ดูกันที่สาระสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของทั่วโลก นัยหนึ่งเพื่อป้องปรามการทำธุรกิจที่มุ่งเน้นผลประโยชน์โดยใช้ ‘ข้อมูลส่วนบุคคล’ อย่างเกินขอบเขต และการคุ้มครองสิทธิของประชาชน ขณะที่อีกนัยหนึ่งจะเห็นว่าเป็นกติกาการค้ารูปแบบเดิม ๆ ที่ถูกเพิ่มเติมด้วยเงื่อนไขต่าง ๆ เพื่อสร้าง ‘มาตรฐานการค้ายุคใหม่’ และอาจมองว่ากฎหมายดังกล่าวเป็น ‘กติกาการค้า’ จึงหมายความว่าผู้ที่จะร่วมเล่นในตลาดเดียวกันจะต้องมีกติกาที่เหมือนกัน หรืออย่างน้อยต้องอยู่ในบรรทัดฐานเดียวกัน ดังเช่น กรณีระเบียบและหลักเกณฑ์การโอนข้อมูลส่วนบุคคลไปยังประเทศที่สาม หรือองค์กรระหว่างประเทศ ซึ่งเป็นหัวข้อที่มีการถกเถียงกันมากในสหภาพยุโรป รวมถึงเขตเศรษฐกิจยุโรป (นอร์เวย์ ไอซ์แลนด์ และลิกเตนสไตน์) ซึ่งมีประเด็นว่าการโอนข้อมูลส่วนบุคคลไปยังประเทศที่สาม อาทิ สหราชอาณาจักรซึ่งออกจากอียูไปแล้ว รวมทั้งสหรัฐอเมริกา และจีน ยังไม่มีบทสรุปและหลักเกณฑ์ที่ยังคลุมเครือเนื่องจากเป็นประเทศดังกล่าวไม่ได้อยู่ภายใต้ GDPR (General Data Protection Regulation) ของสหภาพยุโรป ทั้งการใช้กลไกของหน่วยงานและองค์กรอิสระต่างๆ ที่มีส่วนเกี่ยวข้องยังมีต้นทุนการดำเนินการที่สูงและเสียเวลา ด้วยเหตุนี้ การโอนข้อมูลส่วนบุคคลไปต่างประเทศดังกล่าวจะต้องดูที่มาตรฐานการคุ้มครองข้อมูลฯ ที่ ‘เพียงพอ’ ของประเทศปลายทาง และคำวินิจฉัยตามหลักเกณฑ์ของหน่วยงานของสหภาพยุโรปที่รับผิดชอบในการบังคับใช้กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค หรือ European Data Protection Board (EDPB) ซึ่งเรื่องนี้เป็นอุปสรรคทางการค้าที่เกิดขึ้นกับประเทศที่ทำการติดต่อการค้ากับประเทศในสหภาพยุโรป…

เราทราบดีว่า การสื่อสารเป็นส่วนสำคัญของธุรกิจ ทั้งเราปฏิเสธไม่ได้ว่า แพลตฟอร์ม ‘LINE’ ได้กลายเป็นส่วนในชีวิตประจำวันของผู้คนในปัจจุบัน และกว่า 47 ล้านบัญชีในประเทศไทยใช้ LINE ในการสื่อสาร ด้วยคุณสมบัติที่ง่าย สะดวก และรวดเร็วจึงทำให้แอปพลิเคชันส่งข้อความโต้ตอบแบบสองทาง ได้พัฒนาสู่การสื่อสารที่สามารถสร้าง Community หรือการโต้ตอบแบบกลุ่ม ซึ่งเชื่อว่าคงคุ้นเคยกับ ‘LINE Group’ ที่องค์กรธุรกิจต่างนำมาใช้ในการสื่อสารภายในองค์กร หรือระหว่างองค์กรจนกลายวัฒนธรรมการสื่อสารใหม่ (หรือความเคยชิน) ที่สังคมการทำงานในไทยยอมรับว่าสิ่งเหล่านี้เป็นเรื่องปกติธรรมดาฃ ใคร ๆ ก็ใช้กัน ! .. แต่กระนั้นควรทราบว่า การสื่อสารผ่านไลน์ขององค์กรอาจละเมิดของมูลส่วนบุคคลตามบทบัญญัติของกฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ได้ง่ายมาก ที่สำคัญกว่านั้น คือรูปแบบการสื่อสารดังกล่าวยังมีความ ‘อ่อนไหว’ ในด้านความปลอดภัยของข้อมูลส่วนบุคคลที่ละเอียดอ่อน ทั้งยังเป็นภัยคุกคามที่ ‘แฝงเร้น’ ซึ่งธุรกิจจะต้องทราบและมีมาตรการในการคุ้มครองข้อมูลก่อนที่ทุกอย่างจะสายเกินแก้     ใช้ ‘LINE’ ขององค์กรธุรกิจผิดกฎหมาย PDPA ในลักษณะใด?…

