ฝ่าย HR ของ SME เก็บข้อมูลพนักงานตั้งแต่วันสมัครงานจนถึงวันลาออก ทั้งประวัติส่วนตัว เงินเดือน ผลประเมินงาน และบางครั้งรวมถึงข้อมูลสุขภาพจากใบรับรองแพทย์ ซึ่งข้อมูลเหล่านี้อยู่ภายใต้ PDPA แต่ข่าวดีคือกฎหมายแรงงานหลายฉบับเปิดช่องให้นายจ้างเก็บข้อมูลบางส่วนได้โดยไม่ต้องขอความยินยอมทุกครั้ง บทความนี้สรุปเช็คลิสต์ที่ฝ่าย HR ควรทำให้ถูกต้อง

ฝ่าย HR ของ SME เก็บข้อมูลพนักงานตั้งแต่วันสมัครงานจนถึงวันลาออก ทั้งประวัติส่วนตัว เงินเดือน ผลประเมินงาน และบางครั้งรวมถึงข้อมูลสุขภาพจากใบรับรองแพทย์ ซึ่งข้อมูลเหล่านี้อยู่ภายใต้ PDPA แต่ข่าวดีคือกฎหมายแรงงานหลายฉบับเปิดช่องให้นายจ้างเก็บข้อมูลบางส่วนได้โดยไม่ต้องขอความยินยอมทุกครั้ง บทความนี้สรุปเช็คลิสต์ที่ฝ่าย HR ควรทำให้ถูกต้อง

ข้อมูลพนักงานที่เก็บได้โดยไม่ต้องขอความยินยอม

หลักการสำคัญของ PDPA คือการเก็บข้อมูลไม่จำเป็นต้องขอความยินยอมเสมอไป หากมีฐานทางกฎหมายอื่นรองรับ เช่น การปฏิบัติตามสัญญา (นายจ้าง-ลูกจ้าง) หรือการปฏิบัติตามกฎหมาย (เช่น กฎหมายแรงงาน กฎหมายประกันสังคม กฎหมายภาษี) ดังนั้นข้อมูลพื้นฐานที่จำเป็นต่อการจ้างงาน เช่น ชื่อ-นามสกุล เลขบัตรประชาชน ที่อยู่ เงินเดือน ข้อมูลบัญชีธนาคารสำหรับโอนเงินเดือน และข้อมูลที่ต้องนำส่งประกันสังคมหรือกรมสรรพากร ฝ่าย HR สามารถเก็บและใช้ได้โดยอาศัยฐานสัญญาจ้างงานและฐานปฏิบัติตามกฎหมาย โดยไม่ต้องให้พนักงานเซ็นแบบฟอร์มยินยอมแยกต่างหากสำหรับข้อมูลกลุ่มนี้

ข้อมูลอ่อนไหวที่ต้องขอความยินยอมชัดแจ้งเพิ่มเติม

อย่างไรก็ตาม ข้อมูลบางประเภทที่ฝ่าย HR อาจได้รับระหว่างการทำงาน เช่น ใบรับรองแพทย์ที่ระบุการวินิจฉัยโรค ข้อมูลศาสนาที่ใช้ประกอบการจัดวันหยุด ประวัติอาชญากรรมที่ขอตรวจสอบก่อนรับเข้าทำงานบางตำแหน่ง หรือข้อมูลสุขภาพจากการตรวจร่างกายประจำปี ล้วนจัดเป็นข้อมูลอ่อนไหวตาม PDPA ที่ต้องขอความยินยอมโดยชัดแจ้งจากพนักงานก่อนเก็บและใช้ แม้จะเป็นข้อมูลที่เกี่ยวข้องกับการทำงานก็ตาม ฝ่าย HR ควรแยกแบบฟอร์มยินยอมสำหรับข้อมูลกลุ่มนี้ออกจากเอกสารสัญญาจ้างงานทั่วไป

