PDPA ระยะที่ 2 สำหรับวิชาชีพบริการ: จากนโยบายบนกระดาษสู่การปฏิบัติตามกฎหมายจริง

เป็นเวลาสองปีหลังจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้เต็มรูปแบบในเดือนมิถุนายน 2565 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ดำเนินงานในโหมดให้การศึกษาเป็นหลัก เวิร์กชอป เอกสารแนวทาง และแคมเปญสร้างความตระหนักรู้ครอบงำผลงานสาธารณะของ สคส. การบังคับใช้กฎหมายมาช้า และสำนักงานวิชาชีพขนาดเล็กหลายแห่งสรุปได้ว่าการปฏิบัติตามกฎหมายเป็นพิธีการ: เผยแพร่นโยบายความเป็นส่วนตัว เพิ่มช่องทำเครื่องหมายยินยอมในเว็บไซต์ แล้วก้าวต่อไป

การอ่านสถานการณ์นั้นไม่ถูกต้องอีกต่อไป ในเดือนสิงหาคม 2568 สคส. ได้ออกชุดการบังคับใช้ครั้งเดียวที่ครอบคลุมค่าปรับแปดรายการใน 6 คดีและคำสั่งทางปกครอง 9 ฉบับ ทำให้ค่าปรับรวมสะสมอยู่ที่ 21.5 ล้านบาท ค่าปรับอยู่ในช่วงตั้งแต่ ฿153,000 ต่อหน่วยงานราชการไปจนถึง ฿7,000,000 ต่อผู้ค้าอุปกรณ์ไอที นักพัฒนาระบบที่ทำงานเป็นผู้ประมวลผลข้อมูลให้กับร้านขายของสะสมถูกปรับ ฿3,000,000 มากกว่าหกเท่าของค่าปรับ ฿500,000 ที่กำหนดต่อร้านค้าที่ตนให้บริการ หน่วยงานกำกับดูแลไม่ได้รอแล้ว

สิ่งที่บันทึกการบังคับใช้กฎหมายแสดงให้เห็น

ชุดการบังคับใช้กฎหมายในเดือนสิงหาคม 2568 เป็นสัญญาณที่ชัดเจนที่สุดจนถึงปัจจุบันว่า สคส. ได้เข้าสู่ระยะดำเนินงานแล้ว คดีต่าง ๆ ครอบคลุมภาคสุขภาพ ค้าปลีก บริการเทคโนโลยี และรัฐบาล แต่ประเภทการละเมิดมีความสอดคล้องกันข้ามภาคส่วน ได้แก่ ขาดข้อตกลงการประมวลผลข้อมูลกับผู้รับจ้าง ไม่รายงานการละเมิดต่อ สคส. ไม่มีเจ้าหน้าที่คุ้มครองข้อมูล ข้อมูลประจำตัวการเข้าถึงที่อ่อนแอ และการดูแลผู้ดำเนินการข้อมูลบุคคลที่สามไม่เพียงพอ

คดีสองคดีมีความสำคัญเป็นพิเศษสำหรับสำนักงานวิชาชีพ

ในคดีโรงพยาบาล บันทึกทางการแพทย์ครอบคลุมเอกสารผู้ป่วยประมาณ 1,000 ฉบับรั่วไหลเมื่อผู้รับจ้างเก็บไฟล์ไม่เหมาะสมที่บ้าน โรงพยาบาลในฐานะผู้ควบคุมข้อมูลถูกปรับ ฿1,210,000 ผู้รับจ้างในฐานะผู้ประมวลผลข้อมูลที่ไม่มีข้อตกลงการประมวลผลข้อมูลที่เพียงพอถูกปรับแยกต่างหาก การขาดข้อตกลง DPA ที่เป็นทางการระหว่างโรงพยาบาลและผู้รับจ้างเป็นปัจจัยหลักในค่าปรับทั้งสอง

ในคดีบริษัทเครื่องสำอาง มาตรการรักษาความปลอดภัยที่ไม่เพียงพอทำให้เกิดการละเมิดที่ทำให้เกิดการหลอกลวงของศูนย์บริการลูกค้าต่อลูกค้าที่ได้รับผลกระทบ การละเมิดไม่ได้เกิดจากบริษัทเก็บรวบรวมข้อมูลส่วนบุคคล แต่เพราะบริษัทล้มเหลวในการดำเนินมาตรการป้องกันที่เหมาะสมต่อการใช้ข้อมูลนั้นในทางที่ผิดที่คาดเดาได้