ยุค New Normal การประชุมออนไลน์ขององค์กรธุรกิจถือเป็นเรื่องปกติที่หลายคนคุ้นชิน แถมยังประหยัดเงิน ประหยัดเวลา ในการจัดประชุมและการเดินทางไปร่วมประชุม ทั้งยังลดความจำเจในการการนั่งร่วมกันในห้องประชุมกับโต๊ะตัวยาว ๆ ที่ดูคร่ำครึและเคร่งเครียด แต่ขณะเดียวกัน ความปลอดภัยทางไซเบอร์และการมีมาตรการป้องกันข้อมูลส่วนบุคคลกลับเป็นสิ่งที่องค์กรธุรกิจที่มีการจัดประชุมอย่างสม่ำเสมอยังละเลย ทั้งทราบหรือไม่ว่า ? ประชุมออนไลน์อาจเข้าข่ายละเมิดกฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ในหลายแง่มุม โดยในที่นี้เราหยิบยกกรณีศึกษาที่เคยเกิดขึ้นขององค์กรธุรกิจต่างๆ ซึ่งมีการจัดประชุมออนไลน์ ทั้งการประชุมภายใน ประชุมร่วมกับคู่ค้า/คู่สัญญา หรือประชุมกับลูกค้า และอาจจะประกอบด้วยบุคลากรหลาย ๆ ฝ่ายที่เกี่ยวข้องเข้าร่วมประชุม และจุดเริ่มต้นของการละเมิดก็จะเกิดขึ้นตรงส่วนนี้   6 กรณีที่การประชุมออนไลน์อาจละเมิดกฎหมาย PDPA 1. จัดประชุมลวงเพื่อขโมยข้อมูลส่วนตัว : ยกตัวอย่างจากกรณีล่าสุดของ Zoom แพลตฟอร์มผู้ให้บริการการประชุมเสมือนจริง ซึ่งก่อนนี้ได้มีการเปิดเผยข้อมูลว่า มีข้อมูลส่วนบุคคลลูกค้ารั่วไหลเนื่องจากถูกแฮกเกอร์ล้วงข้อมูล และได้ปลอมแปลงอีเมล์เชิญประชุมออนไลน์ และเมื่อผู้ใช้งานหลงเชื่อทำการเข้าสู่ระบบ แฮกเกอร์จะสามารถขโมยข้อมูลล็อกอินการเข้าสู่ระบบได้ทันที ทั้งมีข้อมูลเพิ่มเติมอีกว่า ในเว็บมืด (Dark Web) มีการขายข้อมูล เช่น ข้อมูลอีเมล…

สิทธิในการยกเลิกได้ทุกเวลา.. ผลกระทบในเชิงลบ และ ‘ความเสี่ยง’ ที่ธุรกิจต้องทำความเข้าใจเรื่องนี้อย่างละเอียดก่อนจัดทำสัญญา ทำแผนการตลาด หรือจัดโปรโมชันส่งเสริมการขายเพื่อการเก็บข้อมูลส่วนบุคคลของลูกค้าในครั้งต่อไป แต่ก่อนอื่นเราอยากยกตัวอย่างกรณีที่เคยเกิดขึ้นในการทำสัญญาธุรกรรมต่าง ๆ รวมถึงการตลาด และส่งเสริมการขายระหว่างผู้ให้บริการกับลูกค้าผู้ใช้บริการเสียก่อนว่าเป็นไปในลักษณะใดบ้าง เช่น – การให้ข้อมูลเพื่อทำบัตรเครดิตที่ผ่านมาจะเห็นว่ามี ‘แอบ’ ให้เซ็นยินยอมในการขายประกันหรือบริการอื่นพ่วงมาด้วย และโดยมากก็ยอมเซ็นเนื่องจากมองว่าเป็นเงื่อนไขของผู้ให้บริการ – การจัดโปรโมชันของแบรนด์สินค้าหรือบริการ อาทิ กิจกรรมการลด แลก แจก แถม ที่มักขอเก็บข้อมูลข้อมูลส่วนบุคคลของลูกค้ากลุ่มเป้าหมายเพื่อแลกกับของสมนาคุณหรือส่วนลดที่มักจะ ‘แอบ’ มีเงื่อนไขอื่น ๆ ที่นอกเหนือจากกิจกรรมหลักซึ่งผู้ใช้บริการบางครั้งก็ไม่ทราบ – การสมัครสมาชิกเพื่อเข้าใช้บริการหรือรับสิทธิพิเศษ มักจะมีเงื่อนไขอื่นที่ระบุไว้เป็นเครื่องหมายดอกจัน ‘ตัวเล็กๆ และยาวมาก’ เพื่อประลองขันติและความอดทนในการอ่านเงื่อนไขเหล่านั้นของผู้สมัคร จนในที่สุดก็อาจจะแค่อ่านผ่าน ๆ – บริการอินเทอร์เน็ตและหมายเลขโทรศัพท์มือถือที่มักจะนำข้อมูลการติดต่อของลูกค้า ไป ‘ขายพ่วง’ บริการอื่น ๆ ที่นอกเหนือจากสัญญาการให้บริการเดิม – การขอข้อมูลติดต่อทางออนไลน์ เช่น อีเมล ID LINE…

การตลาด (Marketing) หรือกิจกรรมต่าง ๆ ของธุรกิจที่ทำให้เกิดการนำเสนอสินค้าหรือบริการไปสู่ผู้บริโภคทั่วไป ขณะที่ การส่งเสริมการขาย (Promotion) คือกิจกรรมที่นอกเหนือจากการตลาดแบบทั่วไป และมีลักษณะเป็นครั้งคราวเพื่อการกระตุ้นให้เกิดความสนใจสินค้าหรือบริการนั้น ๆ จึงกล่าวได้ว่าแม้สองสิ่งนี้จำเป็นต้องทำควบคู่กันแต่โดยเนื้อหาของกิจกรรมย่อมแตกต่างกัน ทว่าภายใต้การบังคับใช้กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นสิ่งที่การตลาดและส่งเสริมการขายจะต้องปฏิบัติเหมือนกัน คือ ความถูกต้องและสอดคล้องกับข้อบังคับของกฎหมายคุ้มครองข้อมูลส่วนบุคคล ดังนั้น กิจกรรมด้านการตลาด อาทิ การโฆษณา ประชาสัมพันธ์ การขายแบบตรง ทั้งรูปแบบออนไลน์และออฟไลน์ ตลอดจนกิจกรรมส่งเสริมการขายในรูปแบบ ลด แลก แจก แถม ซึ่งได้มีการเก็บ รวบรวมใช้ หรือเปิดเผย ‘ข้อมูลส่วนบุคคล’ จะต้องเข้าใจพื้นฐานของกฎหมาย PDPA ทั้งบริษัทจะต้องดำเนินการให้สอดคล้องตามข้อบังคับของกฎหมาย ดังนี้ • สร้างนโยบายความเป็นส่วนตัว (Privacy Policy) และประกาศความเป็นส่วนตัว (Policy Notice) • ในกรณีมีเว็บไซต์ที่จัดเก็บข้อมูลคุกกี้ต้องทำ Cookie Policy…

เพียงแค่คิดจะซื้อ ทำไมผู้ขายถึงรู้ความต้องการของเราได้อย่างรวดเร็ว? รู้ได้อย่างไรว่าเราชอบสีไหน เราป่วยตอนไหน เราอยากแต่งตัวไปเที่ยวที่ไหน หรือเราชอบอะไร คำตอบนั้นง่ายมาก เพราะนี่คือยุคแห่ง ‘Data-Driven’ หรือธุรกิจที่ขับเคลื่อนโดยข้อมูล ดังนั้นแบรนด์ที่มีการใช้ประโยชน์จาก ‘Big Data’ ซึ่งเป็นการรวบรวมข้อมูลของบุคคลจำนวนมากและนำมาแยกแยะ วิเคราะห์ และประมวลผลให้เกิดผลลัพธ์ที่ต้องการ จึงอย่าแปลกใจหากแบรนด์หรือผู้ผลิตสินค้าและบริการต่างๆ จะเข้าใจตัวคุณมากกว่าเพื่อนสนิทของคุณซะอีก ! อย่างไรก็ตาม มีคำถามสำคัญที่หลายท่านยังคงกังขา เนื่องจากการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล (กฎหมาย PDPA) หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 การทำ Big Data ภายใต้เงื่อนไขของ PDPA จะต้องดำเนินการอย่างไร และการเก็บข้อมูลส่วนบุคคลของธุรกิจต่างๆ จะต้องทำอย่างไรบ้างเพื่อให้สอดคล้องตามข้อบังคับของกฎหมาย ซึ่งก่อนอื่นอาจจะต้องเข้าใจพื้นฐานของ ‘ข้อจำกัด’ หรือมาตรฐานใหม่ของการทำ Big Data ในปัจจุบันเสียก่อน   ‘ข้อมูล’ เป็นทรัพยากรที่มีค่าสำหรับทุกองค์กรจริงๆ หรือ ? จริงแท้แน่นอน!…แต่ต้องอยู่บนพื้นฐานของการ ‘ยืมมาใช้’ อย่างเหมาะสมตามความจำเป็น และปลอดภัย…

การยืนยันตัวตนด้วยวิธีสแกนใบหน้า สแกนม่านตา หรือลายนิ้วมือในปัจจุบัน อาจไม่ใช่เรื่องแปลกใหม่แต่อย่างใด แต่สิ่งหนึ่งที่ผู้ประกอบธุรกิจควรจะทราบด้วยว่า ไบโอเมตริกซ์ (Biometrics) คือ ข้อมูลทางสรีรวิทยาที่เป็นอัตลักษณ์เฉพาะทางกายภาพของบุคคลนั้นๆ เป็น ‘ข้อมูลส่วนบุคคลอ่อนไหว’ (Sensitive Data) ซึ่งกฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 บัญญัติไว้ว่า ห้ามไม่ให้เก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล และการเก็บใช้จะต้องอยู่บนพื้นฐานของความจำเป็นและมาตรการป้องการการรั่วไหลของข้อมูลส่วนบุคคลอย่างเหมาะสมกับความเสี่ยง   ข้อมูล Biometrics คืออะไร และใช้ทำอะไรได้บ้าง ไบโอเมตริกซ์ (Biometrics) ภาษาไทยบัญญัติคำว่า ‘ข้อมูลชีวภาพ’ หรือบางแห่งเรียก ‘ข้อมูลชีวมาตร’ ก็คือข้อมูลเฉพาะที่สามารถยืนยันตัวบุคคลนั้น เป็นลักษณะพิเศษที่แต่ละคนมีไม่เหมือนกัน ด้วยเหตุนี้จึงไม่ได้จำกัดเฉพาะใบหน้า ม่านตา ลายนิ้วมือ แต่ยังรวมไปถึง เสียงพูด แผลเป็น ดีเอ็นเอ และลายเซ็น ขณะที่บัญญัติในกฎหมาย PDPA ระบุถึงคำว่า ‘ข้อมูลชีวภาพ’ หมายถึงข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคนิคหรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพ หรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น…

‘เด็กกับเกม’ อาจจะไม่ใช่การจับคู่ที่ถูกต้องนัก เนื่องจากในปัจจุบันผู้คนส่วนใหญ่รู้จักคำว่า ‘E-Sport’ มากขึ้น ทั้งตระหนักได้ถึงรายได้ที่เกิดจากอุตสาหกรรมและผู้พัฒนาเกม รวมถึงอาชีพ ‘เกมเมอร์’ ได้ทำให้สังคมได้ทราบว่า ในปัจจุบันมีการหารายได้จากกิจกรรมการเล่นเกมมากมาย เช่น สตรีมเมอร์ (Streamer) เกมแคสเตอร์ (Game Caster) และนักกีฬาอีสปอร์ต (E-sports Player) เป็นต้น ทั้งอายุผู้เล่นก็อาจจะไม่ใช่ ‘เด็ก ๆ’ ตามกรอบความคิดแบบเดิม อย่างไรก็ตาม ‘เกม’ ก็ยังดูเหมือนเป็นหลุมดำที่ดูดกลืนเวลาของผู้เล่น โดยเฉพาะในทัศนะของผู้ปกครอง และทำให้อาการที่เรียกว่า ‘Gaming Disorder’ ที่เป็นเส้นแบ่งบางๆ ระหว่างเล่นเป็นกีฬากับอาการ ‘ติดเกม’ โดยเฉพาะในเด็กที่ยังไม่บรรลุนิติภาวะและยังอยู่ในความดูแลของผู้ปกครอง ซึ่งยังเป็นปัญหาใหญ่ของธุรกิจเกมและร้านเกมที่จะต้องพัฒนารูปแบบเกมเชิงสร้างสรรค์ และสร้างค่านิยมใหม่ในการเล่นเกมให้เป็นมืออาชีพ มีความรับผิดชอบต่อเวลามากขึ้น แต่นั่นก็ยังเป็นเรื่องที่ ‘รอได้’ แต่สิ่งที่จะรีรอไม่ได้ คือ ผู้ประกอบการด้านธุรกิจเกม ผู้จัดการแข่งขันการเล่นเกม (E-Sport) ผู้ให้บริการเกมออนไลน์ หรือแม้แต่ ‘ร้านเกม’ ที่ปัจจุบันได้ปรับเปลี่ยนไปสู่การสร้าง ‘Community’…

แฟรนไชส์ (Franchise) หนึ่งในธุรกิจที่ได้รับความนิยมอย่างมากตลอดช่วงหลายปีที่ผ่านมา โดยความหมายของธุรกิจนี้สามารถอธิบายได้ว่าเป็นลักษณะ ‘เครือข่ายธุรกิจ’ ที่ต้องประกอบด้วย 3 สิ่ง คือ 1.สินค้าหรือบริการ (Product or Service) 2.เจ้าสิทธิหรือเจ้าของแบรนด์ เรียกว่า แฟรนไชส์ซอร์ (Franchisor) และ 3.ผู้รับสิทธิ์ในการดำเนินธุรกิจหรือวิทยาการต่างๆ จากเจ้าของสิทธิ เรียกว่า แฟรนไชส์ซี (Franchisee) ทั้งนี้จะเห็นว่าในปัจจุบัน แฟรนไชส์หนึ่งแบรนด์สามารถขยายสาขาได้เป็นสิบ หรือเป็นร้อย ๆ สาขา ซึ่งนั่นไม่เพียงบ่งบอกถึงจำนวนยอดขายและกิจการที่กำลังไปได้สวย แต่อีกมุมหนึ่งแฟรนไชส์หนึ่งแบรนด์ก็มีการจัดเก็บข้อมูลส่วนบุคคลไม่น้อยเลยเช่นกัน และเรื่องนี้ เจ้าของแฟรนไชส์จะต้องระมัดระวังเป็นพิเศษ เพราะภายใต้กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีหลายแง่มุมความเสี่ยงที่คนทำธุรกิจนี้จะต้องรู้และเตรียมความพร้อม เพราะปัจจุบัน กฎหมาย PDPA มีผลบังคับใช้แล้ว โดยในที่นี้ เราขอแยกส่วนในการดำเนินการตามกฎหมาย PDPA ของแฟรนไชส์ซอร์ และแฟรนไชส์ซี เนื่องจากบทบาทที่แตกต่างกัน ดังนี้   ‘ธุรกิจแฟรนไชส์’…

ภายใต้ข้อบังคับในกฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ทุกองค์กรล้วนต้องปรับตัวและปรับเปลี่ยน เพื่อให้การดำเนินการเก็บ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลสอดคล้องตามที่กฎหมายกำหนด ไม่เว้นแม้แต่แวดวงโซเชียลมีเดีย นักสื่อสารออนไลน์ และ Youtuber ที่จะต้องเข้าใจเรื่องเหล่านี้ เพราะปัจจุบันนี้ กฎหมาย PDPA มีผลบังคับใช้แล้ว ! ทั้งก่อนอื่นต้องทราบว่า บุคคล มีสิทธิที่ได้รับความคุ้มครองเป็นส่วนตัว ชื่อเสียง เกียรติยศตามกฎหมาย การละเมิดจึงเป็นความผิดทั้งทางแพ่ง และอาญา รวมทั้งตามข้อบัญญัติในกฎหมาย PDPA ยังมีโทษทางปกครองร่วมด้วย ดังนั้น ภาพนิ่ง ภาพเคลื่อนไหวของบุคคล แม้แต่ป้ายทะเบียนรถ หรือข้อมูลอื่นๆ ที่สามารถระบุถึงตัวบุคคลนั้นๆ ได้ ไม่ว่าจะทางตรงหรือทางอ้อม จึงเป็นสิ่งที่นักสื่อสารออนไลน์หรือ Youtuber จะต้องระมัดระวังในการทำงาน เพราะเสี่ยงต่อการทำผิดกฎหมาย และนำไปสู่การฟ้องร้องคดีละเมิดได้ง่ายมาก   ถ่ายคลิปวิดีโอ ภาพนิ่ง อย่างไร ถึงปลอดภัยจากกฎหมาย PDPA ? ภายใต้การทำงานของนักสื่อสารออนไลน์ หรือ…