จริงหรือไม่? 3 เรื่องเข้าใจผิดเกี่ยวกับ PDPA เปลี่ยนความคิดด่วน

เพราะข้อมูลเป็นเรื่องสำคัญ กฎหมาย PDPA จึงเกิดขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคล แต่หลายคนก็ยังสงสัยหรือเข้าใจผิดเกี่ยวกับ กฎหมาย PDPA อยู่ ดังนั้นมาไขข้อสงสัยกันดีกว่า

พอกฎหมาย PDPA (Personal Data Protection Act) ได้ประกาศบังคับใช้อย่างเป็นทางการไปเมื่อเดือนมิถุนายนที่ผ่านมา ทำให้ผู้ประกอบการและภาคธุรกิจต้องปรับตัวกันยกใหญ่ ไม่ว่าจะเป็นการขอความยินยอมในการเก็บข้อมูล การจัดทำนโยบายความเป็นส่วนตัว การนำข้อมูลไปใช้ ไปจนถึงการกำกับดูแลข้อมูล

สำหรับการขอความยินยอมหรือ Consent เพื่อเก็บข้อมูลจากลูกค้าถือเป็นกุญแจสำคัญในการทำ Digital Marketing ซึ่งหลากหลายธุรกิจต่างก็ต้องหาข้อมูลอย่างเคร่งครัดเกี่ยวกับข้อห้าม PDPA ว่าอะไรที่สามารถทำได้หรือทำไม่ได้ แต่สำหรับมือใหม่ที่เพิ่งเริ่มศึกษาก็ต้องเจอกับรายละเอียดข้อมูลมากมายที่อาจทำให้สับสนได้ง่ายๆ

3 เรื่องเข้าใจผิดเกี่ยวกับ PDPA ต้องเคลียร์ ไม่ให้สับสน

เชื่อว่าทั้งผู้บริโภคและเจ้าของธุรกิจหลายๆ คนยังมีเรื่องเข้าใจผิดเกี่ยวกับ PDPA อยู่ไม่น้อย ดังนั้น Connect X จะมาไขข้อสงสัยต่างๆ เกี่ยวกับพ.ร.บ. ฉบับนี้ให้กระจ่าง ตามมาดูกันได้เลย!

1. ข้อห้าม PDPA มีเพียงผู้ประกอบการหรือธุรกิจเท่านั้นที่ต้องทำตาม

จากชื่อ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หลายคนจึงเข้าใจว่ามีเพียงแค่ธุรกิจเท่านั้นที่ได้รับผลกระทบและต้องปฏิบัติตามข้อบังคับต่างๆ ของ PDPA อย่างไรก็ตาม ต้องบอกว่ากฎหมายนี้ให้การคุ้มครองข้อมูลอย่างครอบคลุม เพื่อสร้างความปลอดภัยให้กับเจ้าของข้อมูล ไม่ว่าจะเป็นชื่อ ที่อยู่ เบอร์โทร อีเมล เลขบัตรประชาชน ข้อมูลลายนิ้วมือ เลขบัญชีธนาคาร หรือข้อมูลอื่นๆ ที่สามารถใช้ระบุตัวตนของเจ้าของข้อมูลได้ทั้งช่องทางออฟไลน์และออนไลน์

โดยการบังคับใช้ PDPA มีผลกับทุกฝ่ายที่เกี่ยวข้อง คือ เจ้าของข้อมูลส่วนบุคคล (Data Subject) ผู้ควบคุมข้อมูลส่วนบุคคล (Data Collector) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) พูดง่ายๆ ว่าทั้งภาครัฐ เอกชน กิจการ และผู้บริโภคต่างก็ต้องปฏิบัติตามข้อกฎหมายนี้ด้วยกันทั้งหมด ยกตัวอย่างง่ายๆ เช่น ในกรณีที่ซื้อสินค้าออนไลน์แล้วมีการติดต่อพ่อค้าแม่ค้าโดยตรง เราจะได้เลขบัญชีเพื่อโอนจ่ายเงิน จากนั้นต้องแจ้งสลิป พร้อมชื่อ ที่อยู่ เบอร์โทร สำหรับจัดส่งสินค้า ซึ่งข้อมูลทั้งหมดนี้ถือว่าเป็นข้อมูลส่วนบุคคล เท่ากับว่าพ่อค้าแม่ค้าและเราก็ต้องปฏิบัติตาม PDPA ทั้งคู่ ไม่นำข้อมูลที่ได้ไปใช้ในเชิงพาณิชย์หรือใช้เพื่อประโยชน์ส่วนตัว เป็นต้น

2. ธุรกิจต้องได้รับความยินยอม (Consent) จากเจ้าของข้อมูลทุกครั้ง

สำหรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ยังมีบทบัญญัติเกี่ยวกับหลักการเก็บรวบรวมข้อมูลส่วนบุคคลตามกฎหมาย PDPA ในมาตรา 24 ซึ่งมีหลักการเกี่ยวกับเรื่องความยินยอม (Consent) ก่อนที่แบรนด์หรือนักการตลาดจะนำข้อมูลไปเก็บในระบบ CRM หรือนำไปประกอบแคมเปญต่างๆ ก็ต้องขอความยินยอมก่อน เช่น การขอ Cookie Consent เพื่อจัดเก็บไฟล์คุกกี้และข้อมูลของผู้เข้าชมเว็บไซต์ แต่ไม่ได้แปลว่าธุรกิจจะต้องขออนุญาตทุกครั้งที่ต้องเก็บข้อมูล

misunderstood about pdpa

ในความจริงแล้ว เจ้าของข้อมูลต้องให้ความยินยอม (Consent) ต่อผู้ควบคุมข้อมูลตามที่แจ้งไว้ตั้งแต่แรกเพียงครั้งเดียวเท่านั้น อาทิ เมื่อสมัครสมาชิกผ่านเว็บไซต์หรือแอปพลิเคชัน หลังจากกรอกรายละเอียดแล้ว จะมีข้อความหรือเอกสารให้อ่านพร้อมปุ่มกด “ยินยอม” หรือ “ยอมรับ” เพื่ออนุญาตให้ธุรกิจเก็บรวบรวมข้อมูลนั่นเอง ซึ่งจะเป็นการทำเพียงครั้งเดียว ไม่จำเป็นต้องกดยินยอมทุกครั้งเมื่อเข้าสู่ระบบ สำหรับมุมมองของธุรกิจนั้น การขอความยินยอมเพียงครั้งเดียวนี้ก็เป็นการอำนวยความสะดวกให้สามารถเก็บรวบรวมข้อมูลของผู้ใช้งานหรือลูกค้าได้ต่อเนื่องและมีฐานข้อมูลครบถ้วน สามารถใช้ในการทำการตลาดหรือเพื่อปรับปรุง Marketing Automation ให้มีประสิทธิภาพมากขึ้นได้นั่นเอง

นอกจากนี้ ยังมีกรณีต่างๆ ที่ข้อมูลจะถูกเก็บรวบรวมได้ โดยได้รับข้อยกเว้น PDPA หรือไม่จำเป็นต้องขอความยินยอมดังนี้

  • กรณีป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูล รวมไปถึงการใช้ข้อมูลเพื่อประโยชน์สาธารณะ เช่น ป้องกันโรคระบาด ซึ่งผู้ควบคุมสามารถเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคลได้โดยไม่ต้องได้รับความยินยอม
  • การปฏิบัติตามสัญญา ไม่ต้องขอความยินยอม
  • ปฏิบัติภารกิจของรัฐ ตามมาตรา 24(4) หากจำเป็นต่อการดำเนินภารกิจของรัฐเพื่อประโยชน์สาธารณะ หรือเป็นการใช้อำนาจรัฐ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อการนั้น ไม่ต้องขอความยินยอม อย่างไรก็ตาม แม้ไม่ต้องขอความยินยอม แต่ผู้ควบคุมยังคงมีหน้าที่ในการรักษาความปลอดภัยของข้อมูล และคำนึงถึงความได้สัดส่วนความจำเป็นในการใช้ข้อมูล และผลกระทบต่อความเป็นส่วนตัวของเจ้าของข้อมูล
  • ปฏิบัติตามกฎหมาย ไม่ต้องขอความยินยอม มาตรา 24(6)

3. การโพสต์รูปโซเชียลโดยมีใบหน้าผู้อื่นติดมาด้วย ถือว่าผิดกฎหมาย PDPA

ใจความสำคัญของ PDPA คือการปกป้องความเป็นส่วนตัว ซึ่งก็รวมไปถึงรูปถ่ายหรือวิดีโอที่มีใบหน้าของเจ้าของข้อมูลด้วย หลายคนเข้าใจว่าการที่ใครสักคนโพสต์รูปบนโซเชียลแล้วมีใบหน้าเราติดไปถือว่าเป็นการละเมิดพ.ร.บ. ซึ่งเป็นความเข้าใจที่ “ผิด” จนกลายเป็นประเด็นร้อนในโลกโซเชียลกันไปแล้ว

จริงๆ แล้ว การที่ผู้ถ่ายรูปหรือคลิปวิดีโอบังเอิญถ่ายติดใบหน้าของคนอื่นไปโดยไม่ได้เจตนา หรือไม่ได้ก่อให้เกิดความเสียหายต่อผู้ถูกถ่ายก็สามารถทำได้โดยไม่ผิดหลัก PDPA ส่วนในกรณีที่ได้นำรูปถ่ายหรือคลิปไปโพสต์บนโซเชียลก็สามารถทำได้ ถ้าเป็นการทำเพื่อวัตถุประสงค์ส่วนตัว ไม่นำไปใช้เพื่อผลประโยชน์หรือทำกำไร และทำให้เจ้าของข้อมูลเสื่อมเสียชื่อเสียงหรือทำให้เกิดอันตราย

เรื่องการติดตั้งกล้องวงจรปิด ก็เป็นอีกเรื่องหนึ่งที่หลายคนกังวลว่า หากถ่ายติดใบหน้าคนอื่นจะเป็นการทำผิดพ.ร.บ. หรือเปล่า ซึ่งถ้าเป็นการติดภายในบริเวณบ้านเพื่อรักษาความปลอดภัย ก็ไม่จำเป็นต้องทำป้ายแจ้งเตือน หมดห่วงได้เพราะไม่ผิดต่อข้อกฎหมายแน่นอน

สำหรับเจ้าของธุรกิจท่านใดที่กำลังมองหาระบบ CRM ดีๆ สักอัน หรือต้องการคำปรึกษาก่อนตัดสินใจ Connect X ก็พร้อมจะช่วย ด้วยแพลตฟอร์ม CDP ที่มาพร้อมกับระบบ CRM, Marketing Automation และรองรับกฎหมาย PDPA เพื่อให้ธุรกิจสามารถขยายฐานลูกค้าและเพิ่มยอดขายในยุคดิจิทัลได้อย่างยั่งยืน

เริ่มต้นสร้างประสบการณ์ดีๆ ให้ลูกค้าได้แล้ววันนี้ด้วย Connect X Marketing Platform ที่มาพร้อม CDP & Marketing Automation

Connect X คือ Platform ที่จะเข้ามาช่วยไม่ให้ธุรกิจถูก Digital Disruption ถึงเวลาแล้วที่ทุกธุรกิจจะต้องเริ่ม Connect กับประสบการณ์ของลูกค้า (Customer Experience) แบบไร้รอยต่อด้วย Marketing Platform ที่ไม่เพียงแต่มี Feature เด็ดๆ แต่ยังสามารถปรับแต่ง Platform Customize ให้เข้ากับแบรนด์ที่มีความแตกต่างกันได้ด้วย

Our Latest Blog Posts