ในยุคที่ข้อมูลมีค่าดั่งทองคำ กฎหมาย PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) ได้เข้ามาจัดระเบียบให้การใช้ข้อมูลเป็นไปอย่างโปร่งใสและเป็นธรรม แต่สำหรับคนทำงานหน้างานอย่าง HR, Admin หรือฝ่ายการตลาด การทำเอกสารให้ถูกต้องตามกฎหมายกลับกลายเป็น “ยาขม” ที่กลืนไม่เข้าคายไม่ออก
หลายองค์กรต้องเสียเงินจ้างที่ปรึกษากฎหมายหลักหมื่นหลักแสนเพียงเพื่อร่างเอกสารไม่กี่ฉบับ หรือบางองค์กรใช้วิธี “ก๊อปปี้” จากอินเทอร์เน็ตโดยไม่เข้าใจเนื้อหา ซึ่งเสี่ยงต่อการถูกฟ้องร้องภายหลังหากเอกสารนั้นไม่ครอบคลุมบริบทของบริษัทจริงๆ
B-Tools Training เข้าใจปัญหานี้ดี วันนี้เราจึงขอแนะนำ ตัวอย่างการทำ แบบฟอร์ม PDPA ทั้ง หนังสือขอความยินยอม (Consent Form) และ ประกาศความเป็นส่วนตัว (Privacy Notice) ที่กลั่นกรองจากประสบการณ์การเป็นที่ปรึกษาให้องค์กรชั้นนำ เพื่อช่วยให้ HR และ Admin ประหยัดเวลา ลดความกังวล และเริ่มต้นทำ PDPA ได้ทันทีแบบมืออาชีพ
ความแตกต่างระหว่าง Consent Form vs Privacy Notice ที่หลายคนยังสับสน
ก่อนที่จะไปทำแบบฟอร์ม สิ่งสำคัญที่สุดที่ผู้ปฏิบัติงานต้องรู้คือ “เราต้องใช้เอกสารใบไหน ในสถานการณ์ไหน?” เพราะความเข้าใจผิดที่พบบ่อยที่สุดคือ “คิดว่าทำ PDPA คือการขอ Consent ทุกเรื่อง” ซึ่งเป็นความเข้าใจที่ผิดและสร้างภาระงานมหาศาลครับ
เรามาแยกแยะความแตกต่างให้ชัดเจน ดังนี้:
1. Privacy Notice (ประกาศความเป็นส่วนตัว) = “การแจ้งให้ทราบ”
ตามมาตรา 23 ของ PDPA องค์กรมีหน้าที่ต้อง “แจ้ง” ให้เจ้าของข้อมูลทราบว่าจะเก็บข้อมูลอะไร เอาไปทำอะไร และเก็บนานแค่ไหน โดยที่เจ้าของข้อมูลไม่ต้องเซ็นยินยอมก็ได้ (แต่ต้องรับทราบ)
-
ใช้เมื่อไหร่: ใช้เมื่อเราเก็บข้อมูลโดยอ้างอิง “ฐานกฎหมาย (Legal Basis)” อื่นๆ ที่ไม่ใช่ความยินยอม เช่น:
-
Contract Basis (ฐานสัญญา): เช่น การจ้างงาน (ต้องเก็บเลขบัญชีเพื่อโอนเงินเดือน), การซื้อขายของ (ต้องเก็บที่อยู่เพื่อส่งของ) กรณีนี้เรา “แจ้ง” ผ่าน Privacy Notice ก็พอ ไม่ต้องขอ Consent
-
Legal Obligation (ฐานกฎหมาย): เช่น การหักภาษี ณ ที่จ่าย, การส่งประกันสังคม
-
Legitimate Interest (ฐานประโยชน์โดยชอบด้วยกฎหมาย): เช่น การติดกล้อง CCTV เพื่อความปลอดภัย
-
2. Consent Form (หนังสือขอความยินยอม) = “การขออนุญาต”
ตามมาตรา 19 ของ PDPA จะใช้ในกรณีที่เรา “ไม่มีอำนาจอื่นใด” ในการเก็บข้อมูลนั้น หรือเป็นเรื่องที่อยู่นอกเหนือความคาดหมายของเจ้าของข้อมูล