รูปแบบในคดีสิงหาคม 2568 ทั้งหมดเหมือนกัน: สคส. ไม่ได้ปรับบริษัทเพราะมีนโยบายความเป็นส่วนตัวที่ล้าสมัยเล็กน้อยหรือประกาศยินยอมที่ไม่สมบูรณ์แบบ แต่ปรับเพราะความล้มเหลวในการดำเนินงาน โดยเฉพาะช่องว่างระหว่างสิ่งที่นโยบายความเป็นส่วนตัวบอกและสิ่งที่การปฏิบัติจัดการข้อมูลจริงของบริษัทดำเนิน

เหตุใดสำนักงานวิชาชีพจึงเป็นเป้าหมายความเสี่ยงสูง

สำนักงานบัญชีและกฎหมายอยู่ในตำแหน่งที่เปิดเผยและเฉพาะเจาะจงภายใต้ PDPA พวกเขาทำหน้าที่เป็นผู้ประมวลผลข้อมูลสำหรับข้อมูลส่วนบุคคลของลูกค้าในเกือบทุกการมอบหมายงาน ได้แก่ เอกสารระบุตัวตนบุคคลที่ส่งมาเพื่อจัดตั้งบริษัท บันทึกเงินเดือนที่ประมวลผลเป็นส่วนหนึ่งของการทำบัญชี รายละเอียดบัตรประจำตัวผู้เสียภาษีที่ใช้ในการยื่นแบบกรมสรรพากร และบันทึกทางการเงินส่วนตัวที่ตรวจสอบในระหว่างการตรวจสอบบัญชี

สภาวิชาชีพบัญชีในพระบรมราชูปถัมภ์ (สภาวิชาชีพบัญชีฯ หรือ TFAC) ได้รับรู้การเปิดเผยนี้โดยตรง TFAC เผยแพร่กรอบการปฏิบัติตาม 5 บท โดยเฉพาะสำหรับสำนักงานบัญชีและสำนักงานสอบบัญชี ครอบคลุมกรอบการประมวลผลที่ถูกกฎหมาย ขั้นตอนสิทธิเจ้าของข้อมูล โปรโตคอลการตอบสนองต่อการละเมิด มาตรการรักษาความปลอดภัย และข้อกำหนดเอกสารที่ สคส. คาดหวังจะเห็นในการทบทวนการบังคับใช้ การมีแนวทางนั้นส่งสัญญาณว่าสำนักงานบัญชีถือเป็นหมวดหมู่ที่ต้องการความสนใจด้านการปฏิบัติตามกฎหมายโดยเฉพาะ

คดีโรงพยาบาลแมปกับโปรไฟล์ความเสี่ยงของสำนักงานบัญชีหรือกฎหมายขนาดเล็กได้อย่างแม่นยำ หัวหน้าสำนักงานที่จัดการเอกสารลูกค้าโดยส่งต่อให้นักบัญชีพาร์ทไทม์หรือผู้ช่วยทนายฟรีแลนซ์ทางอีเมลโดยไม่มีข้อตกลงการประมวลผลข้อมูล กำลังทำซ้ำความล้มเหลวเชิงโครงสร้างที่ก่อให้เกิดค่าปรับผู้รับจ้างโรงพยาบาล

ปัญหา Shadow IT

ช่องว่างการปฏิบัติตามกฎหมายที่ใหญ่ที่สุดในสำนักงานวิชาชีพขนาดเล็กของไทยไม่ใช่การขาดนโยบายความเป็นส่วนตัว แต่เป็น shadow IT: การใช้งานแอปพลิเคชันระดับผู้บริโภคในชีวิตประจำวันเพื่อจัดการข้อมูลส่วนบุคคลของลูกค้าโดยไม่มีการควบคุมใด ๆ ที่ PDPA กำหนด

พนักงานที่ส่งหมายเลขบัตรประชาชนของลูกค้าทาง LINE ให้เพื่อนร่วมงานกำลังส่งข้อมูลส่วนบุคคลผ่านแอปพลิเคชันที่ไม่มีข้อตกลงการประมวลผลข้อมูลกับสำนักงาน เก็บข้อมูลบนเซิร์ฟเวอร์นอกการควบคุมของสำนักงาน และไม่มีเส้นทางการตรวจสอบว่าใครเข้าถึงอะไรและเมื่อไหร่ นักบัญชีที่อัปโหลดบันทึกทางการเงินของลูกค้าไปยัง Google Drive ส่วนตัวเพื่อทำงานที่บ้านกำลังวางข้อมูลนั้นในสภาพแวดล้อมการเก็บข้อมูลที่สำนักงานไม่เคยตรวจสอบเพื่อการปฏิบัติตาม PDPA

เหล่านี้ไม่ใช่กรณีขอบเขต แต่เป็นพฤติกรรมการดำเนินงานปกติของสำนักงานที่ไม่ได้ให้ทางเลือกที่เป็นไปตามกฎหมาย พนักงานใช้ LINE เพราะรวดเร็วและคุ้นเคย พนักงานใช้ที่เก็บข้อมูลส่วนตัวเพราะสำนักงานไม่ได้ให้ทางเลือกที่ปลอดภัย ความเสี่ยงด้านการปฏิบัติตามกฎหมายเป็นผลจากโครงสร้างของช่องว่างเครื่องมือ ไม่ใช่จากความประมาทของแต่ละคน

คดีผู้ค้าของสะสมแสดงให้เห็นว่าความรับผิดของผู้ประมวลผลทำงานอย่างไรในบริบทนี้ นักพัฒนาระบบที่สร้างและจัดการระบบจองของผู้ค้าถูกปรับ ฿3,000,000 มากกว่าหกเท่าของค่าปรับ ฿500,000 ต่อผู้ค้าเอง บุคคลที่สามใด ๆ ที่จัดการข้อมูลลูกค้าของสำนักงาน ไม่ว่าจะเป็นนักบัญชีฟรีแลนซ์ บริการสแกนเอกสาร หรือเครื่องมือซอฟต์แวร์ที่มีสิทธิ์เข้าถึงบันทึกลูกค้า คือผู้ประมวลผลข้อมูลที่อาจเกิดขึ้นได้ หากไม่มี DPA สำนักงานไม่มีพื้นฐานทางสัญญาในการบังคับใช้มาตรฐานการคุ้มครองข้อมูลกับบุคคลที่สามนั้น

การกำกับดูแลผู้จัดจำหน่ายในฐานะการอัปเกรดที่เร็วที่สุด

วิธีที่เร็วที่สุดสำหรับสำนักงานวิชาชีพขนาดเล็กในการปรับปรุงสถานะการปฏิบัติตาม PDPA ในปี 2569 คือการกำกับดูแลผู้จัดจำหน่าย: ทบทวนเครื่องมือและบุคคลที่สามทุกรายที่สัมผัสข้อมูลส่วนบุคคลของลูกค้า และตรวจสอบให้แน่ใจว่ามีข้อตกลงการประมวลผลข้อมูลสำหรับแต่ละรายการ

DPA ไม่จำเป็นต้องเป็นเอกสารที่ซับซ้อน จำเป็นต้องระบุว่าข้อมูลส่วนบุคคลใดถูกประมวลผล เพื่อวัตถุประสงค์อะไร บนพื้นฐานทางกฎหมายใด ด้วยมาตรการรักษาความปลอดภัยใด และเกิดอะไรขึ้นในกรณีที่มีการละเมิด ผู้ขายซอฟต์แวร์ที่มีชื่อเสียงส่วนใหญ่ที่ให้บริการสำนักงานวิชาชีพมีเทมเพลต DPA มาตรฐานพร้อมใช้ การลงนามใช้เวลาน้อยกว่าที่สำนักงานส่วนใหญ่ใช้ในการประชุมลูกค้าครั้งเดียว

กระบวนการทบทวนเองมีคุณค่าเพราะบังคับให้สำนักงานต้องแมปว่าข้อมูลส่วนบุคคลของลูกค้าไปที่ไหนจริง ๆ สำนักงานขนาดเล็กส่วนใหญ่เมื่อดำเนินการนี้พบว่าข้อมูลไหลผ่านช่องทางมากกว่าที่พวกเขาตระหนัก: เครื่องมือถอดความที่บันทึกชื่อลูกค้าและรายละเอียดทางการเงินในการบันทึกการประชุม เครื่องมือแบบฟอร์มที่เก็บการตอบสนองการรับลูกค้าบนเซิร์ฟเวอร์บุคคลที่สาม บัญชีที่เก็บข้อมูลบนคลาวด์ที่อดีตพนักงานยังสามารถเข้าถึงได้

