PDPA กับข้อมูลทางบัญชี เจ้าของร้านต้องรู้อะไรบ้าง
ตั้งแต่ PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) มีผลบังคับใช้เต็มรูปแบบ เจ้าของร้านหลายคนถามเรื่องเดียวกัน — "ร้านเล็ก ๆ แบบเรา PDPA เกี่ยวข้องด้วยไหม?"
คำตอบคือ ใช่ และโดยเฉพาะถ้าเก็บข้อมูลลูกค้าที่เกี่ยวกับการเงินและการชำระเงิน ยิ่งต้องระวัง
PDPA คืออะไร ในมุมที่เกี่ยวกับธุรกิจ
PDPA กำหนดว่าเวลาเราเก็บ ใช้ หรือส่งต่อข้อมูลส่วนบุคคลของลูกค้า ต้องได้รับความยินยอม และต้องดูแลข้อมูลนั้นให้ปลอดภัย
ข้อมูลส่วนบุคคลที่ธุรกิจมักเก็บไว้ เช่น:
- ชื่อ-นามสกุลลูกค้า
- ที่อยู่สำหรับจัดส่ง
- เบอร์โทรศัพท์และอีเมล
- ข้อมูลการชำระเงิน เช่น เลขบัตรเครดิต หรือเลขบัญชีธนาคาร
- ประวัติการสั่งซื้อ
ทั้งหมดนี้คือ "ข้อมูลส่วนบุคคล" ที่อยู่ภายใต้ PDPA
ส่วนที่เกี่ยวกับบัญชีและการเงินโดยเฉพาะ
ข้อมูลทางบัญชีที่ธุรกิจเก็บไว้มักมีข้อมูลส่วนบุคคลอยู่เต็มไปหมด ไม่ว่าจะเป็น:
บิล ใบกำกับภาษี และใบเสร็จ — มีชื่อ ที่อยู่ เลขประจำตัวผู้เสียภาษีของลูกค้า
บันทึกการชำระเงิน — มีเลขบัญชีหรือข้อมูลบัตรเครดิต
สัญญาซื้อขาย — มีข้อมูลส่วนบุคคลของคู่สัญญา
เอกสาร KYC (Know Your Customer) — ถ้าธุรกิจต้องเก็บสำเนาบัตรประชาชนหรือพาสปอร์ต
SME ต้องทำอะไรบ้าง
1. รู้ว่าเก็บข้อมูลอะไรบ้างและอยู่ที่ไหน
ทำ "แผนที่ข้อมูล" ง่าย ๆ ว่าธุรกิจเราเก็บข้อมูลลูกค้าไว้ที่ไหน เช่น ในระบบ CRM ในโปรแกรมบัญชี ในกล่อง Excel ใน Drive หรือในโฟลเดอร์กระดาษ
2. เก็บเฉพาะที่จำเป็น
อย่าเก็บข้อมูลมากกว่าที่จำเป็นสำหรับการทำธุรกรรม ถ้าแค่ต้องจัดส่งสินค้า ก็ไม่จำเป็นต้องเก็บเลขบัตรประชาชนของลูกค้า
3. ขอความยินยอมอย่างชัดเจน
ถ้าจะเก็บข้อมูลไว้ใช้ในอนาคต เช่น ส่งโปรโมชั่น ต้องขอความยินยอมก่อน และลูกค้าต้องสามารถยกเลิกความยินยอมได้ตลอดเวลา
4. ดูแลความปลอดภัยของข้อมูล
ไฟล์ Excel ที่เก็บข้อมูลลูกค้าควรมีรหัสผ่าน ระบบบัญชีออนไลน์ต้องมี 2FA ไม่แชร์บัญชีผู้ใช้กับคนที่ไม่จำเป็นต้องรู้
5. มีนโยบายลบข้อมูลที่ไม่จำเป็น
ข้อมูลลูกค้าที่ไม่ได้ซื้อมาหลายปีแล้ว ควรมีกระบวนการลบหรือทำให้ไม่สามารถระบุตัวตนได้ ไม่ใช่เก็บไว้ตลอดชีวิต
ข้อยกเว้นที่เกี่ยวกับเอกสารบัญชี
กฎหมายบัญชีกำหนดให้เก็บเอกสารทางบัญชีไว้อย่างน้อย 5 ปี ตรงนี้อาจขัดแย้งกับ PDPA ที่บอกว่าลบข้อมูลเมื่อไม่จำเป็น
วิธีแก้คือ เก็บเอกสารไว้ตามที่กฎหมายกำหนด แต่ใช้มาตรการรักษาความปลอดภัยให้เหมาะสม และอธิบายได้ว่าเก็บไว้เพื่อวัตถุประสงค์ทางกฎหมาย ไม่ใช่เพื่อธุรกิจการค้า
โทษถ้าไม่ปฏิบัติตาม
- ปรับทางแพ่งสูงสุด 5 ล้านบาทต่อกรรม
- โทษทางอาญาสูงสุด 1 ปีจำคุกและปรับ 1 ล้านบาท
- ชดใช้ค่าเสียหายให้ลูกค้าที่ได้รับผลกระทบ
สำหรับ SME สิ่งที่น่ากลัวกว่าโทษตามกฎหมายคือ ความเสียหายต่อชื่อเสียง ถ้าข้อมูลลูกค้ารั่วไหลและเป็นข่าว
เริ่มต้นง่าย ๆ ก่อน
ไม่ต้องทำทุกอย่างพร้อมกัน เริ่มจาก:
- ทำรายการว่าเก็บข้อมูลลูกค้าไว้ที่ไหนบ้าง
- ตั้งรหัสผ่านหรือจำกัดการเข้าถึงไฟล์ที่มีข้อมูลสำคัญ
- อธิบายให้ทีมงานรู้ว่าอะไรเป็นข้อมูลที่ต้องระวัง
- ถ้าธุรกิจโตขึ้น ค่อยปรึกษาผู้เชี่ยวชาญด้านกฎหมายข้อมูล
ทำแค่นี้ก่อนก็ดีกว่าไม่ทำอะไรเลย
MoomooNext โปรแกรมบัญชี ทดลองใช้ฟรี คลิก
บทความที่เกี่ยวข้อง
บัญชีและการเงิน
SME มีกี่ประเภท และแต่ละประเภทมีภาระภาษีต่างกันอย่างไร
ธุรกิจ SME แบ่งได้เป็น 3 ประเภทหลัก แต่ละประเภทมีปัญหาที่เจอบ่อยและภาระภาษีต่างกัน เจ้าของร้านควรเข้าใจพื้นฐานนี้ก่อนวางแผนธุรกิจ
อ่านต่อ →
บัญชีและการเงิน
ทำธุรกิจโดยไม่มีระบบบัญชี เหมือนขับรถโดยไม่ดูมาตรวัด
ระบบบัญชีไม่ใช่แค่เรื่องกฎหมาย แต่คือเครื่องมือที่ช่วยให้ตัดสินใจธุรกิจได้ดีขึ้น เจ้าของร้านที่ไม่มีระบบบัญชีกำลังเสียโอกาสอะไรอยู่
อ่านต่อ →
บัญชีและการเงิน
บัญชีดี กู้ผ่าน บัญชีห่วย กู้ไม่ผ่าน
สถาบันการเงินดูอะไรในบัญชีธุรกิจก่อนอนุมัติสินเชื่อ บัญชีแบบไหนเสี่ยงถูกปฏิเสธ และทำอย่างไรให้บัญชีพร้อมสำหรับการขอเงินทุน
อ่านต่อ →
บัญชีและการเงิน
ปิดงบการเงินคืออะไร ทำไมบริษัทต้องทำทุกปี
บริษัทจำกัดทุกแห่งต้องปิดงบการเงินอย่างน้อยปีละครั้ง ถ้าไม่ทำมีค่าปรับ บทความนี้อธิบายขั้นตอนและวิธีเตรียมเอกสารสำหรับบริษัทที่ไม่ได้บันทึกบัญชีสม่ำเสมอ
อ่านต่อ →