ฝ่าย HR ของ SME เก็บข้อมูลพนักงานตั้งแต่วันสมัครงานจนถึงวันลาออก ทั้งประวัติส่วนตัว เงินเดือน ผลประเมินงาน และบางครั้งรวมถึงข้อมูลสุขภาพจากใบรับรองแพทย์ ซึ่งข้อมูลเหล่านี้อยู่ภายใต้ PDPA แต่ข่าวดีคือกฎหมายแรงงานหลายฉบับเปิดช่องให้นายจ้างเก็บข้อมูลบางส่วนได้โดยไม่ต้องขอความยินยอมทุกครั้ง บทความนี้สรุปเช็คลิสต์ที่ฝ่าย HR ควรทำให้ถูกต้อง
ฝ่าย HR ของ SME เก็บข้อมูลพนักงานตั้งแต่วันสมัครงานจนถึงวันลาออก ทั้งประวัติส่วนตัว เงินเดือน ผลประเมินงาน และบางครั้งรวมถึงข้อมูลสุขภาพจากใบรับรองแพทย์ ซึ่งข้อมูลเหล่านี้อยู่ภายใต้ PDPA แต่ข่าวดีคือกฎหมายแรงงานหลายฉบับเปิดช่องให้นายจ้างเก็บข้อมูลบางส่วนได้โดยไม่ต้องขอความยินยอมทุกครั้ง บทความนี้สรุปเช็คลิสต์ที่ฝ่าย HR ควรทำให้ถูกต้อง
ข้อมูลพนักงานที่เก็บได้โดยไม่ต้องขอความยินยอม
หลักการสำคัญของ PDPA คือการเก็บข้อมูลไม่จำเป็นต้องขอความยินยอมเสมอไป หากมีฐานทางกฎหมายอื่นรองรับ เช่น การปฏิบัติตามสัญญา (นายจ้าง-ลูกจ้าง) หรือการปฏิบัติตามกฎหมาย (เช่น กฎหมายแรงงาน กฎหมายประกันสังคม กฎหมายภาษี) ดังนั้นข้อมูลพื้นฐานที่จำเป็นต่อการจ้างงาน เช่น ชื่อ-นามสกุล เลขบัตรประชาชน ที่อยู่ เงินเดือน ข้อมูลบัญชีธนาคารสำหรับโอนเงินเดือน และข้อมูลที่ต้องนำส่งประกันสังคมหรือกรมสรรพากร ฝ่าย HR สามารถเก็บและใช้ได้โดยอาศัยฐานสัญญาจ้างงานและฐานปฏิบัติตามกฎหมาย โดยไม่ต้องให้พนักงานเซ็นแบบฟอร์มยินยอมแยกต่างหากสำหรับข้อมูลกลุ่มนี้
ข้อมูลอ่อนไหวที่ต้องขอความยินยอมชัดแจ้งเพิ่มเติม
อย่างไรก็ตาม ข้อมูลบางประเภทที่ฝ่าย HR อาจได้รับระหว่างการทำงาน เช่น ใบรับรองแพทย์ที่ระบุการวินิจฉัยโรค ข้อมูลศาสนาที่ใช้ประกอบการจัดวันหยุด ประวัติอาชญากรรมที่ขอตรวจสอบก่อนรับเข้าทำงานบางตำแหน่ง หรือข้อมูลสุขภาพจากการตรวจร่างกายประจำปี ล้วนจัดเป็นข้อมูลอ่อนไหวตาม PDPA ที่ต้องขอความยินยอมโดยชัดแจ้งจากพนักงานก่อนเก็บและใช้ แม้จะเป็นข้อมูลที่เกี่ยวข้องกับการทำงานก็ตาม ฝ่าย HR ควรแยกแบบฟอร์มยินยอมสำหรับข้อมูลกลุ่มนี้ออกจากเอกสารสัญญาจ้างงานทั่วไป
| ประเภทข้อมูล | ฐานทางกฎหมายที่ใช้ได้ | ต้องขอความยินยอมหรือไม่ |
|---|---|---|
| ชื่อ เลขบัตรประชาชน ที่อยู่ เงินเดือน | ฐานสัญญาจ้างงาน/ฐานปฏิบัติตามกฎหมาย | ไม่จำเป็นต้องขอเพิ่ม |
| ข้อมูลนำส่งประกันสังคม/ภาษี | ฐานปฏิบัติตามกฎหมาย | ไม่จำเป็นต้องขอเพิ่ม |
| ใบรับรองแพทย์ระบุการวินิจฉัย | ข้อมูลอ่อนไหว | ต้องขอความยินยอมชัดแจ้ง |
| ประวัติอาชญากรรม (บางตำแหน่ง) | ข้อมูลอ่อนไหว | ต้องขอความยินยอมชัดแจ้ง |
| รูปถ่ายพนักงานใช้ในสื่อประชาสัมพันธ์บริษัท | ไม่ใช่ข้อมูลจำเป็นต่อสัญญาจ้าง | ต้องขอความยินยอมแยกต่างหาก |
กล้องวงจรปิดในที่ทำงานกับ PDPA
SME จำนวนมากติดกล้องวงจรปิดในสำนักงานหรือโรงงานเพื่อความปลอดภัย ซึ่งภาพที่บันทึกพนักงานถือเป็นข้อมูลส่วนบุคคลเช่นกัน แม้ไม่จำเป็นต้องขอความยินยอมจากพนักงานทุกคนหากติดตั้งเพื่อวัตถุประสงค์ด้านความปลอดภัยที่ชอบด้วยกฎหมาย (Legitimate Interest) แต่นายจ้างต้องติดป้ายแจ้งให้ทราบอย่างชัดเจนว่ามีการบันทึกภาพ ระบุวัตถุประสงค์การใช้กล้องวงจรปิด และกำหนดระยะเวลาการเก็บรักษาภาพที่เหมาะสม ไม่เก็บไว้นานเกินความจำเป็น
การตรวจสอบประวัติก่อนรับเข้าทำงาน (Background Check)
บางตำแหน่งที่ต้องดูแลเงินหรือทรัพย์สินสำคัญ นายจ้างอาจต้องการตรวจสอบประวัติอาชญากรรมหรือประวัติเครดิตของผู้สมัครงานก่อนรับเข้าทำงาน กรณีนี้ต้องขอความยินยอมจากผู้สมัครงานอย่างชัดเจนก่อนดำเนินการตรวจสอบทุกครั้ง และต้องแจ้งวัตถุประสงค์ให้ผู้สมัครทราบว่านำข้อมูลไปใช้ประกอบการพิจารณาอย่างไร ฝ่าย HR ไม่ควรตรวจสอบประวัติโดยไม่แจ้งหรือขอความยินยอมล่วงหน้า เพราะถือเป็นการเก็บข้อมูลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย
การเก็บข้อมูลหลังพนักงานลาออก
ฝ่าย HR ควรกำหนดนโยบายเก็บรักษาข้อมูลพนักงานหลังลาออกให้ชัดเจน โดยข้อมูลบางส่วนอาจต้องเก็บไว้ตามระยะเวลาที่กฎหมายแรงงานหรือกฎหมายภาษีกำหนด เช่น เอกสารเงินเดือนที่เกี่ยวข้องกับการยื่นภาษี ขณะที่ข้อมูลอื่นที่ไม่มีความจำเป็นต้องเก็บตามกฎหมายควรมีกำหนดระยะเวลาลบข้อมูลที่ชัดเจน ไม่เก็บไว้ตลอดไปโดยไม่มีเหตุผล ทั้งนี้ระยะเวลาที่เหมาะสมควรปรึกษาผู้เชี่ยวชาญด้านกฎหมายแรงงานและ PDPA ประกอบกัน เนื่องจากแต่ละประเภทเอกสารมีข้อกำหนดต่างกัน
การส่งข้อมูลพนักงานให้บุคคลที่สาม
SME จำนวนมากใช้บริการภายนอกที่เกี่ยวข้องกับข้อมูลพนักงาน เช่น สำนักงานบัญชีที่คำนวณเงินเดือนและนำส่งประกันสังคม บริษัทประกันกลุ่มที่ดูแลสวัสดิการพนักงาน หรือผู้ให้บริการระบบ HR ออนไลน์ กรณีเหล่านี้ฝ่าย HR ในฐานะตัวแทนของบริษัทซึ่งเป็นผู้ควบคุมข้อมูลต้องมีข้อตกลงหรือสัญญาที่ระบุขอบเขตการประมวลผลข้อมูลของผู้ให้บริการภายนอกให้ชัดเจน ครอบคลุมมาตรการรักษาความปลอดภัยของข้อมูลและข้อห้ามนำข้อมูลไปใช้นอกเหนือวัตถุประสงค์ที่ตกลงกันไว้ และควรแจ้งให้พนักงานทราบในนโยบายความเป็นส่วนตัวว่าข้อมูลของตนอาจถูกส่งต่อให้หน่วยงานภายนอกเหล่านี้เพื่อดำเนินการเฉพาะด้าน
| สถานการณ์ | สิ่งที่ฝ่าย HR ควรทำ |
|---|---|
| ส่งข้อมูลเงินเดือนให้สำนักงานบัญชีภายนอก | ทำข้อตกลงประมวลผลข้อมูลระบุขอบเขตและมาตรการความปลอดภัย |
| ใช้ระบบ HR ออนไลน์บันทึกข้อมูลพนักงาน | ตรวจสอบนโยบายความปลอดภัยของผู้ให้บริการซอฟต์แวร์ |
| ส่งข้อมูลให้บริษัทประกันกลุ่ม | แจ้งพนักงานล่วงหน้าในนโยบายความเป็นส่วนตัวขององค์กร |
| หน่วยงานราชการขอข้อมูลตามกฎหมาย | ตรวจสอบอำนาจตามกฎหมายก่อนเปิดเผยข้อมูลทุกครั้ง |
ข้อผิดพลาดที่พบบ่อย
- ให้พนักงานเซ็นแบบฟอร์มยินยอมข้อมูลทุกประเภทรวมกัน ทั้งที่ข้อมูลพื้นฐานส่วนใหญ่ไม่จำเป็นต้องขอความยินยอมแยก
- เก็บใบรับรองแพทย์หรือข้อมูลสุขภาพโดยไม่ขอความยินยอมชัดแจ้งเพิ่มเติม
- ตรวจสอบประวัติอาชญากรรมผู้สมัครงานโดยไม่แจ้งหรือขอความยินยอมล่วงหน้า
- ติดกล้องวงจรปิดโดยไม่ติดป้ายแจ้งวัตถุประสงค์และระยะเวลาเก็บภาพ
- ไม่มีนโยบายลบข้อมูลพนักงานที่ลาออกไปแล้วนานเกินความจำเป็น
คำแนะนำเชิงปฏิบัติ
ฝ่าย HR ควรจัดทำบัญชีรายการข้อมูลพนักงานที่เก็บอยู่ทั้งหมด (Data Inventory) แยกว่าข้อมูลใดใช้ฐานสัญญาจ้างงานหรือฐานกฎหมายได้เลย และข้อมูลใดต้องขอความยินยอมชัดแจ้งเพิ่มเติม พร้อมจัดทำนโยบายความเป็นส่วนตัวสำหรับพนักงาน (Employee Privacy Policy) และปรึกษาผู้เชี่ยวชาญด้าน PDPA เพื่อออกแบบเอกสารและกระบวนการให้ครบถ้วนตั้งแต่ขั้นตอนรับสมัครงานจนถึงหลังพ้นสภาพพนักงาน
