Connect X จะมาแนะนำว่า PDPA คืออะไร หรือ พรบ.คุ้มครองข้อมูลส่วนบุคคลคืออะไร ครอบคลุมข้อมูลอะไรบ้าง ผู้ใช้บริการมีสิทธิในด้านใด และองค์กรธุรกิจต้องเตรียมตัวอย่างไรบ้าง
ทุกวันนี้ “ข้อมูล (Data)” มีประโยชน์มากสำหรับการต่อยอดทางธุรกิจในยุคปัจจุบัน ไม่ว่าจะเป็นด้านกลยุทธ์ กิจกรรมทางการตลาด หรือตัวช่วยในด้านระบบการจัดการลูกค้าสัมพันธ์ (Customer Relationship Management: CRM) และการบริหารความเสี่ยง รวมทั้งยังเป็นประโยชน์ต่อผู้ใช้บริการให้ใช้งานได้สะดวก รวดเร็ว และเพิ่มโอกาสในการได้รับโปรโมชันดีๆ อีกด้วย
ในเว็บไซต์และแพลตฟอร์มซื้อ-ขายต่างๆ ล้วนมีการเก็บข้อมูลของลูกค้าเอาไว้ ยิ่งสามารถเก็บได้ละเอียดและมีจำนวนมากเท่าใด ก็จะยิ่งเป็นประโยชน์ให้ต่อยอดได้มากขึ้นเท่านั้น แต่การเก็บข้อมูลเหล่านี้ก็มีขอบเขตจำกัดอยู่ ว่าจะสามารถเก็บข้อมูลได้แค่ไหนและนำไปใช้อะไรได้บ้าง จะถูกกำหนดด้วยกฎหมายคุ้มครองผู้บริโภค วันนี้ Connect X จะพาไปเจาะลึกว่า พรบ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ว่าคืออะไร และมีข้อจำกัดอะไรที่องค์กรธุรกิจหรือร้านค้าควรทราบ
PDPA คืออะไร?
กฎหมาย PDPA (Personal Data Protection Act) หรือ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คือ กฎหมายที่ช่วยคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค ให้สามารถจัดเก็บหรือนำไปใช้ประโยชน์ได้ตามความยินยอมเท่านั้น ไม่สามารถเก็บข้อมูลหรือนำไปใช้โดยไม่แจ้งให้ผู้บริโภคทราบ และ/หรือได้รับความยินยอมในฐานะเจ้าของข้อมูลก่อน ซึ่งมาพร้อมกับมาตรการเยียวยาหากผู้บริโภคถูกละเมิดสิทธิ์ไม่ว่าจะเกิดจากองค์กรภายในประเทศหรือต่างประเทศ หากองค์กรธุรกิจหรือร้านค้าไม่ปฏิบัติให้ถูกต้องตามกฎหมาย PDPA จะมีความผิดตามกฎหมาย โดยมีบทลงโทษทั้งในทางแพ่ง อาญา หรือโทษปรับทางปกครองสูงสุด 5 ล้านบาท จำคุกสูงสุด 1 ปี รวมถึงต้องจ่ายค่าสินไหมทดแทนอีกด้วย
ข้อมูลอะไรบ้างที่ PDPA คุ้มครอง
ข้อมูลส่วนบุคคลทั่วไป (Personal Data) ประกอบด้วย
- ชื่อ-นามสกุล
- หมายเลขบัตรประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขใบอนุญาตขับขี่
- หมายเลขโทรศัพท์, อีเมล, ที่อยู่
- วันเดือนปีเกิด, อายุ, น้ำหนักส่วนสูง, สัญชาติ
- รูปถ่าย, ประวัติการทำงาน และอายุ
- ข้อมูลทางการศึกษา, ข้อมูลทางการเงิน, ข้อมูลทางการแพทย์
- ทะเบียนรถยนต์, โฉนดที่ดิน, ทะเบียนบ้าน
- ข้อมูลบนอื่นๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /Password, Cookies, IP address และ GPS Location
ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) ประกอบด้วย
- เชื้อชาติ เผ่าพันธุ์
- ความคิดเห็นทางการเมือง
- ความเชื่อในลัทธิ, ศาสนา หรือปรัชญา
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว, การฉีดวัคซีน, ใบรับรองแพทย์
- ข้อมูลสหภาพแรงงาน
- ข้อมูลพันธุกรรม
- ข้อมูลชีวภาพ เช่น ลายนิ้วมือ, แบบจำลองใบหน้า, ข้อมูลม่านตา
ทั้งนี้ ข้อมูลบริษัทไม่ถือว่าเป็นข้อมูลที่ได้รับการคุ้มครองจาก PDPA เพราะไม่ถือว่าเป็นข้อมูลส่วนบุคคล และสำหรับข้อมูลที่มีความอ่อนไหว อาจส่งผลต่อเจ้าของข้อมูลในวงกว้าง ไม่ว่าจะเป็นในแง่ของสังคม, ความเป็นอยู่ และการทำงาน จึงมีการกำหนดโทษหนักกว่าการละเมิดข้อมูลส่วนบุคคลทั่วไป ซึ่งอาจนำไปสู่โทษทางอาญาได้อีกด้วย
PDPA คุ้มครองสิทธิของผู้ใช้บริการด้านใดบ้าง?
- สิทธิได้รับการแจ้งให้ทราบและขอเข้าถึงข้อมูลส่วนบุคคล – ผู้ให้บริการจะต้องบอกให้ทราบถึงวัตถุประสงค์ในการเก็บข้อมูลและการนำไปใช้ และต้องได้รับความยินยอมจากผู้ใช้บริการก่อนเสมอ
- สิทธิในการขอรับและโอนย้ายข้อมูลส่วนบุคคล – ผู้ใช้บริการสามารถขอรับสำเนาข้อมูลจากผู้ให้บริการ และหากมีการโอนย้ายข้อมูลจากผู้ควบคุมรายแรกไปยังผู้ควบคุมรายอื่นได้ แต่จะต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิเสรีภาพของผู้อื่น
- สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล – ผู้ใช้บริการสามารถคัดค้านการเก็บรวบรวม, ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ โดยสามารถร้องขอต่อผู้ควบคุมข้อมูลผ่านแบบฟอร์มที่ผู้ให้บริการจัดไว้ หรือติดต่อกับผู้ดูแลระบบเมื่อไหร่ก็ได้
- สิทธิขอให้ลบหรือทำลายและระงับการใช้ข้อมูล – หากข้อมูลที่ถูกจัดเก็บหมดความจำเป็นในการใช้งานตามวัตถุประสงค์ หรือมีการนำไปเผยแพร่ต่อสาธารณะหรือถูกเข้าถึงได้ง่าย ผู้ใช้บริการมีสิทธิขอให้ผู้ควบคุมลบหรือทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ โดยผู้ควบคุมข้อมูลต้องเป็นผู้รับผิดชอบค่าใช้จ่ายและการดำเนินการนั้น
- สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล – ผู้ใช้บริการมีสิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้มีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิดได้ โดยการแก้ไขดังกล่าวจะต้องเป็นไปด้วยความสุจริต และไม่ขัดต่อหลักกฎหมาย ไม่ว่าจะแก้ไขผ่านหน้าข้อมูลสมาชิก หรือติดต่อกับผู้ควบคุมระบบ
- สิทธิในการร้องเรียน – หากมีการละเมิดข้อมูลส่วนบุคคล มีการฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมาย ไม่ว่าจะเป็นจากผู้ควบคุม, ผู้ประมวลผล, ลูกจ้าง และผู้รับจ้างของผู้ควบคุม ผู้ใช้บริการสามารถร้องเรียนได้ และมีสิทธิในการเรียกค่าสินไหมทดแทนทางศาลได้
องค์กรธุรกิจและร้านค้าจะต้องทำอย่างไรเมื่อ PDPA ถูกบังคับใช้
- เตรียมเอกสารเพื่อบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing หรือ ROP) เป็นเอกสารที่ใช้บันทึกรายละเอียดการจัดเก็บข้อมูล โดยระบุว่ามีวัตถุประสงค์เพื่ออะไร และมีใครเกี่ยวข้องบ้าง
- เตรียมแบบฟอร์มเพื่อให้ผู้ใช้บริการขอใช้สิทธิบนเว็บไซต์ เพื่อให้สามารถขอสิทธิการเข้าถึงข้อมูลส่วนตัวได้ในทุกช่องทาง และต้องมีการดำเนินการตามคำร้องภายใน 30 วัน
- แจ้งให้ผู้ใช้บริการทราบเกี่ยวกับนโยบายความเป็นส่วนตัวหรือ Privacy Policy และแจ้งวัตถุประสงค์ในการนำไปใช้ให้เข้าใจได้ง่าย มีเงื่อนไขอะไรบ้าง รวมถึงระยะเวลาในการจัดเก็บข้อมูล และต้องขอรับการยินยอมก่อนทุกครั้ง โดยที่จะต้องไม่เก็บข้อมูลมากกว่าความจำเป็นในการใช้ต่อธุรกิจ
- การขอคำยินยอมในการใช้ Cookie ธุรกิจ หรือแต่ละเว็บไซต์จะต้องมีการแจ้งเตือนผ่านแบนเนอร์ (Cookie Consent Banner) เพื่อขอความยินยอมจากผู้ใช้บริการในการจัดเก็บข้อมูลของผู้ใช้งานออนไลน์ รวมถึงประเภทข้อมูลที่ถูกจัดเก็บ
- การเก็บข้อมูลจะต้องจัดเก็บอย่างเหมาะสมและปลอดภัย โดยเฉพาะอย่างยิ่งข้อมูลที่มีความอ่อนไหวจะต้องเก็บรักษาให้รัดกุมที่สุด และจัดตั้ง DPO (Data Protection Officer) หรือเจ้าหน้าที่ดูแลความปลอดภัยของข้อมูลภายในและภายนอกองค์กร
- การแจ้งเตือนผู้ใช้บริการหากข้อมูลเกิดการรั่วไหล จะต้องมีการแจ้งต่อผู้ใช้บริการ และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งจะมีการประเมินความเสียหาย และวิธีการเยียวยาเจ้าของข้อมูล
จากที่ Connect X ได้แนะนำไปแล้วว่า PDPA คืออะไร และครอบคลุมข้อมูลอะไรบ้าง รวมทั้งเรื่องที่องค์กรธุรกิจควรต้องรู้ ซึ่งกฎหมาย PDPA เกี่ยวกับธุรกิจจะมีผลบังคับใช้ในวันที่ 1 มิ.ย. 65 นี้ องค์กรธุรกิจควรเตรียมตัวรับมือ ปรับตัว และสร้างความเข้าใจให้กับคนในองค์กรให้ตระหนักถึงความสำคัญของการใช้ข้อมูลส่วนบุคคลของลูกค้า รวมทั้งประเมินความเสี่ยงต่อการใช้ข้อมูลดังกล่าว และวางระบบที่สามารถรองรับให้สามารถบริหารจัดการข้อมูลได้ง่ายและปลอดภัยให้เร็วที่สุด ซึ่งแพลตฟอร์ม CDP ของ Connect X เป็นแพลตฟอร์มที่มีเครื่องมือในการจัดเก็บข้อมูลลูกค้าเอาไว้ในที่เดียวกันและมี Marketing Automation คอยช่วยเรื่องการตลาดแบบอัตโนมัติด้วย ทั้งยังมีการรองรับ PDPA ผู้ประกอบการจึงไม่ต้องกังวลว่าพบปัญหาระหว่างการทำธุรกิจ และไม่ผ่านเกณฑ์ของ PDPA
สำหรับเจ้าของธุรกิจท่านใดที่กำลังมองหาระบบ CRM ดีๆ สักอัน หรือต้องการคำปรึกษาก่อนตัดสินใจ Connect X ก็พร้อมจะช่วย ด้วยแพลตฟอร์ม CDP ที่มาพร้อมกับระบบ CRM, Marketing Automation และรองรับกฎหมาย PDPA เพื่อให้ธุรกิจสามารถขยายฐานลูกค้าและเพิ่มยอดขายในยุคดิจิทัลได้อย่างยั่งยืน
เริ่มต้นสร้างประสบการณ์ดีๆ ให้ลูกค้าได้แล้ววันนี้ด้วย Connect X Marketing Platform ที่มาพร้อม CDP & Marketing Automation
Connect X คือ Platform ที่จะเข้ามาช่วยไม่ให้ธุรกิจถูก Digital Disruption ถึงเวลาแล้วที่ทุกธุรกิจจะต้องเริ่ม Connect กับประสบการณ์ของลูกค้า (Customer Experience) แบบไร้รอยต่อด้วย Marketing Platform ที่ไม่เพียงแต่มี Feature เด็ดๆ แต่ยังสามารถปรับแต่ง Platform Customize ให้เข้ากับแบรนด์ที่มีความแตกต่างกันได้ด้วย
Our Latest Blog Posts
Marketing Automation
ตอบ 3 คำถามยอดฮิต Marketing Automation ที่เจ้าของธุรกิจสงสัย!
Marke [...]
ก.ย.
Customer Data Platform
5 วิธีเลือกระบบ Customer Relationship Management ให้ปังที่สุด
เจ้าข [...]
ก.ย.
Highlight other
PDPA ในมุมมองของ SME ต้องเตรียมพร้อมด้านไหนบ้าง?
เมื่อ [...]
ก.ย.
other
จริงหรือไม่? 3 เรื่องเข้าใจผิดเกี่ยวกับ PDPA เปลี่ยนความคิดด่วน
ก.ย.
Marketing Automation
ระวัง 3 สิ่งนี้! ก่อน Marketing Automation จะทำร้ายลูกค้า
การตล [...]
ก.ย.
Marketing Automation
อยากทำ Email Marketing ให้ประสบความสำเร็จ ต้องระวัง 5 สิ่งนี้
หนึ่ง [...]
ก.ย.
other
ทำความรู้จัก Loyalty Program การสานสัมพันธ์ลูกค้าที่แบรนด์ยุคนี้ต้องมี
มี.ค.
other
4 ข้อดีของการใช้ Marketing Automation
มี.ค.