สิทธิในการยกเลิกได้ทุกเวลา.. ผลกระทบในเชิงลบ และ ‘ความเสี่ยง’ ที่ธุรกิจต้องทำความเข้าใจเรื่องนี้อย่างละเอียดก่อนจัดทำสัญญา ทำแผนการตลาด หรือจัดโปรโมชันส่งเสริมการขายเพื่อการเก็บข้อมูลส่วนบุคคลของลูกค้าในครั้งต่อไป แต่ก่อนอื่นเราอยากยกตัวอย่างกรณีที่เคยเกิดขึ้นในการทำสัญญาธุรกรรมต่าง ๆ รวมถึงการตลาด และส่งเสริมการขายระหว่างผู้ให้บริการกับลูกค้าผู้ใช้บริการเสียก่อนว่าเป็นไปในลักษณะใดบ้าง เช่น – การให้ข้อมูลเพื่อทำบัตรเครดิตที่ผ่านมาจะเห็นว่ามี ‘แอบ’ ให้เซ็นยินยอมในการขายประกันหรือบริการอื่นพ่วงมาด้วย และโดยมากก็ยอมเซ็นเนื่องจากมองว่าเป็นเงื่อนไขของผู้ให้บริการ – การจัดโปรโมชันของแบรนด์สินค้าหรือบริการ อาทิ กิจกรรมการลด แลก แจก แถม ที่มักขอเก็บข้อมูลข้อมูลส่วนบุคคลของลูกค้ากลุ่มเป้าหมายเพื่อแลกกับของสมนาคุณหรือส่วนลดที่มักจะ ‘แอบ’ มีเงื่อนไขอื่น ๆ ที่นอกเหนือจากกิจกรรมหลักซึ่งผู้ใช้บริการบางครั้งก็ไม่ทราบ – การสมัครสมาชิกเพื่อเข้าใช้บริการหรือรับสิทธิพิเศษ มักจะมีเงื่อนไขอื่นที่ระบุไว้เป็นเครื่องหมายดอกจัน ‘ตัวเล็กๆ และยาวมาก’ เพื่อประลองขันติและความอดทนในการอ่านเงื่อนไขเหล่านั้นของผู้สมัคร จนในที่สุดก็อาจจะแค่อ่านผ่าน ๆ – บริการอินเทอร์เน็ตและหมายเลขโทรศัพท์มือถือที่มักจะนำข้อมูลการติดต่อของลูกค้า ไป ‘ขายพ่วง’ บริการอื่น ๆ ที่นอกเหนือจากสัญญาการให้บริการเดิม – การขอข้อมูลติดต่อทางออนไลน์ เช่น อีเมล ID LINE…

การตลาด (Marketing) หรือกิจกรรมต่าง ๆ ของธุรกิจที่ทำให้เกิดการนำเสนอสินค้าหรือบริการไปสู่ผู้บริโภคทั่วไป ขณะที่ การส่งเสริมการขาย (Promotion) คือกิจกรรมที่นอกเหนือจากการตลาดแบบทั่วไป และมีลักษณะเป็นครั้งคราวเพื่อการกระตุ้นให้เกิดความสนใจสินค้าหรือบริการนั้น ๆ จึงกล่าวได้ว่าแม้สองสิ่งนี้จำเป็นต้องทำควบคู่กันแต่โดยเนื้อหาของกิจกรรมย่อมแตกต่างกัน ทว่าภายใต้การบังคับใช้กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นสิ่งที่การตลาดและส่งเสริมการขายจะต้องปฏิบัติเหมือนกัน คือ ความถูกต้องและสอดคล้องกับข้อบังคับของกฎหมายคุ้มครองข้อมูลส่วนบุคคล ดังนั้น กิจกรรมด้านการตลาด อาทิ การโฆษณา ประชาสัมพันธ์ การขายแบบตรง ทั้งรูปแบบออนไลน์และออฟไลน์ ตลอดจนกิจกรรมส่งเสริมการขายในรูปแบบ ลด แลก แจก แถม ซึ่งได้มีการเก็บ รวบรวมใช้ หรือเปิดเผย ‘ข้อมูลส่วนบุคคล’ จะต้องเข้าใจพื้นฐานของกฎหมาย PDPA ทั้งบริษัทจะต้องดำเนินการให้สอดคล้องตามข้อบังคับของกฎหมาย ดังนี้ • สร้างนโยบายความเป็นส่วนตัว (Privacy Policy) และประกาศความเป็นส่วนตัว (Policy Notice) • ในกรณีมีเว็บไซต์ที่จัดเก็บข้อมูลคุกกี้ต้องทำ Cookie Policy…

