Chulalongkorn University Theses and Dissertations (Chula ETD)

Other Title (Parallel Title in Other Language of ETD)

Problems to specify the retention period to be collection, use, or disclosure of personal data of employees in Personal Data Protection Act, B.E. 2562

Year (A.D.)

2023

Document Type

Thesis

First Advisor

ปิติ เอี่ยมจำรูญลาภ

Faculty/College

Faculty of Law (คณะนิติศาสตร์)

Degree Name

นิติศาสตรมหาบัณฑิต

Degree Level

ปริญญาโท

Degree Discipline

นิติศาสตร์

DOI

10.58837/CHULA.THE.2023.176

Abstract

ในบริบทของการบริหารงานบุคคล องค์กรธุรกิจย่อมต้องมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่เกี่ยวข้อง ซึ่งในการศึกษานี้หมายความรวมถึงลูกจ้างทั้ง 3 กลุ่ม ได้แก่ ผู้สมัครงาน ลูกจ้างในปัจจุบัน และอดีตลูกจ้าง ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้มีข้อกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลโดยในที่นี้คือองค์กรธุรกิจ มีหน้าที่แจ้งให้เจ้าของข้อมูลส่วนบุคคลโดยในที่นี้คือผู้สมัครงาน ลูกจ้างในปัจจุบัน และอดีตลูกจ้าง ทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียดของข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวม ซึ่งรวมถึงวัตถุประสงค์และระยะเวลาในการเก็บรวมรวมไว้ โดยในกรณีที่ไม่สามารถกำหนดระยะเวลาดังกล่าวได้ชัดเจน ให้กำหนดระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวมรวม หากพ้นกำหนดระยะเวลาเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้สมัครงาน ลูกจ้างในปัจจุบัน และอดีตลูกจ้างแล้ว องค์กรธุรกิจต้องลบหรือทำลายข้อมูลส่วนบุคคล หรือทำให้เป็นข้อมูลส่วนบุคคลที่ไม่สามารถระบุตัวเจ้าของข้อมูลส่วนบุคคลได้ หากไม่ดำเนินการองค์กรธุรกิจย่อมมีความรับผิดตามกฎหมาย จึงมีปัญหาว่าควรกำหนดระยะเวลาในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้สมัครงาน ลูกจ้างในปัจจุบันและอดีตลูกจ้างอย่างไร ใช้กฎหมายหรือหลักเกณฑ์อย่างไร โดยศึกษากฎหมายประเทศไทย เปรียบเทียบกับสหภาพยุโรป สหราชอาณาจักร สหรัฐอเมริกา และสิงคโปร์ จากการศึกษา ผู้เขียนมีความเห็นว่า การกำหนดระยะเวลาในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลของผู้สมัครงาน ลูกจ้างในปัจจุบัน และอดีตลูกจ้าง ขึ้นอยู่กับหลักสำคัญ 2 ประการ คือวัตถุประสงค์ที่จำเป็นและฐานทางกฎหมายที่เกี่ยวข้อง โดยวัตถุประสงค์ที่จำเป็นมีปัจจัยที่ต้องคำนึงถึง เช่น ลักษณะการประกอบธุรกิจตลอดจนกระบวนการดำเนินกิจการขององค์กรธุรกิจ ตำแหน่งหน้าที่ความรับผิดชอบและคุณสมบัติของลูกจ้าง ประโยชน์ในการจ้างงานแต่ละช่วงเวลาของการจ้างงาน และความจำเป็นตามกฎหมายที่ต้องเก็บรวบรวมข้อมูลส่วนบุคคล และต้องมีฐานทางกฎหมายที่เกี่ยวข้องกับวัตถุประสงค์รองรับ จึงสามารถกำหนดระยะเวลาที่เหมาะสมได้ หากไม่สามารถกำหนดระยะเวลาได้อย่างชัดเจน ต้องแจ้งเกณฑ์ที่ใช้หรือเกณฑ์ในการกำหนดช่วงเวลา เพื่อให้ผู้สมัครงาน ลูกจ้างในปัจจุบัน และอดีตลูกจ้าง คาดหมายระยะเวลาในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ จึงมีข้อเสนอแนะให้จัดทำกฎหมายลำดับรอง หรือหลักเกณฑ์ หรือแนวปฏิบัติ หรือข้อแนะนำ พร้อมทั้งคำอธิบายในการกำหนดระยะเวลาการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้สมัครงาน ลูกจ้างในปัจจุบัน และอดีตลูกจ้าง ครอบคลุมทั้งระยะเวลาที่เหมาะสม ขอบเขตของวัตถุประสงค์ เกณฑ์ที่ใช้หรือเกณฑ์ในการกำหนดช่วงเวลา โดยอ้างอิงกฎหมายที่เกี่ยวข้อง เพื่อให้เกิดความชัดเจนและเป็นแนวทางสำหรับการจ้างงานประเภทต่าง ๆ และองค์กรธุรกิจต้องมีระบบตรวจสอบเพื่อลบทำลายข้อมูลส่วนบุคคลของผู้สมัครงาน ลูกจ้างในปัจจุบัน และอดีตลูกจ้าง ที่หมดความจำเป็นตามวัตถุประสงค์ตลอดระยะเวลาการจ้างงาน และมีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลอยู่เสมอ เพื่อให้องค์กรธุรกิจไม่ต้องมีความ รับผิดตามกฎหมายและเป็นการคุ้มครองสิทธิของผู้สมัครงาน ลูกจ้างในปัจจุบัน และอดีตลูกจ้าง อีกทางหนึ่ง

