การใช้ Sale Page (เซลเพจ) ภายใต้ PDPA ไม่รู้! ระวังผิดกฎหมาย

13 พฤษภาคม 2565 แชร์ :

รับทำ sale pageการใช้ Sale Page (เซลเพจ) ภายใต้ PDPA  ไม่รู้! ระวังผิดกฎหมาย


การใช้ Sale Page (เซลเพจ) ภายใต้ PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ถือเป็นเรื่องใหม่ที่เจ้าของเซลเพจทั้งหลายควรจะให้ความสนใจ เพราะที่ผ่านมาเราใช้ Sale Page (เซลเพจ) นอกเหนือจากการปิดการขายแล้ว ตัวSale Page (เซลเพจ) ยังสามารถติด Tracking ต่างๆเพื่อเก็บพฤติกรรมของผู้ชมเข้าหน้าเพจและลูกค้าได้ด้วย โดยไม่รู้ตัวเจ้าของเซลเพจก็มีข้อมูลของบุคคลเหล่านั้นอยู่ในมือแล้ว แต่จากนี้ภายหลังการประกาศบังคับใช้ กฎหมาย PDPA การจะจัดเก็บหรือนำข้อมูลนั้นไปใช้ทำการตลาดเหมือนเช่นเดิม อาจจะกลายเป็นการละเมิดข้อมูลส่วนบุคคล และโทษทางกฎหมายได้

ฉะนั้นแล้วเจ้าของเซลเพจจะทำอย่างไร เพื่อหลีกเลี่ยงการทำผิดกฎหมาย และยังคงได้ข้อมูลเพื่อทำการตลาดต่อไป ในบทความนี้เราจะมาช่วยสร้างความเข้าใจ ในการใช้ Sale Page (เซลเพจ) ภายใต้ PDPA พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ให้มากยิ่งขึ้น

Sale Page (เซลเพจ) ภายใต้ PDPA คืออะไรก่อนอื่นเราต้องทำความเข้าใจกับกฎหมายฉบับนี้ก่อน PDPA ย่อมาจาก Personal Data Protection Act เป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งจะมีผลบังคับใช้อย่างเต็มรูปแบบในวันที่ 1 มิถุนายน 2565 เป็นต้นไป เพื่อป้องกันการนำข้อมูลไปใช้หรือเอาไปเปิดเผยโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล

ต้องยอมรับว่าปัจจุบันเจ้าของธุรกิจออนไลน์หรือนักการตลาดมักเก็บหรือเข้าถึงข้อมูลส่วนบุคคล (Personal Data) ของลูกค้าหรือผู้ใช้งานได้หลากหลายช่องทาง ไม่ว่าจะเป็นการเก็บข้อมูลส่วนบุคคลจากการสมัครสมาชิกบนเว็บไซต์ การทำธุรกรรมผ่าน Mobile-Banking การขอเข้าถึงตำแหน่งที่ตั้งและ GPS บนมือถือ หรือแม้แต่การเก็บคุกกี้จากการใช้บริการเว็บไซต์ต่าง ๆ

จึงเป็นที่มาของกฎหมาย PDPA (Personal Data Protection Act) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เพื่อให้บริษัท พนักงาน หรือผู้ที่เกี่ยวข้องตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัยมากขึ้น โดยมีข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของ PDPA แบ่งเป็นสองประเภท ได้แก่

ข้อมูลส่วนบุคคลทั่วไป

> ชื่อ-นามสกุล

> เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน

> เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่
> ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์
> ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน
> วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง
> ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password, Cookies IP address, GPS Location

ทั้งนี้ข้อมูลที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้ เช่น ข้อมูลบริษัท จะไม่ถือว่า เป็นไม่ใช่ข้อมูลส่วนบุคคล และไม่อยู่ภายใต้กฎหมาย​ PDPA ด้วย

ข้อมูลส่วนบุคคลที่มีความอ่อนไหว

ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) เป็นข้อมูลที่มีความละเอียดอ่อนและอาจส่งผลกระทบต่อเจ้าของข้อมูล ทั้งในแง่ของการทำงาน สังคม และชีวิตความเป็นอยู่ โดยเฉพาะอาจนำไปสู่การเลือกปฏิบัติได้ PDPA จึงกำหนดโทษที่หนักขึ้นหากใช้ข้อมูลนั้นไม่ถูกต้อง ซึ่งอาจเป็นถึงโทษทางอาญากรรมต้องจำคุกเลยทีเดียว เช่น

