วิธีเบลอใบหน้าพนักงานในรูปให้ปลอดภัยตาม PDPA (คู่มือฉบับสมบูรณ์ 2026)
Suthida Tanapong — บล็อกเกอร์ AI และตัดต่อวิดีโอ
วิธีเบลอใบหน้าพนักงานในรูปให้ปลอดภัยตาม PDPA (คู่มือฉบับสมบูรณ์ 2026)
ปี 2566 มีบริษัทไทยกว่า 127 แห่งถูกร้องเรียนต่อสำนักงาน กคช. เรื่องการใช้ PDPA รูปพนักงานโดยไม่ได้รับความยินยอม โดยค่าปรับสูงสุดอยู่ที่ 380,000 บาทต่อราย
สาเหตุหลักมาจากฝ่าย HR ใช้ภาพถ่ายพนักงานลงเว็บไซต์องค์กร โซเชียลมีเดีย หรือสื่อประชาสัมพันธ์ภายนอก โดยไม่มีแบบฟอร์มขอความยินยอมที่ชัดเจน ตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รูปใบหน้าถือเป็นข้อมูลส่วนบุคคลที่ต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนการเก็บรวบรวมข้อมูลและการเผยแพร่ภาพทุกครั้ง
แต่หลายองค์กรยังไม่รู้ว่าต้องขอความยินยอมแบบไหน กรณีไหนขอหรือไม่ขอก็ได้ และจะจัดการข้อมูลไวระดับสูงอย่างภาพพนักงานเก่าที่ถ่ายไว้ก่อน PDPA มีผลบังคับใช้อย่างไร บทความนี้รวมแนวปฏิบัติ HR ที่ชัดเจน พร้อมเทมเพลตแบบฟอร์มที่พร้อมใช้งาน และกรณีศึกษาจริงจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้ฝ่ายทรัพยากรบุคคลปกป้องสิทธิของเจ้าของข้อมูลและลดความเสี่ยงบทลงโทษ PDPA ได้อย่างมั่นใจ
วิธีการจัดการ PDPA รูปพนักงาน
การจัดการรูปภาพพนักงานให้สอดคล้องกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เป็นความท้าทายสำคัญของฝ่ายทรัพยากรบุคคล ในปัจจุบัน ภาพถ่ายใบหน้าถือเป็นข้อมูลส่วนบุคคลที่กฎหมายคุ้มครอง และบางกรณีอาจเป็นข้อมูลชีวภาพที่มีความอ่อนไหวระดับสูง องค์กรต้องเข้าใจว่าเมื่อใดต้องการขอความยินยอม เมื่อใดสามารถใช้ฐานทางกฎหมายอื่นได้ และจัดการอย่างไรเมื่อพนักงานถอนความยินยอมหรือลาออก
องค์กรส่วนใหญ่ใช้ภาพถ่ายพนักงานในหลายวัตถุประสงค์ — บัตรพนักงาน ระบบเข้า-ออก เว็บไซต์องค์กร โซเชียลมีเดีย การประชาสัมพันธ์ แต่ละวัตถุประสงค์มีข้อกำหนดทางกฎหมายแตกต่างกัน การละเมิดอาจนำไปสู่บทลงโทษ PDPA ค่าปรับสูงสุด 5 ล้านบาท และความเสียหายต่อชื่อเสียงองค์กร
ด้านล่างนี้คือแนวทางหลักที่ผู้ควบคุมข้อมูลและฝ่าย HR ควรนำไปปรับใช้
1. การขอความยินยอมแบบชัดแจ้ง (Explicit Consent)
การขอความยินยอมเป็นวิธีที่ปลอดภัยที่สุดสำหรับการเผยแพร่ภาพพนักงานในช่องทางสาธารณะ เช่น เว็บไซต์องค์กร โซเชียลมีเดีย หรือสื่อประชาสัมพันธ์ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สำนักงาน กคช.) แนะนำให้องค์กรใช้แบบฟอร์มขอความยินยอมที่ระบุวัตถุประสงค์ชัดเจน
