NDA จ้างพัฒนาซอฟต์แวร์: ข้อกำหนดสำคัญ 7 ข้อที่ต้องมี (2026)

การจ้างบริษัทพัฒนาซอฟต์แวร์หรือ Freelancer นักพัฒนา มีความเสี่ยงที่ซ่อนอยู่มากกว่าที่คิด

บริษัทที่จ้างพัฒนาแอปสำหรับธุรกิจ E-commerce แห่งหนึ่ง พบว่าหลังจากส่งมอบงานแล้ว บริษัทรับจ้างนำโครงสร้างฐานข้อมูลและ Business Logic ที่คล้ายกันมากไปใช้กับโปรเจกต์ของคู่แข่ง ทั้งหมดนี้เกิดขึ้นเพราะ NDA ที่เซ็นไว้ระบุแค่ว่า "ห้ามเปิดเผยข้อมูลที่ได้รับ" โดยไม่ได้นิยาม "ข้อมูล" ให้ชัดเจน

NDA ที่ดีสำหรับการจ้างพัฒนาซอฟต์แวร์ไม่ใช่แค่ห้ามพูด แต่ต้องครอบคลุมซอร์สโค้ด สิทธิ์เข้าถึงระบบ และทรัพย์สินทางปัญญาทั้งหมด

บทความนี้ให้ตัวอย่างข้อกำหนด NDA สำหรับงานพัฒนาซอฟต์แวร์ที่นำไปใช้ได้เลย พร้อมบริบทกฎหมายไทยที่ต้องรู้

ทำไม NDA สำหรับ IT Outsourcing ถึงต่างจาก NDA ทั่วไป

NDA ทั่วไปมักป้องกันแผนธุรกิจ ข้อมูลการเงิน และข้อมูลลูกค้า แต่การจ้างพัฒนาซอฟต์แวร์มีสิ่งที่ต้องป้องกันเพิ่มเติม ได้แก่

ซอร์สโค้ดและสิทธิ์ในผลงาน: ภายใต้ พ.ร.บ.ลิขสิทธิ์ พ.ศ. 2537 ของไทย งานซอฟต์แวร์ที่สร้างโดยผู้รับจ้างอิสระ (Freelancer) สิทธิ์ในลิขสิทธิ์โดยปกติอยู่กับผู้สร้างสรรค์ ไม่ใช่ผู้ว่าจ้าง ต้องระบุในสัญญาอย่างชัดเจนจึงจะโอนสิทธิ์ได้

API Key และข้อมูลเข้าถึงระบบ: กระบวนการพัฒนาต้องแชร์ข้อมูลสำคัญอย่างหลีกเลี่ยงไม่ได้ และข้อมูลเหล่านี้อาจถูกนำไปใช้ผิดวัตถุประสงค์ได้

PDPA: หากระบบที่พัฒนาเก็บข้อมูลส่วนบุคคลของผู้ใช้ บริษัทรับจ้างที่เข้าถึงข้อมูลระหว่างพัฒนาต้องอยู่ภายใต้ข้อกำหนด PDPA ด้วย

การรับเหมาช่วง: หากบริษัทรับจ้างส่งต่องานให้ Freelancer โดยไม่แจ้ง ข้อมูลลับจะรั่วไปถึงบุคคลที่สามที่ไม่ได้เซ็น NDA

ข้อกำหนด NDA สำคัญ 7 ข้อสำหรับการจ้างพัฒนาซอฟต์แวร์

ข้อ 1: นิยาม "ข้อมูลลับ" ที่ครอบคลุมสำหรับงาน IT

ข้อนี้สำคัญที่สุด ข้อความกว้างๆ เช่น "ห้ามเปิดเผยข้อมูลที่ได้รับ" ไม่เพียงพอในทางปฏิบัติ ต้องระบุประเภทของข้อมูลให้ครบถ้วน

ข้อ 1 (นิยามข้อมูลลับ)

