top of page
ค้นหา

กฎหมาย PDPA ที่ HR ต้องรู้ ! | รู้ไว้ปลอดภัยทุกฝ่าย

  • รูปภาพนักเขียน: Hyperwork Thailand
    Hyperwork Thailand
  • 24 พ.ย. 2568
  • ยาว 4 นาที

อัปเดตเมื่อ 25 พ.ย. 2568

ภาพกราฟิกพื้นหลังเป็นโค้ดดิจิทัลสีฟ้า พร้อมกรอบสี่เหลี่ยมสีน้ำเงินมีข้อความว่า ‘กฎหมาย PDPA ที่ HR ต้องรู้’ และโลโก้ Hyperwork อยู่ด้านบน
กฎหมาย PDPA ที่ HR ต้องรู้


ถ้าคุณทำงานฝ่าย HR คุณคงเคยได้ยินคำว่า PDPA กันมาบ้างแล้ว บางคนอาจจะคิดว่านี่เป็นเรื่องของฝ่ายกฎหมายหรือฝ่ายไอที แต่ความจริงแล้ว PDPA คือเรื่องของ HR โดยตรงเลยก็ว่าได้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือที่เรียกกันสั้น ๆ ว่า PDPA นั้นมีผลบังคับใช้เต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565 กฎหมายฉบับนี้ส่งผลกระทบต่อทุกองค์กรที่เก็บและใช้ข้อมูลส่วนบุคคล และถ้าถามว่าฝ่ายไหนในองค์กรที่จัดการข้อมูลส่วนบุคคลมากที่สุด คำตอบคือ ฝ่าย HR


ตั้งแต่คนสมัครงานส่ง Resume เข้ามา คุณก็เริ่มเก็บข้อมูลแล้วไม่ว่าจะเป็น ชื่อ เบอร์โทร อีเมล ประวัติการศึกษา ประวัติการทำงาน เมื่อคนเข้ามาทำงาน ข้อมูลก็ยิ่งเพิ่มขึ้น เลขบัตรประชาชน เลขบัญชีธนาคาร ข้อมูลครอบครัว ประวัติสุขภาพ ข้อมูลเงินเดือน ไปจนถึงการประเมินผลงาน ข้อมูลทั้งหมดนี้ไม่ว่าจะเก็บในรูปแบบกระดาษ Excel ระบบ HRM หรือแม้แต่ในกลุ่ม Line ของทีม ล้วนอยู่ภายใต้การคุ้มครองของ PDPA ทั้งสิ้น


ที่สำคัญคือ PDPA ไม่ได้แค่พูดถึงข้อมูลลูกค้าอย่างเดียว แต่มันครอบคลุมข้อมูลพนักงานทุกคน ทั้งพนักงานปัจจุบัน อดีตพนักงานที่ลาออกไปแล้ว และแม้แต่คนที่มาสมัครงานแล้วไม่ผ่าน ถ้า HR ไม่เข้าใจหลักการของ PDPA และไม่ปรับวิธีทำงานให้สอดคล้อง องค์กรอาจเจอความเสี่ยงทั้งด้านกฎหมายและชื่อเสียงได้


บทความนี้เราจะพาคุณทำความเข้าใจว่า PDPA คืออะไร มันมีผลกับงาน HR อย่างไร และสิ่งที่คุณต้องรู้และต้องทำเพื่อให้แน่ใจว่าองค์กรของคุณปฏิบัติตามกฎหมายอย่างถูกต้อง



PDPA คืออะไร และทำไม HR ต้องสนใจ


PDPA ย่อมาจาก Personal Data Protection Act หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่จัดทำขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคลของทุกคนในประเทศไทย ให้คนมีสิทธิควบคุมข้อมูลของตัวเองได้มากขึ้น ถ้าจะอธิบายง่าย ๆ กฎหมายนี้บอกว่า ทุกครั้งที่เราเก็บ ใช้ หรือแชร์ข้อมูลของคนอื่น เราต้องทำอย่างรับผิดชอบ มีเหตุผลที่ชัดเจน และต้องบอกให้เจ้าของข้อมูลรู้ด้วยว่าเราเอาข้อมูลไปทำอะไร


