Now!
Solution ด้านการคุ้มครองข้อมูลส่วนบุคคลที่ตอบโจทย์ SMEs ได้ทุกคำถาม

‘Food Delivery’ กับ ‘ร้านอาหารออนไลน์’ ต้องจัดการข้อมูลส่วนบุคคลอย่างไร เพื่อกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

‘Food Delivery’ กับ ‘ร้านอาหารออนไลน์’ ต้องจัดการข้อมูลส่วนบุคคลอย่างไร เพื่อกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

หลังที่สหภาพยุโรปได้มีการบังคับใช้กฎหมาย General Data Protection Regulation หรือ GDPR เมื่อวันที่ 25 พฤษภาคม 2561 กฎหมายของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ทำให้องค์กรธุรกิจต่างมีการปรับตัว และที่ปรับตัวได้ไม่ทันหรือไม่ถูกต้องตามกฎหมาย ก็จะโดนบทลงโทษโดยการ ปรับเงิน ซึ่งตามระเบียบของ GDPR มีโทษปรับสูงสุด 20 ล้านยูโร หรืออาจจะคิดจากฐาน 4% ของรายได้ทั่วโลก และอาจจะต้องพิจารณาจ่ายค่าสินไหมทดแทนให้ผู้เสียหายจากการละเมิดข้อมูลส่วนบุคคลร่วมด้วย

ขณะที่บริการจัดส่งอาหารออนไลน์ หรือ Food Delivery ซึ่งปัจจุบันได้เปลี่ยนพฤติกรรมการซื้ออาหารของผู้บริโภค และผู้ประกอบการต่างแข่งขันกันพัฒนาแพลตฟอร์มเพื่อให้บริการที่ตรงตามความต้องการของผู้บริโภค จึงเป็นธุรกิจกระแสแรงยุคนี้ แต่ในทางตรงกันข้าม Food Delivery ก็กำลังเผชิญปัญหาที่หนักหน่วงจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างหนักหน่วยเช่นกัน เนื่องจากมีสถานะเป็นผู้ควบคุมส่วนบุคคล ที่มีการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของทั้งลูกค้าและพนักงานส่งอาหารเป็นจำนวนมาก ทำให้การดำเนินการในหลายด้านจึง สุ่มเสี่ยง ละเมิดได้ง่าย

ดังกรณีของ 2 แพลตฟอร์มผู้ให้บริการด้าน Food Delivery รายใหญ่ในประเทศอิตาลี คือ Deliveroo และ Foodinho ซึ่งถูก Garante หน่วยงานคุ้มครองข้อมูลส่วนบุคคลของอิตาลี สั่งปรับเงิน 2.9 ล้านยูโร และ 2.6 ล้านยูโร (ตามลำดับ) จากกรณีไม่ปฏิบัติตามกฎหมาย GDPR ไม่มีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) และไม่จัดทำบันทึกรายการประมวลผลข้อมูล (RoPA)  รวมทั้งมีการใช้อัลกอริทึม (Algorithm) เพื่อประเมินพนักงานจัดส่ง และมีการเพิ่มหรือลดคำสั่งซื้ออาหารที่ได้รับมอบหมายจากการประเมินประสิทธิภาพในการทำงาน ซึ่งถือว่าเป็นการเลือกปฏิบัติ และไม่เป็นธรรมแก่พนักงานจัดส่งอาหาร

รวมถึงกรณีของ Takeaway.com ซึ่งเป็นเจ้าของ Delivery Hero SE แพลตฟอร์มส่งอาหารรายใหญ่ในกรุงเบอร์ลิน สหพันธรัฐเยอรมนี ที่ผ่านมาก็โดนลูกค้าฟ้องร้องกรณีละเมิดข้อมูลส่วนบุคคลของลูกค้าหลายครั้ง รวมทั้งมีการปรับเงินและต้องชดเชยค่าเสียหายแก่ผู้ถูกละเมิด

และอีกหลายกรณีทั่วโลกที่ชี้ให้เห็นว่า จุดบอด ของแพลตฟอร์มบริการส่งอาหารออนไลน์ หรือ Food Delivery ยังมีอีกหลายๆ ด้านที่ผู้ประกอบการต้องพิจารณาและดำเนินการให้ถูกต้องตามข้อบังคับของกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยเฉพาะส่วนสำคัญคือ ข้อมูลส่วนบุคคลของลูกค้าและพนักงานจัดส่งอาหารจำนวนมากยังขาดการจัดการที่ปลอดภัย และไม่สอดคล้องกับข้อบังคับที่ GDPR กำหนดหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล

Food Delivery และร้านอาหารออนไลน์ในไทยควรปฏิบัติอย่างไร ตามข้อบังคับใน PDPA

1 มิถุนายน 2565 กฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 บังคับใช้ในประเทศไทยอย่างเป็นทางการ ด้วยเหตุนี้ ผู้ประกอบการด้านแพลตฟอร์มให้บริการอาหารออนไลน์ หรือ Food Delivery รวมทั้งร้านอาหารที่มีบริการสั่ง-ส่งอาหารออนไลน์ จะต้องเข้าใจกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับใหม่นี้อย่างละเอียด

ทั้งต้องพิจารณาการดำเนินการตามข้อบังคับของ PDPA อย่างรอบด้าน คือทั้งฝั่งลูกค้าผู้ใช้บริการ และฝั่งพนักงานส่งอาหารด้วย โดยปัจจุบันผู้ประกอบการมีการเก็บข้อมูลส่วนบุคคล ดังนี้

ข้อมูลส่วนบุคคลของลูกค้า Food Delivery จัดเก็บ

  • ชื่อ นามสกุล และวันเดือนปีเกิด เพื่อลงทะเบียน
  • เบอร์โทรศัพท์ หรืออีเมล เพื่อยืนยันตัวตน
  • ที่อยู่เพื่อการจัดส่ง
  • ข้อมูลการชำระเงิน
  • บางรายมีการเชื่อมต่อกับบัญชีโซเชียลมีเดียด้วย

ข้อมูลส่วนบุคคลของไรเดอร์ ที่แพลตฟอร์ม Food Delivery จัดเก็บ

  • ชื่อ นามสกุล วันเดือนปีเกิด และข้อมูลส่วนตัว
  • เบอร์โทรศัพท์
  • ถ่ายถ่ายใบหน้า
  • สำเนาบัตรประชาชน
  • สำเนาใบขับที่จักรยานยนต์
  • บัญชีธนาคาร
  • เล่มทะเบียน พ.ร.บ. รถจักรยานยนต์
  • บางแห่งมีการขอเอกสารการตรวจประวัติอาชญากรรม (ซึ่งเป็นข้อมูลส่วนบุคคลอ่อนไหว)

ข้อมูลส่วนบุคคลของลูกค้าและไรเดอร์ที่ร้านอาหารจัดเก็บ

  • ชื่อ นามสกุล
  • เบอร์โทรศัพท์ หรือ อีเมล
  • ถ่ายถ่ายใบหน้า
  • เลขทะเบียนรถจักรยานยนต์
  • ข้อมูลธุรกรรมการเงิน
  • ข้อมูลความคิดเห็น ข้อมูลประเมินการให้บริการ ประวัติการรีวิว

และจากข้อเท็จจริงที่ว่า ข้อมูลส่วนบุคคล ของทั้งลูกค้าผู้ใช้บริการ และไรเดอร์ผู้ให้บริการจัดส่งอาหาร ได้มีการนำมาเปิดเผยต่อบุคคลที่สามอย่างแพร่หลาย เช่น

  • แพลตฟอร์ม Food Delivery มีการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลของลูกค้าแก่บุคคลที่สาม คือ ผู้ประกอบการร้านอาหาร และไรเดอร์ผู้จัดส่งอาหาร โดยจำนวนครั้งในการเปิดเผยก็ขึ้นอยู่กับจำนวนที่มีการสั่งอาหาร ซึ่งสมติว่า หากลูกค้ารายนั้นมีการสั่งอาหารออนไลน์ทุกวัน ภายใน 1 ปี ข้อมูลส่วนบุคคลอาจจะถูกเปิดเผยให้แก่คนเป็นจำนวนมากด้วย
  • แพลตฟอร์ม Food Delivery มีการเปิดเผยข้อมูลส่วนบุคคลของไรเดอร์ ตลอดจนข้อมูลการประเมินประสิทธิภาพในการทำงาน (ส่งอาหาร) แก่ลูกค้าผู้ใช้บริการ และแก่ร้านอาหาร ซึ่งหากเปรียบเทียบแบบเดียวกับในข้างต้น ใน 1 ปี ข้อมูลส่วนบุคคลนั้นถูกเปิดเผยไปให้แก่บุคคลที่สามเป็นจำนวนที่ยากจะคาดคะเนได้
  • มีการนำข้อมูลส่วนบุคคลทั้งของลูกค้า และไรเดอร์มาประมวลผล หรือดำเนินกิจกรรมส่งเสริมการขายและส่งเสริมการขายแก่ทีมการตลาดและฝ่ายขาย หรือนักวิเคราะห์ข้อมูล

ทั้งจะเห็นว่า ที่ผ่านมา มีการนำ Big Data มาใช้ในหลายธุรกิจ ขณะที่ Big Data ที่เป็นข้อมูลส่วนบุคคลที่กฎหมาย PDPA คุ้มครอง ทำให้ผู้ให้บริการ Food Delivery ซึ่งมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล อาจต้องทบทวนและมีมาตรการในการจัดการข้อมูลจำนวนมากนั้นให้มีความปลอดภัย และสอดคล้องกับข้อบังคับของกฎหมาย โดยมีแนวทางปฏิบัติ ดังนี้ 

 

PDPA สำหรับ ร้านอาหารที่ให้บริการจัดส่งออนไลน์

โดยทั่วไป ร้านอาหารที่มีบริการจัดส่งอาหารออนไลน์ มีสถานะเป็น คู่สัญญา ของแพลตฟอร์ม Food Delivery (ยกเว้นกรณีทางร้านพัฒนาแพลตฟอร์มและพนักงานจัดส่งเอง) และมีการเก็บ ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าที่สั่งอาหารและไรเดอร์จัดส่งอาหาร เช่น ชื่อ เบอร์โทรศัพท์ ที่อยู่ ข้อมูลการชำระเงิน และประวัติการรีวิว ดังนั้นทางร้านอาหารควรพิจารณาด้านความปลอดภัยของข้อมูลส่วนบุคคลเพื่อป้องกันการละเมิด ดังนี้

  1. ดำเนินการลบหรือทำลาย ข้อมูลส่วนบุคคลที่มีการจัดเก็บโดยไม่จำเป็น หรือทำให้ข้อมูลนั้นและข้อมูลแฝงด้วยวิธีการทางเทคนิค หรือทำข้อมูลให้เป็นนิรนาม แต่ยังไม่สูญเสียคุณค่าของข้อมูล
  2. ไม่นำข้อมูลส่วนบุคคลที่ไม่ได้จัดเก็บเองไปเปิดเผยต่อโดยไม่ได้รับอนุญาตจากเจ้าของข้อมูล
  3. หากต้องการนำข้อมูลลูกค้าไปทำกิจกรรมด้านการขายหรือส่งเสริมการขายจะต้องขอความยินยอมจากเจ้าของข้อมูลโดยตรง และควรจัดทำแบบฟอร์มขอความยินยอมที่ระบุถึงวัตถุประสงค์อย่างชัดเจนตามที่กฎหมายระบุ
  4. จัดเก็บข้อมูลไว้อย่างเหมาะสม และควรจำกัดการเข้าถึงข้อมูลส่วนบุคคลของลูกค้าและไรเดอร์เฉพาะที่จำเป็นหรือมีหน้าที่เท่านั้น
  5. มีมาตรการรักษาความปลอดภัยของข้อมูลอย่างเหมาะสม โดยการปรับปรุงเครื่องมือหรืออุปกรณ์จัดเก็บข้อมูลอยู่สม่ำเสมอ
  6. หากมีเว็บไซต์ที่จัดเก็บคุกกี้ ต้องทำ Cookie Policy ด้วย

 

อย่างไรก็ตาม ทั้งผู้ให้บริการแพลตฟอร์ม Food Delivery และผู้ประกอบการร้านอาหารที่ให้บริการจัดส่งอาหารออนไลน์ ยังมีอีกหลายมิติที่สุ่มเสี่ยงต่อการละเมิดกฎหมาย PDPA อาทิ กิจกรรมด้านการตลาด การส่งต่อหรือเปิดเผยข้อมูลส่วนบุคคลต่อคู่ค้า ร้านสาขาอื่น หรือส่งไปต่างระเทศ การกำหนดระยะเวลาในการเก็บและทำลายข้อมูลที่เหมาะสม มาตรการในการป้องกันความเสี่ยงของข้อมูลส่วนบุคคลที่อาจจะเกิดการรั่วไหล รวมถึงการทำบันทึกรายกายและบันทึกข้อมูลการขอให้สิทธิของเจ้าของข้อมูลที่อาจจะต้องมีแนวทางปฏิบัติให้สอดคล้องกับหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลให้การรับรอง ทั้งหมดนี้ยังเป็นเรื่องที่ ละเอียด จึงต้องศึกษาวิเคราะห์อย่างถูกต้อง หรือจัดให้มีที่ปรึกษาด้านกฎหมาย PDPA เพื่อปรับแนวทางให้ถูกต้องตามข้อกำหนดของกฎหมาย

 

Share :

บทความที่เกี่ยวข้อง

Copyright © 2022 Digital Business Consult, All Rights Reserved.

ลงทะเบียน

เข้าสู่ระบบ