PDPA ได้ถูกประกาศแล้ว หลายท่านอาจสงสัยว่ากฎหมายฉบับนี้เกี่ยวข้องกับ GDPR หรือไม่? และแบรนด์ในประเทศไทยควรปรับตัวอย่างไร?

เจ้าของธุรกิจออนไลน์ทุกท่านอาจเคยได้ยินหรือทราบถึง PDPA ซึ่งคือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลที่ถูกบังคับใช้ในประเทศไทยนับตั้งแต่ปี พ.ศ. 2562 แล้ว ถือได้ว่าเป็นข้อกฎหมายใหม่ที่มาพร้อมกับการพัฒนาเทคโนโลยีสารสนเทศ

อย่างไรก็ตามบางท่านอาจจะกำลังสับสนระหว่าง “กฎหมาย PDPA” กับ “กฎหมาย GRPR” ว่าเหมือนหรือต่างกันอย่างไร?

ในบทความนี้ Connect X จะมาบอกข้อแตกต่างระหว่างกฎหมายทั้ง 2 แบบนี้ให้เจ้าของธุรกิจทุกท่านได้ทราบ และนำไปใช้ดำเนินธุรกิจอย่างยั่งยืน

กฎหมาย PDPA ในประเทศไทย

PDPA คือ Personal Data Protection Act หรือก็คือกฎหมายที่มีจุดประสงค์เพื่อป้องกันข้อมูลส่วนตัวที่สามารถทำให้ระบุตัวบุคคลนั้นได้ ไม่ว่าจะเป็นทางตรงหรือทางอ้อมก็ตาม นอกจากนี้ PDPA ยังมีชื่อทางการเป็นภาษาไทยว่า “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล” และเป็นกฎหมายที่มีไว้เพื่อป้องกันข้อมูลของประชาชนคนไทยทั้งในและต่างประเทศ

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ได้ประกาศในราชกิจจานุเบกษาไปเมื่อ 27 พฤษภาคม พ.ศ. 2562 เริ่มแรก PDPA จะถูกบังคับใช้ในเต็มฉบับในวันที่ 1 มิถุนายน พ.ศ. 2564 ได้เลื่อนไปเป็นวันที่ 1 มิถุนายน พ.ศ. 2565 แทน

PDPA ครอบคลุมข้อมูลด้านใดบ้าง?

กฎหมาย PDPA เป็นกฎหมายที่มาพร้อมกับการก้าวหน้าของเทคโนโลยีสื่อสาร ซึ่งแน่นอนว่าครอบคลุมข้อมูลบนสื่อออนไลน์ เช่น การเก็บข้อมูลผ่านระบบ CRM ไปจนถึงข้อมูลออฟไลน์อย่างการจดบันทึกอีกด้วย ทั้งยังเป็นกฎหมายที่ป้องกันการละเมิดข้อมูลส่วนบุคคล (Personal Data Violation) แบบรอบด้าน ไม่ว่าจะเป็น ชื่อ-นามสกุล หมายเลขบัตรประชาชน เบอร์โทรศัพท์ ที่อยู่ อีเมล รูปภาพใบหน้า ข้อมูลเสียง ลายนิ้วมือ ฯลฯ

ยังไม่หมดเพียงเท่านี้ เพราะ PDPA นั้นครอบคลุมไปถึง Sensitive Data หรือข้อมูลส่วนบุคคลที่มีความอ่อนไหวด้วย อาทิ เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อ ลัทธิ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลทางด้านสุขภาพ ข้อมูลทางพันธุกรรม ข้อมูลชีวภาพ Cookies ID หรือ Device ID

จะเห็นได้ว่า PDPA นั้นครอบคลุมข้อมูลของผู้บริโภคแบบรอบด้านเลยทีเดียว ซึ่งการที่นิติบุคคล กิจการ หรือแบรนด์ต่างๆ จะเก็บรวบรวมข้อมูลได้นั้น ต้องได้รับการยินยอมจากเจ้าของข้อมูลเสียก่อน

GDPR มีข้อแตกต่างอย่างไร?

กฎหมาย GDPR นั้นย่อมาจาก General Data Protection Regulation ที่จริงๆ แล้วอาจไม่เกี่ยวข้องกับประเทศไทยมากนัก เนื่องจากเป็นข้อบังคับในกฎหมายของสหภาพยุโรป (European Union หรือ EU) จะคุ้มครองข้อมูลของส่วนบุคคลของประชากรในสหภาพยุโรปและบุคคลสัญชาติยุโรปที่อยู่ในต่างประเทศ เพื่อให้มั่นใจว่าข้อมูลจะไม่ถูกนำไปใช้ในทางมิชอบ และได้เริ่มบังคับใช้อย่างเป็นทางการในวันที่ 25 พฤษภาคม พ.ศ. 2561 เป็นที่เรียบร้อย หากท่านมีกิจการระหว่างประเทศ (International Business) อยู่ในสหภาพยุโรป ก็ควรพึงปฏิบัติตามข้อกฎหมายนี้ด้วย

GDPR ในยุโรปนั้นได้ถูกร่างและบังคับใช้มาก่อน PDPR ของไทย หรือพูดในอีกนัยหนึ่งว่า GDPR เป็นต้นแบบของ PDPR ก็ว่าได้ และมีข้อกำหนดที่มากกว่าด้วย แต่ในไม่ช้า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนี้จะมีการร่างข้อบังคับเพิ่มเติมและประกาศใช้ภายหลัง เจ้าของธุรกิจทุกท่านควรศึกษาและปรับธุรกิจให้อยู่ภายใต้กฎหมายฉบับนี้

ผู้ประกอบการต้องปรับตัวอย่างไร?