การปฏิบัติตามกฎหมายจริงในปี 2569 มีลักษณะอย่างไร

การปฏิบัติตามกฎหมายจริงในปี 2569 ไม่ได้เกี่ยวกับการบรรลุความสมบูรณ์แบบในข้อกำหนด PDPA ทุกข้อพร้อมกัน แต่เกี่ยวกับการปิดช่องว่างการดำเนินงานที่บันทึกการบังคับใช้กฎหมายของ สคส. แสดงให้เห็นว่ากำลังมองหาจริง ๆ ได้แก่ กิจกรรมการประมวลผลที่มีเอกสาร การดูแลผู้รับจ้าง มาตรการรักษาความปลอดภัยที่สมดุลกับความอ่อนไหวของข้อมูล และขั้นตอนการตอบสนองต่อการละเมิดที่สำนักงานสามารถดำเนินการได้จริง

กรอบ TFAC 5 บทให้จุดเริ่มต้นที่มีโครงสร้างสำหรับสำนักงานบัญชี ทำงานผ่านทีละบท: กำหนดพื้นฐานทางกฎหมายสำหรับแต่ละหมวดหมู่ข้อมูลส่วนบุคคลที่สำนักงานประมวลผล ดำเนินการขั้นตอนสำหรับคำขอการเข้าถึงและการลบข้อมูลของเจ้าของข้อมูล จัดทำเอกสารมาตรการรักษาความปลอดภัยสำหรับแต่ละหมวดหมู่ข้อมูล ฝึกอบรมพนักงานเกี่ยวกับสิ่งที่ถือเป็นการละเมิดและวิธีรายงาน และดูแลบันทึกที่แสดงถึงสิ่งที่กล่าวมาข้างต้น

FirmFlow แทนที่ช่องว่างเครื่องมือที่สร้าง shadow IT แทนที่พนักงานจะส่งเอกสารลูกค้าผ่าน LINE หรืออัปโหลดไปยังไดรฟ์ส่วนตัว สำนักงานมีพื้นที่ทำงานที่ปลอดภัยเดียวที่บันทึกลูกค้า การอัปโหลดเอกสาร สรุปการประชุม และการส่งข้อมูลรับเข้าทั้งหมดอยู่ภายในสภาพแวดล้อมที่ควบคุมการเข้าถึงเดียว เส้นทางการตรวจสอบถูกดูแลโดยอัตโนมัติ ความสัมพันธ์กับผู้จัดจำหน่ายครอบคลุมโดยข้อตกลงการประมวลผลข้อมูลที่เป็นไปตาม PDPA ข้อมูลลูกค้าที่ละเอียดอ่อนไม่ออกจากขอบเขตที่ปลอดภัยของแพลตฟอร์ม

บันทึกการบังคับใช้กฎหมายของ สคส. ไม่ได้บ่งชี้ว่าสำนักงานวิชาชีพขนาดเล็กเป็นเป้าหมายหลักในวงจรการบังคับใช้กฎหมายถัดไป แต่ประเภทการละเมิดที่ก่อให้เกิดค่าปรับ 21.5 ล้านบาทคือประเภทการละเมิดที่เป็นลักษณะเฉพาะของวิธีที่สำนักงานขนาดเล็กส่วนใหญ่จัดการข้อมูลลูกค้าในปัจจุบัน: ขาด DPA กับผู้รับจ้าง มาตรการรักษาความปลอดภัยไม่เพียงพอ ไม่มีการตอบสนองต่อการละเมิดที่มีเอกสาร การปิดช่องว่างเหล่านั้นตอนนี้ ในขณะที่การบังคับใช้ยังคงมุ่งเน้นไปที่องค์กรที่ใหญ่กว่าและมองเห็นได้มากกว่า ง่ายกว่าการปิดภายใต้การตรวจสอบของหน่วยงานกำกับดูแลอย่างมีนัยสำคัญ