ขยับจากเรื่องภัยไซเบอร์ส่วนบุคคล มาสู่มุมมองของผู้ประกอบการกันบ้าง ธุรกิจขนาดกลางและขนาดย่อม (SME) ไปจนถึงพ่อค้าแม่ค้าออนไลน์ หลายคนอาจมีความเชื่อผิดๆ ว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) เป็นเรื่องของบริษัทใหญ่ๆ เท่านั้น แต่ในความเป็นจริง กฎหมายฉบับนี้ครอบคลุมทุกธุรกิจที่มีการเก็บ ใช้ หรือเปิดเผย “ข้อมูลส่วนบุคคล” ของลูกค้า

หากคุณเปิดร้านเบเกอรี่แล้วมีการขอชื่อ-เบอร์โทรลูกค้าเพื่อสะสมแต้ม หรือเปิดเพจขายเสื้อผ้าที่มีการขอที่อยู่สำหรับจัดส่งสินค้า… ยินดีด้วยครับ คุณอยู่ภายใต้กฎหมาย PDPA แล้ว! บทความนี้จะสรุปข้อควรระวังสำคัญที่ SME ต้องรู้ เพื่อไม่ให้เผลอทำผิดกฎหมายจนถูกปรับอาน

“ข้อมูลส่วนบุคคล” ของลูกค้ามีอะไรบ้าง?

ในบริบทของการทำธุรกิจ ข้อมูลส่วนบุคคลที่ SME มักจะเก็บจากลูกค้า ได้แก่:

  • ชื่อ-นามสกุล, ชื่อเล่น
  • เบอร์โทรศัพท์, อีเมล, ที่อยู่จัดส่งสินค้า
  • ข้อมูลบัญชีโซเชียลมีเดีย (เช่น LINE ID, ลิงก์โปรไฟล์ Facebook)
  • เลขบัญชีธนาคาร (กรณีลูกค้าโอนเงินคืน หรือเก็บไว้เป็นฐานข้อมูล)
  • ประวัติการซื้อสินค้า, ข้อมูลการแพ้สกินแคร์/อาหาร (ถือเป็นข้อมูลอ่อนไหว ต้องระวังเป็นพิเศษ)

5 ข้อควรระวังในการเก็บข้อมูลลูกค้าสำหรับ SME

เพื่อป้องกันการถูกฟ้องร้องหรือถูกร้องเรียนจากลูกค้า นี่คือข้อควรระวังและหลักปฏิบัติที่ SME ควรนำไปปรับใช้ทันที:

1. เก็บข้อมูลเท่าที่ “จำเป็น” (Data Minimization)

  • ข้อควรระวัง: อย่าเก็บข้อมูลหว่านแห หรือเก็บเผื่อไว้ก่อน
  • วิธีที่ถูกต้อง: ขอเฉพาะข้อมูลที่จำเป็นต่อการให้บริการเท่านั้น เช่น หากคุณขายเสื้อผ้าออนไลน์ คุณต้องการแค่ ชื่อ ที่อยู่ เบอร์โทร เพื่อส่งของ ไม่จำเป็นต้องขอเลขบัตรประชาชน หรือวันเดือนปีเกิดของลูกค้า

2. ต้องแจ้งให้ลูกค้าทราบเสมอ (Privacy Notice)

  • ข้อควรระวัง: แอบเก็บข้อมูลโดยไม่บอก หรือเอาข้อมูลลูกค้าไปทำการตลาดโดยที่ลูกค้าไม่รู้ตัว
  • วิธีที่ถูกต้อง: ควรมี “นโยบายความเป็นส่วนตัว” (Privacy Notice) แจ้งลูกค้าอย่างชัดเจนว่า เราเก็บข้อมูลอะไรบ้าง เอาไปทำอะไร (เช่น ส่งของ, ส่งโปรโมชั่น) และจะเก็บไว้นานแค่ไหน (เช่น เก็บไว้ 1 ปีหลังจากการสั่งซื้อล่าสุด)