ทำไมต้องขอความยินยอมก่อนใช้รูปพนักงาน: เพราะภาพใบหน้าสามารถระบุตัวตนได้ และเมื่อเผยแพร่สู่สาธารณะ อาจส่งผลต่อสิทธิของเจ้าของข้อมูลในด้านความเป็นส่วนตัวและชื่อเสียง PDPA มาตรา 19 กำหนดให้ความยินยอมต้องเป็นการกระทำโดยสมัครใจ เฉพาะเจาะจง และรับทราบข้อเท็จจริง
วิธีการขอความยินยอมที่ถูกต้องตาม PDPA:
ขั้นตอนที่ 1: ร่างแบบฟอร์มที่สอดคล้องกฎหมาย — ใช้เทมเพลตแบบฟอร์มขอความยินยอมที่มีองค์ประกอบครบ 5 ข้อ: (1) วัตถุประสงค์การใช้รูป (2) ระยะเวลาการเก็บรวบรวมข้อมูล (3) สิทธิในการถอนความยินยอม (4) ผลกระทบจากการไม่ให้ความยินยอม (5) ช่องทางติดต่อ DPO (Data Protection Officer)
ขั้นตอนที่ 2: ระบุวัตถุประสงค์แยกชัดเจน — ถ้าใช้รูปเพื่อ 3 วัตถุประสงค์ (บัตรพนักงาน + เว็บไซต์ + โซเชียล) ต้องแยกช่องติ๊กให้พนักงานเลือกได้ ความแตกต่างระหว่างการใช้รูปเพื่อวัตถุประสงค์ภายในและภายนอกองค์กรสำคัญมาก — การใช้ภายใน (บัตร ระบบเข้า-ออก) อาจใช้ฐาน "สัญญาจ้าง" แต่การใช้ภายนอก (เว็บไซต์ โฆษณา) ต้องขอความยินยอมแยกต่างหาก
ขั้นตอนที่ 3: เก็บหลักฐานดิจิทัล — ใช้ระบบจัดเก็บข้อมูล HR ที่บันทึกวันที่ ลายเซ็น และสถานะความยินยอม สแกนเอกสารเก็บเป็น PDF ลิงก์กับไฟล์รูปในระบบ เพื่อพิสูจน์ได้เมื่อสำนักงาน กคช.ตรวจสอบ
ขั้นตอนที่ 4: ทบทวนทุก 2 ปี — PDPA ไม่กำหนดอายุความยินยอม แต่แนวปฏิบัติที่ดีคือทบทวนทุก 2-3 ปี หรือเมื่อมีการเปลี่ยนแปลงวัตถุประสงค์ ส่งอีเมลแจ้งพนักงานและขอยืนยันใหม่
ข้อจำกัด: การขอความยินยอมใช้เวลา ต้องจัดทำเอกสารและติดตามสถานะ พนักงานอาจปฏิเสธหรือถอนความยินยอมภายหลัง ซึ่งองค์กรต้องหยุดการประมวลผลข้อมูลทันที
2. การใช้ฐานทางกฎหมายอื่น (Legitimate Interest)
กรณีที่ไม่ต้องขอความยินยอม — องค์กรสามารถใช้ฐาน "ประโยชน์โดยชอบด้วยกฎหมาย" (Legitimate Interest) หรือ "สัญญาจ้าง" สำหรับการใช้รูปภายในองค์กร เช่น บัตรพนักงาน ระบบ access control ไดเรกทอรีภายใน PDPA มาตรา 24 อนุญาตให้การเก็บรวบรวมข้อมูลโดยไม่ต้องขอความยินยอม ถ้าจำเป็นต่อการปฏิบัติตามสัญญาหรือประโยชน์ชอบธรรมขององค์กร
วิธีนี้เหมาะกับองค์กรที่ต้องการลดภาระเอกสาร แต่ต้องทำ Legitimate Interest Assessment (LIA) เพื่อพิสูจน์ว่าประโยชน์ขององค์กรไม่ละเมิดสิทธิเจ้าของข้อมูล
แนวทางปฏิบัติสำหรับฝ่าย HR:
ขั้นตอนที่ 1: จัดทำ LIA Document — ประเมินและบันทึก: (1) วัตถุประสงค์ที่จำเป็น (2) ทางเลือกอื่นที่รุกล้ำน้อยกว่า (3) มาตรการคุ้มครอง (4) ผลกระทบต่อพนักงาน เอกสารนี้ต้องเก็บไว้พิสูจน์เมื่อสำนักงาน กคช.สอบถาม
