Skip to main content
PDPA & Privacy

PDPA กับข้อมูลพนักงาน — สิ่งที่ HR ต้องรู้ตั้งแต่รับสมัครจนถึงลาออก

คู่มือปฏิบัติสำหรับ HR ในการจัดการข้อมูลส่วนบุคคลของพนักงานตาม PDPA ครอบคลุมทุกขั้นตอนตั้งแต่การรับสมัคร การจ้างงาน จนถึงการลาออกและการเก็บรักษาข้อมูลหลังสิ้นสุดสัญญา

9 Mar 20268 min
PDPAHREmployee DataData ProtectionPrivacy

HR คือหน่วยงานที่เก็บข้อมูลส่วนบุคคลมากที่สุดในองค์กร

ลองนึกภาพข้อมูลที่ฝ่าย HR จัดเก็บในแต่ละวัน ตั้งแต่ resume สำเนาบัตรประชาชน ใบรับรองแพทย์ สลิปเงินเดือน ประวัติการลา ไปจนถึงผลประเมินการทำงาน ข้อมูลเหล่านี้ล้วนเป็น ข้อมูลส่วนบุคคล ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ทั้งสิ้น

แม้ PDPA จะบังคับใช้เต็มรูปแบบมาตั้งแต่ 1 มิถุนายน 2565 แต่จากการสำรวจพบว่าองค์กรจำนวนมากยังจัดการข้อมูลพนักงานไม่ถูกต้องตามกฎหมาย ไม่ว่าจะเป็นการเก็บสำเนาบัตรประชาชนโดยไม่มีกำหนดระยะเวลา การส่งข้อมูลเงินเดือนผ่านอีเมลแบบไม่เข้ารหัส หรือการให้ vendor ภายนอกเข้าถึงข้อมูลพนักงานโดยไม่มีสัญญาประมวลผลข้อมูล

บทความนี้เป็นคู่มือปฏิบัติสำหรับ HR ในการจัดการข้อมูลพนักงานให้สอดคล้องกับ PDPA อย่างครบวงจร

ฐานกฎหมาย PDPA ที่ HR ต้องเข้าใจ

หลายคนเข้าใจผิดว่า PDPA กำหนดให้ต้อง ขอความยินยอม (consent) ทุกครั้งที่เก็บข้อมูลพนักงาน ในความเป็นจริง PDPA กำหนดฐานกฎหมายไว้หลายฐาน และ HR สามารถเลือกใช้ฐานที่เหมาะสมกับแต่ละกรณีได้

1. สัญญาจ้าง — มาตรา 24(3)

การเก็บข้อมูลที่จำเป็นต่อการปฏิบัติตามสัญญาจ้างงาน เช่น ชื่อ-นามสกุล ที่อยู่ เลขบัญชีธนาคาร สามารถใช้ฐานสัญญาได้โดยไม่ต้องขอ consent แยก เพราะเป็นข้อมูลที่ต้องใช้เพื่อจ่ายเงินเดือนและบริหารสัญญาจ้าง

2. หน้าที่ตามกฎหมาย — มาตรา 24(6)

ข้อมูลบางอย่างที่ HR ต้องเก็บเพราะกฎหมายกำหนด เช่น การหักภาษี ณ ที่จ่าย การนำส่งประกันสังคม การรายงานตามกฎหมายแรงงาน สามารถใช้ฐานหน้าที่ตามกฎหมายได้

3. ประโยชน์อันชอบด้วยกฎหมาย — มาตรา 24(5)

กรณีที่องค์กรมีความจำเป็นต้องประมวลผลข้อมูลเพื่อประโยชน์ที่ชอบด้วยกฎหมาย โดยไม่กระทบสิทธิของพนักงานเกินสมควร เช่น การบันทึก CCTV ในสถานที่ทำงานเพื่อความปลอดภัย การตรวจสอบการใช้งานระบบ IT ขององค์กร

