หลังที่สหภาพยุโรปได้มีการบังคับใช้กฎหมาย General Data Protection Regulation หรือ GDPR เมื่อวันที่ 25 พฤษภาคม 2561 กฎหมายของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ทำให้องค์กรธุรกิจต่างมีการปรับตัว และที่ปรับตัวได้ไม่ทันหรือไม่ถูกต้องตามกฎหมาย ก็จะโดนบทลงโทษโดยการ ‘ปรับเงิน’ ซึ่งตามระเบียบของ GDPR มีโทษปรับสูงสุด 20 ล้านยูโร หรืออาจจะคิดจากฐาน 4% ของรายได้ทั่วโลก และอาจจะต้องพิจารณาจ่ายค่าสินไหมทดแทนให้ผู้เสียหายจากการละเมิดข้อมูลส่วนบุคคลร่วมด้วย
ขณะที่บริการจัดส่งอาหารออนไลน์ หรือ Food Delivery ซึ่งปัจจุบันได้เปลี่ยนพฤติกรรมการซื้ออาหารของผู้บริโภค และผู้ประกอบการต่างแข่งขันกันพัฒนาแพลตฟอร์มเพื่อให้บริการที่ตรงตามความต้องการของผู้บริโภค จึงเป็นธุรกิจกระแสแรงยุคนี้ แต่ในทางตรงกันข้าม Food Delivery ก็กำลังเผชิญปัญหาที่หนักหน่วงจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างหนักหน่วยเช่นกัน เนื่องจากมีสถานะเป็นผู้ควบคุมส่วนบุคคล ที่มีการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของทั้งลูกค้าและพนักงานส่งอาหารเป็นจำนวนมาก ทำให้การดำเนินการในหลายด้านจึง ‘สุ่มเสี่ยง’ ละเมิดได้ง่าย
ดังกรณีของ 2 แพลตฟอร์มผู้ให้บริการด้าน Food Delivery รายใหญ่ในประเทศอิตาลี คือ Deliveroo และ Foodinho ซึ่งถูก Garante หน่วยงานคุ้มครองข้อมูลส่วนบุคคลของอิตาลี สั่งปรับเงิน 2.9 ล้านยูโร และ 2.6 ล้านยูโร (ตามลำดับ) จากกรณีไม่ปฏิบัติตามกฎหมาย GDPR ไม่มีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) และไม่จัดทำบันทึกรายการประมวลผลข้อมูล (RoPA) รวมทั้งมีการใช้อัลกอริทึม (Algorithm) เพื่อประเมินพนักงานจัดส่ง และมีการเพิ่มหรือลดคำสั่งซื้ออาหารที่ได้รับมอบหมายจากการประเมินประสิทธิภาพในการทำงาน ซึ่งถือว่าเป็นการเลือกปฏิบัติ และไม่เป็นธรรมแก่พนักงานจัดส่งอาหาร
รวมถึงกรณีของ Takeaway.com ซึ่งเป็นเจ้าของ Delivery Hero SE แพลตฟอร์มส่งอาหารรายใหญ่ในกรุงเบอร์ลิน สหพันธรัฐเยอรมนี ที่ผ่านมาก็โดนลูกค้าฟ้องร้องกรณีละเมิดข้อมูลส่วนบุคคลของลูกค้าหลายครั้ง รวมทั้งมีการปรับเงินและต้องชดเชยค่าเสียหายแก่ผู้ถูกละเมิด
และอีกหลายกรณีทั่วโลกที่ชี้ให้เห็นว่า ‘จุดบอด’ ของแพลตฟอร์มบริการส่งอาหารออนไลน์ หรือ Food Delivery ยังมีอีกหลายๆ ด้านที่ผู้ประกอบการต้องพิจารณาและดำเนินการให้ถูกต้องตามข้อบังคับของกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยเฉพาะส่วนสำคัญคือ ข้อมูลส่วนบุคคลของลูกค้าและพนักงานจัดส่งอาหารจำนวนมากยังขาดการจัดการที่ปลอดภัย และไม่สอดคล้องกับข้อบังคับที่ GDPR กำหนดหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล
Food Delivery และร้านอาหารออนไลน์ในไทยควรปฏิบัติอย่างไร ตามข้อบังคับใน PDPA
1 มิถุนายน 2565 กฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 บังคับใช้ในประเทศไทยอย่างเป็นทางการ ด้วยเหตุนี้ ผู้ประกอบการด้านแพลตฟอร์มให้บริการอาหารออนไลน์ หรือ Food Delivery รวมทั้งร้านอาหารที่มีบริการสั่ง-ส่งอาหารออนไลน์ จะต้องเข้าใจกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับใหม่นี้อย่างละเอียด
ทั้งต้องพิจารณาการดำเนินการตามข้อบังคับของ PDPA อย่างรอบด้าน คือทั้งฝั่งลูกค้าผู้ใช้บริการ และฝั่งพนักงานส่งอาหารด้วย โดยปัจจุบันผู้ประกอบการมีการเก็บข้อมูลส่วนบุคคล ดังนี้
ข้อมูลส่วนบุคคลของลูกค้า Food Delivery จัดเก็บ
- ชื่อ นามสกุล และวันเดือนปีเกิด เพื่อลงทะเบียน
- เบอร์โทรศัพท์ หรืออีเมล เพื่อยืนยันตัวตน
- ที่อยู่เพื่อการจัดส่ง
- ข้อมูลการชำระเงิน
- บางรายมีการเชื่อมต่อกับบัญชีโซเชียลมีเดียด้วย
ข้อมูลส่วนบุคคลของไรเดอร์ ที่แพลตฟอร์ม Food Delivery จัดเก็บ
- ชื่อ นามสกุล วันเดือนปีเกิด และข้อมูลส่วนตัว
- เบอร์โทรศัพท์
- ถ่ายถ่ายใบหน้า
- สำเนาบัตรประชาชน
- สำเนาใบขับที่จักรยานยนต์
- บัญชีธนาคาร
- เล่มทะเบียน พ.ร.บ. รถจักรยานยนต์
- บางแห่งมีการขอเอกสารการตรวจประวัติอาชญากรรม (ซึ่งเป็นข้อมูลส่วนบุคคลอ่อนไหว)
ข้อมูลส่วนบุคคลของลูกค้าและไรเดอร์ที่ร้านอาหารจัดเก็บ
- ชื่อ นามสกุล
- เบอร์โทรศัพท์ หรือ อีเมล
- ถ่ายถ่ายใบหน้า
- เลขทะเบียนรถจักรยานยนต์
- ข้อมูลธุรกรรมการเงิน
- ข้อมูลความคิดเห็น ข้อมูลประเมินการให้บริการ ประวัติการรีวิว
และจากข้อเท็จจริงที่ว่า ‘ข้อมูลส่วนบุคคล’ ของทั้งลูกค้าผู้ใช้บริการ และไรเดอร์ผู้ให้บริการจัดส่งอาหาร ได้มีการนำมาเปิดเผยต่อบุคคลที่สามอย่างแพร่หลาย เช่น
- แพลตฟอร์ม Food Delivery มีการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลของลูกค้าแก่บุคคลที่สาม คือ ผู้ประกอบการร้านอาหาร และไรเดอร์ผู้จัดส่งอาหาร โดยจำนวนครั้งในการเปิดเผยก็ขึ้นอยู่กับจำนวนที่มีการสั่งอาหาร ซึ่งสมติว่า หากลูกค้ารายนั้นมีการสั่งอาหารออนไลน์ทุกวัน ภายใน 1 ปี ข้อมูลส่วนบุคคลอาจจะถูกเปิดเผยให้แก่คนเป็นจำนวนมากด้วย
- แพลตฟอร์ม Food Delivery มีการเปิดเผยข้อมูลส่วนบุคคลของไรเดอร์ ตลอดจนข้อมูลการประเมินประสิทธิภาพในการทำงาน (ส่งอาหาร) แก่ลูกค้าผู้ใช้บริการ และแก่ร้านอาหาร ซึ่งหากเปรียบเทียบแบบเดียวกับในข้างต้น ใน 1 ปี ข้อมูลส่วนบุคคลนั้นถูกเปิดเผยไปให้แก่บุคคลที่สามเป็นจำนวนที่ยากจะคาดคะเนได้
- มีการนำข้อมูลส่วนบุคคลทั้งของลูกค้า และไรเดอร์มาประมวลผล หรือดำเนินกิจกรรมส่งเสริมการขายและส่งเสริมการขายแก่ทีมการตลาดและฝ่ายขาย หรือนักวิเคราะห์ข้อมูล
ทั้งจะเห็นว่า ที่ผ่านมา มีการนำ Big Data มาใช้ในหลายธุรกิจ ขณะที่ Big Data ที่เป็นข้อมูลส่วนบุคคลที่กฎหมาย PDPA คุ้มครอง ทำให้ผู้ให้บริการ Food Delivery ซึ่งมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล อาจต้องทบทวนและมีมาตรการในการจัดการข้อมูลจำนวนมากนั้นให้มีความปลอดภัย และสอดคล้องกับข้อบังคับของกฎหมาย โดยมีแนวทางปฏิบัติ ดังนี้
PDPA สำหรับ ‘ร้านอาหาร’ ที่ให้บริการจัดส่งออนไลน์
โดยทั่วไป ร้านอาหารที่มีบริการจัดส่งอาหารออนไลน์ มีสถานะเป็น ‘คู่สัญญา’ ของแพลตฟอร์ม Food Delivery (ยกเว้นกรณีทางร้านพัฒนาแพลตฟอร์มและพนักงานจัดส่งเอง) และมีการเก็บ ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าที่สั่งอาหารและไรเดอร์จัดส่งอาหาร เช่น ชื่อ เบอร์โทรศัพท์ ที่อยู่ ข้อมูลการชำระเงิน และประวัติการรีวิว ดังนั้นทางร้านอาหารควรพิจารณาด้านความปลอดภัยของข้อมูลส่วนบุคคลเพื่อป้องกันการละเมิด ดังนี้
- ดำเนินการลบหรือทำลาย ข้อมูลส่วนบุคคลที่มีการจัดเก็บโดยไม่จำเป็น หรือทำให้ข้อมูลนั้นและข้อมูลแฝงด้วยวิธีการทางเทคนิค หรือทำข้อมูลให้เป็นนิรนาม แต่ยังไม่สูญเสียคุณค่าของข้อมูล
- ไม่นำข้อมูลส่วนบุคคลที่ไม่ได้จัดเก็บเองไปเปิดเผยต่อโดยไม่ได้รับอนุญาตจากเจ้าของข้อมูล
- หากต้องการนำข้อมูลลูกค้าไปทำกิจกรรมด้านการขายหรือส่งเสริมการขายจะต้องขอความยินยอมจากเจ้าของข้อมูลโดยตรง และควรจัดทำแบบฟอร์มขอความยินยอมที่ระบุถึงวัตถุประสงค์อย่างชัดเจนตามที่กฎหมายระบุ
- จัดเก็บข้อมูลไว้อย่างเหมาะสม และควรจำกัดการเข้าถึงข้อมูลส่วนบุคคลของลูกค้าและไรเดอร์เฉพาะที่จำเป็นหรือมีหน้าที่เท่านั้น
- มีมาตรการรักษาความปลอดภัยของข้อมูลอย่างเหมาะสม โดยการปรับปรุงเครื่องมือหรืออุปกรณ์จัดเก็บข้อมูลอยู่สม่ำเสมอ
- หากมีเว็บไซต์ที่จัดเก็บคุกกี้ ต้องทำ Cookie Policy ด้วย
อย่างไรก็ตาม ทั้งผู้ให้บริการแพลตฟอร์ม Food Delivery และผู้ประกอบการร้านอาหารที่ให้บริการจัดส่งอาหารออนไลน์ ยังมีอีกหลายมิติที่สุ่มเสี่ยงต่อการละเมิดกฎหมาย PDPA อาทิ กิจกรรมด้านการตลาด การส่งต่อหรือเปิดเผยข้อมูลส่วนบุคคลต่อคู่ค้า ร้านสาขาอื่น หรือส่งไปต่างระเทศ การกำหนดระยะเวลาในการเก็บและทำลายข้อมูลที่เหมาะสม มาตรการในการป้องกันความเสี่ยงของข้อมูลส่วนบุคคลที่อาจจะเกิดการรั่วไหล รวมถึงการทำบันทึกรายกายและบันทึกข้อมูลการขอให้สิทธิของเจ้าของข้อมูลที่อาจจะต้องมีแนวทางปฏิบัติให้สอดคล้องกับหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลให้การรับรอง ทั้งหมดนี้ยังเป็นเรื่องที่ ‘ละเอียด’ จึงต้องศึกษาวิเคราะห์อย่างถูกต้อง หรือจัดให้มีที่ปรึกษาด้านกฎหมาย PDPA เพื่อปรับแนวทางให้ถูกต้องตามข้อกำหนดของกฎหมาย
