PDPA Thailand

607

PDPA Thailand
PDPA Thailand

ลงบทความเมื่อวันที่ 2 สิงหาคม 2566  (ปรับปรุงเมื่อวันพฤหัสบดีที่ 9 พ.ย. 2566)

      หากจะกล่าวถึงความสำคัญของการแต่งตั้ง DPO (Data Protection Officer) หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในองค์กรธุรกิจค้าปลีกสมัยใหม่ ควรเริ่มต้นตั้งแต่การทำความรู้จักธุรกิจค้าปลีกและในปัจจุบันร้านค้าปลีกได้พัฒนาควบคู่ไปกับความเจริญด้านต่างๆ และความต้องการของผู้บริโภค  ซึ่งมีความเสี่ยงทำผิดกฎหมายหรือละเมิดข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมาย PDPA โดยธุรกิจค้าปลีกมีหลายประเภท โดยหลักๆ สามารถแบ่งได้ ดังนี้

  1. โชห่วย เป็นธุรกิจร้านค้าปลีกรายย่อยที่อยู่ตามตรอกซอกซอย หรือตามพื้นที่ชุมชนในละแวกต่างๆ ที่มีมาอย่างยาวนาน จนในปัจจุบันได้มีการพัฒนารูปแบบและสินค้า รวมทั้งบริการให้มีความทันสมัยมากยิ่งขึ้น ถึงแม้ว่าจะมีการพัฒนาในสิ่งต่างๆ ให้ทันสมัยมากขึ้น แต่สิ่งหนึ่งที่เป็นเอกลักษณ์ชัดเจนของโชห่วย คือ การซื้อสินค้าราคาส่งมาขายปลีกให้แก่บุคคลทั่วไป
  2. ร้านสะดวกซื้อ ธุรกิจค้าปลีกที่พัฒนาปรับจากร้านโชห่วยไปสู่ร้านสะดวกซื้อที่มุ่งเน้นการขายสินค้าที่จำเป็นในชีวิตประจำวัน และเพิ่มความสะดวกสบายให้แก่ลูกค้าได้มากยิ่งขึ้นด้วยการเปิดบริการแบบ 24 ชม. รวมถึงมีบริการด้านอื่นๆ ได้แก่ ธุรกรรมการเงิน การจ่ายบิลค่าบัตรเครดิต สินเชื่อ ค่าน้ำ-ค่าไฟ ฝาก-ถอนเงิน โอนเงินเข้าบัญชีธนาคาร จองตั๋วคอนเสิร์ต รวมทั้งมีการจัดระบบสมาชิกไว้เก็บข้อมูลลูกค้า อาทิ ชื่อ-นามสกุล ที่อยู่ เบอร์มือถือ อีเมล หมายเลขบัตรประชาชน เพื่อกิจกรรมการด้านการตลาด และการบริการส่งสินค้าแบบ Delivery รวมถึงการจัดเก็บข้อมูลคู่ค้าที่เป็นซัพพลายเออร์ส่งสินค้ามาขายในร้าน เป็นต้น
  3. ซูเปอร์มาร์เก็ต คือ ธุรกิจร้านค้าปลีกที่ขายสินค้าในชีวิตประจำวันและอาหารรูปแบบต่างๆ มีการบริการคล้ายร้านสะดวกซื้อ แต่มีพื้นที่มากกว่า ซึ่งซูเปอร์มาร์เก็ตบางแห่งจะตั้งอยู่ในห้างสรรพสินค้า หรือแยกเปิดแบบ Stand-Alone จึงทำให้ธุรกิจค้าปลีกประเภทซูเปอร์มาร์เก็ตมีการเก็บข้อมูลระบบสมาชิก บริการเดลิเวอรี่ ธุรกรรมการเงิน การจัดเก็บข้อมูลของซัพพลายเออร์ นอกจากนี้ ซูเปอร์มาร์เก็ตบางแห่งยังมีพื้นที่ให้เช่าแก่ผู้ค้าภายนอก ซึ่งมีการจัดเก็บข้อมูล ระบบรักษาความปลอดภัย และบริการจอดรถอีกด้วย