"ข้อมูลลับ" ในสัญญานี้หมายความรวมถึงข้อมูลทุกรูปแบบที่ผู้ว่าจ้าง (ต่อไปนี้เรียกว่า "ผู้ว่าจ้าง") ให้แก่บริษัทรับจ้าง (ต่อไปนี้เรียกว่า "ผู้รับจ้าง") หรือที่ผู้รับจ้างได้รับระหว่างการพัฒนา ดังต่อไปนี้

① ซอร์สโค้ดและผลงานพัฒนา: โค้ดที่ผู้ว่าจ้างให้ก่อนเริ่มงาน โค้ดที่พัฒนาร่วมกัน และซอร์สโค้ดที่ส่งมอบทั้งหมดรวมถึงผลงานระหว่างทาง

② ข้อมูลเข้าถึงระบบ: API Key, ข้อมูลการเชื่อมต่อฐานข้อมูล (Host, Port, Username/Password), บัญชี Cloud Console, บัญชีผู้ดูแลระบบ และข้อมูลยืนยันตัวตนทั้งหมด

③ โครงสร้างฐานข้อมูล: Table Schema, Data Model, ERD, การออกแบบ Index และโครงสร้างข้อมูลทั้งหมด

④ Business Logic: อัลกอริทึมการทำงาน ระบบคำนวณราคา ระบบคะแนน ระบบแนะนำสินค้า และตรรกะหลักของธุรกิจ

⑤ ข้อมูลส่วนบุคคลของผู้ใช้: ข้อมูลที่อยู่ภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่ผู้รับจ้างอาจเข้าถึงระหว่างพัฒนา

⑥ Technology Stack และสถาปัตยกรรมระบบ: Framework, Library, Infrastructure, CI/CD Pipeline และการออกแบบระบบ

⑦ แผนธุรกิจและฟีเจอร์ที่ยังไม่เปิดตัว: Roadmap, ฟีเจอร์ที่กำลังพัฒนา, ข้อมูลผลิตภัณฑ์ที่ยังไม่เผยแพร่

ข้อมูลทั้งหมดข้างต้นถือเป็นข้อมูลลับไม่ว่าจะอยู่ในรูปแบบใด เช่น เอกสาร การสนทนา ไฟล์อิเล็กทรอนิกส์ การแชร์หน้าจอ หรือการสื่อสารด้วยวาจา

---

ข้อ 2: ความเป็นเจ้าของลิขสิทธิ์ในผลงานพัฒนา

นี่คือข้อที่มักถูกมองข้ามมากที่สุดในการจ้างพัฒนาซอฟต์แวร์ในไทย

ตาม พ.ร.บ.ลิขสิทธิ์ พ.ศ. 2537 มาตรา 9 งานที่ผู้รับจ้างอิสระสร้างขึ้น โดยหลักแล้วสิทธิ์ในลิขสิทธิ์ตกเป็นของผู้สร้างสรรค์ (ผู้รับจ้าง) ไม่ใช่ผู้ว่าจ้าง ยกเว้นจะมีสัญญาระบุไว้อย่างชัดเจน หากไม่มีข้อกำหนดนี้ในสัญญา ผู้ว่าจ้างอาจไม่ได้เป็นเจ้าของซอฟต์แวร์ที่ตัวเองจ้างทำ

ข้อ 2 (สิทธิ์ในลิขสิทธิ์และทรัพย์สินทางปัญญาของผลงาน)

① ลิขสิทธิ์และสิทธิ์ในทรัพย์สินทางปัญญาทั้งหมดในผลงานที่ผู้รับจ้างพัฒนาและส่งมอบตามสัญญานี้ รวมถึงซอร์สโค้ด งานออกแบบ เอกสารทางเทคนิค โครงสร้างฐานข้อมูล และผลงานที่เกี่ยวข้องทั้งหมด ให้โอนเป็นกรรมสิทธิ์ของผู้ว่าจ้างนับตั้งแต่วันส่งมอบ

② ผู้รับจ้างไม่มีสิทธิ์นำผลงาน ทั้งหมดหรือบางส่วน ไปเปิดเผย แบ่งปัน จำหน่าย หรือนำไปใช้ซ้ำกับโปรเจกต์อื่น โดยไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรจากผู้ว่าจ้าง

③ หากผู้รับจ้างใช้ Library, Framework หรือเครื่องมือที่ตนเป็นเจ้าของอยู่แล้วก่อนสัญญา (ต่อไปนี้เรียกว่า "ทรัพย์สินเดิม") ในการพัฒนา ต้องปฏิบัติตามเงื่อนไขดังนี้

• แจ้งรายการทรัพย์สินเดิมที่จะใช้เป็นลายลักษณ์อักษรและรับการอนุมัติจากผู้ว่าจ้างก่อน
• สิทธิ์ในทรัพย์สินเดิมยังคงเป็นของผู้รับจ้าง ผู้ว่าจ้างได้รับเพียงสิทธิ์การใช้งานแบบไม่ผูกขาด (Non-exclusive License)
• ต้องปฏิบัติตามเงื่อนไข Open Source License (MIT, GPL ฯลฯ) และแจ้งภาระผูกพันใดๆ ล่วงหน้า

④ หลังส่งมอบงานครบถ้วน ผู้รับจ้างต้องโอนสิทธิ์เข้าถึง Code Repository ทั้งหมดให้ผู้ว่าจ้างภายใน ___ วันทำการ

---

ข้อ 3: ข้อจำกัดการใช้และเก็บรักษาข้อมูลเข้าถึงระบบ

API Key และ Database Credential ที่แชร์ระหว่างพัฒนาต้องมีกฎการจัดการที่ชัดเจน

ข้อ 3 (การใช้และจัดเก็บข้อมูลเข้าถึงระบบ)

① ข้อมูลเข้าถึงระบบทั้งหมด รวมถึง API Key, ข้อมูลการเชื่อมต่อฐานข้อมูล, บัญชี Cloud ที่ผู้ว่าจ้างมอบให้ (ต่อไปนี้เรียกว่า "ข้อมูลการเข้าถึง") ให้ใช้ได้เฉพาะเพื่อการพัฒนาตามสัญญานี้เท่านั้น

② ผู้รับจ้างต้องเก็บรักษาข้อมูลการเข้าถึงในระบบที่ปลอดภัย เช่น Password Manager ที่เข้ารหัส หรือ Secure Note และห้ามแชร์กับบุคคลที่ไม่จำเป็น

③ ห้ามบันทึกข้อมูลการเข้าถึงใน Source Code, GitHub Repository, Slack Channel, Email หรือที่เก็บข้อมูลใดๆ ที่บุคคลภายนอกอาจเข้าถึงได้

④ เมื่อสัญญาสิ้นสุดหรือถูกบอกเลิก ผู้รับจ้างต้องลบข้อมูลการเข้าถึงทั้งหมดภายใน ___ วันทำการ และส่งหนังสือยืนยันการลบให้ผู้ว่าจ้าง

⑤ หากข้อมูลการเข้าถึงรั่วไหลโดยความผิดของผู้รับจ้าง ต้องแจ้งผู้ว่าจ้างทันทีภายใน ___ ชั่วโมงนับจากที่ทราบ และให้ความร่วมมือในการเปลี่ยน Credential ทั้งหมด

---

ข้อ 4: ห้ามรับเหมาช่วงและห้ามเปิดเผยต่อบุคคลที่สาม

บริษัทรับจ้างพัฒนาหลายแห่งส่งงานต่อให้ Freelancer โดยไม่แจ้งลูกค้า ทำให้ข้อมูลลับรั่วไปถึงบุคคลที่ไม่ได้เซ็น NDA

ข้อ 4 (ห้ามรับเหมาช่วงและห้ามเปิดเผยข้อมูล)

