ธุรกิจอีคอมเมิร์ซ (E-commerce) อยาก Comply ตามกฎหมาย PDPA แค่ทำ Privacy Notice ก็เพียงพอแล้ว… จริงเหรอ?
ต้องทำตามข้อกำหนดของ PDPA หรือไม่? หากไม่ใช่ ธุรกิจอีคอมเมิร์ซ (E-commerce) รายใหญ่ ธุรกิจอีคอมเมิร์ซ (E-commerce) ต้องรับมือ กฎหมาย PDPA อย่างไร? เพื่อไม่ให้กระทบกับการประมวลผลข้อมูลส่วนบุคคล
ฯลฯ
สารพัดคำถาม สารพัดความสงสัย เกี่ยวกับ กฎหมายคุ้มครองข้อมูลส่วนบุคคลในธุรกิจอีคอมเมิร์ซ (E-commerce) ที่มองเผินๆ อาจจะเป็นเรื่องง่าย ทว่ามีความท้าทายซ่อนอยู่ เนื่องจากธุรกิจประเภทนี้ เป็นธุรกิจที่มี Transaction จำนวนมาก ทั้งที่มาจากเว็บไซต์ แอพลิเคชัน โซเชียลมีเดีย แคมเปญการตลาด นอกจากนี้ยังมีการประมวลผลข้อมูลส่วนบุคคลในหลายๆ จุดของการบริการ มีการถ่ายโอนข้อมูลภายในไปสู่ Outsourced หรือ Partner ธุรกิจ มีการจัดกิจกรรมทางการตลาดบ่อยครั้ง ซึ่งล้วนเกี่ยวข้องกับข้อมูลส่วนบุคคลของลูกค้า/ ผู้ใช้งาน ด้วยเหตุนี้เอง ธุรกิจอีคอมเมิร์ซจึงต้องตีโจทย์การปฏิบัติตามข้อกำหนดของกฎหมาย PDPA อย่างละเอียด
E-commerce Platform เก็บข้อมูลส่วนบุคคลของลูกค้า/ ผู้ใช้บริการ อะไรบ้าง
ตัวอย่าง Platform การซื้อ-ขาย สินค้าและบริการของธุรกิจอีคอมเมิร์ซ ที่เป็นที่นิยมในปัจจุบัน ได้แก่ เว็บไซต์ แอพลิเคชัน โซเชียลมีเดีย Platform เหล่านี้เป็นพื้นที่ในการนำเสนอสินค้าบริการ และยังเป็นพื้นที่ของการรับข้อมูลจากลูกค้าและผู้ใช้งานด้วย ตัวอย่างข้อมูลส่วนบุคคลได้แก่ ชื่อ-สกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล ฯ หากธุรกิจนั้นมีระบบสมาชิก อาจมีการเก็บข้อมูลเพิ่มเติม อาทิ รูปถ่ายใบหน้า รูปถ่ายบัตรประชาชน เลขประจำตัวประชาชน ข้อมูลเกี่ยวกับเงินเดือน ตำแหน่งงาน บัญชีโซเชียลมีเดีย ข้อมูลผู้ติดต่อในกรณีฉุกเฉิน ฯ ข้อมูลเหล่านี้ถือเป็นข้อมูลส่วนบุคคลทั่วไป ที่สามารถระบุตัวตนของเจ้าของข้อมูลได้โดยตรง
เก็บข้อมูลเยอะแบบนี้ มีกฎหมายอะไรรองรับบ้าง
เจ้าของข้อมูลที่ซื้อสินค้าหรือบริการจากแบรนด์ ไม่อาจเลี่ยงการให้ข้อมูลแก่ Platform ขณะเดียวกันธุรกิจอีคอมเมิร์ซไม่สามารถหลีกเลี่ยงการเก็บข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้บริการได้ ดังนั้นจึงต้องมีกฎกติกาที่กำกับดูแลการเก็บรวบรวม ใช้ และเผยแพร่ข้อมูลส่วนบุคคลของธุรกิจอีคอมเมิร์ซ เป็นมาตรฐานกลางที่แบรนด์ บริษัท ต้องปฏิบัติตามอย่างเคร่งครัด ดังนี้
กฎหมายคุ้มครองข้อมูลส่วนบุคคล
กฎหมายนี้รู้จักกันในชื่อ PDPA หรือ Personal Data Protection Act B.E 2562 (2019) เป็น พ.ร.บ .ว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล ถูกร่างขึ้นเพื่อสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและนำไปใช้ตามวัตถุประสงค์ ในขอบเขตคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต รวมทั้งควบคุมดูแลกิจกรรมใด ๆ ก็ตามที่ทำกับข้อมูลส่วนบุคคล มีผลบังคับใช้อย่างเป็นทางการตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นมา
ข้อมูลที่อยู่ภายใต้การคุ้มครองของกฎหมาย PDPA ได้แก่ ข้อมูลส่วนบุคคล (Personal Data) อาทิ ชื่อ-สกุล ข้อมูลที่อยู่ อายุ เบอร์โทรศัพท์ ข้อมูลการศึกษา ฯลฯ และ ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data) หรือข้อมูลส่วนบุคคลที่ละเอียดอ่อน เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา พฤติกรรมทางเพศ ฯลฯ
หลักการสำคัญของกฎหมาย PDPA มี 4 เรื่องด้วยกัน คือ
การคุ้มครองข้อมูลส่วนบุคคล การเก็บรวบรวม ใช้และเผยแพร่ข้อมูลส่วนบุคคลจะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลอย่างเป็นลายลักษณ์อักษร
การเก็บรวบรวมข้อมูลส่วนบุคคล ต้องกระทำเท่าที่จำเป็น ภายใต้วัตถุประสงค์และกรอบเวลาในการจัดเก็บที่ชัดเจน
สิทธิของเจ้าของข้อมูลส่วนบุคคล ครอบคลุมการขอเข้าถึง การแก้ไข การลบข้อมูล การจำกัดการปประมวลผล การคัดค้าน ฯลฯ สิทธิเหล่านี้ได้รับการรับรองโดยกฎหมาย เจ้าของข้อมูลส่วนบุคคลสามารถขอใช้สิทธิของตนได้ โดยแจ้งต่อผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
สิทธิของเจ้าของข้อมูลส่วนบุคคลมีอะไรบ้าง สิทธิไหนใช้ทำอะไร อ่านต่อได้ที่นี่
- การเยียวยาจากการถูกละเมิด เจ้าของข้อมูลสามารถร้องเรียนและเรียกร้องความผิดชอบ หากเกิดการละเมิดข้อมูลส่วนบุคคล
กรอบนโยบายในการคุ้มครองสิทธิดิจิทัลของผู้บริโภค (ยังไม่ใช่กฎหมาย) ซึ่งมีการบูรณาการและอ้างอิงจากกฎหมายและพระราชบัญญัติกว่า 30 ฉบับที่เกี่ยวข้องกับธุรกิจอีคอมเมิร์ซ
สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (“สพธอ”) หน่วยงานส่งเสริมและสนับสนุนการพัฒนาธุรกรรมทางอิเล็กทรอนิกส์และพาณิชย์อิเล็กทรอนิกส์ ได้จัดให้มีการศึกษาและจัดทำรายงานในเบื้องต้นเกี่ยวกับการกำกับดูแลทางกฎหมาย ด้านการคุ้มครองและการรักษาสิทธิทางดิจิทัลของผู้บริโภคและบริการดิจิทัลในไทย เพื่อใช้ประกอบการพิจารณาจัดเตรียมกฎหมายหรือมาตรการกำกับดูแลที่เหมาะสม
การกำกับดูแลทางกฎหมายด้าการคุ้มครองและการดำเนินงานด้านสิทธิดิจิทัลของผู้บริโภคในประเทศไทยมีการกล่าวถึงการกำกับดูแล 10 ด้านด้วยกัน ได้แก่ การเข้าถึงและการมีส่วนร่วม, การเปิดเผยและความโปร่งใส, ความมั่นคงและความปลอดภัย, การคุ้มครองข้อมูลและความเป็นส่วนตัวบนโลกออนไลน์, การแข่งขันและทางเลือก, การใช้ที่เป็นธรรมและกรรมสิทธิ์ที่ชัดเจน, การชดใช้ความเสียหายและการจัดการข้อร้องเรียน, การศึกษาและความตระหนักรู้ในด้านดิจิทัล, กรอบการกำกับดูแล, การดำเนินธุรกิจด้วยความรับผิดชอบ
การกำกับด้านการคุ้มครองข้อมูลและความเป็นส่วนตัวบนโลกออนไลน์ เป็นส่วนที่เกี่ยวข้อกับการคุ้มครองข้อมูลส่วนบุคคลและความเป็นส่วนตัวของผู้ใช้งาน Platform อีคอมเมิร์ซ หลักการทั่วไปของประเด็นนี้ กล่าวถึงการไหลเวียนของข้อมูลเป็นศูนย์กลางของเศรษฐกิจดิจิทัล ผู้บริโภคควรที่จะมีความสามาถในการควบคุมข้อมูลส่วนบุคคลของตนและความต้องการในด้านความเป็นส่วนตัว รวมถึงได้ประโยชน์จากโอกาสที่เกิดจากระบบที่ปลอดภัยและเชื่อถือได้ อีกทั้งสิทธิในความเป็นส่วนตัวของผู้บริโภคและการคุ้มครองจะต้องได้รับการยึดถือและคุ้มครองอย่างเหมาะสม
ประเด็นนี้ยังสัมพันธ์กับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลด้วย เนื่องจากรายละเอียดเนื้อหา ขอบเขตอำนาจหน้าที่ และกระบวนการบังคับใช้บางส่วน อ้างอิงมาจากมาตราต่างๆ ใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล อาทิ มาตรา 19, 20, 21, 22, 24, 26,27 ฯลฯ นอกจากกรอบนโยบายนี้ ยังมี พ.ร.บ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ อีกกว่า 4 ฉบับที่เป็นกรอบแนวทางปฏิบัติของธุรกิจอีคอมเมิร์ซ
มาตรฐานกลางสำหรับการเก็บรวบรวม ใช้และเผยแพร่ข้อมูลส่วนบุคคลในธุรกิจอีคอมเมิร์ซ มีกำหนดไว้บางส่วนแล้ว แต่อาจไม่ครอบคลุมทุกๆ ประเด็นย่อย ดังนั้นเพื่อไม่ให้ธุรกิจอีคคอมเมิร์ซเสี่ยงต่อการเก็บรวบรวม ใช้และเผยแพร่ข้อมูลอย่างผิดกฎหมาย จะด้วยความรู้เท่าไม่ถึงการณ์ หรือความผิดพลาดจากระบบหรือมนุษย์ก็ตาม ธุรกิจอีคอมเมิร์ซ ควรศึกษาแนวทางการดำเนินธุรกิจให้ปลอดภัยสำหรับการประมวลผลข้อมูลส่วนบุคคล ซึ่งเรารวบรวมไว้ให้แล้วในหัวข้อถัดไป ไปดูกันเลย
How to! ทำอย่างไรให้ ธุรกิจอีคอมเมิร์ซปลอดภัยสำหรับการประมวลผลข้อมูลส่วนบุคคล
อ้างอิงจากผลการศึกษาและสำรวจของ KPMG เผยว่า ในช่วง 3-4 ปีที่ผ่านมา ความเชื่อมั่นของลูกค้าที่มีต่อแบรนด์ต่างๆ ลดลง ความสำเร็จในการสร้างความไว้วางใจและกระตุ้นการเติบโตในอนาคตจึงขึ้นอยู่กับการสื่อสารและการแสดงให้เห็นถึงความมุ่งมั่นในการรักษาความปลอดภัยของข้อมูลลูกค้า โดยเฉพาะอย่างยิ่งเมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) บังคับใช้
คุณเจริญ ผู้สัมฤทธิ์เลิศ ประธานเจ้าหน้าที่บริหาร เคพีเอ็มจี ประเทศไทย เมียนมาร์ และลาว กล่าวถึงประเด็นนี้ ในระหว่างการสัมภาษณ์กับสำนักข่าวกรุงเทพธุรกิจ ไว้ว่า
“การจัดการความเสี่ยงทางไซเบอร์อย่างมีประสิทธิภาพจะต้องมีการวางระบบการกำกับดูแลและกระบวนการสนับสนุนที่เหมาะสม ตลอดจนถึงเทคโนโลยีด้านความปลอดภัยที่เหมาะสม แนวปฏิบัติในการรักษาความปลอดภัยทางไซเบอร์และการรักษาข้อมูลส่วนบุคคลต้องเป็นองค์รวม ซึ่งประกอบไปด้วย การป้องกัน การตรวจจับ และการมีแผนรับมือ”
เมื่อไม่สามารถหลีกเลี่ยงหรือลดการประมวลผลข้อมูลส่วนบุคคลได้ และยังต้องปฏิบัติตามกติกาของการประมวลผลข้อมูล ธุรกิจอีคอมเมิร์ซจึงต้องใส่ใจกับกระบวนการ มาตรการ หรือวิธีการที่จะช่วยเสริมสร้างความปลอดภัย และเสริมสร้างความเชื่อมั่นของเจ้าของข้อมูลส่วนบุคคล โดยเริ่มจาก Minimum Action ที่สามารถทำได้ทันที อาทิ
ใส่ใจการใช้ข้อมูลของลูกค้า
สำหรับธุรกิจอีคอมเมิร์ซ ข้อมูลของลูกค้ามีค่ามหาศาล นอกจากจะใช้ในการส่งมอบสินค้าหรือบริการแก่ลูกค้าแล้ว ยังสามารถใช้สำหรับการวิจัยและพัฒนาผลิตภัณฑ์ ใช้ในเชิงการตลาดและการส่งเสริมการขาย ใช้และถ่ายโอนระหว่าง Partner ฯ หากลูกค้ายินยอมให้เก็บรวบรวม ใช้ และเผยแพร่ข้อมูลแล้ว ความรับผิดชอบจะตกอยู่ที่ผู้ประกอบการหรือองค์กรทันที ในฐานะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล หรือ Data Controller
Data Controller ไม่สามารถปฏิเสธหรือละเลยการกำกับดูแล รักษาความปลอดภัยของข้อมูลได้ ตราบใดที่ข้อมูลยังอยู่ในฐานข้อมูล หรือถูกจัดเก็บอยู่ในต่างๆ และต้องปฏิบัติตามสิ่งที่กฎหมายบัญญัติไว้ในมาตรา 21, 22, 23, และ 27 อย่างเคร่งครัด
- ทำ Platform Ecommerce (Web, App, Social) ให้ปลอดภัย สอดคล้องกับ PDPA
ธุรกิจอีคอมเมิร์ซที่นำเสนอขายสินค้าหรือบริการด้วยเว็บไซต์ แอพลิเคชัน ช่องทาง Social Media อาทิ LINE Official, Facebook Page ฯ หรือมีระบบสมาชิกซึ่งจะต้องกรอกข้อมูลเพื่อเข้าใช้งาน จะต้องมีมาตรการทางเทคนิคเพื่อดูแล Transaction ที่จะเกิดขึ้นบน Platform เหล่านั้น
สำหรับเว็บไซต์ จะต้องมีการดำเนินการบนหน้าเว็บไซต์ ดังนี้
- Privacy Notice นโยบายความเป็นส่วนตัว หรืออาจใช้คำว่า นโยบายการประมวลผลข้อมูลส่วนบุคคล ซึ่งประกอบด้วยรายละเอียดเกี่ยวกับ วิธีการจัดเก็บ ประมวลผล รักษา และทำลายข้อมูลส่วนบุคคล จะต้องมีประกาศนี้ที่หน้าเว็บไซต์ ตามที่กฎหมาย PDPA ได้ระบุไว้ในมาตรา 23
- Cookie Consent บนเว็บไซต์ เป็นช่องทางสำหรับขอคำยินยอมในการเก็บข้อมูลผู้ใช้งาน มี Cookie Policy เพื่อแจ้งเจ้าของข้อมูลส่วนบุคคลที่เข้าใช้งานเว็บไซต์ ได้ทราบเกี่ยวกับคุกกี้ที่เว็บไซต์ได้รวบรวม ใช้ เพื่อประโยชน์ด้านใด โอนถ่ายข้อมูล หรือส่งต่อข้อมูลไปที่ใดอีกบ้าง
- ช่องทางการติดต่อ สถานที่ติดต่อ วิธีในการติดต่อผู้ควบคุมข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หรือตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล เพื่อให้ผู้ใช้งานเว็บไซต์สามารถติดต่อในกรณีที่ต้องการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
- หน้าเว็บไซต์ ไม่ควรมีส่วนที่แสดงข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้งานเว็บไซต์ หากมีการเผยแพร่ Review การใช้สินค้าหรือบริการบนหน้าเว็บไซต์ หรือมีส่วนที่นำเสนอข้อมูลของพนักงานภายในองค์กร เช่น แผนผังบุคลากร ควรแจ้งต่อเจ้าของข้อมูลส่วนบุคคล และขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลทุกครั้ง
แอพลิเคชัน ของธุรกิจอีคอมเมิร์ซ ต้องดำเนินการดังนี้
- ประกาศ Privacy Notice นโยบายความเป็นส่วนตัว เช่นเดียวกับเว็บไซต์
- แจ้งให้ผู้ใช้งานแอพลิเคชันทราบ หากแอพลิเคชันมีการแบ่งปันหรือถ่ายโอนข้อมูล กับ Third Party โดยระบุรายละเอียดเกี่ยวกับการถ่ายโอนหรือแบ่งปันข้อมูลนั้น และจำเป็นต้องแจ้งว่า Third Party ที่ประมวลผลข้อมูลส่วนบุคคลคือใคร องค์กรใด เหตุจำเป็นในถ่ายโอนหรือแบ่งปันข้อมูล ใช้ข้อมูลอะไรบ้าง ใครเป็นผู้รับข้อมูล เหตุผลที่ต้องถ่ายโอนหรือแบ่งปันข้อมูลส่วนบุคคลของผู้ใช้งาน
- แจ้งขอคำยินยอมการประมวลผลข้อมูลส่วนบุคคล (Consent) จากผู้ใช้งาน
- แจ้งช่องทางการติดต่อ สถานที่ติดต่อ วิธีในการติดต่อผู้ควบคุมข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หรือตัวแทนของผู้ควบคุมข้อมูลส่วนบุค
- เจ้าของแอพลิเคชัน ต้องจัดตั้งมาตรการรักษาความปลอดภัยที่เหมาะสมเพื่อปกป้องข้อมูลของผู้ใช้งาน
- การแจ้งหรือการประกาศนโยบาย รวมถึงการขอคำยินยอม จะต้องมีความชัดเจน ไม่คลุมเครือ และสามารถเรียกดูประกาศหรือนโยบายย้อนหลังได้ สำหรับการขอคำยินยอมและถอนคำยินยอมผ่านแอพลิเคชัน จะต้องมีกระบวนการเดียวกัน หากการให้คำยินยอมสามารถทำได้ รวดเร็ว ง่าย ไม่ซับซ้อน การยกเลิกคำยินยอมก็ต้องมีความรวดเร็ว ง่าย ไม่ซับซ้อนเช่นกัน
จัดทำ Privacy Notice ให้ชัดเจน
ประกาศนโยบายความเป็นส่วนตัว หรือ Privacy Notice เป็นสิ่งสำคัญที่มักซ่อนอยู่บนเว็บไซต์และแอพลิเคชั่น ซึ่งคนส่วนใหญ่อาจมองข้ามไป ทว่าเจ้าของ Platform ไม่สามารถมองข้ามสิ่งนี้ได้ เนื่องจากเป็นสิ่งที่กฎหมายกำหนดให้ต้องปฏิบัติตาม ข้อมูลที่ต้องปรากฎอยู่บน Privacy Notice ได้แก่
- ข้อมูลของผู้ควบคุมข้อมูลส่วนบุคคล
- รายการข้อมูลส่วนบุคคลที่จะทำการประมวลผล รวมถึงระยะเวลาในการประมวลผลข้อมูลส่วนบุคคล
- วัตถุประสงค์และฐานในการประมวลผลข้อมูล
- แหล่งที่มาของข้อมูลส่วนบุคคล
- การประมวลผลข้อมูลส่วนบุคคล
- การเก็บรักษาข้อมูลส่วนบุคคล
- สิทธิของเจ้าของข้อมูลส่วนบุคคล
- มาตรการป้องกันความปลอดภัยของข้อมูล
- ช่องทางการติดต่อผู้ควบคุมข้อมูลส่วนบุคคล เพื่อขอใช้สิทธิของเจ้าของข้อมูล
Privacy Notice สำคัญอย่างไร
นโยบายความเป็นส่วนตัว จะเกิดขึ้นเมื่อองค์กรเข้าใจกระบวนการที่เกี่ยวข้องกับ PDPA ภายในองค์กรอย่างถี่ถ้วน จึงจะทำให้สามารถร่าง Privacy Notice ออกมาได้อย่างครบถ้วน สิ่งนี้จึงเปรียบได้กับการสรุปกระบวนการคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร ให้กับผู้ใช้งาน ลูกค้า ผู้ใช้บริการ หรือหน่วยงานกำกับควบคุม สามารถพิสูจน์ตรวจสอบได้ตลอดเวลา โดยที่ไม่ต้องติดต่อผู้ควบคุมข้อมูลส่วนบุคคล หรือ เจ้าหน้าที่ DPO โดยตรง
Privacy Notice ประกาศได้ทั้งบนเว็บไซต์และสามารถนำรายละเอียดไปปรับใช้กับแอพลิเคชันได้ด้วย สาเหตุสำคัญที่ต้องให้ความสำคัญกับ Privacy Notice เพราะมีผลอย่างมากต่อการปฏิบัติตามข้อกำหนดของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หน่วยงานกำกับดูแลกฎหมายนี้ ซึ่งก็คือ สำนักงานคณะกรรมการคุ้มครองข้อมลส่วนบุคคล ก็ได้ยกให้ Privacy Notice เป็นหนึ่งในกระบวนการสำคัญที่ทุกองค์กรที่มีการประมวลผลข้อมูลส่วนบุคคล จะต้องนำไปปฏิบัติและดำเนินการในองค์กรด้วย
PDPA ธุรกิจอีคอมเมิร์ซเน้นเรื่องต่อไปนี้ มั่นใจปลอดภัยชัวร์
หากต่อจากนี้ ข้อมูลลูกค้าเปรียบเป็นสิ่งมีค่าสำหรับการทำธุรกิจอีคอมเมิร์ซ นำไปใช้ในการพัฒนาแพลตฟอร์ม พัฒนาผลิตภัณฑ์และการบริการ หรือใช้ Big data เพื่อการทำความเข้าใจผู้บริโภค แบรนด์แและองค์กรจำเป็นต้องให้ความสำคัญกับกระบวนการที่กฎหมายกำหนด เพื่อให้ตอบโจทย์กฎหมาย และตอบโจทย์เรื่องความเชื่อมั่นของลูกค้าและผู้ใช้บริการ
รวมให้แล้ว PDPA Checklist ที่ธุรกิจอีคอมเมิร์ซควรทบทวนและปฏิบัติตาม
DPO ต้องมี
ธุรกิจอีคอมเมิร์ซทำการรวบรวมข้อมูลส่วนบุคคลจากระบบสมาชิก เว็บไซต์ แอพลิเคชัน หรือกิจกรรมทางการตลาด สิ่งเหล่านี้ทำให้แบรนด์หรือองค์กรที่ทำธุรกิจอีคอมเมิร์ซเข้าข่ายองค์กรที่มีการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล โดยมีการประมวลผลข้อมูลส่วนบุคคลเป็นจำนวนมาก แบรนด์หรือองค์กรที่มีคุณสมบัติดังกล่าวจึงต้องมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO ผู้ซึ่งทำหน้าที่ดูแลรักษาข้อมูลส่วนบุคคลทั้งหมดในองค์กรไม่ว่าจะเป็นองค์กรข้อมูลภายใน (ข้อมูลพนักงาน) หรือภายนอก (ข้อมูลลูกค้า) หน้าที่ที่สำคัญของตำแหน่งนี้จะรวมไปถึง
การกำหนดทิศทางนโยบายการประมวลผลข้อมูลส่วนบุคคลขององค์กรร่วมกับผู้บริหารระดับสูง Partner ทางธุรกิจ
ตรวจสอบ เช็คความพร้อมของกระบวนการที่สำคัญในโครงการ PDPA ขององค์กร ตามข้อกำหนด กฎเกณฑ์ กฎหมาย ตามรอบเวลา (ทุกๆ 6 หรือ 12 เดือน)
สื่อสาร ประชาสัมพันธ์ อบรม ให้ความรู้ เกี่ยวกับกฎหมาย PDPA ให้กับพนักงานภายในองค์กร
ประสานงาน ระหว่างเจ้าของข้อมูลส่วนบุคคล เมื่อจำเป็น และประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อรายงานเหตุละเมิดข้อมูลส่วนบุคคล ภายใน 72 ชั่วโมง (เมื่อเกิดเหตุ)
- ควบคุม ดูแล และขับเคลื่อนกระบวนการทั้งสามข้อข้างต้นภายใต้เงื่อนไข การรักษาความลับ ความปลอดภัยของข้อมูลส่วนบุคคลภายในองค์กร
Privacy Notice
อย่างที่ได้กล่าวไปก่อนหน้านี้ว่า ธุรกิจอีคอมเมิร์ซ ควรจัดทำ Privacy Notice ให้ชัดเจน เพราะ Privacy Notice นั้นช่วยสะท้อนความใส่ใจ และนโยบายในการคุ้มครองข้อมูลส่วนบุคคลของแบรนด์หรือองค์กรไปสู่บุคคลภายนอกได้เป็นอย่างดี และยังเป็นการปฏิบัติตามข้อกำหนดของกฎหมาย มาตรา 41 และมาตรา 42 ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลด้วย
ใส่ใจ Data Processing Agreement
ธุรกิจอีคอมเมิร์ซ มักมี Partner ทางธุรกิจ หรือมีการว่าจ้าง Outsourced ให้ดำเนินการประมวลผลข้อมูลส่วนบุคคล อาทิ ส่งข้อมูลชื่อ-สกุล ที่อยู่ เบอร์โทรศัพท์ให้กับบริษัทที่ให้บริการขนส่ง หรือการส่งต่อข้อมูลของลูกค้าให้กับเอเจนซี่โฆษณาเพื่อทำแคมเปญการตลาด ก่อนหน้าที่จะมีกฎหมาย PDPA กระบวนการเหล่านี้เป็นความเคยชินของแบรนด์หรือองค์กรที่สามารถส่งต่อ แชร์ แลกเปลี่ยนข้อมูกันได้อย่างอิสระ ทว่าหลังจากการบังคับใช้ของกฎหมาย PDPA ข้อมูลส่วนบุคคลจะไม่สามารถส่งต่อ แชร์ แลกเปลี่ยนข้อมูลันได้อย่างอิสระอีกต่อไป
ดังนั้นระหว่างองค์กร, Partner, Outsourced, หรือแม้แต่บริษัทในเครือ หากจะทำการประมวลผลข้อมูลที่ตนไม่ได้เก็บรวบรวมเอง จะประมวลผลข้อมูลที่ได้รับมาจาก Third Party ควรจัดทำข้อตกลงการประมวลข้อมูล (Data Processing Agreement) เป็นสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ในฐานะผู้ว่าจ้าง และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ในฐานะผู้ให้บริการภายนอกหรือบุคคลอื่น สัญญานี้ระบุรายละเอียดเกี่ยวกับวัตถุประสงค์ การใช้ข้อมูล ขอบเขตการประมวลผลข้อมูล เพื่อไม่ให้ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ประมวลผลข้อมูลเกินขอบเขตสัญญา
อบรมให้ความรู้บุคคลากรอย่างทั่วถึง และเน้นที่ฝ่าย Admin หรือ Front ฝ่ายการตลาด Partner และ Outsourced
การสร้างงความตระหนักรู้ในกฎหมายคุ้มครองข้อมูส่วนบุคคล และการสร้างความรู้ความเข้าใจด้านความปลอดภัยทางสารสนเทศและภัยคุกคามทางไซเบอร์ เป็นสิ่งที่ขาดไม่ได้ สิ่งสำคัญในการทำให้โครงการ PDPA และการบังคับใช้นโยบายให้ยั่งยืน นอกจากการจัดทำโครงการเพื่อรองรับกิจกรรมการใช้ข้อมูลของผู้ใช้บริการ หรือบุคคลภายนอก อย่างเดียวคงไม่เพียงพอ การสร้างความยั่งยืนภายในองค์กร โดยการสื่อสารแนวปฏิบัติ และการสร้างการตระหนักรู้ให้ทุกแผนก ทุกภาคส่วน เห็นความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลอย่างพร้อมเพรียงกัน เป็นสิ่งที่ควรเกิดขึ้นควบคู่กันด้วย
เพราะเมื่อใดที่ความเข้าใจและความสามารถในการตระหนักรู้ ค่อย ๆ แทรกซึมเข้าไปในกระบวนการทำงาน พนักงานจะตระหนักรู้ได้เองว่า กิจกรรมใดในแผนก กิจกรรมใดในองค์กรที่มีการใช้ข้อมูลส่วนบุคคล นอกจากพนักงานจะเข้าใจและตระหนักในการใช้ข้อมูลส่วนบุคคลในองค์กรตนเองแล้ว จะเกิดการตระหนักรู้เรื่องการใช้ข้อมูลส่วนบุคคลในชีวิตประจำวันของแต่ละคนด้วย
เหตุที่ต้องอบรมให้ความรู้กับฝ่าย Admin หรือ Front ฝ่ายการตลาด Partner และ Outsourced เป็นพิเศษ เนื่องจากบุคคลเหล่านี้เป็นด่านปราการแรกที่สัมผัสกับข้อมูลส่วนบุคคล และยังเป็นกลุ่มคนที่ดึงเอาข้อมูลส่วนบุคคลในองค์กรมาใช้อยู่บ่อยครั้ง ส่วน Partner และ Outsourced เป็นกลุ่มที่ควรมีความเข้าใจกฎหมายและโทษของการละเมิดกฎหมายในเบื้องต้นเช่นกัน เพื่อประโยชน์ในการทำความเข้าใจ Data Processing Agreement และเป็นกรอบในกระบวนการประมวลผลข้อมูลให้ปลอดภัยอย่างสูงสุด
ทำตาม Checklist จาก PDPC
สคส. หรือสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้เผยแพร่ 5 Checklist ที่หน่วยงานรัฐและองค์กรธุรกิจต้องปฏิบัติตาม เพื่อให้สามารถจัดการและปกป้องข้อมูลส่วนบุคคลของประชาชนได้ตามที่ พ.ร.บ.ฯ กำหนด
Checklist ถูกเปิดเผยที่แรกในงาน Thailand National Cyber Week จัดขึ้นเมื่อวันที่ 17-18 กุมภาพันธ์ 2566 โดยมี ดร.สุนทรีย์ ส่งเสริม ผู้แทนสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เป็นผู้บรรยายและให้รายละเอียดเกี่ยวกับ Checklist ดังกล่าว ซึ่งนับว่าเป็นเป็น Minimun Action ที่ทุกองค์กร ทุกธุรกิจ สามารถนำไปเป็นแนวทางในการปฏิบัติเพื่อให้โครงการ PDPA ในองค์กรตอบสนองต่อข้อกำหนดของกฎหมาย PDPA พื้นฐานได้
PDPC กำหนดให้หน่วยงานรัฐและองค์กรธุรกิจต้องปฏิบัติดังนี้
- Lawful Basis & ROPA (มาตรา 24-27+ มาตรา 39) ฐานทางกฎหมายสำหรับการประมวลผลข้อมูลส่วนบุคคล และ บันทึกการประมวลผลข้อมูส่วนบุคคล
- Privacy Notice (มาตรา 23) ประกาศความเป็นส่วนตัว หรือ นโยบายความเป็นส่วนตัว
- Security Measures (มาตรา 37) มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
- Data Subject Rights Management (มาตรา 30-36) ระบบบริการจัดการ การใช้สิทธิของเจ้าของข้อมูล
- Data Breach Report (มาตรา 37 (4)) หนังสือแจ้งเหตุละเมิดข้อมูลส่วนบุคคล
Srichand (ศรีจันทร์สหโอสถ) ตัวอย่างองค์กรที่ทำ PDPA ธุรกิจ E-commerce ประสบความสำเร็จ
บริษัท ศรีจันทร์สหโอสถ จำกัด หรือที่รู้จักในชื่อแบรนด์ Srichand เป็นบริษัทที่อยู่ในกลุ่มธุรกิจอีคอมเมิร์ซ ที่มีการดำเนินการตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลส่วนบุคคล
การริเริ่มของ Srichand
คุณรวิศ หาญอุตสาหะ กรรมการผู้จัดการบริษัทศรีจันทร์สหโอสถ จำกัด กล่าวถึงการริเริ่มกระบวนการ PDPA ในองค์กรไว้ว่า
“ในช่วงนี้ทางศรีจันทร์เริ่มโฟกัสกับ E-commerce อย่างจริงจัง ทั้งแบรนด์ของตัวเองและแบรนด์ของทาง Partner ทำให้ทางบริษัทต้องเปลี่ยนแปลงระบบภายในบริษัทให้เป็น Digital Transformation ซึ่งตรงกับช่วงที่ต้องปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) กฎหมายดังกล่าวไม่ได้เกิดขึ้นภายในประเทศไทยเท่านั้น แต่จะต้องปฏิบัติให้เป็นไปตามหลักสากลในไม่ช้าก็เร็ว อย่างที่ทางยุโรปมีกฎหมาย GDPR”
ตรงจุดนี้ คุณรวิศ CEO จากศรีจันทร์สหโอสถ มองเห็นว่า การคุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายที่เกี่ยวข้องกับข้อมูลที่สำคัญของลูกค้า และการทำ Digital Transformation ก็มีความสำคัญ ทั้งสองสิ่งนี้เลยควรทำควบคู่กันไป
Srichand เลือกใช้ t-reg Platform ในการบริหารจัดการโครงการ PDPA
ด้วยความตระหนักถึงการเก็บรักษาและการใช้ข้อมูลส่วนบุคคลอย่างถูกต้อง ทางศรีจันทร์ได้ประเมินความเสี่ยงจากโทษของกฎหมายแล้ว จึงพบว่าต้องใช้ข้อมูลส่วนบุคคลอยู่ตลอด ทางบริษัทจึงตัดสินใจหาผู้ช่วยที่สามารถทำให้องค์กรปฏิบัติตาม PDPA ได้อย่างถูกต้อง สะดวก และรวดเร็ว จากหลากหลายองค์ประกอบทำให้ศรีจันทร์เลือกใช้งาน t-reg PDPA Platform โดยพิจารณาจาก ความเชี่ยวชาญของทีมที่ปรึกษา เครื่องมือที่ตอบโจทย์ความต้องการและใช้งานได้จริง การเก็บข้อมูลบนระบบคลาวด์ การดำเนินงานที่มีแบบแผนในกรอบเวลาที่เหมาะสม บริการหลังการขายที่ใส่ใจ
โครงการ PDPA สร้างการเปลี่ยนแปลงให้กับบริษัทศรีจันทร์อย่างไรบ้าง
การเปลี่ยนแปลงด้านบุคลากร จากบุคลากรที่ยังไม่รู้ว่าต้องปฏิบัติตามกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ก็มีความรู้ความเข้าใจมากยิ่งขึ้น เมื่อมีความรู้ความเข้าใจ ก็ส่งผลทำให้เกิดการตระหนักรู้กับบุคลากรในองค์กร
การเปลี่ยนแปลงด้านกระบวนการ หลังจากที่ได้ตระหนักรู้และเข้าใจ PDPA ก็เริ่มเข้าใจว่าต้องดำเนินการอย่างไร ตั้งแต่กระบวนการเริ่มต้นไม่ว่าจะเป็น การรับข้อมูลส่วนบุคคล ไปจนถึงการดูแลรักษาและดำเนินการตามคำร้องหลังรับข้อมูลส่วนบุคคล
เพิ่มประสิทธิภาพการใช้เครื่องมือ ด้วยความที่ศรีจันทร์สหโอสถเป็นองค์กรที่มีการรับเข้า และถ่ายโอนข้อมูลส่วนบุคคลจากลูกค้าเป็นจำนวนมาก หลังจากที่ PDPA บังคับใช้ ทำให้องค์กรและทุกแผนกต้องคิดว่าควรใช้อะไรในการเก็บข้อมูลส่วนบุคคล ควรใช้เครื่องมือใดให้ลูกค้าอุ่นใจและสามารถรับรู้ได้ว่าทางองค์กรได้ทำตามคำร้องขอแล้ว ซึ่งทั้งหมดที่กล่าวมานี้เป็นเพียงแค่ส่วนหนึ่งเท่านั้น แต่สิ่งที่ช่วยให้กิจกรรมทั้งหมดนี้สามารถทำได้อย่างถูกต้อง ง่าย ครบถ้วน และตอบโจทย์ต่อองค์กรนั่นก็คือ PDPA Platform ของ t-reg ที่ช่วยให้โครงการ PDPA ขององค์กรดำเนินการได้อย่างราบรื่นหากกฎหมาย PDPA ถูกบังคับใช้ในอนาคต
สรุป PDPA ธุรกิจอีคอมเมิร์ซ
ธุรกิจอีคอมเมิร์ซ เป็นอีกนึ่งธุรกิจที่มีการเก็บรวบรวม ใช้และผยแพร่ข้อมูลส่วนบุคคลจำนวนมหาศาล มี Transaction เกิดขึ้นบ่อยครั้ง และยังเป็นธุรกิจที่มีการส่งต่อ แชร์ แลกเปลี่ยนข้อมูลระหว่าง Partner, Outsourced, บริษัทในเครืออยู่เสมอ เหล่านี้เป็นเหตุผลหลักที่บังคับให้ธุรกิจอีคอมเมิร์ซ ไม่อาจหลีกเลี่ยงการปฏิบัติตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้ ดังนั้นเมื่อไม่สามารถปฏิเสธได้ ธุรกิจในแวดวงอีคอมเมิร์ซจึงควรให้ความสำคัญกับกระบวนการ PDPA ในองค์กรอย่างเคร่งครัด
กระบวนการ PDPA ที่สำคัญสำหรับธุรกิจอีคอมเมิร์ซ ได้แก่ การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลภายในองค์กร จัดทำนโยบายความเป็นส่วนตัวและเผยแพร่ให้ผู้ใช้งานหรือลูกค้าทราบอย่างทั่วถึง ทำสัญญาการประมวลผลข้อมูลกับ Partner, Outsourced, บริษัทในเครือ เพื่อเป็นกติกาในการประมวลผลข้อมูล สร้างความตระหนักรู้กฎหมายคุ้มครองข้อมูลส่วนบุคคล และปฏิบัติตามข้อกำหนดของหน่วยงานที่กำกับดูแลกฎหมาย หากแบรนด์หรือองค์กรปฏิบัติตามแนวทางเหล่านี้ครบถ้วนแล้ว ควรมีการจัดทำ PDPA Audit หรือการสอบทานโครงการ PDPA เป็นการตรวจสอบการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ 2562 ควบคู่กันด้วย
หากองค์กรของท่าน เป็นธุรกิจอีคอมเมิร์ซที่ต้องการปฏิบัติตามข้อกำหนดของกฎหมาย PDPA อย่างครบถ้วนและยั่งยืน โดยการเชื่อมต่อกระบวนการ PDPA เข้ากับ Platform บริหารจัดการที่ชาญฉลาด ช่วยลดภาระงานภายในองค์กร และต้องการตัวช่วยที่เป็นผู้เชี่ยวชาญในกฏหมาย หรือที่ปรึกษาที่มีประสบการณ์โดยตรง ติดต่อ t-reg ให้เราดูแลโครงการ PDPA ให้สมบูรณ์ครบ จบในที่เดียว
โทร 089-698-2591
