- 25
- กุมภาพันธ์
ถ้าถามว่า แผนกไหนในองค์กรถือข้อมูลส่วนบุคคลมากที่สุด? หลายคนอาจนึกถึงฝ่าย IT หรือฝ่ายบุคคล แต่คำตอบที่ถูกต้องคือ "ฝ่ายบัญชี"
เลขบัตรประชาชน เลขบัญชีธนาคาร เงินเดือนพนักงาน ข้อมูลผู้ขาย ข้อมูลลูกค้า เลขประจำตัวผู้เสียภาษี สำเนาบัตรประชาชนของกรรมการ — ทั้งหมดนี้อยู่ในมือฝ่ายบัญชี
แต่หลายองค์กรยังไม่รู้ว่า PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) ส่งผลกระทบต่อการทำงานบัญชีโดยตรง และถ้าจัดการไม่ถูกต้อง อาจมีโทษทั้งจำและปรับ
PDPA คืออะไร -- สรุปสั้นๆ สำหรับคนทำงานบัญชี
PDPA ย่อมาจาก Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บังคับใช้เต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565 กฎหมายฉบับนี้คุ้มครอง "ข้อมูลส่วนบุคคล" คือข้อมูลใดๆ ที่สามารถระบุตัวบุคคลได้ ไม่ว่าจะโดยตรงหรือโดยอ้อม
สิ่งที่หลายคนไม่ทราบคือ PDPA มีบทลงโทษรุนแรง:
- โทษทางแพ่ง — ชดใช้ค่าสินไหมทดแทนตามความเสียหายจริง และศาลอาจสั่งให้ชดใช้เพิ่มได้สูงสุด 2 เท่า
- โทษทางอาญา — จำคุกสูงสุด 1 ปี และ/หรือปรับสูงสุด 1 ล้านบาท
- โทษทางปกครอง — ปรับสูงสุด 5 ล้านบาท
นั่นหมายความว่า ถ้าองค์กรจัดการข้อมูลส่วนบุคคลผิดพลาด — ไม่ว่าจะจงใจหรือประมาท — ทั้งองค์กรและผู้รับผิดชอบอาจถูกดำเนินคดีได้
ข้อมูลส่วนบุคคลที่ฝ่ายบัญชีถือ — อ่อนไหวกว่าที่คิด
ลองดูว่าฝ่ายบัญชีถือข้อมูลอะไรบ้าง และแต่ละประเภทมีความอ่อนไหวระดับไหน:
| ประเภทข้อมูล | ตัวอย่าง | ระดับความอ่อนไหว |
|---|---|---|
| ข้อมูลพนักงาน | เลขบัตรประชาชน, เงินเดือน, บัญชีธนาคาร, ประกันสังคม | สูงมาก |
| ข้อมูลผู้ขาย/Vendor | เลขประจำตัวผู้เสียภาษี, ชื่อ-นามสกุล, ที่อยู่, บัญชีธนาคาร | สูง |
| ข้อมูลลูกค้า | ชื่อ-นามสกุล, ที่อยู่, เลขภาษี, ประวัติการซื้อ, ข้อมูลการชำระเงิน | สูง |
| ข้อมูลกรรมการ/ผู้ลงนาม | สำเนาบัตรประชาชน, ลายมือชื่อ, ที่อยู่ส่วนตัว | สูงมาก |
จะเห็นว่าข้อมูลเหล่านี้ ไม่ใช่แค่ข้อมูลทั่วไป แต่เป็นข้อมูลที่ถ้าหลุดออกไปจะสร้างความเสียหายร้ายแรง — ตั้งแต่ถูกปลอมแปลงเอกสาร ขโมยตัวตน (Identity Theft) ไปจนถึงถูกฟ้องร้องทางกฎหมาย
5 ความเสี่ยง PDPA ที่ฝ่ายบัญชีมักมองข้าม
จากประสบการณ์ที่เราทำงานกับหลายองค์กร ทั้งภาครัฐและเอกชน ความเสี่ยงเหล่านี้เจอซ้ำแล้วซ้ำเล่า:
1. ส่งสลิปเงินเดือนทาง LINE/Email โดยไม่เข้ารหัส
หลายองค์กรยังส่งสลิปเงินเดือนผ่านแชท LINE หรือ Email แบบไม่มีรหัสผ่าน สลิปเงินเดือนมีทั้งเลขบัตรประชาชน เลขบัญชีธนาคาร และจำนวนเงินเดือน — ถ้าหลุดไปคนเดียว ก็ถือว่าละเมิด PDPA แล้ว เรื่องนี้เกี่ยวข้องโดยตรงกับความปลอดภัยของข้อมูลในระบบ ERP
2. เก็บสำเนาบัตรประชาชนในแฟ้มกระดาษ — ไม่มีระบบจัดการการเข้าถึง
สำเนาบัตรประชาชนของผู้ขาย พนักงาน กรรมการ ถูกเก็บไว้ในตู้เอกสารที่ใครก็เปิดได้ ไม่มีบันทึกว่าใครหยิบไปเมื่อไหร่ ไม่มีระบบล็อค ไม่มีการขีดฆ่า — นี่คือ ช่องโหว่ PDPA ที่อันตรายที่สุด
3. แชร์ไฟล์ Excel ข้อมูลพนักงานกันไปมา
ไฟล์ Excel ที่แชร์กันไปมาระหว่างแผนก มักมีข้อมูลเงินเดือน เลขบัตรประชาชน เลขบัญชีธนาคาร — ไม่มีการเข้ารหัส ไม่มี password ไม่มีบันทึกว่าใครเปิดดู คัดลอก หรือส่งต่อ ถ้าไฟล์หลุด ไม่มีทางรู้ว่าหลุดจากจุดไหน
4. ไม่มีนโยบายลบข้อมูลเมื่อหมดความจำเป็น (Data Retention Policy)
PDPA กำหนดว่าเมื่อไม่มีความจำเป็นต้องเก็บข้อมูลแล้ว ต้องลบหรือทำลาย แต่ในทางปฏิบัติ ฝ่ายบัญชีส่วนใหญ่เก็บเอกสารไว้ไม่มีกำหนด — สำเนาบัตรประชาชนของผู้ขายที่ไม่ได้ทำธุรกิจด้วยแล้ว 5 ปี ยังอยู่ในตู้ นี่คือความเสี่ยงที่ไม่จำเป็น
5. ให้พนักงานบัญชีทุกคนเข้าถึงข้อมูลเงินเดือนทุกระดับ — ไม่มี Access Control
ในหลายองค์กร พนักงานบัญชีทุกคนสามารถเห็นเงินเดือนของทุกคนในบริษัท ตั้งแต่พนักงานรายวันไปจนถึงผู้บริหารระดับสูง การเข้าถึงข้อมูลโดยไม่จำเป็น (Excessive Access) ก็ถือเป็น ความเสี่ยงตาม PDPA เช่นกัน เรื่องนี้สามารถป้องกันได้ด้วยระบบยืนยันตัวตนแบบ 2 ชั้น (2FA) และการกำหนดสิทธิ์ที่เหมาะสม
PDPA กำหนดอะไรบ้างที่เกี่ยวข้องกับฝ่ายบัญชี
PDPA ไม่ได้พูดถึงฝ่ายบัญชีโดยเฉพาะ แต่หลักการของกฎหมายส่งผลกระทบโดยตรงต่อการทำงานของฝ่ายบัญชีทุกข้อ:
- ต้องขอความยินยอม (Consent) — ก่อนเก็บข้อมูลส่วนบุคคลของพนักงาน ผู้ขาย หรือลูกค้า ต้องได้รับความยินยอมอย่างชัดแจ้ง ยกเว้นกรณีที่กฎหมายกำหนดให้เก็บได้ (เช่น สรรพากรกำหนดให้เก็บเอกสารภาษี)
- ต้องแจ้งวัตถุประสงค์ (Privacy Notice) — ต้องแจ้งให้เจ้าของข้อมูลทราบว่าเก็บข้อมูลไปทำอะไร เก็บนานเท่าไหร่ ใครเข้าถึงได้บ้าง