ทำไม HR ถึงต้องสนใจเป็นพิเศษ


เพราะฝ่าย HR คือคนที่จัดการข้อมูลส่วนบุคคลมากที่สุดในองค์กร ตั้งแต่วันแรกที่มีคนส่งใบสมัครงาน คุณก็เริ่มเก็บข้อมูลแล้ว และข้อมูลเหล่านี้ไม่ใช่แค่ชื่อ เบอร์โทร อีเมลธรรมดา ๆ แต่รวมถึงข้อมูลที่ละเอียดอ่อนมาก ๆ ด้วย


ลองมาดูว่า HR เก็บข้อมูลอะไรบ้างในแต่ละขั้นตอน


ช่วง Recruitment

  • ข้อมูลผู้สมัครงาน ชื่อ เบอร์ อีเมล ที่อยู่ ประวัติการศึกษา

  • เงินเดือนที่คาดหวัง ประวัติการทำงานเดิม

  • บางที่ขอถึงประวัติอาชญากรรม หรือผลตรวจสุขภาพ


เมื่อเข้าทำงาน Onboarding

  • เลขบัตรประชาชน สำเนาบัตร ปชช. (ที่มีข้อมูลศาสนา)

  • ข้อมูลบัญชีธนาคาร

  • ข้อมูลครอบครัว ชื่อบิดา มารดา คู่สมรส บุตร

  • ผลตรวจสุขภาพประจำปี

  • ข้อมูลประกันสังคม กองทุนสำรองเลี้ยงชีพ


ระหว่างทำงาน

  • ข้อมูลเงินเดือน โบนัส การปรับเงินเดือน

  • ประวัติการลา การมาสาย

  • ผลการประเมินงาน

  • ประวัติการอบรม

  • บางที่มีข้อมูล Face scan หรือลายนิ้วมือสำหรับสแกนเข้างาน


เมื่อพนักงานลาออก

  • ข้อมูลเหตุผลการลาออก

  • การส่งมอบงาน

  • เอกสารต่าง ๆ ที่ต้องเก็บไว้ตามกฎหมายแรงงาน


ข้อมูลทั้งหมดนี้ ไม่ว่าจะเก็บในรูปแบบไหน ไฟล์ Excel, ระบบ HRM, ระบบ Payroll, แฟ้มเอกสาร, กลุ่ม Line, อีเมล หรือแม้แต่ Google Drive ล้วนถือเป็นข้อมูลส่วนบุคคลที่อยู่ภายใต้ PDPA ทั้งหมด เป็นเรื่องที่ HR ต้องรับผิดชอบโดยตรง เพราะคุณคือคนที่เจอกับข้อมูลเหล่านี้ทุกวัน และวิธีที่คุณจัดการข้อมูล จะเป็นตัวกำหนดว่าองค์กรจะปฏิบัติตาม PDPA ได้หรือไม่



ข้อมูลส่วนบุคคล 2 ประเภทที่ที่ต้องรู้


PDPA แบ่งข้อมูลออกเป็น 2 ประเภท และแต่ละประเภทมีข้อกำหนดที่แตกต่างกัน HR ต้องแยกให้ชัดเจนว่าข้อมูลไหนเป็นอะไร


ข้อมูลส่วนบุคคลทั่วไป


  • ชื่อ นามสกุล

  • ที่อยู่

  • เบอร์โทร

  • อีเมล

  • เลขบัตรประชาชน

  • ประวัติการศึกษา

  • ประวัติการทำงาน

  • เงินเดือน

  • เลขบัญชีธนาคาร


HR เก็บและใช้ได้ตามปกติ แต่ต้องมีเหตุผลชัดเจน เช่น เพื่อการจ้างงาน เพื่อจ่ายเงินเดือน และต้องแจ้งให้พนักงานทราบว่าเก็บไปทำอะไร


ข้อมูลส่วนบุคคลที่อ่อนไหว


  • ศาสนา (บนบัตร ปชช.)

  • ข้อมูลสุขภาพ

  • ผลตรวจสุขภาพ

  • ประวัติอาชญากรรม

  • ลายนิ้วมือ

  • Face scan

  • เชื้อชาติ

  • ความพิการ


ข้อมูลเหล่านี้คือสิ่งที่ต้องระมัดระวัง


ข้อมูลพวกนี้ห้ามเก็บเด็ดขาด ยกเว้น

  • ได้รับความยินยอมเป็นลายลักษณ์อักษรอย่างชัดแจ้ง หรือ

  • มีกฎหมายอื่นอนุญาตให้ทำได้


ตัวอย่างที่ HR เจอบ่อย

  • การตรวจสุขภาพก่อนเข้าทำงาน ต้องขอความยินยอมแยก

  • ขอสำเนาบัตรประชาชน ควรขอเมื่อตัดสินใจจ้างแล้ว ไม่ใช่ตั้งแต่รับสมัคร

  • ใช้ระบบสแกนลายนิ้วมือหรือใบหน้า ต้องแจ้งให้พนักงานทราบและยินยอม


เพราะถ้าจัดการข้อมูลอ่อนไหวผิด โทษหรือค่าปรับจะสูงกว่าข้อมูลทั่วไปมาก และอาจส่งผลกระทบร้ายแรงต่อพนักงาน การรู้ว่าข้อมูลไหนเป็นอะไรจะช่วยให้ HR ระมัดระวังได้ตั้งแต่แรก



สิทธิของเจ้าของข้อมูล ที่ HR ต้องรับมือ


PDPA ให้สิทธิสำคัญแก่พนักงานในการควบคุมข้อมูลของตนเอง HR ที่เป็นผู้เก็บรักษาข้อมูลจำนวนมากจึงต้องเตรียมกระบวนการรับมือคำร้องจากพนักงานให้ชัดเจนและสม่ำเสมอ


สิทธิหลัก 6 ข้อที่ต้องรู้


1. สิทธิรับทราบ พนักงานมีสิทธิรู้ว่า HR เก็บข้อมูลอะไร เพื่อวัตถุประสงค์ใด HR ต้องมี Privacy Notice ที่ชัดเจนให้พนักงานรับทราบตั้งแต่แรก


2. สิทธิเข้าถึงข้อมูล พนักงานสามารถขอเข้าถึงและขอสำเนาข้อมูลส่วนตัวทั้งหมดที่ HR เก็บ เช่น ไฟล์ประวัติ เงินเดือน ผลประเมิน


3. สิทธิแก้ไข หากพนักงานเห็นข้อมูลไม่ถูกต้องหรือไม่เป็นปัจจุบัน (เช่น เบอร์โทรเก่า ที่อยู่ผิด) พนักงานขอให้แก้ไขได้


4. สิทธิถอนความยินยอม ถ้าพนักงานเคยให้ความยินยอมการประมวลผลข้อมูลบางอย่าง (เช่น ข้อมูลสุขภาพ) สามารถถอนได้ทุกเมื่อ เมื่อถอน HR ต้องหยุดประมวลผลทันที


5. สิทธิลบข้อมูล พนักงานขอให้ลบข้อมูลส่วนตัวเมื่อหมดความจำเป็นหรือเก็บนานเกินไป โดยเฉพาะเมื่อลาออก (ปกติเก็บไว้ 1 ปี จากนั้นถูกลบ)


6. สิทธิโอนย้ายข้อมูล พนักงานขอรับข้อมูลในรูปแบบดิจิทัลที่ใช้งานได้ (เช่น CSV, PDF) เพื่อโอนไปยังบริษัทอื่น



สิ่งที่ HR ต้องรับมือ เรื่อง PDPA


PDPA ไม่ใช่เพียงเรื่องกฎหมาย แต่ยังเกี่ยวข้องกับการเปลี่ยนแปลงวิธีการทำงานประจำวันของ HR ตั้งแต่การจัดเก็บข้อมูล การส่งต่อข้อมูล จนถึงการรับมือคำร้องจากพนักงาน ทั้งนี้มีสิ่งที่ HR จำเป็นต้องรับมือดังต่อไปนี้


