K2.6 [สทิ ธขิ องลกู จ้างในฐานะเจ้าของข้อมลู สว่ นบคุ คล]
K2.6.1 [สิทธขิ องลกู จา้ งตามกฎหมาย] ลกู จ้างย่อมมีสทิ ธติ ามกฎหมายทเ่ี ขา้ ถึงและขอรบั สำเนาของ
ข้อมูลส่วนบุคคลที่เกี่ยวกับตน คัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลสว่ นบุคคลท่ี
เก่ยี วกบั ตน ลบหรอื ทำลาย หรือทำให้ขอ้ มูลส่วนบคุ คลเปน็ ขอ้ มูลที่ไมส่ ามารถระบตุ ัวบคุ คลท่ี
เป็นเจ้าของข้อมูลส่วนบุคคลได้ ระงับการใช้ขอ้ มูลส่วนบบุคคล ตลอดจนร้องขอให้มีการทำ
ใหข้ อ้ มลู สว่ นบุคคลนน้ั เปน็ ปัจจบุ ัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด576
- นายจา้ งมีหน้าที่จดั ต้งั ระบบเพ่อื รองรับการใชส้ ทิ ธิตามกฎหมายของลกู จ้างได้ และ
ต้องตรวจสอบให้แนใ่ จว่าข้อมลู ท่ีถูกจัดเกบ็ นน้ั สามารถเขา้ ถงึ ได้
- หากใชร้ ะบบคอมพิวเตอร์ในการดึงขอ้ มูล นายจา้ งจะต้องแน่ใจว่าระบบนั้นสามารถ
ช่วยให้นายจ้างสามารถเข้าถึงหรือดึงข้อมูลของลูกจ้างแต่ละคนออกมาได้อย่าง
สะดวก577
K2.6.2 [การดำเนนิ การในกรณีมกี ารร้องขอ] ในการรอ้ งขอนน้ั นายจา้ งอาจขอใหล้ กู จ้างไดพ้ ิสูจน์
ตัวตนเพื่อเป็นการพิจารณาวา่ ผู้ทีร่ ้องขอนัน้ เป็นบุคคลที่มีสิทธิเข้าถึงข้อมลู ส่วนบุคคลโดย
แท้จริง อีกท้ังนายจา้ งตอ้ งใช้ดลุ พนิ จิ ในการพิจารณาระงับการเปดิ เผยข้อมูลสว่ นบุคคลของ
ลูกจ้างในกรณีท่บี ุคคลภายนอกเแสดงตัวตนเพือ่ ขอเข้าถงึ ข้อมลู ของลกู จา้ งรายนั้น578
(1) เมื่อมีการร้องขอการเข้าถึงข้อมูลโดยลูกจ้าง นายจ้างจะต้องดำเนินการอย่างใด
อย่างหนึ่ง เช่นการตอบรับ หรือปฏิเสธคำขอ คำอธิบายเหตุที่ปฏิเสธคำขอ หาก
อนุญาตตามคำขอแล้ว ควรอธิบายถึงวิธีการทำงานและขั้นตอนการเข้าถึงของ
ระบบขอ้ มลู หรอื ดำเนนิ การตามคำขอโดยให้ข้อมลู นนั้ แกล่ กู จ้างภายใน 30 วัน นับ
แตว่ นั ที่ไดร้ บั คำขอ579
576 พระราชบัญญัตคิ ุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562, มาตรา 30 ถึง มาตรา 36. 449
577 ICO Employment Practices Code, p.44.
578 ICO Employment Practices Code, p.43.
579 ICO Employment Practices Code, p.42.
ศนู ย์วิจยั กฎหมายและการพฒั นา คณะนิติศาสตร์ จุฬาลงกรณม์ หาวทิ ยาลยั
(2) นายจา้ งตอ้ งแจ้งผู้จัดการ หรือ ผูท้ เ่ี ก่ยี วขอ้ งขององค์กรทราบในเรื่องการจดั ระเบยี บ
ลักษณะของข้อมูลทจี่ ะให้บคุ คลทรี่ อ้ งขอเขา้ ถงึ ได้580 และในส่วนขอ้ มลู ส่วนบุคคลที่
นายจา้ งไดจ้ ัดเตรยี มไวใ้ หก้ ับลูกจ้างท่ีร้องขอนั้นตอ้ งแน่ใจว่าได้ปฏบิ ัติตามกฎเกณฑ์
และ ระบแุ หล่งที่มาของขอ้ มลู ส่วนบุคคลดังกล่าวไวโ้ ดยชดั เจน581
K2.7 [กรณที ี่นายจ้างถกู บุคคลภายนอกรอ้ งขอใหร้ บั รองลูกจ้าง]
K2.7.1 [ลักษณะของการร้องขอ] นายจ้างอาจถูกบุคคลภายนอก เช่น บุคคลที่อาจเป็นนายจา้ ง
ใหม่ของลูกจ้างร้องขอใหท้ ำการรับรองลูกจ้าง เช่น ความสามารถในการทำงาน และการ
อ้างอิงเร่ืองส่วนตัวอื่น ๆ เช่น นายจ้างถูกร้องขอให้เปดิ เผยขอ้ มลู พฤตกิ รรมของลูกจ้างใน
ระหว่างที่ลูกจ้างอยูใ่ นกระบวนการทางกฎหมายเพื่อใช้เปน็ ข้อมูลอ้างอิง หรือเป็นกรณีที่
สถาบันการเงิน (เช่น กรณีที่ลูกจ้างประสงค์จะทำสัญญากู้ยืมจากสถาบันการเงิน) หรือ
นายจ้างเป็นผู้ให้ข้อมูลสถานะทางการเงินของลูกจ้างหากลูกจ้างสมัครเข้าทำสญั ญากู้ยืม
การดำเนินการตามคำขอเหล่านี้จะทำให้นายจ้างต้องเปิดเผยข้อมูลส่ว นบุคคลของ
ลกู จ้าง582
K2.7.2 [การดำเนนิ การของนายจา้ ง] นายจา้ งควรกำหนดนโยบายขององคก์ รให้มีความชัดเจนว่า
บคุ คลใดทส่ี ามารถทำการเปิดเผยข้อมูลส่วนบคุ คลของลูกจา้ งในกรณที ่ีถูกบุคคลภายนอก
ร้องขอได้583 โดยนายจ้างจะตอ้ งแจ้งให้ลูกจ้างทราบถึงขอบเขตของข้อมูลส่วนบุคคลที่จะ
สามารถถูกเปิดเผยเพอื่ ประโยชนใ์ นการอ้างอิงดังกล่าวได้584
580 ICO Employment Practices Code, p.44.
581 ICO Employment Practices Code, p.43.
582 ICO Employment Practices Code, p.46.
583 ICO Employment Practices Code, p.46.
584 ICO Employment Practices Code, p.46.
450 Thailand Data Protection Guidelines 3.0
K2.8 [การเปิดเผยขอ้ มูลของลูกจา้ งใหแ้ ก่บคุ คลภายนอก]
K2.8.1 [กรณีที่มีคำขอให้เปดิ เผยข้อมูลของส่วนบุคคลของลกู จา้ งโดยบคุ คลภายนอก] เป็นกรณี
ที่นายจ้างได้รับคำขอจากบุคคลภายนอกให้เปิดเผยข้อมูลส่วนบุคคลของลูกจ้าง นายจ้าง
จะต้องจัดทำนโยบายการเปิดเผยข้อมูลส่วนบุคคลให้มีความชัดเจน เช่น บุคคลใดบ้างท่ี
เปน็ ผมู้ ีสทิ ธริ ้องขอใหน้ ายจ้างเปิดเผยข้อมูลส่วนบุคคล หรือกรณใี ดบ้างที่บคุ คลซ่ึงได้รับคำ
ขอนัน้ จะต้องส่งคำร้องขอน้ันใหแ้ กบ่ คุ คลที่อยใู่ นตำแหน่งสูงกว่าพิจารณาคำขอตอ่ ไป585
K2.8.2 [ฐานทางกฎหมาย] ในการเปิดเผยขอ้ มูลส่วนบุคคลของลูกจ้างนั้น นายจ้างต้องพิจารณา
ถึงความเหมาะสมและเหตุจำเป็นในการเปิดเผย โดยเฉพาะหากเป็นกรณีฉุกเฉิน หรือการ
ร้องขอให้เปิดเผยข้อมูลส่วนบุคคลในสถานการณท์ ีไ่ มป่ กติ นายจ้างต้องใช้ดุลพินิจในการ
พจิ ารณาอยา่ งรอบคอบและระมัดระวงั
- โดยหลักแล้วนายจ้างจะต้องไม่เปิดเผยข้อมูลของลูกจ้างโดยไม่จำเปน็ เว้นแต่จะมี
กฎหมายกำหนดใหก้ ระทำการเช่นนัน้ 586หรือมฐี านทางกฎหมายอน่ื อันพงึ จะอ้างได้
- ในกรณีที่การเปิดเผยเกีย่ วข้องกับการส่งหรือโอนข้อมูลส่วนบุคคลของลูกจา้ งไปยงั
ตา่ งประเทศ (cross-border data transfer) จะตอ้ งตรวจสอบให้แน่ชัดว่าไดก้ ระทำ
การตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลตามที่คณะกรรมการ
ประกาศกำหนด และชอบด้วยกฎหมาย587
K2.8.3 [กรณีเปดิ เผยข้อมูลส่วนบุคคลของลูกจา้ งให้กับบริษทั ในเครอื หรือบุคคลภายนอก] เช่น
เปน็ กรณีที่นายจ้างมคี วามจำเป็นท่ีจะต้องเปิดเผยขอ้ มลู ส่วนบคุ คลของลกู จ้างให้กับบริษัท
ในเครือ (หรือบุคคลภายนอก) ในกรณีนี้ บุคคลผู้รับข้อมูลจะมีสถานะเป็นผู้ประมวลผล
ข้อมูลส่วนบุคคลและนายจ้างควรแจ้งรายละเอียดของการเปิดเผย (หรือแบ่งปัน) ข้อมูล
585 ICO Employment Practices Code, p.47.
586 ICO Employment Practices Code, p.47.
587 ICO Employment Practices Code, p.48. (โปรดดสู ว่ น F แนวปฏิบตั เิ กยี่ วกบั การโอนข้อมลู ส่วนบคุ คลไปยงั
ตา่ งประเทศหรอื องค์การระหวา่ งประเทศ)
ศูนยว์ จิ ัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณม์ หาวิทยาลัย 451
ส่วนบุคคลของลูกจ้างในหนังสอื ชแี้ จงรายละเอียดการคมุ้ ครองข้อมูลส่วนบคุ คลของลูกจ้าง
โดยมรี ายละเอยี ดและดำเนนิ การดังตอ่ ไปน้ี588
- แจ้งรายละเอียดว่านายจ้างอาจเปิดเผย (หรือแบ่งปัน) ข้อมูลส่วนบุคคลของลูกจ้าง
ให้กับบริษัทในเครือ (เช่น ในกรณีที่มีการรวมกิจการหรือการปรับโครงสร้างองคก์ ร
ธรุ กจิ ) ใหก้ บั บุคคลภายนอก
- ทำข้อตกลงระหว่างผู้ควบคุมขอ้ มลู ส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบคุ คล (ซ่ึง
สามารถคุ้มครองความมัน่ คงปลอดภยั ของข้อมลู ส่วนบคุ คลที่ถูกเปิดเผย (หรือแบ่งปัน
ดงั กลา่ วได้)
K2.9 [การเปดิ เผยข้อมลู ตอ่ สาธารณะและการเปดิ เผยขอ้ มลู ส่วนบุคคลในกรณีโอนข้อมูลสว่ น
บุคคลไปตา่ งประเทศ]
K2.9.1 [ขอ้ พจิ ารณาโดยทั่วไป] การเปดิ เผยขอ้ มลู ของลูกจ้างต่อสาธารณะหรือการเปิดเผยอื่น ๆ
นนั้ นายจ้างต้องพสิ จู น์ว่า
(1) นายจา้ งมภี าระผกู พันทางกฎหมายที่จะต้องทำเช่นนั้นหรอื ไม่
(2) ข้อมลู นน้ั ไมไ่ ดเ้ ปน็ ขอ้ มลู ส่วนบุคคลทอ่ี าจมผี ลกระทบในทางลบตอ่ ลกู จ้าง เช่น
ข้อมูลเก่ียวกบั พฤตกิ รรมทางเพศของลกู จ้าง
(3) ลูกจา้ งใหค้ วามยนิ ยอมให้นายจ้างเปิดเผยขอ้ มลู สว่ นบคุ คลของตนได้หรือไม่
(4) ขอ้ มูลสว่ นบคุ คลของลูกจ้างทำให้อยู่ในรูปแบบทไ่ี ม่ระบตุ วั ตนได้589
K2.9.2 เมื่อมีการเผยแพร่ข้อมูลเกยี่ วกบั ลูกจ้างบนฐานของความยินยอม นายจ้างต้องพิสูจน์ให้แน่
ชดั วา่ ตอนท่ลี กู จ้างไดใ้ หค้ วามยินยอม และลกู จ้างได้ตระหนกั ถึงข้อมูลส่วนบุคคลของตนท่ี
จะต้องถกู เปิดเผย วิธกี ารเปิดเผยขอ้ มลู และ ผลกระทบจากการเปดิ เผยขอ้ มูลดงั กลา่ ว590
588 SoftBank, ‘Privacy Policy for Personal Employee's Data Subject to GDPR’ (SoftBank) <https://
www.softbankrobotics.com/corp/privacypolicy/pegdpr/> accessed 2 December 2020.
589 ICO Employment Practices Code, p.49.
590 ICO Employment Practices Code, p.51.
452 Thailand Data Protection Guidelines 3.0
K2.9.3 [การโอนข้อมลู ส่วนบุคคลของลกู จ้างไปยังตา่ งประเทศ] ในกรณที ีน่ ายจ้างมคี วามจำเป็น
ที่จะตอ้ งโอนข้อมูลส่วนบุคคลของลูกจา้ งไปยังผคู้ วบคุมขอ้ มลู ส่วนบุคคลหรือผู้ประมวลผล
ข้อมูลในต่างประเทศ เช่น โอนไปยังบริษัทในเครือซึ่งมีสภาพบุคคลแยกต่างหากจากตัว
นายจา้ ง นายจา้ งจะตอ้ งปฏบิ ัติหนา้ ทท่ี ก่ี ฎหมายกำหนด
(1) ขอความยินยอมจากลูกจ้างหรืออ้างอิงฐานทางกฎหมายอื่นนอกเหนือจากการขอ
ความยินยอม591
(2) โอนขอ้ มลู ได้เฉพาะเม่ือประเทศปลายทางหรือองค์การระหว่างประเทศท่ีรับข้อมูล
ส่วนบคุ คลตอ้ งมีมาตรฐานการคมุ้ ครองข้อมลู ส่วนบุคคลท่ีเพียงพอ เว้นแต่
- เป็นการปฏิบัตติ ามกฎหมาย
- ไดร้ ับความยินยอมจากเจา้ ของข้อมูลส่วนบุคคลโดยได้แจง้ ให้เจ้าของข้อมูล
ส่วนบุคคลทราบถงึ มาตรฐานการคุ้มครองขอ้ มูลส่วนบุคคลทไ่ี มเ่ พียงพอของ
ประเทศปลายทางหรือองคก์ ารระหวา่ งประเทศท่รี ับขอ้ มลู สว่ นบคุ คลแลว้
- เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็น
ค่สู ัญญาหรือเพอื่ ใชใ้ นการดำเนนิ การตามคำขอของเจ้าของข้อมลู สว่ นบุคคล
กอ่ นเข้าทำสญั ญาน้ัน
- เปน็ การกระทำตามสัญญาระหว่างผูค้ วบคุมข้อมูลส่วนบุคคลกับบุคคลหรือ
นิติบุคคลอ่ืนเพือ่ ประโยชนข์ องเจา้ ของขอ้ มูลสว่ นบคุ คล
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของ
ข้อมูลส่วนบคุ คลหรือบุคคลอ่ืน เมื่อเจ้าของข้อมูลส่วนบคุ คลไม่สามารถให้
ความยินยอมในขณะน้ันได้
- เป็นการจำเป็นเพอ่ื การดำเนนิ ภารกิจเพอื่ ประโยชนส์ าธารณะทีส่ ำคญั 592
(3) ในกรณีที่ประเทศปลายทางยังไม่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่
เพียงพอและไม่สามารถปรับใช้ข้อยกเว้นตามมาตรา 28 ของพระราชบัญญัติ
คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ นายจ้างอาจกำหนดนโยบายในการ
ค้มุ ครองขอ้ มลู สว่ นบุคคลเพื่อการส่งหรือโอนข้อมูลส่วนบคุ คลไปยงั ผู้ควบคุมข้อมูล
591 พระราชบัญญตั ิคุม้ ครองขอ้ มูลสว่ นบุคคล พ.ศ. 2562, มาตรา 27. 453
592 พระราชบญั ญัตคิ มุ้ ครองขอ้ มูลสว่ นบคุ คล พ.ศ. 2562 มาตรา 28.
ศูนยว์ ิจยั กฎหมายและการพัฒนา คณะนติ ิศาสตร์ จฬุ าลงกรณม์ หาวิทยาลยั
ส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ต่างประเทศและอยู่ในเครือ
กจิ การหรือเครือธรุ กจิ เดียวกนั เพ่อื การประกอบกิจการหรอื ธุรกิจร่วมกัน593
K2.10 [การควบรวมกจิ การ การซ้ือกจิ การ และการจัดองคก์ รใหม่] การควบรวมกจิ การ การซื้อ
กิจการ และการจดั องค์กรใหม่ มีความเกี่ยวขอ้ งกับการเปิดเผยขอ้ มูลสว่ นบคุ คลของลกู จ้าง
ซึ่งอาจเกิดขึ้นระหว่างการประเมนิ ทรัพยส์ ินและหนี้สินก่อนการตัดสินใจควบรวมกิจการ
หรือซ้ือกจิ การครงั้ สดุ ท้าย ซึง่ การตดั สินใจเปิดเผยข้อมลู สว่ นบคุ คลนัน้ ตอ้ งมีข้ึนก่อนหรือใน
ขณะทจี่ ะมีการควบรวมกิจการจรงิ สถานการณท์ ี่คล้ายคลึงกันนี้เกิดข้ึนได้ในองค์กรใหม่ท่ี
เกี่ยวข้องกับการถ่ายโอนการจ้างงานของลูกจา้ งจากนิติบุคคลหนึ่งไปยงั อีกนิติบุคคลหนึ่ง
ซ่งึ ในข้อน้จี ะใหค้ ำอธบิ ายเกยี่ วขอ้ งกบั สถานการณด์ งั กลา่ ว594
K2.10.1 [การเปิดเผยข้อมลู ส่วนบุคคล] การสง่ ข้อมูลสว่ นบคุ คลของลกู จ้างไปยังอีกนิติบุคคลหน่ึง
โดยเหตุข้างต้นน้ัน นายจ้างจะต้องตรวจสอบใหแ้ น่ใจวา่ ข้อมลู ส่วนบุคคลทถี่ กู ส่งไปนั้น เป็น
ข้อมูลที่ไม่สามารถระบุตัวตนของลกู จ้างได้ เมื่อข้อมูลบางอย่างไมถ่ ูกระบตุ ัวตนได้ เช่นนี้
อาจเป็นการลดความสามารถในการวิเคราะหข์ ้อมูลของอีกฝ่าย เช่น การไม่สามารถระบุ
อายขุ องลูกจา้ งในบริษทั ที่จะถกู ควบรวม คสู่ ญั ญาจึงต้องปรึกษาหารอื กันเพ่ือหาทางออกท่ี
เป็นประโยชน์ที่สุดของท้ังสองฝ่าย โดยคู่สัญญาฝ่ายท่ีต้องเปิดเผยข้อมลู อาจเลือกหาทาง
ออกอื่น เช่น ให้การยืนยันกับอีกฝ่ายในการระบอุ ายุลกู จ้างเปน็ ชว่ งอายุแทน หรือการให้
ข้อมูลในรูปแบบอื่น เช่น ข้อมูลสรุปเงินเดือนรวมของลูกจ้าง ข้อมูลช่วงเงินเดือนเฉล่ีย
สำหรับตำแหน่ง หรือข้อมูลตัวอย่างสัญญาจ้างงานสำหรับลูกจ้างที่ไม่ได้อยู่ในตำแหน่ง
สำคัญอนั อาจระบตุ ัวตนได้
K2.10.2 โดยข้อมูลดังกล่าวควรจะคัดเลือกให้ส่งไปเฉพาะข้อมูลส่วนบุคคลที่จำเป็นต้องใช้เพ่ือ
วัตถุประสงค์ดังกลา่ ว ถูกส่งไปในขน้ั ตอนสุดทา้ ยก่อนการควบรวมกจิ การหรือการตัดสินใจ
ซื้อกิจการ ข้อมูลนั้นจะถูกรับรองว่านำไปใช้เพียงวัตถุประสงค์เพื่อสำหรับการประเมิน
มูลค่าของกจิ การของนายจ้างเท่านั้น เช่น จำนวนลูกจ้าง ความสามารถลูกจ้าง เงินเดือน
ตลอดจนมูลค่าทรัพย์สินและหนี้สินของกิจการ โดยที่ข้อมูลดังกล่าวจะถูกเก็บไว้เป็น
593 พระราชบัญญัติคุม้ ครองข้อมลู ส่วนบุคคล พ.ศ. 2562 มาตรา 29.
