พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) มีผลบังคับใช้อย่างเต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565 กฎหมายนี้ไม่ได้กระทบเฉพาะฝ่าย IT หรือฝ่ายการตลาดเท่านั้น แผนกบัญชีและการเงินเป็นหน่วยงานที่สัมผัสข้อมูลส่วนบุคคลของลูกค้า พนักงาน และคู่ค้าในปริมาณสูงทุกวัน ทั้งในรูปแบบเอกสารกระดาษและระบบดิจิทัล SME ที่ยังไม่ได้วางระบบรองรับ PDPA อย่างถูกต้องมีความเสี่ยงถูกโทษปรับทางปกครองสูงสุดถึง 5 ล้านบาท และโทษทางอาญาได้อีกด้วย (ข้อมูล ณ ปี 2569)
ข้อมูลส่วนบุคคลในแผนกบัญชีและการเงินมีอะไรบ้าง
หลายธุรกิจมองข้ามว่าเอกสารทางบัญชีคือแหล่งรวมข้อมูลส่วนบุคคลที่ต้องได้รับความคุ้มครองตาม PDPA ข้อมูลส่วนบุคคลที่พบประจำในแผนกบัญชีและการเงิน ได้แก่:
- เอกสารลูกค้า: ชื่อ-นามสกุล ที่อยู่ และเลขประจำตัวผู้เสียภาษี (Tax ID) ที่ปรากฏในใบแจ้งหนี้ (Invoice) ใบเสร็จรับเงิน และใบกำกับภาษี
- เอกสารพนักงาน: สลิปเงินเดือน สัญญาจ้างงาน แบบฟอร์มหัก ณ ที่จ่าย (ภ.ง.ด.1) และข้อมูลบัญชีธนาคารสำหรับโอนเงินเดือน
- เอกสารคู่ค้า: ชื่อกรรมการหรือผู้ติดต่อที่ระบุในสัญญา ใบสั่งซื้อ และหนังสือรับรองหัก ณ ที่จ่าย (50 ทวิ)
- ข้อมูลในระบบบัญชี: บันทึกรายการทางการเงินที่ผูกกับข้อมูลบุคคล เช่น ทะเบียนลูกหนี้ ทะเบียนเจ้าหนี้ และรายการโอนเงิน
ข้อมูลเหล่านี้ล้วนเข้านิยาม "ข้อมูลส่วนบุคคล" ตามมาตรา 6 ของ PDPA และอยู่ภายใต้หน้าที่ของผู้ควบคุมข้อมูล (Data Controller) ทั้งสิ้น
หน้าที่หลักของแผนกบัญชีในฐานะผู้ควบคุมข้อมูล
เมื่อแผนกบัญชีเก็บรวบรวมหรือประมวลผลข้อมูลส่วนบุคคล บริษัทในฐานะผู้ควบคุมข้อมูลมีภาระหน้าที่สำคัญ 4 ประการ:
1. กำหนดฐานทางกฎหมาย (Legal Basis) ให้ชัดเจน
การประมวลผลข้อมูลส่วนบุคคลทุกครั้งต้องมีฐานทางกฎหมายรองรับ สำหรับแผนกบัญชี ฐานที่ใช้บ่อยที่สุดคือ การปฏิบัติตามสัญญา (เช่น ออกใบแจ้งหนี้ให้ลูกค้า) และ การปฏิบัติตามกฎหมาย (เช่น จัดทำเอกสารภาษีตามประมวลรัษฎากร หักภาษี ณ ที่จ่าย และนำส่งสรรพากร) ฐานสองประการนี้ไม่จำเป็นต้องขอความยินยอม (Consent) เพิ่มเติมจากเจ้าของข้อมูล แต่ต้องแจ้งให้ทราบผ่าน Privacy Notice
2. จัดทำ Privacy Notice และแจ้งเจ้าของข้อมูล
ก่อนหรือขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล บริษัทต้องแจ้งเจ้าของข้อมูลให้ทราบถึงวัตถุประสงค์ในการใช้ข้อมูล ระยะเวลาจัดเก็บ และสิทธิของเจ้าของข้อมูล Privacy Notice สำหรับลูกค้าสามารถแนบไว้ในสัญญาซื้อขาย หรือระบุในใบแจ้งหนี้/ใบเสร็จอิเล็กทรอนิกส์ สำหรับพนักงานควรรวมอยู่ในสัญญาจ้างงานหรือคู่มือพนักงาน
3. จัดทำบันทึกกิจกรรมการประมวลผล (ROPA)
กฎหมาย PDPA กำหนดให้ผู้ควบคุมข้อมูลต้องจัดทำและรักษา Record of Processing Activities (ROPA) ซึ่งระบุว่าบริษัทเก็บข้อมูลส่วนบุคคลประเภทใดบ้าง เพื่อวัตถุประสงค์ใด นานเท่าใด และใครมีสิทธิ์เข้าถึง สำหรับแผนกบัญชี ROPA ควรครอบคลุมอย่างน้อย: ข้อมูลลูกค้าในระบบออกใบแจ้งหนี้ ข้อมูลพนักงานในระบบเงินเดือน และข้อมูลคู่ค้าในทะเบียนเจ้าหนี้
4. กำหนดระยะเวลาเก็บรักษาและทำลายข้อมูล
เอกสารบัญชีที่มีข้อมูลส่วนบุคคลต้องจัดเก็บตามระยะเวลาที่กฎหมายที่เกี่ยวข้องกำหนด ได้แก่ ประมวลรัษฎากร พระราชบัญญัติการบัญชี และกฎหมายแรงงาน เมื่อพ้นระยะเวลาดังกล่าวแล้ว ต้องทำลายหรือลบข้อมูลอย่างปลอดภัย (Secure Deletion) ไม่ใช่แค่ลบไฟล์ออกจากถังขยะ หากเป็นเอกสารกระดาษต้องทำลายด้วยเครื่องย่อยเอกสาร การเก็บข้อมูลเกินความจำเป็นถือเป็นการละเมิด PDPA
มาตรการรักษาความปลอดภัยข้อมูลที่แผนกบัญชีต้องทำ
PDPA กำหนดให้ผู้ควบคุมข้อมูลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม สำหรับแผนกบัญชีและการเงิน มาตรการที่ควรดำเนินการโดยเร็ว ได้แก่:
- ควบคุมการเข้าถึง (Access Control): กำหนดสิทธิ์ผู้ใช้งานในโปรแกรมบัญชีให้ตรงกับหน้าที่จริง เช่น พนักงานบัญชีทั่วไปไม่ควรเข้าถึงข้อมูลเงินเดือนผู้บริหาร
- รหัสผ่านและการยืนยันตัวตน: ตั้งรหัสผ่านที่แข็งแกร่งสำหรับโปรแกรมบัญชีและระบบอีเมลที่ใช้รับส่งเอกสารทางการเงิน และเปิดใช้งาน Two-Factor Authentication (2FA) ทุกที่ที่ทำได้
- การส่งเอกสารอย่างปลอดภัย: หลีกเลี่ยงการส่งไฟล์ที่มีข้อมูลส่วนบุคคล เช่น สลิปเงินเดือน ผ่านอีเมลทั่วไปโดยไม่มีการเข้ารหัส พิจารณาใช้ระบบพอร์ทัลพนักงานหรือการส่ง PDF ที่ตั้งรหัสป้องกัน
- สำรองข้อมูลอย่างปลอดภัย: ข้อมูลสำรอง (Backup) ของระบบบัญชีต้องได้รับการปกป้องในระดับเดียวกับข้อมูลต้นฉบับ และจัดเก็บในสถานที่ที่ควบคุมการเข้าถึงได้
- ทำลายเอกสารอย่างถูกต้อง: เอกสารที่ไม่ใช้แล้วซึ่งมีข้อมูลลูกค้าหรือพนักงาน ต้องย่อยทำลายไม่ใช่ทิ้งถังขยะทั่วไป
การแจ้งเหตุละเมิดข้อมูล: 72 ชั่วโมงที่สำคัญ
หากเกิดเหตุการณ์ที่ข้อมูลส่วนบุคคลรั่วไหล สูญหาย หรือถูกเข้าถึงโดยไม่ได้รับอนุญาต เช่น แล็ปท็อปของพนักงานบัญชีถูกขโมยหรือถูกไวรัสเรียกค่าไถ่ (Ransomware) โจมตี บริษัทต้องแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ภายใน 72 ชั่วโมง นับแต่รู้เหตุ หากการละเมิดนั้นมีความเสี่ยงที่จะก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของเจ้าของข้อมูล ต้องแจ้งต่อเจ้าของข้อมูลด้วยโดยเร็วที่สุด การไม่แจ้งภายในกรอบเวลาดังกล่าวถือเป็นความผิดอีกประการหนึ่งที่อาจนำไปสู่โทษปรับทางปกครอง
บทลงโทษที่ SME ต้องตระหนัก
กฎหมาย PDPA กำหนดบทลงโทษไว้ 3 ช่องทาง ซึ่ง SME ควรทำความเข้าใจก่อนตัดสินใจว่าจะลงทุนวางระบบหรือไม่:
- โทษทางปกครอง: ปรับสูงสุดไม่เกิน 5,000,000 บาท ต่อกรณีละเมิด คณะกรรมการอาจออกคำเตือนหรือคำสั่งให้แก้ไขก่อน แต่กรณีร้ายแรงอาจลงโทษปรับทันที
- โทษทางอาญา: กรณีแสวงหาประโยชน์โดยมิชอบจากข้อมูลส่วนบุคคลหรือเปิดเผยข้อมูลโดยเจตนา มีโทษจำคุกสูงสุดไม่เกิน 1 ปี และ/หรือปรับสูงสุดไม่เกิน 1,000,000 บาท
- โทษทางแพ่ง: เจ้าของข้อมูลที่ได้รับความเสียหายมีสิทธิฟ้องเรียกค่าเสียหายได้ และศาลมีอำนาจกำหนดค่าเสียหายเพิ่มเติมได้สูงสุดไม่เกิน 2 เท่าของความเสียหายที่แท้จริง อายุความ 3 ปีนับแต่รู้ถึงความเสียหาย หรือ 10 ปีนับแต่วันที่มีการละเมิด
ข้อมูลบทลงโทษข้างต้นอ้างอิงตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ผู้ประกอบการควรติดตามแนวปฏิบัติที่ PDPC ออกเพิ่มเติมอย่างต่อเนื่อง
จุดตัดระหว่าง PDPA กับภาระหน้าที่ทางภาษี
แผนกบัญชีมักเผชิญกับความท้าทายในการสมดุลระหว่างกฎหมาย PDPA และประมวลรัษฎากร เนื่องจากกรมสรรพากรกำหนดให้เก็บรักษาเอกสารทางบัญชีที่มีข้อมูลส่วนบุคคล (เช่น ใบกำกับภาษี สัญญา หนังสือ 50 ทวิ) ไว้เพื่อวัตถุประสงค์ทางภาษี หลักการที่ใช้แก้ปัญหานี้คือ:
- การจัดเก็บเอกสารบัญชีตามระยะเวลาที่กฎหมายภาษีกำหนดถือว่ามีฐานทางกฎหมายรองรับตาม PDPA ในส่วนของ "การปฏิบัติตามกฎหมาย" โดยไม่ต้องขอความยินยอมแยกต่างหาก
- เมื่อพ้นระยะเวลาที่กฎหมายภาษีกำหนดแล้ว ไม่มีเหตุให้เก็บข้อมูลต่อไป ต้องทำลายตาม PDPA
- การส่งข้อมูลภาษีให้กรมสรรพากร เช่น ยื่นแบบหัก ณ ที่จ่าย หรือข้อมูลผู้ถือหุ้น ถือเป็นการปฏิบัติตามหน้าที่ตามกฎหมาย ไม่จำเป็นต้องขอความยินยอมจากบุคคลที่เกี่ยวข้อง
เช็กลิสต์ PDPA สำหรับแผนกบัญชีและการเงิน SME
ใช้รายการตรวจสอบต่อไปนี้เพื่อประเมินความพร้อมของบริษัทคุณในการปฏิบัติตาม PDPA ในส่วนที่เกี่ยวข้องกับงานบัญชีและการเงิน:
ด้านเอกสารและนโยบาย
- มี Privacy Notice สำหรับลูกค้าที่ระบุวัตถุประสงค์การใช้ข้อมูลในใบแจ้งหนี้และสัญญา
- สัญญาจ้างงานหรือคู่มือพนักงานมีข้อความแจ้งการเก็บและใช้ข้อมูลส่วนบุคคล
- จัดทำ ROPA ครอบคลุมกิจกรรมการประมวลผลข้อมูลของแผนกบัญชี
- กำหนดนโยบายการทำลายเอกสารที่มีข้อมูลส่วนบุคคลเป็นลายลักษณ์อักษร
ด้านระบบและความปลอดภัย
- โปรแกรมบัญชีตั้งสิทธิ์การเข้าถึงตามบทบาทหน้าที่ (Role-Based Access)
- มีระบบสำรองข้อมูลที่ปลอดภัยและทดสอบการกู้คืนข้อมูลสม่ำเสมอ
- สลิปเงินเดือนส่งถึงพนักงานแต่ละคนเป็นรายบุคคล ไม่ใช่ส่งอีเมลกลุ่ม
- มีแผนรับมือเหตุข้อมูลรั่วไหล (Incident Response Plan) และรู้ขั้นตอนการแจ้ง PDPC ภายใน 72 ชั่วโมง
ข้อผิดพลาดที่พบบ่อยในแผนกบัญชี SME
- ส่งใบแจ้งหนี้หรือรายงานทางการเงินผ่าน Line กลุ่มที่มีบุคคลภายนอกร่วมอยู่ด้วย
- เก็บสำเนาบัตรประชาชนของลูกค้าหรือพนักงานโดยไม่ทราบว่าต้องแจ้งวัตถุประสงค์และระยะเวลาเก็บ
- ทิ้งเอกสารบัญชีเก่าที่มีชื่อลูกค้าและข้อมูลการเงินโดยไม่ทำลายก่อน
- ให้พนักงานทุกคนเข้าถึงข้อมูลเงินเดือนของกันและกันในโปรแกรมบัญชีเดียวกัน
- ไม่มีขั้นตอนรับมือเมื่อพนักงานออกจากงานและยังมีสิทธิ์เข้าถึงระบบบัญชีอยู่
แหล่งอ้างอิงและเอกสารกฎหมายที่ใช้ทบทวน
- สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC): แนวปฏิบัติและประกาศที่เกี่ยวข้อง
- กรมสรรพากร: ระยะเวลาจัดเก็บเอกสารและหน้าที่ตามประมวลรัษฎากร
- สภาวิชาชีพบัญชี: มาตรฐานการรักษาความลับและจรรยาบรรณวิชาชีพบัญชี
คำถามที่พบบ่อย (FAQ) เกี่ยวกับ การปฏิบัติตามกฎหมาย PDPA ในแผนกบัญชีและการเงิน
SME ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ตาม PDPA หรือไม่?
ไม่เสมอไป กฎหมาย PDPA กำหนดให้แต่งตั้ง DPO เฉพาะในกรณีที่ผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลเป็นหน่วยงานของรัฐ หรือมีการประมวลผลข้อมูลในปริมาณมากเป็นกิจกรรมหลัก หรือประมวลผลข้อมูลที่มีความละเอียดอ่อน อย่างไรก็ตาม SME ทุกรายที่เก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้า พนักงาน หรือคู่ค้า ยังคงต้องปฏิบัติตามหน้าที่ทั้งหมดของผู้ควบคุมข้อมูลตามกฎหมาย PDPA รวมถึงการจัดทำ Privacy Notice และบันทึกกิจกรรมการประมวลผล (ROPA)
เอกสารบัญชีที่มีชื่อและข้อมูลลูกค้า เช่น ใบแจ้งหนี้และใบเสร็จรับเงิน ต้องปฏิบัติตาม PDPA อย่างไร?
ใบแจ้งหนี้และใบเสร็จรับเงินที่ระบุชื่อ-ที่อยู่ลูกค้าถือเป็นข้อมูลส่วนบุคคลตามนิยามของ PDPA ธุรกิจต้องกำหนดวัตถุประสงค์การจัดเก็บที่ชัดเจน (เช่น เพื่อการปฏิบัติตามสัญญาและภาระทางภาษี) จัดทำ Privacy Notice แจ้งเจ้าของข้อมูล จำกัดการเข้าถึงเฉพาะบุคลากรที่เกี่ยวข้อง และกำหนดระยะเวลาเก็บรักษาให้สอดคล้องกับอายุความทางกฎหมายและภาษี (โดยทั่วไปไม่น้อยกว่า 5 ปีตามประมวลรัษฎากร) เมื่อพ้นระยะเวลานั้นต้องทำลายหรือลบข้อมูลอย่างปลอดภัย