เพียงแค่คิดจะซื้อ ทำไมผู้ขายถึงรู้ความต้องการของเราได้อย่างรวดเร็ว? รู้ได้อย่างไรว่าเราชอบสีไหน เราป่วยตอนไหน เราอยากแต่งตัวไปเที่ยวที่ไหน หรือเราชอบอะไร คำตอบนั้นง่ายมาก เพราะนี่คือยุคแห่ง ‘Data-Driven’ หรือธุรกิจที่ขับเคลื่อนโดยข้อมูล ดังนั้นแบรนด์ที่มีการใช้ประโยชน์จาก ‘Big Data’ ซึ่งเป็นการรวบรวมข้อมูลของบุคคลจำนวนมากและนำมาแยกแยะ วิเคราะห์ และประมวลผลให้เกิดผลลัพธ์ที่ต้องการ จึงอย่าแปลกใจหากแบรนด์หรือผู้ผลิตสินค้าและบริการต่างๆ จะเข้าใจตัวคุณมากกว่าเพื่อนสนิทของคุณซะอีก ! อย่างไรก็ตาม มีคำถามสำคัญที่หลายท่านยังคงกังขา เนื่องจากการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล (กฎหมาย PDPA) หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 การทำ Big Data ภายใต้เงื่อนไขของ PDPA จะต้องดำเนินการอย่างไร และการเก็บข้อมูลส่วนบุคคลของธุรกิจต่างๆ จะต้องทำอย่างไรบ้างเพื่อให้สอดคล้องตามข้อบังคับของกฎหมาย ซึ่งก่อนอื่นอาจจะต้องเข้าใจพื้นฐานของ ‘ข้อจำกัด’ หรือมาตรฐานใหม่ของการทำ Big Data ในปัจจุบันเสียก่อน   ‘ข้อมูล’ เป็นทรัพยากรที่มีค่าสำหรับทุกองค์กรจริงๆ หรือ ? จริงแท้แน่นอน!…แต่ต้องอยู่บนพื้นฐานของการ ‘ยืมมาใช้’ อย่างเหมาะสมตามความจำเป็น และปลอดภัย…

การยืนยันตัวตนด้วยวิธีสแกนใบหน้า สแกนม่านตา หรือลายนิ้วมือในปัจจุบัน อาจไม่ใช่เรื่องแปลกใหม่แต่อย่างใด แต่สิ่งหนึ่งที่ผู้ประกอบธุรกิจควรจะทราบด้วยว่า ไบโอเมตริกซ์ (Biometrics) คือ ข้อมูลทางสรีรวิทยาที่เป็นอัตลักษณ์เฉพาะทางกายภาพของบุคคลนั้นๆ เป็น ‘ข้อมูลส่วนบุคคลอ่อนไหว’ (Sensitive Data) ซึ่งกฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 บัญญัติไว้ว่า ห้ามไม่ให้เก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล และการเก็บใช้จะต้องอยู่บนพื้นฐานของความจำเป็นและมาตรการป้องการการรั่วไหลของข้อมูลส่วนบุคคลอย่างเหมาะสมกับความเสี่ยง   ข้อมูล Biometrics คืออะไร และใช้ทำอะไรได้บ้าง ไบโอเมตริกซ์ (Biometrics) ภาษาไทยบัญญัติคำว่า ‘ข้อมูลชีวภาพ’ หรือบางแห่งเรียก ‘ข้อมูลชีวมาตร’ ก็คือข้อมูลเฉพาะที่สามารถยืนยันตัวบุคคลนั้น เป็นลักษณะพิเศษที่แต่ละคนมีไม่เหมือนกัน ด้วยเหตุนี้จึงไม่ได้จำกัดเฉพาะใบหน้า ม่านตา ลายนิ้วมือ แต่ยังรวมไปถึง เสียงพูด แผลเป็น ดีเอ็นเอ และลายเซ็น ขณะที่บัญญัติในกฎหมาย PDPA ระบุถึงคำว่า ‘ข้อมูลชีวภาพ’ หมายถึงข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคนิคหรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพ หรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น…

