PDPA สำหรับ HR — คู่มือฉบับสมบูรณ์ปกป้องข้อมูลพนักงาน 2026

PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) กำหนดให้องค์กรที่เก็บข้อมูลพนักงานต้องขอ consent ที่ชัดเจน ระบุวัตถุประสงค์การใช้ข้อมูล จัดทำ Data Retention Policy เก็บข้อมูลตามระยะเวลาที่จำเป็น ให้สิทธิพนักงานในการเข้าถึง แก้ไข ลบข้อมูลของตนเอง และต้องแจ้ง PDPC ภายใน 72 ชั่วโมงหากเกิด data breach องค์กรที่ไม่ปฏิบัติตามอาจถูกปรับสูงสุด 5 ล้านบาทต่อกรณี

💡 PDPA คืออะไรในบริบทของ HR?
Personal Data Protection Act (PDPA) ของไทย คือกฎหมายที่กำหนดวิธีการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล สำหรับ HR ครอบคลุมข้อมูลทั้งหมดของพนักงานตั้งแต่ resume, สำเนาบัตรประชาชน, ข้อมูลสุขภาพ, เงินเดือน, ประวัติการลา, ผล performance review จนถึง CCTV และ biometric data

ทำไม PDPA เป็นเรื่องของ HR (ไม่ใช่แค่ IT หรือ Legal)

หลายองค์กรเข้าใจผิดว่า PDPA เป็นความรับผิดชอบของทีม IT หรือ Legal เพียงอย่างเดียว ความจริงคือ HR เป็นแผนกที่ “เก็บ ใช้ และเปิดเผย” ข้อมูลส่วนบุคคลมากที่สุดในองค์กร ตั้งแต่กระบวนการสรรหา การจ้าง ระหว่างทำงาน จนถึงการสิ้นสุดสัญญา ทุกขั้นตอนเกี่ยวข้องกับ personal data

ตัวเลข PDPA ที่ HR ต้องรู้:

• 58% ของ data breach ในองค์กรไทยมาจาก HR system หรือ payroll system — รายงาน Thailand Cybersecurity Report 2024
• ค่าปรับ PDPA สูงสุดคือ 5 ล้านบาทต่อกรณี + โทษอาญาจำคุกไม่เกิน 1 ปี — สำนักงาน PDPC 2566
• 73% ของ HR Manager ในไทยยังไม่มั่นใจว่าองค์กรของตัวเองปฏิบัติตาม PDPA ครบถ้วน — สำรวจ Deloitte HR Compliance Thailand 2025

ข้อมูลที่ HR จัดการมีความ sensitive สูงเป็นพิเศษ เช่น เลขบัตรประชาชน, ข้อมูลทางการเงิน, ข้อมูลสุขภาพ และ biometric ของพนักงาน ข้อมูลเหล่านี้บางส่วนถูกจัดเป็น “Sensitive Personal Data” ภายใต้ PDPA ซึ่งต้องมีการคุ้มครองเข้มงวดกว่าข้อมูลทั่วไป

ประเภทข้อมูลพนักงานที่ HR ต้องจำแนกตาม PDPA

PDPA แบ่งข้อมูลส่วนบุคคลเป็น 2 ระดับ Personal Data (ทั่วไป) และ Sensitive Personal Data (อ่อนไหว) HR ต้องจำแนกข้อมูลในระบบของตัวเองให้ถูกต้องเพราะ 2 ประเภทนี้มีกฎการเก็บและใช้ที่ต่างกัน

Personal Data ทั่วไป ที่ HR เก็บประจำ ได้แก่ ชื่อ-นามสกุล, เบอร์โทร, email, ที่อยู่, เลขบัตรประชาชน, ตำแหน่งงาน, เงินเดือน, ประวัติการศึกษา, ประวัติการทำงาน และข้อมูลการประเมินผลงาน ข้อมูลเหล่านี้ต้องขอ consent อย่างชัดเจน ระบุวัตถุประสงค์ และเก็บตาม retention period ที่กำหนด

Sensitive Personal Data ที่ HR ต้องระวังเป็นพิเศษ ได้แก่ ข้อมูลสุขภาพ (ใบรับรองแพทย์, ประวัติการลาป่วย), ข้อมูล biometric (ลายนิ้วมือ, face scan, selfie check-in), ประวัติอาชญากรรม, ข้อมูลทางพันธุกรรม, ศาสนา, ความเห็นทางการเมือง, และ sexual orientation ข้อมูลกลุ่มนี้ต้องขอ explicit consent แยกต่างหาก ไม่สามารถใช้ general consent ครอบคลุมได้

