เทคโนโลยีกฎหมาย

PDPA และข้อมูลลูกค้า: สิ่งที่สำนักงานบัญชีและกฎหมายในไทยต้องทำให้ถูกต้อง

12 พฤษภาคม 2569 | 8 นาที

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของไทยมีผลบังคับใช้อย่างเต็มรูปแบบตั้งแต่เดือนมิถุนายน 2565 สำนักงานวิชาชีพส่วนใหญ่ในปัจจุบันมีประกาศความเป็นส่วนตัวบนเว็บไซต์และช่องทำเครื่องหมายยินยอมในแบบฟอร์มรับลูกค้า แต่การมีเอกสารเหล่านี้ไม่ใช่การปฏิบัติตามกฎหมาย — และสำหรับสำนักงานที่จัดการข้อมูลลูกค้าที่ละเอียดอ่อนผ่านเครื่องมือที่แยกจากกันสี่หรือห้าตัว ช่องว่างระหว่างการมีเอกสารและการจัดการข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดนั้นกว้างกว่าที่หัวหน้าสำนักงานส่วนใหญ่ตระหนัก

บทความนี้ครอบคลุมพันธกรณีตาม PDPA ที่เกี่ยวข้องมากที่สุดสำหรับสำนักงานบัญชีและกฎหมาย จุดที่มีความเสี่ยงและความเปิดรับกระจุกตัวอยู่ที่ใด และลักษณะของการปฏิบัติตามกฎหมายที่สามารถป้องกันตัวได้ในทางปฏิบัติเป็นอย่างไร

PDPA ครอบคลุมมากกว่าที่คิด

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลครอบคลุมข้อมูลส่วนบุคคลทั้งหมดที่สำนักงานของคุณเก็บไว้เกี่ยวกับบุคคลธรรมดาที่ยังมีชีวิตอยู่ สำหรับสำนักงานวิชาชีพ ขอบเขตนี้กว้างขวาง ได้แก่ ชื่อลูกค้า บัตรประจำตัวประชาชน หมายเลขผู้เสียภาษี สถานะทางการเงิน รายละเอียดคดีหรืองาน เอกสารที่อัปโหลดเพื่อตรวจสอบ บันทึกการประชุม บันทึกใน CRM และบันทึกการเรียกเก็บเงิน ไม่มีข้อยกเว้นสำหรับสำนักงานวิชาชีพ และไม่มีขีดจำกัดขนาดที่จะทำให้สำนักงานได้รับการยกเว้น

ความแตกต่างที่สำคัญภายใต้ PDPA คือระหว่าง ผู้ควบคุมข้อมูล — สำนักงานที่กำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคล — และ ผู้ประมวลผลข้อมูล — ผู้ให้บริการหรือระบบที่ประมวลผลข้อมูลในนามของผู้ควบคุม สำนักงานของคุณคือผู้ควบคุมข้อมูลสำหรับข้อมูลของลูกค้า เครื่องมือทุกตัวที่ใช้จัดเก็บ ประมวลผล หรือส่งข้อมูลนั้นคือผู้ประมวลผลข้อมูล และความสัมพันธ์ต้องอยู่ภายใต้ข้อตกลงการประมวลผลข้อมูลที่เป็นลายลักษณ์อักษร

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) คือหน่วยงานบังคับใช้กฎหมาย และกำลังพัฒนาศักยภาพในการสืบสวนข้อร้องเรียนและบังคับใช้บทลงโทษเพิ่มขึ้นทุกปี

การขอความยินยอมเมื่อรับลูกค้าเป็นเพียงจุดเริ่มต้น

การขอความยินยอม ณ จุดรับลูกค้าเป็นจุดเริ่มต้นที่สำนักงานส่วนใหญ่ดำเนินการแล้ว ลูกค้ากรอกแบบฟอร์ม ยืนยันการรับทราบนโยบายความเป็นส่วนตัว และให้ความยินยอมในการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่ระบุไว้

