หากจะกล่าวถึงความสำคัญของการแต่งตั้ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) ในองค์กรธุรกิจค้าปลีกสมัยใหม่ ควรเริ่มต้นตั้งแต่การทำความรู้จักธุรกิจค้าปลีกในปัจจุบัน ซึ่งมีความเสี่ยงทำผิดกฎหมายหรือละเมิดข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมาย PDPA โดยสามารถแบ่งธุรกิจค้าปลีกได้หลายประเภทดังนี้

1. โชห่วย เป็นธุรกิจร้านค้าปลีกรายย่อยที่อยู่ตามตรอกซอกซอย หรือตามพื้นที่ชุมชนในละแวกต่าง ๆ ที่มีมาอย่างยาวนาน จนในปัจจุบันได้มีการพัฒนารูปแบบละสินค้า รวมทั้งบริการให้มีความทันสมัยมากยิ่งขึ้น ถึงแม้ว่าจะมีการพัฒนาในสิ่งต่าง ๆ ให้ทันสมัยมากขึ้น แต่สิ่งหนึ่งที่เป็นเอกลักษณ์ชัดเจนของโชห่วย คือการซื้อสินค้าราคาส่งมาขายปลีกให้แก่บุคคลทั่วไป

2. ร้านสะดวกซื้อ เป็นการพัฒนาธุรกิจค้าปลีกที่ปรับจากร้านโชห่วยไปสู่ร้านสะดวกซื้อที่มุ่งเน้นการขายสินค้าที่จำเป็นในชีวิตประจำวัน เพิ่มความสะดวกสบายให้แก่ลูกค้าได้มากยิ่งขึ้นด้วยการเปิดบริการแบบ 24 ชม. และมีบริการด้านอื่น ๆ ได้แก่ ธุรกรรมการเงิน การจ่ายบิลค่าบัตรเครดิต สินเชื่อ ค่าน้ำ-ค่าไฟ ฝาก-ถอนเงิน โอนเงินเข้าบัญชีธนาคาร จองตั๋วคอนเสิร์ต รวมทั้งการจัดระบบสมาชิกไว้เก็บข้อมูลลูกค้า อาทิ ชื่อ-นามสกุล ที่อยู่ เบอร์มือถือ อีเมล หมายเลขบัตรประชาชน เพื่อกิจกรรมการด้านการตลาด และการบริการส่งสินค้าแบบ Delivery รวมถึงการจัดเก็บข้อมูลคู่ค้าที่เป็นซัพพลายเออร์ส่งสินค้ามาขายในร้าน

3. ซูเปอร์มาร์เก็ต คือธุรกิจร้านค้าปลีกที่ขายสินค้าในชีวิตประจำวันและอาหารรูปแบบต่าง ๆ มีการบริการคล้ายร้านสะดวกซื้อ แต่มีพื้นที่มากกว่า ซึ่งซูเปอร์มาร์เก็ตบางแห่งจะตั้งอยู่ในห้างสรรพสินค้า หรือแยกเปิดแบบ Stand-Alone จึงทำให้ธุรกิจค้าปลีกประเภทซูเปอร์มาร์เก็ตมีการเก็บข้อมูลระบบสมาชิก บริการเดลิเวอรี่ ธุรกรรมการเงิน การจัดเก็บข้อมูลของซัพพลายเออ นอกจากนี้ซูเปอร์มาร์เก็ตบางแห่งยังมีพื้นที่บริการให้เช่าแก่ผู้ค้าภายนอก ซึ่งมีการจัดเก็บข้อมูล ระบบรักษาความปลอดภัย และบริการจอดรถอีกด้วย

4. ห้างสรรพสินค้า หรือที่เรียกกันอย่างคุ้นชินว่า ‘ห้าง’ เป็นศูนย์รวมของสินค้าแทบทุกประเภท ตั้งแต่สินค้าทั่วไปที่ใช้ในชีวิตประจำวัน จนถึงสินค้าเบ็ดเตล็ด เช่น สินค้าแฟชั่น ร้านหนังสือ ร้านอาหารและเครื่องดื่ม ร้านขายยา ร้านอุปกรณ์ไอที ร้านอุปกรณ์สำนักงาน ธนาคาร ร้านทอง ร้านเกม ร้านขายของที่ระลึก ถึงแม้ว่าห้างสรรพสินค้าแต่ละแห่งจะมีจุดเด่นที่แตกต่างกัน แต่ทุกห้างยังคงรูปแบบการบริการที่ ‘ครบจบในที่เดียว’ จึงทำให้การค้าปลีกประเภทนี้มีการเก็บข้อมูลลูกค้า คู่ค้า-คู่สัญญา ข้อมูลพนักงาน ข้อมูลการเงิน การจัดทำระบบสมาชิก การบริการ Delivery รวมถึงการวางระบบรักษาความปลอดภัยบริการที่จอดรถ และบันทึกข้อมูลทะเบียนรถของลูกค้าที่มาใช้บริการ

5. คอมมูนิตี้มอลล์ เป็นธุรกิจค้าปลีกแบบ Stand-Alone มีจุดเด่นที่เน้นการขายเฉพาะสินค้าประเภทไลฟ์สไตล์ ร้านอาหารและเครื่องดื่ม ธนาคาร ร้านทอง ร้านยา อุปกรณ์สำนักงาน ซึ่งสามารถเรียกคอมมูนิตี้มอลล์ว่าเป็นห้างสรรพสินค้าแบบย่อส่วนก็ได้ เพราะมีการดำเนินการแบบเดียวกัน รวมถึงการจัดเก็บข้อมูลลูกค้า คู่ค้า-คู่สัญญา ข้อมูลพนักงาน รวมถึงระบบสมาชิก บริการ Delivery ระบบรักษาความปลอดภัย การบริการที่จอดรถ และการบันทึกข้อมูลทะเบียนรถอีกด้วย

6. ร้านค้าออนไลน์ เรียกได้ว่าเป็นธุรกิจค้าปลีกที่มีอัตราการเติบโตสูง และได้รับความนิยมในปัจจุบันเป็นอย่างมาก ปกติร้านค้าต่าง ๆ จะมีการขายหน้าร้านและมีบริการออนไลน์ผ่านแอปพลิเคชัน โซเชียลมีเดีย หรือเว็บไซต์ โดยมีรูปแบบการดำเนินการของร้านคล้ายกับร้านค้าปลีกทั่วไป คือมีการเก็บข้อมูลส่วนบุคคลของลูกค้า มีการเปิดเผยข้อมูลลูกค้าแก่ธุรกิจขนส่ง หรือบางร้านยังมีการจะทำระบบสมาชิกเพื่อกิจกรรมด้านการตลาด ซึ่งธุรกิจร้านค้าออนไลน์จึงกลายเป็นธุรกิจที่มีการเก็บ รวบรวม ใช้ข้อมูลส่วนบุคคลของลูกค้าเป็นจำนวนมาก

ธุรกิจค้าปลีกสมัยใหม่ เสี่ยงละเมิดกฎหมาย PDPA อย่างไรบ้าง? และต้องแต่งตั้ง DPO ให้ถูกต้องอย่างไร?

ธุรกิจค้าปลีกสมัยใหม่ ได้รับการพัฒนา ปรับตัวตามสถานการณ์และพฤติกรรมของผู้บริโภคให้มีความทันสมัยมากยิ่งขึ้น จึงไม่สามารถระบุได้หนึ่งร้อยเปอร์เซ็นต์ว่าร้านค้าปลีกใดบ้างที่เสี่ยงละเมิดกฎหมาย PDPA แต่ขอระบุการดำเนินการกิจกรรมที่มีการเข้าข่ายผิด พ.ร.บ.คุ้มครองข้อมูลฯ ซึ่งอาจจะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO เมื่อมีกิจกรรมดังต่อไปนี้

1. การติดกล้องวงจรปิด CCTV เพื่อบันทึกภาพบุคคล โดยไม่ขอความยินยอมจากเจ้าของข้อมูล หรือการแจ้งว่าพื้นที่ดังกล่าวมีการบันทึกภาพนิ่งและภาพเคลื่อนไหวอย่างชัดเจน แม้กระทั่งทะเบียนรถก็เป็นข้อมูลที่สามารถระบุตัวบุคคลได้ ซึ่งเข้าข่ายผิดกฎหมาย PDPA ส่วนใหญ่มักเห็นว่าร้านค้าปลีกมีการบันทึกภาพไว้มากมาย ทำให้กิจกรรมนี้จึงเข้าข่ายการละเมิดข้อมูลส่วนบุคคล

2. จัดทำระบบสมาชิก การขอข้อมูลส่วนบุคคลตั้งแต่ ชื่อ-สกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล หมายเลขบัตรประชาชน ภาพถ่ายใบหน้า ข้อมูลเหล่าล้วนเป็นข้อมูลส่วนบุคคลทั่วไป (Personal Data) ซึ่งจะต้องขอความยินยอม (Consent) จากเจ้าของข้อมูล รวมทั้งแจ้งวัตถุประสงค์ในการจัดเก็บ ประมวล หรือนำข้อมูลไปเปิดเผยแก่บุคคลที่สามให้แก่เจ้าของข้อมูลทราบด้วย โดยเจ้าของข้อมูลมีสิทธิที่จะไม่ยินยอมให้เก็บ ใช้ เปิดเผย หรือการขอเข้าถึงสิทธิให้แก้ไข ถ่ายโอน หรือเพิกถอนความยินยอมได้ ที่สำคัญต้องทำได้โดยง่าย

3. Omni Channel เป็นรูปแบบของการผสานระหว่างช่องทางค้าปลีกออฟไลน์และออนไลน์ เพื่อให้ได้มาซึ่งยอดขาย ซื้อซ้ำ และ Loyalty Customers อย่างเช่น การให้ลูกค้ากรองข้อมูลส่วนตัวเพื่อสมัครสมาชิกอาจจะทำที่หน้าร้าน หรือผ่านช่องทางออนไลน์เช่น Facebook, Website, LINE, Email, SMS เพื่อจองหรือการเข้าไปรับสินค้า คูปองส่วนลด หรือสินค้าของแถมอื่นๆ ที่เพิ่มเติมจากการทำระบบสมาชิกคือ ร้านค้าปลีกยังทราบวันเวลาที่ลูกค้าจะมาที่ร้าน มีข้อมูลธุรกรรมการเงิน เลขบัตรเครดิตรวมทั้งมีการติดตามผล และนำข้อมูลไปประมวลผลเพื่อกิจกรรมด้านการส่งเสริมการขายและการตลาดอื่นๆ หรือการจัดส่งสินค้าให้ลูกค้าผ่านช่องทาง Delivery ทั้งอาจมีการส่งต่อข้อมูลลูกค้าให้กับร้านค้าสาขาอื่น แบรนด์อื่น ที่เข้าข่ายส่งต่อข้อมูลส่วนบุคคลที่สามโดยเจ้าของข้อมูลไม่เพียงไม่ทราบว่าเอาไปทำอะไรบ้าง แต่ยังส่งต่อข้อมูลและเฝ้าติดตามพฤติกรรมซึ่งเป็นการละเมิดข้อมูลส่วนบุคคลตามบัญญัติในกฎหมาย PDPA

4. บริการ Delivery ได้รับความนิยมอย่างแพร่หลายในธุรกิจค้าปลีกปัจจุบัน ซึ่งลูกค้าไม่จำเป็นต้องมารับสินค้าที่ร้าน การส่งสินค้าแบบ Delivery ผ่านแอปพลิเคชัน หรือส่งสินค้าผ่านผู้ให้บริการขนส่งแบบ Express หรือระบบไปรษณีย์ สามารถเข้าข่ายเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) กล่าวคือบุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามบัญญัติของกฎหมาย PDPA ซึ่งมีการส่งต่อข้อมูลส่วนบุคคลแก่บุคคลที่สาม ซึ่งเสี่ยงต่อการละเมิดได้ง่ายหากไม่มีการจัดการที่รัดกุมและเหมาะสมกับความเสี่ยง

5. จัดเก็บข้อมูลสุขภาพลูกค้า ร้านค้าปลีกสมัยใหม่บางแห่งยังมีการเก็บข้อมูลการซื้อยา การแพ้ยา แพ้สารเคมี หรือแพ้อาหาร ที่เข้าข่ายการเก็บข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) โดยบัญญัติของกฎหมาย PDPA จะทำได้ก็ต่อเมื่อเป็นเหตุจำเป็นและชอบโดยกฎหมาย ที่สำคัญคือเจ้าของข้อมูลจะต้องทราบและให้ความยินยอมผ่านช่องทางใด ช่องทางหนึ่งอย่างชัดเจน

6. จัดเก็บข้อมูลส่วนบุคคลเป็นจำนวนมาก เป็นที่ทราบดีว่าร้านค้าปลีกสมัยใหม่ในปัจจุบันเน้นการทำการตลาดและกิจกรรมส่งเสริมการขายโดยการจัดเก็บ ประมวลผลและเฝ้าติดตามพฤติกรรมของลูกค้า ทำให้มีความจำเป็นจะต้องเก็บข้อมูลส่วนบุคคลของลูกค้าเป็นจำนวนมาก ซึ่งการดำเนินการดังกล่าวเข้าข่ายลักษณะของผู้ควบคุมข้อมูลส่วนบุคคลตามกฎหมาย PDPA และมี ‘ความเสี่ยงสูง’ ที่ข้อมูลที่จัดเก็บหรือประมวลผลจะนำไปสู่การละเมิดข้อมูลส่วนบุคคลของลูกค้า

กฎหมาย PDPA ได้ระบุถึงขอบเขตของ ‘ข้อมูลจำนวนมาก’ คือบุคคลหรือนิติบุคคลที่มีการจัดเก็บข้อมูลบุคคลทั่วไปที่สามารถระบุตัวตนมากกว่า 5 หมื่นราย หรือมีข้อมูลอ่อนไหว (Sensitive Data) มากกว่า 5 พันรายการ และร้านค้าปลีกสมัยใหม่ที่เข้าเกณฑ์ดังกล่าวจะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO

จะเห็นได้ว่า ธุรกิจค้าปลีกสมัยใหม่ ยกเว้นร้านโชห่วย จะมีความสุ่มเสี่ยงในหลายด้านที่ข้อมูลส่วนบุคคลจะเกิดการรั่วไหล และนำไปสู่การละเมิด รวมทั้งบางกิจกรรม กฎหมายระบุว่าต้องดำเนินการอย่าง ‘ถูกต้องและเหมาะสมกับความเสี่ยง’ เพราะฉะนั้น ธุรกิจค้าปลีกสมัยใหม่มีความจำเป็นต้องแต่งตั้ง DPO ที่คอยแนะนำว่ากิจกรรมค้าปลีก และการส่งเสริมการขายในรูปแบบต่าง ๆ สามารถทำได้อย่างถูกต้องและเหมาะสมตามบทบัญญัติของกฎหมาย PDPA

ขณะเดียวกัน ผู้ค้าออนไลน์รายย่อย หรือผู้ค้าออนไลน์ที่ขายผ่านช่องทางแอปพลิเคชันอาจจะไม่เข้าข่ายเกณฑ์ดังกล่าว แต่เนื่องจากยังเป็นผู้ที่มีการเก็บรวบรวมใช้และเปิดเผยข้อมูลส่วนบุคคลอย่างต่อเนื่อง ก็อาจจะต้องให้ความใส่ใจเรื่องกฎหมาย PDPA เพื่อเป็นการป้องกันการละเมิดกฎหมายที่อาจจะเพราะความประมาทเลินเล่อ หรือไม่ทราบ เนื่องจาก PDPA ยังเป็นกฎหมายใหม่ที่รอการบังคับใช้อย่างเป็นทางการ และภายใต้บรรทัดฐานใหม่นี้ ‘ข้อมูลส่วนบุคคล’ จึงควรเก็บเท่าที่จำเป็นต้องใช้เท่านั้นเพื่อเป็นมาตรการป้องกันความเสี่ยงจากการละเมิดที่อาจจะเกิดขึ้นในอนาคตได้