- 7
- เมษายน
PDPA (Personal Data Protection Act) หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บังคับใช้เต็มรูปแบบตั้งแต่ 1 มิถุนายน 2565 แต่หลายองค์กรยังไม่ได้ปรับระบบรองรับอย่างจริงจัง โทษสูงสุดถึง 5 ล้านบาท ต่อกรณี คำถามสำคัญคือ ข้อมูลส่วนบุคคลในองค์กรของคุณอยู่ที่ไหนบ้าง? และ ระบบ ERP ช่วยจัดการ PDPA ได้อย่างไร?
PDPA คืออะไร?
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่กำหนดหลักเกณฑ์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยมีเป้าหมายเพื่อคุ้มครองสิทธิของเจ้าของข้อมูล PDPA มีผลบังคับใช้กับ ทุกองค์กร ทั้งภาครัฐและเอกชน ไม่จำกัดขนาด
6 หลักการสำคัญของ PDPA
| หลักการ | ความหมาย | ตัวอย่างในทางปฏิบัติ |
|---|---|---|
| Lawful Basis | ต้องมีฐานทางกฎหมายในการเก็บข้อมูล | ได้รับความยินยอม (Consent), สัญญา, หน้าที่ตามกฎหมาย, ประโยชน์อันชอบธรรม |
| Purpose Limitation | ใช้ข้อมูลตามวัตถุประสงค์ที่แจ้งไว้เท่านั้น | เก็บอีเมลเพื่อส่งใบเสร็จ ห้ามเอาไปส่งโฆษณาโดยไม่บอก |
| Data Minimization | เก็บเท่าที่จำเป็นเท่านั้น | ถ้าไม่จำเป็นต้องใช้เลขบัตรประชาชน ก็ไม่ควรเก็บ |
| Accuracy | ข้อมูลต้องถูกต้องและเป็นปัจจุบัน | ที่อยู่ลูกค้าต้องอัปเดตเมื่อเปลี่ยน |
| Storage Limitation | เก็บข้อมูลเฉพาะระยะเวลาที่จำเป็น | ข้อมูลผู้สมัครงานที่ไม่ผ่านการคัดเลือก ควรลบภายใน 6 เดือน - 1 ปี |
| Integrity & Confidentiality | ต้องรักษาความปลอดภัยของข้อมูล | เข้ารหัสข้อมูล, จำกัดสิทธิ์การเข้าถึง, บันทึก Log |
โทษถ้าฝ่าฝืน PDPA — หนักแค่ไหน?
PDPA กำหนดโทษไว้ 3 ระดับ ซึ่งสามารถเกิดขึ้นพร้อมกันได้:
| ประเภทโทษ | รายละเอียด | โทษสูงสุด |
|---|---|---|
| โทษทางแพ่ง | ชดใช้ค่าเสียหายจริง + ค่าเสียหายเชิงลงโทษ (Punitive Damages) | สูงสุด 2 เท่า ของค่าเสียหายจริง |
| โทษทางอาญา | ใช้ข้อมูลอ่อนไหว (Sensitive Data) โดยไม่ได้รับความยินยอม | จำคุก 1 ปี + ปรับ 1 ล้านบาท |
| โทษทางปกครอง | ไม่ปฏิบัติตามกฎหมาย เช่น ไม่แจ้ง Privacy Notice, ไม่แต่งตั้ง DPO | ปรับสูงสุด 5 ล้านบาท |
สำคัญ: โทษทั้ง 3 ประเภทสามารถเกิดพร้อมกันได้ เช่น องค์กรหนึ่งอาจถูกฟ้องแพ่ง ถูกดำเนินคดีอาญา และถูกปรับทางปกครอง จากเหตุการณ์เดียวกัน นอกจากนี้ ผู้บริหารที่สั่งหรือรู้เห็นเป็นใจอาจถูกลงโทษเป็นการส่วนตัวด้วย
ข้อมูลส่วนบุคคลในองค์กรอยู่ที่ไหนบ้าง?