> เชื้อชาติ เผ่าพันธุ์
> ความคิดเห็นทางการเมือง
> ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
> พฤติกรรมทางเพศ
> ประวัติอาชญากรรม
> ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
> ข้อมูลสหภาพแรงงาน
> ข้อมูลพันธุกรรม
> ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

ผู้ที่มีหน้าที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตามกฎหมาย PDPA

 1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)

เจ้าของข้อมูลส่วนบุคคล หรือ Data Subject ก็คือคนที่เป็นเจ้าของข้อมูลส่วนบุคคลชุดนั้นๆ จะชี้มาที่ตัวตนของบุคคลนั้นได้ ซึ่งก็คือลูกค้าหรือผู้ที่เข้ามาชมเซลเพจ (Sale Page) ภายใต้ PDPA เจ้าของข้อมูลเป็นผู้ได้รับการปกป้องคุ้มครองและมีสิทธิต่าง ๆ เหนือข้อมูลส่วนบุคคลของตน

2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

ผู้ควบคุมข้อมูลส่วนบุคคล หรือ Data Controller คือคน บริษัทหรือองค์กรต่าง ๆ ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร อย่างไร ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน พ่อค้าแม่ค้าออนไลน์หรือเจ้าของเซลเพจ (Sale Page) ที่รับข้อมูลจัดส่งสินค้าของลูกค้าที่ซื้อของมาเพื่อติดต่อส่งของก็เป็น ผู้ควบคุมข้อมูลส่วนบุคคล

3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

ผู้ประมวลผลข้อมูลส่วนบุคคล หรือ Data Processor คือ คนที่บริษัทหรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง ตัวอย่างเช่น พี่ๆ ขนส่ง ที่ใช้ข้อมูลส่วนบุคคลของคนที่เราต้องการส่งของให้เพื่อเอาของไปส่งแทนเรา กรณีนี้พี่ๆ ก็เป็น ผู้ประมวลผลข้อมูลส่วนบุคคล หรือกรณีบริษัทใช้ ระบบ Cloud Service ซึ่งผู้ให้บริการจะเก็บข้อมูลแทนบริษัท ผู้ให้บริการ Cloud ก็เป็นผู้ประมวลผลข้อมูลส่วนบุคคล

โทษของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA)


สำหรับเจ้าของเซลเพจที่ยังไม่ได้ปฏิบัติหน้าที่ของตนให้ครบถ้วนตาม PDPA แนะนำว่าให้รีบดำเนินการโดยด่วน! เพราะในเร็ววันนี้ กฎหมาย PDPA จะมีผลบังคับใช้แล้ว พร้อมกับโทษปรับมหาศาลและโทษอื่นๆ อีกมากมาย ไม่ว่าจะโทษทาง แพ่ง ซึ่งผู้ได้รับความเสียหายได้เงินค่าเสียหายกลับบ้าน พร้อมกับที่อาจได้โบนัสจากศาลเป็นค่าเสียหายเชิงลงโทษ หรือโทษทางอาญา ที่อาจนำไปสู่โทษปรับ และอาจต้องติดคุก โทษของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) สามารถแบ่งเป็น 3 ประเภท ดังนี้

โทษทางอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
โทษทางแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า
โทษทางปกครอง: ปรับไม่เกิน 1/3/5 ล้านบาท

3 ขั้นตอนในการทำ Sale Page (เซลเพจ) ภายใต้ PDPA ที่ต้องรู้


เมื่ออ่านมาถึงตรงนี้แล้วหลายท่านอาจจะเริ่มมีความกังวล แต่อย่าเพิ่งหมดหวัง! เพราะการใช้ เซลเพจ (Sale Page) ภายใต้ PDPA เรายังสามารถเก็บข้อมูลส่วนบุคคลเหล่านี้ได้ตามปกติอยู่ เพียงแต่ต้องปรับให้มีการเก็บเท่าที่จำเป็น และต้องแจ้งรายละเอียดในการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล ให้เจ้าของข้อมูลทราบ และในบางกรณีอาจต้องมีการขอความยินยอมด้วย จึงจะถือว่าไม่ผิดหลัก PDPA

ขั้นตอน 1: การเตรียมความพร้อมของคนให้เข้าใจ PDPA

PDPA เป็นกฎหมายใหม่ที่จะมีผลสำคัญกับการใช้ข้อมูลส่วนบุคคของภาคธุรกิจต่อไป แต่หากทุกคนเปิดใจและทำความเข้าใจ ก็ไม่ใช่กฎหมายที่ยากเกินไป ขั้นตอนที่สำคัญขั้นตอนแรกในการเตรียมตัวสำหรับ PDPA จึงเป็นการเตรียมความพร้อมของคนในองค์กรเพื่อเข้าใจภาพรวม หน้าที่และขั้นตอนที่ต้องดำเนินการ

