PDPA สำหรับ HR: วิธีจัดการข้อมูลพนักงานตั้งแต่รับเข้าจนถึงลาออกให้ถูกกฎหมาย

 

ในโลกของการบริหารทรัพยากรบุคคล ข้อมูลไม่ได้เป็นเพียงแค่ตัวอักษรบนกระดาษ แต่คือ “ความไว้วางใจ” และ “ความเสี่ยง” ในเวลาเดียวกัน การปรับตัวให้เข้ากับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) จึงไม่ใช่แค่การทำเอกสารให้ครบเพื่อเลี่ยงค่าปรับสูงสุด 5 ล้านบาท แต่คือการสร้างมาตรฐานความเป็นมืออาชีพให้กับองค์กร เพื่อให้พนักงานมั่นใจว่าข้อมูลของพวกเขาจะปลอดภัย

บทความนี้จะเจาะลึกวงจรชีวิตของพนักงาน (Employee Lifecycle) ในมุมมองของกฎหมาย PDPA เพื่อเป็นแนวทางปฏิบัติจริงสำหรับฝ่ายบุคคลครับ

 

 

การจัดการข้อมูลในกระบวนการสรรหาบุคลากร (Recruitment Phase)

ความผิดพลาดส่วนใหญ่ของ HR เริ่มตั้งแต่วันแรกที่ประกาศรับสมัครงาน คือการเก็บข้อมูล “เผื่อไว้ก่อน” ซึ่งขัดกับหลักการเก็บเท่าที่จำเป็น

  • การจัดการสำเนาบัตรประชาชนและข้อมูลอ่อนไหว

    หากในสำเนาบัตรประชาชนมีการระบุ “ศาสนา” หรือ “หมู่เลือด” ซึ่งกฎหมายจัดว่าเป็น ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) HR ต้องระมัดระวังเป็นพิเศษ หากตำแหน่งงานนั้นไม่ได้มีความจำเป็นต้องใช้ข้อมูลเหล่านี้ (เช่น ไม่ใช่ตำแหน่งที่เกี่ยวกับอาหารหรือความปลอดภัยขั้นสูง) HR ควรแนะนำให้ผู้สมัคร “ขีดฆ่า” ข้อมูลส่วนนั้นทิ้งก่อนส่ง หรือฝ่ายบุคคลต้องทำการปิดทับ (Redact) ข้อมูลนั้นเอง (อ่านเพิ่มเติมเกี่ยวกับ ขอบเขตประเภทข้อมูลที่กฎหมายคุ้มครอง)

  • การตรวจประวัติอาชญากรรม (Criminal Record Check)

    การตรวจประวัติอาชญากรรมไม่สามารถทำได้กับทุกตำแหน่งงาน กฎหมายอนุญาตให้ทำได้เฉพาะตำแหน่งที่เกี่ยวข้องกับความน่าเชื่อถือ เช่น พนักงานบัญชี พนักงานขับรถ หรือผู้ที่ต้องจัดการทรัพย์สินมีค่า และ ต้องได้รับความยินยอมโดยชัดแจ้ง จากผู้สมัครแยกต่างหากจากใบสมัครงานทั่วไป

  • การคัดกรองผู้สมัครผ่านสื่อสังคมออนไลน์ (Social Media Screening)

    การที่ HR เข้าไปดูโปรไฟล์ Facebook ของผู้สมัครเพื่อประเมินบุคลิกภาพ ทำได้หรือไม่?

    คำตอบคือ: ทำได้หากข้อมูลนั้นเปิดเป็นสาธารณะ (Public) แต่ ห้าม นำข้อมูลส่วนตัวที่ไม่เกี่ยวข้องกับทักษะการทำงาน เช่น ความคิดเห็นทางการเมือง มาร่วมในการตัดสินใจ เพราะอาจนำไปสู่ข้อหาการเลือกปฏิบัติที่ไม่เป็นธรรม

 

 

การจัดการข้อมูลระหว่างการจ้างงานและสวัสดิการ (Employment Phase)