594 ICO Employment Practices Code, p.52.
454 Thailand Data Protection Guidelines 3.0
ความลบั และควรจำกัดให้เฉพาะบคุ คลทีจ่ ำเป็นต้องใช้ข้อมลู ดังกล่าวให้เข้าถึงข้อมูลน้ันได้
เท่านั้น รวมถึงไม่เปิดเผยข้อมูลต่อบุคคลภายนอกอื่นทีไ่ ม่เก่ียวข้องกบั กระบวนการ และ
ท้ายทีส่ ดุ แลว้ ขอ้ มูลจะถกู ทำลายหรอื สง่ คืนเม่ือสิน้ สุดการใชข้ ้อมลู 595 ในกรณที ่ตี ้องเปิดเผย
ข้อมูลส่วนบุคคล นายจ้างต้องแจ้งลูกจ้างให้ทราบถึงการที่ต้องเปิดเผยข้อมูลส่วนบุคคล
ก่อนที่จะกระทำการดังกล่าว และนายจ้างต้องแน่ใจว่าลูกจ้างได้ทราบและตระหนักถึง
ขอบเขตของข้อมูลส่วนบุคคลของตนที่ถูกเปิดเผยและอาจจะถูกถ่ายโอนไปให้นายจา้ งคน
ใหม่หากการควบรวมกิจการสำเร็จ อีกทั้งอาจมีการเปิดเผยข้อมลู สว่ นบุคคลของลูกจา้ งท่ี
นายจ้างผู้ขายกิจการอ้างฐานประโยชน์โดยชอบด้วยกฎหมาย เช่น การเปิดเผยข้อมูล
สุขภาพของลกู จ้างทีท่ ุพพลภาพ โดยมวี ตั ถุประสงค์เพอ่ื การวิเคราะหห์ ากว่านายจ้างผู้อาจ
ซอื้ กิจการมีความจำเป็นในการปฏิบัติตามกฎหมายอนื่ ๆต่อไป
K2.10.3 เม่อื การควบรวมกิจการสมบูรณน์ ายจา้ งรายใหม่ต้องตรวจสอบให้แนใ่ จว่าข้อมลู ส่วนบุคคล
ของลูกจา้ งทตี่ นไดม้ าจากการควบรวมกิจการ การซอ้ื กจิ การ และการจัดองคก์ รใหม่น้ัน มี
ไว้ไม่เกินความจำเป็น มีความถูกต้อง และเกี่ยวข้องกับวัตถุประสงค์ในการมีข้อมูลน้ัน
เทา่ น้นั
K2.11 [การประเมินผลงานหรือศกั ยภาพของลกู จ้าง]
K2.11.1 [ขอ้ มลู ส่วนบคุ คลของลกู จ้างทเ่ี กยี่ วกับการประเมนิ ผลงานหรือศกั ยภาพของลูกจา้ ง] ใน
ระหว่างการจ้างงาน นายจ้างมีความจำเป็นที่จะต้องประเมินผลงานหรือศักยภาพของ
ลูกจ้างในหลายวาระและโอกาส เช่น ตั้งแต่เมื่อสิ้นสุดระยะเวลาทดลองงานและการ
ประเมนิ ประจำปี การประเมินเหล่านี้อาจนำไปสกู่ ารเล่ือนตำแหน่ง การประเมินเงินเดือน
หรือการใหอ้ อกจากงาน ในการประเมินดังกล่าวนายจ้างอาจเกบ็ รวบรวมขอ้ มูลส่วนบุคคล
ของลูกจ้างจากรายงาน (เช่น จากหัวหน้างานของลูกจ้าง) หรืออาจดำเนินการการ
ประเมินผลรอบทิศแบบ (360-degree appraisal) ซึ่งเปน็ การเก็บรวบรวมข้อมูลเกี่ยวกบั
พฤติกรรมของลกู จ้างจากบุคคลท่เี ก่ียวข้องกับลูกจ้างทุกฝา่ ย เช่น จากผอู้ ยใู่ นบังคับบัญชา
595 ICO Employment Practices Code, p.52. 455
ศนู ย์วจิ ัยกฎหมายและการพัฒนา คณะนติ ิศาสตร์ จุฬาลงกรณ์มหาวทิ ยาลัย
เพ่ือนรว่ มงาน ผ้บู งั คบั บัญชา596 หรอื อาจเก็บรวบรวมข้อมลู จากการประเมินความพึงพอใจ
ในการให้บริการของลูกจ้างจากบคุ คลภายนอก
K2.11.3 [หน้าที่ของนายจ้าง] นายจ้างจะต้องเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของลูกจ้าง
เฉพาะเท่าทจ่ี ำเปน็ ตอ่ การประเมนิ ผลงานหรือศกั ยภาพของลูกจ้างเทา่ น้นั
- การเกบ็ รวบรวมและใช้ขอ้ มลู เก่ยี วกับเช้อื ชาติ วนั เกดิ หรือประวตั ิการศึกษา (ซึ่งอาจ
มีความจำเปน็ ในข้ันตอนการรับสมคั รและคดั เลอื ก) อาจเป็นการเก็บรวบรวมและใช้
ข้อมลู ส่วนบุคคลที่เกนิ ความจำเป็นสำหรบั การประเมินศกั ยภาพประจำปีของลูกจ้าง
- ข้อมูลเกี่ยวกับการประเมินศักยภาพและผลงานของลูกจ้างนั้นควรถูกเก็บรวบรวม
เอาไว้โดยมรี ะยะเวลาจำกดั กล่าวคอื ตราบเท่าที่ยังจำเปน็ ต่อการประเมินและปฏิบัติ
หน้าที่ในฐานะนายจา้ ง ข้อมูลเกี่ยวกบั การประเมินผลงานหรือศักยภาพของลกู จ้าง
ควรถกู ลบหรอื ทำลายเมอื่ ความจำเปน็ ดังกลา่ วหมดลงแลว้
K2.12 [การดำเนินการทางวินัยและการร้องเรยี น]
K2.12.1 [ข้อมูลส่วนบุคคลของลูกจ้างที่เกี่ยวกบั การดำเนินการทางวนิ ัย] การดำเนินการทางวินัย
และการร้องเรยี น (disciplinary and grievances processes) อาจเกดิ ข้ึนโดยการสื่อสาร
กันระหว่างเจ้าหน้าท่ีฝา่ ยทรพั ยากรบุคคลกับพยานหรือผู้รอ้ งเรียน โดยมีการเก็บรวบรวม
ข้อมูลเชน่
- ลูกจ้างคนหนึ่งส่งอีเมลไปยังเจ้าหน้าที่ฝ่ายทรัพยากรบุคคลเพื่อร้องเรียนถึง
พฤติกรรมของลกู จ้างอกี คนหน่ึง
- นายจ้างมอบหมายให้มีบุคคลากรในองค์กรรับผิดชอบในการรวบรวมข้อมูล
เก่ยี วกบั พฤติกรรมของลกู จา้ ง
596 European Data Protection Supervisor, ‘Evaluation of staff procedures (annual appraisal,
probation, promotion)’ (EDPS, November 2020) <https://edps.europa.eu/data-protection/data-
protection/reference-library/evaluation-staff_en> accessed 15 November 2020.
456 Thailand Data Protection Guidelines 3.0
K2.12.2 [หน้าที่ของนายจ้าง] ข้อมูลเกี่ยวกับพฤติกรรมของลูกจ้างที่นายจ้างได้รับการแจ้งหรือ
ร้องเรียนตลอดจนข้อมูลที่ได้จากการเก็บรวบรวมนั้นเป็นข้อมูลส่วนบุคคลตามกฎหมาย
ด้วยเหตนุ ี้ นายจ้างจึงมหี นา้ ทีต่ ามกฎหมายในฐานะผคู้ วบคมุ ขอ้ มลู สว่ นบคุ คล เช่น597
- ดำเนนิ การใหแ้ นใ่ จวา่ เจา้ หน้าท่ีฝ่ายทรพั ยากรบคุ คลหรือบคุ คลทีไ่ ด้รบั มอบหมาย
ให้รวบรวมข้อมูลในกระบวนการตระหนักถึงสิทธิของลูกจ้างในฐานะเจ้าของ
ข้อมลู สว่ นบุคคล เชน่ สทิ ธใิ นการเขา้ ถึงข้อมลู สว่ นบคุ คลของตน (ตามท่ีได้กล่าว
ในหวั ข้อ K2.6)
- การดำเนินการเพื่อให้ได้ซ่ึงข้อมูลส่วนบุคคลในการดำเนินการทางวินัยและการ
ร้องเรียนนั้นจะต้องทำภายในขอบเขตที่จำเป็นเท่านั้น โดยข้อมูลที่ถูกเก็บ
รวบรวมน้ันจะตอ้ งมี “คุณภาพ” เพียงพอในการสรปุ ผลของการดำเนนิ การ
- ข้อมูลส่วนบุคคลที่ถูกเก็บรวบรวมในกระบวนการการดำเนินการทางวินัยและ
การร้องเรยี นถกู เก็บรกั ษาในระบบท่ีมีความมั่นคงปลอดภยั
- หากนายจ้างพิจารณาแล้วเห็นว่าลูกจ้างไม่ได้มีการกระทำอันมิชอบและไม่มี
ความผิดใด ๆ นายจ้างไม่ควรที่จะเก็บผลของการดำเนินการทางวินัยอีกต่อไป
(เว้นแต่จะมเี หตผุ ลทจ่ี ำเปน็ ต้องเก็บข้อมลู ดังกล่าวเอาไว้)
K2.13 [การประมวลผลขอ้ มูลสว่ นบคุ คลของลูกจ้างโดยบคุ คลภายนอก]
K2.13.1 [การประมวลผลข้อมูลส่วนบุคคลของลูกจ้างโดยบุคคลภายนอก] กรณีที่นายจ้างอาจ
ไม่ได้บริหารจัดการข้อมูลส่วนบุคคลของลูกจ้างที่ตนเองครอบครองอยู่ด้วยตนเอง แต่
วา่ จา้ งองคก์ รภายนอกหรอื บุคคลทีส่ ามเข้ามาประมวลผลขอ้ มลู สว่ นบุคคลของลกู จา้ ง เชน่
- นายจ้างอาจว่าจ้างผู้เชี่ยวชาญด้านการคัดเลือกผู้มีความสามารถให้เข้ามา
ประเมนิ การทำงานของลกู จ้างในบรษิ ัท
- นายจ้างอาจว่าจา้ งให้บุคคลภายนอกนำข้อมูลส่วนบุคคลของลกู จ้างไปวิเคราะห์
เพื่อวางแผนพัฒนาบุคลากรของบรษิ ทั เปน็ ตน้
- นายจ้างอาจว่าจ้างให้บคุ คลภายนอกซง่ึ เช่ียวชาญด้านสุขภาพให้ทำการประเมิน
การใช้สิทธิในการลาหรือการเบิกสวัสดิการต่าง ๆ ซึ่งจะต้องการใช้ข้อมูลส่วน
บุคคลของลูกจา้ ง
597 ICO Employment Practices Code, pp.54-55. 457
ศูนย์วิจัยกฎหมายและการพัฒนา คณะนติ ิศาสตร์ จฬุ าลงกรณ์มหาวิทยาลัย
K2.13.2 [สิ่งที่นายจ้างควรดำเนินการกับผู้ประมวลผลข้อมูลส่วนบุคคล] การที่บุคคลภายนอก
ดำเนินการประมวลผลข้อมูลส่วนบุคคลของลูกจ้างตามคำสั่งของนายจ้างส่งผลให้
บุคคลภายนอกดงั กล่าวมีสถานะเปน็ ผ้ปู ระมวลผลข้อมูลสว่ นบคุ คล ดว้ ยเหตุน้ี
- นายจา้ งจงึ มีหน้าท่ีตามกฎหมายจดั ทำขอ้ ตกลงระหวา่ งผคู้ วบคุมข้อมูลส่วนบคุ คล
และผู้ประมวลผลข้อมลู สว่ นบคุ คล598
- จะต้องตรวจสอบว่าผปู้ ระมวผลข้อมูลส่วนบคุ คลน้ันมคี วามสามารถในการจัดให้
มีมาตรฐานการคุม้ ครองข้อมลู ส่วนบุคคลของลูกจ้างของตนหรือไม่599
K2.14 [การเกบ็ รกั ษาและการลบขอ้ มูล]
K2.14.1 [หน้าที่ของนายจ้าง] นายจ้างต้องมีการกำหนดข้อปฏิบัติในการจัดเก็บและการรักษา
ข้อมลู ของลกู จา้ งปัจจุบนั รวมถึงอดีตลูกจ้างโดยยึดตามเกณฑ์มาตรฐานสำหรับการจัดเก็บ
รักษาข้อมลู ประเภทต่าง ๆ อกี ทั้งนายจ้างจะต้องปกปดิ หรอื ไม่เปิดเผยขอ้ มูลส่วนบุคคลของ
ลกู จา้ งและอดตี ลกู จ้างเท่าท่ีในทางปฏิบตั ิจะสามารถทำได้600
K2.14.2 ข้อพิจารณาเกี่ยวกับการเก็บรักษาและลบข้อมูล] การเก็บรักษาข้อมูลส่วนบุคคลของ
ลูกจ้าง (และอดีตลูกจ้าง) โดยปราศจากความจำเป็นย่อมเป็นภาระของนายจ้างและอาจ
กอ่ ให้เกดิ ความเสย่ี งตอ่ การใช้ข้อมลู ส่วนบุคคลดงั กลา่ วโดยผดิ พลาดได้601
K2.14.3 [ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลของลูกจ้าง] นายจ้างอาจแจง้ กบั ลูกจ้างว่าจะ
เก็บรักษาข้อมูลส่วนบุคคลของลูกจ้างตราบเท่าท่ีมคี วามจำเป็นเพื่อวัตถุประสงคข์ องการ
เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล
598 พระราชบญั ญตั ิคุ้มครองข้อมลู สว่ นบคุ คล พ.ศ. 2562, มาตรา 40 วรรคสาม.
599 ICO Employment Practices Code, p.55.
600 ICO Employment Practices Code, p.56.
601 ใน ICO, ‘Guide to General Data Protection Regulation (GDPR)’ (ICO, May 2019) <https://ico.org.uk/
media/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-
gdpr-1-0.pdf> accessed 3 December 2020, หน้า 42.
458 Thailand Data Protection Guidelines 3.0
สำหรบั ลกู จ้าง และ รายละเอียดเก่ยี วระยะเวลาของการเก็บขอ้ มลู ส่วนบคุ คลตามท่ีมาตรา
23(3) ของพระราชบญั ญัติคุม้ ครองขอ้ มูลส่วนบุคคล พ.ศ. 2562 กำหนด ซึ่งจะยงั คงมีผล
ใช้บงั คบั ตอ่ ไปแมภ้ ายหลังจากการจา้ งงานสิน้ สุดลงแล้ว
ตัวอยา่ งนโยบายของระยะเวลาการเกบ็ รักษาและลบข้อมลู สว่ นบุคคล602
Data Retention and Disposal Policy
ขอ้ ความเบ้อื งต้น
เมอื่ มกี ารเกบ็ รวบรวม ใช้ หรือเปดิ เผยขอ้ มูลส่วนบุคคลของพนกั งาน บริษทั ฯ (หรือ “เรา”) มหี นา้ ทจ่ี ะตอ้ งปฏบิ ัติ
ตามมาตรา 23(3) ของพระราชบญั ญัติคุ้มครองข้อมลู สว่ นบุคคล พ.ศ. 2562 โดยบริษทั ฯ จะไม่ทำการเกบ็ ขอ้ มลู
ส่วนบุคคลเม่ือไม่มคี วามจำเปน็ ที่จะตอ้ งมกี ารดำเนินการตามนโยบายนี้
ขอบเขตการใช้
นโยบายนก้ี ำหนดระยะเวลาการเกบ็ รักษาและเงอื่ นไขในการทำลายขอ้ มูลส่วนบคุ คลซ่ึงบรษิ ัทฯ ครอบครองอยู่ ไม่
วา่ จะอยใู่ นรูปแบบอิเล็กทรอนิกส์ หรือเอกสารอื่นใด ซึง่ หมายรวมถึง (แต่ไมจ่ ำกัดเพยี ง) จดหมาย อีเมล การจด
ขอ้ ความ ข้อมลู การเงิน รายงาน เอกสารทางกฎหมาย หรือรปู ภาพใด ๆ ทม่ี ขี ้อมูลสว่ นบคุ คลอยู่
ระยะเวลาการเก็บรกั ษาข้อมูลสว่ นบคุ คล (ของลกู จ้าง)
ประเภทของขอ้ มลู ส่วนบคุ คล ระยะเวลาการเกบ็ รกั ษา603
ข้อมลู เกยี่ วกบั สัญญาจา้ งแรงงาน เก็บไว้ตลอดระยะเวลาของสญั ญาจ้างแรงงาน และ
- ขอ้ ความใด ๆ เก่ียวกับสัญญาจา้ งแรงงาน 10 ปีนับแต่เลิกสัญญา หรือตามระยะเวลาที่
- เอกสารท่ีแสดงการเปล่ยี นแปลงสภาพการจ้าง กฎหมายอื่นกำหนด (ไว้ป้องกันในกรณีที่นายจ้าง
อาจถูกฟ้องรอ้ งเรยี กคา่ ชดเชยซง่ึ มีอายคุ วาม 10 ป)ี
ขอ้ มูลเกย่ี วกับการจ่ายเงินใหก้ บั ลูกจา้ ง เก็บรักษาไว้ตลอดจนระยะเวลาของสัญญาจ้าง
- คา่ แรง และรายละเอียดเก่ียวกบั การจ่ายเงนิ แรงงาน และจะเกบ็ ไวอ้ ีก 2 ปนี ับแต่เลกิ สญั ญา
ดังกลา่ ว
- รายละเอยี ดเกี่ยวกับคา่ ล่วงเวลา
- การจ่ายโบนัส
- คา่ ใช้จา่ ยใด ๆ
- ผลประโยชนต์ อบแทนอื่นใด
602 Habasit (UK) Ltd, ‘Data Retention Policy (GDPR Compliant)’ (Habasit) <https://www.habasit.com/
assets/Data%20Retention%20Policy_Habasit_UK.pdf> accessed 13 September 2020.
603 หากมีกฎหมายหมายเฉพาะก็อาจกำหนดระยะเวลาใหส้ อดคล้องกับกฎหมายฉพาะในเรือ่ งนนั้ ๆ
ศนู ยว์ จิ ัยกฎหมายและการพัฒนา คณะนติ ิศาสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั 459
ตัวอยา่ งนโยบายของระยะเวลาการเกบ็ รักษาและลบข้อมลู ส่วนบุคคล602
Data Retention and Disposal Policy
ขอ้ มลู แสดงการจ่ายเงินใหก้ ับลกู จ้างของนายจ้าง เกบ็ ไว้ตลอดระยะเวลาของสัญญาจ้างแรงงานและ
จะเกบ็ ไว้อกี 2 ปนี บั แตเ่ ลกิ สัญญา (อายุความตาม
ประมวลกฎหมายแพง่ และพาณชิ ย์มาตรา
193/34(8) และ (9))
ขอ้ มูลเก่ียวกับชั่วโมงการทำงานและการจา่ ยค่าตอบแทน เก็บไวต้ ลอดระยะเวลาของสัญญาจ้างแรงงานและ
ใหก้ บั ลกู จ้าง จะเกบ็ ไว้อีก 2 ปนี ับแตเ่ ลิกสัญญา (อายุความตาม
ประมวลกฎหมายแพง่ และพาณิชย์มาตรา
193/34(8) และ (9))
ขอ้ มลู สว่ นบคุ คลของลกู จ้าง เกบ็ ไว้ตลอดระยะเวลาของสัญญาจ้างแรงงานจะเก็บ
- คณุ สมบตั ิของลกู จา้ ง ไว้อกี 10 ปนี บั แตเ่ ลกิ สัญญา604
- ความยินยอมในการใหเ้ ก็บรวบรวม ใช้ หรอื
เปดิ เผยข้อมูลสว่ นบุคคลทีม่ ีความออ่ นไหว
- ประวัติการลา
- ประวตั ิการถูกดำเนนิ ทางวินัย
- การลาออก การเลกิ จ้าง และการเกษียณ
ขอ้ มลู เกย่ี วกับการลาคลอดบตุ ร เก็บไวต้ ลอดระยะเวลาของสญั ญาจ้างแรงงานและ
- การจา่ ยค่าจา้ ง จะเกบ็ ไวอ้ กี 2 ปีนับแต่เลิกสญั ญา (อายคุ วามตาม
- การลา ประมวลกฎหมายแพง่ และพาณิชย์มาตรา
- ชว่ งเวลาของการลาโดยปราศจากสิทธิการรบั 193/34(8) และ (9))
ค่าจ้าง
ขอ้ มลู เกี่ยวกับอุบตั ิเหตุ เกบ็ ไวต้ ลอดระยะเวลาของสญั ญาจา้ งแรงงานจะเก็บ
- ขอ้ มลู เกีย่ วกบั อบุ ตั เิ หตุ การบาดเจบ็ หรอื การ ไว้อกี 10 ปีนบั จากเลิกสญั ญา605
ตายท่ีเก่ยี วกบั การทำงาน
การลบ ทำลาย หรอื ทำใหข้ ้อมลู นน้ั ไม่อาจระบุตวั บคุ คลได้606
604 ตามนัยคำพิพากษาศาลฎีกาท่ี 1568/2523 การฟ้องเรียกคา่ ชดเชยตามกฎหมายวา่ ด้วยการคุ้มครองแรงงานไม่มี
กฎหมายกำหนดอายคุ วามไวเ้ ปน็ พเิ ศษตอ้ งถือวา่ มีอายคุ วาม 10ปี
605 ประมวลกฎหมายแพง่ และพาณิชย์ มาตรา 448 บัญญัตวิ า่ สิทธิเรยี กรอ้ งคา่ เสียหายอันเกดิ แตม่ ูลละเมิดนน้ั ทา่ นว่า
ขาดอายคุ วามเมอ่ื พ้นปีหน่งึ นับแตว่ ันท่ผี ูต้ ้องเสียหายร้ถู ึงการละเมิดและรตู้ ัวผู้จะพงึ ต้องใช้คา่ สนิ ไหมทดแทน หรือเม่ือ
พน้ สบิ ปนี บั แต่วนั ทำละเมดิ
606 นายจา้ งควรใช้ความระมดั ระวังในการเลือกผใู้ หบ้ รกิ ารการทำลายเอกสาร
460 Thailand Data Protection Guidelines 3.0
ตวั อยา่ งนโยบายของระยะเวลาการเกบ็ รักษาและลบขอ้ มลู ส่วนบคุ คล602
Data Retention and Disposal Policy
เมอื่ หมดความจำเป็นทีจ่ ะต้องเกบ็ ขอ้ มูลตามระยะเวลาท่ีระบุในเอกสารนแ้ี ล้ว บรษิ ัทฯ มีหน้าทจี่ ะต้อง ลบ หรือ
ทำลายข้อมูลส่วนบคุ คลน้ันอย่างถาวร (permanently) หรือทำให้ข้อมูลนั้นไมอ่ าจระบุตัวบุคคลได้ โดยบริษทั ฯ
อาจเลือกที่จะดำเนินกระบวนการดงั ต่อไปนี้
- เอกสารในรูปแบบอเิ ล็กทรอนกิ สจ์ ะต้องถูกลบด้วยวิธีการทีท่ ำใหข้ ้อมูลน้ันไม่อาจถกู เขา้ ถึงไดอ้ ีกเลย
- ข้อมูลส่วนบุคคลที่ถูกเก็บอยู่ในอุปกรณ์ที่เก็บข้อมูลหรือวัตถุใด ๆ จะต้องถูกลบออกจากอุปกรณ์
ดังกลา่ วกอ่ นทีจ่ ะมกี ารทิง้ อุปกรณ์นน้ั
- ในกรณีท่ขี ้อมูลส่วนบคุ คลน้นั ไม่สามารถถูกลบจากอุปกรณ์ได้ จะตอ้ งมกี ารทำลายตัวอุปกรณ์นั้นโดย
บุคคลทีม่ ีสิทธิหรือบรษิ ทั ทไ่ี ดร้ ับอนุญาตให้ประกอบกจิ การทำลาย
- กระดาษจะต้องถูกทำลายโดยเครือ่ งย่อยกระดาษ
K3. การตรวจสอบในที่ทำงาน
K3.1 แนวทางทั่วไปในการตรวจสอบ
K3.2 ตรวจสอบการส่อื สารทางอเิ ล็กทรอนิกส์
K3.3 การตรวจสอบวิดโี อและเสยี ง
K3.4 การตรวจสอบโดยลบั
K3.5 การตรวจสอบการใชย้ านพาหนะ
K3.6 การตรวจสอบข้อมูลจากบุคคลท่ีสาม
K3.1 แนวทางทว่ั ไปในการตรวจสอบ
K3.1.1 [ความจำเป็นในการเก็บขอ้ มูลสว่ นบคุ คลเพอ่ื ตรวจสอบการทำงาน] นายจา้ งอาจมคี วาม
จำเปน็ ท่จี ะต้อง “ตรวจสอบ” การทำงานของลกู จ้างโดยกระบวนการดงั กล่าวอาจมี
ประเดน็ ทเี่ กีย่ วข้องกบั ขอ้ มลู สว่ นบคุ คลของลกู จ้างเชน่ 607
- ตรวจสอบขอ้ มูล ณ จุดชำระเงิน (ในกรณีของรา้ นค้า) เพื่อตรวจสอบประสิทธภิ าพของ
ลกู จา้ งขายเป็นรายบุคคล
607 ICO Employment Practices Code, p.59. 461
ศูนยว์ ิจัยกฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลัย
- การเก็บภาพการทำงานของลกู จา้ งผา่ นกล้องวงจรปิดเพอื่ ตรวจการทำงานของลูกจา้ ง
- การสมุ่ ตรวจอีเมลหรือการสนทนาของลกู จ้างเพือ่ ตรวจสอบการกระทำทีไ่ ม่ถูกต้อง
- การใช้ระบบอตั โนมัติในการตรวจสอบว่าลูกจ้างมีการส่งหรือรับอีเมลที่ไม่เหมาะสม
หรือไม่
K3.1.2 [ขอ้ พิจารณาเบ้ืองตน้ ] ลกู จา้ งอาจถกู ลว่ งล้ำความเป็นส่วนตัวเนื่องจากการตรวจสอบในท่ี
ทำงานนั้น โดยหลักแล้วลูกจ้างย่อมมีสิทธิที่จะได้รับความเป็นส่วนตัวในที่ทำงานอย่าง
เหมาะสมและตามสมควร หากนายจ้างประสงค์จะตรวจสอบ นายจ้างต้องแจ้งลูกจ้าง
เกย่ี วกบั วัตถปุ ระสงค์ในการตรวจสอบและประโยชนท์ ่แี ท้จรงิ ของการตรวจสอบนั้น
(1) ลูกจ้างทุกคนควรจะตอ้ งไดร้ ับการแจ้งให้ตระหนักถึงลักษณะขอบเขตและเหตุผล
ของการตรวจสอบดงั กลา่ วเวน้ แตจ่ ะเป็นการตรวจสอบโดยลับ
(2) ลูกจ้างควรไดร้ ับการชี้แจงถงึ ขอบเขตและข้ันตอนการตรวจสอบเพ่ือช่วยให้ลูกจ้าง
สามารถคาดหมายถึงกระบวนการดังกลา่ วและมีส่วนช่วยให้นายจ้างสามารถอ้าง
ฐานประโยชนอ์ ันชอบดว้ ยกฎหมายได้608
K3.1.3 [พิจารณาผลกระทบและฐานทางกฎหมาย] ในการติดตั้งหรือจัดการระบบตรวจสอบ
ลูกจ้างในที่ทำงาน นายจ้างจะต้องคำนึงถึงเรื่องผลกระทบเชิงลบที่ลูกจ้างอาจได้รับและ
การถกู ละเมดิ สิทธคิ วามเป็นส่วนตัวจากการตรวจสอบดงั กลา่ ว ด้วยเหตุน้ี
- นายจ้างจะตอ้ งพจิ ารณาถึงความสมเหตสุ มผล ความจำเป็น และ ผลกระทบเชงิ ลบ
ทีอ่ าจเกดิ กบั ลูกจา้ ง หากพิจารณาแลว้ เป็นไปดังท่ีกลา่ ว นายจ้างย่อมตอ้ งหาวิธีการ
