PDPA มีข้อสงสัย Q&A แบบไม่กั๊กกับผู้เชี่ยวชาญ Norm Thing

PDPA เคลียร์ทุกคำถามคาใจที่ SME อยากรู้ที่สุด ตอบตรงประเด็นโดยทีมที่ปรึกษา Norm Thing

แม้ว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA (Personal Data Protection Act) จะกลายเป็นส่วนหนึ่งของมาตรฐานการทำธุรกิจในประเทศไทยมาแล้วกว่า 3 ปี แต่เราเชื่อว่าเจ้าของธุรกิจ SME จำนวนมากยังคงมีความสงสัยและคำถาม “คาใจ” อยู่ไม่น้อยในสถานการณ์จริงหน้างาน…

“แค่ติดป้ายกล้องวงจรปิดก็พอแล้วเหรอ?” “ลูกค้ารีวิวแล้วแท็กเรา เอารูปมาใช้ได้ไหม?” “ร้านเล็กๆ อย่างเราต้องมี DPO หรือเปล่า?”

การค้นหาคำตอบบนอินเทอร์เน็ตบ่อยครั้งก็นำไปสู่ภาษากฎหมายที่ซับซ้อนและตีความยาก ทำให้หลายคนเลือกที่จะทำตามๆ กันไปโดยปราศจากความเข้าใจที่แท้จริง วันนี้ ทีมที่ปรึกษาจาก Norm Thing ได้รวบรวมคำถามยอดฮิตจากลูกค้า SME ของเรา และนำมาตอบให้คุณแบบตรงไปตรงมา เข้าใจง่าย เหมือนมีที่ปรึกษานั่งอยู่ข้างๆ

ความเสี่ยงใน ‘พื้นที่สีเทา’: ทำไมการ ‘ตีความผิด’ เรื่อง PDPA ถึงน่ากลัวกว่าการ ‘ไม่รู้’ เลย

ในวันนี้ การบอกว่า “ไม่รู้” กฎหมายอาจไม่ใช่ข้ออ้างที่ฟังขึ้นอีกต่อไป แต่ความเสี่ยงที่น่ากังวลยิ่งกว่าสำหรับ SME คือการ “ตีความผิด” และปฏิบัติอย่างไม่ถูกต้องโดยไม่รู้ตัว

1. ลูกค้ารู้สิทธิของตัวเองมากขึ้น: ผู้บริโภคในปัจจุบันมีความรู้ความเข้าใจเรื่องสิทธิในข้อมูลส่วนบุคคลของตนเองดีขึ้น และพวกเขากล้าที่จะร้องเรียนหากรู้สึกว่าถูกละเมิด
2. การร้องเรียนเพียงครั้งเดียวอาจนำไปสู่การตรวจสอบ: แตกต่างจากในอดีต ปัจจุบันการร้องเรียนจากลูกค้าเพียงรายเดียวก็สามารถเป็นชนวนให้หน่วยงานกำกับดูแลเข้ามาตรวจสอบการดำเนินงานทั้งหมดของธุรกิจคุณได้
3. รายละเอียดเล็กน้อยคือจุดชี้ขาด: ความผิดพลาดส่วนใหญ่มักซ่อนอยู่ในรายละเอียดเล็กๆ น้อยๆ เช่น การตั้งค่า Cookie Banner บนเว็บไซต์  ขั้นตอนการตอบสนองเมื่อลูกค้าขอใช้สิทธิ  หรือการนำข้อมูลลูกค้าไปใช้ทางการตลาด ซึ่งหากทำผิดแม้จะมีเจตนาที่ดีก็อาจสร้างปัญหาได้
4. ความเชื่อมั่นสร้างได้จากความชัดเจน: การที่คุณสามารถตอบคำถามลูกค้าเกี่ยวกับนโยบายข้อมูลส่วนตัวได้อย่างมั่นใจและชัดเจน คือเครื่องหมายของความเป็นมืออาชีพและสร้างความน่าเชื่อถือได้อย่างมหาศาล

Q&A ถามมา-ตอบไว: 5 คำถาม PDPA ยอดฮิตที่ SME ต้องรู้คำตอบ

นี่คือ 5 คำถามที่เราถูกถามบ่อยที่สุดจากผู้ประกอบการ SME และคำตอบแบบไม่กั๊ก

Q1: ร้านค้า SME จำเป็นต้องมี DPO (เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล) ไหม?

A: สำหรับ SME ส่วนใหญ่ คำตอบคือ “ไม่จำเป็น” ครับ กฎหมายกำหนดให้ต้องมี DPO เฉพาะในกรณีที่ธุรกิจของคุณมีการประมวลผลข้อมูลจำนวนมากและสม่ำเสมอ หรือมีการประมวลผลข้อมูลที่ละเอียดอ่อน (Sensitive Data) เป็นหลัก แต่สิ่งที่จำเป็นต้องมี คือ “ผู้ประสานงาน” หรือบุคคลที่รับผิดชอบในการจัดการเรื่องข้อมูลส่วนบุคคลโดยเฉพาะ เพื่อเป็นช่องทางให้ลูกค้าหรือหน่วยงานรัฐสามารถติดต่อได้

Q2: ลูกค้าโพสต์รูปสินค้า/บริการของเรา แล้วแท็กมาที่ร้าน เราเอารูปมาใช้ต่อเลยได้ไหม?

A: ทางที่ดีที่สุดคือ “ไม่ได้” ครับ ถึงแม้ลูกค้าจะแท็กมา แต่ลิขสิทธิ์ในรูปภาพยังคงเป็นของลูกค้า การนำรูปมาใช้ในช่องทางของร้านโดยไม่ขออนุญาตถือเป็นความเสี่ยง วิธีปฏิบัติที่ดีที่สุดคือ: ทักไปขอบคุณลูกค้าในคอมเมนต์หรือ Direct Message แล้วกล่าวขออนุญาตนำรูปไปรีโพสต์อย่างเป็นทางการ เช่น “ขอบคุณสำหรับรีวิวน่ารักๆ นะคะ ทางร้านขออนุญาตนำรูปไปแชร์ต่อได้ไหมคะ?” การทำเช่นนี้ไม่เพียงแต่จะปลอดภัย แต่ยังสร้างความสัมพันธ์ที่ดีกับลูกค้าอีกด้วย

Q3: แค่ติดกล้องวงจรปิดในร้าน ต้องทำอะไรเกี่ยวกับ PDPA บ้าง?

A: ต้องทำครับ เพราะภาพจากกล้องวงจรปิดถือเป็นข้อมูลส่วนบุคคล สิ่งที่ต้องทำง่ายๆ คือ:

1. ติดป้ายประกาศให้ชัดเจน: ต้องมีป้ายในบริเวณที่มองเห็นได้ง่าย เพื่อแจ้งให้ทุกคนทราบว่าพื้นที่นี้มีการบันทึกภาพด้วยกล้องวงจรปิด
2. ระบุวัตถุประสงค์: ในป้ายประกาศควรระบุวัตถุประสงค์สั้นๆ เช่น “เพื่อรักษาความปลอดภัยของบุคคลและทรัพย์สิน”

Q4: มี Cookie Banner ให้ลูกค้ากด “ยอมรับ” บนเว็บไซต์ก็พอแล้วใช่ไหม?

A: ยังไม่สมบูรณ์ครับ Cookie Banner ที่ดีตามหลัก PDPA ควรให้ “ทางเลือก” ที่เท่าเทียมกันแก่ผู้ใช้งาน นั่นหมายความว่า ปุ่ม “ปฏิเสธ” ต้องมองเห็นได้ง่ายและกดได้ง่ายเท่ากับปุ่ม “ยอมรับ” และที่สำคัญคือต้องมีลิงก์ที่เชื่อมโยงไปยัง “นโยบายคุกกี้” (Cookie Policy) ฉบับเต็ม เพื่อให้ผู้ใช้งานสามารถอ่านรายละเอียดและเลือกให้ความยินยอมคุกกี้แต่ละประเภทได้

Q5: ถ้าลูกค้าขอให้ “ลบข้อมูล” ของเขาออกจากระบบ ต้องทำอย่างไร?

A: นี่คือสิทธิที่จะถูกลืม (Right to be Forgotten) ซึ่งคุณมีหน้าที่ต้องปฏิบัติตาม (ยกเว้นมีเหตุผลทางกฎหมายอื่นที่จำเป็นต้องเก็บข้อมูลไว้ เช่น เพื่อการตรวจสอบทางภาษี) ขั้นตอนง่ายๆ คือ:

1. ยืนยันตัวตน ของผู้ที่ร้องขอ
2. ค้นหาและรวบรวม ข้อมูลของเขาในทุกที่ที่คุณเก็บไว้ (ไฟล์ Excel  ระบบ CRM  รายชื่ออีเมล)
3. ดำเนินการลบ ข้อมูลออกจากระบบของคุณ
4. แจ้งยืนยัน การดำเนินการให้ลูกค้ารับทราบ

แล้วถ้าคำถามของคุณซับซ้อนกว่านี้ล่ะ? เรามีคำตอบให้

5 คำถามข้างต้นเป็นเพียงส่วนหนึ่งของสถานการณ์ที่ SME ต้องเจอในแต่ละวัน เราเข้าใจดีว่าทุกธุรกิจมีความแตกต่างและอาจมีคำถามเฉพาะทางที่ซับซ้อนกว่านี้ การพยายามหาคำตอบที่ถูกต้อง 100% ด้วยตัวเองอาจเป็นเรื่องที่เสียเวลาและน่าปวดหัว

ด้วยเหตุนี้ Norm Thing จึงพร้อมที่จะเป็นที่ปรึกษาและช่วยคุณค้นหาคำตอบที่ชัดเจนและเหมาะสมกับบริบทธุรกิจของคุณโดยเฉพาะ

อย่าปล่อยให้ ‘ความสงสัย’ กลายเป็น ‘ความเสี่ยง’: ปรึกษาผู้เชี่ยวชาน Norm Thing วันนี้!

การดำเนินธุรกิจท่ามกลางความไม่แน่ใจในข้อกฎหมาย คือความเสี่ยงที่ไม่จำเป็น การมีความเข้าใจที่ชัดเจนจะช่วยให้คุณทำธุรกิจได้อย่างมั่นใจ  สร้างความน่าเชื่อถือในสายตาลูกค้า  และปกป้องธุรกิจของคุณจากปัญหาที่อาจตามมาในอนาคต

หยุดเสียเวลาค้นหาคำตอบที่อาจไม่ถูกต้อง แทนที่จะเป็นเช่นนั้น มาพูดคุยกับทีมงานที่พร้อมจะให้คำแนะนำที่นำไปใช้ได้จริงกับธุรกิจของคุณ

add line @normthing เพื่อปรึกษากฎหมายธุรกิจ ให้เราเป็นพาร์ทเนอร์ของคุณ

แหล่งข้อมูลอ้างอิงอย่างเป็นทางการ

• สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC Thailand): https://www.pdpc.or.th/
• ราชกิจจานุเบกษา – พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒: http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF