นโยบายคุ้มครองข้อมูลส่วนบุคคล
Personal Data Protection Policy — รวมถึงการใช้งานระบบ AI เพื่อช่วยในการปฏิบัติงาน
1. บทนำและวัตถุประสงค์
กลุ่มบริษัท เอเอสซี กรุ๊ป (ASC Group) ประกอบด้วย บริษัท แอดวานซ์ซิสเต็มส์ คอนซัลติ้ง จำกัด บริษัท แอดวานซ์ เพอร์ซเนล แอนด์ โซลูชั่น จำกัด บริษัท แอดวานซ์แอดมินิสเตรชั่น จำกัด บริษัท แอดวานซ์เอาท์ซอร์สซิ่ง เซอร์วิสเซส จำกัด และบริษัท แอดวานซ์ ไอเซอร์วิส จำกัด ดำเนินธุรกิจในฐานะผู้ให้บริการบริหารจัดการระบบเทคโนโลยีสารสนเทศแบบครบวงจร (IT Outsourcing Services) และบริการที่ปรึกษาด้านเทคโนโลยีสารสนเทศแก่ลูกค้าองค์กร
ในการดำเนินธุรกิจดังกล่าว กลุ่มบริษัทฯ มีความจำเป็นต้องเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของพนักงาน ผู้สมัครงาน คู่ค้า และบุคคลที่เกี่ยวข้อง กลุ่มบริษัทฯ ตระหนักถึงความสำคัญของการคุ้มครองสิทธิในข้อมูลส่วนบุคคล และมุ่งมั่นในการบริหารจัดการข้อมูลดังกล่าวด้วยความรับผิดชอบ โปร่งใส และเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) อย่างเคร่งครัด
นโยบายฉบับนี้กำหนดขึ้นเพื่อ:
- คุ้มครองข้อมูลส่วนบุคคลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
- กำหนดแนวปฏิบัติการใช้งานระบบ AI เพื่อช่วยในการปฏิบัติงานบริการบริหารจัดการระบบสารสนเทศ (IT Outsourcing Services) อย่างถูกต้องตามกฎหมาย
- สร้างความเชื่อมั่นให้ลูกค้าและคู่ค้าว่าข้อมูลถูกจัดการอย่างปลอดภัยและโปร่งใส
- กำหนดสิทธิ์และความรับผิดชอบของพนักงานทุกท่านในการจัดการข้อมูลส่วนบุคคล
2. ขอบเขตการบังคับใช้
นโยบายนี้มีผลบังคับใช้กับพนักงานทุกท่านในกลุ่มบริษัท ASC Group
- พนักงานประจำ พนักงานสัญญาจ้าง พนักงานชั่วคราวและนักศึกษาฝึกงาน — ทุกระดับและทุกตำแหน่ง รวมถึงฝ่ายสรรหา (Recruit) และฝ่ายดูแลสวัสดิการพนักงาน (HR)
- ผู้บริหาร กรรมการ และที่ปรึกษาของบริษัท
- บุคคลภายนอก ผู้รับเหมา (Vendor/Contractor) ที่เข้าถึงข้อมูลหรือระบบของบริษัท
- พนักงานที่ปฏิบัติงาน ณ สถานที่ลูกค้า (On-site) ในฐานะตัวแทนของ ASC Group
3. ประเภทข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวม
3.1 ข้อมูลส่วนบุคคลทั่วไป
ข้อมูลที่สามารถระบุตัวตนได้ไม่ว่าทางตรงหรือทางอ้อม เช่น:
- ข้อมูลประจำตัว: ชื่อ-นามสกุล วันเดือนปีเกิด เลขบัตรประชาชน หมายเลขพาสปอร์ต
- ข้อมูลติดต่อ: ที่อยู่ เบอร์โทรศัพท์ อีเมล Line ID
- ข้อมูลการทำงาน: ตำแหน่ง แผนก ประวัติการทำงาน เงินเดือน
- ข้อมูลทางเทคนิค: IP Address, User Account, Log การเข้าใช้ระบบ, Device ID
- ข้อมูลลูกค้า (ที่พนักงานเข้าถึงในฐานะ IT Outsource): ชื่อ ติดต่อ ข้อมูลระบบ
3.2 ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data — มาตรา 26)
ข้อมูลต่อไปนี้ต้องได้รับความยินยอมโดยชัดแจ้งก่อนทุกครั้ง:
| ประเภท | ตัวอย่างในบริบท IT Outsource |
| เชื้อชาติ / ชาติพันธุ์ | ข้อมูลในระบบ HR ของบริษัทหรือลูกค้า |
| ความคิดเห็นทางการเมือง | ข้อมูลที่อาจปรากฏใน Log หรือระบบสื่อสาร |
| ความเชื่อทางศาสนา / ปรัชญา | ข้อมูลวันหยุด ระบบ Leave Management (HRM Leave) |
| พฤติกรรมทางเพศ | ห้ามเก็บรวบรวมหรือประมวลผลโดยเด็ดขาด |
| ประวัติอาชญากรรม | เก็บได้ไม่เกิน 6 เดือนหลังสิ้นวัตถุประสงค์ |
| ข้อมูลสุขภาพ / ความพิการ | ระบบ HR, ประกันสุขภาพ, ใบรับรองแพทย์ |
| ข้อมูลชีวภาพ (Biometric) | ระบบสแกนนิ้ว/ใบหน้าเพื่อควบคุมการเข้าออก |
| ข้อมูลพันธุกรรม | ห้ามเก็บรวบรวมโดยเด็ดขาด |
4. ฐานกฎหมายในการประมวลผลข้อมูล
บริษัทประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานกฎหมาย 7 ฐาน ตาม PDPA มาตรา 24 และ 26:
| ข้อ | ฐานกฎหมาย | ตัวอย่างการใช้ในธุรกิจ IT Outsource |
| 3.1 | Consent (ความยินยอม) | การใช้ระบบ AI วิเคราะห์พฤติกรรม, การเก็บ Biometric, การส่งข้อมูลให้บุคคลที่สาม — ต้องขอยินยอมก่อนทุกครั้ง ถอนได้ทุกเมื่อ |
| 3.2 | Contract (สัญญา) | การประมวลผลข้อมูลพนักงานเพื่อจ่ายเงินเดือน, การดูแลระบบ IT ให้ลูกค้าตามสัญญา Service Agreement |
| 3.3 | Legal Obligation (กฎหมาย) | การส่งข้อมูลภาษีให้กรมสรรพากร, ประกันสังคม, การเก็บ Log ตาม PDPA, พ.ร.บ. คอมพิวเตอร์ |
| 3.4 | Vital Interest (ชีวิต) | การแชร์ข้อมูลสุขภาพกรณีฉุกเฉิน, การแจ้งเหตุ Data Breach ที่อาจกระทบชีวิต |
| 3.5 | Public Task (ภารกิจของรัฐ) | การให้ข้อมูลตามคำสั่งศาล, หน่วยงานกำกับดูแลเช่น ETDA, ธนาคารแห่งประเทศไทย |
| 3.6 | Legitimate Interest (ประโยชน์โดยชอบ) | การวิเคราะห์ Security Log, ระบบ AI ตรวจจับภัยคุกคาม, การปรับปรุงประสิทธิภาพ IT Service — ต้องไม่กระทบสิทธิ์ผู้ใช้เกินสมควร |
| 3.7 | Research/Statistics (วิจัย/สถิติ) | การวิเคราะห์สถิติ Incident, รายงาน SLA Performance, การปรับปรุงระบบ AI – ใช้เฉพาะ Anonymized data |
5. วัตถุประสงค์การเก็บรวบรวม ใช้ เปิดเผยข้อมูล
บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็น ภายใต้วัตถุประสงค์ต่อไปนี้:
- การบริหารจัดการพนักงาน: จ่ายเงินเดือน ประกันสุขภาพ การฝึกอบรม การประเมินผล