ขั้นตอนที่ 2: อัปเดต Privacy Notice — แจ้งพนักงานในนโยบายความเป็นส่วนตัวว่าองค์กรใช้รูปเพื่อวัตถุประสงค์ใด บนฐานทางกฎหมายใด และสิทธิของเจ้าของข้อมูลมีอะไรบ้าง
ขั้นตอนที่ 3: จำกัดการเข้าถึง — ใช้ระบบจัดเก็บข้อมูลที่ควบคุม access เฉพาะฝ่าย HR และผู้เกี่ยวข้อง ห้ามแชร์รูปพนักงานในช่องทาง LINE กลุ่มหรืออีเมลส่วนตัว
ข้อจำกัด: ฐาน Legitimate Interest ใช้ได้เฉพาะการใช้รูปภายในองค์กร ไม่สามารถใช้กับการเผยแพร่ภาพสาธารณะ เช่น เว็บไซต์องค์กร โฆษณา หรือโซเชียลมีเดีย กรณีเหล่านี้ต้องขอความยินยอมเสมอ
3. การจัดการรูปพนักงานเก่าที่ถ่ายก่อน PDPA บังคับใช้
แนวทางการจัดการรูปพนักงานเก่าที่ถ่ายไว้ก่อน PDPA มีผลบังคับใช้ (1 มิ.ย. 2565) เป็นปัญหาใหญ่ของฝ่าย HR หลายแห่ง องค์กรมีรูปพนักงานหลายพันรูปในระบบ บางคนลาออกไปแล้ว บางคนไม่สามารถติดต่อได้ PDPA มาตรา 3 กำหนดให้ข้อมูลที่เก็บไว้ก่อนวันบังคับใช้ต้องปรับให้สอดคล้องภายใน 1 ปี (ถึง 31 พ.ค. 2566)
ขั้นตอนที่ 1: แบ่งกลุ่มรูปตามวัตถุประสงค์ — รูปที่ใช้ภายใน (บัตร ระบบ) แยกจากรูปที่เผยแพร่ภายนอก (เว็บไซต์ โซเชียล) กลุ่มแรกใช้ฐาน Legitimate Interest ได้ กลุ่มที่สองต้องขอความยินยอมย้อนหลัง
ขั้นตอนที่ 2: ติดต่อพนักงานปัจจุบัน — ส่งอีเมลหรือแจ้งผ่านระบบ HR ขอความยินยอมย้อนหลังสำหรับรูปที่เผยแพร่อยู่ ใช้แบบฟอร์มขอความยินยอมฉบับย่อที่กรอกออนไลน์ได้ภายใน 2 นาที
ขั้นตอนที่ 3: จัดการรูปพนักงานที่ลาออก — กรณีใบลาออกแล้ว ถ้าติดต่อไม่ได้ ให้การลบข้อมูลรูปออกจากช่
เปรียบเทียบเครื่องมือ: จัดการความยินยอมใช้รูปพนักงาน
| ฟีเจอร์ | OneTrust | TrustArc | Securiti | Cookiebot CMP | iubenda |
|---|---|---|---|---|---|
| ราคา | เริ่ม ~$10,000+/ปี (Enterprise) | เริ่ม ~$8,500/ปี | เริ่ม ~$15,000/ปี | ฟรี (basic) / $9+/เดือน (pro) | ฟรี (basic) / €27+/เดือน |
| แบบฟอร์มความยินยอม | เทมเพลตครบ 50+ ภาษา | เทมเพลตปรับแต่งได้ | เทมเพลต AI-generated | เทมเพลตพร้อมใช้ 20+ ภาษา | เทมเพลต 8 ภาษา |
| รองรับภาษาไทย | ✓ รองรับเต็มรูปแบบ | ✓ รองรับบางส่วน | ✓ รองรับเต็มรูปแบบ | ✓ แปลได้ (manual) | ✓ แปลได้ (manual) |
| การจัดเก็บบันทึก | เก็บหลักฐาน consent พร้อม timestamp | เก็บ audit trail ครบถ้วน | Blockchain-based proof | เก็บ consent log 12 เดือน (free) | เก็บ consent log ไม่จำกัด (paid) |
| การถอนความยินยอม | ระบบถอนอัตโนมัติ + แจ้งเตือน | ระบบถอนแบบ self-service | ระบบถอนพร้อม data deletion | ลิงก์ถอนใน cookie banner | ฟอร์มถอนออนไลน์ |
| รองรับ PDPA ไทย | ✓ Template ครบ มาตรา 19-23 | ✓ รองรับ + คำแนะนำ | ✓ รองรับ + AI compliance check | บางส่วน (ต้องปรับเอง) | บางส่วน (ต้องปรับเอง) |
| แพลตฟอร์ม | Web-based + API integration | Web-based + Mobile SDK | Cloud + On-premise | Web-based (SaaS) | Web-based (SaaS) |
| เหมาะกับ | องค์กรขนาดใหญ่ 500+ คน | บริษัทข้ามชาติ | Enterprise ที่ต้องการ automation สูง | SME / Startup | ธุรกิจขนาดกลาง-เล็ก |
คำแนะนำ:
Cookiebot CMP เป็นตัวเลือกฟรีที่ดีที่สุดสำหรับธุรกิจขนาดเล็ก แต่ต้องปรับแต่งเทมเพลตเองให้ตรงกับ PDPA ไทย และ consent log เก็บได้แค่ 12 เดือน
OneTrust คือมาตรฐานอุตสาหกรรมสำหรับองค์กรขนาดใหญ่ — ราคาสูงแต่ครอบคลุมทุกข้อกำหนด PDPA มาตรา 19-23 พร้อมเทมเพลตภาษาไทยและระบบ audit trail ครบถ้วน
สำหรับฝ่าย HR ที่ต้องจัดการรูปพนักงาน iubenda ให้ความยืดหยุ่นสูงในราคาที่เข้าถึงได้ (~฿950/เดือน) พร้อมฟอร์มถอนความยินยอมออนไลน์ที่ใช้งานง่าย
FAQ: PDPA รูปพนักงาน — คำถามที่พบบ่อย
FAQ
ถ่ายรูปพนักงานผิด PDPA ไหม?
การถ่ายรูปพนักงานในที่ทำงานไม่ผิด PDPA หากมีวัตถุประสงค์ชัดเจนและได้รับความยินยอมที่ถูกต้อง ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ภาพถ่ายพนักงานถือเป็นข้อมูลส่วนบุคคลที่ต้องขอความยินยอมก่อนการเก็บรวบรวมข้อมูล ยกเว้นกรณีที่จำเป็นต่อการปฏิบัติตามสัญญาจ้างงาน เช่น รูปถ่ายในบัตรพนักงานหรือระบบ access control ฝ่ายทรัพยากรบุคคลต้องมีแบบฟอร์มขอความยินยอมที่ระบุวัตถุประสงค์การใช้งานชัดเจน เช่น "เพื่อเผยแพร่บนเว็บไซต์องค์กร" หรือ "เพื่อประชาสัมพันธ์กิจกรรมภายใน"
GDPR กับ PDPA ต่างกันอย่างไร?
GDPR (General Data Protection Regulation) เป็นกฎหมายคุ้มครองข้อมูลของสหภาพยุโรปที่บังคับใช้ตั้งแต่ปี 2018 ส่วน PDPA ของไทยบังคับใช้สมบูรณ์ตั้งแต่ 1 มิถุนายน 2565 ทั้งสองกฎหมายมีหลักการคล้ายกันในเรื่องสิทธิของเจ้าของข้อมูลและการขอความยินยอม แต่ GDPR มีบทลงโทษหนักกว่า — ปรับสูงสุด 4% ของรายได้รวมทั่วโลก ขณะที่ PDPA ปรับสูงสุด 5 ล้านบาท บริษัทไทยที่มีลูกค้าในยุโรปต้องปฏิบัติตามทั้งสองกฎหมาย โดยเฉพาะการประมวลผลข้อมูลรูปภาพพนักงานและลูกค้า
โพสต์รูปพนักงานบนเว็บไซต์บริษัทผิดกฎหมายไหม?
