คู่มือนายจ้างยุค PDPA: เก็บข้อมูลพนักงาน อย่างไรให้ถูกกฎหมาย PDPA?

เผยแพร่เมื่อ 08 มิถุนายน 2020


TL;DR (หากไม่มีเวลาอ่านสรุปแต่นี้พอ)
ข้อมูลส่วนบุคคลของพนักงาน เช่น ชื่อ ที่อยู่ เลขบัตรประชาชน หรือข้อมูลอื่นๆ เราสามารถเก็บได้ตามกฎหมาย แต่ต้องมีการแจ้งให้เจ้าตัวทราบผ่านการใช้ HR Privacy Policy

การเก็บข้อมูลส่วนบุคคลของพนักงาน ต้องทำอย่างไรให้ถูกกฎหมาย PDPA?

หากบริษัทคุณมีการจ้างพนักงาน หนึ่งในข้อมูลที่นายจ้างทุกคนจะต้องขอจากพนักงาน คือ ชื่อ ที่อยู่ หมายเลขบัตรประชาชน อีเมล หมายเลขบัญชีธนาคาร อาจจะรวมไปถึงข้อมูลอื่นๆที่ประกอบการสัมพาษณ์งาน (เช่นใน CV) หรือการทำงานด้วยใช่ไหม? ซึ่งจริงๆแล้วข้อมูลเหล่านี้ล้วนแต่เป็นข้อมูลส่วนบุคคล (Personal Identifiable Information, PII) ตามพรบ.คุ้มครองข้อมูลบุคคล พ.ศ. 2562 หรือจะเรียกย่อๆว่า PDPA ทั้งสิ้น ตามกฎหมายแล้วเจ้าของข้อมูล (ในที่นี้คือพนักงาน หรือลูกจ้าง) จะได้รับการคุ้มครองสิทธิ์ของตัวเอง ในกรณีการว่าจ้างพนักงานนี้ก็ไม่ได้รับการยกเว้นใดๆ และนายจ้างยังต้องทำตามกฎหมาย PDPA อีกด้วย

แต่นายจ้างหรือเจ้าของบริษัทอย่าพึ่งตกใจไป เรายังสามารถเก็บข้อมูลเหล่านี้ได้ตามปกติ ตราบใดที่เรามีความจำเป็นตามกฎหมาย (ซึ่งที่หนีไม่พ้นคือการจ่ายเงินเดือน, หักภาษี และการส่งประกันสังคม) หรือตามลักษณะการจ้างงานของเรา เพียงแต่จะต้องมีการแจ้งให้พนักงานทราบอย่างชัดเจนเท่านั้นเอง ว่าเราเก็บข้อมูลอะไรบ้างและนำไปใช้เพื่ออะไรบ้าง ซึ่งในที่นี้นายจ้างสามารถแจ้งผ่านเอกสารที่ขอตั้งชื่อว่า HR Privacy Policy

HR Privacy Policy คืออะไร?

HR Privacy Policy เป็นเอกสารที่ออกโดยนายจ้างหรือบริษัทเพื่อแจ้งให้พนักงานทุกคนทราบว่า บริษัทมีการเก็บข้อมูลพนักงานอะไรไปบ้าง เอาไปใช้เพื่ออะไร จะเก็บรักษาให้ปลอดภัยยังไง รวมไปถึงจะลบหรือทำลายข้อมูลเมื่อไหร่ และถ้าพนักงานมีข้อสงสัยเรื่องข้อมูลเหล่านี้สามารถติดต่อใครได้ ซึ่งหากมองกันดีๆแล้ว มันก็เหมือนกับ Privacy Policy ของบริษัทกับลูกค้านี่เอง แต่เป็น version สำหรับพนักงานในบริษัท

บริษัทหรือนายจ้างสามารถจัดทำ HR Privacy Policy ได้อย่างไร?

ทางบริษัทหรือนายจ้างสามารถร่างรายละเอียดต่างๆตามที่กฎหมาย PDPA ระบุไว้หรือหากไม่รู้ว่าจะเริ่มยังไง EasyPDPA เรามีบริการสร้าง HR Privacy Policy ง่ายๆสำหรับบริษัทหรือนายจ้างในประเทศไทย ในราคาเริ่มต้นเพียงแค่ 999 บาท (โปรโมชั่น จำกัดเวลาเท่านั้น) กดเริ่มใช้งานได้ที่นี่ (ภาษาไทย) (ภาษาไทยและอังกฤษ)

บริษัทจำเป็นต้องขออนุญาต (consent) จากพนักงานในการเก็บหรือไม่?

ส่วนใหญ่แล้วข้อมูลที่บริษัทเก็บล้วนแต่มีความจำเป็นในการทำงานหรือมีความจำเป็นตามทางกฎหมายทั้งสิ้น ซึ่งหากเป็นไปตามนี้บริษัทไม่จำเป็นต้องขออนุญาตในการเก็บ เพียงแต่ต้องแจ้งให้ทราบเท่านั้น ยกตัวอย่างเช่น

  • การเก็บชื่อ ที่อยู่ และหมายเลขบัตรประจำตัวประชาชนสำหหรับการยื่นภาษีและประกันสังคม
  • การเก็บชื่อ และ หมายเลขบัญชีธนาคาร เพื่อใช้โอนเงินเดือน
  • การเก็บข้อมูลเกี่ยวกับคุณสมบัติในการทำงาน เช่น ประวัติการศึกษา ประวัติการทำงาน และประวัติอาชญากรรม เพื่อการประเมินความเหมาะสมในการจ้างพนักงาน
  • การเก็บข้อมูลการทำงาน เช่น ประวัติการเข้าทำงาน แบบประเมินความสามารถและการวัดผลต่างๆ เพื่อประเมินประสิทธิภาพในการทำงานของพนักงาน

อย่างไรก็ตามบริษัทหลายแห่งมีการเก็บรูปถ่าย หรือลายนิ้วมือของพนักงาน (เช่นสำหรับการเข้าออกประตู หรือลงเวลาทำงาน) ข้อมูลเหล่านี้ถือว่าเป็นข้อมูลส่วนบุคคลอ่อนไหว (Sensitive PII) ทางบริษัทต้องขอความยินยอมจากทางพนักงานทุกครั้ง

บริษัทสามารถแจ้ง HR Privacy Policy ให้พนักงานทราบได้อย่างไรบ้าง?

การแจ้งให้ทราบสามารถทำได้หลายวิธี เลือกใช้งานได้ตามความเหมาะสมดังนี้

  • ส่งอีเมลหาพนักงานทุกคน
  • ปิดประกาศ HR Privacy Policy ในสำนักงาน ในตำแหน่งที่พนักงานทุกคนเห็นได้ชัด
  • รวมไว้เป็นส่วนหนึ่งในสัญญาจ้างงาน

พนักงานสามารถปฎิเสธการให้ข้อมูล หรือขอลบข้อมูลบางส่วนได้หรือไม่?

ในกรณีทั่วไปแล้วหากพนักงานยังมีสถานะการเป็นลูกจ้างกับบริษัทอยู่ตามสัญญาจ้างงาน พนักงานไม่สามารถปฏิเสธการให้ข้อมูลหรือขอลบข้อมูลส่วนบุคคลนี้ได้ เนื่องจากเป็นการเก็บตามข้อบังคับของกฎหมาย หรือ ตามสัญญาจ้าง

ขอสรุปการการเก็บข้อมูลส่วนบุคคลของพนักงาน ให้ถูกต้องกกฎหมาย PDPA ง่ายๆดังนี้

  • สามารถเก็บข้อมูลได้ตามกฎหมาย
  • บริษัทไม่ต้องขออนุญาตแต่ต้องแจ้งให้พนักงานทราบ
  • ตัวช่วยสร้าง HR Privacy Policy ง่ายๆที่นี่

เริ่มก่อนใครวันนี้สบายใจ และ ถูกกฎหมาย

เราใช้คุกกี้ในการวิเคราะห์พฤติกรรมการใช้งานเว็บไซต์ของเราเพื่อปรับปรุงการให้บริการและเพื่อให้การใช้งานเว็บไซต์มีประสิทธิภาพมากยิ่งขึ้น  อ่านนโยบายเกี่ยวกับคุกกี้