1. การจัดเก็บข้อมูลอย่างเป็นระเบียบ

ข้อมูลพนักงานสะสมมาก ไม่ว่าจะเป็นข้อมูลเบื้องต้น เงินเดือน ผลประเมิน ประวัติการฝึกอบรม หรือแม้แต่เอกสารสมัครสินค้า HR ต้องมีนโยบายชัดเจนว่า ข้อมูลแต่ละประเภทเก็บไว้นานแค่ไหน และเมื่อหมดความจำเป็นต้องลบทิ้งอย่างปลอดภัย เช่น ข้อมูลผู้สมัครที่ไม่ผ่านการคัดเลือก ปกติเก็บไว้ 6 เดือนหรือ 1 ปี จากนั้นลบทิ้ง ปัญหาหลายแห่งคือ HR เก็บข้อมูลเก่า ๆ ไว้โดยไม่รู้ว่าจำเป็นหรือไม่ สิ่งนี้ละเมิด PDPA เพราะหลักการคือ "เก็บแค่ที่จำเป็น ไม่เก็บไว้เฉย ๆ"


2. ความปลอดภัยของข้อมูลในระบบ

ข้อมูลพนักงานมักจัดเก็บในระบบ HRM, Payroll หรือบนเซิร์ฟเวอร์ HR ต้องแน่ใจว่าระบบเหล่านี้มีมาตรการปลอดภัยพอเพียง เช่น การใช้รหัสผ่านที่รัดกุม การเข้ารหัสข้อมูล การจำกัดสิทธิ์การเข้าถึง (เฉพาะคนที่เกี่ยวข้องเท่านั้นที่เข้าถึงได้) ถ้าเกิดข้อมูลรั่วไหล เช่น อีเมลส่งผิดคนและมีไฟล์เงินเดือนลงไป HR ต้องเตรียม Incident Response Plan ไว้ดี และต้องแจ้งเหตุให้คณะกรรมการคุ้มครองข้อมูลทราบภายใน 72 ชั่วโมง


3. การขอความยินยอมอย่างถูกต้อง

เมื่อ HR จำเป็นต้องเก็บข้อมูลที่ละเอียดอ่อน (Sensitive Personal Data) เช่น ข้อมูลสุขภาพ ศาสนา หรือประวัติอาชญากรรม ต้องขอความยินยอมจากพนักงานอย่างชัดแจ้งเป็นลายลักษณ์อักษร ความยินยอมต้องเป็นไปด้วยสมัครใจ ไม่บังคับ ต้องระบุวัตถุประสงค์ให้ชัดเจน และพนักงานมีสิทธิถอนการยินยอมได้ทุกเมื่อ ปัญหาที่พบบ่อยคือ HR ขอความยินยอมแบบคลุมเครือหรือให้เซ็นยินยอม โดยไม่เข้าใจ ซึ่งไม่ถือว่า "ความยินยอมที่ถูกต้อง" ตามกฎหมาย


4. การส่งต่อข้อมูลให้บุคคลภายนอก


บ่อยครั้ง HR ต้องส่งข้อมูลพนักงานไปให้บริษัทประกัน บริษัทตรวจสุขภาพ หน่วยงานรัฐ (เช่น ประกันสังคม กรมสรรพากร) หรือ Payroll Outsource ต้องแน่ใจว่ามีกฎหมายรองรับ ไม่ว่าจะเป็นความยินยอม หรือกฎหมายบังคับให้ส่งต่อ นอกจากนี้ ถ้าส่งต่อข้อมูลให้บุคคลภายนอกที่ประมวลผลต่อ ต้องมีสัญญา Data Processing Agreement ที่ระบุการใช้ข้อมูลและมาตรการคุ้มครอง


5. การรับมือคำร้องจากพนักงาน

พนักงานมีสิทธิขอเข้าถึงข้อมูล ขอแก้ไข ขอลบ หรือขอถอนความยินยอม HR ต้องมี Process ชัดเจนในการรับและตอบสนองคำร้องเหล่านี้ภายใน 30 วัน โดยปกติเรื่องแบบนี้เกี่ยวข้องกับหลายฝ่าย เช่น ฝ่ายไอที ฝ่ายกฎหมาย หลายองค์กรยังไม่มี Process ชัดเจน จึงส่งผลให้ตอบคำร้องช้า หรือบางที่ไม่ตอบเลย ซึ่งนี่ถือเป็นการละเมิด PDPA