-
ใช้เมื่อไหร่:
-
เมื่อต้องการเก็บ Sensitive Data (ข้อมูลอ่อนไหว) เช่น ข้อมูลสุขภาพ, ศาสนา, เชื้อชาติ, ลายนิ้วมือ
-
เมื่อต้องการนำข้อมูลไปใช้เพื่อการตลาด (Marketing) ที่ไม่ใช่สินค้าเดิม หรือส่งต่อข้อมูลให้บุคคลที่สาม (Third Party) ที่ไม่เกี่ยวข้องกับสัญญา
-
-
หัวใจสำคัญ: การ ขอความยินยอม ต้องให้สิทธิเจ้าของข้อมูลในการ “ถอนความยินยอม” (Withdraw) เมื่อไหร่ก็ได้
สรุปสั้นๆ:
-
งานพื้นฐานตามสัญญาจ้าง/ซื้อขาย -> ใช้ Privacy Notice
-
งานการตลาด/ข้อมูลสุขภาพ/เรื่องพิเศษ -> ใช้ Consent Form
“นอกจากเอกสารขอความยินยอมแล้ว องค์กรต้องแจ้งให้เจ้าของข้อมูลทราบถึงสิทธิของตนเอง เรียนรู้เพิ่มเติมเกี่ยวกับขอบเขตและ [สิทธิที่กฎหมาย PDPA ให้ความคุ้มครอง] เพื่อนำไปใช้อธิบายให้พนักงานหรือลูกค้าเข้าใจได้อย่างมั่นใจ”
ตัวอย่าง Privacy Notice (ประกาศความเป็นส่วนตัว)
เอกสารชุดนี้เปรียบเสมือน “ป้ายบอกทาง” ที่องค์กรต้องติดประกาศหรือส่งให้เจ้าของข้อมูลทราบ เราได้แบ่งหมวดหมู่ตามกลุ่มเป้าหมาย เพื่อให้เนื้อหาตรงจุดที่สุดครับ
1. สำหรับพนักงาน (HR Privacy Notice)
นี่คือเอกสารที่สำคัญที่สุดสำหรับฝ่ายบุคคล เพราะ HR ถือข้อมูลพนักงานไว้เยอะที่สุด ตั้งแต่ใบสมัครงานยันใบมรณะบัตร
-
เนื้อหาในแบบฟอร์ม: ระบุการเก็บรวบรวมข้อมูลเพื่อการจ้างงาน, การจ่ายเงินเดือน, การประเมินผลงาน, สวัสดิการ, และการส่งข้อมูลให้กรมสรรพากร/ประกันสังคม
-
จุดที่ต้องระวัง: ต้องระบุระยะเวลาการจัดเก็บ (Retention Period) ให้ชัดเจน เช่น “เก็บข้อมูลประวัติพนักงานไว้ 10 ปีหลังสิ้นสุดสัญญาจ้าง เพื่อประโยชน์ทางกฎหมายแรงงานและคดีความ”
2. สำหรับลูกค้า/คู่ค้า (Customer & Business Partner Privacy Notice)
สำหรับฝ่ายขาย จัดซื้อ และบัญชี เอกสารนี้จะช่วยสร้างความเชื่อมั่นให้กับคู่ค้าทางธุรกิจ
-
เนื้อหาในแบบฟอร์ม: ครอบคลุมการเก็บข้อมูลเพื่อการออกใบเสนอราคา, การออกใบกำกับภาษี, การจัดส่งสินค้า, และการบริการหลังการขาย
-
จุดที่ต้องระวัง: หากมีการส่งข้อมูลลูกค้าไปให้บริษัทขนส่ง (Logistic) หรือบริษัทรับทำบัญชี (Outsource) ต้องระบุในส่วนของ “การเปิดเผยข้อมูล” ด้วยว่าเราส่งให้ใครบ้าง เพื่อความโปร่งใส
3. สำหรับผู้สมัครงาน (Job Applicant Privacy Notice)
หลายบริษัทตกม้าตายตรงนี้ คือเก็บ Resume ผู้สมัครไว้นานเกินไปโดยไม่แจ้ง
-
เนื้อหาในแบบฟอร์ม: แจ้งวัตถุประสงค์เพื่อการคัดเลือกบุคลากร การสัมภาษณ์ และการตรวจสอบประวัติอาชญากรรม (ถ้ามี)