การเผยแพร่ภาพพนักงานบนเว็บไซต์องค์กรไม่ผิดกฎหมาย หากได้รับความยินยอมที่ถูกต้องตามนโยบายความเป็นส่วนตัว บริษัทต้องให้พนักงานลงนามในแบบฟอร์มขอความยินยอมที่ระบุชัดเจนว่า "รูปจะถูกใช้บนเว็บไซต์ภายนอก" พร้อมระบุระยะเวลาเผยแพร่ เช่น "ตลอดระยะเวลาการจ้างงาน" พนักงานมีสิทธิในการถอนความยินยอมได้ตลอดเวลา และบริษัทต้องลบรูปภาพออกจากเว็บไซต์ภายใน 30 วัน กรณีพนักงานยื่นใบลาออกแล้ว HR ต้องสอบถามว่าต้องการให้ลบรูปออกจากเว็บไซต์หรือไม่ หากไม่ลบอาจถูกร้องเรียนต่อสำนักงาน กคช. (สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล)
แบบฟอร์มขอความยินยอมใช้รูปพนักงานต้องมีอะไรบ้าง?
แบบฟอร์มขอความยินยอมที่ถูกต้องต้องระบุ 5 ข้อหลัก: (1) วัตถุประสงค์การใช้งานชัดเจน เช่น "เผยแพร่บนเว็บไซต์บริษัทและโซเชียลมีเดีย" (2) ระยะเวลาการเก็บข้อมูล (3) สิทธิในการถอนความยินยอม (4) ช่องทางติดต่อ DPO (Data Protection Officer) (5) ลายเซ็นพนักงานพร้อมวันที่ ห้ามใช้ความยินยอมแบบ opt-out (ติ๊กถูกไว้ให้ล่วงหน้า) ต้องให้พนักงานติ๊กเองทุกครั้ง ตัวอย่างแบบฟอร์มที่ผิด: "บริษัทขอใช้รูปพนักงานในทุกกิจกรรม" (วัตถุประสงค์กว้างเกินไป) ตัวอย่างที่ถูก: "บริษัทขอใช้รูปในกิจกรรม Team Building วันที่ 15 ม.ค. 2026 บนเว็บไซต์และ Facebook เพจ เป็นระยะเวลา 2 ปี"
พนักงานลาออกแล้ว บริษัทต้องลบรูปออกจากเว็บไซต์ไหม?
บริษัทไม่จำเป็นต้องลบรูปพนักงานเก่าทันทีหลังใบลาออก หากแบบฟอร์มขอความยินยอมระบุระยะเวลาชัดเจน เช่น "ใช้ได้ 3 ปีหลังการจ้างงานสิ้นสุด" แต่หากพนักงานส่งคำขอถอนความยินยอมเป็นลายลักษณ์อักษรถึง HR หรือ DPO บริษัทต้องลบข้อมูลภายใน 30 วัน ตามสิทธิของเจ้าของข้อมูลในมาตรา 30-33 กรณีไม่ลบอาจถูกร้องเรียนต่อสำนักงาน กคช. และเสี่ยงโทษปรับสูงสุด 5 ล้านบาท วิธีที่ดีที่สุด: HR ควรสอบถามพนักงานทุกคนก่อนลาออกว่า "ต้องการให้ลบรูปออกจากเว็บไซต์หรือไม่" และบันทึกคำตอบเป็นหลักฐาน หากต้องการปกป้องตัวตนในรูปเก่าที่ลบไม่ได้ (เช่น รูปกิจกรรมหมู่) ใช้ Blur.me เบลอใบหน้าอัตโนมัติภายใน 3 วินาทีต่อรูป
การจัดการรูปพนักงานตาม PDPA ไม่ใช่แค่เรื่องกฎหมาย แต่เป็นการสร้างความไว้วางใจและปกป้องสิทธิส่วนบุคคล องค์กรที่มีนโยบายความเป็นส่วนตัวที่ชัดเจน ขอความยินยอมอย่างถูกต้อง และเบลอข้อมูลระบุตัวตนก่อนเผยแพร่จะลดความเสี่ยงค่าปรับสูงสุด 5 ล้านบาทและสร้างภาพลักษณ์ที่ดี หากคุณต้องการเบลอใบหน้าหรือข้อมูลส่วนบุคคลในรูปภาพจำนวนมากอย่างรวดเร็ว เครื่องมือ AI สามารถประมวลผลอัตโนมัติได้ภายในไม่กี่วินาที
สำหรับองค์กรที่ต้องการปกป้องข้อมูลพนักงานอย่างมีประสิทธิภาพ
AI auto-detects and blurs all faces in your video. No install, no manual tracking.
Learn More About Blur.me