18 August 2022

Update กฎหมาย PDPA เรื่องสำคัญในการจัดเก็บข้อมูลของนักบัญชี

ปัจจุบันการใช้งานผ่านระบบดิจิทัล ระบบเครือข่ายออนไลน์ เป็นส่วนหนึ่งของชีวิตประจำวันของเรา มีแพลตฟอร์มให้เลือกใช้งานมากมายและมีหลากหลายช่องทางในการติดต่อสื่อสาร โดยมีวัตถุประสงค์ที่แตกต่างกันไป โดยแต่ละช่องทางในการใช้งานจะมีการเก็บข้อมูลส่วนบุคคลของผู้ใช้งาน ได้แก่ ชื่อ นามสกุล อีเมล เบอร์โทรศัพท์ ที่อยู่ หรือข้อมูลส่วนตัวอื่นๆ เราจะรู้ได้อย่างไรว่าข้อมูลส่วนตัวที่ให้ไปนั้นจะถูกนำไปใช้ตามวัตถุประสงค์ที่เราต้องการจริงๆ โดยไม่นำข้อมูลส่วนตัวของเราไปใช้เพื่อผลประโยชน์อื่นใดนอกเหนือจากความยินยอมของเรา กฎหมาย PDPA ที่มีผลบังคับใช้ตั้งแต่ 1 มิถุนายน 2565 เป็นต้นไปนั้น จะเข้ามามีบทบาทในการคุ้มครองข้อมูลส่วนบุคคลและให้สิทธิที่ควรมีของเจ้าของข้อมูล

นักบัญชีเป็นวิชาชีพหนึ่งที่มีความเกี่ยวข้องกับข้อมูลต่างๆ เป็นอย่างมาก เพื่อเป็นการช่วยนักบัญชีในการปรับตัว รวมทั้งให้คำแนะนำแก่ทุกฝ่ายที่เกี่ยวข้องทั้งฝ่ายบริหารหรือลูกค้าของกิจการได้อย่างครบถ้วนถูกต้องและเป็นไปตามกฎหมายที่กำหนด บทความนี้จะช่วยสร้างความรู้ความเข้าใจแก่นักบัญชีและผู้ประกอบการในการเตรียมพร้อมจากการบังคับใช้กฎหมาย PDPA

PDPA คืออะไร

PDPA คือ พระราชบัญญัติคุ้มครองส่วนบุคคล พ.ศ.2562

PDPA ย่อมาจาก Personal Data Protection Act B.E.2562(2019) เป็นกฎหมายว่าด้วยการให้สิทธิกับเจ้าของข้อมูลส่วนบุคคล การสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต มีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคล ไม่ว่าข้อมูลนั้นจะอยู่ในรูปแบบของกระดาษหรือสื่ออิเล็กทรอนิกส์ เพื่อไม่ให้ข้อมูลถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งเจ้าของข้อมูลหรือถูกนำไปใช้โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลก่อน  โดยกฎหมาย PDPA ของไทย ได้ประกาศไว้ในราชกิจจานุเบกษา เมื่อวันที่ 27 พฤษภาคม 2562 ซึ่งได้เลื่อนมามีผลบังคับใช้ตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป 

ขอบเขตการบังคับใช้

1. ภายในราชอาณาจักร

บังคับใช้ในการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ภายในราชอาณาจักร

2. ภายนอกราชอาณาจักร

บังคับใช้ในกรณีผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกราชอาณาจักร ถ้ามีกิจกรรมดังต่อไปนี้

2.1 การเสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลซึ่งอยู่ภายในราชอาณาจักร ไม่ว่าจะมีการชำระเงินหรือไม่

2.2 การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลที่เกิดขึ้นภายในราชอาณาจักร

ประเภทของข้อมูลส่วนบุคคล

ตามกฎหมาย PDPA แยกประเภทข้อมูลส่วนบุคคลออกเป็น 2 ประเภทดังนี้

1. ข้อมูลส่วนบุคคลทั่วไป (Personal Data)

ตามมาตรา 6 ของ PDPA ข้อมูลส่วนบุคคลทั่วไป เป็นข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมข้อมูลของผู้ที่ถึงแก่กรรมไปแล้ว และไม่รวมข้อมูลของนิติบุคคล ข้อมูลส่วนบุคคลทั่วไป ได้แก่ 

  • ชื่อ นามสกุล
  • หมายเลขบัตรประชาชน หมายเลขหนังสือเดินทาง หมายเลขอนุญาตใบขับขี่
  • เบอร์โทรศัพท์ อีเมลส่วนตัว
  • ที่อยู่ปัจจุบัน
  • ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์
  • ข้อมูลระบุทรัพย์สินของบุคคล ได้แก่ ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน
  • ข้อมูลที่เชื่อมโยงไปหาบุคคล ได้แก่ วันเดือนปีเกิด สัญชาติ น้ำหนัก ส่วนสูง
  • ข้อมูลอื่นๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ ได้แก่ Username, Password, Cookies IP address, GPS location เป็นต้น

2. ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data)

เป็นข้อมูลส่วนบุคคลที่ต้องระมัดระวังเป็นพิเศษในการรวบรวมหรือประมวลผล โดยกฎหมายให้การคุ้มครองเข้มงวดกว่าข้อมูลส่วนบุคคลธรรมดา

  • เชื้อชาติ
  • เผ่าพันธุ์
  • ความคิดเห็นทางการเมือง
  • ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
  • พฤติกรรมทางเพศ
  • ประวัติอาชญากรรม
  • ข้อมูลสุขภาพ ความพิการ ข้อมูลสุขภาพจิต
  • ข้อมูลสหภาพแรงงาน
  • ข้อมูลพันธุกรรม
  • ข้อมูลชีวภาพ

ผู้เกี่ยวข้องกับข้อมูลส่วนบุคคล

1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)

หมายถึง ลูกค้า พนักงานรวมถึง Outsource ซึ่งเป็นบุคคลที่ข้อมูลบ่งชี้ไปถึง

2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

หมายถึง บุคคล บริษัท หรือนิติบุคคล องค์กรต่างๆ ที่มีอำนาจตัดสินใจว่าจะมีการประมวลผลข้อมูลส่วนบุคคลอะไรบ้าง ทำหน้าที่เสมือนเป็นผู้ดูแลระบบที่มีหน้าที่เก็บรวบรวมและนำข้อมูลส่วนบุคคลที่ได้รับการยินยอมจากเจ้าของข้อมูลแล้วไปใช้ ได้แก่ ธนาคารแห่งประเทศไทย บริษัท บัตรกดเงินสดจำกัด เป็นต้น 

3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

บุคคล บริษัท หรือนิติบุคคล องค์กรต่างๆ ที่ทำการประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่งหรือกระทำการในนามของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controlle) เท่านั้น ไม่สามารถตัดสินใจทำการประมวลผลข้อมูลด้วยตนเอง ได้แก่ Outsource ผู้รับจ้าง ไม่ใช่พนักงานหรือส่วนหนึ่งของหน่วยงาน/องค์กร/สถาบัน เช่น ร้านรับทำนามบัตร, ผู้ดูแลเพจร้านค้า, สำนักงานบัญชี, กิจการรับจัดการออเดอร์สินค้า เป็นต้น

แนวทางการเก็บข้อมูลส่วนบุคคลตามกฎหมาย PDPA

หน่วยงานที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งต้องปฏิบัติตามกฎหมาย PDPA

มีแนวทางที่สำคัญ 5 ประการที่ต้องปฏิบัติตามดังนี้

1. ห้ามเก็บข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล

2. เก็บข้อมูลส่วนบุคคลเท่าที่จำเป็น ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย

3. ต้องแจ้งวัตถุประสงค์ในการเก็บข้อมูลให้เจ้าของข้อมูลทราบ

4 .หากเปลี่ยนวัตถุประสงค์ต้องแจ้งให้เจ้าของข้อมูลทราบ

5. ห้ามเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่ข้อมูลโดยตรง


สิทธิที่เจ้าของข้อมูลสามารถมีต่อข้อมูลของตน

ในฐานะเจ้าของข้อมูลส่วนบุคคล ได้รับสิทธิต่อข้อมูลของตนดังต่อไปนี้

1. สิทธิในการได้รับแจ้ง

มาตรา 23 หมายถึง สิทธิที่เจ้าของข้อมูลควรทราบว่าผู้ควบคุมข้อมูล (Data Controller) เก็บข้อมูลของตนเพื่อไปทำอะไร เก็บนานแค่ไหน ส่งต่อให้ใครหรือไม่ และจะติดต่อผู้ควบคุมข้อมูลได้อย่างไร

2 .สิทธิในการเพิกถอนความยินยอม

มาตรา 19 หมายถึง สิทธิที่เจ้าของข้อมูลสามารถเพิกถอนความยินยอมในการเก็บข้อมูล โดยต้องสามารถใช้สิทธินี้โดยวิธีที่ง่าย (เช่นเดียวกับตอนที่ให้ความยินยอม) และทำเมื่อใดก็ได้

3. สิทธิในการเข้าถึงข้อมูลส่วนบุคคล

มาตรา 30 หมายถึง การที่เจ้าของมีสิทธิเข้าถึงและรับสำเนาข้อมูลที่เกี่ยวกับตนและมีสิทธิขอให้เปิดเผยการได้มาซึ่งข้อมูลที่ตน ไม่ได้ให้ความยินยอม โดยผู้ควบคุมข้อมูลจะต้องจัดเตรียมข้อมูลตามคำขอให้เจ้าของภายในไม่เกิน 30 วัน นับแต่วันที่ได้คำขอ

4. สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง

มาตรา 35 และ 36 หมายถึง สิทธิที่เจ้าของข้อมูลสามารถยื่นคำร้องขอแก้ไขข้อมูลของตนได้ เมื่อเห็นว่าข้อมูลไม่ถูกต้องหรือไม่สมบูรณ์ โดยผู้ควบคุมข้อมูลจะต้องแก้ไขตามที่เจ้าของร้องขอ หากผู้ควบคุมปฏิเสธจะต้องบันทึกเหตุผลการปฏิเสธนั้นไว้ด้วย

5 .สิทธิในการลบข้อมูลส่วนบุคคล

มาตรา 33 หมายถึง สิทธิที่เจ้าของสามารถขอให้ลบหรือทำลายข้อมูลของตนได้ เมื่อข้อมูลนั้นไม่จำเป็นต้องใช้ตามวัตถุประสงค์อีกต่อไป เมื่อเจ้าของถอนความยินยอม หรือเมื่อข้อมูลถูกนำไปใช้อย่างผิดกฎหมาย

6. สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล 

มาตรา 32  หมายถึง เจ้าของข้อมูลสามารถคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เมื่อไหร่ก็ได้ รวมถึงสามารถทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ ยกเว้นมีเหตุอันควรทางกฎหมายที่สำคัญจริงๆ เท่านั้น

7. สิทธิในการได้รับและโอนถ่ายข้อมูล 

มาตรา 31  หมายถึง ในกรณีที่เจ้าของข้อมูลต้องการนำข้อมูลที่เคยให้ไว้กับผู้ควบคุมข้อมูลรายหนึ่ง ไปใช้กับผู้ควบคุมข้อมูลอีกราย เช่น ผู้ควบคุมข้อมูลส่วนบุคคลรายแรกได้ทำจัดทำข้อมูลส่วนบุคคลของเราไปในอยู่ในรูปแบบต่างๆ ที่เข้าถึงได้ด้วยวิธีการอัตโนมัติ เจ้าของข้อมูลสามารถขอให้ผู้ควบคุมข้อมูลส่วนบุคคลที่จัดทำข้อมูลนั้น ทำการส่งหรือโอนข้อมูลดังกล่าวให้ได้ หรือจะขอให้ส่งไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่นโดยตรงก็สามารถทำได้ หากไม่ติดขัดทางวิธีการและเทคนิค โดยการใช้สิทธินั้นต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิเสรีภาพของบุคคลอื่น

8. สิทธิในการขอระงับการใช้ข้อมูล 

มาตรา 34 เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคล ไม่ว่าจะในกรณีที่เกิดการเปลี่ยนใจไม่ต้องการให้ข้อมูลแล้ว หรือเปลี่ยนใจระงับการทำลายข้อมูลเมื่อครบกำหนดที่ต้องทำลาย เพราะมีความจำเป็นต้องนำข้อมูลไปใช้ในทางกฎหมาย หรือการเรียกร้องสิทธิ ก็สามารถทำได้

บทลงโทษที่ได้รับหากไม่ปฏิบัติตามPDPA

บทลงโทษหากนำข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับความยินยอมมีดังนี้

1. โทษทางแพ่ง

การจ่ายค่าสินไหมทดแทนให้แก่เจ้าของข้อมูล ประกอบด้วย ค่าสินไหมทดแทนบวกค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า ของค่าเสียหายจริง

2. โทษทางปกครอง

2.1 ค่าปรับไม่เกิน 1 ล้านบาท มาจากโทษไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ ไม่จัดทำบันทึกรายการ ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของ DPO

2.2 ค่าปรับไม่เกิน 3 ล้านบาท มาจากโทษ เช่น เก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ไม่ได้แจ้งวัตถุประสงค์การใช้งานใหม่ เก็บข้อมูลเกินความจ าเป็น ขอความยินยอมที่เป็นการหลอกลวงให้เข้าใจผิด ไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม ไม่แจ้งเหตุเมื่อมีการละเมิดข้อมูล โอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย

2.3 ค่าปรับไม่เกิน 5 ล้านบาท มาจากโทษเก็บ รวบรวม ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย

3. โทษทางอาญา

3.1 การเปิดเผยข้อมูลส่วนบุคคลอ่อนไหวโดยไม่ได้รับความยินยอม

ก. กรณีทำให้ผู้อื่นเกิดความเสียหาย มีโทษจำคุกไม่เกิน 6 เดือน หรือ ปรับไม่เกิน 5 แสนบาท

ข. การแสวงหาผลประโยชน์ที่ไม่ควรได้ มีโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท

3.2 ผู้ที่รู้ข้อมูลนำไปเปิดเผยแก่ผู้อื่นหรือหาผลประโยชน์

ก. มีโทษจำคุก 6 เดือน หรือปรับไม่เกิน 500,000 บาท

3.3 ถ้าผู้กระทำผิดเป็นนิติบุคคล กรรมการหรือผู้จัดการหรือผู้รับผิดชอบในการดำเนินงานต้องรับโทษด้วย 

แนวทางการเก็บข้อมูลทางบัญชีที่ไม่ขัดต่อกฎหมาย PDPA

สำหรับแนวทางในการเก็บข้อมูลทางบัญชีที่ไม่ขัดต่อกฎหมาย PDPA มีดังนี้                                                                                                 

1. การจำแนกข้อมูลทางธุรกิจ                                                                                                                           

เมื่อกิจการได้รับข้อมูลผ่านเข้ามาในระบบงานต่างๆขององค์กร ควรจำแนกประเภทของข้อมูลตามเจ้าของข้อมูล ได้แก่ ข้อมูลลูกค้า ข้อมูลผู้จำหน่าย ข้อมูลพนักงาน โดยในการจัดประเภทของข้อมูลจะต้องพิจารณาให้ชัดเจนว่า ข้อมูลใดเป็นข้อมูลส่วนบุคคลตามที่ PDPA กำหนด ซึ่งต้องได้รับการปฏิบัติให้ถูกต้องตาม PDPA

2. กลไกการประมวลผลข้อมูล

การประมวลผลข้อมูลตามกฎหมาย PDPA หมายถึง การเก็บรวบรวม การใช้ การเผยแพร่ และการเก็บรักษาข้อมูลส่วนบุคคล ดังนั้น กิจกรรมทางธุรกิจ และการทำบัญชี ซึ่งต้องมีการเก็บข้อมูล บันทึก ข้อมูลใช้ในการทำงาน การเผยแพร่และการเก็บรักษา ซึ่งถ้าเกี่ยวข้องกับข้อมูลส่วนบุคคลจะถือเป็นการประมวลผลข้อมูลส่วนบุคคล ตามที่PDPA กำหนดทั้งหมด และนักบัญชีมีหน้าที่ต้องปฏิบัติตาม PDPA อย่างเหมาะสม

กิจการจะต้องมีกลไกในการกำกับดูแลรวมทั้งกระบวนการภายในที่มีความพร้อม ในการแสดงให้เห็นว่ากิจการสามารถปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้อย่างถูกต้อง รวมถึงการปรับปรุงกลไกและกระบวนการให้เป็นปัจจุบันและจัดให้มีการอบรมบุคลากรให้มีความเข้าใจเรื่องพ.ร.บ. ข้อมูลส่วนบุคคลและปฏิบัติได้อย่างถูกต้อง

3. ฐานของการประมวลผลข้อมูล

การประมวลผลให้ถูกต้องตาม PDPA มีฐานของการประมวลผลข้อมูล ได้แก่ ฐานกฎหมาย ฐานสัญญา ฐานภารกิจเพื่อประโยชน์สาธารณะเพื่ออำนาจรัฐ ฐานประโยชน์อันชอบธรรมด้วยกฎหมาย ฐานจดหมายเหตุ การวิจัยและสถิติ ฐานความยินยอม ดังนั้นการประมวลผลข้อมูลไม่ได้อยู่บนฐานความยินยอมเสมอไป การที่เจ้าของข้อมูลเมื่อให้ความยินยอมได้ เจ้าของข้อมูลก็สามารถถอนความยินยอมได้เช่นกัน

สำหรับการจัดทำบัญชี เพื่อเป็นการดำเนินการให้สอดคล้องกับพระราชบัญญัติการบัญชีและประมวลรัษฎากร หรือการให้บริการตามสัญญาที่ภาคธุรกิจมีสำหรับเจ้าของข้อมูลส่วนบุคคลแต่ละกลุ่ม ในการประมวลผลข้อมูลส่วนบุคคลสำหรับการทำบัญชีจึงอยู่ภายใต้ฐานกฎหมายและฐานสัญญาที่มีอยู่เดิมแล้ว กิจการจึงมีหน้าที่ในการประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) เท่านั้น โดยไม่ต้องขอความยินยอมอีก การกำหนดฐานในการประมวลผลข้อมูลที่เหมาะสมย่อมทำให้ระบบการทำงานเกิดความ มีประสิทธิภาพและช่วยองค์กรลดต้นทุนที่ไม่จำเป็น    

4. สิทธิของเจ้าของข้อมูล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิภายใต้ PDPA ได้แก่ สิทธิในการขอเข้าถึงและขอรับสำเนาข้อมูล  ส่วนบุคคลของตน ซึ่งอยู่ในความ รับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล สิทธิในการขอให้เปิดเผยซึ่งการได้มาของข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม สิทธิในการขอเคลื่อนย้ายข้อมูลส่วนบุคคลของตนในกรณีที่ข้อมูลได้รับการจัดเก็บในรูปแบบที่โอนได้โดยอัตโนมัติ สิทธิในการคัดค้านการประมวลผลข้อมูล สิทธิขอให้ลบทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนบุคคลที่เป็นเจ้าของข้อมูลได้ 

อย่างการใช้สิทธิของลูกค้าของสำนักงานบัญชีซึ่งเป็นเจ้าของข้อมูล ได้แก่ สิทธิในการขอลบข้อมูลเมื่องานเสร็จสิ้นแล้ว หรือสิทธิในการขอลบข้อมูลหลังจากสำนักงานบัญชีนำข้อมูลไปใช้ทางการตลาด ดังนั้นสำนักงานบัญชีจึงควรดำเนินการขอคำยินยอมจากเจ้าของข้อมูลให้เรียบร้อยเมื่อคาดว่าจะมีรายการในลักษณะนี้เกิดขึ้น มิฉะนั้นสำนักงานบัญชีจะต้องดำเนินการลบข้อมูลให้เสร็จสิ้นภายใน 30 วัน นับแต่วันที่ได้รับแจ้ง

5. หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล

ผู้ควบคุมข้อมูลส่วนบุคคล หมายถึง บุคคลและนิติบุคคลที่มีอำนาจหน้าที่ในการตัดสินใจในการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ภาคธุรกิจที่ทำบัญชีจึงอยู่ในฐานะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล และตาม PDPA  ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ 

1.  แจ้งการประมวลผลข้อมูลส่วนบุคคลให้ชัดเจน เพื่อให้เจ้าของข้อมูลส่วนบุคคลทราบ

2.  จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม โดยจัดให้มีระบบการตรวจสอบเพื่อให้มีการลบหรือทำลาย เมื่อพ้นระยะเวลาการเก็บรักษาหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูล

3.  แจ้งเหตุเมื่อเกิดการละเมิดข้อมูลส่วนบุคคล

กรณีของสำนักงานบัญชีควรระวังเหตุการณ์ เช่น การส่งอีเมลผิด การเข้าถึงอีเมลโดยบุคคลที่ไม่เกี่ยวข้อง โดยสำนักงานควรวางระบบการควบคุมภายในของกระบวนการต่างๆ ให้รัดกุมที่สำคัญ เช่นกระบวนการในการรับลูกค้า การจัดทำและการจัดเก็บสัญญา การจัดทำกระดาษทำการ การจัดเก็บเอกสารภายหลังจากงานเสร็จสิ้นแล้ว การสื่อสารทางอีเมลหรือโดยช่องทางทางสาธารณะอื่นๆ การใช้ข้อมูลเพื่อการตลาด หรือการประมวลผลอื่นๆ ตลอดจนกระบวนการควบคุมระบบเทคโนโลยีสารสนเทศ เพื่อลดความเสี่ยงในการถูกลงโทษทางกฎหมายรวมทั้งผลกระทบต่อชื่อเสียงของสำนักงาน

6. บทลงโทษกรณีไม่ปฏิบัติตาม PDPA

บทกำหนดโทษกรณีไม่ปฏิบัติตามPDPA มีโทษทั้งทางแพ่งและอาญาและมีโทษรุนแรงถึงขั้นจำคุก โดยเฉพาะกรณีข้อมูลส่วนบุคคลอ่อนไหว ซึ่งมีการกำหนดบทลงโทษจำคุกกรรมการหรือผู้บริหารและมีบทกำหนดโทษทางปกครอง โดยการตัดสินของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพิ่มสูงสุดถึง 5 ล้านบาท ซึ่งถือเป็นบทลงโทษที่รุนแรง

นักบัญชีมีบทบาทสำคัญอย่างมากต่อธุรกิจและช่วยให้องค์กรใช้ประโยชน์จากข้อมูลได้อย่างมหาศาล  มีหน้าที่รับผิดชอบ และมีส่วนร่วมในการออกแบบและกำหนดโครงสร้างในการเก็บรวบรวมมาตรการการควบคุมภายในด้านข้อมูลขององค์กรให้เป็นไปตามมาตรฐานที่กฏหมายกำหนด นักบัญชีจึงมีส่วนสำคัญในการสร้างความสมดุลระหว่างประโยชน์ในการใช้ข้อมูลและต้นทุนในการดูแลรักษาข้อมูลขององค์กร จึงควรทำความเข้าใจและเตรียมพร้อมในการปฏิบัติตาม PDPA เพื่อช่วยลดความเสี่ยงต่างๆ ที่อาจจะเกิดขึ้นสำหรับบทลงโทษ ค่าปรับตลอดจนภาพลักษณ์และความเชื่อมั่นต่อผู้ประกอบวิชาชีพบัญชีรวมไปถึงองค์กรด้วย

ติดตามความรู้ทางบัญชี ภาษี ได้ที่ บทความ – PEAK Blog (peakaccount.com)

PEAK โปรแกรมบัญชีออนไลน์ ช่วยนักบัญชีจัดทำบัญชีได้อย่างมืออาชีพ ช่วยให้ธุรกิจก้าวไปสู่ความสำเร็จกับโปรแกรมบัญชี PEAK peakaccount.com 

ทดลองใช้งานโปรแกรมบัญชี PEAK ฟรี! ครบทุกฟีเจอร์ นาน 30 วัน!

คลิก https://peakaccount.com

อ้างอิง:

PDPA คืออะไร ? – สรุป พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่ต้องรู้ (t-reg.co)

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562, ดร.สุนทรีย์ ส่งเสริม,ธนาคารแห่งประเทศไทย

PDPAและนักบัญชี, วารุณี ปรีดานนท์ 

5 ข้อควรรู้เกี่ยวกับPDPA, TACHSAUCE

https://www.bot.or.th/Thai/PaymentSystems/PSA_Oversight/20210224%20%20PDPA%20%20Nonbank/%E0%B8%9E%E0%B8%A3%E0%B9%89%E0%B8%AD%E0%B8%A1%E0%B8%A3%E0%B8%B9%E0%B9%89%20PDPA_%E0%B8%94%E0%B8%A3.%E0%B8%AA%E0%B8%B8%E0%B8%99%E0%B8%97%E0%B8%A3%E0%B8%B5%E0%B8%A2%E0%B9%8C_24%E0%B8%81.%E0%B8%9E.64.pdf