ขั้นตอน 2: เข้าใจความจำเป็นการประมวลผลข้อมูลส่วนบุคคลและแจ้งการประมวลผล ให้ถูกวิธี

หากผู้ควบคุมข้อมูลส่วนบุคคลต้องการเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล PDPA กำหนดหน้าที่หลักว่าผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งเจ้าของข้อมูลให้ทราบว่า จะเก็บ ใช้้ข้อมูลส่วนบุคคลใดบ้าง เพื่อประโยชน์อะไร นานเท่าไหร่ จะมีการส่งต่อเปิดเผยข้อมูลส่วนบุคคลนั้นให้ใครบ้าง จะรักษาความปลอดภัยข้อมูลเหล่านี้อย่างไร และรับประกันสิทธิการเป็นเจ้าของข้อมูลของบุคคลทั่วไปยังไง โดยต้องดำเนินการแจ้งข้อมูลทั้งหมดในเอกสารที่เรียกว่า Privacy Policy หรือ นโยบายความเป็นส่วนตัว นั่นเอง

ข้อมูลสำคัญที่ต้องระบุใน Privacy Policy

> จะมีใช้ข้อมูลส่วนบุคคลไหนบ้าง จากแหล่งไหนบ้าง?
> มีความจำเป็นในการใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อะไร?
> จะจัดเก็บข้อมูลส่วนบุคคลนานเท่าไหร่?
> จะส่งต่อหรือเผยแพร่ข้อมูลส่วนบุคคลนั้นให้ใครบ้าง?
> จะมีวิธีในการรักษาความปลอดภัยข้อมูลส่วนบุคคลอย่างไร?
> สิทธิในข้อมูลส่วนบุคคลของเจ้าของข้อมูลมีอะไรบ้าง และในกรณีที่ต้องการใช้สิทธิ เช่น ลบข้อมูล ต้องติดต่อใคร?

การเก็บข้อมูลส่วนบุคคลโดยใช้ Cookies

อีกประเภทของข้อมูลส่วนบุคคลที่มีการเก็บสำหรับการให้บริการ Sale Page (เซลเพจ) ภายใต้ PDPA คือ Cookies หรือเครื่องมือในการจัดเก็บข้อมูล เพื่อช่วยให้การใช้งานบนเว็บไซต์มีประสิทธิภาพมากขึ้นถือเป็นข้อมูลส่วนบุคคล ซึ่งถ้าหากคุณมี Cookies ติดตั้งในหน้าเว็บไซต์ เพื่อทำการเก็บข้อมูลส่วนบุคคลโดยเฉพาะพฤติกรรมของผู้ใช้งาน คุณต้องแจ้ง และขอความยินยอมจากผู้ใช้งานก่อน

ขั้นตอน 3: การรักษาความปลอดภัยของข้อมูลส่วนบุคคล

นอกจากการจัดทำ Privacy Policy แล้วเมื่อมีการเก็บรักษาข้อมูลส่วนบุคคลของบุคคลใด ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่รักษาความปลอดภัยของข้อมูล ไม่ใช่แค่ความลับ แต่ต้องรวมถึง ความถูกต้องและความพร้อมของข้อมูลส่วนบุคคลที่ตนใช้ 

สำหรับมาตรฐานในการรักษาความปลอดภัยของข้อมูลขั้นต่ำ ประกอบด้วย 3 ส่วนหลักคือ (1) การฝึกอบรมสร้างความเข้าใจคน (2) การจัดทำ Access Control & Logging เพื่อการตรวจสอบคนที่เข้าถึงข้อมูล และ (3) มาตรการ IT Security อื่น ๆ เช่น firewall / encryption โดยกฎหมายไม่ได้กำหนดชัดเจนว่าต้องทำระดับไหน ขึ้นกับความเสี่ยงของข้อมูลส่วนบุคคลที่ประมวลผลเป็นหลัก

