ก่อนที่เราจะบอกถึงเหตุผลและความสำคัญของการมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) ซึ่งเป็นคนที่จะมาดูแลให้บริษัทดำเนินการได้ถูกต้อง และป้องกันความเสี่ยงจากการทำผิดกฎหมาย หรือเหตุการณ์ละเมิดข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) โดยประกาศใช้เมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา เบื้องต้น จะต้องเข้าใจรูปแบบและกิจกรรมต่างๆ ของธุรกิจค้าปลีกสมัยใหม่เสียก่อน
ทั้งนี้หากแยกประเภทของ ‘ธุรกิจค้าปลีก’ ที่มีอยู่ในปัจจุบัน โดยแบ่งตามรูปแบบของการดำเนินธุรกิจ สามารถระบุประเภทได้ดังนี้
1.ร้านโชห่วย หรือร้านค้าปลีกรายย่อยที่อยู่ตามตรอกซอกซอย หรือตามพื้นที่ชุมชนต่างๆ และถือว่ากิจการโชห่วยถือว่าเป็นกิจการที่มีมานมนาน แต่ในปัจจุบันได้มีการพัฒนาทั้งรูปแบบและสินค้า รวมทั้งบริการที่มีความทันสมัยมากขึ้น กระนั้นแม้จะมีการพัฒนาหน้าตาไปมาก แต่ยังอยู่ในกรอบการดำเนินกิจกรรมแบบเดิม คือการซื้อสินค้าราคาส่งมาขายปลีกแก่คนทั่วไป
2.ร้านสะดวกซื้อ พัฒนาการค้าปลีกที่ได้ปรับรูปแบบจากโชห่วยแบบเดิมไปสู่ร้านสะดวกซื้อที่เน้นขายสินค้าในชีวิตประจำวันให้บริการแบบ 24 ชม.และมีเพิ่มบริการบางอย่างที่อำนวยความสะดวกให้ลูกค้า เช่น บริการด้านธุรกิจกรรมเงิน จ่ายบิลค่าบัตรเครดิต สินเชื่อ ค่าน้ำ ค่าไฟ ฝาก-ถอนเงิน โอนเงินเข้าบัญชีธนาคาร จองตั๋วงานแสดงดนตรี รวมทั้งมีการจัดทำระบบสมาชิกเก็บข้อมูลลูกค้า อาทิ ชื่อ-นามสกุล ที่อยู่ เบอร์มือถือ อีเมล หมายเลขบัตรประชาชน เพื่อกิจกรรมด้านการตลาด และการบริการส่งสินค้าแบบ Delivery รวมถึงมีการจัดเก็บข้อมูลคู่ค้าที่เป็น Supplier ส่งสินค้ามาขายในร้าน
3.ซูเปอร์มาร์เก็ต ร้านค้าปลีกที่เน้นขายสินค้าในชีวิตประจำวัน และอาหารแบบต่างๆ และมีบริการที่คล้ายกับร้านสะดวกซื้อแต่อาจจะมีพื้นที่มากกว่า บางแห่งตั้งอยู่ในห้างสรรพสินค้า หรือแยกมาเปิดเดี่ยวๆ (Stand-Alone) ทำให้ค้าปลีกประเภทนี้นอกจากจะมีบริการด้านธุรกรรมการเงิน การจัดทำระบบสมาชิก บริการ Delivery และจัดเก็บข้อมูลซัพพลายเออร์ที่ส่งสินค้ามาขายในร้าน แต่ด้วยการที่ซูเปอร์มาร์เก็ตมีพื้นที่มากกว่าร้านสะดวกซื้อ (บางแห่ง) จึงยังมีการเปิดเช่าพื้นที่แก่ผู้ค้าภายนอก และจัดเก็บข้อมูลพนักงานจำนวนมากด้วย และอาจยังมีระบบรักษาความปลอดภัยและบริการจอดรถ
