สิ่งที่ร้านค้าปลีก ผู้ค้าออนไลน์ควรรู้ เมื่อทำ ‘ธุรกิจค้าปลีกสมัยใหม่’ เกี่ยวกับกฎหมาย PDPA ต้องแต่งตั้ง DPO หรือไม่?

แชร์

อ่าน

ครั้ง

โดย : PDPA Thailand

สิ่งที่ร้านค้าปลีก ผู้ค้าออนไลน์ควรรู้ เมื่อทำ ‘ธุรกิจค้าปลีกสมัยใหม่’ เกี่ยวกับกฎหมาย PDPA ต้องแต่งตั้ง DPO หรือไม่?

แชร์

อ่าน

ครั้ง

โดย : PDPA Thailand

ลงบทความเมื่อวันที่ 2 สิงหาคม 2566  (ปรับปรุงเมื่อวันพฤหัสบดีที่ 9 พ.ย. 2566)

      หากจะกล่าวถึงความสำคัญของการแต่งตั้ง DPO (Data Protection Officer) หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในองค์กรธุรกิจค้าปลีกสมัยใหม่ ควรเริ่มต้นตั้งแต่การทำความรู้จักธุรกิจค้าปลีกและในปัจจุบันร้านค้าปลีกได้พัฒนาควบคู่ไปกับความเจริญด้านต่างๆ และความต้องการของผู้บริโภค  ซึ่งมีความเสี่ยงทำผิดกฎหมายหรือละเมิดข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมาย PDPA โดยธุรกิจค้าปลีกมีหลายประเภท โดยหลักๆ สามารถแบ่งได้ ดังนี้

  1. โชห่วย เป็นธุรกิจร้านค้าปลีกรายย่อยที่อยู่ตามตรอกซอกซอย หรือตามพื้นที่ชุมชนในละแวกต่างๆ ที่มีมาอย่างยาวนาน จนในปัจจุบันได้มีการพัฒนารูปแบบและสินค้า รวมทั้งบริการให้มีความทันสมัยมากยิ่งขึ้น ถึงแม้ว่าจะมีการพัฒนาในสิ่งต่างๆ ให้ทันสมัยมากขึ้น แต่สิ่งหนึ่งที่เป็นเอกลักษณ์ชัดเจนของโชห่วย คือ การซื้อสินค้าราคาส่งมาขายปลีกให้แก่บุคคลทั่วไป

  2. ร้านสะดวกซื้อ ธุรกิจค้าปลีกที่พัฒนาปรับจากร้านโชห่วยไปสู่ร้านสะดวกซื้อที่มุ่งเน้นการขายสินค้าที่จำเป็นในชีวิตประจำวัน และเพิ่มความสะดวกสบายให้แก่ลูกค้าได้มากยิ่งขึ้นด้วยการเปิดบริการแบบ 24 ชม. รวมถึงมีบริการด้านอื่นๆ ได้แก่ ธุรกรรมการเงิน การจ่ายบิลค่าบัตรเครดิต สินเชื่อ ค่าน้ำ-ค่าไฟ ฝาก-ถอนเงิน โอนเงินเข้าบัญชีธนาคาร จองตั๋วคอนเสิร์ต รวมทั้งมีการจัดระบบสมาชิกไว้เก็บข้อมูลลูกค้า อาทิ ชื่อ-นามสกุล ที่อยู่ เบอร์มือถือ อีเมล หมายเลขบัตรประชาชน เพื่อกิจกรรมการด้านการตลาด และการบริการส่งสินค้าแบบ Delivery รวมถึงการจัดเก็บข้อมูลคู่ค้าที่เป็นซัพพลายเออร์ส่งสินค้ามาขายในร้าน เป็นต้น

  3. ซูเปอร์มาร์เก็ต คือ ธุรกิจร้านค้าปลีกที่ขายสินค้าในชีวิตประจำวันและอาหารรูปแบบต่างๆ มีการบริการคล้ายร้านสะดวกซื้อ แต่มีพื้นที่มากกว่า ซึ่งซูเปอร์มาร์เก็ตบางแห่งจะตั้งอยู่ในห้างสรรพสินค้า หรือแยกเปิดแบบ Stand-Alone จึงทำให้ธุรกิจค้าปลีกประเภทซูเปอร์มาร์เก็ตมีการเก็บข้อมูลระบบสมาชิก บริการเดลิเวอรี่ ธุรกรรมการเงิน การจัดเก็บข้อมูลของซัพพลายเออร์ นอกจากนี้ ซูเปอร์มาร์เก็ตบางแห่งยังมีพื้นที่ให้เช่าแก่ผู้ค้าภายนอก ซึ่งมีการจัดเก็บข้อมูล ระบบรักษาความปลอดภัย และบริการจอดรถอีกด้วย


  4. ห้างสรรพสินค้า หรือที่เรียกกันอย่างคุ้นชินว่า “ห้าง” เป็นศูนย์รวมของสินค้าแทบทุกประเภท ตั้งแต่สินค้าทั่วไปที่ใช้ในชีวิตประจำวัน จนถึงสินค้าเบ็ดเตล็ด เช่น สินค้าแฟชั่น ร้านหนังสือ ร้านอาหารและเครื่องดื่ม ร้านขายยา ร้านอุปกรณ์ไอที ร้านอุปกรณ์สำนักงาน ธนาคาร เป็นต้น ถึงแม้ว่าห้างสรรพสินค้าแต่ละแห่งจะมีจุดเด่นที่แตกต่างกัน แต่ทุกห้างยังคงรูปแบบการบริการที่ “ครบจบในที่เดียว” จึงทำให้การค้าปลีกประเภทนี้มีการเก็บข้อมูลลูกค้า คู่ค้า-คู่สัญญา ข้อมูลพนักงาน ข้อมูลการเงิน การจัดทำระบบสมาชิก การบริการ Delivery รวมถึงการวางระบบรักษาความปลอดภัยบริการที่จอดรถ และบันทึกข้อมูลทะเบียนรถของลูกค้าที่มาใช้บริการ

  5. คอมมูนิตี้มอลล์ เป็นธุรกิจค้าปลีกแบบ Stand-Alone มีจุดเด่นที่เน้นการขายเฉพาะสินค้าประเภทไลฟ์สไตล์ ร้านอาหารและเครื่องดื่ม ธนาคาร ร้านทอง ร้านยา อุปกรณ์สำนักงาน ซึ่งสามารถเรียกคอมมูนิตี้มอลล์ว่าเป็นห้างสรรพสินค้าแบบย่อส่วนก็ได้ เพราะมีการดำเนินการแบบเดียวกัน รวมถึงการจัดเก็บข้อมูลลูกค้า คู่ค้า-คู่สัญญา ข้อมูลพนักงาน รวมถึงระบบสมาชิก บริการ Delivery ระบบรักษาความปลอดภัย การบริการที่จอดรถ และการบันทึกข้อมูลทะเบียนรถอีกด้วย


  6. ร้านค้าออนไลน์ ถือว่าเป็นธุรกิจค้าปลีกที่มีอัตราการเติบโตสูง และได้รับความนิยมในปัจจุบันเป็นอย่างมาก ปกติร้านค้าต่างๆ จะมีการขายหน้าร้านและมีบริการออนไลน์ผ่านแอปพลิเคชัน โซเชียลมีเดีย หรือเว็บไซต์ โดยมีรูปแบบการดำเนินการของร้านคล้ายกับร้านค้าปลีกทั่วไป คือ มีการเก็บข้อมูลส่วนบุคคลของลูกค้า มีการเปิดเผยข้อมูลลูกค้าแก่ธุรกิจขนส่ง หรือบางร้านยังมีการจะทำระบบสมาชิกเพื่อกิจกรรมด้านการตลาด ซึ่งธุรกิจร้านค้าออนไลน์จึงกลายเป็นธุรกิจที่มีการเก็บ รวบรวม ใช้ข้อมูลส่วนบุคคลของลูกค้าเป็นจำนวนมาก

ธุรกิจค้าปลีกสมัยใหม่ เสี่ยงละเมิดกฎหมาย PDPA อย่างไรบ้าง? และต้องแต่งตั้ง DPO ให้ถูกต้องอย่างไร?

     ธุรกิจค้าปลีกสมัยใหม่ได้รับการพัฒนา ปรับตัวตามสถานการณ์และพฤติกรรมของผู้บริโภคให้มีความทันสมัยมากยิ่งขึ้น จึงไม่สามารถระบุได้ร้อยเปอร์เซ็นต์ว่าร้านค้าปลีกใดบ้างที่เสี่ยงละเมิดกฎหมาย PDPA แต่ขอระบุการดำเนินการกิจกรรมที่มีการเข้าข่ายผิด พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งอาจจะต้องแต่งตั้ง DPO เมื่อมีกิจกรรม ดังต่อไปนี้

  1. การติดกล้องวงจรปิด CCTV เพื่อบันทึกภาพบุคคล โดยไม่ขอความยินยอมจากเจ้าของข้อมูล หรือการแจ้งว่าพื้นที่ดังกล่าวมีการบันทึกภาพนิ่งและภาพเคลื่อนไหวอย่างชัดเจน แม้กระทั่งทะเบียนรถก็เป็นข้อมูลที่สามารถระบุตัวบุคคลได้ ซึ่งเข้าข่ายผิดกฎหมาย PDPA ส่วนใหญ่มักเห็นว่าร้านค้าปลีกมีการบันทึกภาพไว้มากมาย ทำให้กิจกรรมนี้จึงเข้าข่ายการละเมิดข้อมูลส่วนบุคคล
  2. การจัดทำระบบสมาชิก การขอข้อมูลส่วนบุคคลตั้งแต่ ชื่อ-สกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล หมายเลขบัตรประชาชน ภาพถ่ายใบหน้า ล้วนเป็นข้อมูลส่วนบุคคลทั่วไป (Personal Data) ซึ่งจะต้องขอความยินยอม (Consent) จากเจ้าของข้อมูล รวมทั้งแจ้งวัตถุประสงค์ในการจัดเก็บ ประมวล หรือนำข้อมูลไปเปิดเผยแก่บุคคลที่สามให้แก่เจ้าของข้อมูลทราบด้วย โดยเจ้าของข้อมูลมีสิทธิที่จะไม่ยินยอมให้เก็บรวบรวม ใช้ เปิดเผย หรือการขอเข้าถึงสิทธิให้แก้ไข ถ่ายโอน หรือเพิกถอนความยินยอมได้ ที่สำคัญต้องทำได้โดยง่าย
  3. Omni Channel เป็นรูปแบบของการผสานระหว่างช่องทางค้าปลีกออฟไลน์และออนไลน์ เพื่อให้ได้มาซึ่งยอดขาย การซื้อซ้ำ และ Loyalty Customers เช่น การให้ลูกค้ากรอกข้อมูลส่วนตัวเพื่อสมัครสมาชิกอาจจะทำที่หน้าร้าน หรือผ่านช่องทางออนไลน์เช่น Facebook, Website, LINE, Email, SMS เพื่อจองหรือการเข้าไปรับสินค้า คูปองส่วนลด หรือสินค้าของแถมอื่นๆ ที่เพิ่มเติมจากการทำระบบสมาชิกคือ ร้านค้าปลีกสามารถทราบวันเวลาที่ลูกค้าจะมาที่ร้าน มีข้อมูลธุรกรรมการเงิน เลขบัตรเครดิตรวมทั้งมีการติดตามผล และนำข้อมูลไปประมวลผลเพื่อกิจกรรมด้านการส่งเสริมการขายและการตลาดอื่นๆ หรือการจัดส่งสินค้าให้ลูกค้าผ่านช่องทาง Delivery ซึ่งอาจมีการส่งต่อข้อมูลลูกค้าให้กับร้านค้าสาขาอื่น แบรนด์อื่น ที่เข้าข่ายส่งต่อข้อมูลส่วนบุคคลที่สามโดยเจ้าของข้อมูลไม่เพียงไม่ทราบว่าเอาไปทำอะไรบ้าง แต่ยังส่งต่อข้อมูลและเฝ้าติดตามพฤติกรรมซึ่งเป็นการละเมิดข้อมูลส่วนบุคคลตามบัญญัติในกฎหมาย PDPA
  4. บริการ Delivery ได้รับความนิยมอย่างแพร่หลายในปัจจุบัน ซึ่งลูกค้าไม่จำเป็นต้องมารับสินค้าที่ร้าน การส่งสินค้าแบบ Delivery ผ่านแอปพลิเคชัน หรือส่งสินค้าผ่านผู้ให้บริการขนส่งแบบ Express หรือระบบไปรษณีย์ สามารถเข้าข่ายเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) กล่าวคือบุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามบัญญัติของกฎหมาย PDPA ซึ่งมีการส่งต่อข้อมูลส่วนบุคคลแก่บุคคลที่สาม ซึ่งเสี่ยงต่อการละเมิดได้ง่ายหากไม่มีการจัดการที่รัดกุมและเหมาะสมกับความเสี่ยง
  5. จัดเก็บข้อมูลสุขภาพลูกค้า ร้านค้าปลีกสมัยใหม่บางแห่งยังมีการเก็บข้อมูลการซื้อยา การแพ้ยา แพ้สารเคมี หรือแพ้อาหาร ที่เข้าข่ายการเก็บข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) โดยบัญญัติของกฎหมาย PDPA จะทำได้ก็ต่อเมื่อเป็นเหตุจำเป็นและชอบโดยกฎหมาย ที่สำคัญคือเจ้าของข้อมูลจะต้องทราบและให้ความยินยอมผ่านช่องทางใด ช่องทางหนึ่งอย่างชัดเจน
  6. จัดเก็บข้อมูลส่วนบุคคลเป็นจำนวนมาก ร้านค้าปลีกสมัยใหม่ในปัจจุบันเน้นการทำการตลาดและกิจกรรมส่งเสริมการขายโดยการจัดเก็บ ประมวลผลและเฝ้าติดตามพฤติกรรมของลูกค้า ทำให้มีความจำเป็นจะต้องเก็บข้อมูลส่วนบุคคลของลูกค้าเป็นจำนวนมาก ซึ่งการดำเนินการดังกล่าวเข้าข่ายลักษณะของผู้ควบคุมข้อมูลส่วนบุคคลตามกฎหมาย PDPA และมี “ความเสี่ยงสูง” ที่ข้อมูลที่จัดเก็บหรือประมวลผลจะนำไปสู่การละเมิดข้อมูลส่วนบุคคลของลูกค้า

 

     กฎหมาย PDPA ได้ระบุถึงขอบเขตของ “กิจกรรมหลักที่มีการตรวจสอบข้อมูลส่วนบุคคลหรือระบบสม่ำเสมอโดยมีข้อมูลจำนวนมาก”   อ่านบทความเกี่ยวกับเกณฑ์ตามกฎหมายประกาศมาตรา 41 (2) เพิ่มเติม  และร้านค้าปลีกสมัยใหม่ที่เข้าเกณฑ์ดังกล่าวจะต้องแต่งตั้ง DPO

    สรุปได้ว่า ธุรกิจค้าปลีกสมัยใหม่ ยกเว้นร้านโชห่วย จะมีความเสี่ยงในหลายด้านที่ข้อมูลส่วนบุคคลจะเกิดการรั่วไหล และนำไปสู่การละเมิด รวมทั้งบางกิจกรรมกฎหมายระบุว่าต้องดำเนินการอย่าง “ถูกต้องและเหมาะสมกับความเสี่ยง” เพราะฉะนั้น ธุรกิจค้าปลีกสมัยใหม่มีความจำเป็นต้องแต่งตั้ง DPO ที่คอยแนะนำว่ากิจกรรมค้าปลีก และการส่งเสริมการขายในรูปแบบต่างๆ สามารถทำได้อย่างถูกต้องและเหมาะสมตามบทบัญญัติของกฎหมาย PDPA