ภายในองค์กรธุรกิจ กิจกรรมของฝ่ายขาย (Sale) และงานบริหารลูกค้า(AE-Account Executive) ซึ่งเป็นแผนกหลักๆ ที่มีการติดต่อและประสานงานกับลูกค้าโดยตรง ด้วยเหตุผลดังกล่าว ทำให้แผนกนี้ต้องมีการจัดเก็บข้อมูลส่วนบุคคลของลูกค้าแต่ละบริษัทไว้เป็นจำนวนมาก และด้วยเหตุผลนี้ เราจึงขอยกกรณีตัวอย่างในการจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าอย่างไร ไม่ให้ละเมิดกฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และเป็นแนวทางให้องค์กรธุรกิจต่างๆ นำไปปรับใช้อย่างเหมาะสม
ข้อมูลส่วนบุคคลที่ฝ่ายขาย & AE มักเก็บรวบรวมมีอะไรบ้าง ?
ยังคงปฏิเสธไม่ได้ว่า ฝ่ายบริการลูกค้า ฝ่ายขาย หรือที่เราเรียกกันว่า AE มีการเก็บรวบรวม‘ข้อมูลส่วนบุคคล’ ของลูกค้าเพื่อใช้ในการติดต่อ หรือบริการ เช่น ชื่อ นามสกุล ชื่อเล่น เบอร์โทร อีเมล ไอดีไลน์ บัญชีโซเชียลมีเดีย เดินทาง เลขบัตรประจำตัวประชาชน เลขเลขป้ายทะเบียนรถ เลขใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี เลขบัตรประกันสังคม บัญชีธนาคาร เลขบัตรเครดิต รูปภาพใบหน้า ซึ่งหากเราโฟกัสตามกฎหมาย PDPA มีการบัญญัติไว้ว่าข้อมูลเหล่านี้คือ ข้อมูลที่สามารถระบุตัวตนของเจ้าของข้อมูลได้ ไม่ว่าจะทางตรง หรือทางอ้อม แบบไหน ‘ไม่ใช่’ ข้อมูลส่วนบุคคลบ้าง
สำหรับข้อมูลที่กฎหมาย PDPA ไม่นับเป็นข้อมูลส่วนบุคคลแต่องค์กรธุรกิจก็มีการจัดเก็บ ใช้หรือเปิดเผยกันบ่อยๆ เช่น
- ข้อมูลนิติบุคคล เลขทะเบียนบริษัท ที่อยู่ของบริษัท เบอร์โทร-เบอร์แฟกซ์ หรืออีเมลของบริษัท หรือจะบอกว่าเป็นข้อมูลที่มีการเปิดเผยโดยสาธารณะของนิติบุคคลจะไม่นับเป็นข้อมูลส่วนบุคคล
- ข้อมูลนิรนามหรือข้อมูลแฝงที่ใช้วิธีการทางเทคนิคทำให้ไม่สามารถระบุถึงบุคคลนั่นได้
- ข้อมูลผู้เสียชีวิต
ฝ่ายขาย และ AE ควรเก็บข้อมูลลูกค้าอย่างไร ภายใต้เงื่อนไขของ PDPA
ทั้งนี้กิจกรรมการทำงานของแผนกฝ่ายขาย และ AE ซึ่งต้องมีการจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้า จึงควรดำเนินการเพื่อให้สอดคล้องกับกฎหมาย PDPA ดังนี้ :
- แจ้งวัตถุประสงค์ในการจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าและดำเนินการขอความยินยอมอย่างชัดแจ้ง เช่น ทำเป็นหนังสือ หรือสัญญาขอความยินยอม
- กรณีต้องเปิดเผยข้อมูลส่วนบุคคลของลูกค้าต่อบุคคลที่สาม ต้องดำเนินการภายใต้เงื่อนไขตามสัญญาหรือข้อตกลงความยินยอม จะนำไปเพื่อกิจกรรมอื่นๆ ที่นอกเหนือจากข้อตกลงไม่ได้
- หากการเก็บข้อมูลส่วนบุคคลของลูกค้ามีการนำไปใช้ในวัตถุประสงค์อื่น ที่นอกเหนือจากที่แจ้งขอความยินยอมไว้ก่อนแล้ว ควรดำเนินการขอความยินยอมและแจ้งวัตถุประสงค์ใหม่แก่ลูกค้าก่อน
- แจ้งสิทธิ และความเป็นอิสระในการเลือกให้ความยินยอมการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลแก่ลูกค้า
- กฎหมาย PDPA ห้ามเก็บข้อมูลจากแหล่งอื่น หากจำเป็นต้องใช้ข้อมูลส่วนบุคคลที่ไม่ได้เก็บเองจะต้อง แจ้งวัตถุประสงค์และขอความยินยอมจากเจ้าของข้อมูลภายใน 30 วัน
- กรณีส่งข้อมูลส่วนบุคคลของลูกค้าไปต่างประเทศ อาจต้องพิจารณาข้อกฎหมายอย่างละเอียด ซึ่งตามหลักการคือ ต้องมีมาตรการด้านความปลอดภัยที่เหมาะสม และประเทศปลายทางจะต้องมีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลที่เทียบเท่าหรือเหนือกว่า PDPA
เก็บข้อมูลส่วนบุคคลลูกค้า ‘โดยไม่ต้องขอความยินยอม’ มีกรณีใดบ้าง
อย่างไรก็ตาม กฎหมาย PDPA มีข้อยกเว้นในกรณีที่ไม่ต้องขอความยินยอมจากลูกค้าได้เช่นกัน แต่ต้องอยู่บนเงื่อนไขและฐานตามกฎหมาย ดังนี้
1.เป็นเงื่อนไขตามสัญญา : สัญญาที่เป็นเอกสารหรือไฟล์อิเล็กทรอนิกส์ ที่มีผลทางกฎหมายสามารถนำมาเป็นความชอบธรรมในการดำเนินการเก็บ ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าได้ แต่ภายในสัญญาจะต้องระบุไว้อย่างชัดเจนถึงรายละเอียดการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของลูกค้า
2.เป็นการปฏิบัติตามเงื่อนไขของกฎหมาย : ไม่ต้องขอความยินยอมได้ก็ต่อเมื่อ กฎหมาย PDPA หรือกฎหมายอื่นอนุญาตให้ทำได้ แต่ต้องอยู่บนเงื่อนไขของความจำเป็นในการเก็บ ใช้ หรือเปิดเผยข้อมูล
3.เป็นประโยชน์อันชอบธรรมขององค์กร : หากสามารถระบุได้ว่าการเก็บ ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าเป็นการปฏิบัติเพื่อประโยชน์โดยชอบธรรมของบริษัท
4.เพื่อการจัดทำจดหมายเหตุ วิจัย สถิติ : แต่การจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าก็ต้องอยู่บนพื้นฐานการดำเนินการที่เป็นประโยชน์สาธารณะ หรือปฏิบัติตามกฎหมาย
5.เป็นการป้องกันอันตรายแก่ชีวิต : โดยเป็นเหตุจำเป็นและเร่งด่วน เพื่อประโยชน์ในการป้องกันอันตรายแก่ชีวิต หรือจิตใจของเจ้าของข้อมูลซึ่งสามารถเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าได้แม้ไม่ได้ขอความยินยอม
ข้อมูลลูกค้าจำนวนมาก เก็บไว้นานภัยอาจมาเยือน!
เป็นที่ทราบว่า GDPR หรือกฎหมายข้อมูลส่วนบุคคลของสหภาพยุโรป และเป็นต้นแบบของกฎหมายคุ้มครองข้อมูลทั่วโลกซึ่งบังคับใช้อย่างเป็นทางการในปี ค.ศ.2018 และจะเห็นว่าช่วงที่ผ่านมา องค์กรธุรกิจที่มีการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลหลายแห่งถูกฟ้องร้องเนื่องจากไม่ปฏิบัติตามกฎหมาย หรือเกิดเหตุละเมิดต้องชดใช้ค่าเสียหายเป็นเงินจำนวนมาก
แม้โทษส่วนใหญ่ที่เกิดขึ้นจะเป็นการปรับเงิน แต่ก็ได้สร้างความตระหนักถึง ‘อันตราย’ สำหรับทุกองค์กรที่มีการจัดเก็บข้อมูลส่วนบุคคลเป็นจำนวนมากและต่อเนื่อง ขณะที่ กฎหมาย PDPA มีผลบังคับใช้ในประเทศไทยวันที่ 1 มิถุนายน 2565 ที่ผ่านมาทำให้ทุกสถานประกอบการมีการปรับเปลี่ยนการดำเนินการด้านข้อมูลส่วนบุคคลภายในบริษัทตามบัญญัติของกฎหมาย
เหตุนี้ แผนกฝ่ายขาย และ AE ซึ่งเป็นด่านหน้าของการเริ่มจัดเก็บข้อมูลลูกค้าจึงควรตระหนักว่า ข้อมูลส่วนบุคคลของลูกค้าที่จัดเก็บ อาจนำภัยมาเยือนองค์กรได้ง่าย เช่น เกิดการเจาะระบบคอมพิวเตอร์ทำให้ข้อมูลสูญหายหรือตกอยู่ในความเสี่ยง การละเมิดภายในองค์กร หรือมีการขโมยข้อมูลส่วนบุคคลของลูกค้าไปใช้เพื่อแสวงหาประโยชน์ที่นอกเหนือจากกิจกรรมของบริษัท
ซึ่งหากเกิดเหตุการณ์เหล่านี้ขึ้น จะต้องมีการจัดทำบันทึกรายการ และรายงานเหตุต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่อตรวจสอบเหตุการณ์ที่เกิดขึ้น และจะมีความยุ่งยากอีกมากรออยู่ ดังนั้น ควรมีมาตรการในการจัดเก็บ กำหนดระยะเวลาในการเก็บหรือทำลาย หรือทำข้อมูลให้เป็นข้อมูลนิรนาม ข้อมูลแฝงที่ใช้วิธีทางเทคนิคที่ไม่สามารถยืนยันตัวบุคคลได้อีก แต่ยังคงไม่สูญเสียคุณค่าของข้อมูลนั้นไปอย่างเปล่าประโยชน์ เพื่อป้องกันความเสี่ยงและความเสียหายที่อาจจะเกิดขึ้นในอนาคตไว้เสียแต่ตอนนี้
