August 15, 2021
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA คือ กฎหมายคุ้มครองข้อมูลส่วนบุคคล จะเริ่มใช้บังคับเต็มรูปแบบในวันที่ 1 มิถุนายน 2565 ส่งผลให้ภาคธุรกิจต้องปรับตัวกับการใช้หรือเก็บข้อมูลส่วนบุคคลของลูกค้าครั้งใหญ่ ซึ่งข้อมูลส่วนบุคคลเป็นข้อมูลที่สามารถแสดงตัวตนได้ ไม่ว่าทางตรงหรือทางอ้อม และเป็นได้ทั้งข้อมูลในรูปแบบออนไลน์หรือออฟไลน์ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล เลขที่บัญชีธนาคาร ข้อมูลชีวภาพ (ลายนิ้วมือ, ภาพสแกนใบหน้า) ข้อมูลประกันสังคม ประวัติอาชญากรรม เป็นต้น คราวนี้เรามาศึกษากันว่าธุรกิจ B2B จะต้องปรับตัวกับการมาถึงของกฎหมายฉบับนี้อย่างไรกันบ้าง
หลายท่านอาจเคยได้ยินคำว่าการตลาด ทำให้นึกถึงการทำการตลาดที่บริษัทเสนอขายหรือเสนอโปรโมชั่นกับลูกค้าหรือผู้บริโภครายคนโดยตรง ซึ่งเป็นการตลาดที่เราคุ้นเคยหรือที่เรียกกันว่า B2C หรือ Business-to-Customer สำหรับบทความนี้จะกล่าวถึงการทำการตลาดแบบ B2B หรือ Business-to-Business ซึ่งเป็นการทำการตลาดระหว่างธุรกิจกับธุรกิจ หรือระหว่างองค์กรกับองค์กร ซึ่งโดยส่วนใหญ่การทำการตลาด B2B ไม่ได้มีความสัมพันธ์เกี่ยวข้องกับผู้บริโภคหรือลูกค้าโดยตรง
B2B (Business-to-Business) หรือการทำการตลาดระหว่างธุรกิจกับธุรกิจ ยกตัวอย่างเช่น บริษัทที่ปรึกษาซอฟแวร์ บริษัทเทรนนิ่งบุคลากร บริษัทที่ขายวัตถุดิบให้กับโรงงานการผลิต finished goods หรือบริษัทให้เช่าอุปกรณ์เครื่องใช้สำนักงานกับองค์กร โดยการตลาดแบบ B2B เน้นเจาะเป้าหมายไปที่กลุ่มลูกค้าที่เป็นองค์กร ซึ่งผู้ใช้สินค้าหรือบริการจะเป็นพนักงานในองค์กรเป็นหลัก หัวใจสำคัญของ B2B ก็เพื่อให้กลุ่มผู้ใช้ในองค์กรเกิดความเชื่อมั่นในสินค้าและความเป็นมืออาชีพของธุรกิจในแวดวงนั้น ๆ
ดังนั้น การใช้ B2B Data โดยอ้างอิงจากความต้องการของกลุ่มผู้ใช้ในองค์กรที่เหมาะสมจะนำไปสู่การทำการตลาดที่เหมาะสมได้ เช่น การเสนอขายสินค้าให้ฝ่ายจัดซื้อจะต้องเน้นสินค้าที่ราคาคุ้มค่าและมีโปรโมชั่น หรือหากต้องการทำเทรนนิ่งให้กับพนักงานในองค์กรก็ควรรู้แผนกของพนักงานที่เข้าอบรมและฐานความรู้เบื้องต้น เป็นต้น
ธุรกิจในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ตาม PDPA ที่มีหน้าที่ในการจัดเก็บ รวบรวม หรือใช้ข้อมูลส่วนบุคคลของกลุ่มบุคคลในองค์กรเพื่อใช้ประกอบธุรกิจ ถึงแม้ว่า PDPA จะเริ่มใช้บังคับแล้ว ภาคธุรกิจโดยเฉพาะฝ่ายขายหรือฝ่ายการตลาดก็ยังสามารถใช้ B2B Data ต่อไปได้
ไม่ว่า B2B Data จะได้มาจากการที่ฝ่ายขายรวบรวมข้อมูลด้วยตนเองหรือได้ข้อมูลนั้นมาจากผู้ให้บริการข้อมูล B2B ธุรกิจก็จะต้องปฏิบัติตาม PDPA เช่นกัน เพื่อให้แน่ใจว่าธุรกิจของคุณใช้ B2B Data ได้สอดคล้องตาม PDPA ควรตรวจสอบข้อมูลดังกล่าว ดังนี้
ความยินยอม (Consent) เป็นหัวใจสำคัญสำหรับการจัดเก็บ B2B Data สำหรับฝ่ายขายหรือฝ่ายการตลาด ดังนั้น การจะจัดเก็บข้อมูลส่วนบุคคลจากบุคคลในองค์กรหรือขององค์กรเอง ฝ่ายขายหรือฝ่ายการตลาดจะต้องแจ้งรายละเอียดการเก็บข้อมูลและวัตถุประสงค์เพื่อขอความยินยอมโดยชัดแจ้งก่อน ถึงจะเริ่มทำการตลาดได้
เมื่อได้รับ Consent ในครั้งแรกแล้ว ถ้าจะทำการตลาดในคราวต่อ ๆ ไป โดยใช้ข้อมูลชุดเดียวกันเพื่อวัตถุประสงค์เดียวกันตามที่ขอ Consent ไปตอนแรก บริษัทก็ไม่จำเป็นต้องขอ Consent อีก แต่อาศัยฐานผลประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) แทนได้ เพื่อใช้ข้อมูลนั้นทำการตลาดต่อไปได้เลย ตัวอย่างเช่น
จะเห็นได้ว่าการขอ Consent เป็นปัจจัยสำคัญสำหรับการขอใช้ข้อมูลเพื่อทำการตลาด แต่หากการใช้ข้อมูลอยู่ในความคาดหมายของกลุ่มลูกค้าอยู่แล้วก็ใช้ฐานผลประโยชน์โดยชอบด้วยกฎหมายได้ ทั้งนี้ จะต้องมีการดำเนินมาตรการบางอย่างที่คุ้มครองสิทธิของเจ้าของข้อมูล เช่น การไม่เปิดเผยตัวตนของเจ้าของข้อมูล การหยุดใช้ข้อมูลเมื่อเจ้าของข้อมูลร้องขอ และการใช้ข้อมูลเท่าที่จำเป็นด้วยความระมัดระวัง
นอกจากนี้ บริษัทอาจใช้เทคนิคต่าง ๆ เพื่อจูงใจกลุ่มลูกค้าในองค์กรเพื่อให้ consent ได้ เช่น การลดราคาเมื่อเช็คอินและแชร์รูปภาพของร้านค้า การกดเพิ่มเพื่อนในแชทแอพพลิเคชั่น แต่บริษัทต้องแจ้งถึงวัตถุประสงค์ของการเก็บรวบรวมข้อมูลเหล่านั้นให้เจ้าของข้อมูลทราบ จะต้องเป็นความยินยอมที่ชัดเจน และควรเป็นลักษณะ opt-in ที่เจ้าของข้อมูลสามารถเลือกให้ความยินยอมรายประเด็นได้
มาตรการรักษาความปลอดภัย B2B Data ตาม PDPA เป็นสิ่งสำคัญที่ธุรกิจต้องมีเพื่อเตรียมความพร้อมตาม PDPA ซึ่งมีดังนี้
ROP เป็นเอกสารสำคัญสำหรับการใช้หรือประมวลผลข้อมูลส่วนบุคคลเพื่อให้เกิดความโปร่งใส โดยจะระบุรายละเอียดการจัดเก็บข้อมูล ว่ามีวัตถุประสงค์เพื่ออะไร และมีใครที่เกี่ยวข้องบ้าง ซึ่งภาคธุรกิจจำเป็นจะต้องกำหนดนโยบายสำหรับการดำเนินการด้านข้อมูลส่วนบุคคล (Standard Operating Procedure)
สำหรับการจัดทำ Gap Analysis และสร้างเอกสารให้สอดคล้องกับกฎหมาย PDPA อาจเป็นเรื่องละเอียดอ่อนและต้องอาศัยความชำนาญ ให้บริการ PDPA Implementation ช่วยประเมินช่องว่างทางกฎหมายและจัดทำเอกสารกฎหมายที่จำเป็นทั้งหมดโดยทีมนักกฎหมายที่เชี่ยวชาญ เพื่อให้ธุรกิจสอดคล้องตาม PDPA
ธุรกิจจะต้องมีมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลที่รัดกุม ตรงตามมาตรฐานสากล เพื่อปกป้องข้อมูลของบุคคลไม่ให้ถูกถ่ายโอน รั่วไหล หรือนำไปใช้ในทางที่ผิด เช่น Access Control, Security Assessment, Security Policy, Breach Notification Protocol รวมทั้งกำหนดระยะเวลาการเก็บข้อมูล และการทำลายเอกสารที่มีข้อมูลส่วนบุคคล
PDPA เป็นกฎหมายที่คุ้มครองข้อมูลส่วนบุคคลให้กับเจ้าของข้อมูลหรือกลุ่มลูกค้าในองค์กร ซึ่งนั่นไม่ได้หมายความว่าการมาถึงของกฎหมายนี้จะเป็นอุปสรรคต่อการประกอบธุรกิจ แต่หากมองถึงโอกาส PDPA จะช่วยสร้างมาตรฐานการจัดเก็บข้อมูลและยกระดับความน่าเชื่อถือให้กับองค์กร จนลูกค้าไว้วางใจที่จะซื้อสินค้าหรือใช้บริการในคราวต่อๆ ไป สิ่งสำคัญที่ธุรกิจจะต้องเตรียมพร้อมเพื่อปฏิบัติตาม PDPA คือการศึกษากฎหมาย PDPA ให้เข้าใจหรืออาศัยนักกฎหมายและผู้เชี่ยวชาญทางด้านธุรกิจและนักกฎหมายมากประสบการณ์ที่จะช่วยธุรกิจปฏิบัติตามแนวทาง PDPA ได้อย่างถูกต้อง
ให้คำปรึกษาและดำเนินการ
ให้ธุรกิจของคุณ สอดคล้องกับ PDPA
บริษัท เดต้า ว้าว จำกัด
1778 อาคารซัมเมอร์ฮับ ออฟฟิศ, ชั้น 6 ถนนสุขุมวิท แขวงพระโขนง เขตคลองเตย กรุงเทพมหานคร 10110 ประเทศไทย