Personal Data Protection Policy — รวมถึงการใช้งานระบบ AI เพื่อช่วยในการปฏิบัติงาน
กลุ่มบริษัท เอเอสซี กรุ๊ป (ASC Group) ประกอบด้วย บริษัท แอดวานซ์ซิสเต็มส์ คอนซัลติ้ง จำกัด บริษัท แอดวานซ์ เพอร์ซเนล แอนด์ โซลูชั่น จำกัด บริษัท แอดวานซ์แอดมินิสเตรชั่น จำกัด บริษัท แอดวานซ์เอาท์ซอร์สซิ่ง เซอร์วิสเซส จำกัด และบริษัท แอดวานซ์ ไอเซอร์วิส จำกัด ดำเนินธุรกิจในฐานะผู้ให้บริการบริหารจัดการระบบเทคโนโลยีสารสนเทศแบบครบวงจร (IT Outsourcing Services) และบริการที่ปรึกษาด้านเทคโนโลยีสารสนเทศแก่ลูกค้าองค์กร
ในการดำเนินธุรกิจดังกล่าว กลุ่มบริษัทฯ มีความจำเป็นต้องเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของพนักงาน ผู้สมัครงาน คู่ค้า และบุคคลที่เกี่ยวข้อง กลุ่มบริษัทฯ ตระหนักถึงความสำคัญของการคุ้มครองสิทธิในข้อมูลส่วนบุคคล และมุ่งมั่นในการบริหารจัดการข้อมูลดังกล่าวด้วยความรับผิดชอบ โปร่งใส และเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) อย่างเคร่งครัด
นโยบายฉบับนี้กำหนดขึ้นเพื่อ:
นโยบายนี้มีผลบังคับใช้กับพนักงานทุกท่านในกลุ่มบริษัท ASC Group
3.1 ข้อมูลส่วนบุคคลทั่วไป
ข้อมูลที่สามารถระบุตัวตนได้ไม่ว่าทางตรงหรือทางอ้อม เช่น:
3.2 ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data — มาตรา 26)
ข้อมูลต่อไปนี้ต้องได้รับความยินยอมโดยชัดแจ้งก่อนทุกครั้ง:
| ประเภท | ตัวอย่างในบริบท IT Outsource |
| เชื้อชาติ / ชาติพันธุ์ | ข้อมูลในระบบ HR ของบริษัทหรือลูกค้า |
| ความคิดเห็นทางการเมือง | ข้อมูลที่อาจปรากฏใน Log หรือระบบสื่อสาร |
| ความเชื่อทางศาสนา / ปรัชญา | ข้อมูลวันหยุด ระบบ Leave Management (HRM Leave) |
| พฤติกรรมทางเพศ | ห้ามเก็บรวบรวมหรือประมวลผลโดยเด็ดขาด |
| ประวัติอาชญากรรม | เก็บได้ไม่เกิน 6 เดือนหลังสิ้นวัตถุประสงค์ |
| ข้อมูลสุขภาพ / ความพิการ | ระบบ HR, ประกันสุขภาพ, ใบรับรองแพทย์ |
| ข้อมูลชีวภาพ (Biometric) | ระบบสแกนนิ้ว/ใบหน้าเพื่อควบคุมการเข้าออก |
| ข้อมูลพันธุกรรม | ห้ามเก็บรวบรวมโดยเด็ดขาด |
บริษัทประมวลผลข้อมูลส่วนบุคคลภายใต้ฐานกฎหมาย 7 ฐาน ตาม PDPA มาตรา 24 และ 26:
| ข้อ | ฐานกฎหมาย | ตัวอย่างการใช้ในธุรกิจ IT Outsource |
| 3.1 | Consent (ความยินยอม) | การใช้ระบบ AI วิเคราะห์พฤติกรรม, การเก็บ Biometric, การส่งข้อมูลให้บุคคลที่สาม — ต้องขอยินยอมก่อนทุกครั้ง ถอนได้ทุกเมื่อ |
| 3.2 | Contract (สัญญา) | การประมวลผลข้อมูลพนักงานเพื่อจ่ายเงินเดือน, การดูแลระบบ IT ให้ลูกค้าตามสัญญา Service Agreement |
| 3.3 | Legal Obligation (กฎหมาย) | การส่งข้อมูลภาษีให้กรมสรรพากร, ประกันสังคม, การเก็บ Log ตาม PDPA, พ.ร.บ. คอมพิวเตอร์ |
| 3.4 | Vital Interest (ชีวิต) | การแชร์ข้อมูลสุขภาพกรณีฉุกเฉิน, การแจ้งเหตุ Data Breach ที่อาจกระทบชีวิต |
| 3.5 | Public Task (ภารกิจของรัฐ) | การให้ข้อมูลตามคำสั่งศาล, หน่วยงานกำกับดูแลเช่น ETDA, ธนาคารแห่งประเทศไทย |