ตรวจสอบทเี่ หมาะสมและตามสมควรแทน609
- การทลี่ ูกจา้ งให้ความยินยอมแก่นายจ้างในการที่นายจ้างจะใช้ระบบการตรวจสอบ
หรือกล้องวงจรปิดเพื่อตรวจสอบการทำงานของลูกจ้างนั้นอาจเป็ นการให้ความ
ยินยอมที่ปราศจากความอิสระเนื่องจากสถานะความเป็นลูกจ้างและนายจ้าง (ซ่ึง
โดยปกติแล้วลูกจ้างจะมีอำนาจต่อรองในทางเศรษฐกิจที่ต่ำกว่า) ด้วยเหตุนี้
นายจ้างจงึ ไม่อาจอาศัยความยินยอมท่ลี ูกจ้างได้ให้ภายใตส้ ถานการณ์ดังกล่าวเพ่ือ
608 ICO Employment Practices Code, p.64.
609 ICO Employment Practices Code, p.61.
462 Thailand Data Protection Guidelines 3.0
เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของลูกจ้างเพื่อวัตถปุ ระสงค์ในการตรวจสอบ
ได6้ 10
K3.1.4 [ประโยชน์อนั ชอบธรรมของนายจ้าง] หากนายจ้างประสงคจ์ ะอ้างฐานประโยชน์อันชอบ
ด้วยกฎหมายเพื่อเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของลูกจ้าง (เพื่อประโยชน์ในการ
ตรวจสอบการทำงานของลูกจา้ ง) นายจา้ งจะตอ้ งพิจารณาเรอ่ื งต่าง ๆ ดังตอ่ ไปน้ี
- ประโยชนอ์ ันชอบธรรมทน่ี ายจ้างจะไดร้ บั จากการตรวจสอบ
- ความจำเป็นในการดำเนินการดังกลา่ ว เช่น การใช้ระบบการตรวจสอบหรือกลอ้ ง
วงจรปดิ นั้นเป็นเพียงหาทางเดยี วท่ีเหมาะสมในการตรวจสอบการทำงาน และไม่มี
ทางเลือกอื่นท่ีสร้างผลกระทบต่อสิทธิของลกู จา้ งน้อยกวา่
- ผลกระทบตอ่ สิทธิของลกู จ้างน้ันไม่ไดม้ ากไปกว่าประโยชน์อันชอบธรรมที่นายจ้าง
จะได้รับจากการตรวจสอบ (การป้องกันและลดผลกระทบต่อสิทธิของลูกจ้างอาจ
ดำเนนิ การโดยการท่ี นายจ้างไมท่ ำการตรวจสอบในพ้นื ที่บางส่วน เช่น หอ้ งนำ้ หรือ
หอ้ งสำหรับการปฏบิ ัตพิ ิธีกรรมทางศาสนา)611
K3.1.5 [การพิจารณาผลกระทบต่อสิทธิของลูกจ้าง] ในการพิจารณาผลกระทบต่อสิทธิของ
ลกู จา้ งนน้ั นายจา้ งอาจพิจารณาถงึ
- ลกั ษณะของขอ้ มูลสว่ นบุคคลของลูกจา้ งท่ีจะถกู เก็บรวบรวมและใช้
- การคาดหมายได้อยา่ งสมเหตุสมผล (reasonable expectation) ของตวั ลูกจา้ ง
- ผลกระทบท่ีอาจเกดิ ขึ้นและการมีมาตรการท่ีช่วยลดผลกระทบจากการใช้ระบบการ
ตรวจสอบหรอื กลอ้ งวงจรปดิ เพอ่ื ตรวจสอบการทำงาน
610 Article 29 Working Party, ‘Guidelines on consent under Regulation 2016/679’ (EC, April 2018)
<file:///C:/Users/LLM/Downloads/20180416_Article29WPGuidelinesonConsent_publishpdf.pdf>
accessed 3 December 2020, หนา้ 7.
611 Article 29 Data Protection Working Party, ‘Opinion 2/2017 on data processing at work’ (EC, June
2017)<file:///C:/Users/LLM/Downloads/Opinion22017ondataprocessingatwork-wp249.pdf> accessed
3 December 2020> หน้า 7-8.
ศนู ย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลยั 463
K3.1.6 กอ่ นท่จี ะมีการตรวจสอบใด ๆ เกดิ ขนึ้ นายจ้างจะตอ้ งแจ้งใหล้ ูกจา้ งทราบถงึ วตั ถปุ ระสงค์
ในการตรวจสอบ ประโยชน์ที่แท้จริงและขอบเขตของการตรวจสอบ ตลอดถึงผลกระทบ
อันไม่พึงประสงค์ที่อาจเกิดจากการตรวจสอบน้ัน เว้นแต่ว่าการตรวจสอบดังกลา่ วจะเปน็
การตรวจสอบในทางลับ หากการตรวจสอบนั้นนายจ้างอ้างว่าเป็นการตรวจสอบตาม
นโยบายขององค์กร นายจ้างควรกำหนดนโยบายและมีระเบียบปฏิบัติที่เป็นลายลักษณ์
อักษรโดยชัดแจ้ง และ นายจ้างจะต้องคอยตรวจสอบให้แน่ใจว่าลูกจ้างได้ตระหนักถึง
นโยบายดังกล่าว612 และหากว่าการตรวจสอบนั้นอาจเกิดผลกระทบต่อลูกจ้าง นายจ้าง
ตอ้ งแจง้ แกล่ กู จ้างและให้ลูกจา้ งไดแ้ สดงความเห็นเกย่ี วกบั เรอ่ื งดังกล่าวกอ่ นท่ีจะเริ่มมีการ
ตรวจสอบ613
K3.1.7 [ข้อจำกัดของนายจ้าง] เมื่อนายจ้างตัดสินใจที่จะตรวจสอบลูกจ้างในที่ทำงาน นายจ้าง
ต้องพึงตระหนักว่าการใช้ข้อมลู ส่วนบุคคลที่รวบรวมผ่านการเฝ้าติดตามวัตถุประสงค์อนื่
นอกเหนือจากการจ้างงานนั้นมีข้อจำกัด เว้นแต่ เปิดเผยกิจกรรมที่นายจ้างโดยทั่วไปไม่
อาจจะเพิกเฉยได้
(1) ห้ามมใิ หต้ รวจสอบลูกจา้ งเพียงเพราะลูกค้า สินคา้ หรอื บรกิ ารมีการกำหนดเง่ือนไข
ให้ต้องทำเช่นนัน้ เว้นแต่นายจ้างจะสามารถตอบสนองตัวเองได้ว่าเงือ่ นไขน้ันเปน็
ธรรม614
(2) ก่อนการเรม่ิ ตรวจสอบลูกจา้ งน้ัน นายจ้างจะตอ้ งระบุว่าบคุ คลหรอื หน่วยงานใดใน
องค์กรมีอำนาจหน้าที่ดังกล่าว โดยที่นายจ้างต้องแน่ใจว่าบุคคลนั้นตระหนักถึง
หน้าที่และความรับผิดของนายจ้างในฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลตาม
พระราชบัญญตั คิ ุมครองขอ้ มูลส่วนบุคคล พ.ศ. 2562
K3.1.8 ในส่วนของขอ้ มูลที่ได้จากการตรวจสอบ นายจา้ งต้องจำกัดตัวบุคคลทจ่ี ะเข้าถึงข้อมูลการ
ซึ่งได้จากตรวจสอบนั้นให้น้อยที่สุดเพื่อเป็นการเก็บรักษาข้อมูลให้ปลอดภัยและเป็น
ความลบั
612 ICO Employment Practices Code, p.65.
613 ICO Employment Practices Code, p.67.
614 ICO Employment Practices Code, p.68.
464 Thailand Data Protection Guidelines 3.0
(1) นายจ้างต้องแนใ่ จว่าบคุ คลน้ันได้รบั การฝึกอบรมและมคี วามรอบรู้ในเร่ืองดังกล่าว
มาอย่างดี
(2) หากข้อมูลที่ได้ระหว่างการตรวจสอบเป็นข้อมูลที่มีความอ่อนไหว นายจ้างต้อง
ดำเนินการใหก้ ารเกบ็ รวบรวมและเข้าถงึ ขอ้ มูลสว่ นบุคคลทม่ี ีความออ่ นไหวดังกล่าว
มฐี านทางกฎหมายรองรบั 615
K3.2 [ตรวจสอบการสื่อสารทางอิเลก็ ทรอนกิ ส์]
K3.2.1 [ข้อพจิ ารณาเบ้อื งตน้ ] แม้วา่ ลูกจ้างจะถูกหา้ มไมใ่ ห้ใชโ้ ทรศัพท์ อเี มล หรอื เว็บไซต์เพื่อการ
ส่วนตัวในระหว่างการทำงาน ในทางปฏิบัติอาจมีกรณีที่ลูกจ้างฝ่าฝืนข้อห้ามดังกล่าวได้
ดังนั้น หากนายจ้างจะต้องมีการตรวจสอบและควบคุมสิ่งเหล่านี้ ต้องมีการชี้แจงที่มา
เหตุผล และ เงอ่ื นไขของการตรวจสอบอย่างชัดเจน เพอ่ื ใหล้ ูกจา้ งเข้าใจและสามารถปฏบิ ัติ
ตามได้ หากภายหลังพบว่าลูกจ้างฝ่าฝืนข้อกำหนดนี้ ก็ต้องรับผิดและรับการลงโทษทาง
วนิ ัย
K3.2.2 [แนวการปฏิบัติ] หากนายจ้างต้องการตรวจสอบอุปกรณ์หรือช่องทางการสื่อสารเช่น
โทรศพั ท์และอีเมล นายจา้ งควรกำหนดให้มีนโยบายของการใช้ และ การสอ่ื สารกบั ลูกจ้าง
คนอน่ื ๆ ซ่ึงหลกั การกำหนดคุณสมบตั ขิ องนโยบายโดยสรุปมีดังนี้616
(1) มกี ารกำหนดสถานการณท์ สี่ ามารถใชง้ านโทรศพั ท์ หรอื อีเมลเพอื่ การส่วนตัวได้ไว้
อย่างชดั เจน
(2) มีการกำหนดขอบเขต และ ประเภทของการใช้ โทรศัพท์และ อีเมลเพื่อการส่วน
ตัวอย่างชัดเจน เช่น ห้ามโทรออกต่างประเทศ ห้ามแนบไฟล์เอกสารที่มีขนาดเกนิ
กว่ากำหนดไวใ้ นอเี มลสอ่ื สาร
(3) การเข้าถงึ อนิ เตอรเ์ น็ต ใหก้ ำหนดข้อห้ามในการเขา้ ถึงขอ้ มูลบางประเภทเช่นข้อมูล
ที่ลักษณะ ก้าวรา้ ว และ สอ่ ไปทางเพศ ไวอ้ ย่างชดั เจน และ มีคำอธิบายให้เขา้ ใจถึง
615 ICO Employment Practices Code, p.66. 465
616 ICO Employment Practices Code, pp.69-70.
ศูนยว์ ิจยั กฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั
สง่ิ เหลา่ นนั้ โดยไม่ใหต้ ้องมีข้อสงสัยเพ่ิมเติมเช่นขอ้ ห้ามการเข้าถงึ ส่อื ลามก อนาจาร
ทกุ ประเภท
(4) แนะนำลูกจา้ งถงึ ข้อปฏิบตั ิในการเก็บรกั ษาข้อมลู ส่วนบคุ คล และ อธิบายถึงข้อมูล
ส่วนบคุ คลประเภททส่ี ามารถเอามาใชร้ วมกับการสือ่ สารได้
(5) ระบุให้ชัดเจนว่าสามารถใช้ทางเลือกใดได้บ้างเช่น การเก็บรักษาความลับ การ
ส่อื สารกับแพทย์ของบริษัทจะต้องทำการส่งทางไปรษณยี ภ์ ายใน ไม่ใชส่ ง่ ทางอีเมล
(6) วางกฎเกณฑส์ ำหรบั การใช้งานอุปกรณ์การสอ่ื สารของนายจา้ งเม่อื ต้องใชง้ านจากท่ี
บ้าน หรือนอกสถานท่ที ำงาน
(7) อธิบายวัตถุประสงค์ในการดำเนินการตรวจสอบใด ๆ รวมถึงขอบเขตของการ
ตรวจสอบและวิธกี ารทีใ่ ชใ้ นการตรวจสอบ
(8) สรุปวิธีการบังคับใช้นโยบายและบทลงโทษที่มีอยู่สำหรับกรณีที่มีไม่ปฏิบัติตาม
นโยบายดงั กลา่ ว
K3.3 [การตรวจสอบวีดีโอและเสียง] การตรวจสอบโดยระบบการบันทึกภาพเคลื่อนไหวที่ถกู
จบั ภาพโดยกล้องวงจรปดิ (CCTV) อาจถูกใช้ดว้ ยเหตผุ ลหลายประการ ไมว่ า่ จะเปน็ เหตุผล
อันเก่ียวกับความปลอดภัย หรอื ตรวจสอบประสิทธภิ าพการทำงานของลกู จ้าง
K3.3.1 เมือ่ นายจา้ งนำวิธีการตรวจสอบดังกล่าวมาใช้ นายจา้ งจะตอ้ งมีการแจ้งให้ลูกจ้างทราบถึง
การติดตั้งและการใช้งานระบบดังกล่าว โดยการติดป้ายบอก หรือ ประกาศในลักษณะท่ี
ชัดเจนและอ่านได้ โดยให้ข้อมูลเกี่ยวกับตำแหน่งที่ติดตั้ง ข้อมูลการทำงานของระบบ
CCTV รวมถึงข้อมูลสำหรับการติดต่อสอบถามบริษัทผู้ติดตั้งหรือให้บริการระบบ CCTV
เชน่ ที่อยู่ เบอร์โทรศัพท์ เวบ็ ไซต์ ท่ีมา และเหตผุ ลของการตรวจสอบโดยระบบ CCTV617
K3.3.2 หากข้อมูลส่วนบุคคลของลกู จ้างที่ถูกเก็บรวบรวมโดยบริษัทผู้ติดตั้งหรือให้บริการระบบ
CCTV นั้นเป็นการเก็บรวบรวมหรือใช้ตามคำสัง่ ของนายจ้าง บริษัทผู้ตดิ ตั้งหรือให้บริการ
ระบบ CCTV จะมีสถานะเป็นผปู้ ระมวลผลขอ้ มลู ส่วนบุคคล ซ่ึงจะต้องมีการจัดทำข้อตกลง
ระหว่างผูค้ วบคุมขอ้ มูลส่วนบุคคลและผปู้ ระมวลผลข้อมลู สว่ นบคุ คล
617 ICO Employment Practices Code, p.74.
466 Thailand Data Protection Guidelines 3.0
K3.4 [การตรวจสอบในทางลบั ]
K3.4.1 การท่นี ายจา้ งจะต้องดำเนนิ การตรวจสอบในทางลับ เชน่ โดยการซอ่ นกล้องถ่ายวิดีโอ หรอื
เครือ่ งดกั ฟังเพือ่ ตรวจสอบเสียง ซ่งึ เปน็ การตรวจสอบโดยทล่ี กู จ้างไม่ได้รับแจ้งไว้ล่วงหน้า
หรือ รับรู้ว่าถูกตรวจสอบนนั้ อาจเกิดขึน้ ในสถานการณท์ ไ่ี ม่ปกติ ในกรณนี ายจ้างต้องมีเหตุ
สมควรทจี่ ะใช้วิธกี ารตรวจสอบในทางลบั เชน่ การกระทำความผดิ ทางอาญาหรือการทุจริต
ต่อหน้าที่ ที่ตอ้ งไดร้ ับการตรวจสอบโดยเร็วที่สุดและเป็นส่วนหนึ่งของการสอบสวน โดยใน
ระหว่างการตรวจสอบและติดตามเพื่อป้องกันเหตุหรือการตรวจจบั อาชญากรนั้นนายจ้าง
ตอ้ งให้ความสนใจเฉพาะข้อมลู ส่วนบุคคลที่เกี่ยวข้องเท่าน้นั และควรเพิกเฉยต่อข้อมูลอ่ืน
ๆ ทไี่ ม่เก่ยี วข้อง เวน้ แตเ่ ปน็ ข้อมลู ที่นายจ้างโดยท่ัวไปไม่อาจเพกิ เฉยได้ เช่น การติดกล้อง
วีดีโอในห้องน้ำเพื่อตรวจสอบในทางลบั ว่าลูกจ้างบางคนลักลอบเสพยาเสพติดภายในนำ้
หรือไม่ ซึ่งการกระทำเชน่ นี้อาจเป็นการละเมิดสทิ ธิเสรีภาพความเป็นสว่ นตัวของลูกจ้าง
อนื่ ๆทไี่ มไ่ ดก้ ระทำความผดิ ดงั กล่าว เห็นไดว้ ่าเปน็ การกระทำทอี่ าจส่งผลเสียหายตอ่ ลูกจ้าง
อน่ื ๆ หรอื องคก์ ร และหากในทางปฏบิ ัติเปิดชอ่ งนายจ้างต้องลบข้อมูลอันไม่เก่ียวข้องท่ีได้
เกบ็ รวบรวมไว้ระหวา่ งการตดิ ตามตรวจสอบ และการตรวจสอบหรือเฝ้าตดิ ตามการกระทำ
ความผดิ ของลกู จ้างตอ้ งยตุ ิลงเมอื่ การสอบสวนเสรจ็ ส้นิ
K3.4.2 [ขอ้ ควรระวังของนายจา้ ง] นายจา้ งไม่ควรจะซอ่ นกล้องวดิ โี อหรือ อุปกรณ์ดักฟังในพ้ืนท่ีท่ี
ลูกจ้างคาดหมายว่าจะเปน็ พืน้ ท่ีส่วนตวั อยา่ งแทจ้ รงิ เช่น ห้องน้ำ ห้องเปลีย่ นเสือ้ ผ้า เป็น
ตน้ หากนายจ้างไดว้ า่ จ้างใหบ้ คุ คลภายนอกดำเนินการสืบค้นหรือตรวจสอบขอ้ มลู นายจ้าง
ทำสัญญาให้นักสืบเอกชนมาดำเนนิ การเพื่อรวบรวมข้อมูลใน ปฏิบัติตามภาระหน้าที่ของ
นายจา้ งภายใต้พระราชบัญญัติคุมครองข้อมูลส่วนบุคคล พ.ศ. 2562
K3.4.3 นักสืบเอกชนที่ถูกว่าจ้างจะมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งจะต้องมีการ
จัดทำข้อตกลงระหว่างผคู้ วบคุมขอ้ มูลสว่ นบคุ คลและผ้ปู ระมวลผลขอ้ มูลส่วนบคุ คล
ศูนย์วิจยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั 467
K3.5 [การตรวจสอบการใชย้ านพาหนะ]
K3.5.1 [ลักษณะของข้อมูลส่วนบุคคลที่เก็บรวบรวมจากการใช้ยานพาหนะ] ปัจจุบันมีระบบ
และอุปกรณเ์ ทคโนโลยี เชน่ ระบบจีพเี อส ทส่ี ามารถติดตงั้ ในยานพาหนะเพอื่ บนั ทึกหรือส่ง
ข้อมูลเช่นตำแหน่งของยานพาหนะ ระยะทางที่ครอบคลุม และข้อมูลเกี่ยวกับพฤติกรรม
การขบั ขีข่ องผใู้ ชย้ านพาหนะได้ โดยข้อมลู เหลา่ น้ีสามารถ
(1) ชว่ ยใหน้ ายจา้ งสามารถตรวจสอบประสิทธภิ าพการทำงานของลกู จา้ ง
(2) ตรวจสอบความปลอดภยั ของการใช้ยานพาหนะ
3.5.2 การตรวจสอบการเคล่อื นไหวของยานพาหนะ โดยท่ียานพาหนะจะถกู กำหนดไว้ให้กับผู้ขับ
ขี่เฉพาะ และข้อมูลที่เกี่ยวข้องกับยานพาหนะ เช่น รูปทรงและประสิทธิภาพของ
ยานพาหนะสามารถเชื่อมโยงกับเฉพาะแต่ละบุคคล618 ข้อมูลดังกล่าวจึงสามารถนำมาใช้
เพื่อระบตุ ัวบุคคลผูข้ ับขี่ยานพาหนะน้ันได้โดยทางอ้อม ด้วยเหตุนี้ การเก็บรวบรวมข้อมูล
ดังกลา่ วจงึ ถือได้วา่ เป็นการเก็บรวบรวมขอ้ มูลส่วนบุคคลของผู้ขับขี่ซงึ่ ตกอย่ภู ายใตข้ อบเขต
ของพระราชบัญญัติคุ้มครองข้อมลู สว่ นบคุ คล พ.ศ. 2562
K3.5.3 [ข้อพิจารณาในการเก็บรวบรวมข้อมูล] หากนายจ้างประสงค์จะเก็บรวบรวมขอ้ มูลจาก
การใช้ยานพาหนะเพื่อวัตถุประสงค์ในการตรวจสอบ พฤติกรรมของลูกจา้ งซึ่งเป็นผู้ขับขี่
ยานพาหนะ นายจ้างจะต้องทำการ “ชั่งน้ำหนัก” ของผลกระทบจากการดำเนินการ
ดงั กลา่ ว กล่าวคอื จะตอ้ งพจิ ารณาว่าผลประโยชน์นั้นมีน้ำหนักเพียงพอให้มีการตรวจสอบ
(หรือได้สัดส่วนกบั ผลกระทบที่เกิดขน้ึ )619
(1) ในกรณีที่ยานพาหนะนั้นสามารถถูกนำไปใช้ในทางส่วนตัว การตรวจสอบการ
เคล่อื นท่ขี องยานพาหนะในขณะที่มีการใชใ้ นทางส่วนตัว โดยทล่ี ูกจ้างไมไ่ ดใ้ ห้ความ
ยนิ ยอม อาจจะเปน็ กรณีท่ไี ม่มนี ำ้ หนักเพยี งพอ
(2) ในกรณที ่ยี านพาหนะน้ันสามารถถูกใชท้ ้ังในทางส่วนตวั และในทางการท่จี ้าง ระบบ