ประเภทข้อมูลฐานทางกฎหมายที่ใช้ได้ต้องขอความยินยอมหรือไม่
ชื่อ เลขบัตรประชาชน ที่อยู่ เงินเดือนฐานสัญญาจ้างงาน/ฐานปฏิบัติตามกฎหมายไม่จำเป็นต้องขอเพิ่ม
ข้อมูลนำส่งประกันสังคม/ภาษีฐานปฏิบัติตามกฎหมายไม่จำเป็นต้องขอเพิ่ม
ใบรับรองแพทย์ระบุการวินิจฉัยข้อมูลอ่อนไหวต้องขอความยินยอมชัดแจ้ง
ประวัติอาชญากรรม (บางตำแหน่ง)ข้อมูลอ่อนไหวต้องขอความยินยอมชัดแจ้ง
รูปถ่ายพนักงานใช้ในสื่อประชาสัมพันธ์บริษัทไม่ใช่ข้อมูลจำเป็นต่อสัญญาจ้างต้องขอความยินยอมแยกต่างหาก

กล้องวงจรปิดในที่ทำงานกับ PDPA

SME จำนวนมากติดกล้องวงจรปิดในสำนักงานหรือโรงงานเพื่อความปลอดภัย ซึ่งภาพที่บันทึกพนักงานถือเป็นข้อมูลส่วนบุคคลเช่นกัน แม้ไม่จำเป็นต้องขอความยินยอมจากพนักงานทุกคนหากติดตั้งเพื่อวัตถุประสงค์ด้านความปลอดภัยที่ชอบด้วยกฎหมาย (Legitimate Interest) แต่นายจ้างต้องติดป้ายแจ้งให้ทราบอย่างชัดเจนว่ามีการบันทึกภาพ ระบุวัตถุประสงค์การใช้กล้องวงจรปิด และกำหนดระยะเวลาการเก็บรักษาภาพที่เหมาะสม ไม่เก็บไว้นานเกินความจำเป็น

การตรวจสอบประวัติก่อนรับเข้าทำงาน (Background Check)

บางตำแหน่งที่ต้องดูแลเงินหรือทรัพย์สินสำคัญ นายจ้างอาจต้องการตรวจสอบประวัติอาชญากรรมหรือประวัติเครดิตของผู้สมัครงานก่อนรับเข้าทำงาน กรณีนี้ต้องขอความยินยอมจากผู้สมัครงานอย่างชัดเจนก่อนดำเนินการตรวจสอบทุกครั้ง และต้องแจ้งวัตถุประสงค์ให้ผู้สมัครทราบว่านำข้อมูลไปใช้ประกอบการพิจารณาอย่างไร ฝ่าย HR ไม่ควรตรวจสอบประวัติโดยไม่แจ้งหรือขอความยินยอมล่วงหน้า เพราะถือเป็นการเก็บข้อมูลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย

การเก็บข้อมูลหลังพนักงานลาออก

ฝ่าย HR ควรกำหนดนโยบายเก็บรักษาข้อมูลพนักงานหลังลาออกให้ชัดเจน โดยข้อมูลบางส่วนอาจต้องเก็บไว้ตามระยะเวลาที่กฎหมายแรงงานหรือกฎหมายภาษีกำหนด เช่น เอกสารเงินเดือนที่เกี่ยวข้องกับการยื่นภาษี ขณะที่ข้อมูลอื่นที่ไม่มีความจำเป็นต้องเก็บตามกฎหมายควรมีกำหนดระยะเวลาลบข้อมูลที่ชัดเจน ไม่เก็บไว้ตลอดไปโดยไม่มีเหตุผล ทั้งนี้ระยะเวลาที่เหมาะสมควรปรึกษาผู้เชี่ยวชาญด้านกฎหมายแรงงานและ PDPA ประกอบกัน เนื่องจากแต่ละประเภทเอกสารมีข้อกำหนดต่างกัน