ใช้บทความนี้กับธุรกิจของคุณอย่างไร
เนื้อหาเรื่อง PDPA ฝ่าย HR: เก็บข้อมูลพนักงานอย่างไรให้ถูกกฎหมาย ควรนำไปใช้ตรวจสอบกับเอกสารและตัวเลขจริงของกิจการ ไม่ใช่อ่านเพื่อจำคำศัพท์ เพราะแนวทางบัญชีและภาษีขึ้นกับข้อเท็จจริง เอกสาร และรอบเวลาที่เกิดรายการของแต่ละธุรกิจ
เช็กลิสต์ก่อนนำไปใช้
- รวบรวมเอกสารรายรับ รายจ่าย ภาษีซื้อ-ขาย และรายการธนาคารให้ครบตามรอบเดือน
- ตรวจว่าธุรกรรมที่เกี่ยวข้องบันทึกบัญชีถูกต้องและมีหลักฐานรองรับครบถ้วน
- หากไม่แน่ใจเรื่องภาษี ควรปรึกษาผู้ทำบัญชีหรือที่ปรึกษาภาษีก่อนตัดสินใจ
แหล่งอ้างอิงที่ใช้ทบทวน
คำถามที่พบบ่อย (FAQ)
ต้องขอความยินยอมพนักงานทุกครั้งที่เก็บข้อมูลหรือไม่
ไม่จำเป็นเสมอไป ข้อมูลที่จำเป็นต่อสัญญาจ้างงานหรือการปฏิบัติตามกฎหมาย เช่น เงินเดือน ข้อมูลประกันสังคม เก็บได้โดยอาศัยฐานสัญญาและฐานกฎหมาย ไม่ต้องขอความยินยอมแยก
ใบรับรองแพทย์ของพนักงานต้องขอความยินยอมหรือไม่
ต้องขอ เพราะข้อมูลสุขภาพและการวินิจฉัยโรคจัดเป็นข้อมูลอ่อนไหว ต้องขอความยินยอมโดยชัดแจ้งแยกจากเอกสารสัญญาจ้างงานทั่วไป
ติดกล้องวงจรปิดในที่ทำงานต้องขอความยินยอมพนักงานหรือไม่
โดยทั่วไปไม่จำเป็นหากติดตั้งเพื่อความปลอดภัยที่ชอบด้วยกฎหมาย แต่ต้องติดป้ายแจ้งวัตถุประสงค์และระยะเวลาการเก็บภาพให้ชัดเจน
ตรวจสอบประวัติอาชญากรรมผู้สมัครงานทำได้หรือไม่
ทำได้แต่ต้องขอความยินยอมจากผู้สมัครงานอย่างชัดเจนก่อน และแจ้งวัตถุประสงค์การนำข้อมูลไปใช้ประกอบการพิจารณา
ข้อมูลพนักงานที่ลาออกแล้วต้องลบทันทีหรือไม่
ไม่ต้องลบทันที บางส่วนต้องเก็บตามระยะเวลาที่กฎหมายแรงงานหรือภาษีกำหนด ส่วนที่ไม่จำเป็นควรมีนโยบายกำหนดระยะเวลาลบที่ชัดเจน
รูปถ่ายพนักงานใช้ในสื่อประชาสัมพันธ์บริษัทต้องขอความยินยอมหรือไม่
ต้องขอ เพราะไม่ใช่ข้อมูลที่จำเป็นต่อสัญญาจ้างงาน ควรมีแบบฟอร์มยินยอมแยกต่างหากให้พนักงานเลือกยินยอมหรือปฏิเสธได้
ฝ่าย HR ควรเริ่มทำอะไรก่อนเพื่อให้สอดคล้องกับ PDPA
ควรจัดทำบัญชีรายการข้อมูลพนักงานทั้งหมด แยกฐานทางกฎหมายของแต่ละประเภทข้อมูล และปรึกษาผู้เชี่ยวชาญด้าน PDPA เพื่อออกแบบเอกสารให้ครบถ้วน