ธุรกิจออนไลน์ต้องรู้! โทษ PDPA และ 5 วิธีรับมือก่อนโดนปรับ

หลายคนคงเคยเห็นว่าเวลาเข้าเว็บไซต์มักมีป๊อปอัปให้ “ยินยอม” หรือ “ปฏิเสธ” การเก็บข้อมูล เช่น คุกกี้ หรือ Cookies Consent ซึ่งเป็นไปตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA กฎหมายที่เน้นการคุ้มครองความเป็นส่วนตัวของผู้ใช้งานออนไลน์

ในยุคดิจิทัล “ข้อมูล” คือหัวใจของการตลาด ไม่ว่าจะนำไปใช้วิเคราะห์พฤติกรรมลูกค้า หรือพัฒนาแคมเปญต่าง ๆ การเก็บข้อมูลเหล่านี้ต้อง “ได้รับความยินยอม” อย่างชัดเจน เพราะหากละเมิด อาจเข้าข่ายผิดกฎหมาย PDPA ซึ่งมี โทษทั้งจำและปรับ

Connect X ขอสรุปสาระสำคัญเพื่อให้ธุรกิจสามารถใช้ข้อมูลได้อย่างถูกต้องตามกฎหมาย และไม่ต้องกังวลว่าจะถูกฟ้องร้องในอนาคต

PDPA คืออะไร?

PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act) คือกฎหมายที่ออกมาเพื่อปกป้องสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยกำหนดให้ทุกองค์กรที่มีการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับ “ความยินยอมโดยชัดแจ้ง” จากเจ้าของข้อมูลก่อนเสมอ

ข้อมูลส่วนบุคคลในที่นี้ครอบคลุมตั้งแต่ชื่อ-นามสกุล เบอร์โทรศัพท์ อีเมล ที่อยู่ IP Address พิกัด GPS ไปจนถึงพฤติกรรมการใช้งานเว็บไซต์ หรือแม้แต่ประวัติการซื้อสินค้าออนไลน์ ซึ่งเป็นข้อมูลที่สามารถระบุตัวตนบุคคลได้โดยตรงหรือโดยอ้อม

PDPA ครอบคลุมทั้งองค์กรภายในประเทศไทยและองค์กรต่างประเทศที่ให้บริการกับคนไทย ไม่ว่าจะดำเนินการผ่านช่องทางออนไลน์หรือออฟไลน์ เช่น เว็บไซต์ แอปพลิเคชัน โซเชียลมีเดีย หรือเอกสารกระดาษ

เป้าหมายของ PDPA คือการกำหนด “กรอบการใช้ข้อมูล” ให้โปร่งใส เป็นธรรม และควบคุมความเสี่ยงที่อาจเกิดขึ้นจากการละเมิดสิทธิส่วนบุคคล เช่น การส่งต่อข้อมูลโดยไม่ได้รับอนุญาต หรือการใช้ข้อมูลในทางการตลาดโดยเจ้าของข้อมูลไม่รู้ตัว

องค์กรใดที่ไม่ปฏิบัติตาม PDPA จะต้องเผชิญกับบทลงโทษที่ชัดเจนทั้งในทางแพ่ง อาญา และทางปกครอง รวมถึงเสี่ยงต่อความเสียหายด้านชื่อเสียงและความน่าเชื่อถือทางธุรกิจอย่างมีนัยสำคัญ

โทษ PDPA หากไม่ปฏิบัติตาม

การละเมิด พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ไม่ใช่แค่เรื่องของการทำผิดทางเทคนิค แต่ส่งผลโดยตรงต่อความน่าเชื่อถือของธุรกิจ และอาจสร้างความเสียหายทั้งในเชิงกฎหมายและภาพลักษณ์องค์กรอย่างรุนแรง

หากองค์กรใดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลอย่างชัดเจน ถือว่ามีความผิดตามกฎหมาย โดยไม่ว่าจะเป็น ผู้ควบคุมข้อมูล (Data Controller) หรือ ผู้ประมวลผลข้อมูล (Data Processor) ก็มีโทษทางกฎหมายที่ครอบคลุมทั้ง แพ่ง, อาญา และ ทางปกครอง ดังนี้:

• โทษทางแพ่ง
  เจ้าของข้อมูลสามารถเรียกร้องค่าสินไหมทดแทนตามความเสียหายที่เกิดขึ้นจริง และอาจมีการเรียกค่าเสียหายเชิงลงโทษ (Punitive Damages) ได้ในกรณีที่องค์กรกระทำโดยเจตนา หรือประมาทเลินเล่ออย่างร้ายแรง