เทคโนโลยีที่นำมาติดตั้งในยานพาหนะ นายจ้างอาจดำเนินการให้มีปุ่มทางเลือก
618 ICO Employment Practices Code, p.76.
619 ICO Employment Practices Code, p.76.
468 Thailand Data Protection Guidelines 3.0
เพื่อให้ลูกจา้ งสามารถกดเพื่อเลือกว่าตนกำลงั ใช้ยานพาหนะในทางส่วนตัวหรอื ใน
ทางการท่ีจ้าง (หรอื อาจเรยี กไดว้ ่า “privacy button”)
(3) ในกรณที น่ี ายจ้างมหี นา้ ที่ตามกฎหมายทจ่ี ะต้องตรวจสอบยานพาหนะ (และแม้เป็น
กรณีการใช้ในทางส่วนตัว) เช่น มีหน้าที่จะต้องติดตั้งเครื่องมือที่ออกแบบมาเพื่อ
การควบคุมการขับขี่และยานพาหนะสำหรับรถบรรทุก (tachograph) นายจ้าง
ย่อมสามารถดำเนินการดังกล่าวได้แม้ไม่ได้ขอความยินยอมจากผู้ขับขี่ซึ่งเป็น
ลูกจ้าง620
K3.5.4 [ขอ้ พจิ ารณาสำหรับการตรวจสอบยานพาหนะในการขับข่ีบางประเภท] การตรวจสอบ
ยานพาหนะสำหรับการขับขี่บางประเภทนั้นอาจมีลักษณะเป็นการจำเป็นเพื่อปฏิบัติการ
ตามสัญญา เช่น การให้บริการรับสง่ ผู้โดยสารผ่านระบบออนไลน์ หรือบริการรบั ส่งสินคา้
หรือผู้โดยสารของบริษัท Grab หรือ Line ซึ่งผู้ให้บรกิ ารระบบออนไลน์ดังกล่าวจำเป็นท่ี
จะต้องรู้ถงึ ตำแหน่งของยานหนะเพ่อื ประโยชนใ์ นการตรวจสอบและจา่ ยค่าตอบแทนให้กับ
ผู้ขับข่ี ในกรณนี ผี้ ูใ้ หบ้ รกิ ารระบบอาจอาศยั ฐานความการจำเป็นเพ่อื การปฏิบัติตามสัญญา
ซึ่งผ้ขู ับขี่ยานพาหนะคือเจา้ ของข้อมลู ส่วนบคุ คลถือวา่ เป็นคสู่ ญั ญาของผใู้ ห้บริการดังกล่าว
ได้
K3.6 การตรวจสอบขอ้ มูลจากบคุ คลท่ีสาม
K3.6.1 [หน้าที่ในการใช้ความระมัดระวังของนายจ้าง] นายจ้างอาจมีความจำเป็นที่ต้อง
ตรวจสอบข้อมูลส่วนบุคคลของลูกจ้างซึ่งบุคคลภายนอกเป็นผู้เก็บรักษาอยู่ ในกรณีน้ี
นายจ้างจะต้องใช้ความระมัดระวังเป็นพิเศษเมื่อต้องการใช้ประโยชน์จากข้อมูลท่ี
บคุ คลภายนอกเกบ็ ไวเ้ ช่นข้อมลู เกีย่ วกบั เครดิต
K3.6.2 [การตรวจสอบประวัติอาชญากร] หากนายจ้างมีความจำเป็นที่จะต้องตรวจสอบ
อาชญากรรมของลูกจ้าง การเปิดเผยข้อมูลดังกล่าวต้องผ่านกองทะเบียนประวัติอาชญา
กร621
620 ICO Employment Practices Code, p.76. 469
621 ICO Employment Practices Code, p.76.
ศูนยว์ ิจัยกฎหมายและการพัฒนา คณะนติ ิศาสตร์ จุฬาลงกรณม์ หาวิทยาลยั
- ในกรณีของการตรวจสอบประวัติอาชญากรนั้น นายจ้างอาจดำเนินการยื่นคำร้อง
เปน็ หนงั สอื ถึงผบู้ งั คับการกองทะเบยี นอาชญากรโดยระบุถงึ สาเหตุและความจำเป็น
ในการตรวจสอบประวัติอาชญากรของลูกจ้าง
- กองทะเบียนประวัติอาชญากรจะมีหนังสือถึงลูกจ้าง โดยระบุถึงสาเหตุและความ
จำเป็นที่นายจ้างได้ร้องมาที่หน่วยงานเพือ่ การตรวจสอบดังกล่าว และแจ้งให้ทราบ
ว่ามีข้อมูลอะไรบ้างที่นายจ้างรอ้ งขอให้เปิดเผย ซึ่งอาจแยกเปน็ ชุดข้อมลู ที่เกี่ยวกบั
อาชญากรรม และชุดข้อมูลที่ไม่เกี่ยวกับอาชญากรรม และเรียกให้ลูกจ้างที่จะถูก
ตรวจสอบนั้นส่งหนังสือให้ความยินยอมในการตรวจสอบ622โดยอาจมีชอ่ งใหล้ ูกจา้ ง
เลอื กได้วา่ ขอ้ มลู ชุดไหนท่ียินยอมใหเ้ ปิดเผยได้เพราะเกย่ี วข้องกับประวัติอาชญากร
และถูกบังคับให้ต้องเปิดเผย และชุดไหนที่ไม่ยินยอมเนื่องจากไม่ได้เกี่ยวข้องกับ
ประวตั ิอาชญากรซง่ึ นายจา้ งไม่จำเปน็ ตอ้ งมี
K3.6.3 [การชั่งนำ้ หนักผลกระทบ] กอ่ นการดำเนินการใด ๆ นายจ้างควรพิจารณาถงึ ผลกระทบท่ี
อาจเกิดกับลูกจ้าง และต้อง “ชั่งน้ำหนัก” ระหว่างผลประโยชน์กับผลกระทบเชิงลบที่จะ
เกดิ ขึ้นเกดิ ขนึ้ นายจ้างจะตอ้ งมกี ารแจง้ ให้แก่ลูกจา้ งทราบถงึ เหตุ ท่มี า และ เหตผุ ล ในการ
ตรวจสอบดังกล่าว623 เช่น การตรวจสอบสถานภาพทางการเงินของลูกจ้างน้ันไม่ควร
เกิดขน้ึ นอกจากวา่ มเี หตผุ ลอันหนักแน่นชัดเจนว่าสถานภาพทางการเงินที่ไม่ดีของลูกจ้าง
จะสง่ ผลกระทบต่อนายจ้าง
K3.6.4 [แนวทางการปฏิบัติ] ในกรณีที่มีความจำเป็นจะต้องตรวจสอบ นายจ้างควรจะแจ้งให้
ลกู จา้ งทราบถึงแหลง่ ขอ้ มลู ที่ใชใ้ นการตรวจสอบ พรอ้ มระบเุ หตุผลและความจำเป็นท่ีต้อง
ตรวจสอบ624
- นายจ้างควรจัดให้มีระบบซึ่งสามารถสื่อสารกับลูกจ้างถึงลักษณะและขอบเขตของ
การตรวจสอบซึ่งต้องใช้ข้อมูลจากบุคคลที่สามในการตรวจสอบ เช่น การวาง
622 เอกสารประกอบการตรวจสอบประวัติ (กองทะเบียนประวตั ิอาชญากร)
<http://cannabis.fda.moph.go.th/criminal-police13072020/> accessed 24 ตุลาคม 2563.
623 ICO Employment Practices Code, p.77.
624 ICO Employment Practices Code, p.77.
470 Thailand Data Protection Guidelines 3.0
หลักเกณฑ์และข้อปฏิบัติของการตรวจสอบไว้ในคู่มือการทำงาน หรือการแจ้งผ่าน
บอรด์ ประชาสมั พันธ์ เปน็ ตน้
- ในกรณีที่มีการตรวจสอบข้อมูลส่วนบุคคลของลูกจ้างจากบุคคลที่สามโดย
เฉพาะเจาะจง ลูกจ้างควรได้รับการแจ้งโดยตรงจากนายจา้ ง เว้นแต่ การแจ้งนัน้ จะ
ส่งผลเสียต่อการตรวจสอบ เพราะลูกจ้างอาจหาวิธีป้องกันให้ตนเองอยู่เหนือการ
ตรวจสอบอาชญากรรม
K4. ข้อมูลเกี่ยวกบั สุขภาพลูกจ้าง
K4.1 ขอ้ มลู เกี่ยวกับสุขภาพของลูกจ้าง
K4.2 ความปลอดภัย อาชวี อนามัย และสภาพแวดล้อมในการทำงาน
K4.3 ข้อมลู จากการตรวจและทดสอบทางการแพทย์
K4.4 ข้อมูลจากการทดสอบยาและแอลกอฮอล์
K4.5 ขอ้ มลู จากการทดสอบทางพันธกุ รรม
K4.1 [ขอ้ มลู เกีย่ วกับสขุ ภาพของลกู จา้ ง]
K4.1.1 หลักการสำคัญทีน่ ายจ้างจะต้องตระหนกั และพจิ ารณา625
(1) การเกบ็ รวบรวมข้อมูลสขุ ภาพของลกู จา้ งน้นั เปน็ สง่ิ ทส่ี ง่ ผลกระทบตอ่ สิทธิของ
ลกู จ้างอยา่ งมนี ยั สำคญั
(2) ลกู จา้ งคาดหวังว่านายจา้ งจะคุ้มครองความเปน็ สว่ นตัวของขอ้ มลู สขุ ภาพของตน
(3) หากนายจา้ งท่ีมีความประสงคจ์ ะเก็บรวบรวมข้อมูลสว่ นนี้ ตอ้ งแจ้งแกล่ กู จา้ ง ถึงท่ีมา
เหตผุ ล วตั ถุประสงค์ และ ประโยชน์ท่แี ทจ้ รงิ ที่พึงได้รบั
(4) ต้องปฏิบตั ติ ามเง่ือนไขขอ้ มลู ส่วนบุคคลทอี่ ่อนไหวอยา่ งใดอยา่ งหน่ึง
(5) ลกู จา้ งควรตระหนักถงึ หรอื ไดท้ ราบถงึ ขอบเขตของข้อมลู อนั เกี่ยวกบั สุขภาพของ
พวกเขาและเหตุผลท่จี ัดเก็บขอ้ มูล
(6) การตัดสินใจเกี่ยวกับความเหมาะสมกับตำแหน่งเฉพาะของลกู จ้างที่มีเร่ืองข้อมูลทาง
สขุ ภาพเกยี่ วข้องตอ้ งได้รบั การตีความโดยผูเ้ ชย่ี วชาญด้านสุขภาพ เช่น ตำแหนง่ งาน
625 ICO Employment Practices Code, p.85. 471
ศนู ยว์ จิ ัยกฎหมายและการพฒั นา คณะนติ ิศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย
ท่ีต้องทำงานในสภาพแวดลอ้ มที่อันตราย หรือท่ีมปี ัจจยั เสยี่ ง งานทเ่ี กี่ยวข้องสารเคมี
ซงึ่ ตำแหน่งงานเหลา่ น้กี ฎหมายบงั คบั ใหน้ ายจ้างตอ้ งตรวจสขุ ภาพของลกู จา้ งกอ่ น
เข้าทำงาน
K4.1.2 การรวบรวมข้อมูลที่เกยี่ วกบั สขุ ภาพของลูกจา้ ง นายจา้ งจะต้องกระทำอย่างเหมาะสม โดย
จำเป็น และไมเ่ กินสมควร นายจา้ งต้องแจ้ง ที่มา และเหตผุ ลทางธรุ กจิ ท่ีชดั เจน
(1) บุคคลที่นายจ้างจะแต่งตั้งมาเพื่อทำหน้าที่เก็บรวบรวมข้อมูล หรือ เข้าถึงข้อมูล
ดังกล่าว จะต้องมีความรู้ ความเข้าใจเกี่ยวกับข้อปฏิบตั ิในเรื่องนี้และตระหนักถงึ
หน้าที่ ความรับผิดของนายจ้างภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562
(2) หากเป็นข้อมูลทอ่ี ่อนไหว ในการเกบ็ รวบรวมข้อมูลนน้ั จะตอ้ งเป็นไปตามหลักเกณฑ์
วิธีจัดการกับข้อมูลท่ีอ่อนไหวข้อมูลทีเ่ กี่ยวกับสุขภาพของลูกจ้างซึ่งต้องได้รับการ
คุ้มครอง กล่าวคือจะต้องได้รับความยินยอมโดยชัดแจ้งตามมาตรา 26 ของ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และ ต้องได้รับการจัดเก็บ
โดยวิธีการที่เหมาะสม และมีมาตรการหรือระบบรักษาความมั่นคงปลอดภัยที่
เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผย
ขอ้ มลู ดังกล่าวโดยผู้ท่ีไม่มีอำนาจหรือโดยมิชอบ การเขา้ ถึงข้อมลู ดังกล่าวนายจ้าง
ต้องแนใ่ จว่าจะทำตามความเหมาะสมเท่านั้น และตอ้ งให้ผเู้ ชย่ี วชาญด้านสุขภาพที่
มคี ณุ สมบตั เิ หมาะสมเท่านัน้ ทีส่ ามารถเข้าถึงข้อมลู นั้นได้
K4.2 [ความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทำงาน] พระราชบญั ญัติความ
ปลอดภัยอาชีวอนามัยและสภาพแวดล้อมในการทำงาน พ.ศ. 2554 บัญญัติให้นายจ้างมี
หน้าที่จัดและดูแลสถานประกอบกิจการและลูกจ้างให้มีสภาพการทำงานและ
สภาพแวดล้อมในการทำงานที่ปลอดภัยและถูกสุขลกั ษณะ รวมทั้งส่งเสริมสนับสนุนการ
ปฏิบัติงานของลูกจ้างมิให้ลูกจ้างได้รับอันตรายต่อชีวิต ร่างกาย จิตใจ และสุขภาพ
อนามัย626 นายจ้างจงึ มีหนา้ ที่ตามกฎหมายในการเกบ็ รวบรวมและเปิดเผยข้อมูลเกี่ยวกบั
626 พระราชบญั ญัติความปลอดภัยอาชวี อนามยั และสภาพแวดล้อมในการทำงาน พ.ศ. 2554, มาตรา 6.
472 Thailand Data Protection Guidelines 3.0
การประสบอันตรายของลูกจ้างตามท่ีกฎหมายกำหนด โดยนายจ้างมีหนา้ ที่ดำเนินการใน
กรณมี ีอุบตั ิเหตรุ า้ ยแรงในสถานประกอบการดังต่อไปนี้627
(1) กรณที ลี่ กู จ้างเสียชีวิต ให้นายจ้างแจง้ ตอ่ ลูกจ้างตรวจความปลอดภยั ในทนั ทที ท่ี ราบ
โดยโทรศัพท์ โทรสาร หรือวิธีอื่นใดที่มีรายละเอียดพอสมควร และให้แจ้ง
รายละเอยี ดและสาเหตเุ ป็นหนังสอื ภายในเจ็ดวนั นบั แต่วันทลี่ กู จา้ งเสียชวี ติ
(2) กรณีทีส่ ถานประกอบกิจการได้รบั ความเสียหายหรือตอ้ งหยุดการผลิต หรอื มบี คุ คล
ในสถานประกอบกิจการประสบอันตรายหรอื ได้รับความเสียหาย อันเนื่องมาจาก
เพลิงไหม้ การระเบิด สารเคมีรั่วไหล หรืออุบัติภัยร้ายแรงอื่น ให้นายจ้างแจ้งต่อ
ลกู จา้ งตรวจความปลอดภยั ในทันทที ่ที ราบโดยโทรศัพท์ โทรสาร หรือวธิ อี ื่นใด และ
ให้แจ้งเป็นหนังสือโดยระบุสาเหตุอันตรายที่เกิดขึ้น ความเสียหาย การแก้ไขและ
วธิ ีการป้องกนั การเกิดซ้ำอกี ภายในเจ็ดวันนบั แตว่ นั เกิดเหตุ
(3) กรณที ่ีมลี ูกจา้ งประสบอนั ตราย หรอื เจ็บปว่ ยตามกฎหมายว่าด้วยเงินทดแทน เมื่อ
นายจ้างแจ้งการประสบอันตรายหรือเจ็บป่วยต่อสำนักงานประกันสังคมตาม
กฎหมายดังกล่าวแล้ว ให้นายจ้างส่งสำเนาหนังสือแจ้งนั้นต่อลูกจ้างตรวจความ
ปลอดภยั ภายในเจด็ วันดว้ ย
K4.3 [ขอ้ มลู จากการตรวจและทดสอบทางการแพทย์] ในส่วนน้ีจะอธิบายถงึ การเก็บรวบรวม
และจัดการข้อมูลที่ได้จากการตรวจและทดสอบทางการแพทย์นายจ้างพึงตระหนักไว้ว่า
การได้รับความยินยอมจากลูกจ้าง หรือการทำตามหลักเกณฑ์ว่าด้วยการจัดการข้อมูลที่
ออ่ นไหวตามทก่ี ฎหมายกำหนดน้ันยงั ไม่เพยี งพอต่อการตรวจสอบ และการค้มุ ครองข้อมูล
ด้านสุขภาพของลูกจ้าง ซึ่งนายจ้างยังคงมีภาระหน้าท่ีในการตรวจสอบอีกต่อไปว่าข้อมูล
ด้านสุขภาพที่ได้มานั้นผ่านการทดสอบทางการแพทย์ที่แม่นยำทันสมัย และถูกต้อง
ครบถว้ นตามมาตรฐาน628
627 พระราชบญั ญตั ิความปลอดภยั อาชีวอนามัยและสภาพแวดลอ้ มในการทำงาน พ.ศ. 2554มาตรา 34. 473
628 ICO Employment Practices Code, p.89.
ศูนย์วจิ ัยกฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณม์ หาวิทยาลัย
K4.3.1 [สิ่งทนี่ ายจา้ งพึงปฏิบัติ] ในกรณีทใี่ ชข้ ้อมลู ท่ไี ดจ้ ากการทดสอบทางการแพทย์ การบังคับ
ใช้กฎเกณฑ์และมาตรฐานขององค์กร นายจ้างต้องตรวจสอบให้แน่ใจว่ากฎเกณฑ์และ
มาตรฐานไดม้ กี ารกำหนดไว้อย่างชดั แจง้ แลว้ 629 นายจา้ งจะตอ้ งชี้ให้เห็นถงึ ความจำเป็นและ
เปน็ ธรรมในการตรวจสุขภาพนน้ั การตรวจน้ันมคี วามจำเป็นโดย630
(1) เกี่ยวข้องกับการป้องกันความเสี่ยงที่สำคัญต่อสุขภาพและความปลอดภัยของ
ลูกจ้าง หรอื อื่น ๆ หรอื
(2) เพื่อประกอบการตัดสินใจว่าลูกจ้างบางรายนั้นเหมาะสมกับตำแหน่งงาน หรือ
สามารถทำหน้าทีใ่ นตำแหนง่ นน้ั ต่อไปได้
(3) เพื่อประกอบการตัดสินใจว่าลูกจ้างสามารถกลับมาทำงานได้ตามปกติหลังจากมี
ขาดงาน ลางานจากการเจบ็ ป่วยหรอื กรณีท่อี าจจะเกิดเหตกุ ารณเ์ ช่นนขี้ นึ้ อีกครัง้
(4) เพือ่ กำหนดสทิ ธิของลูกจา้ งท่ีจะไดร้ ับสทิ ธิประโยชนท์ เี่ กี่ยวข้องกบั สุขภาพ เชน่ การ
จา่ ยเงนิ เมื่อลกู จา้ งเจบ็ ป่วย
(5) เพื่อป้องกันการเลือกปฏิบัติต่อลูกจ้างเนื่องจากทุพพลภาพ หรือประเมินความ
จำเปน็ ในการปรบั เปลี่ยนสภาพแวดลอ้ มการทำงานหรือ
(6) ปฏิบัติตามขอ้ ผกู พนั ทางกฎหมายอื่น ๆ
(7) นายจ้างควรบันทึกข้อมูลการเจ็บป่วยและการบาดเจ็บของลูกจ้างแยกจากข้อมูล
การขาดงานและข้อมูลอุบตั ิเหตุ และต้องไม่ใช้ข้อมลู การเจ็บป่วยเพื่อวัตถุประสงค์
เฉพาะอื่นใดเมอ่ื สามารถใช้ข้อมลู การขาดงานแทนได้631
(8) การครอบครองขอ้ มูลการเจบ็ ปว่ ยหรือขอ้ มูลทางการแพทยข์ องลกู จ้าง นายจ้างตอ้ ง
ตรวจสอบใหแ้ น่ชัดวา่ การเกบ็ บันทึกขอ้ มูลดงั กล่าวเปน็ ไปตามเง่ือนไขการเก็บข้อมูล