6. การแจ้งข้อมูลรั่วไหล

ถ้าเกิดความผิดพลาดบางกรณี เช่น ส่งเอกสารเงินเดือนผิดคน หรือเกิดการแฮกในระบบ HR ต้องประเมินว่าเป็นการรั่วไหลที่มีความเสี่ยงสูงหรือไม่ หากใช่ ต้องแจ้งเจ้าของข้อมูล (พนักงาน) และแจ้งคณะกรรมการคุ้มครองข้อมูลให้ทราบอย่างรวดเร็ว สิ่งที่ยากคือ ต้องปรึกษาฝ่ายกฎหมายว่ากรณีนี้จำเป็นต้องแจ้งหรือไม่ ถ้าแจ้งไม่ทันหรือแจ้งไม่เหมาะสม ทั้งสองอย่างเสี่ยง


7. การอบรมและสร้างความตระหนักรู้

HR เองต้องเข้าใจ PDPA อย่างดี ไม่ใช่แค่รู้หลักการแต่เข้าใจว่าเกี่ยวข้องกับงานประจำวันอย่างไร บอก ๆ นี้ HR ต้องจัดอบรมให้พนักงานทั่วองค์กรเข้าใจว่าข้อมูลส่วนตัวมีความสำคัญ และการปฏิบัติตามกฎหมายเป็นความรับผิดชอบของทุกคน ไม่ใช่แค่ HR สรุป ถ้า HR ไม่เตรียมตัวและไม่มีระบบปฏิบัติที่ดี องค์กรอาจถูกปรับ 1 ถึง 5 ล้านบาท ลงโทษพนักงานคนที่กระทำความผิดได้ และเสื่อมชื่อเสียงในท้องตลาด



หลักการ 5 ข้อที่ HR ต้องทำ


1. Consent (ความยินยอม)

ก่อนจะเก็บหรือใช้ข้อมูลส่วนบุคคลของพนักงาน ต้องขอความยินยอมจากตัวเจ้าตัวมาก่อน ความยินยอมต้องเป็นไปด้วยสมัครใจและชัดแจ้ง ไม่ใช่การให้ความยินยอมโดยปริยาย ในทางปฏิบัติ เมื่อพนักงานใหม่เข้าทำงาน ให้ลงนามในแบบฟอร์ม Privacy Consent ที่ระบุว่า "บริษัทจะเก็บข้อมูล... เพื่อวัตถุประสงค์..." อย่างชัดเจน ห้ามลงนามในเอกสารที่คลุมเครือ


2. Purpose Limitation (ใช้ข้อมูลตามวัตถุประสงค์เท่านั้น)

ข้อมูลที่เก็บไว้ ต้องใช้เพื่อวัตถุประสงค์ที่ได้แจ้งไว้เท่านั้น ห้ามนำไปใช้ต่อสำหรับวัตถุประสงค์อื่นที่แตกต่างโดยไม่ได้รับความยินยอมใหม่ ตัวอย่าง ถ้าเก็บเบอร์โทรพนักงานเพื่อติดต่องานต่างๆ ห้ามนำไปใช้เพื่อโทรแชร์สินค้าหรือสอบถามข้อมูลส่วนตัวเกินความจำเป็น


3. Data Minimization (เก็บแค่สิ่งที่จำเป็น)

เก็บข้อมูลเฉพาะที่จำเป็นต่อการทำงาน ไม่เก็บข้อมูลเกินความต้องการ บ่อยครั้งที่ HR ขอสำเนาบัตรประชาชนของผู้สมัครตั้งแต่ขั้นแรก แม้ว่าอาจยังไม่รู้ว่าจะรับเขาเข้าทำงานหรือไม่ หลักการที่ดี คือ ขอเฉพาะข้อมูลที่ต้องใช้ตอนนั้น ถ้าผ่านการคัดเลือกแล้ว จึงขอข้อมูลเพิ่มเติมถ้าจำเป็น