• โทษทางอาญา
  กรณีที่มีการนำข้อมูลไปใช้โดยมิชอบ เช่น ขายต่อ ส่งต่อ หรือใช้ในทางที่เจ้าของข้อมูลไม่เคยยินยอม อาจมีโทษจำคุกสูงสุด 1 ปี และ/หรือ ปรับไม่เกิน 1 ล้านบาท ขึ้นอยู่กับเจตนาและผลกระทบที่เกิดขึ้น

• โทษทางปกครอง
  หน่วยงานกำกับดูแลสามารถสั่ง ปรับทางปกครองได้สูงสุด 5 ล้านบาทต่อกรณี โดยไม่จำเป็นต้องรอคำสั่งศาล

นอกจากโทษในเชิงกฎหมายแล้ว องค์กรยังเสี่ยงต่อการถูกเปิดเผยชื่อ (Name & Shame) หรือขึ้นบัญชีดำโดยหน่วยงานกำกับดูแล ซึ่งอาจกระทบต่อความเชื่อมั่นจากลูกค้าและพาร์ตเนอร์ทางธุรกิจ

ดังนั้น การเตรียมตัวให้ถูกต้องตั้งแต่ต้น ทั้งด้านนโยบาย กระบวนการ และเครื่องมือที่ใช้ จึงเป็นทางรอดของธุรกิจในยุคที่ “ข้อมูล” คือสินทรัพย์ และ “ความยินยอม” คือเงื่อนไขในการใช้ข้อมูลนั้นอย่างถูกกฎหมาย

5 ข้อที่ทุกธุรกิจห้ามพลาด ในการเตรียมตัวก่อน PDPA มีผลบังคับใช้

1. สร้าง Awareness ด้าน Data Privacy ให้กับบุคลากรในองค์กร

เพราะแทบทุกแผนกอาจมีความเกี่ยวข้องที่ทำให้ต้องใช้งาน เก็บรวบรวม และเปิดเผยข้อมูลส่วนบุคคลของลูกค้า พนักงานบริษัท บริษัทคู่ค้า (Vendor) บริษัทที่ได้รับการว่าจ้าง (Outsource) ฯลฯ จึงจำเป็นจะต้องมีความตระหนักถึงความสำคัญของนโยบายความเป็นส่วนตัวของข้อมูลส่วนบุคคลเหล่านั้น นอกจากนี้ควรศึกษาข้อมูลและปฏิบัติให้ถูกต้องตามกฎหมาย PDPA เพราะทุกคนมีความเสี่ยงต่อการที่ข้อมูลส่วนบุคคลที่องค์กรประมวลผลอาจถูกละเมิดร่วมกัน รวมถึงช่วยกันการดำเนินการเพื่อลดความเสี่ยงเหล่านั้นลง

2. วางนโยบายความเป็นส่วนตัว Privacy Policy

นโยบายดังกล่าวควรครอบคลุมทั้งภายในองค์กร รวมถึงการสร้างเงื่อนไขสำหรับผู้ใช้บริการหรือลูกค้าของเรา ซึ่งองค์กรควรจัดหาเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ Data Protection Officer: DPO เพื่อช่วยให้คำแนะนำและตรวจสอบการดำเนินงานขององค์กรให้ถูกต้องตามกฎหมาย PDPA สามารถลดความเสี่ยงได้อีกทางหนึ่ง

ในส่วนของนโยบายความเป็นส่วนตัวของลูกค้า ธุรกิจต้องระบุให้ชัดเจนว่าต้องการเก็บข้อมูลอะไร เพื่อใช้ประโยชน์อะไร มีการส่งต่อข้อมูลให้บริษัทภายนอกหรือไม่ และมีระยะเวลาในการเก็บนานเท่าใด รวมทั้งมีมาตรการในการคุ้มครองความเป็นส่วนตัวอย่างไรบ้าง พร้อมทั้งทำส่วนการแจ้งเตือนหรือฟอร์มในการสอบถามความยินยอมให้ชัดเจน เช่น บนเว็บไซต์อาจจะเป็น “รูปแบบคุกกี้แบนเนอร์ (Cookie Consent Banner)” โดยระบุเงื่อนไข Cookies Privacy Policy ให้ผู้ใช้งานอ่านและกดยินยอมหรือปฏิเสธ ทำให้เหล่าธุรกิจไม่ต้องห่วงปัญหาที่จะตามมาในเรื่อง PDPA กับเว็บไซต์อีกเลย ส่วนในช่องทางอื่นๆ อย่างแอปพลิเคชันก็สามารถแจ้งเตือนภายในแอป (In-App Notification) เมื่อผู้ใช้งานทำการเปิดแอปพลิเคชันครั้งแรก หรือทำการสมัครสมาชิกได้เช่นกัน

