PDPA คืออะไร? เจาะลึกข้อจำกัดที่ธุรกิจต้องรู้ก่อนนำข้อมูลลูกค้าไปใช้งาน

Connect X จะมาแนะนำว่า PDPA หรือ พรบ.คุ้มครองข้อมูลส่วนบุคคลคืออะไร ครอบคลุมข้อมูลอะไรบ้าง ผู้ใช้บริการมีสิทธิในด้านใด และองค์กรธุรกิจต้องเตรียมตัวอย่างไรบ้าง

ทุกวันนี้ “ข้อมูล (Data)” มีประโยชน์มากสำหรับการต่อยอดทางธุรกิจในยุคปัจจุบัน ไม่ว่าจะเป็นด้านกลยุทธ์ กิจกรรมทางการตลาด หรือตัวช่วยในด้านระบบการจัดการลูกค้าสัมพันธ์ (Customer Relationship Management: CRM) และการบริหารความเสี่ยง รวมทั้งยังเป็นประโยชน์ต่อผู้ใช้บริการให้ใช้งานได้สะดวก รวดเร็ว และเพิ่มโอกาสในการได้รับโปรโมชันดีๆ อีกด้วย

ในเว็บไซต์และแพลตฟอร์มซื้อ-ขายต่างๆ ล้วนมีการเก็บข้อมูลของลูกค้าเอาไว้ ยิ่งสามารถเก็บได้ละเอียดและมีจำนวนมากเท่าใด ก็จะยิ่งเป็นประโยชน์ให้ต่อยอดได้มากขึ้นเท่านั้น แต่การเก็บข้อมูลเหล่านี้ก็มีขอบเขตจำกัดอยู่ ว่าจะสามารถเก็บข้อมูลได้แค่ไหนและนำไปใช้อะไรได้บ้าง จะถูกกำหนดด้วยกฎหมายคุ้มครองผู้บริโภค วันนี้ Connect X จะพาไปเจาะลึกว่า พรบ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ว่าคืออะไร และมีข้อจำกัดอะไรที่องค์กรธุรกิจหรือร้านค้าควรทราบ

PDPA คืออะไร?

กฎหมาย PDPA (Personal Data Protection Act) หรือ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.​ 2562 คือ กฎหมายที่ช่วยคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค ให้สามารถจัดเก็บหรือนำไปใช้ประโยชน์ได้ตามความยินยอมเท่านั้น ไม่สามารถเก็บข้อมูลหรือนำไปใช้โดยไม่แจ้งให้ผู้บริโภคทราบ และ/หรือได้รับความยินยอมในฐานะเจ้าของข้อมูลก่อน ซึ่งมาพร้อมกับมาตรการเยียวยาหากผู้บริโภคถูกละเมิดสิทธิ์ไม่ว่าจะเกิดจากองค์กรภายในประเทศหรือต่างประเทศ หากองค์กรธุรกิจหรือร้านค้าไม่ปฏิบัติให้ถูกต้องตามกฎหมาย PDPA จะมีความผิดตามกฎหมาย โดยมีบทลงโทษทั้งในทางแพ่ง อาญา หรือโทษปรับทางปกครองสูงสุด 5 ล้านบาท จำคุกสูงสุด 1 ปี รวมถึงต้องจ่ายค่าสินไหมทดแทนอีกด้วย

ข้อมูลอะไรบ้างที่ PDPA คุ้มครอง

ข้อมูลส่วนบุคคลทั่วไป (Personal Data) ประกอบด้วย

  • ชื่อ-นามสกุล
  • หมายเลขบัตรประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขใบอนุญาตขับขี่
  • หมายเลขโทรศัพท์, อีเมล, ที่อยู่
  • วันเดือนปีเกิด, อายุ, น้ำหนักส่วนสูง, สัญชาติ
  • รูปถ่าย, ประวัติการทำงาน และอายุ
  • ข้อมูลทางการศึกษา, ข้อมูลทางการเงิน, ข้อมูลทางการแพทย์
  • ทะเบียนรถยนต์, โฉนดที่ดิน, ทะเบียนบ้าน
  • ข้อมูลบนอื่นๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /Password, Cookies, IP address และ GPS Location

ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) ประกอบด้วย

  • เชื้อชาติ เผ่าพันธุ์
  • ความคิดเห็นทางการเมือง
  • ความเชื่อในลัทธิ, ศาสนา หรือปรัชญา
  • พฤติกรรมทางเพศ
  • ประวัติอาชญากรรม
  • ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว, การฉีดวัคซีน, ใบรับรองแพทย์
  • ข้อมูลสหภาพแรงงาน
  • ข้อมูลพันธุกรรม
  • ข้อมูลชีวภาพ เช่น ลายนิ้วมือ, แบบจำลองใบหน้า, ข้อมูลม่านตา

ทั้งนี้ ข้อมูลบริษัทไม่ถือว่าเป็นข้อมูลที่ได้รับการคุ้มครองจาก PDPA เพราะไม่ถือว่าเป็นข้อมูลส่วนบุคคล และสำหรับข้อมูลที่มีความอ่อนไหว อาจส่งผลต่อเจ้าของข้อมูลในวงกว้าง ไม่ว่าจะเป็นในแง่ของสังคม, ความเป็นอยู่ และการทำงาน จึงมีการกำหนดโทษหนักกว่าการละเมิดข้อมูลส่วนบุคคลทั่วไป ซึ่งอาจนำไปสู่โทษทางอาญาได้อีกด้วย

PDPA คุ้มครองสิทธิของผู้ใช้บริการด้านใดบ้าง?

  • สิทธิได้รับการแจ้งให้ทราบและขอเข้าถึงข้อมูลส่วนบุคคล – ผู้ให้บริการจะต้องบอกให้ทราบถึงวัตถุประสงค์ในการเก็บข้อมูลและการนำไปใช้ และต้องได้รับความยินยอมจากผู้ใช้บริการก่อนเสมอ
  • สิทธิในการขอรับและโอนย้ายข้อมูลส่วนบุคคล – ผู้ใช้บริการสามารถขอรับสำเนาข้อมูลจากผู้ให้บริการ และหากมีการโอนย้ายข้อมูลจากผู้ควบคุมรายแรกไปยังผู้ควบคุมรายอื่นได้ แต่จะต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิเสรีภาพของผู้อื่น
  • สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล – ผู้ใช้บริการสามารถคัดค้านการเก็บรวบรวม, ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ โดยสามารถร้องขอต่อผู้ควบคุมข้อมูลผ่านแบบฟอร์มที่ผู้ให้บริการจัดไว้ หรือติดต่อกับผู้ดูแลระบบเมื่อไหร่ก็ได้
  • สิทธิขอให้ลบหรือทำลายและระงับการใช้ข้อมูล – หากข้อมูลที่ถูกจัดเก็บหมดความจำเป็นในการใช้งานตามวัตถุประสงค์ หรือมีการนำไปเผยแพร่ต่อสาธารณะหรือถูกเข้าถึงได้ง่าย ผู้ใช้บริการมีสิทธิขอให้ผู้ควบคุมลบหรือทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ โดยผู้ควบคุมข้อมูลต้องเป็นผู้รับผิดชอบค่าใช้จ่ายและการดำเนินการนั้น
  • สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล – ผู้ใช้บริการมีสิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้มีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิดได้ โดยการแก้ไขดังกล่าวจะต้องเป็นไปด้วยความสุจริต และไม่ขัดต่อหลักกฎหมาย ไม่ว่าจะแก้ไขผ่านหน้าข้อมูลสมาชิก หรือติดต่อกับผู้ควบคุมระบบ
  • สิทธิในการร้องเรียน – หากมีการละเมิดข้อมูลส่วนบุคคล มีการฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมาย ไม่ว่าจะเป็นจากผู้ควบคุม, ผู้ประมวลผล, ลูกจ้าง และผู้รับจ้างของผู้ควบคุม ผู้ใช้บริการสามารถร้องเรียนได้ และมีสิทธิในการเรียกค่าสินไหมทดแทนทางศาลได้

องค์กรธุรกิจและร้านค้าจะต้องทำอย่างไรเมื่อ PDPA ถูกบังคับใช้

  • เตรียมเอกสารเพื่อบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing หรือ ROP) เป็นเอกสารที่ใช้บันทึกรายละเอียดการจัดเก็บข้อมูล โดยระบุว่ามีวัตถุประสงค์เพื่ออะไร และมีใครเกี่ยวข้องบ้าง
  • เตรียมแบบฟอร์มเพื่อให้ผู้ใช้บริการขอใช้สิทธิบนเว็บไซต์ เพื่อให้สามารถขอสิทธิการเข้าถึงข้อมูลส่วนตัวได้ในทุกช่องทาง และต้องมีการดำเนินการตามคำร้องภายใน 30 วัน
  • แจ้งให้ผู้ใช้บริการทราบเกี่ยวกับนโยบายความเป็นส่วนตัวหรือ Privacy Policy และแจ้งวัตถุประสงค์ในการนำไปใช้ให้เข้าใจได้ง่าย มีเงื่อนไขอะไรบ้าง รวมถึงระยะเวลาในการจัดเก็บข้อมูล และต้องขอรับการยินยอมก่อนทุกครั้ง โดยที่จะต้องไม่เก็บข้อมูลมากกว่าความจำเป็นในการใช้ต่อธุรกิจ
  • การขอคำยินยอมในการใช้ Cookie ธุรกิจ หรือแต่ละเว็บไซต์จะต้องมีการแจ้งเตือนผ่านแบนเนอร์ (Cookie Consent Banner) เพื่อขอความยินยอมจากผู้ใช้บริการในการจัดเก็บข้อมูลของผู้ใช้งานออนไลน์ รวมถึงประเภทข้อมูลที่ถูกจัดเก็บ
  • การเก็บข้อมูลจะต้องจัดเก็บอย่างเหมาะสมและปลอดภัย โดยเฉพาะอย่างยิ่งข้อมูลที่มีความอ่อนไหวจะต้องเก็บรักษาให้รัดกุมที่สุด และจัดตั้ง DPO (Data Protection Officer) หรือเจ้าหน้าที่ดูแลความปลอดภัยของข้อมูลภายในและภายนอกองค์กร
  • การแจ้งเตือนผู้ใช้บริการหากข้อมูลเกิดการรั่วไหล จะต้องมีการแจ้งต่อผู้ใช้บริการ และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งจะมีการประเมินความเสียหาย และวิธีการเยียวยาเจ้าของข้อมูล

จากที่ Connect X ได้แนะนำไปแล้วว่า PDPA คืออะไรและครอบคลุมข้อมูลอะไรบ้าง รวมทั้งเรื่องที่องค์กรธุรกิจควรต้องรู้ ซึ่งกฎหมาย PDPA เกี่ยวกับธุรกิจจะมีผลบังคับใช้ในวันที่ 1 มิ.ย. 65 นี้ องค์กรธุรกิจควรเตรียมตัวรับมือ ปรับตัว และสร้างความเข้าใจให้กับคนในองค์กรให้ตระหนักถึงความสำคัญของการใช้ข้อมูลส่วนบุคคลของลูกค้า รวมทั้งประเมินความเสี่ยงต่อการใช้ข้อมูลดังกล่าว และวางระบบที่สามารถรองรับให้สามารถบริหารจัดการข้อมูลได้ง่ายและปลอดภัยให้เร็วที่สุด ซึ่งแพลตฟอร์ม CDP ของ Connect X เป็นแพลตฟอร์มที่มีเครื่องมือในการจัดเก็บข้อมูลลูกค้าเอาไว้ในที่เดียวกันและมี Marketing Automation คอยช่วยเรื่องการตลาดแบบอัตโนมัติด้วย ทั้งยังมีการรองรับ PDPA ผู้ประกอบการจึงไม่ต้องกังวลว่าพบปัญหาระหว่างการทำธุรกิจ และไม่ผ่านเกณฑ์ของ PDPA

สำหรับเจ้าของธุรกิจท่านใดที่กำลังมองหาระบบ CRM ดีๆ สักอัน หรือต้องการคำปรึกษาก่อนตัดสินใจ Connect X ก็พร้อมจะช่วย ด้วยแพลตฟอร์ม CDP ที่มาพร้อมกับระบบ CRM, Marketing Automation และรองรับกฎหมาย PDPA เพื่อให้ธุรกิจสามารถขยายฐานลูกค้าและเพิ่มยอดขายในยุคดิจิทัลได้อย่างยั่งยืน

เริ่มต้นสร้างประสบการณ์ดีๆ ให้ลูกค้าได้แล้ววันนี้ด้วย Connect X Marketing Platform ที่มาพร้อม CDP & Marketing Automation

Connect X คือ Platform ที่จะเข้ามาช่วยไม่ให้ธุรกิจถูก Digital Disruption ถึงเวลาแล้วที่ทุกธุรกิจจะต้องเริ่ม Connect กับประสบการณ์ของลูกค้า (Customer Experience) แบบไร้รอยต่อด้วย Marketing Platform ที่ไม่เพียงแต่มี Feature เด็ดๆ แต่ยังสามารถปรับแต่ง Platform Customize ให้เข้ากับแบรนด์ที่มีความแตกต่างกันได้ด้วย