เจาะลึก PDPA สำหรับ HR: ข้อควรระวังและการจัดการข้อมูลพนักงาน
HR ต้องมีเอกสารยินยอม (Consent) และนโยบายการเก็บข้อมูล (Privacy Notice) ที่ชัดเจนเพื่อเลี่ยงค่าปรับหลักล้าน
## PDPA ไม่ใช่เรื่องไกลตัวสำหรับ HR
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีผลกระทบโดยตรงต่อการทำงานของฝ่ายบุคคล ตั้งแต่การสรรหาผู้สมัครงาน การเก็บประวัติพนักงาน การใช้ข้อมูลเพื่อประเมินผล ไปจนถึงการเก็บรักษาเอกสารหลังพนักงานพ้นสภาพ หาก HR ไม่เข้าใจหลักการสำคัญของ PDPA อาจทำให้องค์กรเสี่ยงต่อ **ค่าปรับทางปกครองและความเสียหายด้านภาพลักษณ์อย่างรุนแรง**
ข้อมูลที่ HR ดูแล เช่น สำเนาบัตรประชาชน ประวัติครอบครัว ข้อมูลสุขภาพ หรือประวัติการทำงาน ล้วนถือเป็น “ข้อมูลส่วนบุคคล” ที่กฎหมายปกป้องอย่างชัดเจน HR จึงต้องมีทั้งกระบวนการและระบบที่รัดกุม
### สิ่งที่ HR ต้องทำทันทีเพื่อให้สอดคล้องกับ PDPA
1. **ทบทวนเอกสารสัญญาจ้างและแบบฟอร์มต่าง ๆ**
เพิ่มข้อความอธิบายวัตถุประสงค์การเก็บรวบรวมและใช้ข้อมูล (Purpose) ให้ชัดเจน พร้อมขอ “ความยินยอม” (Consent) อย่างถูกต้อง โดยแยกจากเงื่อนไขอื่น ไม่ใช้การบังคับยินยอมแบบเหมารวม
2. **กำหนดระเบียบการเข้าถึงข้อมูล (Access Control)**
จำกัดสิทธิ์การเข้าถึงข้อมูลพนักงานเฉพาะผู้ที่จำเป็นต้องใช้ เพื่อปฏิบัติหน้าที่เท่านั้น มีระบบ Login แยกตามบทบาท และบันทึก Log การเข้าถึงข้อมูลไว้เสมอ
3. **วางระบบการเก็บรักษาและทำลายเอกสาร**
ข้อมูลของผู้สมัครที่ไม่ผ่านการคัดเลือก หรือพนักงานที่ลาออกแล้ว ต้องกำหนดระยะเวลาเก็บรักษาที่เหมาะสม พร้อมวิธีการทำลายข้อมูลอย่างปลอดภัย เช่น การลบไฟล์จากระบบอย่างถาวร หรือการทำลายเอกสารกระดาษให้ไม่สามารถกู้คืนได้
4. **สร้างความรู้ความเข้าใจให้หัวหน้างานและพนักงาน**
ไม่ใช่แค่ฝ่ายบุคคลเท่านั้นที่เกี่ยวข้องกับ PDPA หัวหน้างานที่เก็บข้อมูลลูกทีม หรือแผนกอื่นที่เข้าถึงข้อมูลพนักงานก็ต้องเข้าใจวิธีการใช้และแชร์ข้อมูลอย่างปลอดภัยด้วย
หากองค์กรมีระบบ HR ดิจิทัลที่รองรับ PDPA โดยเฉพาะ เช่น มีฟังก์ชัน Consent Management, Role‑based Access และ Audit Trail จะช่วยให้ HR ปฏิบัติตาม PDPA ได้ง่ายขึ้น ลดความกังวลและลดงาน Manual ในระยะยาว