PDPA กับงานบริหารอาคาร: จากคอนโดถึงออฟฟิศ ต้องรู้-ต้องรอด!
- Chakrapan Pawangkarat
- Apr 16
- 1 min read
จักรพันธ์ ภวังคะรัตน์
Head of Property and Asset Management, JLL Thailand
เลขาธิการ สมาคมบริหารทรัพย์สินแห่งประเทศไทย
16 April 2025
เพราะ “ข้อมูล” ก็สำคัญพอ ๆ กับทรัพย์สิน
ในยุคที่ข้อมูลส่วนบุคคลกลายเป็นทรัพย์สินล้ำค่า การบริหารอาคารไม่ใช่แค่เรื่องระบบน้ำ ไฟ รปภ. หรือบริการลูกบ้านอีกต่อไป แต่ต้องรวมถึง “การจัดการข้อมูล” อย่างมืออาชีพ โดยเฉพาะหลังการประกาศใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ที่มีผลบังคับใช้อย่างเต็มรูปแบบ
บทความนี้จะพาเจาะลึกว่า PDPA เกี่ยวข้องกับงานบริหารอาคารอย่างไร ทั้งในมุมของคอนโดมิเนียมและอาคารสำนักงาน พร้อมแนวทางปฏิบัติที่ถูกต้อง และข้อควรระวังที่มักถูกมองข้าม
ข้อมูลอะไรบ้างที่อาคารมักเก็บไว้ (และต้องระวัง)?
ในคอนโดมิเนียม มักเก็บข้อมูลส่วนบุคคลของลูกบ้าน เช่น ชื่อ เบอร์โทร เลขห้อง สำเนาบัตรประชาชนหรือทะเบียนบ้าน ภาพจากกล้องวงจรปิด (CCTV) ข้อมูลการเข้าออกอาคาร การใช้พื้นที่ส่วนกลาง และข้อมูลการชำระค่าส่วนกลาง
ในอาคารสำนักงาน จะมีข้อมูลของพนักงานบริษัทผู้เช่า รายชื่อผู้มาติดต่อ ข้อมูลการออกบัตรผ่าน ภาพจาก CCTV รวมถึงระบบ Smart Building และ IoT ต่าง ๆ ที่เกี่ยวข้องกับผู้เช่าและผู้มาติดต่อ
เข้าใจบทบาทของผู้ควบคุมและผู้ประมวลผลข้อมูล
ตามกฎหมาย PDPA ผู้ที่เกี่ยวข้องกับข้อมูลจะแบ่งออกเป็นสองฝ่ายหลักคือ
ผู้ควบคุมข้อมูล (Data Controller) คือผู้ที่กำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูล เช่น นิติบุคคลของคอนโดหรือเจ้าของอาคาร
ผู้ประมวลผลข้อมูล (Data Processor) คือผู้ที่ดำเนินการตามคำสั่งของ Data Controller เช่น บริษัทบริหารอาคาร
บริษัทบริหารอาคารจะไม่มีสิทธิ์นำข้อมูลลูกบ้านหรือผู้มาติดต่อไปใช้เพื่อวัตถุประสงค์อื่น เช่น การตลาด หรือส่งต่อให้บุคคลที่สาม เว้นแต่ได้รับคำสั่งและความยินยอมจากเจ้าของข้อมูลอย่างชัดเจน
PDPA ในคอนโด: สิ่งที่ต้องใส่ใจ
ในงานนิติบุคคลหรือการจัดการคอนโด การเก็บข้อมูลลูกบ้านต้องมีการแจ้งวัตถุประสงค์ให้ชัดเจน พร้อมแบบฟอร์มขอความยินยอม (consent) การใช้กล้องวงจรปิดต้องติดป้ายเตือนและกำหนดผู้เข้าถึงข้อมูลอย่างจำกัด
ข้อมูลการชำระเงินต้องระมัดระวังการเปิดเผย โดยเฉพาะการโพสต์ชื่อผู้ค้างจ่ายในที่สาธารณะ การถ่ายภาพกิจกรรมลูกบ้านหรือการจัดกิจกรรมควรขอความยินยอมล่วงหน้าเช่นกัน
กรณีมีแอปคอนโดหรือใช้ไลน์กลุ่ม ควรตรวจสอบว่าไม่เก็บข้อมูลมากเกินจำเป็น และควรอบรมพนักงานหรือ รปภ. ให้เข้าใจเรื่อง PDPA อย่างสม่ำเสมอ
PDPA ในอาคารสำนักงาน: 5 จุดที่ต้องจัดการ
ระบบลงทะเบียนผู้มาติดต่อ (Visitor Registration)ต้องแจ้งวัตถุประสงค์ให้ชัดเจน เช่น เพื่อความปลอดภัย ไม่สามารถนำข้อมูลนั้นไปใช้เพื่อการตลาด หรือส่งต่อให้ผู้อื่นโดยไม่ได้รับความยินยอม
ระบบออกบัตรผ่าน (Access Card System)ควรเก็บเฉพาะข้อมูลที่จำเป็น เช่น ชื่อ นามสกุล บริษัท หลีกเลี่ยงการขอข้อมูลส่วนบุคคลที่ไม่เกี่ยวข้องกับความปลอดภัยของอาคาร
ระบบกล้อง CCTVควรติดป้ายแจ้งให้ผู้เกี่ยวข้องทราบว่ามีการบันทึกภาพ และควรกำหนดระยะเวลาเก็บรักษาข้อมูล เช่น ไม่เกิน 30 วัน เว้นแต่มีเหตุจำเป็นพิเศษ
ระบบ Smart Building / IoT ที่เชื่อมกับผู้เช่าควรมีข้อตกลงหรือสัญญาเรื่องการแบ่งปันข้อมูลหรือการประมวลผลข้อมูล (Data Processing Agreement) ที่ชัดเจนกับผู้เช่า
การทำงานของพนักงานอาคารห้ามแชร์ข้อมูลผู้เช่าหรือผู้มาติดต่อผ่านช่องทางที่ไม่ปลอดภัย เช่น ไลน์กลุ่ม เว้นแต่มีการควบคุมและได้รับอนุญาตอย่างเหมาะสม
คำเตือนสำคัญ: ระวังการถ่ายหรือเก็บสำเนาบัตรประชาชน
หลายอาคารยังมีการขอถ่ายหรือเก็บสำเนาบัตรประชาชนผู้มาติดต่อโดยไม่รู้ว่า ข้อมูลในบัตรนั้นมี “ข้อมูลอ่อนไหว” เช่น ศาสนา ซึ่งอยู่ภายใต้การคุ้มครองสูงสุดของ PDPA
แนวทางแนะนำหากจำเป็นต้องเก็บสำเนา:
ควรขีดฆ่าข้อมูลที่ไม่จำเป็น เช่น ศาสนา ที่อยู่
เขียนคำอธิบายบนสำเนา เช่น “ใช้สำหรับการออกบัตรผ่านชั่วคราว วันที่…”
เก็บในระบบที่ปลอดภัย และควรกำหนดระยะเวลาในการลบข้อมูลหลังจากหมดความจำเป็น
หากหลีกเลี่ยงได้ ควรใช้ระบบลงทะเบียนแบบดิจิทัล หรือสแกน QR แทน
บทบาทของบริษัทบริหารอาคาร
แม้บริษัทบริหารอาคารจะเป็นเพียงผู้ประมวลผลข้อมูล (Data Processor) แต่ก็มีหน้าที่ต้องดูแลความปลอดภัยของข้อมูลอย่างเคร่งครัด ต้องทำงานร่วมกับเจ้าของอาคารหรือนิติฯ เพื่อกำหนดขอบเขตการใช้ข้อมูลที่ชัดเจน มีข้อตกลง Data Processing Agreement (DPA) เป็นลายลักษณ์อักษร อบรมพนักงานอย่างต่อเนื่อง และมีมาตรการจัดเก็บ-ลบข้อมูลที่ปลอดภัย
หากเกิดเหตุข้อมูลรั่วไหล ต้องรีบแจ้งสำนักงานคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง และแจ้งเจ้าของข้อมูลโดยเร็ว
สรุป: อาคารที่ใส่ใจ PDPA คืออาคารที่น่าเชื่อถือ
การปฏิบัติตาม PDPA อย่างเคร่งครัดไม่ใช่แค่เรื่องกฎหมาย แต่คือการสร้าง “ความเชื่อมั่น” ให้กับลูกบ้าน ผู้เช่า และผู้มาติดต่อ ว่าอาคารนี้ใส่ใจในทุกมิติของการดูแล ตั้งแต่ความปลอดภัยทางกายภาพ ไปจนถึงความปลอดภัยของข้อมูลส่วนบุคคล
“อาคารที่ดี ไม่ใช่แค่ดูดี แต่ต้องปลอดภัยทั้งในโลกจริงและโลกดิจิทัล”
Acknowledgement:
"This article was generated with the assistance of ChatGPT, an AI tool, and subsequently reviewed and edited by the author."