① ผู้รับจ้างต้องขอความยินยอมเป็นลายลักษณ์อักษรจากผู้ว่าจ้างก่อน หากต้องการมอบหมายงานบางส่วนให้บุคคลที่สาม (Freelancer, บริษัทรับเหมาช่วง ฯลฯ)

② หากผู้ว่าจ้างอนุมัติการรับเหมาช่วง ผู้รับจ้างต้องให้บุคคลที่สามนั้นเซ็น NDA ที่มีเงื่อนไขเทียบเท่าสัญญานี้ และส่งสำเนาให้ผู้ว่าจ้างก่อนเริ่มงาน

③ ผู้รับจ้างรับผิดชอบต่อการละเมิดข้อมูลลับของผู้รับเหมาช่วงเสมือนว่าตนเองเป็นผู้ละเมิด

④ ห้ามเปิดเผยข้อมูลใดๆ ของผู้ว่าจ้างแก่บุคคลที่สาม รวมถึงนักลงทุน พันธมิตร คู่แข่ง ไม่ว่าในรูปแบบใด การนำโปรเจกต์ไปโชว์เป็น Portfolio หรือ Case Study ต้องได้รับอนุมัติเป็นลายลักษณ์อักษรจากผู้ว่าจ้างก่อน

---

ข้อ 5: ห้ามชักชวนพนักงาน (Non-Solicitation)

ระหว่างพัฒนาโปรเจกต์ บริษัทรับจ้างมักได้รู้จักพนักงานที่มีความสามารถของผู้ว่าจ้าง และอาจพยายามชักชวนออกมาทำงานด้วย ข้อนี้ป้องกันปัญหานี้ทั้งสองทิศทาง

ข้อ 5 (ห้ามชักชวนพนักงาน)

① ตลอดระยะเวลาสัญญาและ ___ เดือนหลังจากสัญญาสิ้นสุด ผู้รับจ้างห้ามชักชวนหรือเสนอโอกาสการจ้างงานแก่พนักงาน นักพัฒนา หรือผู้ร่วมงานของผู้ว่าจ้าง ไม่ว่าโดยตรงหรือโดยอ้อม

② ตลอดระยะเวลาสัญญาและ ___ เดือนหลังจากสัญญาสิ้นสุด ผู้ว่าจ้างห้ามเสนอการจ้างงานโดยตรงแก่นักพัฒนาของผู้รับจ้างโดยไม่ผ่านผู้รับจ้าง

③ หากฝ่ายใดฝ่ายหนึ่งละเมิดข้อนี้ ต้องชดใช้ค่าเสียหายเท่ากับเงินเดือนรายปีของบุคคลที่ถูกชักชวนนั้น

---

ข้อ 6: ข้อจำกัดการทำโปรเจกต์คู่แข่ง

ผู้รับจ้างอาจนำ Business Logic และสถาปัตยกรรมที่ได้รู้จากโปรเจกต์นี้ไปพัฒนาให้คู่แข่งของผู้ว่าจ้างในเวลาเดียวกัน

ข้อ 6 (ข้อจำกัดโปรเจกต์คู่แข่ง)

① ตลอดระยะเวลาสัญญา หากผู้รับจ้างต้องการรับงานพัฒนาให้กับธุรกิจที่แข่งขันโดยตรงกับผู้ว่าจ้าง (ต่อไปนี้เรียกว่า "โปรเจกต์คู่แข่ง") ต้องแจ้งผู้ว่าจ้างเป็นลายลักษณ์อักษรและหารือเรื่องความขัดแย้งทางผลประโยชน์ก่อน

② โปรเจกต์คู่แข่งกำหนดให้ครอบคลุม: [ประเภทบริการ: ___], [ภูมิภาค: ___], [ฟีเจอร์ที่คล้ายกัน: ___]

