PDPA ส่งผลกระทบกับธุรกิจ B2B อย่างไร พร้อมแนวทางการรับมือสำหรับธุรกิจ

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA คือ กฎหมายคุ้มครองข้อมูลส่วนบุคคล จะเริ่มใช้บังคับเต็มรูปแบบในวันที่ 1 มิถุนายน 2565 ส่งผลให้ภาคธุรกิจต้องปรับตัวกับการใช้หรือเก็บข้อมูลส่วนบุคคลของลูกค้าครั้งใหญ่ ซึ่งข้อมูลส่วนบุคคลเป็นข้อมูลที่สามารถแสดงตัวตนได้ ไม่ว่าทางตรงหรือทางอ้อม และเป็นได้ทั้งข้อมูลในรูปแบบออนไลน์หรือออฟไลน์ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล เลขที่บัญชีธนาคาร ข้อมูลชีวภาพ (ลายนิ้วมือ, ภาพสแกนใบหน้า) ข้อมูลประกันสังคม ประวัติอาชญากรรม เป็นต้น คราวนี้เรามาศึกษากันว่าธุรกิจ B2B จะต้องปรับตัวกับการมาถึงของกฎหมายฉบับนี้อย่างไรกันบ้าง

B2B Data มีความสำคัญอย่างไร

หลายท่านอาจเคยได้ยินคำว่าการตลาด ทำให้นึกถึงการทำการตลาดที่บริษัทเสนอขายหรือเสนอโปรโมชั่นกับลูกค้าหรือผู้บริโภครายคนโดยตรง ซึ่งเป็นการตลาดที่เราคุ้นเคยหรือที่เรียกกันว่า B2C หรือ Business-to-Customer สำหรับบทความนี้จะกล่าวถึงการทำการตลาดแบบ B2B หรือ Business-to-Business ซึ่งเป็นการทำการตลาดระหว่างธุรกิจกับธุรกิจ หรือระหว่างองค์กรกับองค์กร ซึ่งโดยส่วนใหญ่การทำการตลาด B2B ไม่ได้มีความสัมพันธ์เกี่ยวข้องกับผู้บริโภคหรือลูกค้าโดยตรง

B2B (Business-to-Business) หรือการทำการตลาดระหว่างธุรกิจกับธุรกิจ ยกตัวอย่างเช่น บริษัทที่ปรึกษาซอฟแวร์ บริษัทเทรนนิ่งบุคลากร บริษัทที่ขายวัตถุดิบให้กับโรงงานการผลิต finished goods หรือบริษัทให้เช่าอุปกรณ์เครื่องใช้สำนักงานกับองค์กร โดยการตลาดแบบ B2B เน้นเจาะเป้าหมายไปที่กลุ่มลูกค้าที่เป็นองค์กร ซึ่งผู้ใช้สินค้าหรือบริการจะเป็นพนักงานในองค์กรเป็นหลัก หัวใจสำคัญของ B2B ก็เพื่อให้กลุ่มผู้ใช้ในองค์กรเกิดความเชื่อมั่นในสินค้าและความเป็นมืออาชีพของธุรกิจในแวดวงนั้น ๆ

ดังนั้น การใช้ B2B Data โดยอ้างอิงจากความต้องการของกลุ่มผู้ใช้ในองค์กรที่เหมาะสมจะนำไปสู่การทำการตลาดที่เหมาะสมได้ เช่น การเสนอขายสินค้าให้ฝ่ายจัดซื้อจะต้องเน้นสินค้าที่ราคาคุ้มค่าและมีโปรโมชั่น หรือหากต้องการทำเทรนนิ่งให้กับพนักงานในองค์กรก็ควรรู้แผนกของพนักงานที่เข้าอบรมและฐานความรู้เบื้องต้น เป็นต้น

