ธุรกิจที่เปิดเผยขอมูลลูกค้าแก่บุคคลที่สามต้องทำอย่างไร? เพื่อไม่ให้ละเมิดกฎหมาย PDPA สิ่งที่ผู้ประกอบการธุรกิจควรรู้ และปรับเปลี่ยนเพื่อให้กิจกรรมของธุรกิจสอดคล้องกับกฎหมาย และข้อควรระวังเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลโดยไม่ตั้งใจ

หากธุรกิจคุณมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) จะสามารถนำข้อมูลส่วนบุคคลของลูกค้า ส่งต่อให้บุคคลคลหรือนิติบุคลอื่นไปใช้เพื่อกิจกรรมทางธุรกิจได้หรือไม่?
คำเฉลยของคำถามนี้ค่อนข้างยาว..แต่หากจะให้ตอบแบบสรุปเลยก็คือ ‘ได้’ แต่ต้องอยู่ภายใต้เงื่อนที่กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดไว้ โดยในด้านธุรกิจสามารถแบ่งเป็น 2 กรณี ดังนี้

        กรณีที่ 1. ผู้ควบคุมข้อมูลฯ ซึ่งมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยในกรณีนี้เราหมายถึง ‘ข้อมูลลูกค้า’ และได้ยินยอมให้ดำเนินการได้ตามวัตถุประสงค์ที่ระบุไว้ในเอกสารความยินยอม (Consent) อย่างชัดเจน โดยมีการเปิดเผย หรือส่งต่อข้อมูลให้กับคู่ค้าหรือคู่สัญญาที่ได้รับการแต่งตั้งเป็น ‘ผู้ประมวลผลข้อมูลส่วนบุคคล’ (Data Processer) ดำเนินการประมวลผลเพื่อกิจกรรมด้านการตลาด หรือกิจกรรมของธุรกิจที่มีการระบุไว้ในวัตถุประสงค์ของการเก็บรวบรวมใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล และได้แจ้งไว้ใน Privacy Notice (ประกาศความเป็นส่วนตัว) การดำเนินการลักษณะนี้จึงสามารถทำได้โดยชอบภายใต้ข้อกำหนดของกฎหมาย

         กรณีที่ 2. ผู้ควบคุมข้อมูลฯ นำข้อมูลส่วนบุคคลของลูกค้าซึ่งได้มีการเก็บรวบรวมไปเปิดเผยต่อ ‘บุคคลที่สาม’ (Third-party) ที่ไม่ใช่ผู้ประมวลผลข้อมูลฯ เพื่อให้ดำเนินการ
ด้านกิจกรรมทางธุรกิจในรูปแบบต่างๆ ซึ่งหากเป็นการดำเนินการตามวัตถุประสงค์เดิมที่มีการแจ้ง และขอความยินยอมจากลูกค้าแล้ว ก็สามารถดำเนินการได้ตามกฎหมายเช่นกัน แต่ควรที่จะต้องแจ้งรายละเอียดไว้ใน Privacy Notice ด้วยว่า บริษัทฯ ได้มีการแบ่งปันข้อมูลแก่บุคคลที่สาม เช่น ได้เปิดเผยข้อมูลแก่ที่ปรึกษาด้านการวิเคราะห์ตลาด (สามารถระบุชื่อ หรืออาจไม่ระบุชื่อเนื่องจากเป็นความลับทางธุรกิจ) เพื่อดำเนินการตามวัตถุประสงค์ของธุรกิจ ทั้งนี้ หากมีการเปิดเผยข้อมูลส่วนบุคคลของลูกค้าเพื่อดำเนินการที่ต่างจากวัตถุประสงค์เดิมที่แจ้งและขอความยินยอมไว้ก่อนนี้ ผู้ควบคุมข้อมูลฯ จะต้องแจ้งและขอความยินยอมใหม่แก่เจ้าของข้อมูลก่อนดำเนินการทุกครั้ง