- การบริการจัดหาพนักงาน: คัดสรรและประเมินประวัติผู้สมัครงาน (Resume) ให้สอดคล้องกับความต้องการและคุณสมบัติที่ลูกค้ากำหนด
- การให้บริการ: Software Development
- การรักษาความมั่นคงปลอดภัยไซเบอร์: ตรวจสอบ Log ป้องกันการโจมตี ตอบสนองต่อ Incident
- การปฏิบัติตามสัญญาลูกค้า: ดูแลระบบ IT ตาม SLA ที่ตกลงกับลูกค้าองค์กร
- การพัฒนาและปรับปรุงระบบ AI: วิเคราะห์ประสิทธิภาพ ปรับปรุง Model (ใช้ข้อมูล Anonymized)
- การปฏิบัติตามกฎหมาย: รายงานต่อหน่วยงานกำกับ เก็บบันทึกตามข้อกำหนด
6. การใช้งานระบบ AI เพื่อช่วยในการปฏิบัติงาน
บริษัทนำระบบ AI มาใช้เพื่อเพิ่มประสิทธิภาพการให้บริการ IT Outsource — ภายใต้หลักการ Human-in-the-loop และ PDPA มาตรา 24
AI เป็นเครื่องมือช่วยตัดสินใจ ไม่ใช่ผู้ตัดสินใจแทนมนุษย์ | ผลลัพธ์ทุกอย่างต้องผ่านการตรวจสอบและอนุมัติโดยพนักงานก่อนเสมอ
6.1 ระบบ AI ที่นำมาใช้ในธุรกิจ IT Outsource
| ระบบ AI | วัตถุประสงค์ | ข้อมูลที่ AI ประมวลผล |
| Security AI (SIEM/SOAR) | ตรวจจับภัยคุกคาม, วิเคราะห์ Anomaly ใน Log, แจ้งเตือน Incident | Network Log, System Event Log, Access Log — ไม่ระบุตัวตนผู้ใช้ |
| Monitoring AI | ตรวจสอบประสิทธิภาพระบบ, แจ้งเตือนก่อน Downtime, วิเคราะห์ Capacity | Performance Metrics, System Health Data, Alert Log |
| AI Code Assistant | ช่วย Developer ตรวจสอบ Code, แนะนำ Best Practice, ค้นหา Bug | Source Code ที่ไม่มีข้อมูลส่วนบุคคล, Comment, Documentation |
| AI Report Generator | สรุปรายงาน SLA, วิเคราะห์แนวโน้ม, สร้าง Dashboard อัตโนมัติ | Aggregated Performance Data, Anonymized Statistics เท่านั้น |
| Recruit AI (ฝ่ายสรรหา) | คัดกรอง Resume เบื้องต้น, จัดลำดับผู้สมัคร, วิเคราะห์ความเหมาะสม | ข้อมูลผู้สมัครที่ได้รับ Consent ก่อนเสมอ — ไม่รวมข้อมูลอ่อนไหว |
| HR AI (ฝ่ายสวัสดิการพนักงาน) | วิเคราะห์การใช้สวัสดิการ, แจ้งเตือนวันหมดอายุประกัน, สรุปรายงาน Leave | ข้อมูลพนักงานภายใน (ชื่อ วันลา สวัสดิการ) — ไม่รวมข้อมูลสุขภาพโดยตรง |
6.2 หลักการใช้งาน AI ที่พนักงานทุกท่านต้องปฏิบัติ
- ตรวจสอบความถูกต้องของผลลัพธ์จาก AI ทุกครั้งก่อนนำไปใช้งาน — ห้ามส่งต่อหรือนำไปใช้โดยไม่ตรวจสอบ
- ห้ามป้อนข้อมูลส่วนบุคคลของลูกค้าหรือพนักงานเข้าระบบ AI สาธารณะ (ChatGPT, Gemini, Copilot, Claude, หรือ AI อื่น ๆ บน Personal Account) โดยเด็ดขาด
- ใช้เฉพาะเครื่องมือ AI ที่บริษัทอนุมัติและติดตั้งให้เท่านั้น — ดูรายการ Approved Tools ที่ฝ่าย IT
- ข้อมูลของลูกค้า (Client Data) ถือเป็นความลับสูงสุด ห้ามนำเข้า AI ใด ๆ นอกจากที่ระบุในสัญญา Data Processing Agreement กับลูกค้า
- รายงาน AI Error หรือผลลัพธ์ที่ผิดปกติต่อหัวหน้างานและฝ่าย IT ทันที
6.3 ข้อห้ามในการใช้งาน AI
⚠ ห้ามนำข้อมูลต่อไปนี้เข้าระบบ AI ทุกกรณี — ฝ่าฝืนถือเป็นความผิดทางวินัยและอาจมีโทษตามกฎหมาย
- ข้อมูลอ่อนไหวของพนักงานหรือลูกค้า: ศาสนา สุขภาพ ชีวภาพ เชื้อชาติ ประวัติอาชญากรรม
- ข้อมูลลับทางธุรกิจของลูกค้า (Confidential Client Data) เว้นแต่มี DPA และ NDA รองรับ
- Credential ทุกประเภท: Password, API Key, Token, Certificate, Connection String
- ข้อมูลทางการเงิน: หมายเลขบัญชีธนาคาร บัตรเครดิต ข้อมูลงบการเงิน
- Source Code ที่มีข้อมูลส่วนบุคคลฝังอยู่ หรือ Code ของระบบ Production ลูกค้า
- ข้อมูลที่อยู่ภายใต้ข้อตกลง NDA กับลูกค้าหรือคู่ค้า
7. ระยะเวลาเก็บรักษาข้อมูล
| ประเภทข้อมูล | ระยะเวลา | การดำเนินการหลังครบกำหนด |
| ข้อมูลพนักงาน (ระหว่างจ้างงาน) | ตลอดระยะการจ้างงาน | ลบหรือ Anonymize ภายใน 90 วันหลังพ้นสภาพ |
| ข้อมูลพนักงานหลังพ้นสภาพ | ไม่น้อยกว่า 2 ปี (สูงสุด 10 ปีตามกฎหมายแพ่ง) | ลบหรือทำให้ไม่สามารถระบุตัวตนได้ |
| ข้อมูลประวัติอาชญากรรม | ไม่เกิน 6 เดือนนับจากสิ้นวัตถุประสงค์ | ลบและทำลายถาวรทันที |
| Security Log / Audit Log | 1 ปี (ตาม พ.ร.บ. คอมพิวเตอร์) | Archive หรือลบตามนโยบาย Log Management |
| ข้อมูลลูกค้า (Client Data) | ตามที่ระบุใน Service Agreement / DPA | ส่งคืนหรือลบตามคำสั่งลูกค้าหลังสิ้นสัญญา |
| AI Training Data (Anonymized) | ตามวงจรชีวิต AI Model (สูงสุด 3 ปี) | ลบพร้อมกับการปลดระวาง Model |
| ข้อมูลผู้สมัครงาน — ไม่ผ่านการคัดเลือก | 1 ปีนับจากวันสมัคร | ลบจากระบบทั้งหมดโดยอัตโนมัติ รวมถึงระบบ AI |
| ข้อมูลผู้สมัครงาน — ผ่านการคัดเลือก | โอนสู่แฟ้มพนักงาน ไม่เกิน 10 ปีหลังพ้นสภาพ | ประมวลผลต่อตามนโยบายข้อมูลพนักงาน |
| ข้อมูลนักศึกษาฝึกงาน (ระหว่างฝึกงาน) | ตลอดระยะฝึกงาน | ลบหรือ Anonymize ภายใน 30 วันหลังสิ้นสุดการฝึกงาน |
| ข้อมูลนักศึกษาฝึกงาน (หลังสิ้นสุด) | 2 ปีนับจากวันสิ้นสุดการฝึกงาน | ลบถาวร เว้นแต่บรรจุเป็นพนักงาน (โอนสู่แฟ้มพนักงาน) |
8. การเก็บรักษาและมาตรการความมั่นคงปลอดภัย (CIA Triad)
บริษัทจัดการข้อมูลส่วนบุคคลตามมาตรฐาน CIA Triad ตาม PDPA มาตรา 37:
Confidentiality (ความลับ) — การรักษาความลับ เฉพาะผู้มีสิทธิ์เข้าถึง
- Role-Based Access Control (RBAC) ทุกระบบ
- Multi-Factor Authentication (MFA)
- เข้ารหัสข้อมูลในระหว่างส่ง (TLS 1.3) และเก็บ (AES-256)
- Audit Log บันทึกการเข้าถึงข้อมูลทุกครั้ง
- VPN สำหรับการทำงานจากระยะไกล (Remote Work)
Integrity (ความถูกต้อง) — ความถูกต้องและสมบูรณ์ ป้องกันการแก้ไขโดยไม่ได้รับอนุญาต
- Digital Signature และ Checksum ตรวจสอบความสมบูรณ์
- Version Control และ Change Management
- บันทึก Audit Trail ทุกการแก้ไขข้อมูล
- การ Backup ข้อมูลอัตโนมัติและตรวจสอบความสมบูรณ์
- AI Output Validation ก่อนนำไปใช้งาน
Availability (ความพร้อมใช้) — ข้อมูลและระบบพร้อมใช้งานเมื่อต้องการ
- Backup อัตโนมัติทุก 24 ชั่วโมง
- Disaster Recovery Plan (RTO ≤ 4 ชั่วโมง)
- High Availability สำหรับระบบสำคัญ (99.9% SLA)
- การทดสอบ DR ปีละ 2 ครั้ง
- แจ้งเตือนอัตโนมัติเมื่อระบบขัดข้อง
9. การเปิดเผยข้อมูลส่วนบุคคล
บริษัทเปิดเผยข้อมูลส่วนบุคคลเฉพาะตามวัตถุประสงค์ที่แจ้งไว้ และต่อบุคคลต่อไปนี้เท่านั้น:
- บริษัทในเครือของ ASC Group — ตามความจำเป็นในการให้บริการ
- ลูกค้าองค์กร (Client) — เฉพาะข้อมูลที่เกี่ยวข้องกับงานที่มอบหมาย ภายใต้ NDA/DPA
- ผู้ให้บริการ Cloud และ AI Platform — ที่มีสัญญา Data Processing Agreement (DPA) รองรับ
- หน่วยงานราชการ — ตามคำสั่งศาลหรือกฎหมายเท่านั้น
- ห้ามเปิดเผยข้อมูลลูกค้าต่อบุคคลที่สามโดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร
10. สิทธิ์ของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูล (พนักงาน, ลูกค้า, บุคคลที่เกี่ยวข้อง) มีสิทธิ์ 8 ประการ:
| ข้อ | สิทธิ์ | รายละเอียด |
| 8.1 | Right to be Informed (รับทราบ) | ได้รับแจ้งวัตถุประสงค์การเก็บข้อมูลและการนำไปใช้กับ AI ก่อนทุกครั้ง |
| 8.2 | Right of Access (เข้าถึง) | ขอดูข้อมูลส่วนบุคคลและผลการประมวลผลโดย AI ของตนเองได้ |
| 8.3 | Right to Rectification (แก้ไข) | ขอให้แก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่ครบถ้วนได้ |
| 8.4 | Right to Erasure (ลบ) | ขอให้ลบข้อมูลได้เมื่อหมดความจำเป็น หรือเมื่อถอนความยินยอม |
| 8.5 | Right to Restriction (ระงับ) | ขอให้หยุดประมวลผลข้อมูลชั่วคราวระหว่างตรวจสอบข้อร้องเรียน |
| 8.6 | Right to Portability (โอนย้าย) | ขอรับข้อมูลในรูปแบบดิจิทัลที่อ่านได้โดยเครื่อง (CSV, JSON) |
| 8.7 | Right to Object (คัดค้าน) | คัดค้านการนำข้อมูลเข้าระบบ AI หรือการประมวลผลที่ใช้ฐาน Legitimate Interest |
| 8.8 | Right to Withdraw (ถอนยินยอม) | ถอนความยินยอมได้ทุกเมื่อ ไม่กระทบสิทธิ์ที่เคยได้รับ — แจ้ง [email protected] |
11. ความรับผิดชอบของพนักงาน
พนักงานทุกท่านมีหน้าที่รับผิดชอบดังนี้:
- ปฏิบัติตามนโยบายนี้และนโยบายที่เกี่ยวข้องอย่างเคร่งครัด
- ไม่เก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนอกเหนือจากวัตถุประสงค์ที่กำหนด
- ไม่นำข้อมูลลูกค้าออกนอกระบบของบริษัท เว้นแต่ได้รับอนุญาต
- รายงานเหตุการณ์ Data Breach หรือสงสัยว่าข้อมูลรั่วไหลต่อ PDPA Officer ภายใน 1 ชั่วโมง
- ผ่านการอบรม PDPA และนโยบาย AI ก่อนเริ่มงาน และทบทวนทุกปี
- ใช้เฉพาะอุปกรณ์และระบบที่บริษัทอนุมัติในการเข้าถึงข้อมูลส่วนบุคคล
- ล็อกหน้าจอทันทีเมื่อออกจากพื้นที่ทำงาน (Unattended Screen Policy)
12. บทลงโทษการฝ่าฝืนนโยบาย
โทษทางวินัย (ภายในบริษัท)
- ระดับ 1 — ตักเตือนด้วยวาจา: ใช้ AI โดยไม่ตรวจสอบผลลัพธ์, ลืมล็อกหน้าจอ
- ระดับ 2 — หนังสือเตือน: นำข้อมูลส่วนบุคคลเข้า AI สาธารณะโดยประมาท, เข้าถึงข้อมูลเกินสิทธิ์
- ระดับ 3 — พักงาน / ปลดออก: จงใจฝ่าฝืน, นำข้อมูลลูกค้ารั่วไหล, ใช้ข้อมูลเพื่อประโยชน์ส่วนตัว
โทษตามกฎหมาย PDPA (มาตรา 82–90)
- โทษทางปกครอง: ปรับสูงสุด 5,000,000 บาท ต่อกรรม (คณะกรรมการ PDPA)
- โทษทางแพ่ง: ค่าสินไหมทดแทน + ค่าเสียหายเชิงลงโทษสูงสุด 2 เท่า
- โทษทางอาญา: จำคุกไม่เกิน 1 ปี และ/หรือปรับไม่เกิน 1,000,000 บาท (กรณีเจตนา)
- ความรับผิดต่อลูกค้า: ค่าปรับตาม SLA + ค่าเสียหายตามสัญญา IT Outsource
13. การเปลี่ยนแปลงและทบทวนนโยบาย
บริษัทจะทบทวนนโยบายนี้อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงสำคัญ เช่น กฎหมาย PDPA, การเพิ่มระบบ AI ใหม่, หรือเหตุการณ์ Data Breach การเปลี่ยนแปลงจะแจ้งพนักงานทุกท่านล่วงหน้าไม่น้อยกว่า 30 วัน
14. ข้อมูลติดต่อ PDPA Officer
| Data Controller | กลุ่มบริษัท เอเอสซี กรุ๊ป (ASC Group) |
| ที่อยู่ | เลขที่ 25 อาคารกรุงเทพประกันภัย ชั้น 18 ยูนิต 7 ถนนสาทรใต้ แขวงทุ่งมหาเมฆ เขตสาทร กรุงเทพฯ 10120 |
| โทรศัพท์ | 02-679-1940-3, 02-677-4072-3 กด 511 |
| PDPA Officer Email | [email protected] |
| ระยะเวลาตอบกลับ | ภายใน 30 วันนับจากวันรับคำขอ (เร่งด่วน: ภายใน 72 ชั่วโมง) |
| Data Breach Hotline | แจ้งฝ่าย IT ทันที และแจ้ง [email protected] ภายใน 1 ชั่วโมง |