4. ความยินยอม — มาตรา 19

ใช้เฉพาะกรณีที่ไม่สามารถใช้ฐานกฎหมายอื่นได้ เช่น การเก็บรูปถ่ายพนักงานเพื่อทำ Company Profile การถ่ายภาพกิจกรรมภายในเพื่อเผยแพร่บน social media ข้อสำคัญคือ consent ต้องให้โดยอิสระ พนักงานต้องสามารถปฏิเสธได้โดยไม่ส่งผลกระทบต่อการจ้างงาน

ฐานกฎหมาย ตัวอย่างการใช้งานของ HR ข้อควรระวัง
สัญญา (ม.24(3)) เก็บข้อมูลเพื่อจ่ายเงินเดือน, จัดสวัสดิการ ต้องเก็บเฉพาะที่จำเป็นต่อสัญญาเท่านั้น
หน้าที่ตามกฎหมาย (ม.24(6)) หักภาษี, นำส่งประกันสังคม ต้องอ้างอิงกฎหมายเฉพาะที่กำหนดให้เก็บ
ประโยชน์อันชอบธรรม (ม.24(5)) CCTV, ตรวจสอบระบบ IT ต้องทำ Balancing Test ชั่งน้ำหนักกับสิทธิพนักงาน
ความยินยอม (ม.19) ถ่ายรูปลง social media ต้องให้โดยอิสระ ถอนได้ตลอดเวลา

Employee Data Lifecycle: 5 ขั้นตอนที่ HR ต้องจัดการ

การจัดการข้อมูลพนักงานตาม PDPA ไม่ได้เริ่มต้นเมื่อพนักงานเข้าทำงาน แต่เริ่มตั้งแต่ วันที่เปิดรับสมัคร และไม่ได้สิ้นสุดเมื่อพนักงานลาออก แต่ยังต้องเก็บรักษาต่อไปตามที่กฎหมายกำหนด

ขั้นที่ 1: ขั้นสมัครงาน (Recruitment)

  • เก็บข้อมูลเท่าที่จำเป็น ต่อการพิจารณาคัดเลือก อย่าถามข้อมูลที่ไม่เกี่ยวข้องกับตำแหน่งงาน เช่น สถานภาพสมรส ศาสนา หรือแผนการมีบุตร
  • แจ้ง Privacy Notice สำหรับผู้สมัครงาน ก่อนเก็บข้อมูล ระบุวัตถุประสงค์ ระยะเวลาจัดเก็บ และสิทธิของเจ้าของข้อมูลอย่างชัดเจน
  • ลบข้อมูลผู้สมัครที่ไม่ผ่านการคัดเลือกภายใน 6 เดือน หากต้องการเก็บไว้ในฐานข้อมูลผู้สมัครงาน (Talent Pool) ต้องขอ consent เพิ่มเติมพร้อมระบุระยะเวลาที่ชัดเจน
  • อย่าส่งต่อ resume ให้หน่วยงานอื่นโดยไม่แจ้งผู้สมัคร หากต้องการส่งให้บริษัทในเครือพิจารณา ต้องระบุไว้ใน Privacy Notice หรือขอ consent แยก

ขั้นที่ 2: ขั้นจ้างงาน (Onboarding)

  • จัดทำ Privacy Notice สำหรับพนักงาน ที่แยกจาก Privacy Notice ของผู้สมัครงาน โดยระบุข้อมูลที่จัดเก็บ วัตถุประสงค์ ฐานกฎหมาย ผู้รับข้อมูล ระยะเวลาจัดเก็บ และสิทธิของพนักงาน
  • ระบุวัตถุประสงค์ให้ชัดเจนและเฉพาะเจาะจง ห้ามใช้ข้อความกว้าง เช่น "เพื่อวัตถุประสงค์ทั่วไปของบริษัท"
  • จัดทำ Consent Form แยกต่างหาก สำหรับข้อมูลที่ต้องใช้ฐานความยินยอม อย่ารวมไว้ในสัญญาจ้างงาน
  • เก็บสำเนาบัตรประชาชนเท่าที่จำเป็น และขีดคร่อมระบุวัตถุประสงค์บนสำเนา

ขั้นที่ 3: ระหว่างจ้างงาน (During Employment)