-
จุดที่ต้องระวัง: ควรกำหนดระยะเวลาการจัดเก็บ Resume ของคนที่ “ไม่ผ่านสัมภาษณ์” ให้ชัดเจน (เช่น 6 เดือน หรือ 1 ปี) เพื่อใช้พิจารณาในตำแหน่งอื่น หากเกินกำหนดต้องมีระบบลบทำลายทิ้ง ไม่ใช่เก็บไว้ตลอดกาล
“ต่อยอดความรู้จากบทความนี้สู่การลงมือทำจริงผ่าน [หลักสูตร PDPA ฉบับปฏิบัติจริง] ที่ออกแบบมาเพื่อเจาะลึกแนวทางปฏิบัติที่ถูกต้องและปลอดภัย”
ตัวอย่าง Consent Form (แบบฟอร์มขอความยินยอม)
สำหรับกิจกรรมที่ “เกินความจำเป็นพื้นฐาน” หรือมีความเสี่ยงสูง ท่านต้องให้เจ้าของข้อมูลเซ็นเอกสารชุดนี้ (หรือติ๊กถูกในช่อง Checkbox) แยกต่างหากครับ
1. แบบฟอร์มยินยอมให้ถ่ายรูป/วิดีโอ เพื่อการประชาสัมพันธ์ (Marketing Consent)
การถ่ายรูปกิจกรรมบริษัท งานเลี้ยงปีใหม่ หรือรูปพนักงานดีเด่นเพื่อไปลง Facebook/Website ถือเป็นการเปิดเผยข้อมูลส่วนบุคคล หากไม่ได้ระบุไว้ในสัญญาจ้าง หรือเพื่อป้องกันการดราม่า ควรขอ Consent ให้ชัดเจน
-
เนื้อหาในแบบฟอร์ม:
-
ข้าพเจ้ายินยอมให้บริษัท [ชื่อบริษัท] ถ่ายภาพ/บันทึกวิดีโอ…
-
เพื่อวัตถุประสงค์ในการประชาสัมพันธ์กิจกรรม, ทำสื่อโฆษณา, ลงสื่อโซเชียลมีเดีย…
-
ข้าพเจ้าทราบว่าสามารถแจ้งถอนความยินยอมได้ที่ [ช่องทางการติดต่อ]…
-
-
Tip: แยกช่องติ๊กเลือก (Checkbox) ระหว่าง “ภาพนิ่ง” และ “วิดีโอ” หรือแยกตามวัตถุประสงค์ เพื่อให้เป็น Granular Consent (ความยินยอมที่แยกส่วนได้) ตามมาตรฐานสากล
2. แบบฟอร์มยินยอมเปิดเผยข้อมูลสุขภาพและข้อมูลอ่อนไหว (Sensitive Data Consent)
มาตรา 26 ระบุว่าห้ามเก็บข้อมูลอ่อนไหวโดยไม่มี Consent เด็ดขาด (ยกเว้นเข้าข้อยกเว้นบางประการ) สำหรับ HR แบบฟอร์มนี้จำเป็นมาก
-
กรณีที่ต้องใช้:
-
การขอใบรับรองแพทย์เพื่อเบิกค่ารักษาพยาบาล (ที่มีระบุชื่อโรค)
-
การเก็บข้อมูลหมู่เลือด หรือการแพ้อาหาร (สำหรับจัดเตรียมอาหารในกิจกรรมบริษัท)
-
การเก็บข้อมูลศาสนา (เพื่อประกอบพิธีกรรม หรือเพื่อจัดอาหารฮาลาล/เจ)
-
-
เนื้อหาในแบบฟอร์ม: ต้องระบุชัดเจนว่าเก็บข้อมูลอ่อนไหวประเภทใด และเพื่อวัตถุประสงค์ใด โดยเฉพาะ และต้องแจ้งผลกระทบหากไม่ให้ความยินยอม (เช่น อาจจัดอาหารให้ไม่ถูกต้องตามหลักศาสนา)
“ก่อนนำร่างหนังสือขอความยินยอม (Consent Form) ไปปรับใช้ในองค์กร สิ่งสำคัญที่สุดคือผู้ปฏิบัติงานต้องเข้าใจ ‘ฐานทางกฎหมาย (Lawful Basis)’ อย่างถ่องแท้ เพื่อไม่ให้เก็บข้อมูลเกินความจำเป็น ท่านสามารถทบทวนหลักการพื้นฐานได้ที่บทความ [PDPA คืออะไร? สรุปกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับเข้าใจง่าย]“