    dpo in action อบรม pdpa dpo

  4. ห้างสรรพสินค้า หรือที่เรียกกันอย่างคุ้นชินว่า “ห้าง” เป็นศูนย์รวมของสินค้าแทบทุกประเภท ตั้งแต่สินค้าทั่วไปที่ใช้ในชีวิตประจำวัน จนถึงสินค้าเบ็ดเตล็ด เช่น สินค้าแฟชั่น ร้านหนังสือ ร้านอาหารและเครื่องดื่ม ร้านขายยา ร้านอุปกรณ์ไอที ร้านอุปกรณ์สำนักงาน ธนาคาร เป็นต้น ถึงแม้ว่าห้างสรรพสินค้าแต่ละแห่งจะมีจุดเด่นที่แตกต่างกัน แต่ทุกห้างยังคงรูปแบบการบริการที่ “ครบจบในที่เดียว” จึงทำให้การค้าปลีกประเภทนี้มีการเก็บข้อมูลลูกค้า คู่ค้า-คู่สัญญา ข้อมูลพนักงาน ข้อมูลการเงิน การจัดทำระบบสมาชิก การบริการ Delivery รวมถึงการวางระบบรักษาความปลอดภัยบริการที่จอดรถ และบันทึกข้อมูลทะเบียนรถของลูกค้าที่มาใช้บริการ

  5. คอมมูนิตี้มอลล์ เป็นธุรกิจค้าปลีกแบบ Stand-Alone มีจุดเด่นที่เน้นการขายเฉพาะสินค้าประเภทไลฟ์สไตล์ ร้านอาหารและเครื่องดื่ม ธนาคาร ร้านทอง ร้านยา อุปกรณ์สำนักงาน ซึ่งสามารถเรียกคอมมูนิตี้มอลล์ว่าเป็นห้างสรรพสินค้าแบบย่อส่วนก็ได้ เพราะมีการดำเนินการแบบเดียวกัน รวมถึงการจัดเก็บข้อมูลลูกค้า คู่ค้า-คู่สัญญา ข้อมูลพนักงาน รวมถึงระบบสมาชิก บริการ Delivery ระบบรักษาความปลอดภัย การบริการที่จอดรถ และการบันทึกข้อมูลทะเบียนรถอีกด้วย

  6. ร้านค้าออนไลน์ ถือว่าเป็นธุรกิจค้าปลีกที่มีอัตราการเติบโตสูง และได้รับความนิยมในปัจจุบันเป็นอย่างมาก ปกติร้านค้าต่างๆ จะมีการขายหน้าร้านและมีบริการออนไลน์ผ่านแอปพลิเคชัน โซเชียลมีเดีย หรือเว็บไซต์ โดยมีรูปแบบการดำเนินการของร้านคล้ายกับร้านค้าปลีกทั่วไป คือ มีการเก็บข้อมูลส่วนบุคคลของลูกค้า มีการเปิดเผยข้อมูลลูกค้าแก่ธุรกิจขนส่ง หรือบางร้านยังมีการจะทำระบบสมาชิกเพื่อกิจกรรมด้านการตลาด ซึ่งธุรกิจร้านค้าออนไลน์จึงกลายเป็นธุรกิจที่มีการเก็บ รวบรวม ใช้ข้อมูลส่วนบุคคลของลูกค้าเป็นจำนวนมาก

ธุรกิจค้าปลีกสมัยใหม่ เสี่ยงละเมิดกฎหมาย PDPA อย่างไรบ้าง? และต้องแต่งตั้ง DPO ให้ถูกต้องอย่างไร?

     ธุรกิจค้าปลีกสมัยใหม่ได้รับการพัฒนา ปรับตัวตามสถานการณ์และพฤติกรรมของผู้บริโภคให้มีความทันสมัยมากยิ่งขึ้น จึงไม่สามารถระบุได้ร้อยเปอร์เซ็นต์ว่าร้านค้าปลีกใดบ้างที่เสี่ยงละเมิดกฎหมาย PDPA แต่ขอระบุการดำเนินการกิจกรรมที่มีการเข้าข่ายผิด พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งอาจจะต้องแต่งตั้ง DPO เมื่อมีกิจกรรม ดังต่อไปนี้

  1. การติดกล้องวงจรปิด CCTV เพื่อบันทึกภาพบุคคล โดยไม่ขอความยินยอมจากเจ้าของข้อมูล หรือการแจ้งว่าพื้นที่ดังกล่าวมีการบันทึกภาพนิ่งและภาพเคลื่อนไหวอย่างชัดเจน แม้กระทั่งทะเบียนรถก็เป็นข้อมูลที่สามารถระบุตัวบุคคลได้ ซึ่งเข้าข่ายผิดกฎหมาย PDPA ส่วนใหญ่มักเห็นว่าร้านค้าปลีกมีการบันทึกภาพไว้มากมาย ทำให้กิจกรรมนี้จึงเข้าข่ายการละเมิดข้อมูลส่วนบุคคล
  2. การจัดทำระบบสมาชิก การขอข้อมูลส่วนบุคคลตั้งแต่ ชื่อ-สกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล หมายเลขบัตรประชาชน ภาพถ่ายใบหน้า ล้วนเป็นข้อมูลส่วนบุคคลทั่วไป (Personal Data) ซึ่งจะต้องขอความยินยอม (Consent) จากเจ้าของข้อมูล รวมทั้งแจ้งวัตถุประสงค์ในการจัดเก็บ ประมวล หรือนำข้อมูลไปเปิดเผยแก่บุคคลที่สามให้แก่เจ้าของข้อมูลทราบด้วย โดยเจ้าของข้อมูลมีสิทธิที่จะไม่ยินยอมให้เก็บรวบรวม ใช้ เปิดเผย หรือการขอเข้าถึงสิทธิให้แก้ไข ถ่ายโอน หรือเพิกถอนความยินยอมได้ ที่สำคัญต้องทำได้โดยง่าย
  3. Omni Channel เป็นรูปแบบของการผสานระหว่างช่องทางค้าปลีกออฟไลน์และออนไลน์ เพื่อให้ได้มาซึ่งยอดขาย การซื้อซ้ำ และ Loyalty Customers เช่น การให้ลูกค้ากรอกข้อมูลส่วนตัวเพื่อสมัครสมาชิกอาจจะทำที่หน้าร้าน หรือผ่านช่องทางออนไลน์เช่น Facebook, Website, LINE, Email, SMS เพื่อจองหรือการเข้าไปรับสินค้า คูปองส่วนลด หรือสินค้าของแถมอื่นๆ ที่เพิ่มเติมจากการทำระบบสมาชิกคือ ร้านค้าปลีกสามารถทราบวันเวลาที่ลูกค้าจะมาที่ร้าน มีข้อมูลธุรกรรมการเงิน เลขบัตรเครดิตรวมทั้งมีการติดตามผล และนำข้อมูลไปประมวลผลเพื่อกิจกรรมด้านการส่งเสริมการขายและการตลาดอื่นๆ หรือการจัดส่งสินค้าให้ลูกค้าผ่านช่องทาง Delivery ซึ่งอาจมีการส่งต่อข้อมูลลูกค้าให้กับร้านค้าสาขาอื่น แบรนด์อื่น ที่เข้าข่ายส่งต่อข้อมูลส่วนบุคคลที่สามโดยเจ้าของข้อมูลไม่เพียงไม่ทราบว่าเอาไปทำอะไรบ้าง แต่ยังส่งต่อข้อมูลและเฝ้าติดตามพฤติกรรมซึ่งเป็นการละเมิดข้อมูลส่วนบุคคลตามบัญญัติในกฎหมาย PDPA
  4. บริการ Delivery ได้รับความนิยมอย่างแพร่หลายในปัจจุบัน ซึ่งลูกค้าไม่จำเป็นต้องมารับสินค้าที่ร้าน การส่งสินค้าแบบ Delivery ผ่านแอปพลิเคชัน หรือส่งสินค้าผ่านผู้ให้บริการขนส่งแบบ Express หรือระบบไปรษณีย์ สามารถเข้าข่ายเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) กล่าวคือบุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามบัญญัติของกฎหมาย PDPA ซึ่งมีการส่งต่อข้อมูลส่วนบุคคลแก่บุคคลที่สาม ซึ่งเสี่ยงต่อการละเมิดได้ง่ายหากไม่มีการจัดการที่รัดกุมและเหมาะสมกับความเสี่ยง
  5. จัดเก็บข้อมูลสุขภาพลูกค้า ร้านค้าปลีกสมัยใหม่บางแห่งยังมีการเก็บข้อมูลการซื้อยา การแพ้ยา แพ้สารเคมี หรือแพ้อาหาร ที่เข้าข่ายการเก็บข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) โดยบัญญัติของกฎหมาย PDPA จะทำได้ก็ต่อเมื่อเป็นเหตุจำเป็นและชอบโดยกฎหมาย ที่สำคัญคือเจ้าของข้อมูลจะต้องทราบและให้ความยินยอมผ่านช่องทางใด ช่องทางหนึ่งอย่างชัดเจน
  6. จัดเก็บข้อมูลส่วนบุคคลเป็นจำนวนมาก ร้านค้าปลีกสมัยใหม่ในปัจจุบันเน้นการทำการตลาดและกิจกรรมส่งเสริมการขายโดยการจัดเก็บ ประมวลผลและเฝ้าติดตามพฤติกรรมของลูกค้า ทำให้มีความจำเป็นจะต้องเก็บข้อมูลส่วนบุคคลของลูกค้าเป็นจำนวนมาก ซึ่งการดำเนินการดังกล่าวเข้าข่ายลักษณะของผู้ควบคุมข้อมูลส่วนบุคคลตามกฎหมาย PDPA และมี “ความเสี่ยงสูง” ที่ข้อมูลที่จัดเก็บหรือประมวลผลจะนำไปสู่การละเมิดข้อมูลส่วนบุคคลของลูกค้า

 

     กฎหมาย PDPA ได้ระบุถึงขอบเขตของ “กิจกรรมหลักที่มีการตรวจสอบข้อมูลส่วนบุคคลหรือระบบสม่ำเสมอโดยมีข้อมูลจำนวนมาก”   อ่านบทความเกี่ยวกับเกณฑ์ตามกฎหมายประกาศมาตรา 41 (2) เพิ่มเติม  และร้านค้าปลีกสมัยใหม่ที่เข้าเกณฑ์ดังกล่าวจะต้องแต่งตั้ง DPO

    สรุปได้ว่า ธุรกิจค้าปลีกสมัยใหม่ ยกเว้นร้านโชห่วย จะมีความเสี่ยงในหลายด้านที่ข้อมูลส่วนบุคคลจะเกิดการรั่วไหล และนำไปสู่การละเมิด รวมทั้งบางกิจกรรมกฎหมายระบุว่าต้องดำเนินการอย่าง “ถูกต้องและเหมาะสมกับความเสี่ยง” เพราะฉะนั้น ธุรกิจค้าปลีกสมัยใหม่มีความจำเป็นต้องแต่งตั้ง DPO ที่คอยแนะนำว่ากิจกรรมค้าปลีก และการส่งเสริมการขายในรูปแบบต่างๆ สามารถทำได้อย่างถูกต้องและเหมาะสมตามบทบัญญัติของกฎหมาย PDPA

pdpa guru
dpo in action อบรม pdpa dpo
DPO ภาครัฐ PDPA
หลักสูตร PDPA in Action
DPAC อบรม PDPA Internal Audit
PDPA Guru Google Forms EP8
DPOinActionรุ่น19 1200x300
DPO in Action TU - 1200x300
Advanced PDPA in Action สำหรับภาคเอกชน
Banner DPAC 1200x300
dpo รวม