4. Data Retention (เก็บข้อมูลจนถึงที่สุด)

เก็บข้อมูลไว้ได้เพียงตราบเท่าที่ยังจำเป็น เมื่อครบระยะเวลาที่กำหนดหรือหมดความจำเป็นแล้ว ต้องลบหรือทำลายข้อมูลอย่างปลอดภัย ตัวอย่าง ข้อมูลผู้สมัครที่ไม่ได้รับคัดเลือก เก็บไว้ 6 เดือน-1 ปี หลังจากนั้นต้องลบทิ้ง ข้อมูลพนักงานที่ลาออก เก็บไว้ 1-2 ปี (ตามที่กฎหมายแรงงานกำหนด) จากนั้นต้องลบ ห้ามเก็บข้อมูลไว้ "เผื่อ" ใช้งานในอนาคตโดยไม่ชัดเจน


5. Data Security (ปกป้องข้อมูลให้ปลอดภัย)

ต้องมีมาตรการปกป้องข้อมูล ทั้งด้านเทคนิคและการจัดการ เพื่อไม่ให้ข้อมูลรั่วไหลหรือถูกเข้าถึงโดยคนที่ไม่มีสิทธิ มาตรการด้านเทคนิค ใช้รหัสผ่านรัดกุม เข้ารหัสข้อมูล สำรองข้อมูล ติดตั้ง Firewall มาตรการด้านการจัดการ จำกัดสิทธิ์การเข้าถึงข้อมูล (เฉพาะคนที่เกี่ยวข้องเท่านั้น) เก็บเอกสารที่มีข้อมูลในตู้ที่ล็อกกุญแจ ให้พนักงานลงนาม NDA (ข้อตกลงรักษาความลับ)


เพราะหลักการเหล่านี้อยู่ในทุกขั้นตอนของการทำงาน HR ตั้งแต่ตอนสรรหา จัดเก็บ ใช้ ลบข้อมูล ถ้า HR เข้าใจหลักการแล้ว จะรู้ว่าต้องทำอะไร แม้กฎหมายบอกไม่ชัด และลดความเสี่ยงในการทำผิดได้อย่างมาก



PDPA คือกฎหมายที่มีผลโดยตรงต่อการทำงานของ HR ทุกวัน ไม่ว่าจะเป็นการสรรหา จัดเก็บข้อมูล ส่งต่อข้อมูลไปบริษัทอื่น หรือจัดการกับคำร้องจากพนักงาน ความจริงคือ PDPA ไม่ได้มีความซับซ้อนเท่าที่คิด หากเข้าใจหลักการ 5 ประการพื้นฐาน คือ ขอความยินยอม ใช้ข้อมูลตามวัตถุประสงค์ เก็บแค่ที่จำเป็น เก็บตามระยะเวลา และปกป้องข้อมูล HR ก็จะรู้ว่าควรทำอะไรในแต่ละสถานการณ์ ขั้นตอนแรกที่สำคัญคือ HR ต้องตระหนักว่าข้อมูลพนักงานเป็นทรัพย์สินที่มีค่า และจำเป็นต้องดูแลอย่างเหมาะสม หากไม่ปฏิบัติตาม PDPA อาจเผชิญกับโทษปรับหลากหลายระดับ จากสูงสุด 5 ล้านบาท ไม่นับความเสื่อมต่อชื่อเสียงขององค์กรและความเชื่อมั่นจากพนักงาน การเตรียมตัวของ HR ไม่ใช่เรื่องวันนี้วันเดือนนี้ แต่ควรเริ่มตั้งแต่ตอนนี้ โดยสร้างนโยบายความเป็นส่วนตัวที่ชัดเจน จัดระบบการเก็บและลบข้อมูล มีกระบวนการรับมือคำร้องจากพนักงาน และอบรมทีมงาน เมื่อ HR มีการเตรียมตัวดี ๆ ตามหลักการของ PDPA ทั้งสังคมภายในองค์กรจะได้รับประโยชน์ พนักงานรู้สึกปลอดภัยกับข้อมูลของตน องค์กรลดความเสี่ยงด้านกฎหมาย และสร้างวัฒนธรรมที่เคารพความเป็นส่วนตัว ซึ่งเป็นสิ่งที่ดีต่อบริษัทและสังคมโดยรวม