Other Abstract (Other language abstract of ETD)

For purposes related to personnel management, business organizations are common for employers to collect, use, or disclose personal data of employees, which under this research comprises all three groups of employees, namely, job applicants, current employees, and former employees. The Personal Data Protection Act B.E. 2562 obligates the business organizations, in its capacity as the data controller, to notify the job applicants, current employees, and former employees, in its capacity as the data subject, prior to or during the collection of personal data of the details of personal data to be collected. This includes the purposes for which personal data is collected, and the period for which personal data will be retained. In the event that a definite retention period cannot be ascertained, the business organizations shall specify a foreseeable retention period in accordance with the standard for such collection. Upon the elapse of such retention period for collection, use, or disclosure of job applicants, current employees, and former employee’s personal data, the business organizations must delete, destroy, or anonymize the personal data. If the business organizations fails to do so, the business organizations shall be liable under the law. A problem thus arises as to the appropriate manner in which to specify the retention period for the collection, use, or disclosure of job applicants, current employees, and former employee’s personal data, particularly in respect of what laws or criteria to be applied. The legal systems under comparative study herein are that of Thailand, the European Union, the United Kingdom, the United States of America, and Singapore. From research, the author opines that specifying the retention period for the collection, use, or disclosure of job applicants, current employees, and former employee’s personal data is dependent upon two significant principles, namely, the purpose of necessity, and the relevant legal basis. The purpose of necessity comprises factors for consideration such as the business type and nature of the business operation of the business organizations, the position, scope of responsibility, and qualifications of the employee, the purpose of employment at each point of time during employment, and the legal necessity for the collection of personal data. Moreover, a legal basis which is relevant to the purpose must be demonstrated for the business organizations to be able to specify an appropriate retention period. If a definite retention period could not be ascertained, the business organizations shall inform the criteria used to determine the retention period, to allow the job applicants, current employees, and former employees to be able to anticipate the retention period for the collection, use, or disclosure of the job applicants, current employees, and former employee’s personal data. Therefore, this research suggests that a subordinate legislation, rule, practical guideline, or recommendation be made, together with explanations on specifying the retention period for the collection, use, or disclosure of job applicants, current employees, and former employee’s personal data which covers the appropriate period of time, the scope of purpose, the criteria in such specification, and with reference to relevant legislation, in order to provide clarity and to act as a guideline for various types of employment. Additionally, throughout the duration of employment, business organizations should be obligated to have in place a monitoring system for deleting or destroying job applicants, current employees, and former employee’s personal data which is no longer necessary for the purpose. Business organizations should also be obligated to have in place security measures for the protection of personal data, so as to not subject business organizations to legal liability, and which will also act as another safeguard of job applicants, current employees, and former employee’ rights.

Included in

Law Commons

Share

COinS
 
 

To view the content in your browser, please download Adobe Reader or, alternately,
you may Download the file to your hard drive.

NOTE: The latest versions of Adobe Reader do not support viewing PDF files within Firefox on Mac OS and if you are using a modern (Intel) Mac, there is no official plugin for viewing PDF files within the browser window.