PDPA กระทบ B2B Data ยังไงบ้าง

ธุรกิจในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ตาม PDPA ที่มีหน้าที่ในการจัดเก็บ รวบรวม หรือใช้ข้อมูลส่วนบุคคลของกลุ่มบุคคลในองค์กรเพื่อใช้ประกอบธุรกิจ ถึงแม้ว่า PDPA จะเริ่มใช้บังคับแล้ว ภาคธุรกิจโดยเฉพาะฝ่ายขายหรือฝ่ายการตลาดก็ยังสามารถใช้ B2B Data ต่อไปได้

ไม่ว่า B2B Data จะได้มาจากการที่ฝ่ายขายรวบรวมข้อมูลด้วยตนเองหรือได้ข้อมูลนั้นมาจากผู้ให้บริการข้อมูล B2B ธุรกิจก็จะต้องปฏิบัติตาม PDPA เช่นกัน เพื่อให้แน่ใจว่าธุรกิจของคุณใช้ B2B Data ได้สอดคล้องตาม PDPA ควรตรวจสอบข้อมูลดังกล่าว ดังนี้

• ได้รับความยินยอม (Consent) การใช้หรือเก็บข้อมูลส่วนบุคคลจากกลุ่มลูกค้าหรือองค์กรซึ่งก็คือเจ้าของข้อมูลส่วนบุคคลก่อน
• เจ้าของข้อมูลส่วนบุคคลทราบจุดประสงค์การขอใช้หรือเก็บข้อมูล ว่าใช้หรือเก็บเพื่ออะไร ระยะเวลาเก็บเท่าไร
• การแจ้งจุดประสงค์ใช้ภาษาที่เข้าใจง่าย ไม่หลอกลวง แยกเป็นข้อ ๆ ให้ชัดเจน ไม่นำเงื่อนไขต่าง ๆ มาผูกพันกัน และขอเก็บข้อมูลเท่าที่จำเป็น
• บริษัทที่ได้รับความยินยอมให้ใช้หรือจัดเก็บ B2B Data มีหน้าที่ต้องคุ้มครองดูแลข้อมูลนั้นไม่ให้รั่วไหล และใช้ข้อมูลนั้นด้วยความระมัดระวัง เพื่อให้เกิดความน่าเชื่อถือในการประกอบธุรกิจและป้องกันไม่ให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลหรือต่อองค์กร อันมีความผิดตามกฎหมาย PDPA อีกด้วย
  
  

accessnext.net

ฝ่ายขายหรือฝ่ายการตลาดจะต้องปรับตัวกับ PDPA อย่างไร

ความยินยอม (Consent) เป็นหัวใจสำคัญสำหรับการจัดเก็บ B2B Data สำหรับฝ่ายขายหรือฝ่ายการตลาด ดังนั้น การจะจัดเก็บข้อมูลส่วนบุคคลจากบุคคลในองค์กรหรือขององค์กรเอง ฝ่ายขายหรือฝ่ายการตลาดจะต้องแจ้งรายละเอียดการเก็บข้อมูลและวัตถุประสงค์เพื่อขอความยินยอมโดยชัดแจ้งก่อน ถึงจะเริ่มทำการตลาดได้

เมื่อได้รับ Consent ในครั้งแรกแล้ว ถ้าจะทำการตลาดในคราวต่อ ๆ ไป โดยใช้ข้อมูลชุดเดียวกันเพื่อวัตถุประสงค์เดียวกันตามที่ขอ Consent ไปตอนแรก บริษัทก็ไม่จำเป็นต้องขอ Consent อีก แต่อาศัยฐานผลประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) แทนได้ เพื่อใช้ข้อมูลนั้นทำการตลาดต่อไปได้เลย ตัวอย่างเช่น