FAQ


PDPA คืออะไร PDPA ย่อมาจากคำว่า Personal Data Protection Act ซึ่งเป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของไทยที่เริ่มมีผลบังคับใช้อย่างเต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565 กฎหมายนี้สร้างขึ้นเพื่อคุ้มครองสิทธิของคนในการควบคุมข้อมูลส่วนตัวของตนเอง ซึ่งหมายความว่าเมื่อใดก็ตามที่เราเก็บ ใช้ หรือแชร์ข้อมูลของคนอื่น เราต้องทำอย่างรับผิดชอบและมีความชัดเจน HR ต้องสนใจเป็นพิเศษเพราะฝ่าย HR คือผู้จัดการข้อมูลส่วนบุคคลจำนวนมากที่สุดในองค์กร ตั้งแต่ช่วง Recruitment ไปจนถึงหลังพนักงานลาออก


กฎหมายที่ HR ต้องรู้ HR ต้องเข้าใจว่า PDPA คือกฎหมายหลักที่เกี่ยวข้อง แต่ยังมีกฎหมายอื่นที่เชื่อมโยงกัน เช่น พระราชบัญญัติแรงงาน พ.ศ. 2541 ที่เกี่ยวข้องกับการจัดเก็บเอกสารการทำงาน นอกจากนี้นโยบายและระเบียบภายในบริษัยต้องสอดคล้องกับ PDPA ด้วย สิ่งสำคัญคือ PDPA ใช้บังคับกับทุกองค์กรที่เก็บข้อมูลส่วนบุคคล ไม่ว่าบริษัยจะมีพนักงานกี่คนหรือขนาดเท่าไหร่ก็ตาม


การเก็บข้อมูลพนักงานกับกฎหมาย PDPA เมื่อเก็บข้อมูลพนักงาน HR ต้องปฏิบัติตามหลักการสำคัญสี่ประการ ประการแรกต้องได้ความยินยอมจากพนักงานก่อนเสมอ โดยความยินยอมต้องชัดเจนว่าเก็บไปเพื่ออะไร และพนักงานมีสิทธิถอนได้ทุกเมื่อ ประการที่สองเก็บแค่ข้อมูลที่จำเป็นเท่านั้น เช่น ถ้าต้องการเฉพาะเบอร์โทรติดต่องาน ก็ไม่ต้องเก็บหมายเลขโทรศัพท์บ้านด้วย ประการที่สองใช้ข้อมูลเพื่อวัตถุประสงค์ที่ระบุไว้เท่านั้น ห้ามนำไปใช้ต่อสำหรับอื่น ประการที่สี่ต้องจัดเก็บอย่างปลอดภัยด้วยการใช้รหัสผ่านรัดกุม เข้ารหัสข้อมูล จำกัดสิทธิ์เข้าถึง และตู้ล็อคกุญแจสำหรับเอกสาร


เก็บข้อมูลพนักงานได้นานเท่าไหร่ตามกฎหมาย PDPA ระยะเวลาการเก็บข้อมูลขึ้นอยู่กับประเภทของข้อมูลและความจำเป็น ผู้สมัครที่ไม่ผ่านการคัดเลือกสามารถเก็บได้ 6 เดือนถึง 1 ปี จากนั้นต้องลบทิ้ง ผู้สมัครที่ผ่านการคัดเลือกแต่ยังไม่ลงนามสัญญาเก็บได้ 3 เดือน ข้อมูลพนักงานปัจจุบันเก็บตลอดระหว่างจ้างงาน พนักงานที่ลาออกเก็บได้ 1 ถึง 2 ปีตามกฎหมายแรงงาน และประวัติการลา ทำผิด เก็บได้ 3 ปี หลังจากนั้นต้องลบข้อมูลอย่างถาวร HR ห้ามเก็บข้อมูลไว้เฉยๆ โดยไม่มีความจำเป็น