ท่ีออ่ นไหว
(9) การเปิดเผยข้อมลู ที่เกี่ยวข้องกับการเจ็บป่วยและการบาดเจ็บจะเปิดเผยได้เฉพาะ
ขอ้ มูลการเจ็บปว่ ยและการบาดเจบ็ ของลกู จ้างทสี่ ามารถวนิ ิจฉยั ข้อมูลได้
(10) ที่มีภาระผูกพันทางกฎหมายที่จะต้องกระทำเช่นนั้น หรือ ในกรณีที่จำเป็น
สำหรับกทางกฎหมายหรือในกรณีที่คนงานได้ให้ความยินยอมอย่างชัดเจนในการ
เปิดเผยข้อมูล
629 ICO Employment Practices Code, p.89.
630 ICO Employment Practices Code, p.90.
631 ICO Employment Practices Code, p.35.
474 Thailand Data Protection Guidelines 3.0
(11) ห้ามนายจ้างเปิดเผยบันทึกข้อมูลการเจ็บป่วย การบาดเจ็บหรือการขาดงานของ
ลูกจ้างรายหนึ่งให้ลูกจ้างคนอื่นๆ เว้นแต่เป็นกรณีจำเป็นเพื่อให้ลูกจ้างที่เหลือ
สามารถทำงานตอ่ ไปได้632
K4.3.2 [ฐานทางกฎหมาย] ในกรณีที่ลูกจ้างลาป่วยตั้งแต่ 3 วันขึ้นไปนายจ้างมีสิทธิที่จะเรียกให้
ลูกจ้างแสดงใบรับรองแพทย์ได้633 ดังนั้น หากเป็นกรณีการลาป่วยตั้งแต่ 3 วันขึ้นไป
นายจ้างย่อมอาศัยสิทธิตามกฎหมายดังกล่าวในการเก็บรวบรวมและใช้ข้อมลู ส่วนบุคคล
ของลูกจ้างได้โดยไมต่ ้องขอความยนิ ยอมจากลูกจ้าง อยา่ งไรกต็ าม การขอใบรบั รองแพทย์
จากลูกจ้างยงั อาจมีกรณีทนี่ ายจา้ งจำเปน็ จะตอ้ งขอความยนิ ยอมจากลูกจ้างเชน่
- เป็นการร้องขอในกรณกี ารลาป่วยซ่ึงมีระยะเวลานอ้ ยกว่า 3 วนั หรอื
- เป็นการร้องขอเพื่อพิจารณาคำขอเบิกค่ารักษาพยาบาลซึ่งเป็นสวัสดิการของ
นายจา้ ง
ซง่ึ กรณีมขี อ้ สังเกตวา่ การขอความยนิ ยอมของนายจา้ งในกรณนี ีเ้ ป็นไปเพอ่ื ประโยชน์ของตัว
ลูกจ้างเอง ซึ่งลูกจ้างมีอิสระที่จะให้ได้โดยปราศจากความกดดันด้วยสถานะความเป็น
ลูกจ้าง ดงั นนั้ การใหค้ วามยินยอมดังกล่าวน้ีอาจถือไดว้ ่าเปน็ การใหค้ วามยินยอมโดยอิสระ
ซึ่งทำให้นายจ้างสามารถใช้ข้อมูลส่วนบุคคลของลูกจ้างเพื่อวัตถุประสงค์ในการรับ
สวัสดิการหรือผลประโยชนจ์ ากนายจา้ งได้634
K4.3.3 [หากนายจ้างมอบหมายให้บุคคลภายนอกเป็นผู้ประเมินคำขอ] หากนายจ้างไม่ได้มี
ผู้เชี่ยวชาญดา้ นสุขภาพท่ีจะสามารถตรวจสอบคำขอและใบรับรองแพทย์ได้ นายจ้างอาจ
มอบหมายใหบ้ ุคคลภายนอกเปน็ ผู้ดำเนินการพจิ ารณาและใหค้ วามเหน็ แก่นายจ้างได้ กรณี
ดังกล่าวจะสง่ ผลให้บคุ คลภายนอกน้ันเปน็ ผู้ประมวลผลขอ้ มลู ส่วนบคุ คล (ซึง่ นายจ้างเป็นผู้
632 ICO Employment Practices Code, p.36.
633 พระราชบญั ญัติค้มุ ครองแรงงาน พ.ศ. 2541, มาตรา 32.
634 EU Commission, ‘Can my employer require me to give my consent to use my personal data?’ (EU
Commission) <https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/ how-
my-personal-data-protected/can-my-employer-require-me-give-my-consent-use-my-personal-
data_en> accessed 3 December 2020
ศูนยว์ จิ ยั กฎหมายและการพัฒนา คณะนติ ิศาสตร์ จุฬาลงกรณ์มหาวทิ ยาลัย 475
เปดิ เผยให)้ ในกรณนี นี้ ายจ้างจะตอ้ งทำความตกลงระหว่างผูค้ วบคมุ ข้อมูลสว่ นบคุ คลและผู้
ประมวลผลข้อมูลสว่ นบคุ คล
K4.3.4 [ตัวอย่างคำขอเบิกเงินค่ารักษาพยาบาลจากนายจ้าง] นายจ้างอาจมีความจำเป็นท่ี
จะต้องตรวจสอบว่ารายการที่เข้ารักษาการเจ็บป่วยนั้นอยู่ในขอบเขตที่ลูกจ้างนั้นจะ
สามารถเบิกค่ารักษาพยาบาลได้หรือไม่ โดยที่การเก็บรวบรวมและใช้ข้อมูลสุขภาพของ
ลกู จ้างมลี กั ษณะเป็นการเกบ็ รวบรวมและใช้ข้อมลู ส่วนบคุ คลท่ีมีความอ่อนไหว ซึ่งมาตรา
26 ของพระราชบัญญัตคิ ุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้นายจา้ งซ่งึ เป็นผู้
ควบคุมข้อมลู นน้ั ตอ้ งขอความยนิ ยอมจากเจา้ ของขอ้ มลู ส่วนบุคคลหรอื ลูกจา้ งโดยชดั แจง้
ตวั อยา่ งคำขอเบกิ เงินคา่ รักษาพยาบาลจากนายจ้าง635
ขอ้ มูลของลกู จ้างทปี่ ระสงค์จะขอเบกิ ค่ารกั ษาพยาบาล
- ช่อื -นามสกุล
- ตำแหน่งงาน
- ขอ้ มูลการตดิ ต่อ
รายละเอยี ดเกี่ยวกบั การเจ็บปว่ ย
รายละเอียดเกีย่ วกับการรักษาและค่าใชจ้ า่ ย (โดยอาจกำหนดให้ลกู จา้ งนำสง่ เอกสารทีเ่ กีย่ วขอ้ ง)
รายละเอียดเกยี่ วกบั บัญชีที่จะใชเ้ พ่อื การโอนค่ารกั ษาพยาบาลให้
การค้มุ ครองข้อมลู สว่ นบุคคล
ข้อมูลเกี่ยวกับสุขภาพของท่านเป็นข้อมูลส่วนบุคคลทีม่ ีความอ่อนไหวตามพระราชบัญญัติคุ้มครองข้อมูลส่วน
บุคคล พ.ศ. 2562 ด้วยเหตุนี้ เราจึงมีความจำเปน็ ที่จะต้องขอความยินยอมจากท่านในการเก็บรวบรวมและใช้
ข้อมลู สว่ นบคุ คลที่มคี วามอ่อนไหวดงั กล่าวเพอื่ ประกอบการพจิ ารณาอนุมัติการให้สทิ ธิการเบิกค่ารักษาพยาบาล
แก่ท่าน
การท่ที ่านลงลายมือช่อื ในเอกสารคำขอเบกิ เงนิ คา่ รกั ษาพยาบาลนี้เป็นการให้ความยนิ ยอมแก่ บริษัทฯ ในการเก็บ
รวบรวมและใช้ข้อมลู ส่วนบคุ คลท่มี ีความออ่ นไหวเพอ่ื วัตถุประสงคต์ ามทีก่ ำหนดในเอกสารนี้
ขา้ พเจา้ ขอยนื ยันวา่ ขอ้ มลู ใด ๆ ท่ีนำส่งตามเอกสารนเ้ี ป็นความจรงิ ทกุ ประการ
ลายมอื ชอ่ื .......................................................................................
วันที่ ................................................................................................
635 Chubb European Group Limited, ‘Claim Form Medical Expenses’ <https://www.chubbpremier
travel.com/aceStatic/ACETravel/Cathay/UK/files/med_exp_claim.pdf> accessed 13 Sep 2020.
476 Thailand Data Protection Guidelines 3.0
K4.3.5 [ขอ้ หา้ มของนายจา้ ง] นายจา้ งจะเกบ็ รวบรวมเฉพาะขอ้ มูลทผ่ี ่านการตรวจทางการแพทย์
เท่านนั้ แตท่ ั้งน้ีนายจ้างตอ้ งไม่นำข้อมลู ดงั กล่าวไปใช้ในกจิ การอ่นื ใดท่ีมีวัตถุประสงค์แอบ
แฝงจากวตั ถุประสงคห์ ลกั และ นายจ้างต้องลบข้อมูลที่ไม่เกี่ยวข้องการวัตถปุ ระสงค์และ
การใช้งานทง้ิ อย่างถาวร636
K4.4 [ข้อมลู จากการทดสอบยาและแอลกอฮอล์]
K4.4.1 นายจ้างจะต้องพิจารณาหน้าที่ตามกฎหมายและความจำเป็นในการตรวจสอบของตน เช่น
กฎหมายจะดำเนนิ คดีกบั ผู้ขบั ขร่ี ถโดยสารสาธารณะขนาดใหญ่ ซึง่ หากพบวา่ มีปรมิ าณ
แอลกอฮอลเ์ กินกว่า 50 มลิ ลกิ รมั เปอร์เซ็นตจ์ ะถอื ว่ามคี วามผดิ และผู้ประกอบกิจการ
ขนสง่ ทไี่ มค่ วบคมุ ดูแลลูกจา้ งขบั รถและลูกจา้ งประจำรถจะมีความผดิ ต้องระวางโทษปรับ
ไม่เกนิ 40,000 บาท และมผี ลตอ่ การพิจารณาการตอ่ ใบอนุญาตประกอบการขนสง่ ด้วย
กรณีดังกลา่ วนี้ นายจ้างยอ่ มมีเหตผุ ลทจี่ ะทำการตรวจสอบสอบปรมิ าณแอลกอฮอล์กับ
ลกู จา้ งทมี่ ตี ำแหน่งหน้าทเี่ ป็นลูกจา้ งขบั รถ โดยมีขอ้ พิจารณาดังนี้
(1) การเกบ็ รวบรวมข้อมลู เกยี่ วกบั ยาเสพติดและแอลกอฮอล์น้ันไม่ไดส้ ัดส่วนเม่ือเทียบ
กับผลกระทบที่อาจเกิดขึ้น หากว่าการเก็บรวบรวมข้อมูลดังกล่าวไม่สมเหตุสมผล
กล่าวคือไม่ได้ทำเพื่อประโยชน์ในการคุ้มครองสุขภาพและความปลอดภัยของ
ลกู จา้ งอยา่ งแท้จรงิ
(2) นายจ้างอาจมีเหตุสมควรในการขอตรวจสอบลูกจ้าง หากเป็นกรณีมีเหตุอันควร
สงสยั ว่าลูกจ้างมีการเสพยาเสพติดและแอลกอฮอลใ์ นขณะปฏิบัติหน้าที่ (ในขณะท่ี
การใชว้ ิธีขอสุ่มตรวจนัน้ อาจเป็นกรณีที่หาเหตุผลสนับสนุนขอตรวจสอบลกู จ้างได้
ยาก)637
K4.4.2 เพื่อการตรวจสอบดังกล่าว นายจ้างจะต้องมีการแจ้งลูกจ้างอย่างเป็นทางการถึง วิธีการ
ตรวจสอบ วตั ถปุ ระสงค์ ผลของการตรวจสอบท่ีตามมา รวมถงึ การดำเนินการทางเอกสาร
636 ICO Employment Practices Code, p.91. 477
637 ICO Employment Practices Code, p.92.
ศูนย์วจิ ัยกฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณม์ หาวทิ ยาลัย
ต่างๆที่เกี่ยวข้อง โดยที่นายจ้างจะตอ้ งแน่ใจว่าลูกจ้างได้ตระหนัก (ทราบถึง) การทดสอบ
นน้ั 638
K4.4.3 นายจ้างจะต้องพยายามจำกัดการมีข้อมูลในส่วนนี้ โดยอาจจะสุ่มตรวจแค่เฉพาะกลุ่ม
ลูกจ้างที่มีลักษณะงานที่ต้องใชค้ วามระมัดระวังในการทำงานสูงและ การรวบรวมข้อมูล
ดังกล่าวนั้นต้องทำเท่าที่จำเป็นและเป็นประโยชน์ต่อการทำงานเท่านั้น ต้องไม่ใช้การ
ทดสอบน้เี พ่อื ตรวจสอบการใชส้ ารเสพติดในชวี ิตส่วนตวั ของลกู จา้ ง
K4.4.4 นายจ้างจะต้องตรวจสอบให้แนใ่ จว่าข้อมูลอันเกี่ยวกบั สารเสพติด และ แอลกอฮอล์ ของ
ลกู จา้ งนน้ั ไดม้ าจากการตรวจทมี่ คี ุณภาพทางเทคนคิ เป็นการตรวจโดยสจุ ริตและมีข้ันตอน
การควบคุมคณุ ภาพที่เขม้ งวด ดำเนินการโดยผู้เชี่ยวชาญเฉพาะทางที่มีคุณสมบัติถูกตอ้ ง
เหมาะสมกับการทดสอบดงั กลา่ ว
K4.5 [ข้อมูลจากการทดสอบทางพันธุกรรม] การทดสอบทางพันธุกรรมมีไว้ให้นายจ้าง
คาดคะเนถึงสุขภาพโดยรวมของลูกจ้างในอนาคต หรือ เป็นการทดสอบเพ่ือดูว่าลูกจ้างมี
โรคทางพนั ธุกรรมใด ๆทีอ่ าจจะไดร้ บั ผลกระทบจากการปฏบิ ัติงาน แมว้ า่ การทดสอบทาง
พันธุกรรมยงั อยู่ระหว่างการพัฒนาและ ในกรณีส่วนใหญ่ก็เป็นการคาดคะเนท่ีไม่แน่นอน
และถกู นำมาใช้ในกระบวนการจัดหาลูกจ้างไม่มากนัก โดยแนวปฏิบัติสำหรบั นายจ้างเป็น
ดังนี้
(1) นายจ้างไม่ควรเรียกรอ้ งให้บคุ คลซึ่งเป็นผู้สมัครงานทำการทดสอบทางพันธุกรรม
เพ่อื เป็นเง่ือนไขการจ้างงาน ทั้งน้เี น่อื งจากนายจ้างอาจถกู ร้องเรียนว่าเป็นการเลือก
ปฏิบัติต่อผู้สมัครงาน หากนายจ้างจะมีการเก็บรวบรวมข้อมูลเกี่ยวกับพันธุกรรม
ควรพิจารณาอย่างรอบคอบระมัดระวัง โดยคำนึงถึงหลักการเก็บรวบรวมข้อมูล
สว่ นบคุ คลเทา่ ทีจ่ ำเป็นเทา่ น้นั
(2) นายจ้างจะต้องไม่จัดการทดสอบนี้ขึ้นเพียงเพื่อต้องการประเมินสุขภาพโดย
ภาพรวมของลูกจ้างในอนาคต และหากกรณีที่ลูกจ้างเคยทำการทดสอบดังกล่าว
มาแลว้ นายจา้ งไม่อาจบังคับให้ลูกจา้ งเปิดเผยขอ้ มูลดงั กล่าวได้639
638 ICO Employment Practices Code, p.92.
639 ICO Employment Practices Code, p.95.
478 Thailand Data Protection Guidelines 3.0
(3) การทดสอบเพ่ือข้อมลู ดังกลา่ ว จะมไี ด้เฉพาะในกรณวี า่ ข้อมูลดงั กลา่ วเป็นประโยชน์
ต่อการประเมินเรื่องความเสี่ยงในการปฏบิ ัติงานบางตำแหน่งและในสถานทีท่ ่อี าจ
เป็นอันตรายตอ่ ลูกจา้ งท่ีมคี วามแตกตา่ งทางพนั ธุกรรมโดยเฉพาะ640
K5. ตัวอย่างเอกสาร
เม่อื ผู้สมัครได้รบั การคดั เลือกให้เป็นลูกจ้างแล้ว ขัน้ ตอนตอ่ ไปคือกระบวนการทำสัญญาจ้างแรงงาน
ระหว่างนายจ้างและลูกจ้าง ทั้งนี้ เพื่อกำหนดสิทธิและหน้าที่ที่เกีย่ วข้องกับการจา้ งงาน ตลอดจนมี
การชี้แจงให้ลูกจ้างได้รับทราบถึงนโยบายการคุ้มครองข้อมูลส่วนบุคคลสำหรับลูกจ้างและข้อบังคับ
เกย่ี วกับการทำงาน เอกสารเหล่านี้ มีความสำคัญและเกย่ี วข้องกับการคุ้มครองขอ้ มูลส่วนบุคคลของ
ลูกจ้าง และในขณะเดียวกันก็กำหนดให้ลูกจ้างต้องมีหน้าที่คุ้มครองข้อมูลส่วนบุคคลที่นายจา้ งเกบ็
รวบรวมอีกด้วย
K5.1 นโยบายการคุ้มครองขอ้ มูลสว่ นบคุ คลสำหรบั ลูกจา้ ง
K5.2 ตัวอย่างข้อสญั ญาในสัญญาจ้างแรงงาน
K5.3 ตัวอย่างขอ้ บังคบั เกีย่ วกับการทำงาน
K5.1 [นโยบายการคุ้มครองขอ้ มลู สว่ นบุคคลสำหรับลกู จ้าง]
K5.1.1 [หนา้ ทขี่ องนายจ้าง] เพอื่ เป็นการปฏิบัติตามหน้าที่ในการแจง้ ให้เจ้าของข้อมูลส่วนบุคคล
ทราบถึงวัตถุประสงค์ของการเก็บรวมข้อมลู ส่วนบคุ คล ฐานทางกฎหมาย (lawful basis)
ระยะเวลาการเกบ็ รวมรวมข้อมลู ส่วนบุคคล การเปดิ เผยขอ้ มูลส่วนบคุ คล ข้อมูลเกี่ยวตัวผู้
ควบคุมข้อมูลส่วนบุคคล และสิทธิของเจ้าของข้อมูลส่วนบุคคลตามมาตรา 23 ของ
พระราชบญั ญัติคมุ้ ครองข้อมลู ส่วนบุคคล พ.ศ. 2562 นายจา้ งอาจออกหนังสอื แจง้ นโยบาย
การค้มุ ครองข้อมลู ส่วนบคุ คลสำหรบั เจ้าหน้าท่ีและลูกจ้างฉบับนี้ ซึ่งจะอธิบายถึงลักษณะ
และเหตุผลของการเกบ็ รวบรวม ใช้ และเปดิ เผยข้อมลู สว่ นบุคคลของลูกจ้าง
640 ICO Employment Practices Code, p.91. 479
ศูนย์วิจยั กฎหมายและการพฒั นา คณะนิติศาสตร์ จฬุ าลงกรณ์มหาวทิ ยาลัย
ตัวอยา่ งหนงั สือแจง้ นโยบายการคมุ้ ครองข้อมูลสว่ นบคุ คลสำหรบั เจา้ หนา้ ที่และลูกจา้ ง
หนงั สือแจง้ นโยบายการคมุ้ ครองข้อมลู สว่ นบุคคลสำหรบั ลูกจ้าง641
(Privacy notice for the employee)
1. วัตถุประสงค์
บรษิ ทั ... (“บรษิ ทั ฯ”) ทำการเก็บรวบรวม ใช้ และเปดิ เผยขอ้ มูลส่วนบุคคลของของลูกจ้าง บริษทั ฯ ให้คำมั่นในการ
คุ้มครองขอ้ มูลส่วนบคุ คลของเจ้าหนา้ ทแี่ ละลูกจ้าง ตามทพี่ ระราชบัญญัติการคมุ้ ครองข้อมูลส่วนบคุ คล พ.ศ. 2562
ประกาศกำหนด
เพ่ือเป็นการปฏบิ ัติตามหน้าที่ในการแจ้งให้เจ้าของข้อมูลสว่ นบคุ คลทราบถึงวัตถุประสงค์ของการเก็บรวบรวมข้อมูล
ส่วนบุคคล ฐานทางกฎหมาย (lawful basis) ระยะเวลาการเก็บรวบรวมข้อมูลส่วนบุคคล การเปิดเผยข้อมูลส่วน
บุคคล ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล และสิทธิของเจ้าของข้อมูลส่วนบุคคลตามมาตรา 23 ของ
พระราชบัญญัตคิ ุ้มครองข้อมลู ส่วนบุคคล พ.ศ. 2562 บริษทั ฯ จึงได้ออกหนังสอื แจง้ นโยบายการคุ้มครองข้อมูลส่วน
บุคคลสำหรับเจ้าหน้าที่และลูกจ้างฉบับนี้ ซึ่งจะอธิบายถึงลักษณะและเหตุผลของการเก็บรวบรวม ใช้ และเปิดเผย
ขอ้ มูลส่วนบุคคลของเจ้าหนา้ ทีแ่ ละลกู จ้าง
2. ขอ้ มูลส่วนบคุ คลทีบ่ ริษทั ฯ เก็บรวบรวม
ข้อมูลเกี่ยวกับบคุ คลซึง่ ทำให้สามารถระบุตัวบุคคลน้ันได้ไม่ว่าทางตรงหรอื ทางอ้อม แต่ไม่รวมถึงข้อมูลของผูถ้ งึ แก่
กรรมโดยเฉพาะ ซ่ึง บริษัทฯ ดำเนนิ การเก็บรวบรวมขอ้ มลู ส่วนบุคคลของท่านดงั ต่อไปนี้
2.1 ขอ้ มลู ส่วนบคุ คลพื้นฐาน
- ข้อมูลสำหรับการติดต่อทั่วไป เช่น ชอื่ -สกลุ ทอี่ ยู่ เบอร์โทรศัพท์ และอเี มล
- วันเดอื นปเี กดิ
- ขอ้ มลู สำหรบั การตดิ ต่อในกรณฉี กุ เฉนิ
- สำเนาบัตรประชาชน
641 พฒั นาข้ึนจาก ICO, ‘Staff Privacy Notice’ (ICO) <https://ico.org.uk/media/2614820/staff-privacy-
notice-v10.pdf> accessed 13 September 2020; Rob Bryan Associates, ‘Employee privacy notice
(GDPR compliant)’ (RBA) <www.robbryanassociates.org.uk› uploads › 2018/04> accessed 13
September 2020; Soft Bank Privacy Policy for Personal Employee's Data Subject to GDPR’ (Soft
Bank (Soft Bank) <https://www.softbankrobotics.com/corp/privacypolicy/pegdpr/> accessed 13
September 2020.
