ผลกระทบของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ต่อสำนักสอบบัญชี

ในเดือนสิงหาคมที่ผ่านมานี้ ดิฉันได้มีโอกาสเข้าร่วมการสัมมนา เรื่อง “การเตรียมความพร้อมระดับองค์กร พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล” โดยเนื้อหาสำคัญที่อาจมีกระทบต่อองค์กรที่ดิฉันสังกัดอยู่คือในส่วนของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ประกาศในราชกิจจานุเบกษาลงวันที่ 27 พฤษภาคม พ.ศ. 2562 โดยในหมวด 2 หมวด 3 และหมวด 5 ถึงหมวด 7 จะมีผลใช้บังคับเมื่อพ้นกำหนดหนึ่งปีนับแต่วันประกาศในราชกิจจานุเบกษา (วันที่ 28 พฤษภาคม พ.ศ. 2563) โดยดิฉันได้ทำความเข้าใจเบื้องต้นในส่วนที่เป็นสาระสำคัญของ พ.ร.บ. ฉบับนี้ ได้ดังนี้

สรุปสาระสำคัญของ พ.ร.บ.


การคุ้มครองข้อมูลส่วนบุคคล (หมวด 2)
            ผู้ควบคุมข้อมูลส่วนบุคคลจะทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ก็ต่อเมื่อได้รับความยินยอมจากเจ้าของข้อมูล การขอความยินยอมต้องทำโดยชัดแจ้งเป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ โดยผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่ายและไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ ในกรณีที่เจ้าของข้อมูลส่วนบุคคลถอนความยินยอม ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด
            ผู้ควบคุมข้อมูลส่วนบุคคลจะทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ก็ต่อเมื่อได้รับความยินยอมจากเจ้าของข้อมูล การขอความยินยอมต้องทำโดยชัดแจ้งเป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ โดยผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่ายและไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ ในกรณีที่เจ้าของข้อมูลส่วนบุคคลถอนความยินยอม ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด
            ทั้งนี้ ในเรื่องของการคุ้มครองข้อมูลส่วนบุคคล พ.ร.บ. ฉบับนี้ได้จำแนกรายละเอียดส่วนของการเก็บรวบรวมข้อมูลการใช้หรือการเปิดเผยข้อมูลไว้ตามมาตรา 22 ถึง 29 สำหรับข้อยกเว้นในการเก็บรวบรวมข้อมูล การใช้หรือการเปิดเผยข้อมูลจะระบุไว้ในหัวข้อที่เกี่ยวกับเรื่องนั้น ๆ

ผลกระทบของ พ.ร.บ ฉบับนี้ต่อสำนักงานสอบบัญชี
            โดยส่วนตัวนั้นดิฉันเป็นทั้งเจ้าของข้อมูลส่วนบุคคล และเป็นส่วนหนึ่งของผู้ควบคุมข้อมูลส่วนบุคคล ในฐานะที่เป็นเจ้าของข้อมูลส่วนบุคคลที่เกิดจากการให้ข้อมูลแก่หน่วยงานราชการ สถาบันการเงิน บริษัทประกันชีวิตและประกันภัย บริษัท/ห้างร้านที่สมัครบัตรสมาชิกต่าง ๆ และหน่วยงานอื่นอีกมากมาย ซึ่งในส่วนนี้อาจจะไม่มีผลกระทบมากนัก แต่จะได้ประโยชน์ในด้านสิทธิของเจ้าของข้อมูลส่วนตัวมากขึ้นไม่ว่าเป็นสิทธิในการขอให้ลบ ทำลาย ระงับการใช้ข้อมูล รวมถึงสิทธิในการร้องเรียนและขอให้ชดเชยค่าสินไหมทดแทนในบางกรณี สำหรับฐานะที่เป็นส่วนหนึ่งของผู้ควบคุมข้อมูลส่วนบุคคลที่เกิดจากการเป็นฝ่ายบริหารของสำนักงานสอบบัญชีได้ทำการประเมินเบื้องต้นว่า มีส่วนงานใดบ้างที่มีการเก็บรวบรวม และใช้ข้อมูลส่วนบุคคล ซึ่งต้องปฏิบัติตาม พ.ร.บ. ฉบับนี้ สามารถสรุปบางส่วนได้ดังนี้