ธุรกิจระวังไว้ จะเก็บข้อมูลลูกค้ายังไงไม่ให้ละเมิด PDPA Consent

ธุรกิจต้องเก็บรวบรวมข้อมูลลูกค้าอย่างรอบคอบไม่ให้ผิด PDPA Consent เพื่อหลีกเลี่ยงการฟ้องร้องและภาพลักษณ์ที่เสียหาย แล้วต้องคำนึงเรื่องอะไรบ้าง? มาดูกันเลย

ในยุคดิจิทัลที่ข้อมูลคือทรัพย์สินล้ำค่าของธุรกิจ การเข้าถึงและใช้ข้อมูลลูกค้าอย่างถูกต้องกลายเป็นสิ่งจำเป็นที่ไม่สามารถมองข้ามได้ ธุรกิจจำนวนมากต่างพึ่งพาการเก็บข้อมูลเพื่อวิเคราะห์พฤติกรรมลูกค้า สร้างแคมเปญการตลาดแบบเฉพาะบุคคล (Personalized Marketing) รวมถึงพัฒนาประสบการณ์ลูกค้าให้ดียิ่งขึ้น แต่ในขณะเดียวกัน ความสะดวกนี้ก็มาพร้อมกับความรับผิดชอบที่เพิ่มขึ้นอย่างมาก โดยเฉพาะในเรื่อง “ความยินยอมจากเจ้าของข้อมูล” หรือ PDPA ที่กฎหมายได้กำหนดไว้อย่างเคร่งครัด

ทุกคนล้วนต้องการความเป็นส่วนตัวและความปลอดภัยทางข้อมูล ไม่ว่าจะเป็นชื่อ เบอร์โทร อีเมล หรือพฤติกรรมการใช้งานออนไลน์ ข้อมูลเหล่านี้ถือเป็นข้อมูลส่วนบุคคลที่กฎหมาย PDPA ให้ความคุ้มครองโดยตรง โดยกฎหมายฉบับนี้ได้เริ่มมีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 และครอบคลุมทุกธุรกิจที่มีการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้า ไม่ว่าจะเป็นในรูปแบบออนไลน์หรือออฟไลน์

หลายธุรกิจอาจยังไม่เข้าใจถึง “ขอบเขตของการละเมิด” ว่าจริง ๆ แล้วไม่ใช่แค่การขายข้อมูลเท่านั้นที่ผิด แต่แม้กระทั่งการส่งอีเมลการตลาดโดยที่ลูกค้าไม่เคยให้ความยินยอม หรือการเก็บข้อมูลจากฟอร์มกรอกโดยไม่มีการแจ้งวัตถุประสงค์ที่ชัดเจน ก็ล้วนเข้าข่ายละเมิด PDPA ทั้งสิ้น

สำหรับเจ้าของแบรนด์หรือผู้ประกอบการ การตระหนักรู้และเข้าใจเรื่อง PDPA ไม่ใช่เพียงเพื่อหลีกเลี่ยงโทษทางกฎหมาย แต่ยังเป็นการแสดงถึงความใส่ใจในสิทธิของลูกค้า และสร้างความน่าเชื่อถือให้กับแบรนด์ในระยะยาว

บทความนี้ ConnectX จะพาคุณไปรู้จักสิ่งสำคัญที่ธุรกิจต้องคำนึงเมื่อจะเก็บข้อมูลลูกค้าอย่างถูกต้องตาม PDPA และแนวทางปฏิบัติที่จะช่วยให้คุณไม่พลาดจนต้องเสียทั้งเงินและชื่อเสียง

หน้าที่ของธุรกิจในการเก็บข้อมูลลูกค้า

อย่างที่ทราบกันดี PDPA คือกฎหมายที่ถูกร่างมาเพื่อให้ความปลอดภัยต่อเจ้าของข้อมูล ป้องกันไม่ให้ผู้ประสงค์ร้ายนำข้อมูลไปใช้ในทางที่ผิดกฎหมายหรือใช้ข่มขู่เพื่อหวังผลประโยชน์ สำหรับแบรนด์ในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)” มีหน้าที่อันแสนสำคัญต่อลูกค้า (เจ้าของข้อมูล) ตามกฎหมาย PDPA ในการรับผิดชอบข้อมูลต่างๆ ที่ได้มา ไม่ว่าจะเป็น

