PDPA คืออะไร ? สรุป พรบ คุ้มครองข้อมูลส่วนบุคคล เพื่อนักการตลาด

ปัจจุบันนี้โลกออนไลน์หรือเครือข่ายดิจิทัลนั่นเรียกได้ว่าเป็นส่วนหนึ่งของชีวิตประจำวันของคนทั่วๆไปเรียบร้อยแล้ว มีช่องทางการสื่อสารมากมายแล้วแต่วัตถุประสงค์ของแต่ละคน และยังมีแพลตฟอร์มมากมายให้ได้เลือกใช้งาน แน่นอนว่าแต่ละแพลตฟอร์มหรือแม้แต่เว็บไซต์ก็ต้องมีการลงทะเบียนหรือลงชื่อใช้งานก่อนเพื่อเก็บข้อมูลส่วนบุคคล เช่น ชื่อ นามสกุล อีเมล เบอร์โทรศัพท์ ที่อยู่ หรือข้อมูลแล้วแต่ว่าแพลตฟอร์มนั้นๆจะต้องการ

แน่นอนว่าการที่จะกรอกข้อมูลหรือให้ข้อมูลอะไรไป ควรที่จะต้องพิจารณาให้ดีก่อนว่าให้ไปเพื่ออะไรและให้กับใคร เช่น การกรอกข้อมูลเพื่อสมัครงาน หรือ การกรอกข้อมูลเพื่อให้ร้านค้าส่งสินค้ามาให้ตามที่อยู่ แต่จะแน่ใจได้อย่างไร ว่าข้อมูลที่ให้ไปนั้นจะถูกนำไปใช้ตามวัตถุประสงค์นั้นๆจริงๆ ไม่ได้มีการนำข้อมูลไปใช้เพื่อผลประโยชน์อื่นๆที่นอกเหนือไปจากความยินยอมของคุณ

การใช้ พรบคุ้มครองข้อมูลส่วนบุคคล 2562 หรือ PDPA ที่กำลังเป็นที่พูดถึงในช่วงนี้จึงเป็นเหมือนข้อบังคับในการนำข้อมูลเหล่านี้ไปใช้ บทความนี้จะสรุป พรบ คุ้มครองข้อมูลส่วนบุคคล 2562 ให้ทุกท่านได้ทราบ

PDPA คืออะไร มีความสําคัญอย่างไร

PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และ PDPA ย่อมาจากคำว่า Personal Data Protection Act B.E. 2562 (2019) ซึ่งเป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล เพื่อสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกต้องตามวัตถุประสงค์ตามที่เจ้าของข้อมูลยินยอมและอนุญาต โดย พรบ PDPA ได้ประกาศไว้ในราชกิจจานุเบกษาเมื่อ วันที่ 27 พฤษภาคม 2562 และปัจจุบันมีผลบังคับใช้ตั้งแต่ วันที่ 1 มิถุนายน 2565 เป็นต้นมา สามารถอ่าน พรบ ฉบับเต็มได้ที่ : พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล 2562

ข้อมูลส่วนบุคคล (Personal Data) คืออะไร

ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าจะเป็นทางทางตรงหรือทางอ้อม แต่จะไม่นับรวมกับข้อมูลของบุคคลที่เสียชีวิตแล้ว

Personal Data คือ ข้อมูลบุคคล ได้แก่

• ชื่อ-นามสกุล ชื่อเล่น

• เลขประจำตัวประชาชน, เลขหนังสือเดินทาง,

• เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี,

• เลขบัญชีธนาคาร, เลขบัตรเครดิต (การเก็บเป็นภาพสำเนาบัตรประชาชนหรือสำเนาบัตรอื่นๆที่มีข้อมูลส่วนบุคคลที่กล่าวมาย่อมสามารถใช้ระบุตัวบุคคลได้โดยตัวมันเอง จึงถือเป็นข้อมูลส่วนบุคคล)

