ปัจจุบันการใช้งานผ่านระบบดิจิทัล ระบบเครือข่ายออนไลน์ เป็นส่วนหนึ่งของชีวิตประจำวันของเรา มีแพลตฟอร์มให้เลือกใช้งานมากมาย และมีหลากหลายช่องทางในการติดต่อสื่อสาร โดยมีวัตถุประสงค์ที่แตกต่างกันไป โดยแต่ละช่องทางในการใช้งานจะมีการเก็บข้อมูลส่วนบุคคลของผู้ใช้งาน ได้แก่ ชื่อ นามสกุล อีเมล เบอร์โทรศัพท์ ที่อยู่ หรือข้อมูลส่วนตัวอื่น ๆ เราจะรู้ได้อย่างไรว่าข้อมูลส่วนตัวที่ให้ไปนั้นจะถูกนำไปใช้ตามวัตถุประสงค์ที่เราต้องการจริง ๆ โดยไม่นำข้อมูลส่วนตัวของเราไปใช้เพื่อผลประโยชน์อื่นใดนอกเหนือจากความยินยอมของเรา กฎหมาย PDPA ที่มีผลบังคับใช้ตั้งแต่ 1 มิถุนายน 2565 เป็นต้นไปนั้น จะเข้ามามีบทบาทในการคุ้มครองข้อมูลส่วนบุคคลและให้สิทธิที่ควรมีของเจ้าของข้อมูล
ซึ่งส่งผลกับนักบัญชีเป็นวิชาชีพหนึ่งที่มีความเกี่ยวข้องกับข้อมูลต่าง ๆ เป็นอย่างมาก เพื่อเป็นการช่วยนักบัญชีในการปรับตัว รวมทั้งให้คำแนะนำแก่ทุกฝ่ายที่เกี่ยวข้องทั้งฝ่ายบริหารหรือลูกค้าของกิจการได้อย่างครบถ้วนถูกต้องและเป็นไปตามกฎหมายที่กำหนด บทความนี้จะช่วยสร้างความรู้ความเข้าใจแก่นักบัญชีและผู้ประกอบการในการเตรียมพร้อมจากการบังคับใช้กฎหมาย PDPA
PDPA คืออะไร
Personal Data Protection Act B.E.2562(2019) หรือ PDPA คือ พระราชบัญญัติคุ้มครองส่วนบุคคล พ.ศ.2562 เป็นกฎหมายว่าด้วยการให้สิทธิกับเจ้าของข้อมูลส่วนบุคคล การสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต มีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคล ไม่ว่าข้อมูลนั้นจะอยู่ในรูปแบบของกระดาษหรือสื่ออิเล็กทรอนิกส์ เพื่อไม่ให้ข้อมูลถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งเจ้าของข้อมูลหรือถูกนำไปใช้โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลก่อน โดยกฎหมาย PDPA ของไทย ได้ประกาศไว้ในราชกิจจานุเบกษา เมื่อวันที่ 27 พฤษภาคม 2562 ซึ่งได้เลื่อนมามีผลบังคับใช้ตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป
ขอบเขตการบังคับใช้
1. ภายในราชอาณาจักร บังคับใช้ในการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ภายในราชอาณาจักร
2. ภายนอกราชอาณาจักร บังคับใช้ในกรณีผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกราชอาณาจักร ถ้ามีกิจกรรมดังต่อไปนี้
- 2.1 การเสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลซึ่งอยู่ภายในราชอาณาจักร ไม่ว่าจะมีการชำระเงินหรือไม่
2.2 การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลที่เกิดขึ้นภายในราชอาณาจักร
ประเภทของข้อมูลส่วนบุคคล
ตามกฎหมาย PDPA แยกประเภทข้อมูลส่วนบุคคลออกเป็น 2 ประเภทดังนี้
1. ข้อมูลส่วนบุคคลทั่วไป (Personal Data)
ตามมาตรา 6 ของ PDPA ข้อมูลส่วนบุคคลทั่วไป เป็นข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมข้อมูลของผู้ที่ถึงแก่กรรมไปแล้ว และไม่รวมข้อมูลของนิติบุคคล ข้อมูลส่วนบุคคลทั่วไป ได้แก่
- ชื่อ นามสกุล
- หมายเลขบัตรประชาชน หมายเลขหนังสือเดินทาง หมายเลขอนุญาตใบขับขี่
- เบอร์โทรศัพท์ อีเมลส่วนตัว
- ที่อยู่ปัจจุบัน
- ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์
- ข้อมูลระบุทรัพย์สินของบุคคล ได้แก่ ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน
- ข้อมูลที่เชื่อมโยงไปหาบุคคล ได้แก่ วันเดือนปีเกิด สัญชาติ น้ำหนัก ส่วนสูง
- ข้อมูลอื่นๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ ได้แก่ Username, Password, Cookies IP address, GPS location เป็นต้น
2. ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data)
เป็นข้อมูลส่วนบุคคลที่ต้องระมัดระวังเป็นพิเศษในการรวบรวมหรือประมวลผล โดยกฎหมายให้การคุ้มครองเข้มงวดกว่าข้อมูลส่วนบุคคลธรรมดา
- เชื้อชาติ
- เผ่าพันธุ์
- ความคิดเห็นทางการเมือง
- ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลสุขภาพ ความพิการ ข้อมูลสุขภาพจิต
- ข้อมูลสหภาพแรงงาน
- ข้อมูลพันธุกรรม
- ข้อมูลชีวภาพ
ผู้เกี่ยวข้องกับข้อมูลส่วนบุคคล
1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)
หมายถึง ลูกค้า พนักงานรวมถึง Outsource ซึ่งเป็นบุคคลที่ข้อมูลบ่งชี้ไปถึง
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
หมายถึง บุคคล บริษัท หรือนิติบุคคล องค์กรต่างๆ ที่มีอำนาจตัดสินใจว่าจะมีการประมวลผลข้อมูลส่วนบุคคลอะไรบ้าง ทำหน้าที่เสมือนเป็นผู้ดูแลระบบที่มีหน้าที่เก็บรวบรวมและนำข้อมูลส่วนบุคคลที่ได้รับการยินยอมจากเจ้าของข้อมูลแล้วไปใช้ ได้แก่ ธนาคารแห่งประเทศไทย บริษัท บัตรกดเงินสดจำกัด เป็นต้น
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
บุคคล บริษัท หรือนิติบุคคล องค์กรต่างๆ ที่ทำการประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่งหรือกระทำการในนามของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controlle) เท่านั้น ไม่สามารถตัดสินใจทำการประมวลผลข้อมูลด้วยตนเอง ได้แก่ Outsource ผู้รับจ้าง ไม่ใช่พนักงานหรือส่วนหนึ่งของหน่วยงาน/องค์กร/สถาบัน เช่น ร้านรับทำนามบัตร, ผู้ดูแลเพจร้านค้า, สำนักงานบัญชี, กิจการรับจัดการออเดอร์สินค้า เป็นต้น
แนวทางการเก็บข้อมูลส่วนบุคคลตามกฎหมาย PDPA
หน่วยงานที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งต้องปฏิบัติตามกฎหมาย PDPA
มีแนวทางที่สำคัญ 5 ประการที่ต้องปฏิบัติตามดังนี้
1. ห้ามเก็บข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล
2. เก็บข้อมูลส่วนบุคคลเท่าที่จำเป็น ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย
3. ต้องแจ้งวัตถุประสงค์ในการเก็บข้อมูลให้เจ้าของข้อมูลทราบ
4 .หากเปลี่ยนวัตถุประสงค์ต้องแจ้งให้เจ้าของข้อมูลทราบ
5. ห้ามเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่ข้อมูลโดยตรง
สิทธิที่เจ้าของข้อมูลสามารถมีต่อข้อมูลของตน
ในฐานะเจ้าของข้อมูลส่วนบุคคล ได้รับสิทธิต่อข้อมูลของตนดังต่อไปนี้
1. สิทธิในการได้รับแจ้ง
มาตรา 23 หมายถึง สิทธิที่เจ้าของข้อมูลควรทราบว่าผู้ควบคุมข้อมูล (Data Controller) เก็บข้อมูลของตนเพื่อไปทำอะไร เก็บนานแค่ไหน ส่งต่อให้ใครหรือไม่ และจะติดต่อผู้ควบคุมข้อมูลได้อย่างไร
2 .สิทธิในการเพิกถอนความยินยอม
มาตรา 19 หมายถึง สิทธิที่เจ้าของข้อมูลสามารถเพิกถอนความยินยอมในการเก็บข้อมูล โดยต้องสามารถใช้สิทธินี้โดยวิธีที่ง่าย (เช่นเดียวกับตอนที่ให้ความยินยอม) และทำเมื่อใดก็ได้
3. สิทธิในการเข้าถึงข้อมูลส่วนบุคคล
มาตรา 30 หมายถึง การที่เจ้าของมีสิทธิเข้าถึงและรับสำเนาข้อมูลที่เกี่ยวกับตนและมีสิทธิขอให้เปิดเผยการได้มาซึ่งข้อมูลที่ตน ไม่ได้ให้ความยินยอม โดยผู้ควบคุมข้อมูลจะต้องจัดเตรียมข้อมูลตามคำขอให้เจ้าของภายในไม่เกิน 30 วัน นับแต่วันที่ได้คำขอ
4. สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
มาตรา 35 และ 36 หมายถึง สิทธิที่เจ้าของข้อมูลสามารถยื่นคำร้องขอแก้ไขข้อมูลของตนได้ เมื่อเห็นว่าข้อมูลไม่ถูกต้องหรือไม่สมบูรณ์ โดยผู้ควบคุมข้อมูลจะต้องแก้ไขตามที่เจ้าของร้องขอ หากผู้ควบคุมปฏิเสธจะต้องบันทึกเหตุผลการปฏิเสธนั้นไว้ด้วย
5 .สิทธิในการลบข้อมูลส่วนบุคคล
มาตรา 33 หมายถึง สิทธิที่เจ้าของสามารถขอให้ลบหรือทำลายข้อมูลของตนได้ เมื่อข้อมูลนั้นไม่จำเป็นต้องใช้ตามวัตถุประสงค์อีกต่อไป เมื่อเจ้าของถอนความยินยอม หรือเมื่อข้อมูลถูกนำไปใช้อย่างผิดกฎหมาย
6. สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
มาตรา 32 หมายถึง เจ้าของข้อมูลสามารถคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เมื่อไหร่ก็ได้ รวมถึงสามารถทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ ยกเว้นมีเหตุอันควรทางกฎหมายที่สำคัญจริง ๆ เท่านั้น
7. สิทธิในการได้รับและโอนถ่ายข้อมูล
มาตรา 31 หมายถึง ในกรณีที่เจ้าของข้อมูลต้องการนำข้อมูลที่เคยให้ไว้กับผู้ควบคุมข้อมูลรายหนึ่ง ไปใช้กับผู้ควบคุมข้อมูลอีกราย เช่น ผู้ควบคุมข้อมูลส่วนบุคคลรายแรกได้ทำจัดทำข้อมูลส่วนบุคคลของเราไปในอยู่ในรูปแบบต่าง ๆ ที่เข้าถึงได้ด้วยวิธีการอัตโนมัติ เจ้าของข้อมูลสามารถขอให้ผู้ควบคุมข้อมูลส่วนบุคคลที่จัดทำข้อมูลนั้น ทำการส่งหรือโอนข้อมูลดังกล่าวให้ได้ หรือจะขอให้ส่งไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่นโดยตรงก็สามารถทำได้ หากไม่ติดขัดทางวิธีการและเทคนิค โดยการใช้สิทธินั้นต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิเสรีภาพของบุคคลอื่น
8. สิทธิในการขอระงับการใช้ข้อมูล
มาตรา 34 เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคล ไม่ว่าจะในกรณีที่เกิดการเปลี่ยนใจไม่ต้องการให้ข้อมูลแล้ว หรือเปลี่ยนใจระงับการทำลายข้อมูลเมื่อครบกำหนดที่ต้องทำลาย เพราะมีความจำเป็นต้องนำข้อมูลไปใช้ในทางกฎหมาย หรือการเรียกร้องสิทธิก็สามารถทำได้
ผู้เกี่ยวข้องกับข้อมูลส่วนบุคคล
1. เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายถึง ลูกค้า พนักงานรวมถึง Outsource ซึ่งเป็นบุคคลที่ข้อมูลบ่งชี้ไปถึง
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง บุคคล บริษัท หรือนิติบุคคล องค์กรต่าง ๆ ที่มีอำนาจตัดสินใจว่าจะมีการประมวลผลข้อมูลส่วนบุคคลอะไรบ้าง ทำหน้าที่เสมือนเป็นผู้ดูแลระบบที่มีหน้าที่เก็บรวบรวมและนำข้อมูลส่วนบุคคลที่ได้รับการยินยอมจากเจ้าของข้อมูลแล้วไปใช้ ได้แก่ ธนาคารแห่งประเทศไทย บริษัท บัตรกดเงินสดจำกัด เป็นต้น
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) บุคคล บริษัท หรือนิติบุคคล องค์กรต่าง ๆ ที่ทำการประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่งหรือกระทำการในนามของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controlle) เท่านั้น ไม่สามารถตัดสินใจทำการประมวลผลข้อมูลด้วยตนเอง ได้แก่ Outsource ผู้รับจ้าง ไม่ใช่พนักงานหรือส่วนหนึ่งของหน่วยงาน/องค์กร/สถาบัน เช่น ร้านรับทำนามบัตร, ผู้ดูแลเพจร้านค้า, สำนักงานบัญชี และกิจการรับจัดการออเดอร์สินค้า เป็นต้น
แนวทางการเก็บข้อมูลทางบัญชีที่ไม่ขัดต่อกฎหมาย PDPA
หน่วยงานที่มีการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งต้องปฏิบัติตามกฎหมาย PDPA มีแนวทางที่สำคัญ 5 ประการที่ต้องปฏิบัติตาม ดังนี้
1. ห้ามเก็บข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล
2. เก็บข้อมูลส่วนบุคคลเท่าที่จำเป็น ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย
3. ต้องแจ้งวัตถุประสงค์ในการเก็บข้อมูลให้เจ้าของข้อมูลทราบ
4 .หากเปลี่ยนวัตถุประสงค์ต้องแจ้งให้เจ้าของข้อมูลทราบ
5. ห้ามเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่ข้อมูลโดยตรง
แนวทางการเก็บข้อมูลทางบัญชีที่ไม่ขัดต่อกฎหมาย PDPA
สำหรับแนวทางในการเก็บข้อมูลทางบัญชีที่ไม่ขัดต่อกฎหมาย PDPA มีดังนี้
1. การจำแนกข้อมูลทางธุรกิจ
เมื่อกิจการได้รับข้อมูลผ่านเข้ามาในระบบงานต่างๆขององค์กร ควรจำแนกประเภทของข้อมูลตามเจ้าของข้อมูล ได้แก่ ข้อมูลลูกค้า ข้อมูลผู้จำหน่าย ข้อมูลพนักงาน โดยในการจัดประเภทของข้อมูลจะต้องพิจารณาให้ชัดเจนว่า ข้อมูลใดเป็นข้อมูลส่วนบุคคลตามที่ PDPA กำหนด ซึ่งต้องได้รับการปฏิบัติให้ถูกต้องตาม PDPA
2. กลไกการประมวลผลข้อมูล
การประมวลผลข้อมูลตามกฎหมาย PDPA หมายถึง การเก็บรวบรวม การใช้ การเผยแพร่ และการเก็บรักษาข้อมูลส่วนบุคคล ดังนั้น กิจกรรมทางธุรกิจ และการทำบัญชี ซึ่งต้องมีการเก็บข้อมูล บันทึก ข้อมูลใช้ในการทำงาน การเผยแพร่และการเก็บรักษา ซึ่งถ้าเกี่ยวข้องกับข้อมูลส่วนบุคคลจะถือเป็นการประมวลผลข้อมูลส่วนบุคคล ตามที่PDPA กำหนดทั้งหมด และนักบัญชีมีหน้าที่ต้องปฏิบัติตาม PDPA อย่างเหมาะสม
กิจการจะต้องมีกลไกในการกำกับดูแลรวมทั้งกระบวนการภายในที่มีความพร้อม ในการแสดงให้เห็นว่ากิจการสามารถปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้อย่างถูกต้อง รวมถึงการปรับปรุงกลไกและกระบวนการให้เป็นปัจจุบันและจัดให้มีการอบรมบุคลากรให้มีความเข้าใจเรื่องพ.ร.บ. ข้อมูลส่วนบุคคลและปฏิบัติได้อย่างถูกต้อง
3. ฐานของการประมวลผลข้อมูล
การประมวลผลให้ถูกต้องตาม PDPA มีฐานของการประมวลผลข้อมูล ได้แก่ ฐานกฎหมาย ฐานสัญญา ฐานภารกิจเพื่อประโยชน์สาธารณะเพื่ออำนาจรัฐ ฐานประโยชน์อันชอบธรรมด้วยกฎหมาย ฐานจดหมายเหตุ การวิจัยและสถิติ ฐานความยินยอม ดังนั้นการประมวลผลข้อมูลไม่ได้อยู่บนฐานความยินยอมเสมอไป การที่เจ้าของข้อมูลเมื่อให้ความยินยอมได้ เจ้าของข้อมูลก็สามารถถอนความยินยอมได้เช่นกัน
สำหรับการจัดทำบัญชี เพื่อเป็นการดำเนินการให้สอดคล้องกับพระราชบัญญัติการบัญชีและประมวลรัษฎากร หรือการให้บริการตามสัญญาที่ภาคธุรกิจมีสำหรับเจ้าของข้อมูลส่วนบุคคลแต่ละกลุ่ม ในการประมวลผลข้อมูลส่วนบุคคลสำหรับการทำบัญชีจึงอยู่ภายใต้ฐานกฎหมายและฐานสัญญาที่มีอยู่เดิมแล้ว กิจการจึงมีหน้าที่ในการประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) เท่านั้น โดยไม่ต้องขอความยินยอมอีก การกำหนดฐานในการประมวลผลข้อมูลที่เหมาะสมย่อมทำให้ระบบการทำงานเกิดความ มีประสิทธิภาพและช่วยองค์กรลดต้นทุนที่ไม่จำเป็น
4. สิทธิของเจ้าของข้อมูล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิภายใต้ PDPA ได้แก่ สิทธิในการขอเข้าถึงและขอรับสำเนาข้อมูล ส่วนบุคคลของตน ซึ่งอยู่ในความ รับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล สิทธิในการขอให้เปิดเผยซึ่งการได้มาของข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม สิทธิในการขอเคลื่อนย้ายข้อมูลส่วนบุคคลของตนในกรณีที่ข้อมูลได้รับการจัดเก็บในรูปแบบที่โอนได้โดยอัตโนมัติ สิทธิในการคัดค้านการประมวลผลข้อมูล สิทธิขอให้ลบทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนบุคคลที่เป็นเจ้าของข้อมูลได้
อย่างการใช้สิทธิของลูกค้าของสำนักงานบัญชีซึ่งเป็นเจ้าของข้อมูล ได้แก่ สิทธิในการขอลบข้อมูลเมื่องานเสร็จสิ้นแล้ว หรือสิทธิในการขอลบข้อมูลหลังจากสำนักงานบัญชีนำข้อมูลไปใช้ทางการตลาด ดังนั้นสำนักงานบัญชีจึงควรดำเนินการขอคำยินยอมจากเจ้าของข้อมูลให้เรียบร้อยเมื่อคาดว่าจะมีรายการในลักษณะนี้เกิดขึ้น มิฉะนั้นสำนักงานบัญชีจะต้องดำเนินการลบข้อมูลให้เสร็จสิ้นภายใน 30 วัน นับแต่วันที่ได้รับแจ้ง
5. หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล
ผู้ควบคุมข้อมูลส่วนบุคคล หมายถึง บุคคลและนิติบุคคลที่มีอำนาจหน้าที่ในการตัดสินใจในการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ภาคธุรกิจที่ทำบัญชีจึงอยู่ในฐานะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล และตาม PDPA ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่
1. แจ้งการประมวลผลข้อมูลส่วนบุคคลให้ชัดเจน เพื่อให้เจ้าของข้อมูลส่วนบุคคลทราบ
2. จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม โดยจัดให้มีระบบการตรวจสอบเพื่อให้มีการลบหรือทำลาย เมื่อพ้นระยะเวลาการเก็บรักษาหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูล
3. แจ้งเหตุเมื่อเกิดการละเมิดข้อมูลส่วนบุคคล
กรณีของสำนักงานบัญชีควรระวังเหตุการณ์ เช่น การส่งอีเมลผิด การเข้าถึงอีเมลโดยบุคคลที่ไม่เกี่ยวข้อง โดยสำนักงานควรวางระบบการควบคุมภายในของกระบวนการต่างๆ ให้รัดกุมที่สำคัญ เช่นกระบวนการในการรับลูกค้า การจัดทำและการจัดเก็บสัญญา การจัดทำกระดาษทำการ การจัดเก็บเอกสารภายหลังจากงานเสร็จสิ้นแล้ว การสื่อสารทางอีเมลหรือโดยช่องทางทางสาธารณะอื่นๆ การใช้ข้อมูลเพื่อการตลาด หรือการประมวลผลอื่นๆ ตลอดจนกระบวนการควบคุมระบบเทคโนโลยีสารสนเทศ เพื่อลดความเสี่ยงในการถูกลงโทษทางกฎหมายรวมทั้งผลกระทบต่อชื่อเสียงของสำนักงาน
6. บทลงโทษกรณีไม่ปฏิบัติตาม PDPA
บทกำหนดโทษกรณีไม่ปฏิบัติตามPDPA มีโทษทั้งทางแพ่งและอาญาและมีโทษรุนแรงถึงขั้นจำคุก โดยเฉพาะกรณีข้อมูลส่วนบุคคลอ่อนไหว ซึ่งมีการกำหนดบทลงโทษจำคุกกรรมการหรือผู้บริหารและมีบทกำหนดโทษทางปกครอง โดยการตัดสินของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพิ่มสูงสุดถึง 5 ล้านบาท ซึ่งถือเป็นบทลงโทษที่รุนแรง
ขั้นตอนการทำ PDPA สำหรับนักบัญชีผู้เก็บข้อมูล
1. จัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
- แต่งตั้งผู้คุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย PDPA
- DPO ต้องตรวจสอบการปฏิบัติตาม PDPA ในองค์กร
2. จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
- กำหนดแนวทางการจัดเก็บใช้ และเผยแพร่ข้อมูลในองค์กร
- ระบุวัตถุประสงค์และวิธีการจัดการข้อมูลส่วนบุคคลอย่างชัดเจน
3. สร้างประกาศความเป็นส่วนตัว (Privacy Notice)
- แจ้งเจ้าของข้อมูลว่ากำลังทำอะไรกับข้อมูลส่วนของพวกเขา
- ระบุวิธีการจัดเก็บข้อมูล และวิธีการรักษาข้อมูลให้ได้ทราบ
4. จัดทำข้อตกลงการประมวลข้อมูล (DPA)
- กำหนดขอบเขตและวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล
- ระบุมาตรการรักษาความปลอดภัยและความรับผิดชอบของผู้เกี่ยวข้อง
5. เตรียมแบบฟอร์มแจ้งการละเมิดข้อมูลส่วนบุคคล
- จัดทำฟอร์มที่มีรายละเอียดเกี่ยวกับเหตุละเมิด ผลกระทบ และมาตรการแก้ไข
- กำหนดขั้นตอนการแจ้งเหตุและการติดต่อ DPO
6. จัดทำบันทึกการประมวลผลข้อมูลส่วนบุคคล (RoPA)
- บันทึกกิจกรรมที่ข้อมูลมีการประมวลผลทั้งหมดในองค์กร
- ระบุวัตถุประสงค์ในการลผลประมวลข้อมูล
7. ขอความยินยอมในการใช้คุกกี้ (Cookies Consent)
- จัดทำระบบขอความยินยอมในการเก็บข้อมูลผ่านคุกกี้บนเว็บไซต์
- ให้ผู้ใช้สามารถเลือกยินยอมหรือปฏิเสธการใช้คุกกี้ได้
8. จัดทำระบบรองรับการใช้สิทธิของเจ้าของข้อมูล
- สร้างช่องทางให้เจ้าของข้อมูลสามารถใช้สิทธิตาม PDPA ได้สะดวก
- กำหนดขั้นตอนการดำเนินการเมื่อมีคำขอใช้สิทธิจากเจ้าของข้อมูล
9. พัฒนาระบบจัดการความยินยอม (Consent Management)
- สร้างกระบวนการขอความยินยอมและจัดเก็บข้อมูลจากเจ้าของ
- เจ้าของข้อมูลสามารถเลิกการตกลงยินยอมได้ตลอดเวลา
บทลงโทษที่ได้รับหากไม่ปฏิบัติตาม PDPA
บทลงโทษหากนำข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับความยินยอมมีดังนี้
1. โทษทางแพ่ง
การจ่ายค่าสินไหมทดแทนให้แก่เจ้าของข้อมูล ประกอบด้วย ค่าสินไหมทดแทนบวกค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า ของค่าเสียหายจริง
2. โทษทางปกครอง
2.1 ค่าปรับไม่เกิน 1 ล้านบาท มาจากโทษไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ ไม่จัดทำบันทึกรายการ ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของ DPO
2.2 ค่าปรับไม่เกิน 3 ล้านบาท มาจากโทษ เช่น เก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ไม่ได้แจ้งวัตถุประสงค์การใช้งานใหม่ เก็บข้อมูลเกินความจำเป็น ขอความยินยอมที่เป็นการหลอกลวงให้เข้าใจผิด ไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม ไม่แจ้งเหตุเมื่อมีการละเมิดข้อมูล โอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย2.3 ค่าปรับไม่เกิน 5 ล้านบาท มาจากโทษเก็บ รวบรวม ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย
3. โทษทางอาญา
3.1 การเปิดเผยข้อมูลส่วนบุคคลอ่อนไหวโดยไม่ได้รับความยินยอม
- ก. กรณีทำให้ผู้อื่นเกิดความเสียหาย มีโทษจำคุกไม่เกิน 6 เดือน หรือ ปรับไม่เกิน 5 แสนบาท
- ข. การแสวงหาผลประโยชน์ที่ไม่ควรได้ มีโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท
3.2 ผู้ที่รู้ข้อมูลนำไปเปิดเผยแก่ผู้อื่นหรือหาผลประโยชน์
- ก. มีโทษจำคุก 6 เดือน หรือปรับไม่เกิน 500,000 บาท
3.3 ถ้าผู้กระทำผิดเป็นนิติบุคคล กรรมการหรือผู้จัดการหรือผู้รับผิดชอบในการดำเนินงานต้องรับโทษด้วย
นักบัญชีมีบทบาทสำคัญอย่างมากต่อธุรกิจและช่วยให้องค์กรใช้ประโยชน์จากข้อมูลได้อย่างมหาศาล มีหน้าที่รับผิดชอบ และมีส่วนร่วมในการออกแบบและกำหนดโครงสร้างในการเก็บรวบรวมมาตรการการควบคุมภายในด้านข้อมูลขององค์กรให้เป็นไปตามมาตรฐานที่กฏหมายกำหนด นักบัญชีจึงมีส่วนสำคัญในการสร้างความสมดุลระหว่างประโยชน์ในการใช้ข้อมูลและต้นทุนในการดูแลรักษาข้อมูลขององค์กร จึงควรทำความเข้าใจและเตรียมพร้อมในการปฏิบัติตาม PDPA เพื่อช่วยลดความเสี่ยงต่างๆ ที่อาจจะเกิดขึ้นสำหรับบทลงโทษ ค่าปรับตลอดจนภาพลักษณ์และความเชื่อมั่นต่อผู้ประกอบวิชาชีพบัญชีรวมไปถึงองค์กรด้วย
ติดตามความรู้ทางบัญชี ภาษี ได้ที่ บทความ – PEAK Blog (peakaccount.com)
PEAK โปรแกรมบัญชีออนไลน์ ช่วยนักบัญชีจัดทำบัญชีได้อย่างมืออาชีพ ช่วยให้ธุรกิจก้าวไปสู่ความสำเร็จกับโปรแกรมบัญชี PEAK peakaccount.com
ทดลองใช้งานโปรแกรมบัญชี PEAK ฟรี! ครบทุกฟีเจอร์ นาน 30 วัน!
อ้างอิง:
PDPA คืออะไร ? – สรุป พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่ต้องรู้ (t-reg.co)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562, ดร.สุนทรีย์ ส่งเสริม,ธนาคารแห่งประเทศไทย
PDPAและนักบัญชี, วารุณี ปรีดานนท์
5 ข้อควรรู้เกี่ยวกับPDPA, TACHSAUCE
About Author
