แฟรนไชส์ (Franchise) หนึ่งในธุรกิจที่ได้รับความนิยมอย่างมากตลอดช่วงหลายปีที่ผ่านมา โดยความหมายของธุรกิจนี้สามารถอธิบายได้ว่าเป็นลักษณะ ‘เครือข่ายธุรกิจ’ ที่ต้องประกอบด้วย 3 สิ่ง คือ 1.สินค้าหรือบริการ (Product or Service) 2.เจ้าสิทธิหรือเจ้าของแบรนด์ เรียกว่า แฟรนไชส์ซอร์ (Franchisor) และ 3.ผู้รับสิทธิ์ในการดำเนินธุรกิจหรือวิทยาการต่างๆ จากเจ้าของสิทธิ เรียกว่า แฟรนไชส์ซี (Franchisee)

ทั้งนี้จะเห็นว่าในปัจจุบัน แฟรนไชส์หนึ่งแบรนด์สามารถขยายสาขาได้เป็นสิบ หรือเป็นร้อย ๆ สาขา ซึ่งนั่นไม่เพียงบ่งบอกถึงจำนวนยอดขายและกิจการที่กำลังไปได้สวย แต่อีกมุมหนึ่งแฟรนไชส์หนึ่งแบรนด์ก็มีการจัดเก็บข้อมูลส่วนบุคคลไม่น้อยเลยเช่นกัน และเรื่องนี้ เจ้าของแฟรนไชส์จะต้องระมัดระวังเป็นพิเศษ เพราะภายใต้กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีหลายแง่มุมความเสี่ยงที่คนทำธุรกิจนี้จะต้องรู้และเตรียมความพร้อม เพราะปัจจุบัน กฎหมาย PDPA มีผลบังคับใช้แล้ว

โดยในที่นี้ เราขอแยกส่วนในการดำเนินการตามกฎหมาย PDPA ของแฟรนไชส์ซอร์ และแฟรนไชส์ซี เนื่องจากบทบาทที่แตกต่างกัน ดังนี้

‘ธุรกิจแฟรนไชส์’ เกี่ยวข้องในแง่มุมของกฎหมาย PDPA อย่างไรบ้าง

1. PDPA สำหรับ ‘แฟรนไชส์ซอร์’ : โดยทั่วไปผู้ประกอบการจะมีการเก็บข้อมูลส่วนบุคคลของคู่สัญญา หรือแฟรนไชส์ซี เช่น ชื่อ นามสกุล ที่อยู่ เบอร์โทร อีเมล เลขบัตรประจำตัวประชาชน ทะเบียนบ้าน และข้อมูลการเงิน เพื่อจัดทำแบบประเมินและเอกสารสัญญาในการรับสิทธิดำเนินธุรกิจแฟรนไชส์อย่างถูกต้อง และโดยรูปแบบของธุรกิจแฟรนไชส์ซึ่งมีการขยายสาขาจำนวนมาก ดังนั้น จึงเป็นเรื่องจำเป็นยิ่งที่แฟรนไชส์ซอร์จะต้องมีการเก็บข้อมูลส่วนบุคคลของลูกค้า เจ้าหน้าที่พนักงาน และข้อมูลส่วนบุคคลของคู่สัญญาเป็นจำนวนมากเช่นกัน

รวมทั้งแฟรนไชส์ซอร์มีความจำเป็นต้องมีการประมวลผลข้อมูลส่วนบุคคลของลูกค้า และคู่สัญญา ขณะเดียวกันก็ยังมีการเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สามในบางกรณี เช่น ข้อมูลรายชื่อผู้รับสิทธิหรือแฟรนไชส์ซี ข้อมูลรายชื่อลูกค้าที่มีการเก็บและประมวลผลข้อมูลลูกค้าเพื่อกิจกรรมด้านการตลาดและส่งเสริมการขาย

ด้วยเหตุนี้ แฟรนไชส์ซอร์จึงมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลส่วนบุคคล (Data Controller) และบางกรณียังมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ด้วยเช่นกัน