3. กำหนดมาตรการในการดูแลข้อมูลส่วนบุคคล

เมื่อองค์กรได้มีการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้ใช้บริการหรือลูกค้าแล้วนั้น จะต้องจัดการระบบให้มีความปลอดภัย เพราะหากมีการรั่วไหลอาจทำให้เกิดการฟ้องร้องหรือดำเนินคดีได้ โดยอาจเริ่มจากการจัดทำ Access Control & Logging เพื่อตรวจสอบคนที่เข้าถึงข้อมูล และเพิ่ม IT Security เช่น Firewall หรือ Encryption เป็นต้น ควรเตรียมมาตรการในการรับมือเหตุการณ์ฉุกเฉิน เมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคลโดยตั้งใจหรือมิได้ตั้งใจ ทางองค์กรจะต้องมีการรายงานผลและแสดงความรับผิดชอบต่อเหตุการณ์ที่เกิดขึ้นในทุกกรณี

4. สร้างระบบรองรับเมื่อมีการยกเลิกการยินยอมแบบอัตโนมัติ

ในเงื่อนไขนโยบายความเป็นส่วนตัว จะต้องมีการระบุว่าเมื่อผู้ใช้งานหรือลูกค้ากดยินยอมให้ใช้ประโยชน์จากข้อมูลแล้ว ลูกค้าสามารถทำการยกเลิกการยินยอมก่อนระยะเวลาที่ธุรกิจกำหนดได้ ซึ่งหมายถึงว่าเจ้าของข้อมูลสามารถทำการยกเลิกได้ตลอดเวลา การมีระบบรองรับสำหรับการยกเลิกการยินยอมแบบอัตโนมัติจะช่วยให้สร้างความพึงพอใจต่อผู้ใช้บริการหรือลูกค้าได้มากกว่า เพราะสามารถดำเนินการได้ทันที จึงช่วยลดโอกาสในการฟ้องร้องดำเนินคดีจากความล่าช้าในการดำเนินการได้อีกด้วย

5. เตรียมเครื่องมือให้พร้อม

ให้ Connect X เป็นตัวช่วยให้กับธุรกิจของคุณ เราคือแพลตฟอร์ม CDP (Customer Data Platform) สามารถช่วยเก็บรวบรวมข้อมูลลูกค้าจากทุกช่องทางไว้ในที่เดียวกัน มาพร้อมกับระบบ Marketing Automation ที่ช่วยทำการตลาดแบบอัตโนมัติ โดยเป็นแพลตฟอร์มหรือระบบที่รองรับกฎหมาย PDPA เป็นระบบที่ได้รับมาตรฐานการเก็บข้อมูลอย่างปลอดภัย มีมาตรฐาน ISO27001 ทำให้เหล่าธุรกิจคลายกังวลได้เพราะข้อมูลของลูกค้าจะปลอดภัยและมีขั้นตอนการเก็บข้อมูลที่ถูกต้องตามกฎหมาย PDPA อย่างแน่นอน

จากที่ Connect X ได้แนะนำ 5 ข้อที่ธุรกิจควรเตรียมตัวก่อนที่กฎหมาย PDPA บังคับใช้กันไปแล้ว จะเห็นได้ว่าข้อมูลส่วนบุคคลนั้นมีความสำคัญที่เหล่าธุรกิจจะต้องคำนึงถึงโดยมีมาตรการสร้างทั้งความเข้าใจและความพร้อมของบุคลากรกับระบบที่ใช้งานให้พร้อมก่อน 1 มิถุนายนที่จะถึงนี้ ซึ่งหากไม่ปฏิบัติตามกฎหมาย PDPA แล้วมีการนำข้อมูลไปใช้โดยไม่ได้รับความยินยอมหรือใช้ผิดวัตถุประสงค์ ก็อาจทำให้เกิดความเสียหายต่อทรัพย์สินหรือความเป็นส่วนตัวของเจ้าของข้อมูลหรือลูกค้าของเรา และส่งผลกระทบต่อองค์กรเป็นวงกว้าง

หากองค์กรธุรกิจปฏิบัติตามกฎหมาย PDPA อย่างเคร่งครัด โดยที่มีการชี้แจงเรื่องการใช้ข้อมูลอย่างโปร่งใส ด้วยภาษาที่เข้าใจง่ายและตรงไปตรงมา ก็จะช่วยส่งเสริมภาพลักษณ์ที่ดีให้กับธุรกิจ พร้อมสร้างความสบายใจจนเกิดเป็นความไว้วางใจให้กับลูกค้าได้อย่างแน่นอน