เจ้าของธุรกิจออนไลน์ทุกท่านอาจเคยได้ยินหรือทราบถึง PDPA ซึ่งคือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ที่ถูกบังคับใช้ในประเทศไทยตั้งแต่ปี พ.ศ. 2562 ถือเป็นหนึ่งในกฎหมายที่เกิดขึ้นเพื่อตอบรับการเติบโตของเทคโนโลยีสารสนเทศและการจัดเก็บข้อมูลในยุคดิจิทัล อย่างไรก็ตาม หลายคนอาจยังเกิดคำถามว่า “PDPA กับ GDPR ต่างกันอย่างไร?” และแบรนด์ไทยจำเป็นต้องรู้เรื่อง GDPR หรือไม่?

ในบทความนี้ Connect X จะพาเจ้าของธุรกิจทุกท่านไปรู้จักกับ PDPA อย่างละเอียด พร้อมอธิบายความสัมพันธ์กับ GDPR เพื่อให้สามารถดำเนินธุรกิจได้อย่างมั่นใจและถูกต้องตามกฎหมาย

กฎหมาย PDPA คืออะไร?

PDPA (Personal Data Protection Act) คือกฎหมายที่มีเป้าหมายเพื่อคุ้มครอง “ข้อมูลส่วนบุคคล” ที่สามารถระบุตัวบุคคลได้ทั้งทางตรงและทางอ้อม โดยมีชื่อภาษาไทยว่า “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” ซึ่งได้รับการประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และเริ่มบังคับใช้อย่างเป็นทางการตั้งแต่วันที่ 1 มิถุนายน 2565

PDPA เป็นกฎหมายที่แบรนด์ไทยทุกแห่งต้องให้ความสำคัญอย่างมาก เพราะไม่เพียงแต่มีผลบังคับใช้กับข้อมูลออนไลน์ แต่ยังครอบคลุมถึงข้อมูลออฟไลน์ เช่น การเก็บข้อมูลลูกค้าผ่านใบสมัคร การจดบันทึก หรือแม้แต่การใช้กล้องวงจรปิดในพื้นที่ขององค์กร

PDPA ครอบคลุมข้อมูลด้านใดบ้าง?

กฎหมาย PDPA เป็นกฎหมายที่มาพร้อมกับการก้าวหน้าของเทคโนโลยีสื่อสาร ซึ่งแน่นอนว่าครอบคลุมข้อมูลบนสื่อออนไลน์ เช่น การเก็บข้อมูลผ่านระบบ CRM ไปจนถึงข้อมูลออฟไลน์อย่างการจดบันทึกอีกด้วย ทั้งยังเป็นกฎหมายที่ป้องกันการละเมิดข้อมูลส่วนบุคคล (Personal Data Violation) แบบรอบด้าน ไม่ว่าจะเป็น ชื่อ-นามสกุล หมายเลขบัตรประชาชน เบอร์โทรศัพท์ ที่อยู่ อีเมล รูปภาพใบหน้า ข้อมูลเสียง ลายนิ้วมือ ฯลฯ

ยังไม่หมดเพียงเท่านี้ เพราะ PDPA นั้นครอบคลุมไปถึง Sensitive Data หรือข้อมูลส่วนบุคคลที่มีความอ่อนไหวด้วย อาทิ เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อ ลัทธิ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลทางด้านสุขภาพ ข้อมูลทางพันธุกรรม ข้อมูลชีวภาพ Cookies ID หรือ Device ID

จะเห็นได้ว่า PDPA นั้นครอบคลุมข้อมูลของผู้บริโภคแบบรอบด้านเลยทีเดียว ซึ่งการที่นิติบุคคล กิจการ หรือแบรนด์ต่างๆ จะเก็บรวบรวมข้อมูลได้นั้น ต้องได้รับการยินยอมจากเจ้าของข้อมูลเสียก่อน

GDPR มีข้อแตกต่างอย่างไร?

กฎหมาย GDPR นั้นย่อมาจาก General Data Protection Regulation ที่จริงๆ แล้วอาจไม่เกี่ยวข้องกับประเทศไทยมากนัก เนื่องจากเป็นข้อบังคับในกฎหมายของสหภาพยุโรป (European Union หรือ EU) จะคุ้มครองข้อมูลของส่วนบุคคลของประชากรในสหภาพยุโรปและบุคคลสัญชาติยุโรปที่อยู่ในต่างประเทศ เพื่อให้มั่นใจว่าข้อมูลจะไม่ถูกนำไปใช้ในทางมิชอบ และได้เริ่มบังคับใช้อย่างเป็นทางการในวันที่ 25 พฤษภาคม พ.ศ. 2561 เป็นที่เรียบร้อย หากท่านมีกิจการระหว่างประเทศ (International Business) อยู่ในสหภาพยุโรป ก็ควรพึงปฏิบัติตามข้อกฎหมายนี้ด้วย

GDPR ในยุโรปนั้นได้ถูกร่างและบังคับใช้มาก่อน PDPR ของไทย หรือพูดในอีกนัยหนึ่งว่า GDPR เป็นต้นแบบของ PDPR ก็ว่าได้ และมีข้อกำหนดที่มากกว่าด้วย แต่ในไม่ช้า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนี้จะมีการร่างข้อบังคับเพิ่มเติมและประกาศใช้ภายหลัง เจ้าของธุรกิจทุกท่านควรศึกษาและปรับธุรกิจให้อยู่ภายใต้กฎหมายฉบับนี้

ผู้ประกอบการต้องปรับตัวอย่างไรเมื่อมีกฎหมาย PDPA และ GDPR?

สิ่งแรกๆ ที่ผู้ประกอบการและแบรนด์ควรให้ความสำคัญคือ การสร้าง Privacy Policy หรือนโยบายความเป็นส่วนตัว เพื่อ “แจ้ง” รายละเอียดเกี่ยวกับการจัดการข้อมูลส่วนบุคคล เช่น เก็บข้อมูลอะไร ใช้ทำอะไร ลบข้อมูลเมื่อใด เป็นต้น

นอกเหนือจากนั้น ในวันที่ 1 มิถุนายน พ.ศ. 2565 พ.ร.บ คุ้มครองข้อมูลส่วนบุคคลนี้ จะมีการบังคับใช้ให้ผู้ที่เก็บรวบรวมข้อมูลต้องทำ Privacy Policy ด้วยนั่นเอง เพื่อเป็นการป้องกันการถูกฟ้องร้อง แบรนด์ควรขอความยินยอมในการเก็บข้อมูล การใช้หรือการเปิดเผยข้อมูลเสียก่อน หรือที่เรียกว่า Consent Management นั่นเอง

การใช้ระบบเก็บข้อมูลอย่างระบบ CRM หรือ ระบบ CDP ที่ได้มาตรฐานและสามารถจัดการข้อมูลได้อย่างชาญฉลาด เป็นอีกหนึ่งตัวเลือกที่น่าสนใจสำหรับผู้ประกอบการทุกท่าน

ดังนั้นการบริหารข้อมูลส่วนบุคคลจึงเป็นเรื่องที่เกี่ยวข้องกับแบรนด์โดยตรง และจำเป็นต้องดำเนินการอย่างต่อเนื่อง เพราะหากไม่มี “ข้อมูล” แล้ว การทำการตลาด เช่น Personalized Marketing หรือ Remarketing จะเป็นไปไม่ได้เลย