‘เด็กกับเกม’ อาจจะไม่ใช่การจับคู่ที่ถูกต้องนัก เนื่องจากในปัจจุบันผู้คนส่วนใหญ่รู้จักคำว่า ‘E-Sport’ มากขึ้น ทั้งตระหนักได้ถึงรายได้ที่เกิดจากอุตสาหกรรมและผู้พัฒนาเกม รวมถึงอาชีพ ‘เกมเมอร์’ ได้ทำให้สังคมได้ทราบว่า ในปัจจุบันมีการหารายได้จากกิจกรรมการเล่นเกมมากมาย เช่น สตรีมเมอร์ (Streamer) เกมแคสเตอร์ (Game Caster) และนักกีฬาอีสปอร์ต (E-sports Player) เป็นต้น ทั้งอายุผู้เล่นก็อาจจะไม่ใช่ ‘เด็ก ๆ’ ตามกรอบความคิดแบบเดิม อย่างไรก็ตาม ‘เกม’ ก็ยังดูเหมือนเป็นหลุมดำที่ดูดกลืนเวลาของผู้เล่น โดยเฉพาะในทัศนะของผู้ปกครอง และทำให้อาการที่เรียกว่า ‘Gaming Disorder’ ที่เป็นเส้นแบ่งบางๆ ระหว่างเล่นเป็นกีฬากับอาการ ‘ติดเกม’ โดยเฉพาะในเด็กที่ยังไม่บรรลุนิติภาวะและยังอยู่ในความดูแลของผู้ปกครอง ซึ่งยังเป็นปัญหาใหญ่ของธุรกิจเกมและร้านเกมที่จะต้องพัฒนารูปแบบเกมเชิงสร้างสรรค์ และสร้างค่านิยมใหม่ในการเล่นเกมให้เป็นมืออาชีพ มีความรับผิดชอบต่อเวลามากขึ้น แต่นั่นก็ยังเป็นเรื่องที่ ‘รอได้’ แต่สิ่งที่จะรีรอไม่ได้ คือ ผู้ประกอบการด้านธุรกิจเกม ผู้จัดการแข่งขันการเล่นเกม (E-Sport) ผู้ให้บริการเกมออนไลน์ หรือแม้แต่ ‘ร้านเกม’ ที่ปัจจุบันได้ปรับเปลี่ยนไปสู่การสร้าง ‘Community’…

แฟรนไชส์ (Franchise) หนึ่งในธุรกิจที่ได้รับความนิยมอย่างมากตลอดช่วงหลายปีที่ผ่านมา โดยความหมายของธุรกิจนี้สามารถอธิบายได้ว่าเป็นลักษณะ ‘เครือข่ายธุรกิจ’ ที่ต้องประกอบด้วย 3 สิ่ง คือ 1.สินค้าหรือบริการ (Product or Service) 2.เจ้าสิทธิหรือเจ้าของแบรนด์ เรียกว่า แฟรนไชส์ซอร์ (Franchisor) และ 3.ผู้รับสิทธิ์ในการดำเนินธุรกิจหรือวิทยาการต่างๆ จากเจ้าของสิทธิ เรียกว่า แฟรนไชส์ซี (Franchisee) ทั้งนี้จะเห็นว่าในปัจจุบัน แฟรนไชส์หนึ่งแบรนด์สามารถขยายสาขาได้เป็นสิบ หรือเป็นร้อย ๆ สาขา ซึ่งนั่นไม่เพียงบ่งบอกถึงจำนวนยอดขายและกิจการที่กำลังไปได้สวย แต่อีกมุมหนึ่งแฟรนไชส์หนึ่งแบรนด์ก็มีการจัดเก็บข้อมูลส่วนบุคคลไม่น้อยเลยเช่นกัน และเรื่องนี้ เจ้าของแฟรนไชส์จะต้องระมัดระวังเป็นพิเศษ เพราะภายใต้กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีหลายแง่มุมความเสี่ยงที่คนทำธุรกิจนี้จะต้องรู้และเตรียมความพร้อม เพราะปัจจุบัน กฎหมาย PDPA มีผลบังคับใช้แล้ว โดยในที่นี้ เราขอแยกส่วนในการดำเนินการตามกฎหมาย PDPA ของแฟรนไชส์ซอร์ และแฟรนไชส์ซี เนื่องจากบทบาทที่แตกต่างกัน ดังนี้   ‘ธุรกิจแฟรนไชส์’…

ภายใต้ข้อบังคับในกฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ทุกองค์กรล้วนต้องปรับตัวและปรับเปลี่ยน เพื่อให้การดำเนินการเก็บ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลสอดคล้องตามที่กฎหมายกำหนด ไม่เว้นแม้แต่แวดวงโซเชียลมีเดีย นักสื่อสารออนไลน์ และ Youtuber ที่จะต้องเข้าใจเรื่องเหล่านี้ เพราะปัจจุบันนี้ กฎหมาย PDPA มีผลบังคับใช้แล้ว ! ทั้งก่อนอื่นต้องทราบว่า บุคคล มีสิทธิที่ได้รับความคุ้มครองเป็นส่วนตัว ชื่อเสียง เกียรติยศตามกฎหมาย การละเมิดจึงเป็นความผิดทั้งทางแพ่ง และอาญา รวมทั้งตามข้อบัญญัติในกฎหมาย PDPA ยังมีโทษทางปกครองร่วมด้วย ดังนั้น ภาพนิ่ง ภาพเคลื่อนไหวของบุคคล แม้แต่ป้ายทะเบียนรถ หรือข้อมูลอื่นๆ ที่สามารถระบุถึงตัวบุคคลนั้นๆ ได้ ไม่ว่าจะทางตรงหรือทางอ้อม จึงเป็นสิ่งที่นักสื่อสารออนไลน์หรือ Youtuber จะต้องระมัดระวังในการทำงาน เพราะเสี่ยงต่อการทำผิดกฎหมาย และนำไปสู่การฟ้องร้องคดีละเมิดได้ง่ายมาก   ถ่ายคลิปวิดีโอ ภาพนิ่ง อย่างไร ถึงปลอดภัยจากกฎหมาย PDPA ? ภายใต้การทำงานของนักสื่อสารออนไลน์ หรือ…

ก่อนจะกล่าวถึงว่าใครต้องทำ RoPA หรือบันทึกรายการกิจกรรมการประมวลผลข้อมูล ผู้ประกอบการธุรกิจอาจต้องเข้าใจก่อนว่า กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดสถานะ และบทบาทหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ไว้แตกต่างกัน รวมทั้งกำหนดโทษทางปกครองที่แตกต่างกันในหลายข้อ ดังเช่นตัวอย่างนี้ • ผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตามมาตรา มาตรา 39 คือ ไม่จัดทำบันทึกรายการการจัดเก็บข้อมูลส่วนบุคคลตามรายการที่คณะกรรมการคุ้มครองข้อมูลกำหนด มีโทษทางปกครองปรับไม่เกิน 1 ล้านบาท • ผู้ประมวลผลข้อมูลส่วนบุคคลไม่ปฏิบัติตามมาตรา 40 โดยไม่มีเหตุอันควร คือ ไม่จัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด มีโทษทางปกครองปรับไม่เกิน 3 ล้านบาท งงละสิ !!! ไม่ทำบันทึกรายการกิจกรรมการประมวลผลข้อมูล หรือที่เรียกสั้นๆ ว่า RoPA (Record of Processing Activity) เหมือนกัน แต่บทลงโทษกลับแตกต่างกัน โดยเรื่องนี้เราต้องย้อนกลับไปดูข้อกฎหมายกันอีกซักรอบ กฎหมาย…

‘ธุรกิจแม่บ้าน’ บริการทำความสะอาดและฉีดพ่นฆ่าเชื้อโรคในลักษณะเหมาจ่าย ซึ่งปัจจุบันมีการพัฒนารูปแบบการให้บริการผ่านแพลตฟอร์มทั้งเว็บไซต์และแอปพลิเคชันต่างๆ ซึ่งทำให้เกิดความสะดวกและเข้าถึงผู้บริโภคได้ง่าย จึงเป็นธุรกิจที่ได้รับความนิยมอย่างมาก เนื่องจากสอดรับกับไลฟ์สไตล์คนเมืองยุคที่ไม่มีเวลาจัดการความสะอาดภายในบ้าน หรือสำนักงาน รวมทั้งช่วงที่มีการระบาดของเชื้อไวรัสโควิด-19 ยังพ่วงบริการฉีดพ่นฆ่าเชื้อโรคและบริการซ่อมบำรุงต่างๆ ไว้อย่างครบวงจร กระนั้น บริการดังกล่าวผู้ประกอบการธุรกิจแม่บ้านจะต้องมีการเก็บข้อมูลส่วนบุคคลของพนักงานหรือผู้สมัครงาน เช่น ชื่อ นามสกุล ที่อยู่ เบอร์โทร ภาพถ่ายเปิดเผยใบหน้า สำเนาบัตรประชาชน สำเนาทะเบียนบ้าน ประวัติการทำงาน/ฝึกอบรม บุคคลอ้างอิง และเอกสารตรวจสอบประวัติอาชญากรรม เนื่องจากเป็นมาตรการป้องกันความปลอดภัยของบริษัทในเบื้องต้นให้ลูกค้าเกิดความมั่นใจ และสะดวกใจในการให้บุคคลภายนอกเข้ามาปฏิบัติงานในที่อยู่อาศัยส่วนตัวหรือสำนักงาน แต่ภายใต้ กฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 บัญญัติให้ ‘ข้อมูลส่วนบุคคล’ ที่หมายถึง ข้อมูลใดก็ตามที่สามารถระบุตัวบุคคลทั้งตรงและทางอ้อมเป็นสิทธิที่ได้รับความคุ้มครอง ซึ่งการเก็บ ใช้หรือเปิดเผยจะต้องแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ในการจัดเก็บ ระยะเวลาในการเก็บ และต้องได้รับความยินยอมของเจ้าของข้อมูล รวมทั้งต้องมีมาตรการในการรักษาข้อมูลที่ปลอดภัยเหมาะสมกับความเสี่ยง โดยเฉพาะอย่างยิ่ง ‘ประวัติอาชญากรรม’ ที่เป็นข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) ซึ่งโดยหลักการของกฎหมาย PDPA คือ ‘ห้าม’ ไม่ให้เก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหวที่อาจจะส่งผลกระทบต่อร่างกายและจิตใจของบุคคลนั้น…

ย้อนกลับไปช่วงต้นปี 2565 (ปีที่แล้ว) มีข่าวใหญ่ ข่าวดัง เกี่ยวกับบริษัทด้านธุรกิจสื่อสารรายใหญ่ของไทยถูกโจรกรรมข้อมูลส่วนบุคคลของลูกค้า ซึ่งตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA จะต้องแจ้งเหตุละเมิดภายในไม่เกิน 72 ชั่วโมง นับตั้งแต่ทราบเหตุ ประเด็นนี้ อาจมองได้ว่าธุรกิจขนาดใหญ่ โดยเฉพาะ ‘บริษัทมหาชน’ ที่มีการเก็บ ประมวลผล หรือเปิดเผยข้อมูลลูกค้าจำนวนมาก กำลังตกเป็นเป้าโจมตีทางไซเบอร์ และจากสถิติการโจมตีทางไซเบอร์ในช่วงนับตั้งแต่มีสถานการณ์ COVID-19 มีอัตราการเพิ่มขึ้นเป็นตัวเลขที่น่าตกใจ อย่างไรก็ตาม บริษัทมหาชนยังมีอีกหลายประเด็นที่ ‘อ่อนไหว’ ไม่เฉพาะแค่เรื่อง Cyber Security ทำให้ช่วงเวลาที่ผ่านมาธุรกิจต่างๆ ได้มีการจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) รวมถึงมีการประกาศนโยบายคุ้มครองข้อมูลส่วนส่วนบุคคล (Privacy Notice) เพื่อปฏิบัติตามกฎหมาย PDPA และถึงแม้จะมีการดำเนินการในข้างต้น แต่ยังมีความเสี่ยงในอีกหลายด้านที่ข้อมูลส่วนบุคคลจะเกิด ‘การรั่วไหล’ อันนำไปสู่การ ‘ละเมิดสิทธิ’ ที่ไม่ใช่เฉพาะข้อมูลลูกค้า เพราะ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ระบุถึงสิทธิของทุกคนที่จะได้รับความคุ้มครองความเป็นส่วนตัว…