  • ข้อมูลสุขภาพ ศาสนา และข้อมูลชีวภาพ ถือเป็น Sensitive Data ตามมาตรา 26 ต้องขอ consent โดยชัดแจ้ง (explicit consent) แยกจาก consent ทั่วไป
  • จำกัดการเข้าถึงข้อมูลตามหลัก Need-to-Know ไม่ใช่ทุกคนใน HR ที่ต้องเห็นข้อมูลเงินเดือนหรือผลตรวจสุขภาพ
  • บันทึกกิจกรรมการประมวลผลข้อมูล (ROPA) ตามมาตรา 39 เพื่อแสดงให้เห็นว่าองค์กรปฏิบัติตาม PDPA
  • ทบทวนข้อมูลเป็นระยะ ลบข้อมูลที่หมดความจำเป็น เช่น ใบรับรองแพทย์ลาป่วยที่ผ่านมาหลายปีแล้ว

ขั้นที่ 4: ขั้นลาออกหรือเลิกจ้าง (Offboarding)

  • ลบหรือทำลายข้อมูลที่ไม่จำเป็นต้องเก็บ ภายในระยะเวลาที่กำหนด
  • ยกเลิกสิทธิ์การเข้าถึงระบบทั้งหมด ของพนักงานที่พ้นสภาพ
  • เก็บรักษาเฉพาะข้อมูลที่กฎหมายกำหนด ให้ต้องเก็บ พร้อมระบุเหตุผลและระยะเวลาที่ชัดเจน
  • แจ้งพนักงานที่ลาออก ว่าข้อมูลใดจะถูกเก็บต่อ ด้วยเหตุผลอะไร และนานเท่าใด

ขั้นที่ 5: การเก็บรักษาหลังสิ้นสุดสัญญา (Post-Employment Retention)

กฎหมายหลายฉบับกำหนดระยะเวลาเก็บรักษาข้อมูลที่แตกต่างกัน HR ต้องจัดทำ Retention Schedule ที่สอดคล้องกับกฎหมายที่เกี่ยวข้อง

ประเภทข้อมูล กฎหมายที่เกี่ยวข้อง ระยะเวลาเก็บรักษา
ทะเบียนลูกจ้าง พ.ร.บ.คุ้มครองแรงงาน 2 ปี หลังสิ้นสุดการจ้าง
เอกสารเกี่ยวกับค่าจ้าง พ.ร.บ.คุ้มครองแรงงาน 2 ปี หลังสิ้นสุดการจ้าง
เอกสารหักภาษี ณ ที่จ่าย ประมวลรัษฎากร 5 ปี นับจากวันยื่นแบบ
เอกสารประกันสังคม พ.ร.บ.ประกันสังคม 5 ปี
สิทธิเรียกร้องตามกฎหมายแพ่ง ประมวลกฎหมายแพ่งและพาณิชย์ 10 ปี (อายุความทั่วไป)
เอกสารเกี่ยวกับอุบัติเหตุจากการทำงาน พ.ร.บ.เงินทดแทน 10 ปี

เมื่อครบกำหนดระยะเวลาเก็บรักษา ต้องทำลายข้อมูลอย่างปลอดภัย ไม่ว่าจะเป็นเอกสารกระดาษ (shredding) หรือไฟล์ดิจิทัล (secure deletion)

ข้อมูล Sensitive Data ที่ HR มักละเลย

ตามมาตรา 26 ของ PDPA ข้อมูลอ่อนไหว (Sensitive Data) ต้องได้รับการคุ้มครองในระดับที่สูงกว่าข้อมูลส่วนบุคคลทั่วไป ต่อไปนี้คือ Sensitive Data ที่ HR มักจัดเก็บโดยไม่ตระหนักว่าต้องปฏิบัติตามเงื่อนไขพิเศษ

  • ประวัติอาชญากรรม — การตรวจสอบประวัติอาชญากรรมก่อนจ้างงานต้องมีฐานกฎหมายรองรับ ไม่ใช่ทุกตำแหน่งที่จำเป็นต้องตรวจ ควรจำกัดเฉพาะตำแหน่งที่มีความจำเป็นจริง เช่น ตำแหน่งที่เกี่ยวข้องกับการเงินหรือความปลอดภัย
  • ผลตรวจสุขภาพ — ใบรับรองแพทย์ที่แสดงผลตรวจโดยละเอียดถือเป็น Sensitive Data ควรเก็บเฉพาะผลสรุปว่าผ่านหรือไม่ผ่าน ไม่จำเป็นต้องเก็บรายละเอียดทางการแพทย์ทั้งหมด
  • ศาสนา — หลายองค์กรเก็บข้อมูลศาสนาในแบบฟอร์มรับสมัครงานโดยไม่จำเป็น หากไม่ได้ใช้เพื่อจัดวันหยุดตามศาสนาหรือสวัสดิการเฉพาะ ก็ไม่ควรเก็บ
  • ข้อมูลชีวภาพ (Biometric Data) — ลายนิ้วมือหรือการสแกนใบหน้าเพื่อบันทึกเวลาเข้า-ออกงาน ถือเป็น Sensitive Data ตามมาตรา 26 ต้องขอ explicit consent และต้องจัดให้มีทางเลือกอื่น เช่น บัตรพนักงาน สำหรับผู้ที่ไม่ยินยอม
  • ข้อมูลสหภาพแรงงาน — การเป็นสมาชิกสหภาพแรงงานเป็น Sensitive Data ที่ห้ามนำมาใช้ในการตัดสินใจเรื่องการจ้างงาน เลื่อนตำแหน่ง หรือเลิกจ้าง
  • ผลตรวจสารเสพติด — บางตำแหน่งอาจมีความจำเป็นต้องตรวจ แต่ผลตรวจถือเป็นข้อมูลสุขภาพ ต้องจัดการด้วยความระมัดระวังเป็นพิเศษ และจำกัดการเข้าถึงเฉพาะผู้ที่มีอำนาจตัดสินใจเท่านั้น

สิ่งที่ HR ต้องทำสำหรับ Sensitive Data ทุกประเภทคือ ขอ explicit consent แยกต่างหากจากแต่ละรายการ ระบุวัตถุประสงค์อย่างชัดเจน และจัดให้มีทางเลือกอื่นสำหรับพนักงานที่ไม่ยินยอม

10 ข้อผิดพลาดที่พบบ่อยในการจัดการข้อมูลพนักงาน

1. เก็บสำเนาบัตรประชาชนตลอดไป — ไม่กำหนด Retention Period และไม่ทำลายเมื่อหมดความจำเป็น

2. ส่งข้อมูลเงินเดือนผ่าน email โดยไม่เข้ารหัส — สลิปเงินเดือนที่ส่งเป็นไฟล์แนบธรรมดาอาจถูกดักอ่านได้ ควรใช้ระบบที่มีการเข้ารหัสหรือให้พนักงานเข้าถึงผ่านระบบ HR ที่มี authentication

3. ให้ vendor เข้าถึงข้อมูลพนักงานโดยไม่มี DPA — ผู้ให้บริการ payroll, ระบบ HR, หรือบริษัทตรวจสุขภาพ ล้วนเป็น Data Processor ต้องทำ Data Processing Agreement (DPA) ตามมาตรา 40

4. ใช้ consent เป็นฐานกฎหมายสำหรับทุกกรณี — การบังคับให้พนักงานลงนาม consent ในทุกเรื่อง ทำให้ consent ไม่ได้ให้โดยอิสระ และอาจถือว่าไม่สมบูรณ์ตามกฎหมาย

5. ไม่มี Privacy Notice สำหรับพนักงาน — หลายองค์กรมี Privacy Policy สำหรับลูกค้า แต่ลืมจัดทำ Privacy Notice สำหรับพนักงาน ซึ่งเป็นข้อบังคับตามมาตรา 23

6. เก็บข้อมูลเกินความจำเป็น — ถามข้อมูลที่ไม่เกี่ยวข้องกับงานในแบบฟอร์มรับสมัคร เช่น ชื่อ-อาชีพของพ่อแม่ สำหรับตำแหน่งที่ไม่ต้องตรวจสอบ

7. ไม่จำกัดสิทธิ์การเข้าถึงข้อมูล — พนักงาน HR ทุกคนเข้าถึงข้อมูลทั้งหมดได้ รวมถึงข้อมูลเงินเดือนและผลตรวจสุขภาพ ควรจัดระบบ Role-Based Access Control