เมื่อรับเข้าเป็นพนักงาน ภาระในการดูแลข้อมูลจะเพิ่มขึ้นทวีคูณ ทั้งจากฝ่ายบริหารและบุคคลภายนอกที่เกี่ยวข้อง

  • การให้ข้อมูลพนักงานแก่บุคคลภายนอก (Third-Party Sharing)

    HR มักต้องส่งข้อมูลพนักงานให้บริษัทรับทำเงินเดือน (Payroll Outsource) บริษัทประกันชีวิต หรือธนาคาร กิจกรรมเหล่านี้สามารถทำได้โดยใช้ฐานสัญญา แต่สิ่งที่ HR ต้องมีคือ สัญญาประมวลผลข้อมูล (Data Processing Agreement – DPA) เพื่อบังคับให้คู่สัญญาเหล่านั้นรักษาความปลอดภัยของข้อมูลพนักงานในมาตรฐานเดียวกับเรา

  • การติดตามตำแหน่ง (GPS) และเทคโนโลยีตรวจสอบการทำงาน

    บริษัทที่มีรถประจำตำแหน่งมักติด GPS เพื่อติดตามการเดินทาง หรือมีการตรวจสอบการเข้าใช้อินเทอร์เน็ตของออฟฟิศ สิ่งเหล่านี้บริษัทสามารถทำได้ภายใต้ ฐานประโยชน์อันชอบธรรม (Legitimate Interest) เพื่อป้องกันทรัพย์สินและกำกับดูแลการทำงาน แต่ ต้องประกาศให้พนักงานทราบล่วงหน้า อย่างชัดเจนผ่านนโยบายของบริษัท และไม่ลุกล้ำไปถึงช่วงเวลานอกงาน

  • การจัดการใบรับรองแพทย์และประวัติสุขภาพ

    เมื่อพนักงานลาป่วยและส่งใบรับรองแพทย์ ข้อมูลโรคที่ระบุในนั้นคือข้อมูลอ่อนไหว HR ต้องเก็บเอกสารเหล่านี้ไว้ในตู้ที่ล็อกกุญแจ หรือหากเป็นไฟล์ดิจิทัลต้องจำกัดสิทธิ์การเข้าถึงเฉพาะผู้ที่เกี่ยวข้องกับการประเมินสิทธิการลาเท่านั้น ห้ามส่งต่อในกลุ่มไลน์ของแผนกโดยเด็ดขาด

 

 

 

เจาะลึก ฐานทางกฎหมายที่ HR ต้องใช้ให้เป็น (Legal Basis)

ความเข้าใจผิดที่ใหญ่ที่สุดคือ “ทุกอย่างต้องขอความยินยอม (Consent)” ซึ่งในความเป็นจริง หากพนักงานถอนความยินยอม HR จะทำงานต่อไม่ได้เลย ดังนั้นการใช้ฐานกฎหมายอื่นจึงปลอดภัยและยั่งยืนกว่า (ศึกษาเพิ่มเติมเรื่อง ความต่างของ Consent และประกาศนโยบาย)

เพื่อให้ HR เห็นภาพชัดเจน B-Tools Training ได้สรุปสถานการณ์จริงไว้ในตารางด้านล่างนี้:

กิจกรรมของ HR ข้อมูลที่จัดเก็บ ฐานทางกฎหมายที่เหมาะสม การขอความยินยอม
การโอนเงินเดือนและโบนัส เลขบัญชีธนาคาร, จำนวนเงิน ฐานสัญญา (Contract) ไม่จำเป็น
การนำส่งภาษีและประกันสังคม เลขบัตรประชาชน, ฐานรายได้ ฐานหน้าที่ตามกฎหมาย (Legal Obligation) ไม่จำเป็น
การติดกล้องวงจรปิด (CCTV) ในออฟฟิศ ภาพจำลองบุคคล ฐานประโยชน์อันชอบธรรม (Legitimate Interest) ไม่จำเป็น (แต่ต้องติดป้ายแจ้งเตือน)
การตรวจสุขภาพประจำปี ผลเลือด, ประวัติการรักษา ฐานความยินยอม / กฎหมายแรงงาน จำเป็น
การนำรูปพนักงานไปโปรโมตบนเว็บไซต์ ภาพถ่ายใบหน้าชัดเจน ฐานความยินยอม (Consent) จำเป็น