การส่งข้อมูลพนักงานกับกฎหมาย PDPA เมื่อต้องส่งข้อมูลพนักงานให้บุคคลภายนอก เช่น บริษัทประกัน Payroll Outsource หรือหน่วยงานรัฐ HR ต้องแน่ใจสามสิ่ง ประการแรก มีกฎหมายรองรับหรือได้ความยินยอมจากพนักงาน บางการส่งบังคับตามกฎหมาย เช่น ส่งให้ประกันสังคม แต่บางอย่างต้องขอความยินยอม เช่น ส่งให้บริษัทประกันเสริม ประการที่สองต้องมีสัญญา Data Processing Agreement ระบุว่าผู้รับจะใช้ข้อมูลเพื่ออะไร ห้ามนำไปใช้ต่อสำหรับวัตถุประสงค์อื่น และต้องเก็บเพียงเท่าใดและลบเมื่อไหร่ ประการที่สามส่งเฉพาะข้อมูลที่ผู้รับต้องใช้เท่านั้น ห้ามส่งไฟล์ทั้งหมด


โทษของกฎหมาย PDPA โทษของการฝ่าฝืน PDPA แบ่งตามระดับความร้ายแรง ถ้าเป็นข้อมูลทั่วไปและเบา ปรับ 100,000 ถึง 500,000 บาท หรือเก็บเรือน 1 ปี ถ้าเป็นข้อมูลทั่วไปแต่ร้ายแรง เช่น เก็บข้อมูลนานเกินไป ลบไม่ทัน ส่งให้บุคคลที่สามโดยไม่มีสิทธิ์ หรือไม่ตอบคำร้องพนักงาน ปรับ 1 ล้านถึง 5 ล้านบาท หรือเก็บเรือน 5 ปี ถ้าเป็นข้อมูลอ่อนไหวเช่น สุขภาพ ศาสนา ลายนิ้วมือ ที่เก็บโดยไม่มีความยินยอม ปรับ 2 ล้านถึง 5 ล้านบาท หรือเก็บเรือน 5 ปี นอกจากโทษกฎหมายแล้ว ความเสื่อมต่อชื่อเสียงขององค์กรและความไม่เชื่อใจจากพนักงานก็เป็นผลกระทบที่ร้ายแรงไม่น้อย


สิทธิ์ PDPA ของพนักงาน พนักงานมีสิทธิ์หกประการตามกฎหมาย PDPA ประการแรกสิทธิรับทราบ พนักงานมีสิทธิรู้ว่า HR เก็บข้อมูลชนิดใด เพื่อวัตถุประสงค์ใด และเก็บนานแค่ไหน ประการที่สองสิทธิเข้าถึง พนักงานสามารถขอเข้าถึงและขอสำเนาข้อมูลทั้งหมด ประการที่สามสิทธิแก้ไข ถ้าข้อมูลไม่ถูกต้องหรือไม่เป็นปัจจุบัน พนักงานขอแก้ไขได้ ประการที่สี่สิทธิถอนความยินยอม พนักงานถอนได้ทุกเมื่อ และ HR ต้องหยุดประมวลผลข้อมูลนั้นทันที ประการที่ห้าสิทธิลบ พนักงานขอให้ลบเมื่อหมดความจำเป็น ประการที่หกสิทธิโอนย้าย พนักงานขอรับข้อมูลในรูปแบบดิจิทัล เช่น CSV หรือ PDF เพื่อโอนไปบริษัทอื่น HR ต้องตอบสนองคำร้องทั้งหมดนี้ภายใน 30 วัน


หากคุณกำลังมองหา Recruitment Team ช่วยหาคนที่ใช่สำหรับองค์กรคุณติดต่อเราได้เลย





อ้างอิง


SCG HR Solutions. (2565). กฎหมาย PDPA ที่ HR ควรรู้. สืบค้นจาก https://www.scghrsolutions.com


HumanSoft. (2565). PDPA punishment: โทษและบทลงโทษตามกฎหมาย PDPA. สืบค้นจาก https://humansoft.co.th/en/blog/pdpa-punishment


PDPA Thailand. (2564). ข้อมูลส่วนบุคคล: ความหมาย ประเภท และการคุ้มครอง. สืบค้นจาก https://pdpathailand.com/pdpa/content/


SI Data Plus. (2564). บทความเกี่ยวกับ PDPA และการปกป้องข้อมูลส่วนบุคคล. สืบค้นจาก https://pdpa.sidata.plus


พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562. (2562). ราชกิจจานุเบกษา เล่ม 136 ตอนที่ 69 ก. ลงวันที่ 27 พฤษภาคม 2562.


bottom of page