ขณะที่ กฎหมาย PDPA กำหนดไว้ว่า การเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากเจ้าของข้อมูลส่วนบุคคลไม่ให้ความยินยอม เว้นแต่ บทบัญญัติในพระราชบัญญัตินี้ หรือกฎหมายอื่นบัญญัติให้ทำได้ รวมทั้งต้องปฏิบัติตามข้อกำหนด และข้อบังคับตามหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้นแฟรนไชส์ซอร์ จึงต้องมีการกำหนดมาตรการและจัดทำเพื่อให้สอดคล้องกับข้อบังคับในกฎหมาย PDPA ดังนี้

• ความยินยอม (Consent) หากมีการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จะต้องขอความยินยอมจากเจ้าของข้อมูล ซึ่งอาจจัดทำเป็นหนังสือหรือผ่านระบบดิจิทัล ก็ได้ ในกรณีหากมีเว็บไซต์ที่มีการเก็บคุกกี้ (Cookie) จะต้องดำเนินการจัดทำ ‘Cookie Consent’ ด้วย

• นโยบายความเป็นส่วนตัว (Privacy Policy) และประกาศความเป็นส่วนตัว (Privacy Notice) โดยการแจ้งแก่เจ้าของข้อมูลส่วนบุคคลถึงรายละเอียดและวัตถุประสงค์ของการจัดเก็บ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม และหากภายในสาขา หรือสถานประกอบการมีการติดกล้องวงจรปิด CCTV ก็ควรมีการดำเนินการด้านนโยบายความเป็นส่วนตัวในการใช้กล้องวงจรปิด (CCTV Privacy Notice) ด้วย

• บันทึกรายการกิจกรรมการประมวลผลข้อมูล (Record of Processing Activities :RoPA) คือ การทำบันทึกรายการเป็นเอกสารการเก็บใช้ ข้อมูลส่วนบุคคลเพื่อประโยชน์หรือกิจกรรมใดบ้าง รวมถึงบอกวัตถุประสงค์ในการเก็บรวมรวบ แหล่งที่เก็บ ใช้หรือเปิดเผยข้อมูล ขณะเดียวกันยังต้องจัดทำบันทึกการขอใช้สิทธิตามกฎหมาย PDPA ของเจ้าของข้อมูลส่วนบุคคล

• แต่งตั้ง DPO (Data Protection Officer) หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ซึ่งในกรณีนี้ แฟรนไชส์ซอที่มีการเป็นข้อมูลส่วนบุคคลเป็นจำนวนมาก หรือ มีสาขาบริการมากกว่า 20 สาขา ต้องดำเนินการแต่งตั้ง DPO ตามข้อบังคับของกฎหมาย

• จัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล : หากแฟรนไชส์ซอร์มีการแบ่งบันหรือส่งต่อข้อมูลส่วนบุคคลให้กับคู่ค้าหรือบุคคลภายนอก จะต้องมีการจัดทำข้อตกลงในการใช้หรือเปิดเผยข้อมูลส่วนบุคคล

• ทำข้อตกลงความเป็นส่วนตัวสำหรับผู้สมัครงานและพนักงาน : เพื่อป้องกันความเสี่ยงที่อาจจะเกิดขึ้นในการละเมิดข้อมูลส่วนบุคคลหรือเกิดการรั่วไหลของข้อมูล
• ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA กรณีแฟรนไชส์ซอร์เป็นผู้ควบคุมข้อมูลส่วนบุคคลเป็นจำนวนมาก หรือมีการเก็บข้อมูลอย่างต่อเนื่อง หรือมีความเสี่ยง จะต้องแบบประเมิน DPIA รวมทั้งจัดให้มีมาตรการด้านความมั่นคงปลอดภัยที่เหมาะสม

2. PDPA สำหรับ ‘แฟรนไชส์ซี’ : โดยทั่วไปจะมีสถานะเป็นคู่สัญญา หรือผู้รับสิทธิจากเจ้าของสิทธิ ดังนั้นการดำเนินการหลายๆด้านจึงเป็นไปตามนโยบายของแฟรนไชส์ซอร์ แต่อย่างไรก็ตาม แฟรนไชส์ซียังมีบางกิจกรรมที่ต้องมีการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น มีการเก็บข้อมูลส่วนบุคคลลูกค้าหรือผู้ใช้บริการในสาขาเพื่อกิจกรรมด้านการตลาดและส่งเสริมการขาย มีการเก็บข้อมูลส่วนบุคคลพนักงานภายในสาขา หรือมีการเก็บข้อมูลส่วนบุคคลคู่ค้า หุ้นส่วน หรือซัพพลายเออร์ ซึ่งต้องดำเนินการตามข้อบังคับของกฎหมาย PDPA ดังนี้

• ทำข้อตกลงความยินยอม : ในกรณีมีการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต่างๆ ที่ทางร้านหรือสาขาเป็นผู้ดำเนินการเก็บเอง และไม่เกี่ยวข้องกับการดำเนินการของแฟรนไชส์ซอร์

• ทำบันทึกรายการการประมวลผลข้อมูล : หากมีการเก็บหรือประมวลผลข้อมูลข้อมูลส่วนบุคคลในกรณีต่างๆ เช่น กิจกรรมการขายและการส่งเสริมการขาย การส่งข้อมูลลูกค้าให้ขนส่งเดลิเวอรี ต้องทำบันทึกรายรายไว้ รวมถึงบันทึกข้อเรียกร้องการใช้สิทธิ เช่น ลูกค้าร้องขอให้ปกปิดข้อมูลที่ทางร้านมีการจัดเก็บหรือใช้ เป็นต้น

• CCTV Privacy Notice : จัดทำนโยบายและป้ายแจ้งเตือนความเป็นส่วนตัวในการใช้กล้องวงจรปิด CCTV

• ความปลอดภัยของข้อมูล : ควรวางมาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคลที่จัดเก็บให้เหมาะสมกับความเสี่ยงและป้องกันการนำไปใช้ผิดวัตถุประสงค์ที่แจ้งเจ้าของข้อมูลไว้

• ทำข้อมูลให้เป็นนิรนาม : กรณีข้อมูลส่วนบุคคลที่เก็บไว้แต่ไม่ได้เป็นประโยชน์แล้ว ควรมีการจัดการด้วยวิธีการทำข้อมูลให้เป็นนิรนาม หรือเป็นข้อมูลแฝง เพื่อป้องกันความเสี่ยงการละเมิดข้อมูลส่วนบุคคล

ทั้งนี้ จากรายการที่ควรต้องทำเพื่อดำเนินให้สอดคล้องกับกฎหมาย PDPA ของแฟรนไชส์ซอร์ และแฟรนไชส์ซี ยังรายละเอียดปลีกย่อยและเรื่องที่ต้องอาศัยการตีความในอีกหลายด้าน ด้วยเหตุนี้เราจึงขอแนะนำให้เจ้าของธุรกิจควรศึกษาข้อมูลเพิ่มเติมในส่วนต่างๆ หรือดำเนินการแต่งตั้งผู้เชี่ยวชาญคอยให้คำปรึกษาในด้านนี้

โดยเฉพาะอย่างยิ่งกิจกรรมทางการค้าที่เกี่ยวข้องกับการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพราะ PDPA ยังเป็นกฎหมายใหม่สำหรับธุรกิจในประเทศไทย แต่ขณะเดียวกันหากฝ่าฝืนทั้งกรณีจงใจหรือประมาทเลินเล่อก็ตาม กลับมีโทษที่รุนแรงพอสมควร และกำลังบังคับใช้อย่างเป็นทางการในเร็ว ๆ นี้ จึงต้องรีบกันหน่อยแล้ว