กฏหมาย PDPA กับการตลาด Online

กฎหมาย PDPA กับการตลาด online

ในช่วงนี้ทุกท่านที่ทำการตลาดออนไลน์หรือ Digital Marketing คงได้ยินเรื่อง PDPA กันบ่อยๆ หลายท่านอาจศึกษาข้อมูลเอาไว้แล้วบ้าง หลายท่านอาจยังสงสัยว่ามันคืออะไร ส่งผลกับเหล่านักการตลาด รวมไปถึงธุรกิจของท่านอย่างไรบ้าง แล้วต้องเตรียมตัวอย่างไร

PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่มีคำย่อมาจาก Personal Data Protection Act ให้ความคุ้มครองข้อมูลส่วนบุคคล และต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนที่จะนำไปเก็บ ใช้ เปิดเผย และการถ่ายโอนข้อมูล ซึ่งเจ้าของข้อมูลต้องได้รับอิสระในการเลือก ชัดเจน เฉพาะเจาะจง และสามารถถอนความยินยอมเมื่อไหร่ก็ได้

กฎหมาย PDPA นี้ให้ความคุ้มครอง ข้อมูลส่วนบุคคล โดยออกเป็น 2 รูปแบบคือ

• ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ – นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน *ไม่นับเป็นข้อมูลส่วนบุคคลหากเสียชีวิตแล้ว
• ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ได้แก่ ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน

กฎหมายมีผลบังคับใช้เมื่อไหร่

• โดย PDPA ได้มีประกาศเลื่อนการบังคับใช้ออกไปอีก 1 ปี จากเดิมคือ 1 มิถุนายน 2564 เลื่อนเป็นอีก  1 ปี
• ซึ่งมีผลบังคับใช้อย่างเต็มรูปแบบ วันที่ 1 มิถุนายน 2565

กฎหมายมีส่วนเกี่ยวข้องกับใครบ้าง?

• เจ้าของข้อมูล (Data Subject) คือ บุคคลที่เป็นเจ้าของและข้อมูลระบุไปถึง เช่น ลูกค้า ลูกจ้าง คนไข้
• ผู้ควบคุมข้อมูล (Data Controller) คือ บุคคลธรรมดาหรือนิติบุคคล ซึ่งมีอำนาจหน้าที่ตัดสินใจในการเก็บรวบรวม ใช้ และ เปิดเผยข้อมูลส่วนบุคคล เช่น เจ้าของธุรกิจ
• ผู้ประมวลผลข้อมูล (Data Processor) คือ บุคคลหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล เช่น พนักงาน นักการตลาด ผู้วิเคราะห์ข้อมูล

บทลงโทษเป็นอย่างไร

บทลงโทษหากไม่ปฏิบัติตาม PDPA ซึ่งตามกฎหมายมีบทลงโทษ 3 รูปแบบ คือ

• โทษทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่า ของค่าเสียหายที่แท้จริง
• โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
• โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท

สิทธิของผู้บริโภคมีอะไรบ้าง

สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้แก่

• สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) 
• สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
• สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
• สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
• สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure (also known as right to be forgotten) 
• สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
• สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)

เจ้าของธุรกิจต้องเตรียมตัวอย่างไร

1.ศึกษาข้อมูลและสร้างความเข้าใจให้กับทุกคนในองค์กร

เริ่มต้นเราต้องศึกษาข้อมูล และสร้างความเข้าใจให้กับทุกคนในองค์กร ได้เข้าใจและตระหนักถึงความสำคัญของกฎหมาย PDPA ที่จะเกิดขึ้นในปีหน้า ซึ่งทุกคนจำเป็นต้องรู้ว่ากฎหมายนี้มีข้อบังคับ ข้อกำหนด บทลงโทษ การนำข้อมูลไปใช้งาน รวมไปถึงข้อมูลส่วนบุคคลนั่นมีความเกี่ยวข้องกับเนื้องานของแต่ละคนอย่างไรบ้าง

ข้อมูลส่วนบุคคลดังกล่าวนี้ คือ ข้อมูลที่ระบุถึงตัวบุคคลได้ไม่ว่าจะทางตรงหรือทางอ้อม ที่ถูกจัดเก็บทั้งแบบ Online และ Offline 

2.กำหนดบทบาท

ต่อมาเราจำเป็นต้องกำหนดบทบาทมอบหมายความรับผิดชอบในแต่ละบุคคลออกดังนี้

• ผู้ควบคุมข้อมูล (Data Controller) : บุคคลธรรมดาหรือนิติบุคคล ซึ่งมีอำนาจหน้าที่ตัดสินใจในการเก็บรวบรวม ใช้ และ เปิดเผยข้อมูลส่วนบุคคล 
• ผู้ประมวลผล (Data Processor) : มีบทบาท บุคคลหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” *ต้องเป็นคนละคนกับผู้ควบคุม
• หากมีการเก็บข้อมูลจำนวนมาก จำเป็นต้องจัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO(Data Protection Officer) ซึ่งเป็นผู้มีความรู้ด้านกฎหมาย PDPA ด้านเทคโนโลยี และเข้าใจบริบทขององค์กรมีหน้าที่ให้คำปรึกษา ตรวจสอบ ประสานงานกับองค์กร และดูแลการดำเนินการให้เป็นไปตามกฎหมาย

3.จัดทำ Privacy Policy 

หากคุณมีเว็บไซต์ แอปพลิเคชัน และใช้ Third-party ในการเก็บข้อมูล ลงทะเบียน หรือเชื่อมต่อกับช่องทางโซเชียลมีเดีย จำเป็นต้องจัดทำ Privacy Policy เพื่อขอความยินยอมในการให้ใช้ข้อมูลส่วนบุคคลจากผู้ใช้งาน ซึ่งพวกเราอาจะคุ้นหน้าตาการแจ้งขอเก็บ Cookie เป็น Pop up เล็ก ๆ ตรงด้านล่างเว็บไซต์ ส่วน Third Party ก็ต้องระบุวัตถุประสงค์ และขอความยินยอมการเก็บรวบรวมข้อมูลไว้ใน Privacy Policy ด้วยเช่นกัน

ในการแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบ ผ่าน Privacy Policy บนเว็บไซต์ แอปพลิเคชัน หรือช่องทางการติดต่ออื่นๆ มีดังนี้

• แจ้งขอความยินยอมผ่านกระดาษ หรือระบบออนไลน์ก็ได้
• แจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด
• แจ้งสิทธิของเจ้าของข้อมูล โดยสามารถถอนความยินยอมได้ทุกเมื่อ ทำได้ง่าย และมีการแจ้งถึงผลกระทบ
• ข้อความต้องอ่านเข้าใจง่าย ชัดเจน ใช้ภาษาไม่กำกวม ไม่มีเงื่อนไขในการยินยอม

4.การปฎิบัติตามกฎหมาย PDPA

1. การเก็บข้อมูล ต้องทำการเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บจากแหล่งอื่น ต้องแจ้งสิทธิ รายละเอียด และวัตถุประสงค์ของการเก็บข้อมูล ให้เจ้าของข้อมูลรับทราบเสมอ และต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ 
2. เก็บข้อมูลเท่าที่จำเป็น ต้องชอบด้วยกฎหมาย และต้องทำการลบเมื่อพ้นระยะเวลาที่จำเป็นหรือที่ได้แจ้งไว้
3. การใช้และเปิดเผยข้อมูล ต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ และใช้ตามวัตถุประสงค์ที่แจ้งไว้เท่านั้น 
4. การเข้าถึงและแก้ไข ต้องมีช่องทางให้เจ้าของข้อมูลสามารถเข้าถึงข้อมูลของตัวเอง และแก้ไขได้ 
5. การโอนข้อมูลไปต่างประเทศ ปลายทางจะต้องมีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอ 

5.มีมาตราการรักษาความปลอดภัยของข้อมูล 

เราต้องมีมาตรการการรักษาความปลอดภัยข้อมูลส่วนบุคคล ต้องจัดให้มีระบบป้องกันข้อมูลที่ได้มาตรฐาน และหากพบว่ามีการรั่วของข้อมูล จะต้องแจ้งเจ้าของข้อมูลภายใน 72 ชม.หลังจากที่ทราบเหตุ