• ที่อยู่, อีเมล์, เลขโทรศัพท์

• ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address, MAC address, Cookie ID

• ข้อมูลทางชีวมิติ (Biometric) เช่น รูปภาพใบหน้า, ลายนิ้วมือ, ฟิล์มเอกซเรย์, ข้อมูลสแกนม่านตา, ข้อมูลอัตลักษณ์เสียง, ข้อมูลพันธุกรรม

• ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์, โฉนดที่ดิน

• ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิดและสถานที่เกิด, เชื้อชาติ,สัญชาติ, น้ำหนัก, ส่วนสูง

• ข้อมูลตำแหน่งที่อยู่ (location), ข้อมูลการแพทย์, ข้อมูลการศึกษา, ข้อมูลทางการเงิน, ข้อมูลการจ้างงาน

• ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิล์ม แม้ไม่สามารถระบุไปถึงตัวบุคคลได้ แต่หากใช้ร่วมกับระบบดัชนีข้อมูลอีกระบบหนึ่งก็จะสามารถระบุไปถึงตัวบุคคลได้

• ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง

• ข้อมูลบันทึกต่าง ๆ ที่ใช้ติดตามตรวจสอบกิจกรรมต่าง ๆ ของบุคคล เช่น log file

• ข้อมูลที่สามารถใช้ในการค้นหาข้อมูลส่วนบุคคลอื่นในอินเทอร์เน็ต

Sensitive Personal Data คืออะไร แตกต่างจากข้อมูลส่วนบุคคลอย่างไร

Sensitive Personal Data คือ ข้อมูลบุคคลที่มีความละเอียดอ่อน ได้แก่

• เชื้อชาติ, เผ่าพันธุ์

• ความคิดเห็นทางการเมือง

• ความเชื่อในลัทธิ ศาสนาหรือปรัชญา

• พฤติกรรมทางเพศ

• ประวัติอาชญากรรม

• ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต

• ข้อมูลสหภาพแรงงาน

• ข้อมูลพันธุกรรม, ข้อมูลชีวภาพ

ข้อมูลเหล่านี้หากหลุดไปสู่สาธารณะก็จะเกิดผลเสียที่ร้ายแรงกับผู้เป็นเจ้าของข้อมูลได้มากกว่าข้อมูลส่วนบุคคลอื่นๆ มีผลต่อสิทธิเสรีภาพของบุคคล อาจส่งผลให้เกิดการแทรกแซงสิทธิเสรีภาพและการเลือกปฏิบัติต่อการใช้สิทธิเสรีภาพได้มากกว่าข้อมูลส่วนบุคคลทั่วๆไป

องค์ประกอบของ PDPA

องค์ประกอบของ PDPA มีผู้เกี่ยวข้องด้วยกัน 3 ประประเภท ได้แก่

1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)

Data Subject คือ บุคคลที่ข้อมูลสามารถระบุตัวตนไปถึงได้ เปรียบได้กับลูกค้าของธุรกิจของคุณที่มาลงทะเบียนเอาไว้

2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

Data Controller คือ บุคคลหรือนิติบุคคล รวมไปถึงเครื่องมือที่มีอำนาจในการตัดสินใจ รวบรวมข้อมูล นำข้อมูลที่ได้รับความยินยอมมาใช้ เปรียบเสมือนระบบที่คอยดูแลข้อมูลให้กับคุณทั้ง CRM และ POS

3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

Data Processor คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวมหรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งของผู้ที่ควบคุม

สิทธิของเจ้าของข้อมูลส่วนบุคคล ตาม PDPA มีอะไรบ้าง

สิทธิของเจ้าของข้อมูลส่วนบุคคล ตาม PDPA ประกอบไปด้วย

1. สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล

เจ้าของข้อมูลมีสิทธิในการขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล และขอให้เปิดเผยที่มาที่ไปของข้อมูลที่ตนเองไม่ได้ให้ความยินยอม โดยจะต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาลหรือกระทบสร้างความเสียหายต่อสิทธิเสรีภาพของคนอื่นๆ เจ้าของข้อมูลจะได้รับสิทธิภายใน 30 วันหลังจากที่ Data Controller ได้รับคำขอ

2. สิทธิได้รับการแจ้งให้ทราบ

การเก็บรวบรวมข้อมูลส่วนบุคคลนั้นจำเป็นที่จะต้องมีการแจ้งให้เจ้าของข้อมูลทราบ ก่อนหรือขณะที่มีการเก็บข้อมูล โดยต้องมีการแจ้งให้ทราบทั้ง เก็บข้อมูลอะไร วัตถุประสงค์ในการเก็บคืออะไร นำไปใช้หรือส่งต่อให้ใครบ้าง เก็บข้อมูลอย่างไร ระยะเวลาที่เก็บข้อมูล วิธีขอเปลี่ยนแปลง แก้ไข ถอนข้อมูลส่วนบุคคลที่ได้ให้ไปอย่างไรได้บ้าง

3. สิทธิขอให้ลบหรือทำลาย

กรณีที่ผู้ควบคุมข้อมูลทำให้ข้อมูลนั้นเปิดเผยสู่สาธารณะและผู้ควบคุมขอให้มีการลบข้อมูลหรือทำลาย หรือทำให้ไม่สามารถระบุเจ้าของได้ ผู้ควบคุมจะต้องเป็นผู้รับผิดชอบดำเนินการทั้งในด้านเทคโนโลยีและค่าใช้จ่ายเอง

4. สิทธิในการคัดค้านการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

เจ้าของข้อมูลสามารถคัดค้านการเก็บรวบรวม การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเองเมื่อใดก็ได้ แต่ต้องไปขัดกับกฎหมายที่สำคัญยิ่งกว่า หรือขัดต่อสิทธิการเรียกร้องตามกฎหมาย หรือข้อมูลเหล่านั้นถูกนำไปใช้เพื่อการวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ และสถิติ

5. สิทธิในการเพิกถอนความยินยอม

เจ้าของข้อมูลสามารถเพิกถอนความยินยอมในการรวบรวมข้อมูลได้ตลอดเวลาหากต้องการเพิกถอน และการยกเลิกนั้นต้องมีความสะดวกเหมือนกับตอนนี้เจ้าของข้อมูลได้ยินยอมด้วย แต่จะต้องไม่ขัดกับข้อจำกัดสิทธิในการถอนความยินยอมทางกฎหมาย

6. สิทธิขอให้ระงับการใช้ข้อมูล

เจ้าของข้อมูลมีสิทธิที่จะขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลได้ ไม่ว่าจะเป็นกรณีที่เปลี่ยนใจไม่ต้องการให้ข้อมูลแล้ว หรือเปลี่ยนใจระงับการทำลายข้อมูลเมื่อครบกำหนด เพราะต้องนำข้อมูลไปใช้ทางกฎหมายหรือเพื่อเรียกร้องสิทธิ

7. สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล

เจ้าของข้อมูลสามารถขอแก้ไขข้อมูลส่วนบุคคลของตนเองให้มีความถูกต้อง เป็นปัจจุบันและไม่ก่อให้เกิดความเข้าใจผิด โดยต้องแก้ไขด้วยความสุจริตและไม่ขัดต่อกฎหมาย

8. สิทธิในการขอให้โอนข้อมูลส่วนบุคคล

จ้าของข้อมูลสามารถขอให้ผู้ควบคุมข้อมูลส่วนบุคคลที่จัดทำข้อมูลนั้น ทำการส่งหรือโอนข้อมูลส่วนบุคคลไปให้กับผู้ควบคุมข้อมูลรายอื่นได้ โดยต้องไม่ขัดกับกฎหมาย สัญญา หรือละเมิดสิทธิเสรีภาพของบุคคลอื่นๆ

ตาม PDPA ผู้ควบคุมข้อมูลสามารถรวบรวม ใช้ เปิดเผยข้อมูลได้เมื่อไหร่

บุคคลทั่วไปหรือนิติบุคคล หากได้รวบรวมข้อมูลเอาไว้หรือมีการนำข้อมูลไปใช้งาน หรือนำไปเปิดเผยด้วยจุดประสงค์ใดก็ตาม จำเป็นจะต้องได้รับคำยินยอมจากเจ้าของข้อมูลด้วย เว้นแต่ว่าจะได้รับการยกเว้นดังข้อต่อไปนี้

• จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะเกี่ยวข้องกับการศึกษาวิจัยหรือทำสถิติ

• เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ

• จำเป็นเพื่อปฏิบัติตามสัญญากับเจ้าของข้อมูล เช่น การซื้อขายของออนไลน์ ที่จำเป็นต้องใช้ ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล

• จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ

• จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น

• เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล เช่น ส่งข้อมูลพนักงานให้กรมสรรพากรเรื่องภาษี เป็นต้น

ข้อยกเว้นสำหรับข้อมูลส่วนบุคคลที่อ่อนไหว(Sensitive Personal Data)

• เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

• การดำเนินกิจกรรมที่ชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของ มูลนิธิ สมาคม องค์กรไม่แสวงหากำไร เช่น เรื่องศาสนาหรือความคิดเห็นทางการเมือง ซึ่งจำเป็นต้องเปิดเผยให้ทราบก่อนเข้าองค์กรนั้น ๆ เป็นต้น

• เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล เช่น บุคคลสาธารณะที่มีข้อมูลที่เปิดเผยต่อสาธารณะอยู่แล้วในความยินยอมของเจ้าของข้อมูล

• เป็นการจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย เช่น เก็บลายนิ้วมือของผู้ที่บุกรุกเพื่อนำไปใช้ในชั้นศาล เป็นต้น

• เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ เกี่ยวกับ เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ เช่น การเก็บข้อมูลสุขภาพของพนักงานซึ่งเป็นข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน องค์กรมักใช้ข้อนี้ในการอ้างสิทธิที่จำเป็นต้องเก็บข้อมูลนี้ไว้ เป็นต้น ประโยชน์ด้านสาธารณะสุข, การคุ้มครองแรงงาน, การประกันสังคม, หลักประกันสุขภาพแห่งชาติ การศึกษาวิจัยทางวิทยาศาสตร์, ประวัติศาสตร์, สถิติ, หรือประโยชน์สาธารณะอื่น

ธุรกิจต้องปรับตัวตาม PDPA ได้อย่างไร

ธุรกิจนั้นจะต้องทำตามขั้นตอนต่อไปนี้ เพื่อให้เป็นไปตามหลักของ PDPA

1. การเก็บข้อมูลส่วนบุคคล

• จัดทำ Privacy Policy เพื่อแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ

โดยสามารถแจ้งเจ้าของข้อมูลได้ผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน หรือไม่ว่าในช่องทางใดก็ตามที่มีการเก็บข้อมูล เช่น ระบบ CRM ระบบสมาชิก ระบบสะสมแต้ม ซึ่ง Rocket ก็มีฟังก์ชั่นในการใส่ Privacy Policy ไว้ให้เช่นกัน

Privacy Policy ที่ดีควรประกอบไปด้วย

• แจ้งให้เจ้าของข้อมูลทราบว่าเก็บข้อมูลใดบ้าง เพื่อวัตถุประสงค์ใด

• แจ้งสิทธิให้แก่เจ้าของข้อมูล ว่าสามารถถอนความยินยอมได้ทุกเมื่อ

• ใช้ภาษาที่เข้าใจง่าย ชัดเจน ไม่กำกวม ไม่มีเงื่อนไขในการยินยอม

• จัดการเว็บไซต์ แอปพลิเคชันและ Third-Party

นอกจาก Privacy Policy แล้ว การจัดเก็บ Cookie ก็ต้องมีการแจ้งเพื่อขอความยินยอมเช่นกัน ซึ่งโดยทั่วไปแล้วจะพบเป็น Pop-Up ทางด้านล่างขึ้นมาเพื่อให้กดยินยอม นอกจากนี้หากต้องการเพื่อนำไปทำการตลาดก็ต้องมีการระบุวัตถุประสงค์และขอความยินยอมการเก็บรวบรวมข้อมูลใน Privacy Policy เช่นกัน

• การเก็บข้อมูลพนักงาน

การเก็บข้อมูลส่วนตัวของพนักงานก็ต้องมีการจัดทำ HR Privacy Policy ด้วยเช่นกัน เพื่อแจ้งวัตถุประสงค์ในก่ีประมวลผลข้อมูลส่วนบุคคลของพนักงาน หากเป็นพนักงานเดิม ให้แจ้ง Privacy Policy ด้วยเอกสารใหม่ และพนักงานใหม่ให้แจ้งในใบสมัคร 1 ครั้ง และแจ้งในสัญญาว่าจ้างอีก 1 ครั้ง

2. การใช้ข้อมูล

ไม่ว่าจะฝ่ายใดก็ตามในองค์กรควรที่จะให้ความร่วมมือในการกำหนดแนวทางหรือนโยบายในการดำเนินการด้านข้อมูลส่วนบุคคล และบันทึกหรือจัดเก็บข้อมูลเมื่อมีการใช้งาน ทั้งข้อมูลที่เป็นอิเล็กทรอนิกส์และเอกสารที่จับต้องได้ ทั้งนี้ห้ามเปิดเผยข้อมูลเหล่านี้ให้กับผู้ที่ไม่มีส่วนรับผิดชอบโดยตรงเด็ดขาด

3. มาตรการด้านความปลอดภัย

• กำหนดแนวทางตามมาตรฐานขั้นต่ำด้านการรักษาความปลอดภัยข้อมูลส่วนบุคคล ได้แก่ การรักษาความลับ, ความถูกต้องครบถ้วน, สภาพพร้อมใช้งาน ซึ่งควรที่จะครอบคลุมถึงมาตรฐานการป้องกันด้านการบริหารจัดการ มีมาตรการป้องกันด้านเทคนิคมีมาตรฐานป้องกันทางกายภาพในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคลตามประกาศของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม

• มีการกำหนดนโยบายรักษาระยะเวลาการเก็บข้อมูลและการทำลายเอกสารที่มีข้อมูลส่วนบุคคล

• มีการบวนการ Breach Notification Protocol เป็นระบบที่แจ้งเตือนเพื่ออปกป้องข้อมูลจากผู้ประสงค์ร้ายมาโจมตี

4. การส่งหรือเปิดเผยข้อมูล

• ทำสัญญาหรือข้อตกลงกับผู้ให้บริการภายนอก หรือทำ Data Processing Agreement เพื่อคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตาม PDPA

• หากต้องการโอนข้อมูลไปต่างประเทศ ต้องมีการทำสัญญากับปลายทางเพื่อคุ้มครองข้อมูลตาม PDPA

• มีกระบวนการรับคำร้องจากเจ้าของข้อมูลส่วนบุคคล ต้องเป็นวิธีที่ไม่ซับซ้อนและไม่กำหนดเงื่อนไข อาจจะทำผ่านการยื่นแบบฟอร์ม ส่งคำร้องผ่าน Chat หรืออีเมล

5. การกำกับดูแลข้อมูล

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เป็นหน่วยงานรัฐมีหน้าที่เป็นผู้กำกับดูแล PDPA ให้แต่ละองค์กรต้องปฏิบัติตาม โดยองค์กรที่ทำการเก็บรวบรวม นำไปใช้ หรือเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลในประเทศไทย เพื่อการขายสินค้าหรือบริการให้กับเจ้าของข้อมูล ควรมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) เป็นผู้มีความรู้ด้านกฎหมาย PDPA ด้านเทคโนโลยี เข้ามาดูแลและตรวจสอบนโยบายการเก็บรักษาข้อมูลส่วนบุคคลเพื่อให้เกิดความปลอดภัยต่อลูกค้าและข้อมูล

ตัวอย่างการใช้ MarTech ตามหลัก PDPA

Rocket เองก็มี Martech ที่ใช้ในการเก็บข้อมูลส่วนบุคคลเช่นกัน อย่าง ระบบ CRM ระบบสมาชิก หรือ ระบบสะสมแต้ม ที่คอยช่วยเหลือให้ท่านจัดการกับการรักษาความสัมพันธ์กับลูกค้า และกระตุ้นการกลับมาซื้อซ้ำของลูกค้า

แต่เครื่องมือเหล่านี้ต้องมีการเก็บฐานข้อมูลของลูกค้าทั้งข้อมูลทั่วไปและข้อมูลที่มีความละเอียดอ่อน เพราะฉะนั้นแล้ว Martech ของ Rocket ก็จะมีฟังก์ชั่นที่พร้อมรอบรับ PDPA อย่างครบครันเพื่ออำนวยความสะดวกให้แก่ร้านค้าหรือธุรกิจ และความสบายใจให้กับลูกค้าของคุณ

ฟังก์ชั่นด้าน PDPA ของ Rocket ที่เรียกว่า Data Policy Management ประกอบไปด้วย

• PDPA Consent Forms : ที่สามารถทำให้คุณจัดทำและเพิ่ม Consent Form หรือหนังสือขอความยินยอม ที่ต้องมีการแจ้งให้เจ้าของข้อมูลทราบว่าเก็บข้อมูลใดบ้าง เพื่อวัตถุประสงค์ใด, แจ้งสิทธิให้แก่เจ้าของข้อมูล ว่าสามารถถอนความยินยอมได้ทุกเมื่อ, ใช้ภาษาที่เข้าใจง่าย ชัดเจน ไม่กำกวม ไม่มีเงื่อนไขในการยินยอม นอกจากนี้ยังสามารถทำ Consent Form ได้หลายฉบับแบบไม่จำกัดจำนวน และสามารถเลือกหรือเปลี่ยนฉบับที่ท่านต้องการใช้งานได้ทันที โดย Consent Form นี้จะถูกแสดงให้ลูกค้าเห็นในตอนที่ลูกค้าสมัครสมาชิก หรือเมื่อมีการอัปเดตเอกสารใหม่ ถือว่าสร้างความสะดวกให้กับทั้งร้านค้า ธุรกิจและลูกค้า

• PDPA Notice Forms : คือ ฟอร์มประกาศว่ามีการเก็บข้อมูล และให้ทางลูกค้ากดยอมรับหรือปฏิเสธการเก็บข้อมูลส่วนบุคคล โดยท่านสามารถสร้างฟอร์มได้ไม่จำกัด และสามารถปรับเปลี่ยนแก้ไขได้ตลอดเวลา เช่นเดียวกันกับ Consent Form แต่ Notice Forms จุดประสงค์คือการแจ้งเพื่อทราบ เช่นกัน หากมีการเปลี่ยนแปลงของข้อกำหนดในการเก็บข้อมูลก็สามารถอัปเดตให้ลูกค้าทราบได้ทันที

• Terms & Conditions : เป็นข้อกำหนดและเงื่อนไข ในการใช้งานระบบของลูกค้า โดยร้านค้าสามารถกำหนด Terms & Conditions ได้ เพื่อประกาศให้ลูกค้าทราบว่ามีการเก็บคุกกี้เพื่อรวบรวมข้อมูลการใช้งานระบบ เพื่อให้ได้มาซึ่งข้อมูลด้านพฤติกรรมหรือข้อมูลเชิงลึกอื่นๆ นอกจากนี้เพื่อป้องกันข้อมูลสินทรัพย์ทางปัญญาของคุณเช่นกัน เพื่อไม่ให้ลูกค้านำข้อมูลของคุณไปใช้งานหรือคัดลอกเผยแพร่ออกไป

ทั้งหมดนี้เป็นฟังก์ชั่นที่จะทำให้คุณสามารถเก็บข้อมูลเบื้องต้น ข้อมูลเชิงลึก รวมไปถึงพฤติกรรมหรือความสนใจของลูกค้าได้อย่างถูกต้องตาม PDPA และสามารถนำข้อมูลเหล่านี้ไปต่อยอดเพื่อใช้ในการวิเคราะห์การตลาด สร้างหรือปรับปรุงกลยุทธ์การตลาดของคุณต่อไป

เพื่อให้สามารถใช้ข้อมูลเฉพาะบุคคล และสามารถทำการตลาดแบบเฉพาะเจาะจงได้อย่างง่ายดาย ส่งผลให้การตลาดของคุณตรงกับความสนใจหรือความต้องการของลูกค้า ช่วยเพิ่มโอกาสในการกลับมาอุดหนุนร้านค้าของคุณซ้ำ และรักษาความสัมพันธ์กับลูกค้าต่อไป

คำถามที่พบบ่อยเกี่ยวกับ PDPA

PDPA เริ่มบังคับใช้เมื่อไหร่

PDPA มีผลบังคับใช้ตั้งแต่ วันที่ 1 มิถุนายน 2565 เป็นต้นมา

Personal Data คือ

Personal Data คือ ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าจะเป็นทางทางตรงหรือทางอ้อม แต่จะไม่นับรวมกับข้อมูลของบุคคลที่เสียชีวิตแล้ว

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สาระสำคัญกล่าวถึงเรื่องใด

สาระสำคัญของ PDPA คือ กฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล เพื่อสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกต้องตามวัตถุประสงค์ตามที่เจ้าของข้อมูลยินยอมและอนุญาต

พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีวัตถุประสงค์หลักเพื่ออะไร

จุดประสงค์ของ PDPA คือ ป้องกันการนำข้อมูลส่วนบุคคลไปใช้ในจุดประสงค์ที่เจ้าของข้อมูลไม่ยินยอมและอาจจะส่งผลต่อสิทธิเสรีภาพของเจ้าของข้อมูล

การเผยแพร่ข้อมูลส่วนตัวของผู้อื่น ข้อใดบ้างที่อาจถูกดําเนินคดีตามกฎหมายได้

ไม่ว่าจะเป็นข้อมูลอะไร แต่ถ้านำไปใช้ผิดวัตถุประสงค์ที่ทางเจ้าของข้อมูลส่วนบุคคลยินยอมเอาไว้ ก็สามารถถูกดำเนินคดีตามกฎหมายได้ทั้งหมด และมีโทษทั้งทางแพ่ง ทางอาญา และทางปกครอง

สรุปเกี่ยวกับ PDPA

PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีความสำคัญอย่างมากเพื่อรักษาสิทธิที่พึงมีแก่เจ้าของข้อมูล เพื่อให้สบายใจได้ว่าข้อมูลที่ได้ให้ไปกับแพลตฟอร์มต่างๆจะถูกใช้งานอย่างถูกวัตถุประสงค์ และไม่ได้ถูกนำไปใช้แบบผิดๆหรือส่งผลเสียต่อเจ้าของข้อมูล

ระบบสมาชิก Rocket มีความปลอดภัยและทำตาม PDPA อย่างถูกต้อง หมดห่วงทั้งเจ้าของธุรกิจและลูกค้าของคุณ หากสนใจ ระบบ สมาชิก ของ Rocket สามารถติดต่อเราได้ทุกช่องทาง https://www.rocket.in.th/membership-crm/