อีกไม่นานนี้กฎหมาย PDPA (Personal Data Protection Act) ก็จะเริ่มใช้อย่างเต็มรูปแบบแล้ว ซึ่งจะเกี่ยวข้องกับบริษัทหรือแบรนด์ที่มีการเก็บข้อมูลของลูกค้าโดยตรง วันนี้เราเลยพามาทำความเข้าใจกันง่าย ๆ ว่า กฏหมาย PDPA คืออะไร และจะเข้ามามีผลกับธุรกิจของเราอย่างไรบ้าง?
? เช็กกันก่อน แบบไหนถึงเรียกว่า “ข้อมูลส่วนบุคคล”
สำหรับความหมายของข้อมูลส่วนบุคคล คือ ข้อมูลใด ๆ ที่สามารถใช้ระบุถึงตัวเจ้าของข้อมูลได้ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล ไอดีไลน์ บัญชีธนาคารลายนิ้วมือ ประวัติสุขภาพ ประวัติการทำงาน ประวัติการศึกษา (ถ้านึกภาพง่าย ๆ ใกล้ตัว ลองสำรวจบนโปรไฟล์หน้า Facebook ของบางคน อาจจะมีข้อมูลเหล่านี้หมดเลย ? ซึ่งเจ้าตัวใส่ไว้เองด้วย)
? แล้ว PDPA คืออะไร เกี่ยวข้องกับธุรกิจของเราไหม?
ถ้าธุรกิจของคุณมีการเก็บข้อมูลของลูกค้าแล้วละก็ “เกี่ยว” แน่นอน โดยเฉพาะอย่างยิ่งถ้าเรามีการทำการตลาดแบบ Personalized Marketing ที่ต้องเกี่ยวข้องกับการเก็บข้อมูลส่วนบุคคลอย่างเลี่ยงได้ยาก
โดยกฏหมาย PDPA (Personal Data Protection Act) เป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งจะให้ความคุ้มครองเกี่ยวกับ “ข้อมูลส่วนบุคคล” ของทุกคน ไม่ว่าจะเป็นเจ้าของแบรนด์ ลูกค้า หรือใครก็ตาม ซึ่งข้อมูลเหล่านี้ ครอบคลุมทั้งข้อมูลที่เก็บแบบเอกสาร เป็นกระดาษ เป็นหนังสือ เป็นไฟล์อิเล็กทรอนิกส์ต่าง ๆ เช่น Excel PDF ฯลฯ
ซึ่ง PDPA จะคุ้มครองไม่ให้องค์กรนำข้อมูลเหล่านี้ไปใช้โดยที่ไม่ได้รับความยินยอม เช่น ต่อไป ถ้าเราให้เบอร์มือถือกับบริษัท A เพื่อใช้แลกคะแนนสินค้า แต่ปรากฏว่าเบอร์เราดันมีบริการ B โทรมาขายของซะงั้น ซึ่งเราไม่รู้ไม่เห็น ไม่ได้ยินยอมมาก่อน ถ้าเจอว่าบริษัท A เป็นคนขายไป ก็จะมีบทลงโทษตามกฎหมายนั่นเอง
และกฎหมายลักษณะนี้ไม่ได้มีแค่ในประเทศไทยนะครับ แต่หลายประเทศทั่วโลกก็มีการให้ความสำคัญกับประเด็นนี้เช่นกัน เช่น ในสหภาพยุโรป ก็มี GDPR (General Data Protection Regulation) กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป นอกจากนี้แถบเพื่อนบ้านของเราก็มี PDPA เช่นกัน เช่นในประเทศสิงคโปร์ มาเลเซีย เป็นต้น
ดังนั้นสำหรับเรา เจ้าของธุรกิจที่เก็บข้อมูลลูกค้าไว้ ก็จะมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ส่วนลูกค้าก็จะมีสถานะเป็นเจ้าของข้อมูลส่วนบุคคล (Data Subject) โดยกฎหมาย PDPA ของไทยนี้ จะเริ่มใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 ครับ
? บทลงโทษในไทย
ข้อควรระวังหากละเมิดกฎหมาย PDPA คือไม่ได้มีโทษเฉพาะทางแพ่ง แต่มีโทษจำคุกด้วย โดยมี 3 ข้อดังนี้
- โทษทางอาญา จำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท หรือทั้งจำทั้งปรับ
- โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
- โทษทางปกครองปรับไม่เกิน 5 ล้านบาท
? ดังนั้นจะเก็บข้อมูลยังไงไม่ให้ละเมิด PDPA ?
มาถึงในส่วนของการเตรียมตัว เนื่องจากตอนนี้ PDPA ยังไม่ได้บังคับใช้อย่างเต็มที่ ดังนั้นสิ่งที่ดีก็คือบรรดาแบรนด์และธุรกิจต่าง ๆ ยังพอมีเวลาที่จะรีวิวนโยบายการเก็บข้อมูลของตัวเองกันอีกครั้ง
สำหรับบรรดาแบรนด์ใหญ่ ๆ ที่มีการเก็บข้อมูล อาจจะเริ่มจากการสร้างความตระหนักรู้ให้กับบุคลากรที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล แบ่งสิทธิ์การเข้าถึงข้อมูลของแต่ละบุคคล รวมถึงจัดระบบตรวจสอบให้เรียบร้อยว่าใครเข้าถึงข้อมูลของลูกค้าเราบ้าง
ส่วนถัดไปที่จะต้องดูให้ดีก็คือการขออนุญาต หรือแจ้งให้กับเจ้าของข้อมูลทราบทุกครั้งก่อนที่เราจะทำการเก็บข้อมูลใด ๆ มา หรือเป็นการทำ Privacy Policy นั่นเอง
ซึ่ง Privacy Policy ยกตัวอย่างให้เห็นภาพง่าย ๆ อาจจะมาในรูปแบบของข้อความแจ้งเตือน สังเกตเวลาที่เราใช้บริการแอปพลิเคชันหรือเว็บไซต์ใด ๆ มักจะมีข้อความอธิบายเกี่ยวกับการเก็บข้อมูลของเรา เช่น บริษัทจะเก็บข้อมูลอะไรบ้าง เก็บเพื่ออะไร รักษาข้อมูลแบบไหน
ทั้งหมดนี้จะต้องทำให้เข้าใจง่าย ไม่ก่อให้เกิดความเข้าใจผิด และเมื่อลูกค้าให้ความยินยอม (Consent) แล้ว เราก็ต้องมีระบบจัดเก็บข้อมูลที่มีมาตรฐาน เก็บข้อมูลเท่าที่ต้องใช้ และมีการลบ เมื่อเวลาผ่านไปตามที่สมควร
ที่สำคัญ ลูกค้าหรือเจ้าของข้อมูล จะต้องสามารถถอนความยินยอม (Consent) ในการให้ข้อมูลได้เช่นกัน และต้องมีการแจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบที่จะเกิดขึ้นด้วย
ถึงแม้ว่าในการทำการตลาดไม่ว่าจะออฟไลน์หรือออนไลน์ การมีข้อมูลของลูกค้าไว้ ก็ยิ่งได้เปรียบต่อการวางแผนการตลาดให้ตอบโจทย์ลูกค้าได้มากกว่า แต่ต้องระวังการละเมิด PDPA ด้วยเช่นกัน
นอกจากนี้ใช่ว่าจะมีแต่ข้อมูลถือไว้อย่างเดียวแล้วจะดี แต่ต้องรู้จักที่จะนำข้อมูลเหล่านั้นไปใช้งานต่อให้ถูกหลักด้วย ไม่เช่นนั้นข้อมูลที่ลงทุนลงแรงเก็บไว้ ก็อาจจะไม่ได้สร้างประโยชน์ให้กับแบรนด์และธุรกิจของเราได้อย่างเต็มที่นั่นเองครับ