ปัญหาเริ่มต้นหลังจากช่วงเวลานั้น ข้อมูลที่เก็บรวบรวมเมื่อรับลูกค้าไหลเข้าสู่ CRM ถูกอ้างอิงในบันทึกการประชุมที่จัดเก็บในเครื่องมือถอดความ เอกสารที่อัปโหลดเพื่อตรวจสอบอยู่ในโฟลเดอร์จัดเก็บข้อมูลบนคลาวด์ รายงานความคืบหน้าถูกร่างในเทมเพลต Word และส่งทางอีเมล แต่ละระบบเหล่านี้เก็บข้อมูลส่วนบุคคล แต่ละระบบดำเนินการภายใต้เงื่อนไขการให้บริการของตัวเอง ค่าเริ่มต้นการเก็บรักษาข้อมูลของตัวเอง และการตั้งค่าการควบคุมการเข้าถึงของตัวเอง ความยินยอมที่ได้รับเมื่อรับลูกค้าไม่ได้ควบคุมสิ่งที่เกิดขึ้นกับข้อมูลในระบบต่าง ๆ ถัดไปโดยอัตโนมัติ — หากกระบวนการภายในและข้อตกลงกับผู้ให้บริการไม่ได้สอดคล้องกันอย่างชัดเจน

PDPA กำหนดให้ประมวลผลข้อมูลส่วนบุคคลเฉพาะเพื่อวัตถุประสงค์ที่เก็บรวบรวมมา เฉพาะระยะเวลาที่จำเป็น และเฉพาะโดยฝ่ายที่มีฐานทางกฎหมายในการเข้าถึงเท่านั้น แบบฟอร์มความยินยอมเมื่อรับลูกค้าที่ตามด้วยการไหลของข้อมูลโดยไม่ควบคุมผ่านห้าระบบอิสระไม่ใช่กระบวนการที่ปฏิบัติตามกฎหมาย แต่เป็นเอกสารที่วางไว้หน้าช่องว่าง

สิทธิของเจ้าของข้อมูลยากกว่าที่ฟังดู

ภายใต้ PDPA ลูกค้าของคุณมีสิทธิที่มีความหมายเกี่ยวกับข้อมูลส่วนบุคคลของตน พวกเขาสามารถขอเข้าถึงข้อมูลส่วนบุคคลทั้งหมดที่สำนักงานของคุณเก็บเกี่ยวกับพวกเขาได้ สามารถขอแก้ไขข้อมูลที่ไม่ถูกต้อง ขอลบหรือจำกัดการประมวลผลเมื่อฐานทางกฎหมายไม่มีผลบังคับอีกต่อไป และขอความสามารถในการโอนย้ายข้อมูล — สำเนาข้อมูลในรูปแบบที่มีโครงสร้างและอ่านได้ด้วยเครื่อง

สำนักงานของคุณต้องตอบสนองต่อคำร้องขอเหล่านี้ภายใน 30 วัน และการตอบสนองต้องถูกต้อง — หากลูกค้าขอข้อมูลส่วนบุคคลทั้งหมดที่คุณเก็บและคุณพลาดระบบใดระบบหนึ่ง คุณยังคงอยู่ในสภาวะผิดกฎหมายแม้ว่าการละเว้นนั้นจะไม่ได้ตั้งใจ

ลองพิจารณากระบวนการตอบสนองนั้นในทางปฏิบัติสำหรับสำนักงานที่ใช้เครื่องมือแยกจากกันห้าตัว ต้องค้นหาบันทึกลูกค้าใน CRM จากนั้นตรวจสอบเครื่องมือแบบฟอร์มรับลูกค้าสำหรับการส่งแบบฟอร์มครั้งแรก จากนั้นค้นหาการบันทึกในเครื่องมือถอดความการประชุม จากนั้นค้นหาเอกสารที่อัปโหลดในพื้นที่จัดเก็บข้อมูล จากนั้นตรวจสอบอีเมลสำหรับสิ่งที่ไม่ได้บันทึกไว้ที่อื่น รวบรวมผลลัพธ์ ตรวจสอบว่าไม่มีอะไรถูกพลาด ตอบสนองภายในกรอบเวลา 30 วัน