• ฝ่ายจัดซื้อขององค์หนึ่งได้ให้ consent กับโรงแรมผ่านแบบฟอร์มลงทะเบียนที่งานแสดงสินค้า เพื่อให้ส่งข่าวสารและโปรโมชั่นทางอีเมลเกี่ยวกับห้องพักหรือห้องประชุม แม้ว่างานแสดงสินค้าสิ้นสุดลงแล้ว โรงแรมก็ยังสามารถส่งข่าวสารและโปรโมชั่นทางอีเมลให้กับองค์กรนั้นได้ โดยไม่จำเป็นต้องขอ Consent ทุกครั้ง
• การเสนอขายประกันรถยนต์สำหรับผู้ซื้อรถยนต์ เป็นการเสนอขายสินค้าหรือบริการที่อยู่ในขอบเขตของความคาดหมายได้ของลูกค้ากลุ่มนั้นอยู่แล้ว จึงไม่ก่อให้เกิดความเสี่ยงต่อลูกค้า

จะเห็นได้ว่าการขอ Consent เป็นปัจจัยสำคัญสำหรับการขอใช้ข้อมูลเพื่อทำการตลาด แต่หากการใช้ข้อมูลอยู่ในความคาดหมายของกลุ่มลูกค้าอยู่แล้วก็ใช้ฐานผลประโยชน์โดยชอบด้วยกฎหมายได้ ทั้งนี้ จะต้องมีการดำเนินมาตรการบางอย่างที่คุ้มครองสิทธิของเจ้าของข้อมูล เช่น การไม่เปิดเผยตัวตนของเจ้าของข้อมูล การหยุดใช้ข้อมูลเมื่อเจ้าของข้อมูลร้องขอ และการใช้ข้อมูลเท่าที่จำเป็นด้วยความระมัดระวัง

นอกจากนี้ บริษัทอาจใช้เทคนิคต่าง ๆ เพื่อจูงใจกลุ่มลูกค้าในองค์กรเพื่อให้ consent ได้ เช่น การลดราคาเมื่อเช็คอินและแชร์รูปภาพของร้านค้า การกดเพิ่มเพื่อนในแชทแอพพลิเคชั่น แต่บริษัทต้องแจ้งถึงวัตถุประสงค์ของการเก็บรวบรวมข้อมูลเหล่านั้นให้เจ้าของข้อมูลทราบ จะต้องเป็นความยินยอมที่ชัดเจน และควรเป็นลักษณะ opt-in ที่เจ้าของข้อมูลสามารถเลือกให้ความยินยอมรายประเด็นได้

สิ่งที่ธุรกิจต้องทำตาม PDPA

มาตรการรักษาความปลอดภัย B2B Data ตาม PDPA เป็นสิ่งสำคัญที่ธุรกิจต้องมีเพื่อเตรียมความพร้อมตาม PDPA ซึ่งมีดังนี้

1. จัดทำระบบหรือเอกสารขอความยินยอมจากบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล

• แจ้งเจ้าของข้อมูลผ่านนโยบายความเป็นส่วนตัว (Privacy Policy) บนเว็บไซต์หรือแอปพลิเคชัน หรือช่องทางการติดต่ออื่นๆ เช่น การลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดีย โดยแจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด เจ้าของข้อมูลมีสิทธิอะไรบ้าง และหากมีการเปลี่ยนแปลงการจัดเก็บข้อมูลส่วนบุคคลก็สามารถแจ้งผ่าน Privacy Notice ได้
• ขอ Cookie Consent ผ่าน Pop-up บนหน้าเว็บไซต์ รวมถึงแจ้งรายละเอียดการจัดเก็บคุกกี้ผ่าน Cookie Policy ก็จะต้องแจ้งผู้ใช้งานเพื่อขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลด้วย

2. เตรียมเอกสารเพื่อบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing หรือ ROP)

ROP เป็นเอกสารสำคัญสำหรับการใช้หรือประมวลผลข้อมูลส่วนบุคคลเพื่อให้เกิดความโปร่งใส โดยจะระบุรายละเอียดการจัดเก็บข้อมูล ว่ามีวัตถุประสงค์เพื่ออะไร และมีใครที่เกี่ยวข้องบ้าง ซึ่งภาคธุรกิจจำเป็นจะต้องกำหนดนโยบายสำหรับการดำเนินการด้านข้อมูลส่วนบุคคล (Standard Operating Procedure)

สำหรับการจัดทำ Gap Analysis และสร้างเอกสารให้สอดคล้องกับกฎหมาย PDPA อาจเป็นเรื่องละเอียดอ่อนและต้องอาศัยความชำนาญ ให้บริการ PDPA Implementation ช่วยประเมินช่องว่างทางกฎหมายและจัดทำเอกสารกฎหมายที่จำเป็นทั้งหมดโดยทีมนักกฎหมายที่เชี่ยวชาญ เพื่อให้ธุรกิจสอดคล้องตาม PDPA

3. มีมาตรการด้านความปลอดภัยข้อมูล (Security)

ธุรกิจจะต้องมีมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลที่รัดกุม ตรงตามมาตรฐานสากล เพื่อปกป้องข้อมูลของบุคคลไม่ให้ถูกถ่ายโอน รั่วไหล หรือนำไปใช้ในทางที่ผิด เช่น Access Control, Security Assessment, Security Policy, Breach Notification Protocol รวมทั้งกำหนดระยะเวลาการเก็บข้อมูล และการทำลายเอกสารที่มีข้อมูลส่วนบุคคล

4. ปฏิบัติตามแนวทางกำกับดูแลข้อมูลส่วนบุคคล

• ให้ธุรกิจมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) หรือจัดหาผู้เชี่ยวชาญกฎหมาย PDPA ที่มีหน้าที่ให้คำปรึกษากับองค์กร และดูแลการดำเนินการให้สอดคล้องเป็นไปตามกฎหมาย PDPA ผ่านบริการ PDPA Advisory
• ให้ฝ่าย HR ของภาคธุรกิจสร้างองค์ความรู้ หรือ Awareness ด้าน PDPA ให้กับพนักงานผ่านการจัดอบรม PDPA Training หรือสัมมนา เพื่อให้พนักงานในองค์กรรู้หน้าที่และมีความรู้ความเข้าใจในการปฏิบัติงานได้อย่างถูกต้องและช่วยลดความเสี่ยงจากการที่ข้อมูลส่วนบุคคลในองค์กรรั่วไหลหรือถูกผู้ไม่ประสงค์ดีนำไปใช้
• ฝ่าย HR จำเป็นต้องจัดการข้อมูลส่วนบุคคลของพนักงานในองค์กรจำนวนมาก HR จึงต้องรู้และเข้าใจเกี่ยวกับ PDPA เช่นกัน การฝึกอบรม HR ผ่านหลักสูตร PDPA training สำหรับ HR ที่ถูกออกแบบโดยผู้เชี่ยวชาญ PDPA ซึ่งสามารถเรียนผ่านคอร์สออนไลน์แบบ Self-learning จะช่วยเตรียมความพร้อม PDPA ให้กับ HR

PDPA เป็นกฎหมายที่คุ้มครองข้อมูลส่วนบุคคลให้กับเจ้าของข้อมูลหรือกลุ่มลูกค้าในองค์กร ซึ่งนั่นไม่ได้หมายความว่าการมาถึงของกฎหมายนี้จะเป็นอุปสรรคต่อการประกอบธุรกิจ แต่หากมองถึงโอกาส PDPA จะช่วยสร้างมาตรฐานการจัดเก็บข้อมูลและยกระดับความน่าเชื่อถือให้กับองค์กร จนลูกค้าไว้วางใจที่จะซื้อสินค้าหรือใช้บริการในคราวต่อๆ ไป สิ่งสำคัญที่ธุรกิจจะต้องเตรียมพร้อมเพื่อปฏิบัติตาม PDPA คือการศึกษากฎหมาย PDPA ให้เข้าใจหรืออาศัยนักกฎหมายและผู้เชี่ยวชาญทางด้านธุรกิจและนักกฎหมายมากประสบการณ์ที่จะช่วยธุรกิจปฏิบัติตามแนวทาง PDPA ได้อย่างถูกต้อง