นอกจากการทำมาตรการรักษาความมั่นคงปลอดภัยแล้วผู้ควบคุมข้อมูลส่วนบุคคลต้องเตรียม กลไกรับมือเหตุการณ์เกี่ยวกับข้อมูลส่วนบุคคลหลัก คือ (1) การเกิดเหตุละเมิดข้อมูลส่วน บุคคล (Data Breach) ไม่ว่าจะจาการโดน ransomware หรือการทำข้อมูลหลุดรั่วไหล ซึ่ง ผู้ควบคุมข้อมูลส่วนบุคคล ต้องเร้งแก้ไข รวมถึงรายงานเหตุการณ์ในเวลาที่กำหนด และ (2) การใช้สิทธิของเจ้าของข้อมูลที่อาจใช้ได้ตลอดเวลา และผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการเพื่อตอบรับหรือปฏิเสธให้เหมาะสมSale Page (เซลเพจ) ภายใต้ PDPA

ปัจจุบันธุรกิจออนไลน์หันมาใช้เซลเพจเพื่อปิดการขายมากขึ้น ด้วยคุณสมบัติที่สามารถใส่ข้อมูลเกี่ยวกับสินค้าได้ ทั้งรูปภาพ วิดีโอ รีวิว โปรโมชัน ใช้ทำ โฆษณาสินค้า ไปจนถึงปิดการขาย ในหน้าเดียว โดยอาจจะมีการทำฟอร์มไว้สำหรับกรอกเพื่อให้ได้มาซึ่งข้อมูลของลูกค้า หรือมีปุ่มที่ช่วยกระตุ้นให้ลูกค้าสั่งซื้อ หรือลงทะเบียน หรือกระทำบางอย่างตามวัตถุประสงค์ของเซลเพจแล้ว นอกจากนี้ตัวเซลเพจยังสามารถติด Tracking เชื่อมกับแพลตฟอร์มโซเชียลมีเดียต่างๆ อย่าง Facebook, Line, TikTok, Google, Instagram เพื่อนำไปวิเคราะห์ วางแผนการตลาด และยิงโฆษณาได้อย่างแม่นยำมากยิ่งขึ้น

ดังนั้นเมื่อเซลเพจมีการเก็บข้อมูลของลูกค้าและผู้ใช้งาน จึงเข้าข่ายต้องปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ด้วยเช่นกัน Fastcommerz ผู้ให้บริการเซลเพจอันดับหนึ่ง เจ้าแรกของไทย มีฟีเจอร์ Privacy Policy หรือ นโยบายความเป็นส่วนตัว รองรับกฎหมาย PDPA สำหรับเซลเพจ (Sale Page) ที่จดโดเมน เนม (Domain Name) ด้วยอ่านรายละเอียดเกี่ยวกับ เซลเพจ (Sale Page) ได้ที่นี่
https://fastcommerz.com

สรุป


การใช้งาน Sale Page (เซลเพจ) ภายใต้ PDPA นอกจากการแจ้ง Privacy Policy แล้ว เจ้าของเซลเพจ จำเป็นต้องขอความยินยอม (Consent) จากกลุ่มลูกค้าเป้าหมายก่อนจึงจะสามารถส่งข้อความไปติดต่อประชาสัมพันธ์ต่างๆ ยังคนกลุ่มดังกล่าวได้ ไม่ว่าจะเป็นการติดต่อสื่อสารผ่านช่องทาง SMS , e-mail เป็นต้น โดยการขอความยินยอมนั้น เจ้าของข้อมูลมีอิสระที่จะให้หรือไม่ให้ความยินยอมก็ได้ และเจ้าของข้อมูลอาจถอนความยินยอมเมื่อไหร่ก็ได้ และเมื่อเจ้าของข้อมูลถอนความยินยอม การส่งข้อมูลการตลาดต้องหยุดในทันที

อย่างไรก็ตามแม้กฎหมาย PDPA นี้จะเป็นเรื่องใหญ่และเรื่องใหม่สำหรับประเทศไทย ถ้าทุกฝ่ายทำความเข้าใจในข้อกฎหมายนี้ได้ ก็ไม่ใช่เรื่องยากจนเกินไป เพราะทุกคนต้องอยู่ภายใต้กติกาข้อบังคับเดียวกัน และสุดท้ายแล้วไม่มีใครไม่ชอบให้คนอื่นเอาใจ ไม่มีลูกค้าคนไหนไม่อยากให้แบรนด์รู้ใจพวกเขา เพราะถ้าธุรกิจของคุณสามารถทำให้ชีวิตพวกลูกค้าสะดวกสบายขึ้นจากข้อมูลที่พวกเขามอบให้ ทุกคนล้วนเต็มใจมอบข้อมูลให้คุณด้วยตนเอง ดังนั้นเมื่อคุณปิดการขายแล้ว อย่าลืมเปิดความสัมพันธ์กับลูกค้าในระยะยาวด้วย

แชร์ :

บทความที่เกี่ยวข้อง