3. การขอความยินยอม (Consent) ต้องชัดเจน

  • ข้อควรระวัง: บังคับให้ลูกค้ากดยินยอมรับข่าวสารการตลาด แลกกับการซื้อสินค้า
  • วิธีที่ถูกต้อง: การขอข้อมูลเพื่อใช้ “ส่งของ” ไม่ต้องขอความยินยอมซ้ำซ้อน (เพราะเป็นไปตามสัญญาซื้อขาย) แต่ หากคุณจะนำเบอร์โทรลูกค้าไปใช้ “ยิงแอดโฆษณา” หรือ “โทรไปเสนอขายสินค้าใหม่” คุณต้องมีช่องให้ลูกค้าติ๊กเลือกเพื่อ “ยินยอม” อย่างชัดเจน และห้ามติ๊กเครื่องหมายถูกไว้ล่วงหน้า

4. รักษาข้อมูลลูกค้าให้ปลอดภัย (Data Security)

  • ข้อควรระวัง: จดชื่อที่อยู่ลูกค้าใส่กระดาษแล้วทิ้งลงถังขยะโดยไม่ฉีกทำลาย หรือถ่ายรูปสลิปโอนเงินลูกค้า (ที่เห็นชื่อบัญชีชัดเจน) ไปโพสต์โชว์หน้าเพจว่าร้านนี้ส่งจริง
  • วิธีที่ถูกต้อง: จัดเก็บข้อมูลให้ปลอดภัย หากเป็นไฟล์ Excel ควรตั้งรหัสผ่าน หากเป็นเอกสารกระดาษ เมื่อใช้เสร็จควรทำลายทิ้ง และห้ามเปิดเผยข้อมูลส่วนตัวของลูกค้าสู่สาธารณะโดยไม่ได้รับอนุญาตเด็ดขาด

5. ห้ามแชร์ ขาย หรือส่งต่อข้อมูล (No Unauthorized Sharing)

  • ข้อควรระวัง: ขายรายชื่อและเบอร์โทรลูกค้าให้บริษัทประกัน หรือเอาฐานข้อมูลลูกค้าไปให้ธุรกิจของเพื่อน
  • วิธีที่ถูกต้อง: ข้อมูลลูกค้าให้มาเพื่อวัตถุประสงค์ใด ต้องใช้แค่นั้น ห้ามส่งต่อให้บุคคลที่ 3 โดยเด็ดขาด เว้นแต่จะได้รับความยินยอมจากลูกค้า หรือเป็นไปตามกฎหมาย (เช่น ส่งให้บริษัทขนส่งเพื่อส่งของ)

โทษทางกฎหมายที่ SME ต้องระวัง

การละเมิด PDPA ไม่ใช่แค่การถูกต่อว่าจากลูกค้า แต่มีบทลงโทษที่รุนแรง แบ่งเป็น 3 ส่วนหลักๆ คือ:

  • โทษทางแพ่ง: ต้องจ่ายค่าสินไหมทดแทนให้ลูกค้าตามความเสียหายจริง (และอาจบวกเพิ่มได้อีกสูงสุด 2 เท่า)
  • โทษทางอาญา: จำคุกสูงสุด 1 ปี หรือปรับสูงสุด 1 ล้านบาท หรือทั้งจำทั้งปรับ (มักเกิดในกรณีที่ตั้งใจทำผิด หรือนำข้อมูลไปแสวงหาผลประโยชน์)
  • โทษทางปกครอง: ปรับสูงสุด 1 – 5 ล้านบาท (ขึ้นอยู่กับความร้ายแรงของข้อมูลที่หลุดไป)

การปฏิบัติตามกฎหมาย PDPA สำหรับ SME อาจดูเหมือนเป็นภาระที่เพิ่มขึ้นในช่วงแรก แต่ในระยะยาว นี่คือ “การสร้างความเชื่อมั่น” เมื่อลูกค้ารู้สึกว่าร้านค้าของคุณใส่ใจและปกป้องข้อมูลของพวกเขาอย่างดี พวกเขาก็จะไว้วางใจและกล้าที่จะสนับสนุนธุรกิจของคุณต่อไปครับ

Categorized in:

เทคโนโลยี