480 Thailand Data Protection Guidelines 3.0
- บญั ชธี นาคาร
- ภาพถา่ ยแสดงตวั ตน
2.2 ข้อมูลทีเ่ กี่ยวกบั การจา้ งแรงงาน
- ขอ้ มูลสำหรบั การติดตอ่ เพอ่ื การทำงาน
- สัญญาจ้างแรงงาน
- ตำแหนง่ งาน ประวตั ิการทำงาน และระยะเวลาการทำงาน
- เงนิ เดอื น และผลตอบแทนตา่ ง ๆ
- การประเมนิ ศกั ยภาพการทำงาน
- การหยุดและการลา
- ขั้นตอนการจ้างงาน รวมถึงประวัติที่ท่านนำส่ง ประสบการณ์ทำงาน ประวัติการศึกษา และ
ประกาศนียบัตรต่าง ๆ ตลอดจนข้อมูลที่เราได้จากบุคคลผู้ให้ข้อมูลเกี่ยวกับตั วท่าน (reference
person)
- ข้อมูลเกี่ยวกับใบอนุญาตขับขี่ เช่น เลขที่ใบขับขี่ ชนิดของรถยนต์ และวันหมดอายุของใบอนุญาต
(กรณมี ีตำแหน่งท่เี กีย่ วขอ้ ง)
- ขอ้ มลู เกี่ยวกบั การเดนิ ทางในหน้าที่การงานหรือท่ีเกี่ยวเนือ่ งกบั หนา้ ที่การงานและคา่ ใชจ้ ่ายที่เกีย่ วข้อง
- ขอ้ มูลเก่ียวกบั การแจ้งอบุ ัติเหตุและความปลอดภัยในที่ทำงาน
- ข้อมูลเกยี่ วกับการเข้าออกสถานทที่ ำงาน
- ขอ้ มลู ที่ไดจ้ ากกลอ้ งวงจรปิด
- ขอ้ มลู การใชร้ ะบบการสอ่ื สารหรือระบบสารสนเทศของนายจา้ ง
2.3 ข้อมูลสว่ นบคุ คลท่ีมคี วามอ่อนไหว
- ข้อมลู สขุ ภาพ (เชน่ การเจบ็ ป่วยและการรกั ษาเพ่ือประกอบกระบวนการยืน่ ขอรับคา่ รักษาพยาบาล)
(ซ่ึงจะต้องขอความยนิ ยอมโดยชดั แจง้ จากลูกจ้าง)
3. ฐานทางกฎหมายในการเกบ็ รวบรวมและใชข้ ้อมลู สว่ นบคุ คลของเจา้ หน้าท่ีและลูกจ้าง
ลำดบั ขอ้ มลู สว่ นบคุ คล วตั ถปุ ระสงคข์ องการเก็บ ฐานทางกฎหมาย
รวบรวมและใช้
1. ชื่อ นามสกุล วุฒิการศึกษา ภาพถ่ายแสดง พจิ ารณาขอ้ มูลส่วนบคุ คล ดำเนนิ การตามคำขอ
ตัวตน ข้อมูลเพื่อการติดต่อ และข้อมูลส่วน เพ่อื จ้างงานผูส้ มัคร กอ่ นเขา้ ทำสัญญาจ้าง
บุคคลใดอื่นที่ผู้สมัครได้ยื่นในกระบวนการ แรงงาน
จ้างงาน
ศูนย์วจิ ยั กฎหมายและการพฒั นา คณะนิติศาสตร์ จุฬาลงกรณม์ หาวิทยาลยั 481
ลำดบั ข้อมูลส่วนบุคคล วัตถปุ ระสงคข์ องการเก็บ ฐานทางกฎหมาย
รวบรวมและใช้
2. ขอ้ มูลเกย่ี วกับบญั ชธี นาคาร ทำสญั ญาจ้างผูส้ มัครเป็น ดำเนินการตามคำขอ
ลกู จ้าง ก่อนเข้าทำสัญญาและ
ความยินยอม
3. ชื่อ นามสกุล ข้อมูลเพื่อการติดต่อที่ของ ดำเนนิ การตามคำขอเบิกคา่ เป็นการจำเปน็ เพ่ือ
ลูกจา้ งได้ย่นื ในกระบวนการย่ืนคำขอเบิกค่า รกั ษาพยาบาล การปฏิบตั ิตามสัญญา
รักษาพยาบาล จ้างแรงงาน
4. รายละเอียดเกี่ยวกับการเจ็บป่วยและ พจิ ารณาอนุมัติการให้ค่า ความยินยอม
รายละเอยี ดเกยี่ วกบั การรักษาและคา่ ใชจ้ า่ ย รักษาพยาบาล
5. ชื่อ นามสกุล ข้อมูลเพื่อการติดต่อ และ ดำเนินการตามคำขอจองต๋วั ดำเนินการตามคำขอ
ข้อมูลส่วนบุคคลใดอื่นที่ลูกจ้างได้ยื่นใน เครอื่ งบิน ซอ้ื ประกนั การ ก่อนเขา้ ทำสัญญา
กระบวนการย่ืนในกระบวนการเกยี่ วกับการ เดินทาง ทำหนังสือเดนิ ทาง และ/หรอื ปฏบิ ัติตาม
เดนิ ทางเพอื่ การปฏบิ ตั ิงาน และตรวจลงตรา สัญญาจา้ งแรงงาน
6. ขอ้ มูลเก่ียวกับการจ่ายเงินให้กับลูกจ้าง เช่น จ่ายคา่ ตอบแทนหรอื เปน็ การจำเปน็ เพ่อื
คา่ แรง และรายละเอยี ดเก่ยี วกับการจ่ายเงิน ผลประโยชน์อืน่ ใดใหก้ ับ การปฏิบตั ิตามสัญญา
ดังกล่าว รายละเอียดเกี่ยวกับค่าล่วงเวลา ลกู จา้ ง
การจ่ายโบนัส ค่าใช้จ่ายใด ๆ และ
ผลประโยชน์ตอบแทนอ่ืนใด
7. ขอ้ มลู เกย่ี วกับการทำงานของลกู จา้ ง ประเมนิ การทำงานของ เปน็ การจำเป็นเพอื่
ลูกจ้าง พิจารณาต่อสญั ญา การปฏบิ ัติตามสญั ญา
และการปรบั ข้ึนเงนิ เดือน
4. การเปลีย่ นแปลงวัตถปุ ระสงคก์ ารใช้ข้อมลู สว่ นบุคคล
บริษัทฯ จะใช้ข้อมูลส่วนบุคคลของลูกจ้างตามวัตถุประสงค์ของการเก็บรวบรวมเท่านั้น ในกรณีที่บริษัทฯ มีความ
จำเป็นทีจ่ ะต้องใช้ขอ้ มูลส่วนบุคคลของท่านเพอ่ื วตั ถปุ ระสงคอ์ ื่น เราจะดำเนนิ การแจง้ ใหท้ ่านทราบและอธิบายถึงฐาน
ทางกฎหมายท่ีเกยี่ วขอ้ ง
482 Thailand Data Protection Guidelines 3.0
5. ขอ้ มลู สว่ นบคุ คลของท่านถกู เกบ็ รวบรวมอยา่ งไร
บริษทั ฯ ทำการเกบ็ รวมรวมขอ้ มูลส่วนของลกู จ้างผ่านระบบการรับสมัครงานและกระบวนการจา้ งงาน รวมทัง้ ในกรณี
ทล่ี ูกจ้างนำสง่ ข้อมลู เอง [และผ่านผู้ให้บริการด้านการจ้างงาน] และบริษทั ฯ อาจจะเกบ็ รวบรวมข้อมลู ส่วนบุคคลของ
ลูกจ้างจากอดตี นายจ้าง [หรอื หนว่ ยงานของรฐั ]
นอกจากนี้ บริษัทฯ จะเก็บรวบรวมข้อมูลส่วนบุคคลของลูกจ้างผ่านกิจกรรมที่เกี่ยวกับการจ้างงานต่าง ๆ ตลอด
ระยะเวลาทท่ี า่ นทำงานให้กบั บริษัทฯ
6. การรกั ษาความมัน่ คงปลอดภัยของข้อมูลสว่ นบุคคล
บริษทั ฯ มมี าตรการรกั ษาความมัน่ คงปลอดภัยของข้อมูลส่วนบุคคลของเจา้ หน้าท่แี ละลูกจ้าง ตามมาตรฐานขั้นต่ำที่
กฎหมายกำหนด เพือ่ ป้องกนั มิให้ข้อมูลสว่ นบคุ คลทถี่ ูกเกบ็ รวบรวมสูญหายโดยอุบตั เิ หตุ หรอื ถูกเข้าถงึ เปดิ เผย หรือ
แกไ้ ขเปลี่ยนแปลงโดยปราศจากอำนาจหรือโดยมิชอบ
ทั้งนี้การเข้าถึงข้อมูลส่วนบุคคลของเจา้ หน้าที่และลูกจ้างดังกล่าว จะเป็นไปโดยจำกัด โดยบริษัทฯ จะอนุญาตให้
เฉพาะบุคคลที่มีความจำเป็นจะต้องเข้าถงึ ขอ้ มูลส่วนบคุ คลน้ันเพื่อปฏบิ ัตหิ นา้ ท่ีของตน [ในกรณีท่ีบุคคลท่ีสามทำการ
ประมวลผลข้อมูลส่วนบุคคลของลูกจ้าง จะเป็นการประมวลผลตามคำสั่งของบริษัทฯตามที่กำหนดในข้อตกลง
ระหว่างผคู้ วบคุมขอ้ มลู สว่ นบุคคลและผ้ปู ระมวลผลข้อมูลสว่ นบคุ คล (data processing agreement: DPA) เท่านนั้ ]
7.ระยะเวลาการเกบ็ รกั ษาข้อมลู สว่ นบคุ คล
บริษัทฯ จะเกบ็ รักษาขอ้ มูลสว่ นบคุ คลของเจา้ หนา้ ทแ่ี ละลูกจา้ งตราบเทา่ ทมี่ คี วามจำเป็นเพอื่ วัตถุประสงค์ของการเก็บ
รวบรวม ซึ่งหมายรวมถึงข้อกำหนดในกระบวนการทางกฎหมาย บัญชี และการรายงาน โดยรายละเอียดเกี่ยวกบั
ระยะเวลาของการเก็บรักษาข้อมูลส่วนบุคคลจะแสดงไว้ในนโยบายการเก็บรักษาข้อมูล (retention policy) ของ
บริษทั ฯ
ในกรณีทที่ า่ นมไิ ด้เป็นเจา้ หน้าทีแ่ ละลูกจ้างของ บริษัทฯ อีกตอ่ ไป บรษิ ทั ฯ จะเกบ็ รักษาและ/หรือทำลายข้อมูลส่วน
บคุ คลของทา่ นตามนโยบายการเกบ็ รกั ษาขอ้ มูลและกฎหมาย
8. สทิ ธิของเจา้ ของข้อมลู สว่ นบคุ คล
ตามเง่ือนไขท่ีพระราชบัญญัตคิ มุ้ ครองขอ้ มูลส่วนบคุ คล พ.ศ. 2562 กำหนด ลกู จา้ งมีสทิ ธิ ดังต่อไปนี้
- ขอเข้าถึงและขอรบั สำเนาข้อมลู สว่ นบคุ คลที่เกยี่ วกบั ตนซงึ่ อย่ใู นความรบั ผิดชอบของบรษิ ัทฯ หรือขอให้
เปิดเผยถึงการไดม้ าซง่ึ ข้อมลู ส่วนบคุ คลดังกลา่ วท่ีตนไมไ่ ดใ้ หค้ วามยินยอม
- คัดคา้ นการเก็บรวบรวม ใช้ หรือเปิดเผยขอ้ มลู ส่วนบคุ คลทีเ่ กย่ี วกบั ตน
- ขอให้บริษทั ฯดำเนินการลบหรือทำลาย หรือทำให้ขอ้ มูลสว่ นบุคคลเปน็ ข้อมลู ทไี่ ม่สามารถระบุตัวบุคคลท่ี
เป็นเจ้าของขอ้ มูลส่วนบคุ คลได้
- ขอใหบ้ ริษทั ฯระงับการใชข้ ้อมลู สว่ นบุคคลได้
ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลัย 483
- ขอใหบ้ ริษทั ฯดำเนินการใหข้ ้อมลู สว่ นบคุ คลนนั้ ถูกต้อง เปน็ ปัจจุบัน สมบรู ณ์ และไมก่ ่อให้เกดิ ความเข้าใจ
ผดิ
9. การตดิ ตอ่ กับบริษัทฯ
ในกรณที ่ีลกู จา้ งมคี ำถามเก่ียวกับการเกบ็ รวบรวม ใช้ หรือเปิดเผยขอ้ มลู ส่วนบคุ คลของลกู จ้าง ลกู จ้างสามารถติดต่อ
เจ้าหนา้ ทด่ี ูแลความปลอดภัยของข้อมลู ผ่านทางอีเมล [..]
K5.2 [ข้อสญั ญาในสญั ญาจ้างแรงงาน]
K5.2.1 [สิทธิของลูกจ้างในฐานะเจ้าของข้อมูลส่วนบุคคล] ตลอดระยะเวลาของการจ้างงาน
นายจ้างมโี อกาสที่จะดำเนินการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของลูกจา้ ง
ดังนั้นนายจ้างจึงมีหน้าที่ที่ต้องแจ้งรายละเอียดดังกล่าวแก่ลูกจ้างให้รับทราบถึง
วัตถปุ ระสงค์ของการเก็บรวบรวม ใช้ หรือเปดิ เผยขอ้ มูลสว่ นบุคคลของลูกจา้ งดงั กล่าว โดย
ในทางปฏิบตั ิน้ัน นายจา้ งจะแจง้ โดยวิธีการตามตัวอย่างหนังสอื แจ้งนโยบายการคุ้มข้อมูล
ส่วนบุคคลสำหรับเจ้าหน้าที่และลูกจ้าง เพื่อสร้างความชัดเจนว่าลูกจ้างรับทราบและ
ยอมรับว่านายจา้ งสามารถเกบ็ รวบรวม ใช้ หรอื เปดิ เผยข้อมลู สว่ นบุคคลของลกู จ้างได้ตาม
นโยบายดังกล่าว โดยทีน่ ายจ้างอาจเพ่มิ เตมิ ขอ้ ความในสญั ญาจ้างแรงงาน
ตัวอยา่ ง
❖ ภายใต้บงั คับของพระราชบญั ญตั คิ ุ้มครองข้อมูลสว่ นบุคคล พ.ศ. 2562 ลกู จ้างรับทราบและยอมรบั ว่าบริษัท
ฯ สามารถเก็บรวบรวม ใช้ หรือเปิดเผยขอ้ มลู ส่วนบคุ คลของตนทเี่ ก่ยี วขอ้ งกับการจ้างงานและวัตถุประสงค์
อ่ืนตามนโยบายการค้มุ ครองข้อมลู ส่วนบุคคลของสำหรับเจ้าหนา้ ทแี่ ละลูกจ้าง (Privacy notice for staffs
and employees)
❖ นอกจากนี้ ลกู จา้ งตระหนกั และยอมรับว่า บรษิ ทั ฯ สามารถเก็บรวบรวม ใช้ และเปิดเผยข้อมลู สว่ นบุคคลทม่ี ี
ความอ่อนไหว (sensitive personal data) ได้ตามวัตถุประสงค์ที่ระบในเอกสารการขอความยินยอมใน
กรณขี องข้อมลู ส่วนบุคคลท่ีมคี วามออ่ นไหว
K5.2.2 [หน้าทข่ี องลกู จ้าง] นอกจากการทีน่ ายจา้ งมีหน้าที่ทจ่ี ะต้องคมุ้ ครองข้อมลู ส่วนบุคคลของ
ลกู จา้ งแลว้ กรณียงั มปี ระเด็นต้องพิจารณาต่อไปอีกว่าลูกจ้างน้ันควรมีหน้าท่ีที่จะต้องช่วย
484 Thailand Data Protection Guidelines 3.0
ให้นายจ้างสามารถคุ้มครองข้อมูลส่วนบุคคลของบุคคลทั่วไป (เช่นลูกค้าของนายจ้าง)
หรือไม่ หากลูกจ้างขององคก์ รไม่ใช้ความระมัดระวังในการเก็บรวบรวม ใช้ หรือเปิดเผย
ข้อมูลสว่ นบุคคลของลูกคา้ ของนายจ้าง นายจา้ งอาจต้องรบั ผิดตามกฎหมายได้ เช่น ลกู จา้ ง
ของบริษัทฯกระทำการโดยประมาทเลินเล่อทำให้เจ้าของข้อมูลส่วนบุคคล (ที่เป็นลูกค้า
ของนายจ้าง) ได้รับความเสียหาย ด้วยเหตุนี้ นายจ้างจึงอาจกำหนดหน้าที่คุ้มครองข้อมลู
ส่วนบุคคลจากการปฏิบัติงานตามหน้าที่ของตนเพิ่มเติมให้กับลูกจ้างโดยการปฏิบัติให้
เป็นไปตามที่นโยบายการคุ้มครองข้อมูลส่วนบุคคลสำหรับบุคคลทั่วไปที่นายจ้างได้
ประกาศให้ลูกจ้างทราบแล้ว
ตัวอย่าง
❖ ลกู จา้ งตกลงท่ีจะปฏิบตั ติ ามนโยบาย กฎ ระเบยี บ ขอ้ บังคบั คำสั่ง ประกาศ และแบบธรรมเนียม ปฏิบตั ขิ อง
บริษัทฯ ซึ่งถือใช้บังคับอยู่โดยชอบด้วยกฎหมายในวันทำสญั ญานี้ รวมถึงนโยบายการคุ้มครองข้อมูลส่วน
บุคคลท่นี ายจา้ งได้ประกาศไว้สำหรบั ลูกจา้ งและบุคคลท่ัวไป
K5.3 [ข้อบงั คบั เกี่ยวกับการทำงาน] มาตรา 37 ของพระราชบญั ญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 กำหนดหน้าที่ให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการรักษาความ
มั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือ
เปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการ
ดังกล่าวเมอ่ื มคี วามจำเป็นหรือเมื่อเทคโนโลยเี ปลย่ี นแปลงไปเพื่อให้มีประสิทธิภาพในการ
รกั ษาความมน่ั คงปลอดภยั ท่เี หมาะสม642 รวมถึงกรณที ่ผี ้คู วบคมุ ขอ้ มูลสว่ นบุคคลจะต้องให้
ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ควบคุม
ข้อมูลส่วนบุคคลจะตอ้ งดำเนินการเพื่อป้องกันมใิ ห้ผู้นน้ั ใช้หรอื เปิดเผยขอ้ มลู สว่ นบคุ คลโดย
ปราศจากอำนาจหรอื โดยมิชอบ643 หากเปน็ กรณีท่ผี ู้ควบคมุ ข้อมูลส่วนบุคคลมีลูกจ้างท่ตี อ้ ง
ปฏิบัติงานในส่วนที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เช่น
ลูกจ้างฝา่ ยระบบสารสนเทศ ผูค้ วบคุมขอ้ มูลส่วนบคุ คลควรจะกำหนดหน้าทใ่ี ห้ลูกจ้างของ
642 พระราชบัญญัตคิ มุ้ ครองขอ้ มลู สว่ นบคุ คล พ.ศ. 2562 มาตรา 37(1). 485
643 พระราชบญั ญตั คิ มุ้ ครองข้อมูลส่วนบคุ คล พ.ศ. 2562 มาตรา 37(2).
ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนติ ิศาสตร์ จฬุ าลงกรณม์ หาวทิ ยาลัย
ตนปฏบิ ัตติ ามขอ้ บังคับเกี่ยวกับการทำงาน ทัง้ น้ีเพ่ือปอ้ งกนั ความรับผดิ ทีเ่ กิดจากการฝ่าฝืน
หนา้ ทตี่ ามมาตรา 37 ของพระราชบัญญตั คิ ุม้ ครองข้อมลู ส่วนบคุ คล พ.ศ. 2562ดังกล่าว
ตวั อยา่ งข้อบังคับเกี่ยวกับการทำงาน
(ในส่วนของมาตรการรกั ษาความม่นั คงปลอดภยั ข้อมลู ส่วนบคุ คล)
ข้อ 1. ข้อความเบือ้ งต้น
1.1 บริษัทฯ เป็นผู้ควบคุมขอ้ มูลส่วนบุคคลของบคุ คลท่ัวไปที่มีปฏิสัมพันธ์กับ บริษัทฯ ตามพระราชบัญญัติ
คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ”) และมีหน้าที่จัดให้มี
มาตรการรักษาความมั่นคงปลอดภยั ท่ีเหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข
หรือเปดิ เผยข้อมลู ส่วนบคุ คลโดยปราศจากอำนาจหรอื โดยมิชอบตามมาตรา 37(1) ของ พ.ร.บ. คมุ้ ครอง
ข้อมูลส่วนบุคคลฯ
1.2 ข้อบังคับเก่ียวกบั การทำงานน้ใี ช้บงั คับกบั การเขา้ ถึง ใช้ เปดิ เผยข้อมูลสว่ นบคุ คลของลกู ค้าหรอื ลูกจา้ งของ
บริษัทฯ ไม่ว่าจะเป็นการเข้าถึง ใช้ เปิดเผยข้อมูลส่วนบุคคลที่เกิดขึ้นภายในหรือภายนอกสถาน
ประกอบการ และไมว่ า่ จะเปน็ การเขา้ ถงึ ใช้ เปดิ เผยในรูปแบบเอกสาร (hard copy) หรอื ผ่านทางระบบ
อิเลก็ ทรอนิกส์ หรือทางอปุ กรณ์ของ บรษิ ทั ฯ หรอื ของตัวลกู จ้างเองกต็ าม
ข้อ 2. คำนิยาม
2.1 “การเขา้ ถึง” หมายถึง ความสามารถในการทจี่ ะทำให้ไดม้ าซ่งึ ข้อมลู ทถี่ ูกเกบ็ รวบรวมโดย บรษิ ทั ฯ ไม่ว่า
จะอยู่รูปแบบของเอกสาร (hard copy) หรือฐานขอ้ มูลอิเล็กทรอนิกส์ของ บริษัทฯ ซึ่งจะทำใหผ้ ูเ้ ข้าถงึ
สามารถใช้ แกไ้ ข หรอื ลบขอ้ มูลสว่ นบุคคลท่ถี ูกเข้าถงึ ได้
2.2 “ขอ้ มลู ส่วนบคุ คล” หมายถงึ ข้อมลู เกีย่ วกบั บคุ คลซ่งึ ทำให้สามารถระบตุ ัวบุคคลนนั้ ได้ไม่วา่ ทางตรงหรือ
ทางออ้ ม แต่ไมร่ วมถึงข้อมลู ของผู้ถงึ แก่กรรมโดยเฉพาะ
2.3 “ลูกจ้าง” หมายถึง ลูกจ้างของ บริษัทฯ
2.4 “บุคคลทวั่ ไป” หมายถึง บคุ คลใด ๆ ท่ีมีปฏิสัมพันธห์ รือทำธรุ กรรมกับ บริษัทฯ
ขอ้ 3. ขอ้ จำกัดการเข้าถึงข้อมูลส่วนบุคคล644
3.1 หา้ มมิให้ลกู จา้ งเข้าถงึ ใช้ แก้ไข หรอื เปิดเผยข้อมูลสว่ นบคุ คลท่ีบริษัทฯ เกบ็ รวบรวม เว้นแต่เป็นกรณีท่ีมี
ความจำเป็นในการปฏบิ ตั ิการตามหนา้ ทขี่ องตน645
644 ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วน
บคุ คล พ.ศ. 2563, ข้อ 5.
645 Data Protection Commission, ‘Guidance Note: Guidance for Controllers on Data Security’ (Data
Protection Commission, June 2019) <https://www.dataprotection.ie/sites/default/ files/uploads/
2019-06/190625%20Data%20Security%20Guidance.pdf> accessed 3 December 2020, 4.
486 Thailand Data Protection Guidelines 3.0
3.2 ความจำเป็นในการปฏิบตั กิ ารตามหน้าทีข่ องตนตามทีร่ ะบไุ ว้ในขอ้ 3.1 หมายถึง การปฏบิ ัติงานตามหนา้ ที่
นั้นมีความจำเป็นท่ีจะต้อง “รู้” และ “เข้าถึง” ข้อมูลส่วนบุคคล มิฉะนั้นจะไม่สามารถปฏิบัติงานตาม
หนา้ ทีข่ องตนได้
3.3 ในกรณที ่ีสถานะความเป็นลูกจา้ งสน้ิ สุดลงไม่ว่าด้วยเหตุใดก็ตาม การเข้าถงึ ใช้ แก้ไข หรือเปิดเผยข้อมูล
ส่วนบุคคลท่ีถูกเก็บรวบรวมโดย บริษัทฯ จะสิ้นสุดลงทนั ที ทั้งนี้ บริษัทฯ สงวนสิทธิที่จะลบหรือทำลาย
รหัสหรอื เอกสารใด ๆ ที่จะทำให้สามารถเขา้ ถึง ใช้ แกไ้ ข หรือเปดิ เผยข้อมูลส่วนบคุ คลได้
ขอ้ 4. ข้อปฏิบัติในกรณที ีจ่ ะตอ้ งเขา้ ถึง ใช้ หรือเปิดเผยขอ้ มลู สว่ นบคุ คล
4.1 กอ่ นท่ีจะเข้าถึง ใช้ แก้ไข หรอื เปดิ เผยข้อมลู สว่ นบุคคลทม่ี ีความจำเป็นตามทร่ี ะบไุ วใ้ นข้อ 3. นั้น ลูกจ้าง
จะต้องลงนามในเอกสารกำหนดหน้าทีใ่ นการรักษาความลบั ของข้อมลู ส่วนบุคคลซ่ึงมีผลบังคับใช้ได้ตาม
กฎหมายกอ่ น
4.2 ลกู จา้ งจะต้องไม่นำหรือส่งข้อมลู ส่วนบคุ คลของบุคคลทั่วไป เจ้าหน้าที่ หรอื ลกู จ้างของ บริษัทฯ ออกไป
ภายนอกสถานท่ีทำงาน เวน้ แตจ่ ะได้รับความยินยอมเปน็ ลายลักษณ์อกั ษรจาก บริษทั ฯ หรอื บคุ คลที่ไดร้ บั
มอบหมายใหส้ ามารถให้ความยนิ ยอมได้
4.3 ลูกจ้างมหี น้าทีบ่ ำรุงรักษาอุปกรณ์ที่เกี่ยวข้องกับการเขา้ ถึง ใช้ แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลตาม
มาตรฐานสากลทางด้านการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศที่ประกาศโดย
บริษัทฯ
4.4 ลูกจ้างทุกคนมีหน้าที่ต้องเข้ารับการอบรมเกี่ยวกับความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลและการ
คุม้ ครองข้อมูลสว่ นบคุ คลท่จี ัดข้ึนโดย บรษิ ทั ฯ เปน็ ประจำ [ทกุ ปี]
4.5 ลูกจ้างทุกคนต้องตระหนักถึงหนังสือแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลสำหรับบุคคลทั่วไป
(Privacy notice for the public) และหนังสือแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลสำหรับ
เจ้าหน้าที่และลูกจ้าง (Privacy notice for staffs and employees) และมีหน้าท่ีสนับสนุนให้ บริษัทฯ
สามารถดำเนนิ การเกยี่ วกับการคมุ้ ครองขอ้ มลู ส่วนบุคคลตามหนังสือดังกล่าวได้
K5.3.1 [การเปลี่ยนแปลงสภาพการจา้ ง] นายจ้างที่มีลูกจา้ งตั้งแตย่ ีส่ ิบคนขึ้นไปจดั ใหม้ ขี ้อตกลง
เกย่ี วกับสภาพการจ้างโดยทำเป็นหนังสือ646 โดย “สภาพการจ้าง” นัน้ หมายถึงเงื่อนไขการ
จ้างหรือการทำงาน กำหนดวันและเวลาทำงาน ค่าจ้าง สวัสดิการ การเลิกจ้าง หรือ
ประโยชน์อื่นของนายจ้างหรือลูกจ้างอันเกี่ยวกับการจ้างหรือการทำงาน647 ซึ่งจะต้องมี
ขอ้ ความ ดงั ต่อไปนี้
(1) เงอื่ นไขการจา้ งหรอื การทำงาน
(2) กำหนดวันและเวลาทำงาน
646 พระราชบญั ญัตแิ รงงานสมั พันธ์ พ.ศ. 2518, มาตรา 10. 487
647 พระราชบัญญัตแิ รงงานสัมพันธ์ พ.ศ. 2518 มาตรา 5.
ศูนย์วจิ ัยกฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จฬุ าลงกรณม์ หาวิทยาลัย
(3) คา่ จ้าง
(4) สวัสดกิ าร
(5) การเลกิ จา้ ง
(6) การยน่ื เรอื่ งราวร้องทกุ ขข์ องลกู จา้ ง
(7) การแกไ้ ขเพ่มิ เตมิ หรอื การต่ออายขุ ้อตกลงเกย่ี วกบั สภาพการจา้ ง648
K5.3.2 หากจะมีการแก้ไขเพ่ิมเตมิ ข้อตกลงเก่ียวกับสภาพการจ้าง นายจ้างหรอื ลกู จ้างต้องแจ้งข้อ
เรยี กรอ้ งเปน็ หนงั สอื ให้อกี ฝ่ายหนงึ่ ทราบและจะต้องมีการเจรจาและตกลงกันตามข้ันตอน
ท่ีพระราชบญั ญตั ิแรงงานสมั พันธ์ พ.ศ. 2518 กำหนด649 นอกจากนี้ เม่ือขอ้ ตกลงเก่ียวกับ
สภาพการจ้างมีผลใช้บงั คับแล้ว ห้ามมิให้นายจ้างทำสัญญาจ้างแรงงานกับลูกจา้ งขัดหรอื
แย้งกับข้อตกลงเก่ียวกับสภาพการจ้าง เว้นแต่สัญญาจ้างแรงงานนั้นจะเป็นคุณแกล่ ูกจา้ ง
ยิง่ กวา่ 650
K5.3.3 [การแก้ไขข้อบงั คบั เก่ียวกับการทำงานในสว่ นของมาตรการรักษาความม่ันคงปลอดภัย
ข้อมูลส่วนบุคคลเป็นการเปลี่ยนแปลงสภาพการจ้างหรือไม่] โดยทั่วไปแล้ว การที่
นายจ้างกำหนดข้อจำกัดการเข้าถึงข้อมูลส่วนบุคคลที่นายจ้างเก็บรวบรวมโดยกำหนดให้
ลูกจ้างความจำเป็นในการปฏิบัติการตามหน้าที่ของตน และกำหนดขั้นตอนการปฏิบัติ
เพิ่มเติมเกี่ยวกับการเขา้ ถึงข้อมูลส่วนบคุ คลและแนวการปฏิบตั ิในการใชข้ ้อมลู สว่ นบคุ คล
นั้นไม่ถือเป็นแก้ไขเพิ่มเติมข้อตกลงเกี่ยวกับสภาพการจ้างตามพระราชบัญญัติแรงงาน
สมั พนั ธ์ พ.ศ. 2518 เนื่องดว้ ยเหตผุ ลดังตอ่ ไปนี้
(1) ข้อจำกัดของลูกจ้างในการเข้าถึงข้อมูลส่วนบุคคลที่นายจ้างเก็บรวบรวมโดย
กำหนดให้ลูกจ้างความจำเป็นในการปฏิบัติการตามหน้าที่ของตน และกำหนด
ขั้นตอนการปฏิบัติเพิ่มเตมิ เกีย่ วกบั การเข้าถึงข้อมูลส่วนบุคคลและแนวการปฏิบัติ
ในการใชข้ ้อมูลส่วนบคุ คลนั้นไม่ได้เป็นเกี่ยวกับกำหนดวันและเวลาทำงาน ค่าจ้าง
สวัสดิการ การเลิกจ้าง หรือประโยชน์อื่นของนายจ้างหรือลูกจ้างอันเกี่ยวกับการ
จ้างหรอื การทำงาน
648 พระราชบญั ญัติแรงงานสัมพันธ์ พ.ศ. 2518 มาตรา 11.
649 พระราชบัญญตั ิแรงงานสมั พนั ธ์ พ.ศ. 2518 มาตรา 13 ถงึ 19.
650 พระราชบญั ญัตแิ รงงานสมั พนั ธ์ พ.ศ. 2518 มาตรา 20.
488 Thailand Data Protection Guidelines 3.0
(2) นายจ้างมีอำนาจบริหารทรัพยากรบุคคลเพื่อให้การทำงานของลูกจ้างมี
ประสิทธิภาพหากปรากฏว่าการบริหารจดั การดังกล่าวนั้นไม่เป็นการลดตำแหน่ง
หรือค่าจา้ งของลูกจ้างและไมเ่ ปน็ การกลน่ั แกลง้ ลกู จา้ ง การใช้อำนาจบริหารจัดการ
ดังกลา่ วนัน้ ไม่ถอื เป็นการเปลี่ยนแปลงสภาพการจา้ ง651
(3) การกำหนดข้อจำกัดของลกู จา้ งในการเขา้ ถงึ ข้อมลู ส่วนบคุ คลทน่ี ายจ้างเก็บรวบรวม
โดยกำหนดให้ลกู จ้างความจำกัดการเข้าถึงข้อมูลส่วนบคุ คลเฉพาะทีจ่ ำเป็นในการ
ปฏิบัติการตามหน้าที่ของตน และกำหนดขั้นตอนการปฏิบัติเพิ่มเติมเกี่ยวกับการ
เข้าถึงข้อมลู สว่ นบุคคลและแนวการปฏบิ ัตใิ นการใช้ขอ้ มลู ส่วนบุคคลนั้นอาจถือได้
ว่าเป็นการสร้างประสิทธิภาพในการจัดการทรัพยากรบุคคลทั้งนี้เพื่อให้นายจ้าง
สามารถปฏิบัติหนา้ ท่ใี นการคมุ้ ครองความมน่ั คงปลอดภัยของขอ้ มูลส่วนบุคคลตาม
มาตรา 37 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกอบ
ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเรื่อง มาตรฐานการรักษาความ
ม่นั คงปลอดภัยของข้อมูลส่วนบคุ คล พ.ศ. 2563
(4) อย่างไรก็ตาม หากนายจ้างประสงค์จะกำหนดข้อจำกัดของลูกจ้างในการเข้าถึง
ข้อมูลส่วนบุคคลที่นายจ้างเก็บรวบรวมโดยกำหนดให้ลูกจ้างความจำเป็นในการ
ปฏิบัติการตามหน้าที่ของตน และกำหนดขั้นตอนการปฏิบัติเพิ่มเติมเกี่ยวกับการ
เข้าถงึ ขอ้ มูลส่วนบุคคลและแนวการปฏบิ ัติในการใช้ข้อมูลสว่ นบคุ คล นายจา้ งควรท่ี
จะทำการประกาศขอ้ บังคับดังกลา่ วแก่ลกู จา้ งอย่างชดั เจนเพอ่ื ให้ลูกจ้างได้รับทราบ
ถึงขอ้ จำกัดและแนวการปฏบิ ัติดงั กล่าว652
651 เทียบเคยี งคำพพิ ากษาศาลฎีกาท่ี 686/2548 ซ่ึงวินิจฉัยวา่ แม้นายจ้างจะมีอำนาจบริหารในการโยกย้ายตำแหน่ง
งานของลกู จา้ งเพ่อื ใหเ้ หมาะสมแก่งาน เพอ่ื ใหก้ ารทำงานของลกู จา้ งมีประสทิ ธิภาพซง่ึ มิใชเ่ ป็นการเปล่ียนแปลงสภาพ
การจา้ งกต็ าม แตก่ ารยา้ ยนัน้ ตอ้ งไม่เปน็ การลดตำแหน่งหรือค่าจ้างของลูกจ้าง อีกทั้งไมเ่ ปน็ การกลนั่ แกล้งลกู จ้างด้วย
และคำพิพากษาศาลฎีกาที่ 635/2534 ซึ่งวินิจฉัยว่าข้อบังคับของจำเลยข้อนี้มีลักษณะเป็นการแบ่งหน่ วยงานโดย
กำหนดอัตรากำลัง และระดับในแต่ละหน่วยงานอันมลี ักษณะเป็นวิธกี ารบริหารงานบุคคลในหน่วยงานเท่านั้นไม่มี
ลักษณะที่เป็นข้อบังคับเกี่ยวกับการทำงาน และมิได้มีลักษณะที่เป็นเงื่อนไขในการทำงาน กำหนดวันเวลาทำงาน
คา่ จา้ ง สวัสดกิ ารการเลิกจา้ ง การย่ืนเรือ่ งราวร้องทุกขข์ องลกู จ้าง การแก้ไขเพิม่ เติมหรือการต่ออายขุ ้อตกลงเก่ียวกับ
สภาพการจ้างตามทก่ี ำหนดไวใ้ นพระราชบัญญตั ิแรงงานสมั พันธ์ พ.ศ. 2518
652 ข้อ 4 ของประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของ
ขอ้ มูลสว่ นบคุ คล พ.ศ. 2563 กำหนดวา่ ผ้คู วบคุมขอ้ มลู ส่วนบุคคลตอ้ งแจ้งมาตรการรักษาความม่ันคงปลอดภัยของ
ขอ้ มลู ส่วนบคุ คลตามประกาศน้ี ให้แกบ่ คุ ลากร พนักงาน ลูกจ้างหรือบคุ คลทเ่ี กยี่ วข้องทราบ รวมถงึ สร้างเสริมความ
ศนู ย์วิจยั กฎหมายและการพฒั นา คณะนติ ิศาสตร์ จุฬาลงกรณม์ หาวิทยาลยั 489
ตระหนักร้ดู ้านความสำคัญของการคุ้มครองข้อมลู สว่ นบุคคลให้กับกลุม่ บุคคลดังกล่าวปฏิบัติตามมาตรการที่กำหนด
อย่างเครง่ ครดั
490 Thailand Data Protection Guidelines 3.0
L. แนวปฏบิ ตั เิ กีย่ วกบั ฝา่ ยจดั ซอ้ื จัดจา้ ง
(Guideline for Procurement Department)
แนวปฏิบตั ิน้ีจะกล่าวถงึ การคุ้มครองข้อมูลส่วนบคุ คลเพอื่ จัดการกบั ความเสี่ยงท่อี าจจะเกิดจากการ
จัดซอื้ จัดจา้ ง โดยมีประเด็นดงั น้ี
L1 แนวทางการจดั ซ้อื จัดจ้างผลติ ภัณฑแ์ ละบริการใหม่ (New Procurement)
L2 แนวทางการจัดการสญั ญาจัดซอ้ื จัดจ้างที่มีผลบังคบั ใชแ้ ล้ว (Existing Procurement)
L3 ข้อควรพิจารณาในการจดั ซอื้ จัดจ้างบริการประเภทที่น่าสนใจ
L1. การจดั ซื้อจดั จ้างใหม่
ก่อนทำสัญญา
(Prior to Contracting)
L1.1 [พิจารณาลกั ษณะของกจิ กรรม] ก่อนจัดซือ้ จดั จา้ งต้องพิจารณาลักษณะของกจิ กรรมวา่
เกยี่ วกบั การประมวลผลขอ้ มูลสว่ นบคุ คลหรอื ไม่ ตามลำดับดงั นี้
คำถาม พจิ ารณาจาก
(1) เปน็ “ข้อมูลส่วนบคุ คล” หรอื ไม่ ? “ขอ้ มลู ส่วนบคุ คล” หมายถงึ ขอ้ มลู ใดๆทร่ี ะบไุ ปถงึ “เจา้ ของขอ้ มลู ”
ได้ไมว่ า่ ทางตรงหรอื ทางอ้อม โดยไม่รวมถึงขอ้ มลู ของผู้ท่ถี งึ แก่
(2) ฝ่ายใดเป็น “ผู้ควบคมุ ข้อมลู ส่วน กรรม653
บุคคล” ?
“ผ้คู วบคมุ ขอ้ มลู สว่ นบคุ คล” คอื ผูท้ ี่มีอำนาจหนา้ ทตี่ ดั สินใจเก่ียวกับ
การเกบ็ รวบรวม ใช้ หรือเปิดเผยขอ้ มูลสว่ นบุคคล654
ผูค้ วบคมุ ขอ้ มูลส่วนบุคคลจะกำหนดวตั ถปุ ระสงคแ์ ละวธิ ีการ
ประมวลผลข้อมลู สว่ นบุคคล ดังนั้นหากคูค้ ้ามอี ำนาจหน้าทใี่ นการ
653 พระราชบญั ญตั ิคุ้มครองข้อมลู ส่วนบคุ คล พ.ศ.2562 มาตรา 6. 491
654 พระราชบญั ญตั คิ มุ้ ครองขอ้ มลู ส่วนบคุ คล พ.ศ.2562 มาตรา 5.
ศนู ย์วิจยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จฬุ าลงกรณ์มหาวิทยาลัย
ตัดสนิ ใจวา่ จะประมวลผลข้อมลู ส่วนบุคคล “เพ่อื อะไร” และ “ดว้ ยวธิ ี
อย่างไร” กจ็ ะมสี ถานะเป็นผ้คู วบคุมข้อมลู ส่วนบคุ คล
(3) ฝ่ายใดเป็น “ผู้ประมวลผลข้อมลู “ผู้ประมวลผลข้อมูลสว่ นบุคคล” คือ ผทู้ ี่ดำเนินการเกี่ยวกับ การ
ส่วนบุคคล” ? เกบ็ รวบรวม ใช้ หรอื เปดิ เผยข้อมูลส่วนบคุ คลตามคำสั่งหรอื ในนาม
ของผคู้ วบคมุ ขอ้ มูลส่วนบุคคล655
ผู้ประมวลผลขอ้ มูลสว่ นบุคคลจะประมวลผลข้อมูลสว่ นบคุ คลในนาม
ของผู้ควบคุมขอ้ มูลสว่ นบุคคล เทา่ นัน้ ดังนน้ั หากคคู่ ้าหรือผ้ใู หบ้ รกิ าร
เพยี งแค่ประมวลผลขอ้ มูลส่วนบคุ คลแตไ่ มไ่ ดก้ ำหนดวัตถปุ ระสงค์และ
วธิ ีการประมวลผลข้อมลู ส่วนบคุ คล กจ็ ะมสี ถานะเป็นผูป้ ระมวลข้อมลู
ส่วนบคุ คล
ฝ่ายจัดซื้อจัดจ้างจึงควรพิจารณาว่าตนเองและคู่ค้าหรือผู้ให้บริ การมีสถานะผู้ควบคุมข้อมูลส่วน
บุคคล หรอื ผู้ประมวลผลข้อมูลส่วนบคุ คล ในทางปฏิบตั กิ ารมีสถานะเป็นผ้คู วบคุมข้อมูลส่วนบุคคล
หรือผู้ประมวลผลข้อมูลส่วนบุคคลจะทำให้บริษัทมีหน้าที่และความรับผิดชอบท่ีต่างกัน และบริษทั
อาจจะได้ประโยชน์หรอื เสยี ประโยชน์จากการท่ีคู่ค้าหรอื ผ้ใู ห้บรกิ ารมีสถานะทแี่ ตกต่างกนั
L1.2 [ประเภทของความสัมพันธ์] โดยทั่วไปแล้วความสัมพันธ์ระหว่างบริษัทและคู่ค้าหรือผู้
ให้บรกิ ารอาจแบ่งเป็น 3 ประเภท ตามตารางตอ่ ไปน้ี656
ประเภทของความสมั พันธ์ ตวั อย่าง
บริษัทเปน็ ผู้ควบคมุ /คคู่ ้าหรอื ผู้ รา้ นตัดแต่งขนสนุ ัขหนึ่งจ้างโรงพิมพ์ใหพ้ ิมพ์ใบบตั รเชญิ ลกู ค้าประจำให้มา
ใหบ้ รกิ ารเป็นผูป้ ระมวล ร่วมงานเลย้ี งขอบคณุ ลูกค้าประจำปี ร้านตัดแต่งขนสุนัขให้ชอ่ื และทีอ่ ยู่ของ
ลูกคา้ ประจำท่ีมีอยูใ่ นฐานข้อมลู ของร้านแกโ่ รงพิมพ์ เพ่ือที่จะไดพ้ มิ พจ์ า่ หน้า