หลายองค์กรคิดว่า PDPA เกี่ยวข้องแค่กับฝ่าย IT หรือฝ่ายกฎหมาย แต่จริงๆ แล้ว ข้อมูลส่วนบุคคลกระจายอยู่ทุกส่วนงาน:
| แหล่งข้อมูล | ตัวอย่างข้อมูลส่วนบุคคล | ระบบที่เก็บ |
|---|---|---|
| พนักงาน (HR) | ชื่อ-นามสกุล, เลขบัตรประชาชน, เงินเดือน, ประวัติสุขภาพ, ลายนิ้วมือ | ERP (HR), เครื่องสแกนนิ้ว, Excel เงินเดือน |
| ลูกค้า | ชื่อ, ที่อยู่, เบอร์โทร, อีเมล, เลขประจำตัวผู้เสียภาษี, ประวัติการซื้อ | ERP (AR/CRM), Excel, LINE |
| คู่ค้า/ผู้ขาย | ชื่อผู้ติดต่อ, เบอร์โทร, อีเมล, เลขบัญชีธนาคาร | ERP (AP/Procurement), Excel |
| ผู้สมัครงาน | Resume, ใบสมัคร, ผลสอบ, ประวัติอาชญากรรม | อีเมล HR, Folder Share, ระบบสมัครงาน |
| ผู้มาติดต่อ | ชื่อ, เบอร์โทร, รูปถ่าย (กล้อง CCTV), ทะเบียนรถ | สมุดลงชื่อ, CCTV, ระบบ Access Control |
ปัญหาที่องค์กรเจอเรื่อง PDPA
จากประสบการณ์จริงในการช่วยองค์กรจัดการระบบ ERP ปัญหาที่พบบ่อยที่สุดมี 5 ประการ:
- ข้อมูลกระจัดกระจาย — ข้อมูลเดียวกันอยู่ทั้งใน ERP, Excel, อีเมล, LINE ลบที่เดียวไม่พอ
- ไม่มี Consent Log — ไม่มีบันทึกว่าเจ้าของข้อมูลให้ความยินยอมเมื่อไหร่ ด้วยวิธีใด ถ้าถูกตรวจสอบจะพิสูจน์ไม่ได้
- ลบข้อมูลไม่ได้จริง — เมื่อเจ้าของข้อมูลขอลบ (Right to Erasure) แต่ข้อมูลถูก Hard-code หรือเชื่อมกับธุรกรรมอื่น ลบไม่ได้โดยไม่กระทบระบบ
- Access Control อ่อน — พนักงานทุกคนเห็นข้อมูลเงินเดือนของทุกคน เพราะไม่เคยตั้ง สิทธิ์การเข้าถึงอย่างจริงจัง
- ไม่มี Data Retention Policy — เก็บข้อมูลไว้ตลอดไปโดยไม่เคยกำหนดระยะเวลา ข้อมูลผู้สมัครงาน 10 ปีก่อนยังอยู่ในระบบ
ERP ช่วยจัดการ PDPA ได้อย่างไร?
ระบบ ERP ที่ดีควรมีฟีเจอร์ที่รองรับ PDPA ดังนี้:
| ความต้องการตาม PDPA | ฟีเจอร์ ERP ที่รองรับ | วิธีทำงาน |
|---|---|---|
| Consent Management | บันทึก Consent Log | บันทึกว่าเจ้าของข้อมูลให้ความยินยอมเมื่อไหร่ ด้วยวิธีใด เพื่อวัตถุประสงค์อะไร |
| Data Retention | กำหนดระยะเวลาเก็บข้อมูล | ตั้งกฎว่าข้อมูลแต่ละประเภทเก็บได้กี่ปี เมื่อหมดอายุระบบแจ้งเตือนให้ลบ |
| Access Control | Role-Based Access Control (RBAC) | กำหนดสิทธิ์ตามบทบาท เช่น HR เห็นเงินเดือน แต่ฝ่ายจัดซื้อไม่เห็น |
| Access Log | Audit Trail | บันทึกว่าใครเข้าถึงข้อมูลอะไร เมื่อไหร่ ทำอะไรกับข้อมูล |
| Data Masking | ซ่อนข้อมูลบางส่วน | แสดงเลขบัตรประชาชนเป็น X-XXXX-XXXXX-XX-X สำหรับผู้ใช้ทั่วไป |
| Right to Erasure | Anonymization / Pseudonymization | แทนที่จะลบข้อมูลทั้งหมด (ซึ่งอาจกระทบบัญชี) ใช้วิธี Anonymize แทน เช่น เปลี่ยนชื่อเป็น "ลูกค้า #12345" |
| Data Encryption | เข้ารหัสข้อมูล | เข้ารหัสข้อมูลอ่อนไหวทั้ง At Rest และ In Transit |
สถานการณ์จริง: ลูกค้าขอลบข้อมูล — ERP ทำอย่างไร?
