Now!
Solution ด้านการคุ้มครองข้อมูลส่วนบุคคลที่ตอบโจทย์ SMEs ได้ทุกคำถาม

รู้ทันกฎหมาย PDPA สำหรับ ‘ธุรกิจแฟรนไชส์’ มีประเด็นไหนต้องทำบ้าง ?

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

รู้ทันกฎหมาย PDPA สำหรับ ‘ธุรกิจแฟรนไชส์’ มีประเด็นไหนต้องทำบ้าง ?

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

แฟรนไชส์ ( Franchise ) หนึ่งในธุรกิจที่ได้รับความนิยมอย่างมากตลอดช่วงหลายปีที่ผ่านมา โดยความหมายของธุรกิจนี้สามารถอธิบายได้ว่าเป็นลักษณะ เครือข่ายธุรกิจ ที่ต้องประกอบด้วย 3 สิ่ง คือ 1.สินค้าหรือบริการ (Product or Service) 2.เจ้าสิทธิหรือเจ้าของแบรนด์ เรียกว่า แฟรนไชส์ซอร์ (Franchisor) และ 3.ผู้รับสิทธิ์ในการดำเนินธุรกิจหรือวิทยาการต่างๆ จากเจ้าของสิทธิ เรียกว่า แฟรนไชส์ซี (Franchisee)

ทั้งนี้จะเห็นว่าในปัจจุบัน แฟรนไชส์หนึ่งแบรนด์สามารถขยายสาขาได้เป็นสิบ หรือเป็นร้อยๆ สาขา ซึ่งนั่นไม่เพียงบ่งบอกถึงจำนวนยอดขายและกิจการที่กำลังไปได้สวย แต่อีกมุมหนึ่งแฟรนไชส์หนึ่งแบรนด์ก็มีการจัดเก็บข้อมูลส่วนบุคคลไม่น้อยเลยเช่นกัน และเรื่องนี้ เจ้าของแฟรนไชส์จะต้องระมัดระวังเป็นพิเศษ เพราะภายใต้กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีหลายแง่มุมความเสี่ยงที่คนทำธุรกิจนี้จะต้องรู้และเตรียมรับมือ

โดยในที่นี้ เราขอแยกส่วนในการดำเนินการตามกฎหมาย PDPA ของแฟรนไชส์ซอร์ และแฟรนไชส์ซี เนื่องจากบทบาทที่แตกต่างกัน ดังนี้  

‘ธุรกิจแฟรนไชส์’ เกี่ยวข้องในแง่มุมของกฎหมาย PDPA อย่างไรบ้าง

1 . PDPA สำหรับ แฟรนไชส์ซอร์ : โดยทั่วไปผู้ประกอบการจะมีการเก็บข้อมูลส่วนบุคคลของคู่สัญญา หรือแฟรนไชส์ซี เช่น ชื่อ นามสกุล ที่อยู่ เบอร์โทร อีเมล เลขบัตรประจำตัวประชาชน ทะเบียนบ้าน และข้อมูลการเงิน เพื่อจัดทำแบบประเมินและเอกสารสัญญาในการรับสิทธิดำเนินธุรกิจแฟรนไชส์อย่างถูกต้อง และโดยรูปแบบของธุรกิจแฟรนไชส์ซึ่งมีการขยายสาขาจำนวนมาก ดังนั้น จึงเป็นเรื่องจำเป็นยิ่งที่แฟรนไชส์ซอร์จะต้องมีการเก็บข้อมูลส่วนบุคคลของลูกค้า เจ้าหน้าที่พนักงาน และข้อมูลส่วนบุคคลของคู่สัญญาเป็นจำนวนมากเช่นกัน

รวมทั้งแฟรนไชส์ซอร์มีความจำเป็นต้องมีการประมวลผลข้อมูลส่วนบุคคลของลูกค้า และคู่สัญญา ขณะเดียวกันก็ยังมีการเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สามในบางกรณี เช่น ข้อมูลรายชื่อผู้รับสิทธิหรือแฟรนไชส์ซี ข้อมูลรายชื่อลูกค้าที่มีการเก็บและประมวลผลข้อมูลลูกค้าเพื่อกิจกรรมด้านการตลาดและส่งเสริมการขาย

ด้วยเหตุนี้ แฟรนไชส์ซอร์จึงมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลส่วนบุคคล (Data Controller) และบางกรณียังมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ด้วยเช่นกัน

ขณะที่ กฎหมาย PDPA กำหนดไว้ว่า การเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากเจ้าของข้อมูลส่วนบุคคลไม่ให้ความยินยอม เว้นแต่ บทบัญญัติในพระราชบัญญัตินี้ หรือกฎหมายอื่นบัญญัติให้ทำได้ รวมทั้งต้องปฏิบัติตามข้อกำหนด และข้อบังคับตามหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล

แฟรนไชส์ซอร์ จึงต้องมีการกำหนดมาตรการและจัดทำเพื่อให้สอดคล้องกับข้อบังคับในกฎหมาย PDPA ดังนี้

  • ความยินยอม (Consent) หากมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จะต้องขอความยินยอมจากเจ้าของข้อมูล ซึ่งอาจจัดทำเป็นหนังสือหรือผ่านระบบดิจิทัล ก็ได้ ในกรณีหากมีเว็บไซต์ที่มีการเก็บคุกกี้ (Cookie) จะต้องดำเนินการจัดทำ Cookie Consent’ ด้วย
  • นโยบายความเป็นส่วนตัว (Privacy Policy) และประกาศความเป็นส่วนตัว (Privacy Notice) โดยการแจ้งแก่เจ้าของข้อมูลส่วนบุคคลถึงรายละเอียดและวัตถุประสงค์ของการจัดเก็บ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม และหากภายในสาขา หรือสถานประกอบการมีการติดกล้องวงจรปิด CCTV ก็ควรมีการดำเนินการด้านนโยบายความเป็นส่วนตัวในการใช้กล้องวงจรปิด (CCTV Privacy Notice) ด้วย
  • บันทึกรายการกิจกรรมการประมวลผลข้อมูล (Record of Processing Activities :RoPA) คือ การทำบันทึกรายการเป็นเอกสารการเก็บใช้ ข้อมูลส่วนบุคคลเพื่อประโยชน์หรือกิจกรรมใดบ้าง รวมถึงบอกวัตถุประสงค์ในการเก็บรวมรวบ แหล่งที่เก็บ ใช้หรือเปิดเผยข้อมูล ขณะเดียวกันยังต้องจัดทำบันทึกการขอใช้สิทธิตามกฎหมาย PDPA ของเจ้าของข้อมูลส่วนบุคคล  
  • แต่งตั้ง DPO (Data Protection Officer) หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ซึ่งในกรณีนี้ แฟรนไชส์ซอที่มีการเป็นข้อมูลส่วนบุคคลเป็นจำนวนมาก หรือ มีสาขาบริการมากกว่า 20 สาขา ต้องดำเนินการแต่งตั้ง DPO ตามข้อบังคับของกฎหมาย
  • จัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล : หากแฟรนไชส์ซอร์มีการแบ่งบันหรือส่งต่อข้อมูลส่วนบุคคลให้กับคู่ค้าหรือบุคคลภายนอก จะต้องมีการจัดทำข้อตกลงในการใช้หรือเปิดเผยข้อมูลส่วนบุคคล
  • ทำข้อตกลงความเป็นส่วนตัวสำหรับผู้สมัครงานและพนักงาน : เพื่อป้องกันความเสี่ยงที่อาจจะเกิดขึ้นในการละเมิดข้อมูลส่วนบุคคลหรือเกิดการรั่วไหลของข้อมูล
  • ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA กรณีแฟรนไชส์ซอร์เป็นผู้ควบคุมข้อมูลส่วนบุคคลเป็นจำนวนมาก หรือมีการเก็บข้อมูลอย่างต่อเนื่อง หรือมีความเสี่ยง จะต้องแบบประเมิน DPIA รวมทั้งจัดให้มีมาตรการด้านความมั่นคงปลอดภัยที่เหมาะสม 

2 . PDPA สำหรับ ‘แฟรนไชส์ซี’ : โดยทั่วไปจะมีสถานะเป็นคู่สัญญา หรือผู้รับสิทธิจากเจ้าของสิทธิ ดังนั้นการดำเนินการหลายๆด้านจึงเป็นไปตามนโยบายของแฟรนไชส์ซอร์ แต่อย่างไรก็ตาม แฟรนไชส์ซียังมีบางกิจกรรมที่ต้องมีการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น มีการเก็บข้อมูลส่วนบุคคลลูกค้าหรือผู้ใช้บริการในสาขาเพื่อกิจกรรมด้านการตลาด และส่งเสริมการขาย มีการเก็บข้อมูลส่วนบุคคลพนักงานภายในสาขา หรือมีการเก็บข้อมูลส่วนบุคคลคู่ค้า หุ้นส่วน หรือซัพพลายเออร์ ซึ่งต้องดำเนินการตามข้อบังคับของกฎหมาย PDPA ดังนี้

  • ทำข้อตกลงความยินยอม : ในกรณีมีการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต่างๆ ที่ทางร้านหรือสาขาเป็นผู้ดำเนินการเก็บเอง และไม่เกี่ยวข้องกับการดำเนินการของแฟรนไชส์ซอร์
  • ทำบันทึกรายการการประมวลผลข้อมูล : หากมีการเก็บหรือประมวลผลข้อมูลข้อมูลส่วนบุคคลในกรณีต่างๆ เช่น กิจกรรมการขายและการส่งเสริมการขาย การส่งข้อมูลลูกค้าให้ขนส่งเดลิเวอรี ต้องทำบันทึกรายรายไว้ รวมถึงบันทึกข้อเรียกร้องการใช้สิทธิ เช่น ลูกค้าร้องขอให้ปกปิดข้อมูลที่ทางร้านมีการจัดเก็บหรือใช้ เป็นต้น
  • CCTV Privacy Notice : จัดทำนโยบายและป้ายแจ้งเตือนความเป็นส่วนตัวในการใช้กล้องวงจรปิด CCTV  
  • ความปลอดภัยของข้อมูล : ควรวางมาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคลที่จัดเก็บให้เหมาะสมกับความเสี่ยงและป้องกันการนำไปใช้ผิดวัตถุประสงค์ที่แจ้งเจ้าของข้อมูลไว้

 

ทั้งนี้ จากรายการที่ควรต้องทำเพื่อดำเนินให้สอดคล้องกับกฎหมาย PDPA ของแฟรนไชส์ซอร์ และแฟรนไชส์ซี ยังรายละเอียดปลีกย่อย และเรื่องที่ต้องอาศัยการตีความในอีกหลายด้าน ด้วยเหตุนี้เราจึงขอแนะนำให้เจ้าของธุรกิจควรศึกษาข้อมูลเพิ่มเติมในส่วนต่างๆ หรือดำเนินการแต่งตั้งผู้เชี่ยวชาญคอยให้คำปรึกษาในด้านนี้

โดยเฉพาะอย่างยิ่งกิจกรรมทางการค้าที่เกี่ยวข้องกับการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพราะ PDPA ยังเป็นกฎหมายใหม่สำหรับธุรกิจในประเทศไทย แต่ขณะเดียวกันหากฝ่าฝืนทั้งกรณีจงใจหรือประมาทเลินเล่อก็ตาม กลับมีโทษที่รุนแรงพอสมควร และกำลังบังคับใช้อย่างเป็นทางการในเร็วๆ นี้ จึงต้องรีบกันหน่อยแล้ว

Share :

บทความที่เกี่ยวข้อง

การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล  ถือเป็นประเด็นที่ต้องพิจารณาทางกฎหมายหลายประการ โดยมี
Copyright © 2022 Digital Business Consult, All Rights Reserved.

ลงทะเบียน

เข้าสู่ระบบ