ซองถึงลกู คา้ เมอ่ื ไดบ้ ตั รเชญิ พร้อมซองจากโรงพิมพแ์ ลว้ ร้านตดั แต่งขนสนุ ัข
จงึ ส่งบัตรเชญิ ถงึ ลกู คา้ ดว้ ยตนเอง
รา้ นตัดแตง่ ขนสุนัขเป็นผ้คู วบคุมขอ้ มูลสว่ นบุคคลที่ประมวลผลเกยี่ วข้องกบั
การเชิญลกู ค้าประจำใหม้ ารว่ มงานเลี้ยง รา้ นตดั แต่งขนสนุ ขั เป็นฝา่ ยท่ี
655 Id.
656 Note one vendor might have more than one status depending on which acuities
492 Thailand Data Protection Guidelines 3.0
บริษัทเป็นผ้คู วบคมุ /คคู่ ้าหรือผู้ กำหนดวตั ถปุ ระสงค์ในการประมวลผลข้อมูลส่วนบคุ คล (เพ่อื สง่ คำเชิญที่
ให้บริการเปน็ ผคู้ วบคมุ กล่าวถงึ ทลี ะรายการใหเ้ ข้ารว่ มกจิ กรรม) และวธิ ีการประมวลผล (การรวม
(โดยอสิ ระต่อกนั ) ขอ้ มลู ส่วนบุคคลทางไปรษณยี โ์ ดยใชร้ ายละเอยี ดทอ่ี ยู่ของเจา้ ของขอ้ มลู ) โรง
พิมพเ์ ปน็ ผู้ประมวลผลข้อมลู ส่วนบุคคลที่ดำเนินการพมิ พ์บตั รเชิญตามคำสั่ง
ของร้านตัดแต่งขนสนุ ขั เทา่ น้ัน
บรษิ ทั ผลติ ส่วนประกอบรถยนตแ์ หง่ หนึง่ จ้างนกั บัญชีมาตรวจสอบบญั ชีให้
บริษทั โดยทำสญั ญาจ้างตลอดปงี บการเงิน นักบญั ชีทำงานภายใต้
ภาระหนา้ ทที่ างวิชาชีพหลายประการทบ่ี งั คับใหเ้ ขาตอ้ งรับผิดชอบตอ่ ข้อมูล
ส่วนบคุ คลทเ่ี ขาประมวลผล เชน่ ต้องนำข้อมูลมาตรวจสอบโดยที่บริษทั ไม่
ทราบเลยวา่ จะเอาข้อมูลน้นั ไปตรวจสอบอย่างไร หรอื หากนักบญั ชตี รวจ
พบวา่ มีการทุจรติ ภายในบริษทั นักบญั ชีอาจต้องตรวจสอบเพ่ือรายงานการ
ทจุ ริตตอ่ ทางการ ดงั น้นั นกั บัญชีไม่ไดป้ ฏบิ ตั ติ ามคำแนะนำของผ้จู ้าง แต่มี
วตั ถุประสงคแ์ ละทำตามภาระหน้าที่ทางวชิ าชพี ของตนเอง
นักบัญชีจงึ เป็นมีสถานะผูค้ วบคมุ ข้อมูลสว่ นบุคคลในส่วนของการทำงาน
ตรวจสอบบัญชี ในขณะทบ่ี รษิ ัทกเ็ ป็นมสี ถานะผู้ควบคมุ ข้อมูลสว่ นบุคคลใน
ส่วนทบ่ี รษิ ัทเกบ็ รวบรวม และส่งขอ้ มูลส่วนบุคคลใหน้ ักบัญชี บรษิ ัทและนัก
บัญชีตา่ งก็เป็นผ้คู วบคมุ ข้อมูลทเ่ี ป็นอสิ ระต่อกัน เนื่องจากแตล่ ะฝ่ายเก่ียวข้อง
กบั กจิ กรรมประมวลผลขอ้ มูลท่ตี ่างกัน
บริษัทไม่เก่ยี วขอ้ งกับขอ้ มูล/คคู่ า้ ขอ้ สังเกต : หากผ้ใู หบ้ รกิ ารที่เป็นผู้เชยี่ วชาญประมวลผลข้อมูลตาม
หรือผูใ้ หบ้ ริการเปน็ ผ้คู วบคมุ ภาระหนา้ ทีท่ างวชิ าชพี ของตนเอง ผเู้ ชีย่ วชาญมักจะมีสถานะเป็นผู้ควบคุม
ข้อมลู ส่วนบุคคล เพราะกฎหมายหรือกฎเกณฑ์ทางวิชาชีพมักไมอ่ นญุ าตให้
ผู้เช่ยี วชาญสง่ มอบหรือแบง่ ปนั ภาระหน้าท่ขี องผคู้ วบคุมขอ้ มลู ส่วนบคุ คลกับ
ผูร้ บั บริการได้
บรษิ ัทแพลตฟอร์มใหบ้ รกิ ารแม่บ้านแห่งหนึ่ง จา้ งบรษิ ทั ทป่ี รกึ ษาทางการ
ตลาดมาทำการตลาดให้ เน่ืองจากแพลตฟอร์มดงั กล่าวเพิ่งเรม่ิ ดำเนนิ การ
และยังไม่มฐี านผูใ้ ชง้ าน จงึ ตอ้ งการใหบ้ ริษัททปี่ รึกษาทางการตลาด
ดำเนินการต้ังแตก่ ารวจิ ัยตลาดและกล่มุ เป้าหมาย เก็บขอ้ มลู ส่วนบคุ คลของ
กลุ่มเปา้ หมาย รวมทั้งออกแบบและทำโฆษณาเฉพาะเจาะจงไปยงั
กลุ่มเป้าหมายทบ่ี รษิ ทั ทป่ี รกึ ษาทางการตลาดพบ ซึง่ แพลตฟอรม์ ให้บริการ
แม่บา้ นนั้นมิได้เขา้ ไปมสี ่วนเกยี่ วขอ้ งกับการตลาดนี้เลยและไม่ไดร้ บั ข้อมลู
สว่ นบุคคลใดๆจากบริษทั ท่ีปรึกษาทางการตลาด
ศูนยว์ จิ ยั กฎหมายและการพัฒนา คณะนติ ิศาสตร์ จฬุ าลงกรณม์ หาวทิ ยาลยั 493
ดังนน้ั บรษิ ทั แพลตฟอร์มใหบ้ ริการแม่บา้ นจงึ ไมไ่ ดม้ สี ว่ นเกี่ยวข้องกบั ข้อมลู
สว่ นบุคคล คอื ไมไ่ ด้เป็นผคู้ วบคุมข้อมลู ส่วนบคุ คลหรอื ผ้ปู ระมวลผลข้อมูล
ส่วนบคุ คลแต่อยา่ งใด เพราะไม่ไดก้ ำหนดวตั ถุประสงคแ์ ละวธิ ีการในการ
ประมวลผลขอ้ มูลสว่ นบคุ คล ในขณะทีบ่ รษิ ทั ทป่ี รึกษาทางการตลาดเป็น
ผู้ประมวลผลข้อมูลส่วนบคุ คลแต่เพยี งฝา่ ยเดียวเพราะเป็นผูเ้ ดียวท่กี ำหนด
วัตถุประสงคแ์ ละวิธกี ารในการประมวลผลขอ้ มลู สว่ นบคุ คล
ในทางปฏิบัติบริษัทผู้จัดซื้อจัดจ้างมักมีการกำหนดรายละเอียด มาตรฐาน กระบวนการ และ
เป้าหมายของผลิตภัณฑ์หรือบริการที่จะจัดซื้อจัดจ้าง หรือจัดหาและส่งข้อมูลส่วนบุคคลจาก
ฐานข้อมูลของบริษัทให้คู่ค้า ดังนั้นบริษัทจัดซื้อจัดจ้างจึงมักจะมีสถานะเป็นผู้ควบคุมข้อมูลส่วน
บุคคล ส่วนคู่ค้าหรือผู้ให้บริการก็มักจะมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลเพราะต้อง
ดำเนินการภายใต้กรอบของสญั ญา แผนงาน หรอื รายละเอียด ซ่งึ บริษทั ผ้จู ัดซอื้ จัดจา้ งกำหนดต้ังแต่
เขา้ ทำสัญญาคู่สัญญากัน
ข้อสังเกต เมื่อเข้าทำสัญญาคู่สัญญาอาจมีความพยายามออกแบบความสัมพันธ์เพื่อให้ตนเองมีสถานะเป็นผู้
ควบคุมข้อมลู ส่วนบุคคล (Controller by design) เพื่อให้ตนเองสามารถดำเนนิ การ ดังนั้นฝ่ายจัดซื้อจัดจ้างจงึ
พิจารณาว่าบริษทั จะได้ประโยชนใ์ นการดำรงสถานะใด และความสัมพนั ธ์แบบใดที่จะทำใหก้ ารคุ้มครองข้อมลู
เปน็ ไปได้อยา่ งมีประสทิ ธิภาพและถูกต้องตามกฎหมาย
L1.3 [ประเมินความเสยี่ งของกิจกรรม] ฝา่ ยจัดซื้อจดั จา้ งอาจประเมนิ ความเส่ยี งของกจิ กรรมท่ี
จะจัดซือ้ จัดจา้ งโดยพจิ ารณาขอบเขตของการประมวลผลข้อมูลของกิจกรรม และประเมิน
ความเสี่ยงของกิจกรรมจากความรุนแรงของผลกระทบและความน่าจะเป็นในการเกิดผล
กระทบ
L1.3.1 พจิ ารณาขอบเขตของการประมวลผลขอ้ มูลและบริบททเ่ี กี่ยวข้องกับกิจกรรมท่จี ะจัดซื้อจัด
จา้ ง โดยตอ้ งตอบคำถามดังตอ่ ไปน้ี
- กิจกรรมประมวลผลขอ้ มูลส่วนบคุ คลคอื อะไร ?
- วตั ถปุ ระสงค์ของการประมวลผลคอื อะไร ?
- ประเภทของขอ้ มลู สว่ นบคุ คลทป่ี ระมวลผลคืออะไร ?
- อะไรคอื วิธีการทใี่ ชใ้ นการประมวลผลข้อมูลสว่ นบคุ คล ?
494 Thailand Data Protection Guidelines 3.0
- การประมวลผลข้อมูลสว่ นบคุ คลเกดิ ขึ้นที่ใด ?
- ใครคอื เจา้ ของข้อมูล ?
- ผู้รบั ข้อมลู คือใคร ?
ขอ้ สงั เกต ในขณะที่ตอบคำถามเหล่านี้ ตอ้ งพจิ ารณาการเคลือ่ นทข่ี องข้อมูล (การรวบรวม การจัดเก็บ การใช้ การ
ถ่ายโอน การทำลาย ฯลฯ) เพอ่ื ที่จะได้เหน็ ขอบเขตของการประมวลผลขอ้ มูลในกิจกรรมท่จี ะจัดซ้ือจัดจ้าง อย่าง
ครบถว้ นสมบรู ณ์ และถา้ เป็นกจิ กรรมท่เี ก่ยี วกับการจัดซื้อจัดจ้างผ้ใู ห้บริการด้านการตลาด การจัดซ้ือจัดจ้างผู้ให้
บรกิ ารดา้ นเทคโนโลยีสารสนเทศ การจดั ซือ้ จัดจา้ งผใู้ ห้บริการกฎหมาย การจัดซอ้ื จดั จา้ งบรกิ ารตรวจสอบบัญชี
และการจัดซื้อจัดจ้างบริการจัดหางาน อาจพิจารณา L3 ข้อควรพิจารณาในการจัดซื้อจัดจา้ งบริการประเภทท่ี
นา่ สนใจด้วย
L1.3.2 ประเมินความเสยี่ งของกจิ กรรมซ่งึ อาจจะส่งผลกระทบต่อสทิ ธิขัน้ พ้ืนฐานและเสรีภาพของ
เจ้าของข้อมูลเนื่องจากบริษัทไม่สามารถคุ้มครองข้อมูลส่วนบุคคลได้ ฝ่ายจัดซื้อจัดจ้าง
สามารถประเมนิ ความเส่ียงของกิจกรรม โดยคำนึงถึง ความรนุ แรงของผลกระทบ (Impact
Level) และความน่าจะเป็นในการเกิดผลกระทบ (Threat Occurrence Probability)
โดยสามารถอ้างอิงวิธีการในการประเมินความเสี่ยงของกิจกรรมจากส่วน M แนวปฏิบัติ
สำหรบั ฝ่ายเทคโนโลยสี ารสนเทศ
L1.3.3 หลงั จากการประเมนิ ระดับความเสีย่ ง บรษิ ัทสามารถดำเนินการเลือกมาตรการรกั ษาความ
ปลอดภัยท่ีเหมาะสมสำหรบั การปกปอ้ งข้อมลู ส่วนบคุ คลตามความเส่ยี งของกจิ กรรม
(1) หากพิจารณาแลว้ เหน็ วา่ กจิ กรรมที่จะจัดซ้อื จดั จ้างมีลักษณะทีไ่ มเ่ กย่ี วขอ้ งกับข้อมูล
ส่วนบุคคลมากนัก ถือว่าเป็นกิจกรรมที่มีความเสี่ยงด้านข้อมูลส่วนบุคคลต่ำ ก็
อาจจะใช้ข้อสัญญามาตรฐานที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลใน
เบือ้ งต้น หรือเมือ่ กิจกรรมแทบจะไม่เก่ียวขอ้ งกบั ข้อมลู สว่ นบคุ คลเลยบริษัทอาจจะ
พิจารณาเลือกใช้การจัดทำสัญญาห้ามเปิดเผยข้อมูล (Non-Disclosure
Agreement, NDA) ที่มีเนื้อหาเกี่ยวกับการรักษาข้อมูลส่วนบุคคลระหว่างกัน แต่
อย่างไรก็ตาม ถึงแม้ว่ากิจกรรมน่าจะมีความเสี่ยงต่ำมากถ้าคู่ค้าหรอื ผู้ให้บริการมี
การประมวลผลข้อมูลก็ต้องมีข้อตกลงระหว่างกันเพื่อควบคุมการดำเนินงานตาม
หนา้ ทีข่ องผ้ปู ระมวลผลขอ้ มลู สว่ นบคุ คลให้เป็นไปตามขอ้ ตกลง
ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จุฬาลงกรณม์ หาวิทยาลยั 495
(2) แตห่ ากพิจารณาแล้วเห็นว่ากิจกรรมทีจ่ ะจัดซ้ือจัดจ้างมีลักษณะท่ีมีความเก่ียวข้อง
กบั ข้อมลู ส่วนบคุ คลจำนวนมาก หรือเกย่ี วข้องกับการประมวลผลข้อมูลส่วนบุคคล
โดยตรง เช่น การว่าจ้างให้บริษัทด้านการตลาดเก็บข้อมูลลกู ค้าเพือ่ ทำการตลาด
แบบเฉพาะเจาะจง หรือการให้บริษัทจัดหางานรวบรวมและวิเคราะห์ข้อมูลของ
ผู้สมัครงานเพื่อคัดเลือกสรรหาพนักงานโดยถือว่าเป็นกจิ กรรมที่มีความเสีย่ งด้าน
ข้อมูลส่วนบุคคล ฝ่ายจัดซื้อจัดจ้างควรจัดทำสัญญาประมวลผลข้อมูลส่วนบุคคล
(Data Processing Agreement, DPA)
(3) นอกจากนี้ถ้าพบว่ากิจกรรมมีความเสี่ยงสูงเกี่ยวกับการคุ้มครองข้อมลู ส่วนบุคคล
จนอาจจะมีผลกระทบต่อสิทธิเสรีภาพของบุคคล ก็ควรจัดทำรายการประเมินผล
กระทบด้านการค ุ้มครอง ข้อมูลส่วนบุคคล (Data Protection Impact
Assessment, DPIA) ดว้ ย ซ่ึงเปน็ วธิ ีการที่ช่วยประเมนิ ความเส่ยี งและแสดงให้เห็น
ว่าได้มีการปฏิบัติหลักเกณฑ์ต่างๆตามกฎหมายแล้ว657 โดย DPIA จะอธิบาย
ขอบเขตและวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล ประเมินความ
จำเปน็ และความได้สัดส่วนของการประมวลผลข้อมูลส่วนบุคคล จดั การความเส่ียง
ที่จะมีผลกระทบต่อสิทธเิ สรีภาพของบคุ คลได้ด้วย และกำหนดมาตรการคุม้ ครอง
ขอ้ มูลส่วนบคุ คลทีเ่ หมาะสม
L1.4 [การแจ้งข้อมูลการประมวลผลขอ้ มูล] เพื่อที่บรษิ ัทจะดำเนนิ กิจกรรมจัดซื้อจดั จ้าง เช่น
การขอขอ้ มูล การขอข้อเสนอโครงการจดั ซอ้ื จดั จ้าง การเปดิ ประมูล การเปิดรับการเสนอ
ราคา การเข้าทำสัญญาจัดซ้ือจัดจ้าง การออกคำสง่ั ซอ้ื การชำระคา่ สินคา้ หรือบรกิ าร การ
อนมุ ตั เิ บกิ คา่ ใช้จ่าย บรษิ ัทจำเป็นต้องเกบ็ และประมวลผลขอ้ มูลสว่ นบคุ คล โดยบรษิ ัทอาจ
มฐี านในการประมวลผลข้อมูลส่วนบคุ คลท่ีใช้บอ่ ย ๆ เช่น
- การประมวลผลข้อมูลส่วนบุคคลจำเป็นต่อการดำเนินการเพื่อประโยชน์อันชอบ
ธรรมของบริษัท
- การประมวลผลขอ้ มูลส่วนบุคคลจำเป็นต่อการดำเนินการตามสัญญาระหว่างบริษัท
และคคู่ า้ หรือผู้ใหบ้ รกิ าร
- คา้ หรือผใู้ หบ้ ริการเลือกที่ยินยอมให้ผูค้ วบคมุ ขอ้ มลู ประมวลผลข้อมูลที่มีความเสี่ยง
มากตามมาตรา 19 แหง่ พ.ร.บ. คุ้มครองขอ้ มลู สว่ นบุคคล
657 ดู TDPG 2.0 ส่วน E
496 Thailand Data Protection Guidelines 3.0
บรษิ ัทตอ้ งแจ้งคู่ค้าหรือผู้ให้บริการที่จะจัดซื้อจัดจ้างให้ทราบถึงการประมวลผลข้อมูลโดย
อาจใช้ เอกสารแจ้งข้อมูลการประมวลผลข้อมูล (Privacy Notice) ซึ่งจะต้องระบุถึงชนดิ
ของขอ้ มูลทีจ่ ะเก็บและวตั ถุประสงค์ของการประมวลผลข้อมลู เพื่อการจัดซอ้ื จดั จา้ ง
ตัวอย่างสิ่งท่ีต้องระบุในเอกสารแจง้ ข้อมลู การประมวลผลข้อมลู เพื่อการจดั ซือ้ จดั จา้ ง658
ชนิดข้อมลู สว่ นบคุ คล
1) ช่ือ
2) สถานทต่ี ดิ ตอ่
3) ช่องทางการตดิ ตอ่
4) ขอ้ มลู บง่ ชบ้ี คุ คล และข้อมูลประวตั ิบคุ คล เชน่ เลขบตั รประชาชน IP Address และวนั เดือนปเี กิด
5) รปู ถา่ ย
6) เอกสารประกอบคณุ สมบตั ิเชน่ วุฒกิ ารศึกษา ประวัตกิ ารใหบ้ รกิ าร/การทำงาน และใบอนุญาต
หน่วย/สว่ นงาน (ทงั้ ภายในและภายนอก) ที่ประมวลผล วตั ถุประสงค์
[ภายใน] เช่น เพ่ือยนื ยันตัวตนและตรวจสอบคณุ สมบัติ
ฝา่ ยจัดซอ้ื จดั จ้าง ฝา่ ยบุคคล และฝ่ายกฎหมาย เพือ่ คัดเลือกคูค่ า้ หรอื ผูใ้ ห้บรกิ าร
[ภายนอก] เพอ่ื ดำเนินการเก่ียวกับภาษี
กรมสรรพากร สำนกั งานบญั ชี และบรษิ ัทการตลาด
นอกจากนี้เอกสารแจง้ ข้อมูลการประมวลผลขอ้ มลู ยังควรระบุถงึ รายละเอยี ดอ่ืนๆ ซ่ึงสามารถอ้างอิง
ได้จากเอกสารแจง้ ข้อมูลการประมวลผลขอ้ มูล (Privacy Notice) ในส่วน D1
ขอ้ สังเกต บริษัทจะตอ้ งแสดงเอกสารแจง้ ข้อมูลการประมวลผลข้อมูลก่อนดำเนินกิจกรรมจัดซือ้ จัดจา้ งใดๆ และ
เมอ่ื แสดงเอกสารแจ้งขอ้ มลู การประมวลผลแลว้ ก็ไม่ต้องแสดงอีก และไม่ควรขอขอ้ มูลส่วนบุคคลทไ่ี มจ่ ำเป็นต่อใน
การดำเนินกิจกรรมจดั ซื้อจัดจ้างน้ันๆตามท่ีแจ้งไว้ เช่น ไมจ่ ำเปน็ ตอ้ งขอสำเนาบัตรประชาชนเม่ือคู่ค้ารับชำระค่า
สินค้าหรอื บริการหรือเบิกคา่ ใชจ้ ่าย เพราะบริษัทได้ยืนยันตัวตนและตรวจสอบคุณสมบัติคู่คา้ หรือผูใ้ ห้บรกิ ารไป
เรียบร้อยแล้ว ทั้งนี้บริษัทอาจตรวจสอบความถูกต้องโดยเทียบว่าใบแจ้งหน้ี (Invoice) ของคู่ค้าหรือผูใ้ ห้บริการ
ตรงกับใบคำสั่งซื้อ (Purchasing Order หรือ PO) ที่บริษัทออกให้คู่ค้าหรือผู้ให้บริการไปก่อนหน้าหรือไม่
658 ปรบั ปรุงจาก PROCUREMENT & BUSINESS SERVICES - EU GDPR PRIVACY NOTICE 497
http://www.procurement.gatech.edu/EU-GDPR-PBS
ศูนย์วจิ ัยกฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณม์ หาวทิ ยาลัย
ประกอบกับตรวจสอบวา่ ไดร้ บั สินค้าหรือบรกิ ารทถ่ี ูกต้องครบถ้วนจากใบเสร็จรับเงนิ ของสินค้าหรอื บริการท่ีบริษัท
ได้รบั แต่อยา่ งไรกต็ ามในกรณที ีบ่ ริษัทอาจไม่ได้ออกใบคำสงั่ ซอ้ื คคู่ ้าหรือผใู้ หบ้ รกิ ารกจ็ ะไมม่ ีใบคำสัง่ ซอ้ื มายืนยัน
ฝ่ายจดั ซือ้ จัดจ้างของบริษัทต้องเทยี บรายการกบั ใบคำสั่งซ้อื ทีเ่ คยทำกับคคู่ ้าหรอื ผู้ให้บรกิ ารรายน้ันในอดีต หรอื ให้
เจ้าหน้าทใี่ นบริษัทที่เกีย่ วข้องโดยตรงกบั สนิ คา้ หรอื บรกิ ารนั้นเป็นผตู้ รวจสอบ
L1.5 [คัดเลือกคู่ค้าหรือผู้ให้บริการ] บริษัทควรคัดเลือกคู่ค้าหรือผู้ให้บริการ (Vendor
Assessment) เพื่อเลือกคู่ค้าหรือผู้ให้บริการที่สามารถคุ้มครองข้อมูลส่วนบุคคลได้ โดย
จะต้องพิจารณาคุณสมบัติของคู่คา้ หรอื ผู้ให้บริการออกเปน็ 5 ประเด็น ได้แก่ (1) องค์กร
(Organization), (2) การดำเนินงาน (Operations), (3) ข้อมูล (Data), (4) การเข้าถึง
ข้อมูล (Access) และ (5) การปฏิบัตติ ามกฎหมาย (Compliance) โดยบรษิ ทั อาจพจิ ารณา
การคุ้มครองข้อมูลส่วนบุคคลของคู่ค้าหรือผู้ให้บริการโดยให้คู่ค้าตอบแบบสอบถามด้าน
การคุม้ ครองข้อมลู ส่วนบคุ คล
ตัวอยา่ งแบบสอบถามดา้ นการคุ้มครองข้อมูลส่วนบุคคล659
คำถาม เกี่ยวข้อง คำตอบ คำอธิบาย
หรอื ไม่ ใช่/ไม่ใช่
องคก์ ร
1) คู่ค้าหรอื ผู้ให้บริการมขี นาดใหญแ่ ค่ไหน ? จำนวนพนักงานก่ีคน ?
2) คู่คา้ หรือผูใ้ ห้บริการมีประสบการณแ์ ละชือ่ เสียงในดา้ นการใหบ้ ริการ
และการคุ้มครองข้อมูลส่วนบคุ คลอยา่ งไร ?
3) โปรดอธบิ ายถงึ สว่ นงานดา้ นการคุ้มครองขอ้ มูลสว่ นบคุ คล
3a) หวั หนา้ ของสว่ นงานดงั กลา่ วมีตำแหนง่ อะไร?
3b) ส่วนงานดังกล่าวมีขนาดใหญแ่ คไ่ หน? มพี นักงานกคี่ น ?
3c) ส่วนงานดังกล่าวมหี นา้ ทเี่ ฉพาะในการคุม้ ครองข้อมูลสว่ นบคุ คล
หรอื ไม่? มี พนักงานท่ที ำงานดา้ นการคุ้มครองขอ้ มูลส่วนบคุ คลเป็น
การเฉพาะก่ีคน ?
4) มีการสอื่ สารความรบั ผิดชอบด้านความปลอดภยั ของขอ้ มลู กบั
พนักงานท่ที ำงานกับขอ้ มลู ลกู คา้ หรือไม่ ? สื่อสารบ่อยแคไ่ หน ?
659 ปรับปรงุ จากแบบสอบถามดา้ นการคุ้มครองขอ้ มลู ของ Google (Google VSAQ) และ New Relic
498 Thailand Data Protection Guidelines 3.0
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
TDPG3.0-Extension-20210413
Discover the best professional documents and content resources in AnyFlip Document Base.
Search
TDPG3.0-Extension-20210413
- 1 - 50
- 51 - 100
- 101 - 150
- 151 - 200
- 201 - 250
- 251 - 300
- 301 - 350
- 351 - 400
- 401 - 450
- 451 - 500
- 501 - 550
- 551 - 600
- 601 - 650
- 651 - 686
Pages: