esubmission
คลังความรู้ HR, บทความ

คู่มือ HR: ตรวจสอบประวัติพนักงานอย่างไรให้ถูกต้องตามกฎหมาย PDPA

Hands typing on a keyboard with a PDPA graphic overlay, representing employee background checks in compliance with personal data protection laws
07
เม.ย.

HR หลายคนคงเคยอยู่ในสถานการณ์นี้ ผู้สมัครดูดี โปรไฟล์ครบ สัมภาษณ์ผ่านทุกด่าน แต่พอเริ่มงานไปสักพัก กลับพบข้อมูลบางอย่างที่ไม่เคยรู้มาก่อน เช่น ประวัติทุจริต หรือคดีความในอดีตที่ส่งผลกระทบกับงานโดยตรง สิ่งที่ตามมามักไม่ใช่แค่ต้องเปลี่ยนคนใหม่ แต่คือความเสียหายที่ประเมินค่าได้ยาก ทั้งเวลา ทีมงาน และความเชื่อมั่นในองค์กร

ขั้นตอนการตรวจสอบประวัติอาชญากรรมจึงกลายเป็นขั้นตอนที่หลายองค์กรให้ความสำคัญมากขึ้น โดยเฉพาะในตำแหน่งที่เกี่ยวข้องกับการเงิน ข้อมูลลูกค้า หรือความปลอดภัย แต่ในขณะเดียวกัน HR ก็ต้องเจอกับอีกโจทย์ใหญ่ “ทำอย่างไรให้ตรวจได้ โดยไม่เสี่ยงผิดกฎหมาย”

กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ทำให้การจัดการข้อมูลของผู้สมัครต้องรอบคอบขึ้น โดยเฉพาะข้อมูลที่เกี่ยวกับประวัติอาชญากรรม ซึ่งจัดเป็น Sensitive Data ที่มีข้อกำหนดเข้มงวดกว่าปกติ หลายองค์กรจึงลังเล ไม่มั่นใจว่าควรเริ่มตรงไหน หรือกลัวว่าทำไปแล้วจะผิดกฎหมายโดยไม่รู้ตัว

บทความนี้จะพาเข้าสู่การขอ Consent เอกสารไล่เรียงตั้งแต่หลักคิดไปจนถึงขั้นตอนปฏิบัติจริง ว่าการตรวจสอบประวัติพนักงานให้ถูกต้องตาม PDPA ต้องทำอย่างไรบ้าง ใช้อะไรเป็นเกณฑ์ตัดสิน และควรระวังจุดไหนเป็นพิเศษ เพื่อให้คุณสามารถทำได้อย่างมั่นใจ

PDPA คืออะไร และเกี่ยวข้องกับ HR อย่างไร

ถ้าคุณทำงานสาย HR ในช่วงไม่กี่ปีที่ผ่านมา คำว่า PDPA น่าจะเป็นสิ่งที่ได้ยินบ่อยขึ้นเรื่อย ๆ แต่พอถึงเวลาต้องนำมาใช้จริง โดยเฉพาะกับการตรวจสอบประวัติพนักงาน หลายคนยังไม่มั่นใจว่าขอบเขตมันอยู่ตรงไหน

PDPA (Personal Data Protection Act) หรือ กฎหมายคุ้มครองข้อมูลส่วนบุคคล คือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ตั้งขึ้นเพื่อคุ้มครองสิทธิข้อมูลส่วนบุคคลไม่ว่าจะเป็น Personal Data, Sensitive Data และเป็นตัวกำหนดว่าองค์กรสามารถ เก็บ ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลของใครได้บ้าง โดยที่เจ้าของข้อมูลได้รับความเป็นธรรม

ข้อมูลส่วนบุคคล (Personal Data) คืออะไร

ข้อมูลส่วนบุคคล คือข้อมูลที่สามารถระบุตัวบุคคลได้ ไม่ว่าจะทางตรงหรือทางอ้อม โดยปกติแล้วคือชื่อ-นามสกุล หมายเลขบัตรประชาชน อายุ วันเดือนปีเกิด รูปภาพ หรือที่อยู่ ซึ่งข้อมูลเหล่านี้ HR ใช้เป็นประจำอยู่แล้วในกระบวนการสรรหา และยังรวมถึงในทางการตรวจข้อมูลลึกขึ้นเช่น

  • ประวัติการศึกษา
  • ประวัติบุคลล้มละลาย
  • ข้อมูลข่าวจากเว็บไซต์ที่น่าเชื่อถือ
  • ประวัติการทำงาน
  • ประวัติผู้อ้างอิง
  • หนังสือรับรองเงินเดือน หมายเลขบัญชีธนาคารที่ปรากฎบนรายการเดินบัญชี หรือข้อมูลรายได้ที่เกี่ยวข้อง

ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data)

คือ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนเป็นพิเศษ หากถูกเปิดเผย เข้าถึง หรือใช้งานโดยไม่ได้รับอนุญาต อาจส่งผลกระทบอย่างรุนแรงต่อเจ้าของข้อมูล เช่น การถูกเลือกปฏิบัติ การละเมิดสิทธิ หรือการนำไปใช้ในทางที่ผิดกฎหมาย

ตัวอย่างข้อมูลส่วนบุคคลอ่อนไหว

  • เชื้อชาติ หรือเผ่าพันธุ์
  • ความคิดเห็นทางการเมือง
  • ความเชื่อทางศาสนา หรือปรัชญา
  • พฤติกรรมทางเพศ
  • ประวัติอาชญากรรม
  • ประวัติ Global Sanction
  • ประวัติหมายแดงตำรวจสากล
  • ข้อมูลสุขภาพ
  • ข้อมูลชีวภาพ (Biometric Data) เช่น ลายนิ้วมือ หรือการสแกนม่านตา
  • ข้อมูลการเป็นสมาชิกสหภาพแรงงาน

ข้อมูลประเภทนี้ต้องได้รับการคุ้มครองเป็นพิเศษตามกฎหมาย เนื่องจากมีความเสี่ยงสูงต่อการละเมิดสิทธิส่วนบุคคลและผลกระทบเชิงลบต่อเจ้าของข้อมูล

ทำไม PDPA ถึงกระทบการขอประวัติอาชญากรรมโดยตรง

ในมุมการทำงานจริงของ HR การขอผลตรวจประวัติอาชญากรรมพนักงานเกี่ยวข้องกับ PDPA แทบทุกขั้นตอน เช่น การขอเอกสารจากผู้สมัคร, การส่งข้อมูลให้บริษัทตรวจสอบ, การเก็บผลตรวจไว้ในระบบ HR, การแชร์ข้อมูลให้ผู้บริหารพิจารณา ทำให้ต้องขอความยินยอมอย่างชัดเจน ก่อนดำเนินการใด ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล  เพราะทุกขั้นตอนที่กล่าวมา ล้วนเข้าข่ายการ “จัดการข้อมูลส่วนบุคคล” ตามนิยามของกฎหมาย ไม่ว่าจะเป็นการเก็บ ใช้ หรือเปิดเผยข้อมูล ซึ่ง PDPA ไม่ได้มองแค่ผลลัพธ์ปลายทาง แต่ให้ความสำคัญกับ “วิธีการ” ตั้งแต่ต้นทางไปจนจบกระบวนการ

ในบริบทของ HR จุดที่ทำให้เรื่องนี้ซับซ้อนขึ้นคือ ข้อมูลที่ใช้ในการตรวจสอบประวัติพนักงานไม่ได้มีแค่ข้อมูลทั่วไป แต่รวมไปถึงข้อมูลที่มีความอ่อนไหวสูงอย่างประวัติอาชญากรรม ซึ่งกฎหมายให้การคุ้มครองเข้มงวดเป็นพิเศษ การจะเข้าถึงหรือใช้ข้อมูลลักษณะนี้จึงไม่สามารถอ้างเหตุผลทั่วไปได้ แต่ต้องมีการขอความยินยอมอย่างชัดเจน และต้องอธิบายให้เจ้าของข้อมูลเข้าใจว่าข้อมูลจะถูกนำไปใช้เพื่ออะไร ใครเป็นผู้เข้าถึง และจะถูกเก็บไว้นานแค่ไหน

บทลงโทษหากฝ่าฝืน PDPA ที่ HR ต้องรู้

หากองค์กรไม่ปฏิบัติตามกฎหมาย PDPA บทลงโทษสามารถเกิดขึ้นได้พร้อมกันหลายด้าน และกระทบทั้งในเชิงการเงินและชื่อเสียง

  • โทษทางปกครอง: ปรับสูงสุดไม่เกิน 5 ล้านบาท
  • โทษทางอาญา: จำคุกสูงสุด 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • โทษทางแพ่ง: ชดใช้ค่าเสียหายจริง และอาจถูกเรียกค่าเสียหายเพิ่มเติมได้สูงสุด 2 เท่า

สิ่งที่ HR ควรระวังคือ ความผิดพลาดเล็ก ๆ ในกระบวนการ เช่น ไม่ขอ Consent หรือใช้ข้อมูลเกินวัตถุประสงค์ สามารถนำไปสู่ความเสี่ยงทางกฎหมายได้ทันที

วิธีขอประวัติอาชญากรรมพนักงานให้ถูก PDPA 

1. กำหนดวัตถุประสงค์ให้ชัดก่อนตรวจ ระบุให้ชัดเจนว่าตรวจเพื่ออะไร เช่น เพื่อความปลอดภัยในทรัพย์สิน หรือเพื่อประเมินความซื่อสัตย์ในตำแหน่งที่เกี่ยวข้องกับการเงิน โดยต้องบันทึกวัตถุประสงค์นี้ไว้เป็นลายลักษณ์อักษร (ROPA)

2. ขอ Consent อย่างถูกต้องและชัดเจน ต้องทำหนังสือให้ความยินยอมแยกต่างหากจากสัญญาจ้าง โดยระบุรายละเอียดว่าจะตรวจอะไร จากแหล่งไหน และใครเป็นผู้ตรวจ เพื่อให้ผู้สมัครตัดสินใจให้ความยินยอมอย่างเป็นอิสระ

3. ตรวจสอบเฉพาะข้อมูลที่จำเป็นกับตำแหน่ง ยึดหลัก Data Minimization ตรวจเฉพาะข้อมูลที่สัมพันธ์กับหน้าที่รับผิดชอบเท่านั้น เช่น ตำแหน่งทั่วไปไม่จำเป็นต้องตรวจประวัติอาชญากรรมแบบละเอียดเท่ากับตำแหน่งที่ต้องดูแลเด็กหรือจัดการเงินสด

4. ใช้ผู้ให้บริการที่มีมาตรฐาน หากจ้างหน่วยงานภายนอก (Outsource) ต้องเลือกบริษัทที่มีความเชี่ยวชาญและมีสัญญาประมวลผลข้อมูล (DPA) กำกับ

  • ตัวอย่าง: เลือกใช้เอเจนซี่ที่ได้รับใบอนุญาตและมีระบบการจัดเก็บข้อมูลที่ปลอดภัย มีขั้นตอนการยืนยันตัวตนผู้สมัครก่อนเริ่มตรวจ ช่วยให้ลดระยะเวลาและภาระงานของ HR ได้

5. ควบคุมการเข้าถึงข้อมูล (Access Control) จำกัดสิทธิ์ให้เฉพาะบุคคลที่เกี่ยวข้องเท่านั้นที่มีสิทธิ์เห็นผลการตรวจประวัติ เช่น เฉพาะหัวหน้าฝ่ายบุคคล (HR Manager) หรือผู้บริหารระดับสูง ไม่ควรเปิดเผยผลการตรวจสอบให้เพื่อนร่วมงานทราบ

6. กำหนดระยะเวลาการเก็บและลบข้อมูล ต้องมีนโยบายชัดเจนว่าจะเก็บข้อมูลไว้นานเท่าใด (เช่น 1 ปีหลังสิ้นสุดสภาพพนักงาน) และเมื่อครบกำหนดต้องมีกระบวนการทำลายข้อมูลทั้งแบบเอกสารและไฟล์ดิจิทัลอย่างถาวร

7. ทำเอกสารและตรวจสอบย้อนหลังได้ จัดทำระบบจัดเก็บหลักฐานการขอความยินยอมและขั้นตอนการตรวจสอบ (Audit Trail) เพื่อให้สามารถชี้แจงกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้หากมีการร้องเรียน

Illustrated checklist summarizing steps for conducting employee background checks under PDPA, including consent, data relevance, access control, and data retention policies, with a character holding a profile document

สรุป

การขอคัดประวัติอาชญากรรมพนักงานยังคงเป็นขั้นตอนสำคัญของงาน HR โดยเฉพาะในองค์กรที่ต้องบริหารความเสี่ยงทั้งด้านการเงิน ข้อมูล และความน่าเชื่อถือของทีมงาน แต่สิ่งที่เปลี่ยนไปชัดเจนคือ วิธีการทำงานต้องรอบคอบมากขึ้นภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA)

หัวใจของเรื่องนี้ไม่ใช่ว่าจะ “ตรวจได้หรือไม่ได้” แต่คือ “ตรวจอย่างไรให้ถูกต้อง” ตั้งแต่การกำหนดวัตถุประสงค์ให้ชัด การขอความยินยอมอย่างโปร่งใส การเลือกตรวจเฉพาะข้อมูลที่จำเป็น ไปจนถึงการจัดการข้อมูลหลังการตรวจ ทั้งการจำกัดสิทธิ์เข้าถึงและการกำหนดระยะเวลาการจัดเก็บ ทุกขั้นตอนล้วนมีผลต่อความเสี่ยงทางกฎหมายโดยตรง 

ดังนั้น แนวทางที่เหมาะสมคือการวางระบบให้ถูกตั้งแต่ต้น และเลือกใช้เครื่องมือหรือผู้เชี่ยวชาญที่เข้าใจทั้งด้านกฎหมายและการตรวจสอบประวัติพนักงานโดยตรง เพื่อให้ HR สามารถทำงานได้อย่างมั่นใจ ไม่ต้องกังวลเรื่อง compliance และยังคงคัดเลือกคนที่เหมาะสมกับองค์กรได้อย่างมีประสิทธิภาพ

ให้ Background Checker ช่วยลดภาระ HR ของคุณ

หากองค์กรของคุณต้องตรวจสอบประวัติพนักงาน แต่ยังไม่มั่นใจเรื่องวิธีขอประวัติอาชญากรรมหรือใช้เวลาทำเองค่อนข้างนาน Background Checker คือโซลูชันที่ออกแบบมาเพื่อแก้ปัญหานี้โดยตรง

  • ตรวจสอบประวัติผู้สมัครแบบดิจิทัล ครบทุกมิติ
  • องค์กรกว่า 400 แห่งเลือกใช้
  • ลดภาระงาน HR ได้อย่างชัดเจน
  • ได้รายงานภายใน 5–7 วัน

ติดต่อเจ้าหน้าที่เพื่อทดลองใช้ฟรีรูปแบบองค์กร

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *