GDPR ในกระบวนการสรรหาบุคลากร ติดต่อผู้เชี่ยวชาญด้านกฎหมายของเราเพื่อรับคำปรึกษาฟรี !
ที่มา:
https://www.arit.rmutt.ac.th/2022/06/08/pdpa/
https://pdpathailand.com/news-article/gdpr-pdpa/
https://www.acisonline.net/?p=8802