28 พฤศจิกายน, 2022
ปัจจุบันนี้โลกออนไลน์หรือเครือข่ายดิจิทัลนั่นเรียกได้ว่าเป็นส่วนหนึ่งของชีวิตประจำวันของคนทั่วๆไปเรียบร้อยแล้ว มีช่องทางการสื่อสารมากมายแล้วแต่วัตถุประสงค์ของแต่ละคน และยังมีแพลตฟอร์มมากมายให้ได้เลือกใช้งาน แน่นอนว่าแต่ละแพลตฟอร์มหรือแม้แต่เว็บไซต์ก็ต้องมีการลงทะเบียนหรือลงชื่อใช้งานก่อนเพื่อเก็บข้อมูลส่วนบุคคล เช่น ชื่อ นามสกุล อีเมล เบอร์โทรศัพท์ ที่อยู่ หรือข้อมูลแล้วแต่ว่าแพลตฟอร์มนั้นๆจะต้องการ
แน่นอนว่าการที่จะกรอกข้อมูลหรือให้ข้อมูลอะไรไป ควรที่จะต้องพิจารณาให้ดีก่อนว่าให้ไปเพื่ออะไรและให้กับใคร เช่น การกรอกข้อมูลเพื่อสมัครงาน หรือ การกรอกข้อมูลเพื่อให้ร้านค้าส่งสินค้ามาให้ตามที่อยู่ แต่จะแน่ใจได้อย่างไร ว่าข้อมูลที่ให้ไปนั้นจะถูกนำไปใช้ตามวัตถุประสงค์นั้นๆจริงๆ ไม่ได้มีการนำข้อมูลไปใช้เพื่อผลประโยชน์อื่นๆที่นอกเหนือไปจากความยินยอมของคุณ
การใช้ พรบคุ้มครองข้อมูลส่วนบุคคล 2562 หรือ PDPA ที่กำลังเป็นที่พูดถึงในช่วงนี้จึงเป็นเหมือนข้อบังคับในการนำข้อมูลเหล่านี้ไปใช้ บทความนี้จะสรุป พรบ คุ้มครองข้อมูลส่วนบุคคล 2562 ให้ทุกท่านได้ทราบ
ยาวไปไม่อ่าน คลิกเลย
PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และ PDPA ย่อมาจากคำว่า Personal Data Protection Act B.E. 2562 (2019) ซึ่งเป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล เพื่อสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกต้องตามวัตถุประสงค์ตามที่เจ้าของข้อมูลยินยอมและอนุญาต โดย พรบ PDPA ได้ประกาศไว้ในราชกิจจานุเบกษาเมื่อ วันที่ 27 พฤษภาคม 2562 และปัจจุบันมีผลบังคับใช้ตั้งแต่ วันที่ 1 มิถุนายน 2565 เป็นต้นมา สามารถอ่าน พรบ ฉบับเต็มได้ที่ : พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล 2562
ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าจะเป็นทางทางตรงหรือทางอ้อม แต่จะไม่นับรวมกับข้อมูลของบุคคลที่เสียชีวิตแล้ว
Personal Data คือ ข้อมูลบุคคล ได้แก่
Sensitive Personal Data คือ ข้อมูลบุคคลที่มีความละเอียดอ่อน ได้แก่
ข้อมูลเหล่านี้หากหลุดไปสู่สาธารณะก็จะเกิดผลเสียที่ร้ายแรงกับผู้เป็นเจ้าของข้อมูลได้มากกว่าข้อมูลส่วนบุคคลอื่นๆ มีผลต่อสิทธิเสรีภาพของบุคคล อาจส่งผลให้เกิดการแทรกแซงสิทธิเสรีภาพและการเลือกปฏิบัติต่อการใช้สิทธิเสรีภาพได้มากกว่าข้อมูลส่วนบุคคลทั่วๆไป
องค์ประกอบของ PDPA มีผู้เกี่ยวข้องด้วยกัน 3 ประประเภท ได้แก่
Data Subject คือ บุคคลที่ข้อมูลสามารถระบุตัวตนไปถึงได้ เปรียบได้กับลูกค้าของธุรกิจของคุณที่มาลงทะเบียนเอาไว้
Data Controller คือ บุคคลหรือนิติบุคคล รวมไปถึงเครื่องมือที่มีอำนาจในการตัดสินใจ รวบรวมข้อมูล นำข้อมูลที่ได้รับความยินยอมมาใช้ เปรียบเสมือนระบบที่คอยดูแลข้อมูลให้กับคุณทั้ง CRM และ POS
Data Processor คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวมหรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งของผู้ที่ควบคุม
สิทธิของเจ้าของข้อมูลส่วนบุคคล ตาม PDPA ประกอบไปด้วย
เจ้าของข้อมูลมีสิทธิในการขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล และขอให้เปิดเผยที่มาที่ไปของข้อมูลที่ตนเองไม่ได้ให้ความยินยอม โดยจะต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาลหรือกระทบสร้างความเสียหายต่อสิทธิเสรีภาพของคนอื่นๆ เจ้าของข้อมูลจะได้รับสิทธิภายใน 30 วันหลังจากที่ Data Controller ได้รับคำขอ
การเก็บรวบรวมข้อมูลส่วนบุคคลนั้นจำเป็นที่จะต้องมีการแจ้งให้เจ้าของข้อมูลทราบ ก่อนหรือขณะที่มีการเก็บข้อมูล โดยต้องมีการแจ้งให้ทราบทั้ง เก็บข้อมูลอะไร วัตถุประสงค์ในการเก็บคืออะไร นำไปใช้หรือส่งต่อให้ใครบ้าง เก็บข้อมูลอย่างไร ระยะเวลาที่เก็บข้อมูล วิธีขอเปลี่ยนแปลง แก้ไข ถอนข้อมูลส่วนบุคคลที่ได้ให้ไปอย่างไรได้บ้าง
กรณีที่ผู้ควบคุมข้อมูลทำให้ข้อมูลนั้นเปิดเผยสู่สาธารณะและผู้ควบคุมขอให้มีการลบข้อมูลหรือทำลาย หรือทำให้ไม่สามารถระบุเจ้าของได้ ผู้ควบคุมจะต้องเป็นผู้รับผิดชอบดำเนินการทั้งในด้านเทคโนโลยีและค่าใช้จ่ายเอง
เจ้าของข้อมูลสามารถคัดค้านการเก็บรวบรวม การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเองเมื่อใดก็ได้ แต่ต้องไปขัดกับกฎหมายที่สำคัญยิ่งกว่า หรือขัดต่อสิทธิการเรียกร้องตามกฎหมาย หรือข้อมูลเหล่านั้นถูกนำไปใช้เพื่อการวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ และสถิติ
เจ้าของข้อมูลสามารถเพิกถอนความยินยอมในการรวบรวมข้อมูลได้ตลอดเวลาหากต้องการเพิกถอน และการยกเลิกนั้นต้องมีความสะดวกเหมือนกับตอนนี้เจ้าของข้อมูลได้ยินยอมด้วย แต่จะต้องไม่ขัดกับข้อจำกัดสิทธิในการถอนความยินยอมทางกฎหมาย
เจ้าของข้อมูลมีสิทธิที่จะขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลได้ ไม่ว่าจะเป็นกรณีที่เปลี่ยนใจไม่ต้องการให้ข้อมูลแล้ว หรือเปลี่ยนใจระงับการทำลายข้อมูลเมื่อครบกำหนด เพราะต้องนำข้อมูลไปใช้ทางกฎหมายหรือเพื่อเรียกร้องสิทธิ
เจ้าของข้อมูลสามารถขอแก้ไขข้อมูลส่วนบุคคลของตนเองให้มีความถูกต้อง เป็นปัจจุบันและไม่ก่อให้เกิดความเข้าใจผิด โดยต้องแก้ไขด้วยความสุจริตและไม่ขัดต่อกฎหมาย
จ้าของข้อมูลสามารถขอให้ผู้ควบคุมข้อมูลส่วนบุคคลที่จัดทำข้อมูลนั้น ทำการส่งหรือโอนข้อมูลส่วนบุคคลไปให้กับผู้ควบคุมข้อมูลรายอื่นได้ โดยต้องไม่ขัดกับกฎหมาย สัญญา หรือละเมิดสิทธิเสรีภาพของบุคคลอื่นๆ
บุคคลทั่วไปหรือนิติบุคคล หากได้รวบรวมข้อมูลเอาไว้หรือมีการนำข้อมูลไปใช้งาน หรือนำไปเปิดเผยด้วยจุดประสงค์ใดก็ตาม จำเป็นจะต้องได้รับคำยินยอมจากเจ้าของข้อมูลด้วย เว้นแต่ว่าจะได้รับการยกเว้นดังข้อต่อไปนี้
ข้อยกเว้นสำหรับข้อมูลส่วนบุคคลที่อ่อนไหว(Sensitive Personal Data)
ธุรกิจนั้นจะต้องทำตามขั้นตอนต่อไปนี้ เพื่อให้เป็นไปตามหลักของ PDPA
โดยสามารถแจ้งเจ้าของข้อมูลได้ผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน หรือไม่ว่าในช่องทางใดก็ตามที่มีการเก็บข้อมูล เช่น ระบบ CRM ระบบสมาชิก ระบบสะสมแต้ม ซึ่ง Rocket ก็มีฟังก์ชั่นในการใส่ Privacy Policy ไว้ให้เช่นกัน
Privacy Policy ที่ดีควรประกอบไปด้วย
นอกจาก Privacy Policy แล้ว การจัดเก็บ Cookie ก็ต้องมีการแจ้งเพื่อขอความยินยอมเช่นกัน ซึ่งโดยทั่วไปแล้วจะพบเป็น Pop-Up ทางด้านล่างขึ้นมาเพื่อให้กดยินยอม นอกจากนี้หากต้องการเพื่อนำไปทำการตลาดก็ต้องมีการระบุวัตถุประสงค์และขอความยินยอมการเก็บรวบรวมข้อมูลใน Privacy Policy เช่นกัน
การเก็บข้อมูลส่วนตัวของพนักงานก็ต้องมีการจัดทำ HR Privacy Policy ด้วยเช่นกัน เพื่อแจ้งวัตถุประสงค์ในก่ีประมวลผลข้อมูลส่วนบุคคลของพนักงาน หากเป็นพนักงานเดิม ให้แจ้ง Privacy Policy ด้วยเอกสารใหม่ และพนักงานใหม่ให้แจ้งในใบสมัคร 1 ครั้ง และแจ้งในสัญญาว่าจ้างอีก 1 ครั้ง
ไม่ว่าจะฝ่ายใดก็ตามในองค์กรควรที่จะให้ความร่วมมือในการกำหนดแนวทางหรือนโยบายในการดำเนินการด้านข้อมูลส่วนบุคคล และบันทึกหรือจัดเก็บข้อมูลเมื่อมีการใช้งาน ทั้งข้อมูลที่เป็นอิเล็กทรอนิกส์และเอกสารที่จับต้องได้ ทั้งนี้ห้ามเปิดเผยข้อมูลเหล่านี้ให้กับผู้ที่ไม่มีส่วนรับผิดชอบโดยตรงเด็ดขาด
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เป็นหน่วยงานรัฐมีหน้าที่เป็นผู้กำกับดูแล PDPA ให้แต่ละองค์กรต้องปฏิบัติตาม โดยองค์กรที่ทำการเก็บรวบรวม นำไปใช้ หรือเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลในประเทศไทย เพื่อการขายสินค้าหรือบริการให้กับเจ้าของข้อมูล ควรมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) เป็นผู้มีความรู้ด้านกฎหมาย PDPA ด้านเทคโนโลยี เข้ามาดูแลและตรวจสอบนโยบายการเก็บรักษาข้อมูลส่วนบุคคลเพื่อให้เกิดความปลอดภัยต่อลูกค้าและข้อมูล
Rocket เองก็มี Martech ที่ใช้ในการเก็บข้อมูลส่วนบุคคลเช่นกัน อย่าง ระบบ CRM ระบบสมาชิก หรือ ระบบสะสมแต้ม ที่คอยช่วยเหลือให้ท่านจัดการกับการรักษาความสัมพันธ์กับลูกค้า และกระตุ้นการกลับมาซื้อซ้ำของลูกค้า
แต่เครื่องมือเหล่านี้ต้องมีการเก็บฐานข้อมูลของลูกค้าทั้งข้อมูลทั่วไปและข้อมูลที่มีความละเอียดอ่อน เพราะฉะนั้นแล้ว Martech ของ Rocket ก็จะมีฟังก์ชั่นที่พร้อมรอบรับ PDPA อย่างครบครันเพื่ออำนวยความสะดวกให้แก่ร้านค้าหรือธุรกิจ และความสบายใจให้กับลูกค้าของคุณ
ฟังก์ชั่นด้าน PDPA ของ Rocket ที่เรียกว่า Data Policy Management ประกอบไปด้วย
ทั้งหมดนี้เป็นฟังก์ชั่นที่จะทำให้คุณสามารถเก็บข้อมูลเบื้องต้น ข้อมูลเชิงลึก รวมไปถึงพฤติกรรมหรือความสนใจของลูกค้าได้อย่างถูกต้องตาม PDPA และสามารถนำข้อมูลเหล่านี้ไปต่อยอดเพื่อใช้ในการวิเคราะห์การตลาด สร้างหรือปรับปรุงกลยุทธ์การตลาดของคุณต่อไป
เพื่อให้สามารถใช้ข้อมูลเฉพาะบุคคล และสามารถทำการตลาดแบบเฉพาะเจาะจงได้อย่างง่ายดาย ส่งผลให้การตลาดของคุณตรงกับความสนใจหรือความต้องการของลูกค้า ช่วยเพิ่มโอกาสในการกลับมาอุดหนุนร้านค้าของคุณซ้ำ และรักษาความสัมพันธ์กับลูกค้าต่อไป
PDPA มีผลบังคับใช้ตั้งแต่ วันที่ 1 มิถุนายน 2565 เป็นต้นมา
Personal Data คือ ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าจะเป็นทางทางตรงหรือทางอ้อม แต่จะไม่นับรวมกับข้อมูลของบุคคลที่เสียชีวิตแล้ว
สาระสำคัญของ PDPA คือ กฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล เพื่อสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกต้องตามวัตถุประสงค์ตามที่เจ้าของข้อมูลยินยอมและอนุญาต
จุดประสงค์ของ PDPA คือ ป้องกันการนำข้อมูลส่วนบุคคลไปใช้ในจุดประสงค์ที่เจ้าของข้อมูลไม่ยินยอมและอาจจะส่งผลต่อสิทธิเสรีภาพของเจ้าของข้อมูล
ไม่ว่าจะเป็นข้อมูลอะไร แต่ถ้านำไปใช้ผิดวัตถุประสงค์ที่ทางเจ้าของข้อมูลส่วนบุคคลยินยอมเอาไว้ ก็สามารถถูกดำเนินคดีตามกฎหมายได้ทั้งหมด และมีโทษทั้งทางแพ่ง ทางอาญา และทางปกครอง
PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีความสำคัญอย่างมากเพื่อรักษาสิทธิที่พึงมีแก่เจ้าของข้อมูล เพื่อให้สบายใจได้ว่าข้อมูลที่ได้ให้ไปกับแพลตฟอร์มต่างๆจะถูกใช้งานอย่างถูกวัตถุประสงค์ และไม่ได้ถูกนำไปใช้แบบผิดๆหรือส่งผลเสียต่อเจ้าของข้อมูล
ระบบสะสมแต้ม Rocket มีความปลอดภัยและทำตาม PDPA อย่างถูกต้อง หมดห่วงทั้งเจ้าของธุรกิจและลูกค้าของคุณ หากสนใจ ระบบ CRM ของ Rocket สามารถติดต่อเราได้ทุกช่องทาง
Contact us now