#กฎหมายPDPA กับการตลาด online
ในช่วงนี้ทุกท่านที่ทำการตลาดออนไลน์หรือ Digital Marketing คงได้ยินเรื่อง PDPA กันบ่อยๆ หลายท่านอาจศึกษาข้อมูลเอาไว้แล้วบ้าง หลายท่านอาจยังสงสัยว่ามันคืออะไร ส่งผลกับเหล่านักการตลาด รวมไปถึงธุรกิจของท่านอย่างไรบ้าง แล้วต้องเตรียมตัวอย่างไร
.
PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่มีคำย่อมาจาก Personal Data Protection Act ให้ความคุ้มครองข้อมูลส่วนบุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนที่จะนำไปเก็บ ใช้ เปิดเผย และการถ่ายโอนข้อมูล
ซึ่งเจ้าของข้อมูลต้องได้รับอิสระในการเลือก ชัดเจน เฉพาะเจาะจง และสามารถถอนความยินยอมเมื่อไหร่ก็ได้
.
กฎหมาย PDPA นี้ให้ความคุ้มครอง ข้อมูลส่วนบุคคล โดยออกเป็น 2 รูปแบบคือ
1.ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ – นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน *ไม่นับเป็นข้อมูลส่วนบุคคลหากเสียชีวิตแล้ว
.
2.ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ได้แก่ ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน
  1. กฎหมายมีผลบังคับใช้เมื่อไหร่
    โดย PDPA ได้มีประกาศเลื่อนการบังคับใช้ออกไปอีก 1 ปี จากเดิมคือ 1 มิถุนายน 2564 เลื่อนเป็นอีก 1 ปี
    ซึ่งมีผลบังคับใช้อย่างเต็มรูปแบบ วันที่ 1 มิถุนายน 2565
  1. กฎหมายมีส่วนเกี่ยวข้องกับใครบ้าง?เจ้าของข้อมูล (Data Subject) คือ บุคคลที่เป็นเจ้าของและข้อมูลระบุไปถึง เช่น ลูกค้า ลูกจ้าง คนไข้
    .
    ผู้ควบคุมข้อมูล (Data Controller) คือ บุคคลธรรมดาหรือนิติบุคคล ซึ่งมีอำนาจหน้าที่ตัดสินใจในการเก็บรวบรวม ใช้ และ เปิดเผยข้อมูลส่วนบุคคล เช่น เจ้าของธุรกิจ
    .
    ผู้ประมวลผลข้อมูล (Data Processor) คือ บุคคลหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล เช่น พนักงาน นักการตลาด ผู้วิเคราะห์ข้อมูล
  1. #บทลงโทษเป็นอย่างไร
    บทลงโทษหากไม่ปฏิบัติตาม PDPA ซึ่งตามกฎหมายมีบทลงโทษ 3 รูปแบบ คือ
    .
    โทษทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่า ของค่าเสียหายที่แท้จริง
    .
    โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
    โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท
  1. #สิทธิของผู้บริโภคมีอะไรบ้าง
    สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้แก่
    – สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)
    – สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
    – สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
    – สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
    – สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure (also known as right to be forgotten)
    – สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
    – สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)
  1. เจ้าของธุรกิจต้องเตรียมตัวอย่างไร
    1.ศึกษาข้อมูลและสร้างความเข้าใจให้กับทุกคนในองค์กร
    เริ่มต้นเราต้องศึกษาข้อมูล และสร้างความเข้าใจให้กับทุกคนในองค์กร ได้เข้าใจและตระหนักถึงความสำคัญของกฎหมาย PDPA ที่จะเกิดขึ้นในปีหน้า ซึ่งทุกคนจำเป็นต้องรู้ว่ากฎหมายนี้มีข้อบังคับ ข้อกำหนด บทลงโทษ การนำข้อมูลไปใช้งาน รวมไปถึงข้อมูลส่วนบุคคลนั่นมีความเกี่ยวข้องกับเนื้องานของแต่ละคนอย่างไรบ้าง
    ข้อมูลส่วนบุคคลดังกล่าวนี้ คือ ข้อมูลที่ระบุถึงตัวบุคคลได้ไม่ว่าจะทางตรงหรือทางอ้อม ที่ถูกจัดเก็บทั้งแบบ Online และ Offline
    .
    2.กำหนดบทบาท
    ต่อมาเราจำเป็นต้องกำหนดบทบาทมอบหมายความรับผิดชอบในแต่ละบุคคลออกดังนี้
    ผู้ควบคุมข้อมูล (Data Controller) : บุคคลธรรมดาหรือนิติบุคคล ซึ่งมีอำนาจหน้าที่ตัดสินใจในการเก็บรวบรวม ใช้ และ เปิดเผยข้อมูลส่วนบุคคล
    ผู้ประมวลผล (Data Processor) : มีบทบาท บุคคลหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” *ต้องเป็นคนละคนกับผู้ควบคุม
    หากมีการเก็บข้อมูลจำนวนมาก จำเป็นต้องจัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO(Data Protection Officer) ซึ่งเป็นผู้มีความรู้ด้านกฎหมาย PDPA ด้านเทคโนโลยี และเข้าใจบริบทขององค์กรมีหน้าที่ให้คำปรึกษา ตรวจสอบ ประสานงานกับองค์กร และดูแลการดำเนินการให้เป็นไปตามกฎหมาย
    .
    3.จัดทำ Privacy Policy
    หากคุณมีเว็บไซต์ แอปพลิเคชัน และใช้ Third-party ในการเก็บข้อมูล ลงทะเบียน หรือเชื่อมต่อกับช่องทางโซเชียลมีเดีย จำเป็นต้องจัดทำ Privacy Policy เพื่อขอความยินยอมในการให้ใช้ข้อมูลส่วนบุคคลจากผู้ใช้งาน ซึ่งพวกเราอาจะคุ้นหน้าตาการแจ้งขอเก็บ Cookie เป็น Pop up เล็ก ๆ ตรงด้านล่างเว็บไซต์ ส่วน Third Party ก็ต้องระบุวัตถุประสงค์ และขอความยินยอมการเก็บรวบรวมข้อมูลไว้ใน Privacy Policy ด้วยเช่นกัน
    ในการแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบ ผ่าน Privacy Policy บนเว็บไซต์ แอปพลิเคชัน หรือช่องทางการติดต่ออื่นๆ มีดังนี้
    แจ้งขอความยินยอมผ่านกระดาษ หรือระบบออนไลน์ก็ได้
    แจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด
    แจ้งสิทธิของเจ้าของข้อมูล โดยสามารถถอนความยินยอมได้ทุกเมื่อ ทำได้ง่าย และมีการแจ้งถึงผลกระทบ
    ข้อความต้องอ่านเข้าใจง่าย ชัดเจน ใช้ภาษาไม่กำกวม ไม่มีเงื่อนไขในการยินยอม
    .
    4.การปฎิบัติตามกฎหมาย PDPA
    การเก็บข้อมูล ต้องทำการเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บจากแหล่งอื่น ต้องแจ้งสิทธิ รายละเอียด และวัตถุประสงค์ของการเก็บข้อมูล ให้เจ้าของข้อมูลรับทราบเสมอ และต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ
    เก็บข้อมูลเท่าที่จำเป็น ต้องชอบด้วยกฎหมาย และต้องทำการลบเมื่อพ้นระยะเวลาที่จำเป็นหรือที่ได้แจ้งไว้
    การใช้และเปิดเผยข้อมูล ต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ และใช้ตามวัตถุประสงค์ที่แจ้งไว้เท่านั้น
    การเข้าถึงและแก้ไข ต้องมีช่องทางให้เจ้าของข้อมูลสามารถเข้าถึงข้อมูลของตัวเอง และแก้ไขได้
    การโอนข้อมูลไปต่างประเทศ ปลายทางจะต้องมีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอ
    .
    5.มีมาตราการรักษาความปลอดภัยของข้อมูล
    เราต้องมีมาตรการการรักษาความปลอดภัยข้อมูลส่วนบุคคล ต้องจัดให้มีระบบป้องกันข้อมูลที่ได้มาตรฐาน และหากพบว่ามีการรั่วของข้อมูล จะต้องแจ้งเจ้าของข้อมูลภายใน 72 ชม.หลังจากที่ทราบเหตุ

ซึ่งการปรับเปลี่ยนธุรกิจ Transform ธุรกิจใน ยุค 4.0 เราจำเป็นต้องมีข้อมูล (Data) ในการขับเคลื่อนธุรกิจ ซึ่งการเก็บข้อมูลนั้นต้องมีการขอความยินยอม และมีการจัดเก็บที่เป็นระบบ ไม่ใช้นอกเหนือจากที่ลูกค้ายินยอม

ถ้ามันยากขนาดนี้ แล้วทำไม่เราต้อง Transform ธุรกิจ เราลองมาดูกัน