การส่งข้อมูลพนักงานให้บุคคลที่สาม

SME จำนวนมากใช้บริการภายนอกที่เกี่ยวข้องกับข้อมูลพนักงาน เช่น สำนักงานบัญชีที่คำนวณเงินเดือนและนำส่งประกันสังคม บริษัทประกันกลุ่มที่ดูแลสวัสดิการพนักงาน หรือผู้ให้บริการระบบ HR ออนไลน์ กรณีเหล่านี้ฝ่าย HR ในฐานะตัวแทนของบริษัทซึ่งเป็นผู้ควบคุมข้อมูลต้องมีข้อตกลงหรือสัญญาที่ระบุขอบเขตการประมวลผลข้อมูลของผู้ให้บริการภายนอกให้ชัดเจน ครอบคลุมมาตรการรักษาความปลอดภัยของข้อมูลและข้อห้ามนำข้อมูลไปใช้นอกเหนือวัตถุประสงค์ที่ตกลงกันไว้ และควรแจ้งให้พนักงานทราบในนโยบายความเป็นส่วนตัวว่าข้อมูลของตนอาจถูกส่งต่อให้หน่วยงานภายนอกเหล่านี้เพื่อดำเนินการเฉพาะด้าน

สถานการณ์สิ่งที่ฝ่าย HR ควรทำ
ส่งข้อมูลเงินเดือนให้สำนักงานบัญชีภายนอกทำข้อตกลงประมวลผลข้อมูลระบุขอบเขตและมาตรการความปลอดภัย
ใช้ระบบ HR ออนไลน์บันทึกข้อมูลพนักงานตรวจสอบนโยบายความปลอดภัยของผู้ให้บริการซอฟต์แวร์
ส่งข้อมูลให้บริษัทประกันกลุ่มแจ้งพนักงานล่วงหน้าในนโยบายความเป็นส่วนตัวขององค์กร
หน่วยงานราชการขอข้อมูลตามกฎหมายตรวจสอบอำนาจตามกฎหมายก่อนเปิดเผยข้อมูลทุกครั้ง

ข้อผิดพลาดที่พบบ่อย

  • ให้พนักงานเซ็นแบบฟอร์มยินยอมข้อมูลทุกประเภทรวมกัน ทั้งที่ข้อมูลพื้นฐานส่วนใหญ่ไม่จำเป็นต้องขอความยินยอมแยก
  • เก็บใบรับรองแพทย์หรือข้อมูลสุขภาพโดยไม่ขอความยินยอมชัดแจ้งเพิ่มเติม
  • ตรวจสอบประวัติอาชญากรรมผู้สมัครงานโดยไม่แจ้งหรือขอความยินยอมล่วงหน้า
  • ติดกล้องวงจรปิดโดยไม่ติดป้ายแจ้งวัตถุประสงค์และระยะเวลาเก็บภาพ
  • ไม่มีนโยบายลบข้อมูลพนักงานที่ลาออกไปแล้วนานเกินความจำเป็น

คำแนะนำเชิงปฏิบัติ

ฝ่าย HR ควรจัดทำบัญชีรายการข้อมูลพนักงานที่เก็บอยู่ทั้งหมด (Data Inventory) แยกว่าข้อมูลใดใช้ฐานสัญญาจ้างงานหรือฐานกฎหมายได้เลย และข้อมูลใดต้องขอความยินยอมชัดแจ้งเพิ่มเติม พร้อมจัดทำนโยบายความเป็นส่วนตัวสำหรับพนักงาน (Employee Privacy Policy) และปรึกษาผู้เชี่ยวชาญด้าน PDPA เพื่อออกแบบเอกสารและกระบวนการให้ครบถ้วนตั้งแต่ขั้นตอนรับสมัครงานจนถึงหลังพ้นสภาพพนักงาน

ใช้บทความนี้กับธุรกิจของคุณอย่างไร

เนื้อหาเรื่อง PDPA ฝ่าย HR: เก็บข้อมูลพนักงานอย่างไรให้ถูกกฎหมาย ควรนำไปใช้ตรวจสอบกับเอกสารและตัวเลขจริงของกิจการ ไม่ใช่อ่านเพื่อจำคำศัพท์ เพราะแนวทางบัญชีและภาษีขึ้นกับข้อเท็จจริง เอกสาร และรอบเวลาที่เกิดรายการของแต่ละธุรกิจ

เช็กลิสต์ก่อนนำไปใช้

  • รวบรวมเอกสารรายรับ รายจ่าย ภาษีซื้อ-ขาย และรายการธนาคารให้ครบตามรอบเดือน
  • ตรวจว่าธุรกรรมที่เกี่ยวข้องบันทึกบัญชีถูกต้องและมีหลักฐานรองรับครบถ้วน
  • หากไม่แน่ใจเรื่องภาษี ควรปรึกษาผู้ทำบัญชีหรือที่ปรึกษาภาษีก่อนตัดสินใจ

แหล่งอ้างอิงที่ใช้ทบทวน

คำถามที่พบบ่อย (FAQ)

ต้องขอความยินยอมพนักงานทุกครั้งที่เก็บข้อมูลหรือไม่

ไม่จำเป็นเสมอไป ข้อมูลที่จำเป็นต่อสัญญาจ้างงานหรือการปฏิบัติตามกฎหมาย เช่น เงินเดือน ข้อมูลประกันสังคม เก็บได้โดยอาศัยฐานสัญญาและฐานกฎหมาย ไม่ต้องขอความยินยอมแยก

ใบรับรองแพทย์ของพนักงานต้องขอความยินยอมหรือไม่

ต้องขอ เพราะข้อมูลสุขภาพและการวินิจฉัยโรคจัดเป็นข้อมูลอ่อนไหว ต้องขอความยินยอมโดยชัดแจ้งแยกจากเอกสารสัญญาจ้างงานทั่วไป

ติดกล้องวงจรปิดในที่ทำงานต้องขอความยินยอมพนักงานหรือไม่

โดยทั่วไปไม่จำเป็นหากติดตั้งเพื่อความปลอดภัยที่ชอบด้วยกฎหมาย แต่ต้องติดป้ายแจ้งวัตถุประสงค์และระยะเวลาการเก็บภาพให้ชัดเจน

ตรวจสอบประวัติอาชญากรรมผู้สมัครงานทำได้หรือไม่

ทำได้แต่ต้องขอความยินยอมจากผู้สมัครงานอย่างชัดเจนก่อน และแจ้งวัตถุประสงค์การนำข้อมูลไปใช้ประกอบการพิจารณา

ข้อมูลพนักงานที่ลาออกแล้วต้องลบทันทีหรือไม่

ไม่ต้องลบทันที บางส่วนต้องเก็บตามระยะเวลาที่กฎหมายแรงงานหรือภาษีกำหนด ส่วนที่ไม่จำเป็นควรมีนโยบายกำหนดระยะเวลาลบที่ชัดเจน

รูปถ่ายพนักงานใช้ในสื่อประชาสัมพันธ์บริษัทต้องขอความยินยอมหรือไม่

ต้องขอ เพราะไม่ใช่ข้อมูลที่จำเป็นต่อสัญญาจ้างงาน ควรมีแบบฟอร์มยินยอมแยกต่างหากให้พนักงานเลือกยินยอมหรือปฏิเสธได้

ฝ่าย HR ควรเริ่มทำอะไรก่อนเพื่อให้สอดคล้องกับ PDPA

ควรจัดทำบัญชีรายการข้อมูลพนักงานทั้งหมด แยกฐานทางกฎหมายของแต่ละประเภทข้อมูล และปรึกษาผู้เชี่ยวชาญด้าน PDPA เพื่อออกแบบเอกสารให้ครบถ้วน