ข้อควรระวัง: เมื่อพนักงานขอ “ถอนความยินยอม” (เช่น ไม่ให้นำรูปไปใช้บนเว็บไซต์แล้ว) HR ต้องดำเนินการนำรูปออกทันทีโดยไม่มีเงื่อนไข และไม่สามารถนำเรื่องนี้มาเป็นเหตุผลในการกลั่นแกล้งหรือลดสวัสดิการพนักงานได้

 

การจัดการข้อมูลเมื่อพนักงานพ้นสภาพ (Post-Employment)

“ลาออกแล้ว ต้องลบข้อมูลทันทีหรือไม่?” คือคำถามยอดฮิตที่นำไปสู่ความสับสน

  • ระยะเวลาจัดเก็บ (Retention Period) และอายุความ

    HR ไม่จำเป็นต้องลบข้อมูลทันทีที่พนักงานลาออก บริษัทมีสิทธิเก็บประวัติการทำงาน สัญญาจ้าง และบันทึกการจ่ายเงินไว้ได้ตาม อายุความทางกฎหมาย (โดยทั่วไปสูงสุด 10 ปี) เพื่อใช้เป็นหลักฐานเผื่อกรณีที่อดีตพนักงานฟ้องร้องเรียกค่าชดเชย หรือกรณีที่กรมสรรพากรขอตรวจสอบย้อนหลัง

  • การให้ข้อมูลอ้างอิงแก่นายจ้างใหม่ (Reference Check)

    เมื่อมี HR จากบริษัทอื่นโทรมาสอบถามประวัติการทำงานและนิสัยของอดีตพนักงานของเรา เราสามารถบอกได้แค่ไหน?

    แนวทางปฏิบัติ: HR ควรให้เฉพาะข้อมูลพื้นฐานที่เป็นข้อเท็จจริง เช่น ระยะเวลาที่ทำงาน และตำแหน่งงานเท่านั้น ไม่ควรวิจารณ์พฤติกรรมหรือให้ข้อมูลเชิงลบทางการประเมิน หากไม่ได้รับการยินยอมเป็นลายลักษณ์อักษรจากอดีตพนักงานรายนั้นเสียก่อน เพื่อป้องกันการถูกฟ้องร้องฐานหมิ่นประมาทและละเมิดข้อมูลส่วนบุคคล

 

 

การรับมือเมื่อข้อมูลพนักงานรั่วไหล (Data Breach Management)

หากฝ่ายบุคคลเฝ้าระวังอย่างดีแล้ว แต่เกิดเหตุการณ์ส่งไฟล์ Excel เงินเดือนผิดอีเมล หรือคอมพิวเตอร์ของ HR สูญหาย สิ่งที่ต้องทำทันทีคือ:

  1. ระงับเหตุและประเมินความเสี่ยง: ตรวจสอบว่าไฟล์นั้นมีการเข้ารหัส (Password) หรือไม่ และมีข้อมูลอ่อนไหวหลุดไปหรือไม่

  2. แจ้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล: หากประเมินแล้วว่ามีความเสี่ยงสูง ต้องแจ้งหน่วยงานรัฐภายใน 72 ชั่วโมง

  3. แจ้งพนักงานที่ได้รับผลกระทบ: เพื่อให้พนักงานเตรียมตัวรับมือ เช่น เปลี่ยนรหัสผ่านหรืออายัดบัญชีธนาคาร (อ่านเพิ่มเติมเกี่ยวกับ บทลงโทษทั้งทางแพ่งและอาญาเมื่อข้อมูลหลุด)

 

 

บทสรุป: 5 ก้าวแรกในการสร้างระบบ PDPA ในแผนก HR

  1. สำรวจข้อมูล (Data Inventory): ลิสต์รายการข้อมูลพนักงานทั้งหมดที่แผนก HR ถืออยู่ ว่ามีอะไรบ้าง เก็บไว้ที่ไหน และใครเข้าถึงได้บ้าง

  2. จัดทำประกาศนโยบาย (HR Privacy Notice): ร่างประกาศที่ระบุวัตถุประสงค์การเก็บข้อมูลอย่างชัดเจน และแจ้งให้พนักงานทุกคนรับทราบ

  3. อัปเดตแบบฟอร์ม: ตัดช่องข้อมูลที่ไม่จำเป็นออกจากใบสมัครงานและแบบฟอร์มลางาน

  4. ตรวจสอบสัญญากับบุคคลภายนอก: มั่นใจว่าบริษัท Outsource ต่างๆ มีมาตรการรักษาความปลอดภัยของข้อมูลเทียบเท่ากับบริษัทของเรา

  5. วางนโยบายเทคโนโลยีและ AI: หากบริษัทเริ่มนำ AI มาช่วยคัดกรองเรซูเม่ ควรศึกษา แนวทางการใช้ AI กับความปลอดภัยข้อมูล เพื่อป้องกันอคติและการละเมิดสิทธิ

 

 

คำถามที่พบบ่อยเกี่ยวกับ PDPA สำหรับ HR

HR สามารถเก็บใบสมัครงาน (Resume) ของผู้สมัครที่ไม่ผ่านการคัดเลือกไว้ได้นานแค่ไหน?

ตามหลัก PDPA ไม่ควรกำหนดระยะเวลาเก็บข้อมูลไว้ตลอดไป (แบบไม่มีกำหนด) HR ควรระบุระยะเวลาให้ผู้สมัครทราบอย่างชัดเจน เช่น เก็บไว้ 6 เดือน หรือ 1 ปี เพื่อพิจารณาตำแหน่งอื่นที่เหมาะสมในอนาคต หากพ้นกำหนดระยะเวลานี้แล้ว ต้องมีกระบวนการทำลายข้อมูลทิ้งอย่างปลอดภัย

การจ่ายเงินเดือน หรือการนำส่งข้อมูลให้ประกันสังคม ต้องให้พนักงานเซ็นขอ Consent หรือไม่?

ไม่จำเป็นต้องขอ Consent ครับ การจ่ายเงินเดือนหรือสวัสดิการสามารถใช้ “ฐานสัญญา (Contract)” ได้เลย ส่วนการส่งข้อมูลพนักงานให้หน่วยงานรัฐ เช่น ประกันสังคม กรมสรรพากร หรือกรมแรงงาน สามารถใช้ “ฐานหน้าที่ตามกฎหมาย (Legal Obligation)” การใช้ฐานเหล่านี้จะช่วยลดภาระงานเอกสารให้ HR ได้มหาศาล

พนักงานที่ลาออกไปแล้ว มีสิทธิขอให้บริษัท “ลบประวัติการทำงาน” ทั้งหมดทิ้งได้หรือไม่?

พนักงานมีสิทธิขอลบข้อมูลตามกฎหมาย (Right to be Forgotten) แต่ในกรณีนี้ HR มีสิทธิปฏิเสธคำร้องได้ หากข้อมูลนั้นยังจำเป็นต้องเก็บรักษาไว้ตาม “อายุความทางกฎหมาย” (เช่น ข้อมูลทางบัญชีและภาษี หรือสัญญาจ้าง ที่มักต้องเก็บไว้ 5-10 ปี) เพื่อป้องกันกรณีมีข้อพิพาทหรือการฟ้องร้องในอนาคต

มีบริษัทอื่นโทรมาทำ Reference Check อดีตพนักงานของเรา HR สามารถบอกข้อมูลอะไรได้บ้าง?

HR ควรระมัดระวังอย่างมาก แนะนำให้ยืนยันเฉพาะ “ข้อเท็จจริงพื้นฐาน” ที่มีหลักฐาน เช่น ระยะเวลาที่ทำงาน และตำแหน่งงานที่ทำ ไม่ควรวิจารณ์พฤติกรรมส่วนตัว หรือให้ข้อมูลเชิงลบทางการประเมิน หากไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรจากอดีตพนักงานรายนั้นเสียก่อน เพื่อป้องกันการถูกฟ้องร้องฐานละเมิดข้อมูลและหมิ่นประมาท

การนำรูปถ่ายพนักงานไปโพสต์อวยพรวันเกิด หรือโปรโมตบริษัทบน Facebook ต้องทำอย่างไร?

กิจกรรมเหล่านี้ไม่ได้เป็นส่วนหนึ่งของสัญญาจ้างงานหลัก ดังนั้น HR หรือฝ่ายการตลาด ต้องขอความยินยอม (Consent) จากพนักงานก่อนเสมอ และหากในอนาคตพนักงานต้องการ “ถอนความยินยอม” องค์กรก็ต้องเคารพสิทธิและดำเนินการลบรูปภาพนั้นออกจากสื่อต่างๆ ตามที่พนักงานร้องขอ

 

การบริหารจัดการคนในยุคดิจิทัล ความถูกต้องทางกฎหมายคือรากฐานของความไว้วางใจ หากองค์กรของคุณต้องการเจาะลึกแนวปฏิบัติและทำ Workshop วางระบบจริงสำหรับฝ่ายบุคคล สามารถดูรายละเอียดได้ที่ หลักสูตร PDPA สำหรับองค์กร โดยผู้เชี่ยวชาญจาก B-Tools Training ครับ

 

Last Updated on April 8, 2026

Picture of B Tools Training
B Tools Training

ที่ปรึกษาเชิงกลยุทธ์ด้านการฝึกอบรมองค์กร เชื่อมโยงคน ผลงาน และเป้าหมายธุรกิจ เพื่อผลลัพธ์ที่วัดได้

Table of Contents
บรรยากาศการอบรม Outward Mindset ฝึกการมองเห็นความต้องการของผู้อื่นเพื่อลดความขัดแย้ง

หลักสูตร Outward Mindset (กรอบความคิดแบบมองออก): เปลี่ยนมุมมองเพื่อการทำงานร่วมกัน

  ในโลกการทำงานที่ซับซ้อน ปัญหาที่ใหญ่ที่สุดขององค์กรมักไม่ใช่เรื่องของ “เทคนิค” หรือ “ความเก่ง” แต่เป็นเรื่องของ “ความสัมพันธ์” และ “ทัศนคติ” บ่อยครั้งที่เราเห็นคนเก่งทำงานร่วมกันไม่ได้ ต่างคนต่างทำ (Silo) หรือเกิดวัฒนธรรมการโทษกัน (Blame Culture) ต้นตอของปัญหาเหล่านี้มักเกิดจากการติดอยู่ในกับดักที่เรียกว่า “Inward Mindset” หรือการมองเห็นแต่ความต้องการของตัวเอง

อ่านต่อ »
บรรยากาศอบรมหลักสูตร Ownership Mindset

หลักสูตรความเป็นเจ้าของงาน (Ownership Mindset): สร้างจิตสำนึกความรับผิดชอบต่อผลลัพธ์องค์กร

เปลี่ยนทัศนคติ ให้ทีมงานคิดเหมือนเจ้าของธุรกิจ เพิ่มความรับผิดชอบ (Accountability) และมุ่งมั่นแก้ไขปัญหาเพื่อความสำเร็จขององค์กร ด้วย Ownership Mindset (จิตสำนึกความเป็นเจ้าของ)

อ่านต่อ »
พนักงานกำลังเรียนรู้ทักษะ Growth Mindset เพื่อพัฒนาตนเองและสร้างนวัตกรรมให้องค์กร

หลักสูตร Growth Mindset (กรอบความคิดแบบเติบโต): กุญแจสู่ความสำเร็จในการทำงาน

  ในโลกธุรกิจยุคปัจจุบันที่ความเปลี่ยนแปลงเกิดขึ้นรายวัน (VUCA World) ความเก่งกาจทางวิชาการ (Hard Skills) อาจไม่ใช่เครื่องการันตีความสำเร็จอีกต่อไป สิ่งที่แยกแยะระหว่าง “ผู้ที่อยู่รอด” และ “ผู้ที่ล้มเหลว” คือกรอบความคิด ทักษะ Growth Mindset หรือ กรอบแนวคิดแบบเติบโต จึงกลายเป็น DNA

อ่านต่อ »
Load More
Scroll to Top