| 3.6 | Legitimate Interest (ประโยชน์โดยชอบ) | การวิเคราะห์ Security Log, ระบบ AI ตรวจจับภัยคุกคาม, การปรับปรุงประสิทธิภาพ IT Service — ต้องไม่กระทบสิทธิ์ผู้ใช้เกินสมควร |
| 3.7 | Research/Statistics (วิจัย/สถิติ) | การวิเคราะห์สถิติ Incident, รายงาน SLA Performance, การปรับปรุงระบบ AI – ใช้เฉพาะ Anonymized data |
บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็น ภายใต้วัตถุประสงค์ต่อไปนี้:
บริษัทนำระบบ AI มาใช้เพื่อเพิ่มประสิทธิภาพการให้บริการ IT Outsource — ภายใต้หลักการ Human-in-the-loop และ PDPA มาตรา 24
AI เป็นเครื่องมือช่วยตัดสินใจ ไม่ใช่ผู้ตัดสินใจแทนมนุษย์ | ผลลัพธ์ทุกอย่างต้องผ่านการตรวจสอบและอนุมัติโดยพนักงานก่อนเสมอ
6.1 ระบบ AI ที่นำมาใช้ในธุรกิจ IT Outsource
| ระบบ AI | วัตถุประสงค์ | ข้อมูลที่ AI ประมวลผล |
| Security AI (SIEM/SOAR) | ตรวจจับภัยคุกคาม, วิเคราะห์ Anomaly ใน Log, แจ้งเตือน Incident | Network Log, System Event Log, Access Log — ไม่ระบุตัวตนผู้ใช้ |
| Monitoring AI | ตรวจสอบประสิทธิภาพระบบ, แจ้งเตือนก่อน Downtime, วิเคราะห์ Capacity | Performance Metrics, System Health Data, Alert Log |
| AI Code Assistant | ช่วย Developer ตรวจสอบ Code, แนะนำ Best Practice, ค้นหา Bug | Source Code ที่ไม่มีข้อมูลส่วนบุคคล, Comment, Documentation |
| AI Report Generator | สรุปรายงาน SLA, วิเคราะห์แนวโน้ม, สร้าง Dashboard อัตโนมัติ | Aggregated Performance Data, Anonymized Statistics เท่านั้น |
| Recruit AI (ฝ่ายสรรหา) | คัดกรอง Resume เบื้องต้น, จัดลำดับผู้สมัคร, วิเคราะห์ความเหมาะสม | ข้อมูลผู้สมัครที่ได้รับ Consent ก่อนเสมอ — ไม่รวมข้อมูลอ่อนไหว |
| HR AI (ฝ่ายสวัสดิการพนักงาน) | วิเคราะห์การใช้สวัสดิการ, แจ้งเตือนวันหมดอายุประกัน, สรุปรายงาน Leave | ข้อมูลพนักงานภายใน (ชื่อ วันลา สวัสดิการ) — ไม่รวมข้อมูลสุขภาพโดยตรง |
6.2 หลักการใช้งาน AI ที่พนักงานทุกท่านต้องปฏิบัติ
6.3 ข้อห้ามในการใช้งาน AI
⚠ ห้ามนำข้อมูลต่อไปนี้เข้าระบบ AI ทุกกรณี — ฝ่าฝืนถือเป็นความผิดทางวินัยและอาจมีโทษตามกฎหมาย
| ประเภทข้อมูล | ระยะเวลา | การดำเนินการหลังครบกำหนด |
| ข้อมูลพนักงาน (ระหว่างจ้างงาน) | ตลอดระยะการจ้างงาน | ลบหรือ Anonymize ภายใน 90 วันหลังพ้นสภาพ |
| ข้อมูลพนักงานหลังพ้นสภาพ | ไม่น้อยกว่า 2 ปี (สูงสุด 10 ปีตามกฎหมายแพ่ง) | ลบหรือทำให้ไม่สามารถระบุตัวตนได้ |
| ข้อมูลประวัติอาชญากรรม | ไม่เกิน 6 เดือนนับจากสิ้นวัตถุประสงค์ | ลบและทำลายถาวรทันที |
| Security Log / Audit Log | 1 ปี (ตาม พ.ร.บ. คอมพิวเตอร์) | Archive หรือลบตามนโยบาย Log Management |
| ข้อมูลลูกค้า (Client Data) | ตามที่ระบุใน Service Agreement / DPA | ส่งคืนหรือลบตามคำสั่งลูกค้าหลังสิ้นสัญญา |
| AI Training Data (Anonymized) | ตามวงจรชีวิต AI Model (สูงสุด 3 ปี) | ลบพร้อมกับการปลดระวาง Model |
| ข้อมูลผู้สมัครงาน — ไม่ผ่านการคัดเลือก | 1 ปีนับจากวันสมัคร | ลบจากระบบทั้งหมดโดยอัตโนมัติ รวมถึงระบบ AI |
| ข้อมูลผู้สมัครงาน — ผ่านการคัดเลือก | โอนสู่แฟ้มพนักงาน ไม่เกิน 10 ปีหลังพ้นสภาพ | ประมวลผลต่อตามนโยบายข้อมูลพนักงาน |
| ข้อมูลนักศึกษาฝึกงาน (ระหว่างฝึกงาน) | ตลอดระยะฝึกงาน | ลบหรือ Anonymize ภายใน 30 วันหลังสิ้นสุดการฝึกงาน |
| ข้อมูลนักศึกษาฝึกงาน (หลังสิ้นสุด) | 2 ปีนับจากวันสิ้นสุดการฝึกงาน | ลบถาวร เว้นแต่บรรจุเป็นพนักงาน (โอนสู่แฟ้มพนักงาน) |
บริษัทจัดการข้อมูลส่วนบุคคลตามมาตรฐาน CIA Triad ตาม PDPA มาตรา 37:
Confidentiality (ความลับ) — การรักษาความลับ เฉพาะผู้มีสิทธิ์เข้าถึง
Integrity (ความถูกต้อง) — ความถูกต้องและสมบูรณ์ ป้องกันการแก้ไขโดยไม่ได้รับอนุญาต
Availability (ความพร้อมใช้) — ข้อมูลและระบบพร้อมใช้งานเมื่อต้องการ
บริษัทเปิดเผยข้อมูลส่วนบุคคลเฉพาะตามวัตถุประสงค์ที่แจ้งไว้ และต่อบุคคลต่อไปนี้เท่านั้น:
เจ้าของข้อมูล มีสิทธิ์ตาม PDPA 8 ประการ:
| ข้อ | สิทธิ์ | รายละเอียด |
| 8.1 | Right to be Informed (รับทราบ) | ได้รับแจ้งวัตถุประสงค์การเก็บข้อมูลและการนำไปใช้กับ AI ก่อนทุกครั้ง |
| 8.2 | Right of Access (เข้าถึง) | ขอดูข้อมูลส่วนบุคคลและผลการประมวลผลโดย AI ของตนเองได้ |
| 8.3 | Right to Rectification (แก้ไข) | ขอให้แก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่ครบถ้วนได้ |
| 8.4 | Right to Erasure (ลบ) | ขอให้ลบข้อมูลได้เมื่อหมดความจำเป็น หรือเมื่อถอนความยินยอม |
| 8.5 | Right to Restriction (ระงับ) | ขอให้หยุดประมวลผลข้อมูลชั่วคราวระหว่างตรวจสอบข้อร้องเรียน |
| 8.6 | Right to Portability (โอนย้าย) | ขอรับข้อมูลในรูปแบบดิจิทัล (CSV, JSON) |
| 8.7 | Right to Object (คัดค้าน) | คัดค้านการนำข้อมูลเข้าระบบ AI หรือการประมวลผลที่ใช้ฐาน Legitimate Interest |
| 8.8 | Right to Withdraw (ถอนยินยอม) | ถอนความยินยอมได้ทุกเมื่อ ไม่กระทบสิทธิ์ที่เคยได้รับ — แจ้ง PDPA@grpasc.com |
พนักงานทุกท่านมีหน้าที่รับผิดชอบดังนี้:
โทษทางวินัย (ภายในบริษัท)
โทษตามกฎหมาย PDPA (มาตรา 82–90)
บริษัทจะทบทวนนโยบายนี้อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงสำคัญ เช่น กฎหมาย PDPA, การเพิ่มระบบ AI ใหม่, หรือเหตุการณ์ Data Breach การเปลี่ยนแปลงจะแจ้งพนักงานทุกท่านล่วงหน้าไม่น้อยกว่า 30 วัน
| Data Controller | กลุ่มบริษัท เอเอสซี กรุ๊ป (ASC Group) |
| ที่อยู่ | เลขที่ 25 อาคารกรุงเทพประกันภัย ชั้น 18 ยูนิต 7 ถนนสาทรใต้ แขวงทุ่งมหาเมฆ เขตสาทร กรุงเทพฯ 10120 |
| โทรศัพท์ | 02-679-1940-3, 02-677-4072-3 กด 511 |
| PDPA Officer Email | PDPA@grpasc.com |
| ระยะเวลาตอบกลับ | ภายใน 30 วันนับจากวันรับคำขอ (เร่งด่วน: ภายใน 72 ชั่วโมง) |
| Data Breach Hotline | แจ้งฝ่าย IT ทันที และแจ้ง PDPA@grpasc.com ภายใน 1 ชั่วโมง |