ระบุวัตถุประสงค์ในการเก็บข้อมูลให้ชัดเจนและครบถ้วน
ในกรณีที่ต้องขอความยินยอม ธุรกิจต้องมอบอิสระแก่เจ้าของข้อมูลในการเลือกให้ความยินยอม
ธุรกิจควรเก็บข้อมูลเท่าที่จำเป็นตามวัตถุประสงค์ และลบข้อมูลทั้งหมดเมื่อถึงกำหนดระยะเวลาที่ได้แจ้งเอาไว้
แจ้งเจ้าของข้อมูลให้ทราบถึงสถานที่ติดต่อและผู้ดูแลหรือผู้ประสานงานข้อมูล
ต้องเก็บของมูลจากเจ้าของเท่านั้น (1st Party Data) ไม่สามารถเก็บข้อมูลลูกค้าจากแหล่งอื่นๆ ได้ เช่น การซื้อข้อมูลจากที่อื่น ในกรณีที่จำเป็นต้องใช้ข้อมูลจากแหล่งอื่น ก็ต้องแจ้งขอความยินยอมจากเจ้าของข้อมูลโดยเร็วที่สุด หรือภายใน 30 วัน

นอกจากความรับผิดชอบต่อข้อมูลเหล่านี้แล้ว ธุรกิจควรทำการกำหนดนโยบายในการเก็บข้อมูลอย่างชัดเจนที่สุด เพื่อไม่ให้เกิดปัญหาหรือความเข้าใจผิดในภายหลังนั่นเอง ทั้งนี้ทุกฝ่ายในองค์กรหรือธุรกิจต้องรับรู้และเข้าใจตรงกัน

ธุรกิจต้องคำนึงถึง PDPA Consent ก่อนเริ่มเก็บข้อมูลลูกค้า

เมื่อทราบถึงหน้าที่ในด้านต่างๆ ที่ธุรกิจต้องปฏิบัติต่อเจ้าของข้อมูลแล้ว ยังมีอีกหลายสิ่งที่ต้องพิจารณาอย่างถี่ถ้วน เพื่อในการเก็บรวบรวมข้อมูลเป็นไปอย่างราบรื่นและอยู่ภายใต้ PDPA โดยเริ่มจากบุคคลภายในองค์กรหรือบริษัท ดังนี้

1. กำหนดมาตรฐานในการเก็บรักษาข้อมูล

เมื่อข้อมูลสามารถเก็บรวบรวมได้จากหลายแหล่ง อาทิ การสมัครสมาชิกบนเว็บไซต์ ข้อมูลที่ลูกค้าให้ผ่านแชท หรือการกรอกแบบฟอร์ม ธุรกิจควรที่จะสร้างมาตรฐานในการเก็บและรักษาข้อมูลต่างๆ ให้เป็นไปในทิศทางเดียวกัน เพราะนอกจากจะเป็นการสร้างความปลอดภัยให้แก่เจ้าของข้อมูลแล้ว ยังทำให้ง่ายต่อการที่ธุรกิจจะต่อยอดกิจกรรมทางการตลาดได้อย่างมีประสิทธิภาพอีกด้วย โดยอาจทำผ่านระบบ CRM หรือระบบ CDP เป็นต้น

2. ระบุข้อมูลที่จำเป็นต้องเก็บรวบรวม

แต่ละฝ่ายในองค์กรต้องการข้อมูลที่แตกต่างไปเพื่อให้การทำงานเป็นไปอย่างมีประสิทธิภาพ เช่น ฝ่ายการตลาด, ฝ่ายขาย ฝ่ายบัญชี หรือฝ่ายบริการลูกค้า ล้วนต้องการชุดข้อมูลที่ไม่ซ้ำกัน เจ้าของธุรกิจจึงควรให้แต่ละฝ่ายระบุข้อมูลที่จำเป็นต้องเก็บและระยะเวลาที่เก็บข้อมูลที่ชัดเจน ก่อนร่างนโยบายการเก็บรวบรวมข้อมูล

3. จัดแยกประเภทของข้อมูล

กฎหมาย PDPA นั้นครอบคลุมทั้งข้อมูลในรูปแบบออฟไลน์และออนไลน์ ดังนั้นเพื่ออำนวยความสะดวกในการตรวจสอบ ธุรกิจควรจัดแบ่งประเภทของข้อมูลอย่างชัดเจน ไม่ว่าจะเป็นข้อมูลที่จัดเก็บผ่านระบบอิเล็กทรอนิกส์ ข้อมูลที่จับต้องได้ (Hard Copy) จนกระทั่งรูปแบบข้อมูลส่วนบุคคลทั่วไป และข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) เพื่อสร้างความเป็นระเบียบ อีกทั้งทำให้มีหลักฐานพิสูจน์อำนาจในการจัดเก็บข้อมูลตามระยะเวลาที่กำหนดด้วย ซึ่งหากมีแพลตฟอร์มหรือซอฟต์แวร์ที่ช่วยจัดการข้อมูลที่เป็นไปตามกฎระเบียบของ PDPA จะช่วยธุรกิจได้อย่างมากเลยทีเดียว

4. จัดตั้งเจ้าหน้าที่ Data Protection Officer

เมื่อกฎหมาย PDPA ถูกบังคับใช้ เจ้าหน้าที่คุ้มครองข้อมูล หรือ Data Protection Officer (DPO) นั้นควรเป็นส่วนหนึ่งของทุกธุรกิจ โดยเป็นผู้ที่มีความรู้ความเชี่ยวชาญในด้านกฎหมาย PDPA และ GDPR โดยเฉพาะ ซึ่งจะเป็นผู้ที่คอยให้คำปรึกษากับธุรกิจ คอยแนะนำหากบริษัทยังปฏิบัติไม่ถูกต้องตามระเบียบ และสามารถช่วยเหลือประสานงานกับหน่วยงานรัฐที่เกี่ยวข้องในกรณีที่ข้อมูลลูกค้าถูกล่วงละเมิด

5. สร้าง Privacy Policy ให้สอดคล้อง PDPA Consent

เชื่อว่าหลายธุรกิจคงคุ้นเคยกับการร่างนโยบายความเป็นส่วนตัวหรือ Privacy Policy กันแล้ว แต่หากเป็นธุรกิจใหม่หรือยังไม่เคยร่างนโยบาย ก็ควรทำนโยบายให้ชัดเจนและสอดคล้องกับ PDPA ไม่ว่าจะเป็นการเก็บรักษาหรือการลบข้อมูลก็ตาม ยกตัวอย่างเช่น เมื่อลูกค้าไม่ได้ใช้บริการหรือยกเลิกสมาชิกแล้ว ก็ให้มีการกำจัดข้อมูลลูกค้าและข้อมูลการใช้บริการภายใน 3 ปี รวมไปถึงข้อมูลที่อ่อนไหวต่างๆ ทั้งนี้ระยะเวลาการจัดเก็บข้อมูลก็แตกต่างกันไป เจ้าของธุรกิจจึงควรศึกษาก่อนอย่างรอบคอบหรือปรึกษาเจ้าหน้าที่คุ้มครองข้อมูลก่อนร่างนโยบายนั่นเอง

จะเห็นได้ชัดเจนว่านโยบายการเก็บรักษาข้อมูลและ PDPA เป็นสิ่งสำคัญต่อความปลอดภัยของข้อมูลส่วนบุคคลของลูกค้าอย่างมาก เพียงธุรกิจทำความเข้าใจและปรับตัวให้เข้ากับกฎหมายได้ก็จะสามารถลดความเสี่ยงที่จะละเมิดข้อมูลของลูกค้าได้ ทั้งยังเป็นการสร้างความน่าเชื่อถือและความไว้วางใจแก่แบรนด์ในสายตาผู้บริโภคด้วย