8. ไม่มีกระบวนการรับมือคำขอใช้สิทธิ — เมื่อพนักงานร้องขอเข้าถึง แก้ไข หรือลบข้อมูล HR ไม่มีขั้นตอนปฏิบัติที่ชัดเจนและไม่สามารถดำเนินการได้ภายใน 30 วันตามที่กฎหมายกำหนด

9. โอนข้อมูลไปต่างประเทศโดยไม่มีมาตรการคุ้มครอง — การใช้ระบบ HR แบบ cloud ที่เซิร์ฟเวอร์อยู่ต่างประเทศ ถือเป็นการโอนข้อมูลข้ามแดน ต้องมั่นใจว่าประเทศปลายทางมีมาตรฐานคุ้มครองข้อมูลที่เพียงพอ หรือจัดให้มีมาตรการคุ้มครองที่เหมาะสมตามมาตรา 28

10. ไม่ฝึกอบรมพนักงาน HR — ทีม HR ที่จัดการข้อมูลโดยไม่เข้าใจ PDPA เป็นความเสี่ยงสูงสุดขององค์กร การอบรมควรทำอย่างน้อยปีละ 1 ครั้ง

Checklist สำหรับ HR: 8 ข้อที่ต้องทำ

เพื่อให้แน่ใจว่าองค์กรของคุณจัดการข้อมูลพนักงานสอดคล้องกับ PDPA ให้ตรวจสอบรายการต่อไปนี้

  • จัดทำ Privacy Notice สำหรับพนักงาน ที่ระบุข้อมูลที่จัดเก็บ วัตถุประสงค์ ฐานกฎหมาย ระยะเวลาจัดเก็บ และสิทธิของพนักงานอย่างครบถ้วน
  • จัดทำ Data Inventory และ ROPA สำรวจข้อมูลพนักงานทั้งหมดที่จัดเก็บ ระบุฐานกฎหมาย วัตถุประสงค์ และผู้รับข้อมูลสำหรับแต่ละรายการ
  • จัดทำ Consent Form แยกต่างหาก สำหรับข้อมูลที่ต้องใช้ฐานความยินยอม โดยเฉพาะ Sensitive Data เช่น ข้อมูลชีวภาพ ผลตรวจสุขภาพ ประวัติอาชญากรรม
  • กำหนด Retention Schedule ระบุระยะเวลาจัดเก็บข้อมูลแต่ละประเภทตามกฎหมายที่เกี่ยวข้อง พร้อมกระบวนการทำลายข้อมูลเมื่อครบกำหนด
  • จัดทำ DPA กับ vendor ทุกราย ที่เข้าถึงข้อมูลพนักงาน ไม่ว่าจะเป็นผู้ให้บริการ payroll ระบบ HR cloud ที่ปรึกษาด้านภาษี หรือบริษัทตรวจสุขภาพ
  • จัดระบบ Access Control กำหนดสิทธิ์การเข้าถึงข้อมูลตามบทบาทหน้าที่ จำกัดการเข้าถึง Sensitive Data เฉพาะผู้ที่มีความจำเป็น
  • จัดทำกระบวนการรับมือคำขอใช้สิทธิ กำหนดขั้นตอน ผู้รับผิดชอบ และ SLA ในการตอบคำขอของพนักงาน ให้สามารถดำเนินการได้ภายใน 30 วัน
  • จัดอบรม PDPA ให้ทีม HR อย่างน้อยปีละ 1 ครั้ง ครอบคลุมฐานกฎหมาย สิทธิเจ้าของข้อมูล การจัดการ Data Breach และ Best Practice ในการจัดการข้อมูลพนักงาน

แนวทางการจัดการ Data Breach ที่เกี่ยวกับข้อมูลพนักงาน

เหตุการณ์ Data Breach ที่เกี่ยวกับข้อมูลพนักงานอาจเกิดขึ้นได้หลายรูปแบบ เช่น อีเมลที่มีข้อมูลเงินเดือนถูกส่งผิดคน ระบบ HR ถูกแฮก หรือเอกสารกระดาษที่มีข้อมูลพนักงานสูญหาย HR ต้องเตรียมพร้อมรับมือดังนี้

  • แจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 72 ชั่วโมง นับแต่ทราบเหตุ ตามมาตรา 37(4)
  • แจ้งพนักงานที่ได้รับผลกระทบ โดยไม่ชักช้า หากการละเมิดมีความเสี่ยงสูงที่จะกระทบสิทธิเสรีภาพ
  • บันทึกเหตุการณ์ รายละเอียดของ Breach มาตรการแก้ไข และแนวทางป้องกันไม่ให้เกิดซ้ำ
  • ทบทวนมาตรการรักษาความปลอดภัย หลังเกิดเหตุทุกครั้ง เพื่อปิดช่องโหว่ที่พบ

การมีแผนรับมือ Data Breach (Incident Response Plan) ที่ชัดเจนจะช่วยให้องค์กรตอบสนองได้อย่างรวดเร็วและลดความเสียหายที่อาจเกิดขึ้น

สรุป

ฝ่าย HR เป็นหน่วยงานที่มีบทบาทสำคัญที่สุดในการปฏิบัติตาม PDPA ขององค์กร เพราะเป็นผู้จัดเก็บและประมวลผลข้อมูลส่วนบุคคลของพนักงานทุกคนตลอดวงจรชีวิตการจ้างงาน การจัดการที่ถูกต้องไม่เพียงช่วยให้องค์กรหลีกเลี่ยงบทลงโทษตาม PDPA ซึ่งมีโทษปรับสูงสุด 5 ล้านบาท แต่ยังสร้างความเชื่อมั่นให้กับพนักงานว่าข้อมูลของพวกเขาได้รับการดูแลอย่างเหมาะสม

หากต้องการประเมินความพร้อมขององค์กรในการปฏิบัติตาม PDPA สามารถใช้ แบบประเมิน PDPA Compliance ของเราเป็นจุดเริ่มต้น หรือศึกษาระบบ PrivacyHub ที่ช่วยให้องค์กรจัดการ consent, ROPA, Data Breach และคำขอใช้สิทธิได้ในแพลตฟอร์มเดียว

สำหรับองค์กรที่ต้องการคำปรึกษาเฉพาะทาง สามารถ ติดต่อ Enersys เพื่อพูดคุยกับทีมผู้เชี่ยวชาญด้าน PDPA ของเราได้โดยตรง

ลิงก์ที่เกี่ยวข้อง

PrivacyHub

Privacy Governance Platform สำหรับองค์กรไทย

PDPA Compliance Assessment

ประเมิน PDPA Compliance Score ฟรี

ติดต่อปรึกษา PDPA

พูดคุยกับผู้เชี่ยวชาญ

Back to Insights

Related Articles

Colorado AI Act — กฎหมาย AI ฉบับแรกของสหรัฐฯ ที่บังคับตรวจสอบ Algorithmic Discrimination มีผล มิ.ย. 2026

Colorado เป็นรัฐแรกของสหรัฐฯ ที่ออกกฎหมาย AI ครอบคลุม บังคับให้ผู้พัฒนาและผู้ใช้ AI ประเมินความเสี่ยงด้าน algorithmic discrimination — มีผลบังคับใช้ 30 มิถุนายน 2026

Data Governance 101 — วางรากฐานข้อมูลให้พร้อมสำหรับทั้ง PDPA และ AI

แนวทางวาง Data Governance สำหรับองค์กรไทย ที่ตอบโจทย์ทั้งการปฏิบัติตาม PDPA และการเตรียมข้อมูลให้พร้อมสำหรับ AI — เพราะข้อมูลที่ดีคือรากฐานของทั้งสองอย่าง

Cross-Border Data Transfer ตาม PDPA — สิ่งที่ต้องรู้ก่อนส่งข้อมูลออกนอกประเทศ

สรุปข้อกำหนด PDPA มาตรา 28-29 เรื่องการโอนข้อมูลข้ามพรมแดน พร้อม checklist ปฏิบัติจริงสำหรับองค์กรที่ใช้ Cloud และ SaaS ต่างประเทศ

"Empowering Innovation,
Transforming Futures."

Contact us to make your project a reality.