4.ห้างสรรพสินค้า หรือที่หลายท่านเรียกกันสั้นๆว่า ‘ห้าง’ หมายถึงศูนย์รวมของสินค้าแทบทุกประเภท ตั้งแต่สินค้าทั่วไปที่ใช้ในชีวิตประจำวัน ไปจนถึงสินค้าอื่นๆ อาทิ สินค้าแฟชั่น ร้านหนังสือ ร้านอาหารและเครื่องดื่ม ร้านยา ร้านอุปกรณ์ไอที ร้านอุปกรณ์สำนักงาน ธนาคาร ร้านทอง ร้านเกม ของที่ระลึก เครื่องดนตรี สินค้าไลฟ์สไตล์ ฯลฯ ซึ่งแม้ห้างบางแห่งจะชูจุดเด่นที่แตกต่างกัน แต่ยังคงรูปแบบบริการแบบ ‘ครบจบในที่เดียว’ จึงทำให้ค้าปลีกประเภทนี้มีการจัดเก็บข้อมูลลูกค้า คู่ค้า-คู่สัญญา ข้อมูลพนักงาน ข้อมูลการเงิน จัดทำระบบสมาชิก และบริการ Delivery ทั้งมีการวางระบบรักษาความปลอดภัย บริการที่จอดรถ และบันทึกข้อมูลทะเบียนรถของลูกค้าที่มาใช้บริการ
5.คอมมูนิตี้มอลล์ ร้านค้าปลีกแบบ Stand-Alone ที่เน้นจุดขายเฉพาะเช่น สินค้าไลฟ์สไตล์ ร้านอาหาร และเครื่องดื่ม ธนาคาร ร้านทอง ร้านยา อุปกรณ์สำนักงาน ฯลฯ อาจจะเรียกว่าเป็นการย่อส่วนต่างๆของห้างสรรพสินค้าให้เป็นแบบ ‘เฉพาะส่วน’ แต่จะมีการดำเนินกิจกรรมแบบเดียวกับห้าง โดยมีการจัดเก็บข้อมูลลูกค้า คู่ค้า-คู่สัญญา ข้อมูลพนักงาน บริการธุรกรรมการเงินแบบต่างๆ รวมถึงบางมีการจัดทำระบบสมาชิกและบริการ Delivery มีระบบรักษาความปลอดภัย บริการที่จอดรถ และบันทึกข้อมูลทะเบียนรถ
6.ร้านค้าออนไลน์ ค้าปลีกสมัยใหม่ที่เติบโตและได้รับความนิยมอย่างสูงในปัจจุบัน โดยทั่วไปจะมีทั้งแบบขายหน้าร้านและพ่วงบริการขายออนไลน์ผ่านแอปพลิเคชัน โซเชียลมีเดีย หรือเว็บไซต์ เน้นขายสินค้าหลากหลาย หรืออาจจะขายสินค้าประเภทใดประเภทหนึ่ง แต่รูปแบบการดำเนินกิจกรรมของร้านยังคงคล้ายคลึงกับค้าปลีกทั่วไป คือ มีการเก็บข้อมูลส่วนบุคคลของลูกค้า โดยการเปิดเผยข้อมูลลูกค้าแก่ธุรกิจขนส่ง และบางร้านมีการจัดทำระบบสมาชิกเพื่อกิจกรรมด้านการตลาดในรูปแบบต่างๆ ซึ่งทำให้เป็นธุรกิจที่มีการเก็บ รวบรวม ใช้ข้อมูลส่วนบุคคลของลูกค้า ‘เป็นจำนวนมาก’
สิ่งใดบ้างที่ ‘ธุรกิจค้าปลีกสมัยใหม่’ เสี่ยงละเมิดกฎหมาย PDPA และอาจต้องแต่งตั้ง DPO เพื่อให้ดำเนินการอย่างถูกต้อง
ในที่นี้ใช้คำว่า ‘ค้าปลีกสมัยใหม่’ เนื่องจากกิจกรรมของร้านค้าปลีกในปัจจุบันได้มีการปรับตัวตามสถานการณ์และพฤติกรรมการซื้อสินค้าของผู้บริโภค จึงเป็นไปได้ยากที่จะระบุว่าร้านค้าปลีกแบบใดบ้างเสี่ยงละเมิดกฎหมาย PDPA แต่ขอระบุถึงกิจกรรมที่ค้าปลีกได้มีการดำเนินการที่เข้าข่ายผิด พ.ร.บ.คุ้มครองข้อมูลฯ และอาจจะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO หากมีกิจกรรมที่เข้าข่ายดังต่อไปนี้
- บันทึกภาพบุคคลนิ่ง หรือติดกล้องวงจรปิด CCTV โดยไม่ขอความยินยอมจากเจ้าของข้อมูลหรือแจ้งว่าพื้นที่ดังกล่าวได้มีการบันทึกภาพนิ่งและภาพเคลื่อนไหวอย่างชัดเจน หรือแม้แต่ ‘ทะเบียนรถ’ ซึ่งเป็นข้อมูลที่สามรถระบุตัวบุคคลได้ เข้าข่ายผิดกฎหมาย PDPA และโดยส่วนใหญ่เรามักจะเห็นว่าร้านค้าปลีกมีการบันทึกภาพไว้มากมาย ทำให้กิจกรรมนี้ถือว่าละเมิดข้อมูลส่วนบุคคล
2. จัดทำระบบสมาชิก โดยทั่วไปจะมีการขอการข้อมูลส่วนบุคคลตั้งแต่ชื่อ –นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล หมายเลขบัตรประชาชน ภาพถ่ายใบหน้า ซึ่งข้อมูลเหล่านี้เป็นข้อมูลส่วนบุคคลทั่วไป (Personal Data) จะต้องขอความยินยอม (Consent) จากเจ้าของข้อมูล รวมทั้งต้องแจ้งวัตถุประสงค์ในการจัดเก็บ ประมวลผล หรือนำข้อมูลดังกล่าวไปเปิดเผยแก่บุคคลที่สามให้แก่เจ้าของข้อมูลทราบ และที่สำคัญเจ้าของข้อมูลมีสิทธิที่จะไม่ยินยอมให้เก็บ ใช้หรือเปิดเผย หรือการขอเข้าถึงสิทธิให้แก้ไข ถ่ายโอน หรือเพิกถอนยอมความยินยอมได้และต้องทำได้ง่าย
3. Omni Channel เป็นรูปแบบของการผสานระว่างช่องทางค้าปลีกออฟไลน์ และค้าปลีกออนไลน์ เพื่อให้ได้มาซึ่งยอดขาย ซื้อซ้ำ และ Loyalty Customers อย่างเช่น การให้ลูกค้ากรองข้อมูลส่วนตัวเพื่อสมัครสมาชิกอาจจะทำที่หน้าร้าน หรือผ่านช่องทางออนไลน์เช่น Facebook, Website, LINE, Email, SMS เพื่อจองหรือการเข้าไปรับสินค้า คูปองส่วนลด หรือสินค้าของแถมอื่นๆ ที่เพิ่มเติมจากการทำระบบสมาชิกคือ ร้านค้าปลีกยังทราบวันเวลาที่ลูกค้าจะมาที่ร้าน มีข้อมูลธุรกรรมการเงิน เลขบัตรเครดิตรวมทั้งมีการติดตามผล และนำข้อมูลไปประมวลผลเพื่อกิจกรรมด้านการส่งเสริมการขายและการตลาดอื่นๆ หรือการจัดส่งสินค้าให้ลูกค้าผ่านช่องทาง Delivery ทั้งอาจมีการส่งต่อข้อมูลลูกค้าให้กับร้านค้าสาขาอื่น แบรนด์อื่น ที่เข้าข่ายส่งต่อข้อมูลส่วนบุคคลที่สามโดยเจ้าของข้อมูลไม่เพียงไม่ทราบว่าเอาไปทำอะไรบ้าง แต่ยังส่งต่อข้อมูลและเฝ้าติดตามพฤติกรรมซึ่งเป็นการละเมิดข้อมูลส่วนบุคคลตามบัญญัติในกฎหมาย PDPA
4. บริการ Delivery เป็นที่ทราบดีว่าร้านค้าปลีกในปัจจุบันมีบริการส่งสินค้าให้ลูกค้าโดยที่ลูกค้าเองไม่ต้องมารับที่ร้าน ไม่ว่าจะเป็นแบบส่งด่วน Delivery ผ่านแอปพลิเคชัน หรือช่องทางที่ร้านค้าพัฒนาขึ้นเอง ส่งสินค้าผ่านผู้ให้บริการขนส่งแบบ Express หรือผ่านระบบไปรษณีย์ และไม่ว่าจะรูปแบบใดก็เข้าข่ายเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามบัญญัติของกฎหมาย PDPA ทั้งยังมีการส่งต่อข้อมูลส่วนบุคคลแก่บุคคลที่สาม ซึ่งเสี่ยงต่อการละเมิดได้ง่ายหากไม่มีการจัดการที่รัดกุมและเหมาะสมกับความเสี่ยง
5 จัดเก็บข้อมูลสุขภาพลูกค้า ร้านค้าปลีกสมัยใหม่บางแห่งยังมีการเก็บข้อมูลการซื้อยา การแพ้ยา แพ้สารเคมี หรือแพ้อาหาร ที่เข้าข่ายการเก็บข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) โดยบัญญัติของกฎหมาย PDPA จะทำได้ก็ต่อเมื่อเป็นเหตุจำเป็นและชอบโดยกฎหมาย ที่สำคัญคือเจ้าของข้อมูลจะต้องทราบและให้ความยินยอมผ่านช่องทางใด ช่องทางหนึ่งอย่างชัดเจน
6. จัดเก็บข้อมูลส่วนบุคคลเป็นจำนวนมาก เป็นที่ทราบดีว่าร้านค้าปลีกสมัยใหม่ในปัจจุบันเน้นการทำการตลาดและกิจกรรมส่งเสริมการขายโดยการจัดเก็บ ประมวลผลและเฝ้าติดตามพฤติกรรมของลูกค้า ทำให้มีความจำเป็นจะต้องเก็บข้อมูลส่วนบุคคลของลูกค้าเป็นจำนวนมาก ซึ่งการดำเนินการดังกล่าวเข้าข่ายลักษณะของผู้ควบคุมข้อมูลส่วนบุคคลตามกฎหมาย PDPA และมี ‘ความเสี่ยงสูง’ ที่ข้อมูลที่จัดเก็บหรือประมวลผลจะนำไปสู่การละเมิดข้อมูลส่วนบุคคลของลูกค้า
ทั้งนี้ตามนิยามของกฎหมาย PDPA ที่ระบุถึงขอบเขตของ ‘ข้อมูลจำนวนมาก’ คือ บุคคลหรือนิติบุคคลที่มีการจัดเก็บข้อมูลบุคคลทั่วไปที่สามารถระบุตัวตนมากกว่า 5 หมื่นราย หรือมีข้อมูลอ่อนไหว(Sensitive Data) มากว่า 5 พันรายการ และร้านค้าปลีกสมัยใหม่ที่เข้าเกณฑ์นี้จะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลหรือ DPO
ด้วยข้อมูลที่เราหยิบยกและนำมาแจกแจงทั้งหมด จะเห็นว่าธุรกิจค้าปลีกสมัยใหม่ (ยกเว้นโชห่วย) มีความสุ่มเสี่ยงในหลายด้านที่ข้อมูลส่วนบุคคลจะเกิดการรั่วไหลและนำไปสู่การละเมิด รวมทั้งบางกิจกรรม กฎหมายระบุว่าต้องดำเนินการอย่าง ‘ถูกต้อง และเหมาะสมกับความเสี่ยง’ ด้วยเหตุนี้ ค้าปลีกสมัยใหม่อาจจะมีความจำเป็นต้องแต่งตั้ง DPO ผู้ที่จะมามาแนะนำเพื่อให้สามารถแน่ใจว่าการดำเนินกิจกรรมค้าปลีกและกิจกรรมการด้านการส่งเสริมการขายในรูปแบบต่างๆ ได้ทำอย่างถูกต้องและเหมาะสมตามบทบัญญัติของกฎหมาย PDPA
ขณะที่ในมุมของผู้ค้าออนไลน์รายย่อย หรือผู้ค้าออนไลน์ที่ขายผ่านช่องทางแอปพลิเคชันอาจจะไม่เข้าเกณฑ์นี้ แต่เนื่องจากหากผู้ค้านั้นยังเป็นผู้ที่มีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลอย่างต่อเนื่อง ก็อาจจะต้องให้ความใสใจเรื่องกฎหมาย PDPA เพื่อเป็นการป้องกันการละเมิดกฎหมายที่อาจจะเพราะความประมาทเลินเล่อ หรือไม่ทราบ เนื่องจาก PDPA ยังเป็นกฎหมายใหม่ที่รอการบังคับใช้อย่างเป็นทางการ และภายใต้บรรทัดฐานใหม่นี้ ‘ข้อมูลส่วนบุคคล’ จึงควรเก็บเท่าที่จำเป็นต้องใช้เท่านั้นเพื่อเป็นมาตรการป้องกันความเสี่ยงจากการละเมิดที่อาจจะเกิดขึ้นในอนาคตได้