- ต้องจำกัดการเข้าถึง (Access Control) — ไม่ใช่ทุกคนในฝ่ายบัญชีต้องเห็นข้อมูลทุกอย่าง ต้องจำกัดตามหน้าที่และความจำเป็น
- ต้องมีระยะเวลาเก็บรักษา (Data Retention) — ต้องกำหนดระยะเวลาเก็บข้อมูลที่ชัดเจน และลบเมื่อครบกำหนด
- ต้องมีมาตรการป้องกัน (Security Measures) — ต้องมีมาตรการรักษาความปลอดภัยที่เหมาะสม ทั้งทางกายภาพ (ตู้ล็อค) และทางเทคนิค (การเข้ารหัส, ระบบรักษาความปลอดภัย)
- เจ้าของข้อมูลมีสิทธิขอดู แก้ไข ลบ (Data Subject Rights) — พนักงาน ผู้ขาย ลูกค้า มีสิทธิขอดูข้อมูลของตนเอง ขอแก้ไข หรือขอให้ลบได้ ฝ่ายบัญชีต้องสามารถตอบสนองคำขอเหล่านี้ได้
ฝ่ายบัญชีคือ Data Controller ตัวจริงขององค์กร — ถือข้อมูลอ่อนไหวมากที่สุด แต่มักเป็นแผนกสุดท้ายที่ได้รับการฝึกอบรมเรื่อง PDPA
ERP ช่วยจัดการ PDPA ได้อย่างไร
ปัญหาหลายอย่างข้างต้นไม่ได้เกิดจาก "คน" แต่เกิดจาก "ระบบ" ที่ไม่รองรับ ถ้ายังใช้ Excel, แฟ้มกระดาษ, LINE แชท เป็นเครื่องมือหลัก — จะปฏิบัติตาม PDPA ได้ยากมาก
ระบบ ERP ที่ออกแบบมาอย่างดีช่วยแก้ปัญหาเหล่านี้ได้โดยตรง:
| ฟีเจอร์ ERP | ช่วยเรื่อง PDPA อย่างไร |
|---|---|
| Access Control / Role-Based Permission | กำหนดสิทธิ์เข้าถึงข้อมูลตามตำแหน่งและหน้าที่ — พนักงานบัญชีเจ้าหนี้เห็นเฉพาะข้อมูลผู้ขาย ไม่เห็นเงินเดือนพนักงาน |
| Audit Trail | บันทึกว่าใครเข้าถึงข้อมูลอะไร เมื่อไหร่ แก้ไขอะไร — ถ้าข้อมูลหลุด สามารถตรวจสอบย้อนกลับได้ |
| Data Encryption | เข้ารหัสข้อมูลอ่อนไหว เช่น เลขบัตรประชาชน เลขบัญชีธนาคาร — แม้ฐานข้อมูลถูกเจาะ ข้อมูลก็ยังอ่านไม่ได้ |
| Data Retention Management | ตั้งค่าลบข้อมูลอัตโนมัติเมื่อครบกำหนด — ไม่ต้องจำเอง ไม่เสี่ยงลืม |
| Centralized Data | ข้อมูลอยู่ที่เดียวในฐานข้อมูลกลาง ไม่กระจายในไฟล์ Excel หลายชุด — ควบคุมได้ ตรวจสอบได้ ลบได้ทันที |
ระบบ บัญชีที่ดีต้องรองรับ PDPA ตั้งแต่วันแรก — ไม่ใช่แค่บันทึกตัวเลขได้ แต่ต้องปกป้องข้อมูลส่วนบุคคลที่อยู่ในระบบด้วย
PDPA ไม่ใช่เรื่องของฝ่าย IT คนเดียว — ฝ่ายบัญชีที่ถือข้อมูลส่วนบุคคลมากที่สุด ต้องเข้าใจและปฏิบัติตามด้วย ระบบ ERP ที่ดีช่วยให้ปฏิบัติตาม PDPA ได้ง่ายขึ้น โดยไม่ต้องเพิ่มภาระงานให้ฝ่ายบัญชี
Checklist: ฝ่ายบัญชีของคุณพร้อมรับ PDPA หรือยัง?
ลองตรวจสอบดูว่าองค์กรของคุณผ่านกี่ข้อ:
- มี Privacy Notice สำหรับพนักงาน ผู้ขาย และลูกค้า แล้วหรือยัง?
- สลิปเงินเดือนส่งแบบเข้ารหัส หรือยังส่งผ่าน LINE แบบไม่มีรหัสผ่าน?
- สำเนาบัตรประชาชนเก็บอย่างไร? มีระบบล็อคและบันทึกการเข้าถึงหรือไม่?
- ไฟล์ Excel ที่มีข้อมูลส่วนบุคคล มีรหัสผ่านป้องกันหรือไม่?
- มี Data Retention Policy กำหนดระยะเวลาเก็บข้อมูลหรือไม่?
- พนักงานบัญชีทุกคนเข้าถึงข้อมูลเงินเดือนของทุกคนได้จริงหรือ? (ควรจำกัดตามหน้าที่)
- ถ้าพนักงานลาออกแล้วขอให้ลบข้อมูล สามารถทำได้ภายในกี่วัน?
- มี Audit Trail บันทึกว่าใครเข้าถึงข้อมูลอะไรเมื่อไหร่หรือไม่?
ถ้าตอบว่า "ไม่" มากกว่า 3 ข้อ — องค์กรของคุณมีความเสี่ยง PDPA สูง และควรพิจารณาปรับปรุงระบบโดยเร็ว
กรณีตัวอย่าง: เมื่อข้อมูลหลุดจากฝ่ายบัญชี
ลองจินตนาการสถานการณ์นี้:
พนักงานบัญชีคนหนึ่งส่งไฟล์ Excel สรุปเงินเดือนทั้งบริษัทให้ผู้จัดการแผนกผ่าน Email แต่พิมพ์ที่อยู่ Email ผิด — ไฟล์ไปถึงคนนอกองค์กร
ผลที่ตามมา:
- ข้อมูลเงินเดือนพนักงานทุกคนหลุดออกไป
- เลขบัตรประชาชน เลขบัญชีธนาคาร ถูกเปิดเผย
- พนักงานที่ได้รับผลกระทบสามารถ ฟ้องร้องทั้งบริษัทและผู้รับผิดชอบ
- บทลงโทษ: ปรับสูงสุด 5 ล้านบาท + ค่าเสียหายทางแพ่ง
สถานการณ์นี้เกิดขึ้นได้ง่ายมาก — และเกิดขึ้นจริงในหลายองค์กร ถ้าใช้ระบบ ERP ที่มี Access Control พนักงานบัญชีจะเข้าถึงเฉพาะข้อมูลที่จำเป็น ไม่สามารถ export ข้อมูลเงินเดือนทั้งบริษัทเป็น Excel ได้ตั้งแต่แรก
สรุป
ฝ่ายบัญชีคือแผนกที่ถือข้อมูลส่วนบุคคลมากที่สุดในองค์กร — แต่มักเป็นแผนกที่ได้รับการดูแลเรื่อง PDPA น้อยที่สุด ความเสี่ยงไม่ได้อยู่ที่ "คน" ทำผิดจงใจ แต่อยู่ที่ "ระบบ" ไม่รองรับ — ส่งข้อมูลผ่านช่องทางไม่ปลอดภัย เก็บเอกสารโดยไม่มีระบบจัดการ ไม่มี Access Control
ระบบ ERP ที่ออกแบบมาอย่างดีช่วยให้ฝ่ายบัญชีปฏิบัติตาม PDPA ได้โดยอัตโนมัติ — ไม่ต้องเพิ่มภาระงาน ไม่ต้องจำเอง ระบบจัดการให้
หากองค์กรของท่านกำลังกังวลเรื่อง PDPA หรือต้องการระบบบัญชีที่ปลอดภัย สามารถนัดหมาย Demo ระบบ Saeree ERP หรือปรึกษาทีมผู้เชี่ยวชาญจาก Grand Linux Solution ได้ฟรี ไม่มีค่าใช้จ่าย
แหล่งอ้างอิง
- ราชกิจจานุเบกษา. "พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562." https://www.ratchakitcha.soc.go.th
- กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม. "PDPA." https://www.mdes.go.th