③ ไม่ว่ากรณีใด ผู้รับจ้างห้ามนำ Business Logic, อัลกอริทึม, โครงสร้างฐานข้อมูล, การออกแบบ UI/UX ที่ได้รับจากโปรเจกต์นี้ ไปใช้หรือประยุกต์ใช้กับโปรเจกต์คู่แข่ง

หมายเหตุ: ข้อนี้ต้องระบุขอบเขตอย่างสมเหตุสมผล ขอบเขตที่กว้างเกินไปอาจขัดต่อหลักความสงบเรียบร้อยหรือสิทธิเสรีภาพในการประกอบวิชาชีพตามกฎหมายไทย

---

ข้อ 7: การคืนหรือทำลายข้อมูลลับหลังสิ้นสุดสัญญา

แม้โปรเจกต์จะจบแล้ว แต่ถ้าข้อมูลยังอยู่ในเครื่องผู้รับจ้าง ความเสี่ยงก็ยังคงอยู่

ข้อ 7 (การจัดการข้อมูลลับหลังสิ้นสุดสัญญา)

① เมื่อสัญญาสิ้นสุด บอกเลิก หรือเมื่อผู้ว่าจ้างร้องขอ ผู้รับจ้างต้องดำเนินการภายใน ___ วันทำการดังนี้

• คืนหรือลบซอร์สโค้ด เอกสาร และไฟล์ข้อมูลทั้งหมดที่ได้รับจากผู้ว่าจ้างอย่างถาวร
• ลบข้อมูลการเข้าถึงระบบทั้งหมด (API Key, บัญชีฐานข้อมูล ฯลฯ)
• ลบข้อมูล Test Data, Dummy Data และข้อมูลจริงที่เข้าถึงระหว่างพัฒนา
• ยกเลิกสิทธิ์การเข้าถึง Cloud Environment (AWS, GCP, Azure ฯลฯ) ทั้งหมดที่เกี่ยวข้องกับผู้ว่าจ้าง

② ผู้รับจ้างต้องส่ง "หนังสือยืนยันการลบข้อมูล" (ระบุรายการ วันเวลา และลายมือชื่อผู้รับผิดชอบ) ให้ผู้ว่าจ้างภายใน ___ วันทำการหลังลบเสร็จ

③ หากผู้รับจ้างปฏิเสธหรือล่าช้าในการลบข้อมูล ผู้ว่าจ้างมีสิทธิ์ยื่นคำร้องต่อศาลเพื่อขอคำสั่งคุ้มครองชั่วคราว และเรียกร้องค่าเสียหาย

④ เอกสารธุรกรรมที่กฎหมายกำหนดให้เก็บรักษา ให้เก็บไว้จนครบกำหนดที่กฎหมายระบุแล้วจึงทำลาย

---

มาตรการเยียวยาเมื่อเกิดการละเมิด

ข้อ 8 (ค่าเสียหายและการเยียวยา)

① เมื่อผู้รับจ้างละเมิดสัญญานี้ ต้องชดใช้ค่าเสียหายจริงที่เกิดขึ้นแก่ผู้ว่าจ้าง หากไม่สามารถพิสูจน์ความเสียหายได้ชัดเจน ให้กำหนดค่าเสียหายขั้นต่ำที่ ___ บาท

② กรณีที่การชดใช้เงินอย่างเดียวไม่เพียงพอ ผู้ว่าจ้างมีสิทธิ์ยื่นคำร้องต่อศาลเพื่อขอคำสั่งห้ามชั่วคราว (Injunction) และผู้รับจ้างตกลงไม่คัดค้านคำร้องดังกล่าว

③ การละเมิดที่เกี่ยวข้องกับข้อมูลส่วนบุคคล อาจอยู่ภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) และอาจมีโทษทางแพ่งและทางอาญา

④ สัญญานี้อยู่ภายใต้กฎหมายไทย ข้อพิพาทให้นำเสนอต่อ[ศาลแพ่งกรุงเทพใต้ / ศาลที่มีเขตอำนาจตามที่ตั้งของผู้ว่าจ้าง]เป็นศาลชั้นต้น