วิธีนำ PDPA Template ไปปรับใช้ในองค์กรให้ปลอดภัย
การได้ Template ไปเป็นเรื่องดีครับ แต่การ “Copy & Paste” ทั้งดุ้นโดยไม่อ่าน อาจนำภัยมาสู่ตัวได้ นี่คือ 3 ขั้นตอนในการปรับแต่งเอกสารให้เข้ากับองค์กรของคุณ:
ขั้นตอนที่ 1: ทำ Data Mapping (สำรวจข้อมูล) ก่อน
ก่อนกรอกแบบฟอร์ม คุณต้องรู้ก่อนว่าบริษัทคุณเก็บข้อมูลอะไรบ้าง? ลองเดินไปถามฝ่าย IT, ฝ่ายขาย, ฝ่าย HR ว่า “พี่เก็บชื่อ ที่อยู่ เบอร์โทร อะไรบ้าง และเอาไปทำอะไร?” เพื่อนำมาเขียนในช่อง “วัตถุประสงค์ (Purpose)” ได้ถูกต้องครบถ้วน
ขั้นตอนที่ 2: ปรับแก้ข้อมูลใน [วงเล็บ] ให้เป็นความจริง
ใน Template เราได้เว้นช่องว่าง หรือใส่ข้อความใน [วงเล็บ] ไว้ เช่น [ระบุระยะเวลาการจัดเก็บ], [ระบุช่องทางการติดต่อ DPO] ท่านต้องลบวงเล็บออกและใส่ข้อมูลจริงของบริษัท ห้ามใส่ข้อมูลเท็จ หรือสัญญาว่าจะทำแต่ทำไม่ได้จริง
ขั้นตอนที่ 3: ประกาศใช้และจัดเก็บ Log
เมื่อปรับแก้เสร็จแล้ว:
-
Privacy Notice: ให้นำไปแปะไว้ที่บอร์ดประชาสัมพันธ์, หน้าเว็บไซต์บริษัท (Footer), หรือแนบท้ายสัญญาจ้าง/ใบสมัครงาน
-
Consent Form: ให้พนักงานหรือลูกค้าเซ็น (จะเป็นกระดาษหรือ E-Consent ก็ได้) และที่สำคัญ ต้องเก็บหลักฐาน (Log) ไว้อย่างดี เพื่อใช้ยืนยันเมื่อมีการตรวจสอบ หรือเมื่อเจ้าของข้อมูลต้องการใช้สิทธิ
ทำแบบฟอร์มแล้วยังงง? กลัวกรอกผิดชีวิตเปลี่ยน?
การมีแบบฟอร์มที่ดีคือจุดเริ่มต้น แต่การ “เข้าใจวิธีคิด” เพื่อกรอกข้อมูลให้ถูกต้องตามบริบทธุรกิจของคุณคือกุญแจสำคัญที่จะป้องกันค่าปรับหลักล้าน
หากคุณมีแบบฟอร์มแล้วไม่แน่ใจว่า:
-
“ข้อนี้ต้องติ๊กไหม?”
-
“กิจกรรมนี้ของบริษัทต้องใช้ฐานสัญญาหรือฐานยินยอม?”
-
“เขียนวัตถุประสงค์แบบนี้กว้างไปไหม?”
สิ่งที่คุณจะได้รับในคอร์ส:
-
เรียนรู้การทำ Data Flow Diagram และ ROPD ของบริษัทคุณเอง
-
วิทยากรช่วยรีวิวเอกสาร Privacy Notice และ Consent Form ที่คุณปรับแก้
-
เทคนิคการตอบคำถามพนักงานและผู้บริหารเมื่อต้องประกาศใช้ PDPA
-
Certificate รับรองการฝึกอบรม นำไปยื่นอ้างอิงได้
“เริ่มต้นทำ PDPA ให้ถูกต้องตั้งแต่วันนี้ เพื่อความสบายใจของทั้งองค์กรและลูกค้าของคุณครับ! [บริการจัดอบรม PDPA สำหรับองค์กร] จับมือทำเอกสารให้ถูกต้องตามกฎหมาย”
Last Updated on February 27, 2026