สิ่งแรกๆ ที่ผู้ประกอบการและแบรนด์ควรให้ความสำคัญคือ การสร้าง Privacy Policy หรือนโยบายความเป็นส่วนตัว เพื่อ “แจ้ง” รายละเอียดเกี่ยวกับการจัดการข้อมูลส่วนบุคคล เช่น เก็บข้อมูลอะไร ใช้ทำอะไร ลบข้อมูลเมื่อใด เป็นต้น

นอกเหนือจากนั้น ในวันที่ 1 มิถุนายน พ.ศ. 2565 พ.ร.บ คุ้มครองข้อมูลส่วนบุคคลนี้ จะมีการบังคับใช้ให้ผู้ที่เก็บรวบรวมข้อมูลต้องทำ Privacy Policy ด้วยนั่นเอง เพื่อเป็นการป้องกันการถูกฟ้องร้อง แบรนด์ควรขอความยินยอมในการเก็บข้อมูล การใช้หรือการเปิดเผยข้อมูลเสียก่อน หรือที่เรียกว่า Consent Management นั่นเอง

การใช้ระบบเก็บข้อมูลอย่างระบบ CRM หรือ ระบบ CDP ที่ได้มาตรฐานและสามารถจัดการข้อมูลได้อย่างชาญฉลาด เป็นอีกหนึ่งตัวเลือกที่น่าสนใจสำหรับผู้ประกอบการทุกท่าน

ดังนั้นการบริหารข้อมูลส่วนบุคคลจึงเป็นเรื่องที่เกี่ยวข้องกับแบรนด์โดยตรง และจำเป็นต้องดำเนินการอย่างต่อเนื่อง เพราะหากไม่มี “ข้อมูล” แล้ว การทำการตลาด เช่น Personalized Marketing หรือ Remarketing จะเป็นไปไม่ได้เลย

บทลงโทษหากไม่ปฏิบัติตาม PDPA

บทลงโทษของพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลสามารถแบ่งได้เป็นโทษ 3 แบบ ดังนี้

1. โทษทางแพ่ง – ตามความเสียหายที่เกิดขึ้นจริงและอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง

2. โทษทางอาญา – จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ

3. โทษทางปกครอง – ปรับสูงสุดไม่เกิน 5 ล้านบาท

แน่นอนว่าไม่มีผู้ประกอบการท่านไหนต้องการที่จะเสียค่าปรับหรือจำคุก การนำข้อมูลส่วนบุคคลถูกนำไปใช้ในทางที่เหมาะสมและการรู้ถึงขอบเขต การเข้าถึงข้อมูลจึงเป็นเรื่องที่ต้องพิจารณาอย่างรอบคอบทุกครั้ง

สำหรับผู้ประกอบการหรือเจ้าของแบรนด์ท่านใดที่กำลังมองหาแพลตฟอร์มคุณภาพ ในการจัดการข้อมูลของลูกค้าแบบรอบด้าน จะรวมข้อมูลจาก API ไหนก็ทำได้ เปลี่ยน Unknown เป็น Known Customer ได้ง่ายๆ พร้อมระบบ Ad Tracking, Web Tracking และ Marketing Automation ต้องที่ Connect X เท่านั้น

สำหรับเจ้าของธุรกิจท่านใดที่กำลังมองหาระบบ CRM ดีๆ สักอัน หรือต้องการคำปรึกษาก่อนตัดสินใจ Connect X ก็พร้อมจะช่วย ด้วยแพลตฟอร์ม CDP ที่มาพร้อมกับระบบ CRM, Marketing Automation และรองรับกฎหมาย PDPA เพื่อให้ธุรกิจสามารถขยายฐานลูกค้าและเพิ่มยอดขายในยุคดิจิทัลได้อย่างยั่งยืน

เริ่มต้นสร้างประสบการณ์ดีๆ ให้ลูกค้าได้แล้ววันนี้ด้วย Connect X Marketing Platform ที่มาพร้อม CDP & Marketing Automation

Connect X คือ Platform ที่จะเข้ามาช่วยไม่ให้ธุรกิจถูก Digital Disruption ถึงเวลาแล้วที่ทุกธุรกิจจะต้องเริ่ม Connect กับประสบการณ์ของลูกค้า (Customer Experience) แบบไร้รอยต่อด้วย Marketing Platform ที่ไม่เพียงแต่มี Feature เด็ดๆ แต่ยังสามารถปรับแต่ง Platform Customize ให้เข้ากับแบรนด์ที่มีความแตกต่างกันได้ด้วย

ติดตามเรื่องราวเด็ดๆ ที่ทั้งสาย Tech และ Marketer พลาดไม่ได้
เพิ่มเติมได้ที่