---

Checklist NDA สำหรับการจ้างพัฒนาซอฟต์แวร์

ตรวจสอบก่อนเซ็นสัญญา:

นิยามข้อมูลลับ

• ระบุซอร์สโค้ด, API Key, Database Schema อย่างชัดเจนหรือไม่
• ครอบคลุมข้อมูลที่แชร์ผ่านการสื่อสารด้วยวาจาและการแชร์หน้าจอหรือไม่
• มีการกล่าวถึงข้อมูลส่วนบุคคลภายใต้ PDPA หรือไม่

ทรัพย์สินทางปัญญา

• ระบุความเป็นเจ้าของลิขสิทธิ์ในผลงานอย่างชัดเจนหรือไม่
• กำหนดเงื่อนไขการใช้ Library/Framework ที่ผู้รับจ้างมีอยู่แล้วหรือไม่
• ตรวจสอบภาระผูกพัน Open Source License แล้วหรือไม่

การควบคุมการเข้าถึง

• กำหนดให้ต้องขอ Approval ก่อนรับเหมาช่วงหรือไม่
• ระบุวิธีการเก็บรักษา Credential ที่ปลอดภัยหรือไม่
• กำหนดขั้นตอนและกำหนดเวลาการลบข้อมูลหลังสัญญาสิ้นสุดหรือไม่

บุคลากรและการแข่งขัน

• กำหนดระยะเวลาและขอบเขต Non-Solicitation อย่างชัดเจนหรือไม่
• ขอบเขตข้อจำกัดโปรเจกต์คู่แข่งมีความสมเหตุสมผลและเฉพาะเจาะจงหรือไม่

การเยียวยา

• กำหนดค่าเสียหายขั้นต่ำหรือไม่
• ระบุสิทธิ์การขอคำสั่งห้ามชั่วคราวหรือไม่
• กำหนดกฎหมายที่ใช้บังคับและศาลที่มีเขตอำนาจหรือไม่

---

NDA อย่างเดียวไม่พอ ต้องทำอะไรเพิ่ม

มาตรการทางเทคนิค: หลังส่งมอบงานให้รีบถอนสิทธิ์เข้าถึงทั้งหมด เปลี่ยน API Key และนำบัญชีผู้รับจ้างออกจาก Repository ทันที

แยกสัญญา: การมี NDA + สัญญาจ้างพัฒนาซอฟต์แวร์ + หนังสือรับรองความปลอดภัยแยกกัน ทำให้แต่ละเอกสารมีผลบังคับได้ชัดเจนกว่า

เก็บหลักฐาน: บันทึกการสื่อสารสำคัญทั้งหมดเป็นลายลักษณ์อักษรหรืออีเมล โดยเฉพาะการแชร์ข้อมูลลับและการอนุมัติต่างๆ

ควบคุมการเข้าถึงทีละขั้น: ให้ข้อมูลเฉพาะที่จำเป็นในแต่ละขั้นตอนการพัฒนา อย่าให้สิทธิ์เข้าถึงระบบทั้งหมดตั้งแต่วันแรก

---

NDA สำหรับงานพัฒนาซอฟต์แวร์ที่ดีต้องเขียนขึ้นมาเฉพาะสำหรับ IT ไม่ใช่แค่ NDA ทั่วไปที่เปลี่ยนชื่อ ใช้เวลาสักนิดในการทำให้ข้อกำหนดชัดเจนตั้งแต่ต้น ดีกว่าต้องมาแก้ปัญหาทีหลังในชั้นศาล หากการร่างสัญญาเป็นเรื่องยุ่งยาก AiDocx ช่วยให้คุณสร้างสัญญาที่ครบถ้วนได้ในเวลาดื่มกาแฟหนึ่งแก้ว ตั้งแต่ร่างจนถึงลงนามอิเล็กทรอนิกส์ในที่เดียว