สมมติลูกค้ารายหนึ่งส่งอีเมลมาขอลบข้อมูลส่วนบุคคลทั้งหมด (Right to Erasure) แต่ลูกค้ารายนี้มีใบแจ้งหนี้ค้างชำระอยู่ในระบบ ERP กรณีนี้ ลบข้อมูลทั้งหมดไม่ได้ เพราะต้องเก็บข้อมูลตามกฎหมายบัญชี แต่ ERP สามารถ Anonymize ข้อมูลส่วนที่ไม่จำเป็นต่อการบัญชี (เช่น เบอร์โทร, อีเมล, ที่อยู่ส่วนตัว) และเก็บเฉพาะข้อมูลที่จำเป็นตามกฎหมาย (ชื่อบริษัท, เลขภาษี, ยอดเงิน) ไว้จนครบกำหนดเก็บรักษาเอกสาร
Saeree ERP กับ PDPA
Saeree ERP ออกแบบมาพร้อมฟีเจอร์ด้านความปลอดภัยที่รองรับ PDPA:
- Role-Based Access Control (RBAC) — กำหนดสิทธิ์การเข้าถึงได้ละเอียดถึงระดับฟิลด์ เช่น ฝ่าย HR เท่านั้นที่เห็นเงินเดือน
- Audit Trail ครบทุกโมดูล — ทุกการดู แก้ไข ลบข้อมูล มีบันทึกว่าใครทำ เมื่อไหร่ จาก IP อะไร
- Data Masking — ซ่อนข้อมูลอ่อนไหว (เลขบัตรฯ, เลขบัญชี) สำหรับผู้ใช้ที่ไม่มีสิทธิ์
- SSL Encryption (A+ Rating) — ข้อมูลเข้ารหัสตลอดการส่งผ่านเครือข่าย ป้องกันการดักจับ
- Two-Factor Authentication (2FA) — ยืนยันตัวตน 2 ชั้น ป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
- ระบบ Workflow — กำหนดขั้นตอนอนุมัติการเข้าถึงข้อมูลอ่อนไหว เช่น การดูข้อมูลเงินเดือนต้องได้รับอนุมัติจากผู้จัดการ
การมีระบบ บัญชีอัตโนมัติที่มี Audit Trail ในตัวช่วยให้องค์กรสามารถพิสูจน์ได้ว่าจัดการข้อมูลอย่างถูกต้องตามกฎหมาย
Checklist 8 ข้อ ที่องค์กรต้องทำเพื่อรับมือ PDPA
- จัดทำ Data Inventory — สำรวจว่าองค์กรเก็บข้อมูลส่วนบุคคลอะไรบ้าง อยู่ที่ไหน ใครเข้าถึงได้
- แต่งตั้ง DPO (Data Protection Officer) — กำหนดผู้รับผิดชอบด้านข้อมูลส่วนบุคคล ไม่จำเป็นต้องเป็นทนาย แต่ต้องเข้าใจระบบ
- จัดทำ Privacy Notice — แจ้งเจ้าของข้อมูลว่าเก็บข้อมูลอะไร เพื่ออะไร เก็บนานแค่ไหน
- จัดทำ Consent Form — สร้างแบบฟอร์มขอความยินยอม และบันทึก Consent Log ในระบบ
- กำหนด Data Retention Policy — กำหนดระยะเวลาเก็บข้อมูลแต่ละประเภท ตั้ง Auto-alert เมื่อครบกำหนด
- ตั้ง Access Control ในระบบ ERP — ทบทวนสิทธิ์การเข้าถึงทุกโมดูล ปิดสิทธิ์ที่ไม่จำเป็น
- เปิด Audit Trail — ตรวจสอบว่า ERP บันทึก Log ทุกการเข้าถึงข้อมูลส่วนบุคคล
- ฝึกอบรมพนักงาน — ทุกคนในองค์กรต้องเข้าใจว่า PDPA คืออะไร ทำอะไรได้ ทำอะไรไม่ได้
PDPA ไม่ได้กำหนดให้ "ห้ามเก็บข้อมูล" แต่กำหนดให้ "เก็บอย่างมีระเบียบ" — มีเหตุผล มีความยินยอม มีระยะเวลา มีความปลอดภัย ระบบ ERP ที่ดีช่วยให้คุณทำได้ทุกข้อโดยไม่ต้องสร้างระบบใหม่ เพราะข้อมูลส่วนใหญ่อยู่ใน ERP อยู่แล้ว
- Saeree ERP Team
แหล่งอ้างอิง
- สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)
- PDPA Thailand — แหล่งข้อมูล PDPA สำหรับองค์กร
- ราชกิจจานุเบกษา — พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
หากองค์กรของคุณต้องการปรับระบบ ERP ให้รองรับ PDPA หรือต้องการประเมินช่องโหว่ด้านข้อมูลส่วนบุคคล สามารถนัดหมาย Demo หรือติดต่อทีมที่ปรึกษาเพื่อให้คำแนะนำ