นี่ไม่ใช่งานที่เป็นไปไม่ได้ แต่เป็นงานที่มีค่าใช้จ่ายสูงและมีโอกาสเกิดข้อผิดพลาด และเป็นงานที่จะเกิดขึ้นบ่อยขึ้นเมื่อความตระหนักเกี่ยวกับสิทธิของเจ้าของข้อมูลเติบโตในหมู่ลูกค้าและนักวิชาชีพชาวไทย

เครื่องมือบุคคลที่สามและความเสี่ยงจากผู้ให้บริการ

การใช้เครื่องมือ SaaS ระดับโลก — CRM ที่โฮสต์ในสหรัฐ บริการจัดเก็บข้อมูลบนคลาวด์ แพลตฟอร์มถอดความ — หมายความว่าทำการโอนย้ายข้อมูลข้ามพรมแดนทุกครั้งที่ซิงค์หรือจัดเก็บข้อมูลลูกค้า PDPA มีข้อกำหนดเฉพาะสำหรับการโอนย้ายข้ามพรมแดน ประเทศผู้รับต้องมีระดับการคุ้มครองที่เพียงพอ หรือต้องมีการป้องกันที่เหมาะสม (เช่น ข้อสัญญามาตรฐาน) หรือเจ้าของข้อมูลต้องให้ความยินยอมอย่างชัดแจ้งสำหรับการโอนย้าย

เครื่องมือระดับโลกส่วนใหญ่อาศัยข้อกำหนดการประมวลผลข้อมูลที่สอดคล้องกับ GDPR มากกว่าข้อตกลงเฉพาะ PDPA GDPR และ PDPA มีความคล้ายคลึงกันในโครงสร้าง แต่ไม่เหมือนกันในข้อกำหนด สำนักงานที่ลงนามในข้อกำหนดมาตรฐานของผู้ให้บริการและสันนิษฐานว่าสิ่งนี้ตรงตามข้อกำหนด PDPA อาจรับความเสี่ยงด้านการปฏิบัติตามกฎหมายมากกว่าที่ตระหนัก โดยเฉพาะอย่างยิ่งหากผู้ให้บริการไม่มีข้อตกลงเสริมการประมวลผลข้อมูลสำหรับไทย

สิ่งนี้ไม่ได้หมายความว่าเครื่องมือระดับนานาชาติทุกตัวใช้ไม่ได้ แต่หมายความว่าสำนักงานต้องเข้าใจว่าข้อมูลไปที่ใด บนฐานทางกฎหมายใด ภายใต้เงื่อนไขสัญญาใด — และต้องมีการบันทึกเอกสารนั้นไว้ PDPC คาดหวังให้ผู้ควบคุมข้อมูลสามารถแสดงท่าทีการปฏิบัติตามกฎหมาย ไม่ใช่แค่ยืนยัน

ความเสี่ยงด้านการบังคับใช้มีจริงและกำลังเพิ่มขึ้น

PDPA กำหนดโทษทางปกครองสูงสุด 5 ล้านบาทต่อการละเมิดหนึ่งครั้ง นอกจากนี้ยังสร้างความรับผิดทางอาญาสำหรับการเปิดเผยข้อมูลส่วนบุคคลโดยเจตนาโดยไม่ชอบด้วยกฎหมาย และที่สำคัญอย่างยิ่งสำหรับสำนักงานวิชาชีพ — เส้นทางความรับผิดทางแพ่งโดยตรง: ลูกค้าที่ได้รับความเสียหายจากการละเมิดข้อมูลส่วนบุคคลสามารถฟ้องผู้ควบคุมข้อมูลโดยตรงได้

สำหรับสำนักงานขนาดเล็ก มิติความรับผิดทางแพ่งและชื่อเสียงมักมีนัยสำคัญมากกว่าค่าปรับจากหน่วยงานกำกับ เหตุการณ์ข้อมูลที่เกี่ยวกับบันทึกการเงินหรือรายละเอียดคดีความของลูกค้าไม่ใช่เหตุการณ์ด้านการบริหารเป็นหลัก แต่เป็นเหตุการณ์ด้านความสัมพันธ์กับลูกค้าและชื่อเสียงในตลาด สำนักงานที่สามารถแสดงให้เห็นว่ามีระบบที่เหมาะสมอยู่แล้วอยู่ในตำแหน่งที่ดีกว่าสำนักงานที่ไม่สามารถแสดงได้อย่างมีนัยสำคัญ

ศักยภาพการบังคับใช้ของ PDPC กำลังพัฒนา ได้ออกคำวินิจฉัยเบื้องต้น พัฒนาแนวทางสำหรับภาคส่วนต่าง ๆ และกำลังสร้างโครงสร้างพื้นฐานองค์กรสำหรับการกำกับดูแลที่เป็นระบบมากขึ้น สำนักงานที่มองว่าการปฏิบัติตาม PDPA เป็นการจัดทำเอกสารครั้งเดียวมากกว่าการปฏิบัติต่อเนื่อง มีแนวโน้มที่จะพบว่าท่าทีนั้นยากที่จะปกป้องมากขึ้น

ลักษณะของการปฏิบัติตามกฎหมายที่ถูกต้อง

การปฏิบัติตาม PDPA ที่สามารถป้องกันได้สำหรับสำนักงานวิชาชีพประกอบด้วยองค์ประกอบเชิงปฏิบัติหลายอย่าง ไม่ใช่แค่เอกสาร:

การจัดการความยินยอมและฐานทางกฎหมาย ความยินยอมที่ได้รับเมื่อรับลูกค้าควรเฉพาะเจาะจง ได้รับทราบข้อมูล และเชื่อมโยงกับวัตถุประสงค์การประมวลผลที่กำหนดไว้ ในกรณีที่การประมวลผลอาศัยฐานทางกฎหมายอื่นนอกจากความยินยอม เช่น การปฏิบัติตามสัญญาหรือพันธกรณีทางกฎหมาย ควรบันทึกฐานนั้นสำหรับแต่ละประเภทข้อมูล

การลดปริมาณข้อมูลและการกำหนดระยะเวลาเก็บรักษา เก็บเฉพาะสิ่งที่จำเป็นสำหรับงาน กำหนดระยะเวลาการเก็บรักษาตามประเภทข้อมูล — ข้อมูลระบุตัวตนลูกค้า บันทึกการเงิน ไฟล์คดี — และมีกระบวนการสำหรับการลบหรือทำให้เป็นข้อมูลนิรนามเมื่อระยะเวลาเหล่านั้นสิ้นสุด

กระบวนการจัดการคำร้องขอสิทธิ์ กระบวนการภายในที่กำหนดไว้สำหรับจัดการคำร้องขอการเข้าถึง การแก้ไข การลบ และการโอนย้ายข้อมูล พร้อมระบบบันทึกที่มีอำนาจเดียวที่จะสืบค้น กรอบเวลาการตอบสนอง 30 วันทำให้กระบวนการค้นหาด้วยตนเองในหลายระบบเป็นความเสี่ยง

ทะเบียนการเปิดเผยให้บุคคลที่สาม รู้ว่าข้อมูลส่วนบุคคลไปที่ผู้ให้บริการใด บนฐานทางกฎหมายใด และข้อตกลงการประมวลผลข้อมูลอยู่ในที่หรือไม่ รวมถึงผู้ให้บริการจัดเก็บข้อมูลบนคลาวด์ แพลตฟอร์มอีเมล และเครื่องมือ AI ที่ใช้ประมวลผลเอกสารลูกค้า

แผนตอบสนองการละเมิด ภายใต้ PDPA การละเมิดข้อมูลส่วนบุคคลที่ก่อให้เกิดความเสี่ยงต่อเจ้าของข้อมูลต้องรายงานต่อ PDPC ภายใน 72 ชั่วโมงนับจากการค้นพบ การมีกระบวนการตอบสนองต่อเหตุการณ์ที่บันทึกไว้ไม่ใช่ทางเลือกสำหรับสำนักงานวิชาชีพที่อยู่ภายใต้กฎระเบียบ

ระบบเดียวจัดการได้ง่ายกว่าห้าระบบ

สำนักงานที่จัดการการปฏิบัติตาม PDPA ได้อย่างสะอาดที่สุดไม่ใช่สำนักงานที่มีนโยบายความเป็นส่วนตัวยาวที่สุด แต่เป็นสำนักงานที่กระบวนการทำงานในชีวิตประจำวันทำให้การปฏิบัติตามกฎหมายเป็นอัตโนมัติแทนที่จะต้องทำด้วยตนเอง เมื่อข้อมูลลูกค้าและคดีทั้งหมดอยู่ในระบบเดียวที่มีการควบคุมการเข้าถึงที่กำหนดไว้ ข้อกำหนดการประมวลผลข้อมูลที่สม่ำเสมอ และเส้นทางการตรวจสอบที่ชัดเจน ค่าใช้จ่ายในการปฏิบัติตามกฎหมายจะลดลงอย่างมีนัยสำคัญ

FirmFlow รับความยินยอม ณ จุดรับลูกค้าและจัดเก็บข้อมูลลูกค้าและคดีทั้งหมดในที่เดียว ทำให้คำร้องขอสิทธิ์ การควบคุมการเก็บรักษา และการจัดการการเปิดเผยต่อบุคคลที่สามเป็นเรื่องตรงไปตรงมา แทนที่จะต้องทำในสเปรดชีต ข้อมูลทั้งหมดที่จัดเก็บและระหว่างส่งผ่านจะถูกเข้ารหัส FirmFlow ไม่ขายหรือแบ่งปันข้อมูลลูกค้ากับบุคคลที่สาม ผู้ดูแลระบบสำนักงานมีการมองเห็นและการควบคุมอย่างสมบูรณ์ว่าข้อมูลส่วนบุคคลใดถูกเก็บไว้และถูกใช้อย่างไร สำหรับสำนักงานวิชาชีพในประเทศไทย โครงสร้างพื้นฐานการปฏิบัติตาม PDPA ถูกสร้างไว้ในตัว ไม่ใช่เพิ่มเติมทีหลัง

ก้าวนำหน้าความเสี่ยง

การปฏิบัติตาม PDPA สำหรับสำนักงานวิชาชีพเป็นคำถามเชิงปฏิบัติเป็นหลัก ไม่ใช่คำถามทางกฎหมาย งานที่ยากไม่ได้อยู่ที่การร่างประกาศความเป็นส่วนตัว แต่อยู่ที่การทำให้แน่ใจว่าการจัดการข้อมูลลูกค้าในชีวิตประจำวันผ่านระบบและทีมของคุณสอดคล้องกับสิ่งที่ประกาศนั้นบอกไว้จริง ๆ

สำหรับสำนักงานที่กำลังใช้ข้อมูลลูกค้าผ่านเครื่องมือที่แยกจากกันหลายตัว ขั้นตอนแรกที่มีประสิทธิผลที่สุดคือการตรวจสอบอย่างซื่อสัตย์ เราเก็บข้อมูลส่วนบุคคลอะไรบ้าง อยู่ที่ใด ใครมีสิทธิ์เข้าถึง และเกิดอะไรขึ้นเมื่อคดีปิด คำตอบสำหรับคำถามเหล่านั้นจะบอกคุณว่าความเสี่ยงด้านการปฏิบัติตามกฎหมายของคุณอยู่ที่ใดจริง ๆ — และสิ่งที่ต้องเปลี่ยนแปลง

ค่าใช้จ่ายในการทำสิ่งนี้ให้ถูกต้องตอนนี้เป็นเพียงเศษเสี้ยวของค่าใช้จ่ายจากการร้องเรียนของลูกค้า การสอบสวนของ PDPC หรือเหตุการณ์ข้อมูลที่กลายเป็นข่าวสาธารณะ สำนักงานที่สร้างการจัดการข้อมูลที่สะอาดเข้าไปในการดำเนินงานตั้งแต่ต้นคือสำนักงานที่อยู่ในตำแหน่งที่ดีที่สุดเมื่อการบังคับใช้กฎหมายพัฒนาต่อไป

อ่านคู่มือฉบับเต็ม, ฟรี

เข้าร่วมกับมืออาชีพชาวไทยที่ได้รับข้อมูลเชิงปฏิบัติด้านการจัดการสำนักงาน