ในยุคที่ข้อมูลคือหัวใจของการทำธุรกิจ ทั้งผู้บริโภคและเจ้าของกิจการต่างต้องเกี่ยวข้องกับข้อมูลส่วนบุคคลแทบทุกวัน แต่แม้กฎหมาย PDPA จะมีผลบังคับใช้แล้ว หลายคนก็ยังคงมีความเข้าใจผิดหรือรู้สึกสับสนเกี่ยวกับรายละเอียดของกฎหมายฉบับนี้อยู่ไม่น้อย ไม่ว่าจะเป็นเรื่องของการเก็บข้อมูล การใช้ข้อมูล หรือแม้แต่การขอความยินยอมที่ถูกต้อง ดังนั้นวันนี้ Connect X จะมาช่วย สรุป กฎหมาย PDPA ให้เข้าใจง่าย พร้อมอธิบายหลักการสำคัญ ไปจนถึงแนวทางการนำไปใช้จริงในธุรกิจ หากคุณเพิ่งเริ่มต้นศึกษา หรืออยากทบทวนความเข้าใจเกี่ยวกับ PDPA บทความนี้คือจุดเริ่มต้นที่ไม่ควรพลาด!

3 เรื่องเข้าใจผิดเกี่ยวกับ PDPA ต้องเคลียร์ ไม่ให้สับสน

ข้อมูลส่วนบุคคลถือเป็นทรัพยากรสำคัญในยุคดิจิทัลที่ทุกธุรกิจต่างพยายามเก็บรวบรวมเพื่อนำไปใช้ในการสร้างประสบการณ์ที่ตอบโจทย์ลูกค้ามากที่สุด ไม่ว่าจะเป็นการแนะนำสินค้า โปรโมชั่นเฉพาะบุคคล หรือการสื่อสารที่แม่นยำมากขึ้น แต่ด้วยความสำคัญของข้อมูลเหล่านี้เอง ทำให้เกิด กฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ขึ้นมาเพื่อควบคุมการจัดการข้อมูลให้อยู่ภายใต้กรอบที่ปลอดภัยและเป็นธรรม โดยเฉพาะเรื่องของการเก็บ ใช้ และเปิดเผยข้อมูลที่ต้องได้รับความยินยอมอย่างชัดเจน

อย่างไรก็ตาม ถึงแม้กฎหมายนี้จะมีผลบังคับใช้แล้ว แต่ก็ยังมีความเข้าใจผิดจำนวนไม่น้อยในสังคม ทั้งจากฝั่งเจ้าของธุรกิจและผู้บริโภคเอง วันนี้ Connect X จะมาไขข้อข้องใจและชี้แจง และช่วย สรุป กฎหมาย PDPA ที่ควรเคลียร์ให้ชัด เพื่อให้คุณสามารถนำไปปรับใช้ในชีวิตประจำวันหรือธุรกิจได้อย่างถูกต้อง

1. PDPA มีผลเฉพาะกับธุรกิจหรือองค์กรเท่านั้น

หลายคนเข้าใจว่า พ.ร.บ. ฉบับนี้มีผลเฉพาะกับบริษัทหรือผู้ประกอบการที่มีการเก็บข้อมูลลูกค้า แต่จริงๆ แล้ว PDPA ครอบคลุม “ทุกฝ่าย” ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ไม่ว่าจะเป็นภาครัฐ เอกชน หรือแม้แต่บุคคลทั่วไป หากมีการเก็บ ใช้ หรือเผยแพร่ข้อมูลที่สามารถระบุตัวตนได้ เช่น ชื่อ-สกุล เบอร์โทรศัพท์ ที่อยู่ เลขบัญชีธนาคาร ฯลฯ ก็เข้าข่ายทั้งหมด

ยกตัวอย่างง่ายๆ เช่น คุณซื้อของออนไลน์แล้วต้องส่งข้อมูลสำหรับจัดส่งให้พ่อค้าแม่ค้า เช่น ชื่อ เบอร์โทร ที่อยู่ แม้เป็นการติดต่อแบบส่วนตัว แต่ข้อมูลที่ส่งให้เหล่านั้นก็ถือเป็น “ข้อมูลส่วนบุคคล” ซึ่งผู้ขายก็ควรจัดเก็บอย่างระมัดระวัง และไม่นำไปใช้ต่อโดยไม่ได้รับอนุญาต

2. ธุรกิจต้องได้รับความยินยอม (Consent) จากเจ้าของข้อมูลทุกครั้ง

สำหรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ยังมีบทบัญญัติเกี่ยวกับหลักการเก็บรวบรวมข้อมูลส่วนบุคคลตามกฎหมาย PDPA ในมาตรา 24 ซึ่งมีหลักการเกี่ยวกับเรื่องความยินยอม (Consent) ก่อนที่แบรนด์หรือนักการตลาดจะนำข้อมูลไปเก็บในระบบ CRM หรือนำไปประกอบแคมเปญต่างๆ ก็ต้องขอความยินยอมก่อน เช่น การขอ Cookie Consent เพื่อจัดเก็บไฟล์คุกกี้และข้อมูลของผู้เข้าชมเว็บไซต์ แต่ไม่ได้แปลว่าธุรกิจจะต้องขออนุญาตทุกครั้งที่ต้องเก็บข้อมูล

ในความจริงแล้ว เจ้าของข้อมูลต้องให้ความยินยอม (Consent) ต่อผู้ควบคุมข้อมูลตามที่แจ้งไว้ตั้งแต่แรกเพียงครั้งเดียวเท่านั้น อาทิ เมื่อสมัครสมาชิกผ่านเว็บไซต์หรือแอปพลิเคชัน หลังจากกรอกรายละเอียดแล้ว จะมีข้อความหรือเอกสารให้อ่านพร้อมปุ่มกด “ยินยอม” หรือ “ยอมรับ” เพื่ออนุญาตให้ธุรกิจเก็บรวบรวมข้อมูลนั่นเอง ซึ่งจะเป็นการทำเพียงครั้งเดียว ไม่จำเป็นต้องกดยินยอมทุกครั้งเมื่อเข้าสู่ระบบ สำหรับมุมมองของธุรกิจนั้น การขอความยินยอมเพียงครั้งเดียวนี้ก็เป็นการอำนวยความสะดวกให้สามารถเก็บรวบรวมข้อมูลของผู้ใช้งานหรือลูกค้าได้ต่อเนื่องและมีฐานข้อมูลครบถ้วน สามารถใช้ในการทำการตลาดหรือเพื่อปรับปรุง Marketing Automation ให้มีประสิทธิภาพมากขึ้นได้นั่นเอง

นอกจากนี้ ยังมีกรณีต่างๆ ที่ข้อมูลจะถูกเก็บรวบรวมได้ โดยได้รับข้อยกเว้น PDPA หรือไม่จำเป็นต้องขอความยินยอมดังนี้

กรณีป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูล รวมไปถึงการใช้ข้อมูลเพื่อประโยชน์สาธารณะ เช่น ป้องกันโรคระบาด ซึ่งผู้ควบคุมสามารถเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคลได้โดยไม่ต้องได้รับความยินยอม
การปฏิบัติตามสัญญา ไม่ต้องขอความยินยอม
ปฏิบัติภารกิจของรัฐ ตามมาตรา 24(4) หากจำเป็นต่อการดำเนินภารกิจของรัฐเพื่อประโยชน์สาธารณะ หรือเป็นการใช้อำนาจรัฐ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อการนั้น ไม่ต้องขอความยินยอม อย่างไรก็ตาม แม้ไม่ต้องขอความยินยอม แต่ผู้ควบคุมยังคงมีหน้าที่ในการรักษาความปลอดภัยของข้อมูล และคำนึงถึงความได้สัดส่วนความจำเป็นในการใช้ข้อมูล และผลกระทบต่อความเป็นส่วนตัวของเจ้าของข้อมูล
ปฏิบัติตามกฎหมาย ไม่ต้องขอความยินยอม มาตรา 24(6)