ระบบ HR ของคุณต้องสามารถ tag ประเภทข้อมูลของแต่ละ field ได้ เพื่อให้สามารถตอบ data subject access request ของพนักงานได้รวดเร็ว ระบบ Employee Profile ของ Pinno มี data classification ที่ออกแบบมาตาม PDPA Thailand โดยเฉพาะ

หลักการ 7 ข้อของ PDPA ที่ HR ต้องนำมาใช้

PDPA ของไทยอิงจาก 7 หลักการสากล (สอดคล้องกับ GDPR ของยุโรป) ที่ HR ต้องเข้าใจและฝังอยู่ในกระบวนการ ตั้งแต่ recruitment, onboarding, employment ไปจนถึง offboarding

หลักการที่ 1 คือ Lawfulness, Fairness, Transparency — เก็บข้อมูลโดยมีฐานทางกฎหมาย เป็นธรรม และพนักงานต้องรู้ว่าข้อมูลถูกเก็บไปทำอะไร

หลักการที่ 2 คือ Purpose Limitation — ใช้ข้อมูลเพียงเพื่อวัตถุประสงค์ที่แจ้งไว้ตอนขอ consent การนำไปใช้นอกขอบเขตต้องขอ consent ใหม่

หลักการที่ 3 คือ Data Minimization — เก็บเฉพาะข้อมูลที่จำเป็นต่อวัตถุประสงค์ HR ไม่ควรขอข้อมูลที่ไม่เกี่ยวข้องกับงาน เช่น religion, marital status เว้นแต่จำเป็นจริง

หลักการที่ 4 คือ Accuracy — ต้องเก็บข้อมูลที่ถูกต้องและทันสมัย ระบบควรเปิดให้พนักงาน update ข้อมูลของตัวเองได้

หลักการที่ 5 คือ Storage Limitation — ไม่เก็บข้อมูลนานเกินจำเป็น เช่น เอกสารสมัครงานของผู้สมัครที่ไม่ได้รับเลือก ควรลบหลัง 1 ปี (เว้นแต่ขอ consent เก็บนานกว่า)

หลักการที่ 6 คือ Integrity & Confidentiality — ป้องกันข้อมูลด้วย encryption, access control และ audit log

หลักการที่ 7 คือ Accountability — องค์กรต้องสามารถพิสูจน์การปฏิบัติตามได้ผ่านเอกสารและ records

12 Checklist PDPA สำหรับ HR Manager

นี่คือ checklist ที่ HR Manager ในไทยควรใช้ประเมินสถานะ PDPA ขององค์กรตัวเอง ถ้าตอบ “ใช่” ทุกข้อ องค์กรของคุณอยู่ในระดับ Compliance ที่ดี ถ้าตอบ “ไม่” 3 ข้อขึ้นไป ควรพิจารณาปรับปรุงเร่งด่วน

1. Privacy Notice — มีเอกสารแจ้งให้พนักงานทราบว่าเก็บข้อมูลอะไร เพื่อวัตถุประสงค์ใด เก็บนานเท่าใด พร้อมระบุสิทธิของ data subject ครบ 8 ข้อตามกฎหมาย
2. Consent Form — แบบฟอร์ม consent แยกตามวัตถุประสงค์ ไม่ใช่ general consent ครอบจักรวาล ระบุวันที่ขอ consent และให้พนักงานถอน consent ได้
3. Data Inventory — มีรายการครบถ้วนว่าระบบ HR ของคุณเก็บข้อมูลอะไรบ้าง เก็บไว้ที่ไหน ใครเข้าถึงได้
4. Retention Schedule — กำหนดระยะเวลาเก็บข้อมูลแต่ละประเภท เช่น เอกสารผู้สมัครงานที่ไม่ได้รับเลือก 1 ปี, ประวัติพนักงานปัจจุบัน 5 ปีหลังลาออก, เอกสารภาษี 10 ปี
5. Access Control — ระบบกำหนด role-based access ใครเห็นข้อมูลอะไรได้ HR Manager เห็นทั้งหมด, Line Manager เห็นเฉพาะทีมตัวเอง, พนักงานเห็นเฉพาะของตัวเอง
6. Data Subject Rights Process — มีกระบวนการรองรับเมื่อพนักงานขอใช้สิทธิ เช่น ขอ copy ข้อมูล ขอแก้ไข ขอลบ ตอบกลับภายใน 30 วัน
7. Vendor Management — ตรวจสอบ vendor ที่เข้าถึงข้อมูล HR (payroll outsource, recruitment agency) มี Data Processing Agreement (DPA) ทุกราย
8. Breach Notification Plan — มี playbook ว่าถ้า data breach เกิดขึ้น ใครรับผิดชอบ ขั้นตอนแจ้ง PDPC ภายใน 72 ชั่วโมง และวิธีแจ้งพนักงานที่ได้รับผลกระทบ
9. Training Program — อบรม HR team และ Line Manager เรื่อง PDPA อย่างน้อยปีละครั้ง
10. Cross-border Transfer — หากส่งข้อมูลไปต่างประเทศ (เช่น HQ ที่ Singapore) มีฐาน legal และข้อตกลงคุ้มครองข้อมูล (SCC)
11. DPO Appointment — แต่งตั้ง Data Protection Officer หากองค์กรเข้าเกณฑ์ที่ PDPC กำหนด
12. Annual Review — ทบทวน privacy notice, consent form และ retention schedule ทุกปี

ข้อผิดพลาดยอดฮิตของ HR ที่ทำให้ละเมิด PDPA

ทีมที่ปรึกษา PDPA ของ Pinno พบว่าข้อผิดพลาดที่เจอบ่อยที่สุดในองค์กรไทยมี 4 จุด ที่ HR ควรรีบตรวจสอบ

ปัญหาแรกคือ ส่งสลิปเงินเดือนทาง LINE หรือ email ส่วนตัวโดยไม่ใส่ password ข้อมูลเงินเดือนเป็น personal data ที่อ่อนไหวสูง การส่งผ่าน channel ที่ไม่มี encryption เสี่ยงรั่วไหล วิธีแก้คือใช้ Employee Self-Service portal ที่ login ผ่าน 2FA หรือส่ง PDF ที่ใส่ password ส่วนตัวของพนักงาน

ปัญหาที่สองคือ เก็บ resume ของผู้สมัครที่ไม่ผ่านการคัดเลือกไว้นานเกินไป หลายองค์กรเก็บไว้ตลอดกาลใน Google Drive หรือ Email โดยไม่ได้ขอ consent ระยะยาว วิธีแก้คือตั้ง retention 6–12 เดือน และให้ผู้สมัครเลือก opt-in หากต้องการเก็บประวัติไว้สำหรับตำแหน่งในอนาคต

ปัญหาที่สามคือ share ข้อมูลพนักงานกับ vendor โดยไม่มี DPA เช่น ส่ง list พนักงานพร้อมเงินเดือนให้บริษัทประกันสุขภาพโดยไม่มีสัญญาควบคุมการใช้ข้อมูล วิธีแก้คือทำ Data Processing Agreement กับทุก vendor ที่เข้าถึง personal data รวมถึงบริษัทตรวจสุขภาพประจำปี

ปัญหาสุดท้ายคือ อนุญาตให้ทุกคนใน HR team เห็นข้อมูลทั้งหมด ทำให้เกิน “need to know” basis วิธีแก้คือกำหนด role และ permission ใน HR system เช่น HR officer ที่ดูแล payroll เห็นเฉพาะข้อมูลที่เกี่ยวกับเงินเดือน ไม่เห็น performance review

ลด PDPA Risk ด้วย Pinno HR Software

ระบบ HR ที่ออกแบบมาตาม PDPA จะช่วยลดภาระการ comply ของ HR ได้มาก Pinno Employee Profile มาพร้อม PDPA features ที่ออกแบบสำหรับองค์กรไทยโดยเฉพาะ ได้แก่ data classification, role-based access control, audit log ที่บันทึกทุกการเข้าถึงข้อมูล และ retention policy engine ที่ลบข้อมูลตามกำหนดอัตโนมัติ

นอกจากนี้ระบบยังเชื่อมกับ Employee Self-Service ที่ให้พนักงานเห็นว่าองค์กรเก็บข้อมูลอะไรของตน update ข้อมูลที่ผิดพลาดได้เอง และดาวน์โหลด copy ข้อมูลตัวเองได้ทันที (data portability) — ตอบโจทย์สิทธิ data subject ที่ PDPA กำหนดโดยตรง

เกี่ยวกับ Pinno

Pinno คือ HR Cloud Software ที่พัฒนาโดย Pinno Solutions Co., Ltd. ภายใต้กลุ่ม PRTR ผู้นำด้าน HR Solutions ในประเทศไทยกว่า 30 ปี ปัจจุบันมีองค์กรกว่า 20,000 รายไว้วางใจใช้งาน ครอบคลุม Payroll, Time, Benefits, Performance และ Employee Self-Service ในแพลตฟอร์มเดียว เว็บไซต์: https://pinno.io

---

ลด PDPA risk ด้วยระบบ HR ที่ออกแบบมาตามกฎหมายไทย — Book Demo ฟรี ดูสาธิตการจัดการข้อมูลพนักงานครบ life cycle ภายใต้ PDPA framework

• Facebook
• Twitter
• Line