PDPA กับข้อมูลพนักงาน: คู่มือปฏิบัติสำหรับ HR

PDPA กับข้อมูลพนักงาน คือเรื่องที่ HR ต้องเข้าใจว่าจะเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลของพนักงานอย่างไรให้ถูกต้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หัวใจสำคัญคือเก็บข้อมูลเท่าที่จำเป็น มีวัตถุประสงค์และฐานทางกฎหมายรองรับชัดเจน และดูแลความปลอดภัยของข้อมูลตลอดอายุการใช้งาน

บทความนี้จะพาไปดูว่า PDPA เกี่ยวข้องกับงาน HR ตรงไหน ข้อมูลพนักงานแบบใดที่ต้องระวังเป็นพิเศษ ฐานทางกฎหมายมีอะไรบ้าง สิทธิของพนักงานคืออะไร และมีขั้นตอนปฏิบัติอย่างไรให้องค์กร SME ไทยจัดการข้อมูลพนักงานได้อย่างถูกต้องและทำได้จริง

PDPA กับข้อมูลพนักงานคืออะไร และเกี่ยวข้องกับ HR ตรงไหน

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA เป็นกฎหมายที่กำหนดหลักการในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยมุ่งคุ้มครองสิทธิของเจ้าของข้อมูล ในบริบทของ HR เจ้าของข้อมูลก็คือผู้สมัครงาน พนักงานปัจจุบัน และในบางกรณีรวมถึงอดีตพนักงานด้วย

HR เป็นหน่วยงานที่ถือครองข้อมูลส่วนบุคคลในปริมาณมากและหลากหลายที่สุดในองค์กร ตั้งแต่ข้อมูลพื้นฐานอย่างชื่อ ที่อยู่ เลขบัตรประชาชน ไปจนถึงข้อมูลที่อ่อนไหวกว่า เช่น ผลตรวจสุขภาพ ประวัติการลา ผลประเมิน หรือข้อมูลครอบครัว ด้วยเหตุนี้งาน HR จึงเป็นจุดที่ความเสี่ยงด้านการคุ้มครองข้อมูลกระจุกตัวอยู่มาก

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPA) เป็นหน่วยงานกำกับดูแลที่ออกแนวปฏิบัติและหลักเกณฑ์ที่เกี่ยวข้อง องค์กรจึงควรติดตามแนวทางจากแหล่งทางการเป็นหลัก แทนการอ้างอิงข้อมูลที่ไม่มีที่มาชัดเจน

การจัดการข้อมูลพนักงานให้สอดคล้องกับ PDPA ไม่ได้มีประโยชน์แค่ลดความเสี่ยงด้านกฎหมาย แต่ยังช่วยสร้างความไว้วางใจ เมื่อพนักงานรู้ว่าองค์กรดูแลข้อมูลของเขาอย่างมีระบบและโปร่งใส ความเชื่อมั่นต่อองค์กรก็เพิ่มขึ้นตามไปด้วย

ข้อมูลพนักงานแบบใดที่ต้องระวังเป็นพิเศษ

ไม่ใช่ข้อมูลทุกประเภทที่มีระดับความเสี่ยงเท่ากัน PDPA แบ่งข้อมูลออกเป็นสองกลุ่มหลักที่ HR ควรแยกแยะให้ชัด

ข้อมูลส่วนบุคคลทั่วไป คือข้อมูลที่ระบุตัวบุคคลได้ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล เลขบัญชีเงินเดือน ข้อมูลกลุ่มนี้ต้องดูแลตามหลักการพื้นฐานของ PDPA แต่ไม่ได้มีข้อกำหนดเข้มงวดเท่ากลุ่มถัดไป

ข้อมูลอ่อนไหว (Sensitive Data) คือข้อมูลที่หากรั่วไหลหรือถูกใช้ในทางที่ผิดอาจสร้างผลกระทบรุนแรงต่อเจ้าของข้อมูล ในงาน HR ข้อมูลอ่อนไหวที่พบบ่อย ได้แก่

• ข้อมูลสุขภาพ เช่น ผลตรวจสุขภาพประจำปี ใบรับรองแพทย์ ประวัติการเจ็บป่วย
• ข้อมูลชีวภาพ เช่น ลายนิ้วมือหรือใบหน้าที่ใช้ในระบบสแกนเข้างาน
• ประวัติอาชญากรรม ที่อาจมาจากการตรวจสอบประวัติก่อนจ้าง
• ข้อมูลความเชื่อทางศาสนาหรือข้อมูลสหภาพแรงงาน

การประมวลผลข้อมูลอ่อนไหวต้องใช้ความระมัดระวังสูงกว่าข้อมูลทั่วไป และในหลายกรณีต้องอาศัยความยินยอมที่ชัดเจนจากเจ้าของข้อมูล หรือต้องมีฐานทางกฎหมายเฉพาะรองรับ ดังนั้นก่อนจะติดตั้งระบบสแกนลายนิ้วมือหรือเก็บผลตรวจสุขภาพ องค์กรควรพิจารณาให้รอบคอบว่ามีความจำเป็นและมีฐานรองรับเพียงพอหรือไม่

ต้องขอความยินยอมจากพนักงานทุกครั้งหรือไม่

ความเข้าใจผิดที่พบบ่อยคือคิดว่า PDPA บังคับให้ต้องขอความยินยอมทุกครั้งที่เก็บข้อมูล ความจริงแล้วความยินยอมเป็นเพียงหนึ่งในหลายฐานทางกฎหมายที่ใช้ประมวลผลข้อมูลได้ และในบริบทการจ้างงาน ฐานอื่นมักเหมาะสมกว่า

ฐานทางกฎหมายที่เกี่ยวข้องกับงาน HR มีหลายแบบ ตัวอย่างเช่น

ฐานสัญญา ใช้กับการประมวลผลที่จำเป็นเพื่อปฏิบัติตามสัญญาจ้างงาน เช่น การจ่ายเงินเดือน การจัดสวัสดิการตามข้อตกลง

ฐานการปฏิบัติตามกฎหมาย ใช้กับการประมวลผลที่กฎหมายอื่นกำหนดให้ต้องทำ เช่น การนำส่งข้อมูลให้สำนักงานประกันสังคม หรือการหักภาษี ณ ที่จ่าย

ฐานประโยชน์โดยชอบด้วยกฎหมาย ใช้กับการประมวลผลที่จำเป็นต่อการดำเนินงานขององค์กรโดยไม่กระทบสิทธิของเจ้าของข้อมูลเกินสมควร เช่น การบริหารจัดการภายในบางอย่าง

ฐานความยินยอม ใช้เมื่อไม่มีฐานอื่นรองรับ เช่น การนำภาพถ่ายพนักงานไปใช้ในสื่อประชาสัมพันธ์ หรือการใช้ข้อมูลเพื่อวัตถุประสงค์ที่อยู่นอกเหนือการจ้างงาน

ข้อควรระวังคือในความสัมพันธ์นายจ้างกับลูกจ้าง ความยินยอมอาจถูกตั้งคำถามเรื่องความสมัครใจ เพราะพนักงานอาจรู้สึกว่าปฏิเสธไม่ได้ ด้วยเหตุนี้ในหลายกรณีการเลือกใช้ฐานอื่นที่เหมาะสมกว่าจึงมั่นคงกว่าการพึ่งพาความยินยอมเพียงอย่างเดียว

พนักงานมีสิทธิอะไรบ้างเกี่ยวกับข้อมูลของตน

หลักการสำคัญอย่างหนึ่งของ PDPA คือการให้สิทธิแก่เจ้าของข้อมูลในการควบคุมข้อมูลของตนเอง HR จึงต้องเตรียมกระบวนการรองรับสิทธิเหล่านี้ ตัวอย่างสิทธิที่เกี่ยวข้องกับพนักงาน ได้แก่

• สิทธิขอเข้าถึงข้อมูล พนักงานสามารถขอดูว่าองค์กรเก็บข้อมูลอะไรของเขาบ้าง
• สิทธิขอแก้ไขข้อมูล เมื่อข้อมูลไม่ถูกต้องหรือไม่เป็นปัจจุบัน
• สิทธิขอลบหรือทำลายข้อมูล ในกรณีที่ไม่มีความจำเป็นต้องเก็บอีกต่อไป
• สิทธิคัดค้านการประมวลผล ในบางสถานการณ์
• สิทธิขอให้โอนย้ายข้อมูล ไปยังผู้ควบคุมข้อมูลรายอื่น

การมีกระบวนการรองรับที่ชัดเจน เช่น แบบฟอร์มคำขอ ผู้รับผิดชอบที่กำหนด และกรอบเวลาในการตอบกลับ จะช่วยให้องค์กรจัดการคำขอได้อย่างเป็นระบบและลดความเสี่ยงจากการตอบสนองล่าช้าหรือไม่สม่ำเสมอ สิ่งสำคัญคือต้องสื่อสารช่องทางเหล่านี้ให้พนักงานทราบล่วงหน้า ไม่ใช่รอจนมีคำขอเข้ามาแล้วค่อยหาวิธีจัดการ

PDPA กับข้อมูลพนักงาน HR ต้องทำตามขั้นตอนใดบ้าง

การทำให้การจัดการข้อมูลพนักงานสอดคล้องกับ PDPA สามารถแบ่งเป็น 5 ขั้นตอนหลักที่ทำได้จริงดังนี้

ขั้นที่ 1 — จัดทำบัญชีรายการข้อมูลที่องค์กรถือครอง

ก่อนจะวางมาตรการใด ต้องรู้ก่อนว่าองค์กรเก็บข้อมูลอะไรบ้าง การจัดทำบันทึกรายการประมวลผลข้อมูล (Record of Processing Activities) ช่วยให้เห็นภาพรวมว่าข้อมูลแต่ละชุดถูกเก็บที่ไหน ใครเข้าถึงได้ ใช้ทำอะไร และเก็บนานเท่าไร ขั้นนี้คือรากฐานที่ทำให้มองเห็นความเสี่ยงทั้งหมดก่อนลงมือ

ลองนึกภาพการไล่ดูตั้งแต่ใบสมัครงาน สัญญาจ้าง ระบบเงินเดือน ระบบสแกนเข้างาน ไปจนถึงไฟล์ผลประเมินที่กระจายอยู่ในเครื่องของหัวหน้างานแต่ละคน การเห็นภาพรวมแบบนี้มักทำให้พบจุดเสี่ยงที่ไม่เคยสังเกตมาก่อน

ขั้นที่ 2 — ระบุฐานทางกฎหมายของการประมวลผลแต่ละกิจกรรม

เมื่อมีบัญชีรายการแล้ว ให้พิจารณาทีละกิจกรรมว่าใช้ฐานทางกฎหมายใด การจ่ายเงินเดือนใช้ฐานสัญญา การนำส่งประกันสังคมใช้ฐานการปฏิบัติตามกฎหมาย ส่วนการใช้ภาพพนักงานในสื่ออาจต้องใช้ฐานความยินยอม การระบุให้ถูกต้องช่วยให้รู้ชัดว่ากิจกรรมใดต้องขอความยินยอมแยกและกิจกรรมใดไม่ต้อง

ขั้นที่ 3 — ปรับปรุงแบบฟอร์มและประกาศความเป็นส่วนตัว

จัดทำประกาศความเป็นส่วนตัวสำหรับพนักงาน (Employee Privacy Notice) ที่อธิบายอย่างเข้าใจง่ายว่าองค์กรเก็บข้อมูลอะไร เพื่อวัตถุประสงค์ใด เก็บนานเท่าไร และพนักงานมีสิทธิอย่างไร พร้อมกันนั้นควรทบทวนใบสมัครงานและแบบฟอร์มต่าง ๆ ว่าขอข้อมูลเกินความจำเป็นหรือไม่ หลักการเก็บเท่าที่จำเป็น (Data Minimisation) คือหัวใจสำคัญในขั้นนี้

ขั้นที่ 4 — วางมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล

กำหนดสิทธิการเข้าถึงข้อมูลตามหน้าที่ ไม่ใช่ทุกคนใน HR ต้องเข้าถึงข้อมูลทั้งหมด จัดเก็บเอกสารกระดาษในที่ปลอดภัย ใช้รหัสผ่านหรือการเข้ารหัสกับไฟล์ที่มีข้อมูลอ่อนไหว และเตรียมขั้นตอนรับมือเมื่อเกิดเหตุข้อมูลรั่วไหล มาตรการเหล่านี้ควรเหมาะสมกับขนาดและระดับความเสี่ยงขององค์กร องค์กร SME ไม่จำเป็นต้องลงทุนระบบราคาแพง แต่ต้องมีวินัยในการจัดการ

ขั้นที่ 5 — สร้างกระบวนการรองรับสิทธิและฝึกอบรมทีม

กำหนดช่องทางให้พนักงานใช้สิทธิ พร้อมระบุผู้รับผิดชอบและกรอบเวลาตอบกลับ จากนั้นอบรมทีม HR และหัวหน้างานให้เข้าใจหลักการพื้นฐาน เพราะการจัดการข้อมูลที่ถูกต้องต้องเกิดขึ้นตั้งแต่หน้างานจริง ไม่ใช่แค่มีนโยบายบนกระดาษ การฝึกอบรมยังช่วยลดความผิดพลาดจากความไม่รู้ ซึ่งเป็นหนึ่งในปัจจัยที่อาจนำไปสู่การละเมิดข้อมูลโดยไม่ตั้งใจ

ข้อมูลในใบสมัครงานและ JD เกี่ยวข้องกับ PDPA อย่างไร

จุดเริ่มต้นของข้อมูลพนักงานส่วนใหญ่คือกระบวนการสรรหา ตั้งแต่ประกาศรับสมัครไปจนถึงใบสมัครงาน ซึ่งเป็นจุดที่หลักการเก็บเท่าที่จำเป็นมักถูกมองข้าม หลายองค์กรยังใช้แบบฟอร์มเก่าที่ขอข้อมูลซึ่งไม่เกี่ยวกับการพิจารณาคุณสมบัติ เช่น สถานภาพสมรส หรือข้อมูลครอบครัวที่ไม่จำเป็นในขั้นสมัคร

การมีคำบรรยายลักษณะงาน (Job Description หรือ JD) ที่ระบุคุณสมบัติและสมรรถนะที่ตำแหน่งต้องการอย่างชัดเจน ช่วยให้องค์กรกำหนดได้ว่าข้อมูลใดจำเป็นต่อการคัดเลือกจริง และข้อมูลใดเก็บเกินความจำเป็น เมื่อรู้ว่าตำแหน่งต้องการอะไร ก็ออกแบบใบสมัครและคำถามสัมภาษณ์ให้ขอเฉพาะข้อมูลที่เกี่ยวข้องได้

บริการ Smart JD ของ Triple I ช่วยให้องค์กรสร้าง JD ที่ระบุคุณสมบัติและสมรรถนะที่จำเป็นอย่างเป็นระบบ ซึ่งนอกจากจะช่วยให้การสรรหาตรงเป้าแล้ว ยังเป็นฐานที่ดีในการออกแบบกระบวนการเก็บข้อมูลผู้สมัครให้สอดคล้องกับหลักการเก็บเท่าที่จำเป็นตาม PDPA

นอกจากนี้ ข้อมูลผู้สมัครที่ไม่ได้รับเลือกก็ต้องมีนโยบายชัดเจนว่าจะเก็บไว้นานเท่าไร และจะทำลายเมื่อใด การเก็บใบสมัครของผู้ที่ไม่ผ่านการคัดเลือกไว้อย่างไม่มีกำหนดโดยไม่มีเหตุผลรองรับ ถือเป็นความเสี่ยงที่หลายองค์กรมองข้าม

PDPA เชื่อมโยงกับระบบ HR อื่นอย่างไร

การคุ้มครองข้อมูลส่วนบุคคลไม่ได้แยกขาดจากงาน HR ด้านอื่น แต่แทรกอยู่ในแทบทุกกระบวนการ

ระบบประเมินผลงาน ข้อมูลผลประเมินถือเป็นข้อมูลส่วนบุคคลที่ต้องดูแลทั้งเรื่องการเข้าถึงและการเก็บรักษา ควรกำหนดว่าใครเห็นผลประเมินได้บ้าง และเก็บไว้นานเท่าใด การออกแบบระบบประเมินที่ดีจึงต้องคำนึงถึงการคุ้มครองข้อมูลตั้งแต่ต้น สามารถอ่านแนวคิดเรื่องการตั้งเป้าหมายและตัวชี้วัดเพิ่มเติมได้ที่บทความ KPI vs OKR ต่างกันอย่างไร

ระบบเงินเดือนและโครงสร้างค่าตอบแทน ข้อมูลเงินเดือนเป็นข้อมูลที่อ่อนไหวในเชิงความรู้สึก แม้ไม่ได้จัดเป็นข้อมูลอ่อนไหวตามนิยามกฎหมาย แต่การควบคุมการเข้าถึงอย่างเข้มงวดก็สำคัญต่อความไว้วางใจภายในองค์กร

การจัดเก็บเอกสารพนักงาน ทั้งสัญญาจ้าง ใบรับรองต่าง ๆ และเอกสารสวัสดิการ ล้วนต้องมีนโยบายระยะเวลาเก็บรักษาและการทำลายที่ชัดเจน

การวางระบบ HR ที่ดีตั้งแต่ต้นจึงควรออกแบบโดยคำนึงถึงการคุ้มครองข้อมูลควบคู่ไปด้วย แทนที่จะมาแก้ไขย้อนหลังเมื่อเกิดปัญหา

แนวทางปรับใช้สำหรับองค์กร SME ไทย

สำหรับองค์กรขนาดกลางและเล็กที่มีทรัพยากรจำกัด การทำให้สอดคล้องกับ PDPA ไม่จำเป็นต้องเริ่มจากระบบที่ซับซ้อน แนวทางที่ทำได้จริง ได้แก่

เริ่มจากการสำรวจข้อมูลที่มีอยู่ ใช้เวลาทำบัญชีรายการข้อมูลให้ครบก่อน เพราะถ้าไม่รู้ว่าเก็บอะไรไว้บ้าง ก็ไม่สามารถวางมาตรการที่ถูกต้องได้

จัดลำดับความเสี่ยง เริ่มจากข้อมูลอ่อนไหวและกระบวนการที่มีคนเข้าถึงมากก่อน เพราะเป็นจุดที่ผลกระทบรุนแรงที่สุดหากเกิดปัญหา

ใช้เครื่องมือที่มีอยู่ องค์กรไม่จำเป็นต้องซื้อระบบราคาแพงตั้งแต่แรก การกำหนดสิทธิเข้าถึงไฟล์ การตั้งรหัสผ่าน และวินัยในการจัดเก็บเอกสาร สามารถลดความเสี่ยงได้มากด้วยต้นทุนต่ำ

ทำให้เป็นวัฒนธรรม การคุ้มครองข้อมูลไม่ใช่หน้าที่ของ HR คนเดียว แต่ต้องอาศัยความเข้าใจของทุกคนที่สัมผัสข้อมูลพนักงาน การสื่อสารและอบรมอย่างสม่ำเสมอจึงสำคัญกว่าการมีเอกสารนโยบายที่ไม่มีใครอ่าน

สรุป

การจัดการ PDPA กับข้อมูลพนักงานให้ถูกต้องเริ่มจากการรู้ว่าองค์กรถือครองข้อมูลอะไรบ้าง ระบุฐานทางกฎหมายของแต่ละกิจกรรม ปรับปรุงประกาศความเป็นส่วนตัวและแบบฟอร์มให้เก็บเท่าที่จำเป็น วางมาตรการความปลอดภัยที่เหมาะสม และสร้างกระบวนการรองรับสิทธิของพนักงานพร้อมอบรมทีมให้เข้าใจตรงกัน

กระบวนการนี้ไม่ได้ซับซ้อนเกินกว่าที่ SME จะทำได้ แต่ต้องการจุดเริ่มต้นที่เป็นระบบ โดยเฉพาะการมี JD และกระบวนการสรรหาที่ออกแบบให้ขอข้อมูลเฉพาะที่จำเป็นจริง หากองค์กรยังไม่มีสิ่งเหล่านี้ Triple I ช่วยได้ตั้งแต่ขั้นตอนแรก

ต้องการคำแนะนำในการวางกระบวนการ HR ที่สอดคล้องกับ PDPA หรือออกแบบ JD ที่ขอข้อมูลเท่าที่จำเป็น นัดคุยฟรีกับที่ปรึกษา Triple I เพื่อหารือแนวทางที่เหมาะกับองค์กรของคุณ