3. การโพสต์รูปโซเชียลโดยมีใบหน้าผู้อื่นติดมาด้วย ถือว่าผิดกฎหมาย PDPA

ใจความสำคัญของ PDPA คือการปกป้องความเป็นส่วนตัว ซึ่งก็รวมไปถึงรูปถ่ายหรือวิดีโอที่มีใบหน้าของเจ้าของข้อมูลด้วย หลายคนเข้าใจว่าการที่ใครสักคนโพสต์รูปบนโซเชียลแล้วมีใบหน้าเราติดไปถือว่าเป็นการละเมิดพ.ร.บ. ซึ่งเป็นความเข้าใจที่ “ผิด” จนกลายเป็นประเด็นร้อนในโลกโซเชียลกันไปแล้ว

จริงๆ แล้ว การที่ผู้ถ่ายรูปหรือคลิปวิดีโอบังเอิญถ่ายติดใบหน้าของคนอื่นไปโดยไม่ได้เจตนา หรือไม่ได้ก่อให้เกิดความเสียหายต่อผู้ถูกถ่ายก็สามารถทำได้โดยไม่ผิดหลัก PDPA ส่วนในกรณีที่ได้นำรูปถ่ายหรือคลิปไปโพสต์บนโซเชียลก็สามารถทำได้ ถ้าเป็นการทำเพื่อวัตถุประสงค์ส่วนตัว ไม่นำไปใช้เพื่อผลประโยชน์หรือทำกำไร และทำให้เจ้าของข้อมูลเสื่อมเสียชื่อเสียงหรือทำให้เกิดอันตราย

เรื่องการติดตั้งกล้องวงจรปิด ก็เป็นอีกเรื่องหนึ่งที่หลายคนกังวลว่า หากถ่ายติดใบหน้าคนอื่นจะเป็นการทำผิดพ.ร.บ. หรือเปล่า ซึ่งถ้าเป็นการติดภายในบริเวณบ้านเพื่อรักษาความปลอดภัย ก็ไม่จำเป็นต้องทำป้ายแจ้งเตือน หมดห่วงได้เพราะไม่ผิดต่อข้อกฎหมายแน่นอน

ทั้งหมดนี้ก็เป็นข้อสงสัยหลักๆ ที่หลายคนยังมีอยู่ หวังว่าบทความนี้จะสามารถไขข้อสงสัยได้ไม่มากก็น้อย สำหรับธุรกิจและเจ้าของแบรนด์ทุกท่านต้องไม่ลืมที่จะค้นหา “เจ้าหน้าที่คุ้มครองข้อมูล” หรือ “Data Protection Officer (DPO)” เพื่อเข้ามาดูแลกฎหมาย PDPA ภายในองค์กรและตรวจสอบนโยบายการเก็บรักษาข้อมูลส่วนบุคคลของลูกค้า

ที่สำคัญ ในการเก็บรวบรวมข้อมูล แบรนด์ควรมีระบบ CDP หรือระบบ CRM ที่เป็นไปตาม PDPA เพื่อรักษาและปกป้องข้อมูลของลูกค้า รวมถึงเป็นการหลีกเลี่ยงการฟ้องร้องที่อาจเกิดขึ้นได้หากเกิดข้อผิดพลาดขึ้นนั่นเอง

สำหรับเจ้าของธุรกิจท่านใดที่กำลังมองหาระบบ CRM หรือต้องการคำปรึกษา ทาง Connect X ก็พร้อมจะช่วย ด้วยแพลตฟอร์ม CDP ที่มาพร้อมกับระบบ CRM, Marketing Automation และรองรับกฎหมาย PDPA เพื่อให้ธุรกิจสามารถขยายฐานลูกค้าและเพิ่มยอดขายในยุคดิจิทัลได้อย่างยั่งยืน