Process
September 7, 2021

5 กิจกรรมยอดฮิตที่องค์กรต้องขอ consent ตามกฎหมาย PDPA

นาย วันพิชิต ชินตระกูลชัย

Chief Technology Officer (CTO)
Ragnar Corporation

แบ่งปันบทความดีๆ

หลายๆองค์กรทราบกันดีอยู่แล้วว่า มีการใช้ข้อมูลส่วนบุคคล ไม่ว่าจะเป็นข้อมูลพนักงานหรือข้อมูลของลูกค้า เพราะฉะนั้นแล้ว หลายๆท่านก็จะสงสัยว่า มีกิจกรรมอะไรบ้าง? ที่จะต้องขอ Consent ใหม่อีกครั้ง หรือ จะต้องมีหลักฐานว่า ลูกค้าหรือพนักงานของเรานั้นได้ให้ความยินยอมให้ใช้ข้อมูลส่วนบุคคลดังกล่าวตามวัตถุประสงค์ที่เราจะนำข้อมูลส่วนบุคคลไปใช้ให้ถูกต้องตามกฎหมาย PDPA

วันนี้ผมจะขอยกตัวอย่าง 5 กิจกรรมยอดฮิตที่องค์กร จะต้องมีการขอความยินยอมใหม่ให้ชัดเจน โดยวิธีการขอนั้นทำอย่างไร และมีกิจกรรมอะไรบ้าง

1.นโยบายการใช้ข้อมูลส่วนบุคคลพนักงาน

โดยปกติแล้วทีม HR จะได้รับหน้าที่ในการออกนโยบายสำหรับพนักงานใหม่ (Employee Policy) ซึ่งควรมีข้อกำหนดที่ครอบคลุมในการใช้ข้อมูลส่วนบุคคล ที่เป็นไปตามวัตถุประสงค์ที่ชัดเจน และ ระบุว่าข้อมูลนั้นจะถูกนำไปใช้อะไรบ้าง เดี๋ยวเราจะยกตัวอย่างกิจกรรมที่องค์กรจะต้องขอ Consent ให้ดูกัน

การเก็บรอยนิ้วมือ และ ข้อมูลสุขภาพของพนักงาน

เมื่อองค์กรรับพนักงานใหม่เข้ามาทำงาน หรือมีพนักงานเก่าอยู่แล้ว บางองค์กรอาจจะต้องการใช้ลายนิ้วมือ หรือ การแสกนใบหน้าเพื่อให้พวกเขาสามารถเช็คอินเข้าทำงานได้ รวมถึงข้อมูลสุขภาพ ซึ่งจริงๆ แล้วตามกกฎหมาย PDPA ข้อมูลพวกนี้จะจัดอยู่ในข้อมูลส่วนบุคคลที่อ่อนไหว ซึ่งองค์กรควรจะมีการขอความยินยอมให้กับพนักงานอีกครั้งว่า เราจะเอาข้อมูลส่วนบุคคลไปใช้ในวัตถุประสงค์อะไร และ ใช้ไปเพื่ออะไรบ้าง และเราควรมีทางเลือกให้สำหรับพนักงานที่ไม่สะดวกใจในการเก็บข้อมูลส่วนบุคคลด้วย ในการที่จะสามารถเช็คอินเข้าบริษัทได้นั้นเอง เช่น การเซ็นชื่อกับหัวหน้าทีมของพนักงานคนนั้นทุกเช้า เนื่องจากข้อมูลเหล่านี้เป็นข้อมูลทาชีวภาพ (Biometric data) ที่เมื่อข้อมูลรั่วไหลไปแล้วอาจส่งผลกระทบต่อพนักงานได้ และ องค์กรเองก็จะโดนโทษปรับและโทษทางปกครอง

2.บันทึกกล้องวงจรปิด

หลายๆองค์กรที่ได้มีการติดกล้องวงจรปิดเพื่อรักษาความปลอดภัย ให้กับพนักงาน ผู้มาติดต่อ หรือ ลูกค้า องค์กรจะต้องมีการร่างนโยบายและขอความยินยอมกับพวกเขาก่อนที่จะเข้ามายังสถานที่นั้นเอง ยกตัวอย่างเช่น ลูกค้าที่จะนำรถยนต์เข้ามาซื้อของในห้างสรรพสินค้า ซึ่งองค์กรก็สามารถนำประกาศไปติดไว้ตรงช่องรับบัตรว่า ” บริเวณนี้มีการบันทึกกล้องวงจรปิดเพื่อความปลอดภัยของห้างเป็นต้น “ ซึ่งอันนี้ก็เป็นรูปแบบประกาศเชิงนโยบายของการขอความยินยอม ที่จะต้องให้ทุก คนสามารถทำให้ลูกค้าเข้าถึงและรับรู้ได้อย่างชัดเจน เพราะฉะนั้นแล้ว พนักงาน ผู้มาติดต่อ หรือ ลูกค้า ได้เห็นประกาศนี้แล้ว พวกเขาได้เดินเข้ามาในสถานที่นั้นก็คือการที่พวกเขาได้ให้ consent ในการเก็บรูปร่าง หน้าตา แล้วนั่นเอง

3.กิจกรรมทางการตลาด

เมื่อพูดถึงแผนก Marketing ก็จะนึกถึงการทำ campaign ต่างๆเพื่อให้ลูกค้ารับรู้หรือเสนอขายเกี่ยวกับสินค้าบริการของเรา โดยปกติเราก็มักจะมีการเก็บลูกค้าเก่าและใหม่อยู่แล้ว ไม่ว่าจะเป็นติดต่อเพื่อเสนอขาย หรือ การทำ customer service แต่เมื่อ PDPA มีการบังคับใช้ การที่เราจะส่ง campaign ไม่ว่าจะเป็นเสนอการขายหรือโปรโมชั่นผ่านทาง sms หรือ line oa จะต้องการขอความยินยอมใหม่ก่อนครับ ซึ่งเราก็สามารถประกาศนโยบายให้ทราบบนน้าเว็บไซต์ก็ได้หรือเราจะส่งไปในทางอีเมลของลูกก็ได้เช่นกัน ซึ่งองค์กรควรที่จะประกาศให้ลูกค้าได้ทราบว่า องค์กรจะนำข้อมูลลูกค้าเพื่อ campaign ผ่านช่องทางอะไรบ้าง สมมุติว่า เราได้ประกาศหรือส่งอีเมลไปขอความยินยอมแล้ว แต่ลูกค้าไม่ได้มีการตอบกลับหรือเพิกเฉย ในทางกฎหมายนั้นก็จะนับว่าลูกค้าได้ให้ความยินยอมแล้วนั่นเอง แต่ถ้ามีลูกค้าที่ไม่พอใจหรือไม่ประสงค์จะให้ความยินยอม องค์กรก็จะต้องมีช่องทางในการให้ลูกค้าสามารถถอดถอนความยินยอมได้ในสิทธิ Data Subject Right นั่นเอง

4.กิจกรรมการขาย

กิจกรรมการขายหรือโทรหาลูกค้าเพื่อขาย โดยปกติแล้วเราสามารถโทรหาลูกค้าเพื่อเสนอขายสินค้าได้เลย แต่เมื่อ PDPA ประกาศบังคับใช้ เวลาแผนก sale จะโทรไปหาลูกค้าเพื่อประชาสัมพันธ์หรือขายสินค้าใหม่ๆ ก็จะต้องมีการขอความยินยอมลูกค้าในสายโทรศัพท์ ก่อนที่เราจะมีการโฆษณาและเสนอขาย โดยจะต้องมีการบันทึกสายสนทนาไว้ด้วยว่าลูกค้าคนนี้ได้มีการให้ consent เพื่อที่เราจะสามารถนำข้อมูลนี้ไปเก็บไว้ใน consent management เพื่อเป็นหลักฐานว่าองค์กรสามารถให้ประาสัมพันธ์และเสนอขายในช่องทางโทรศัพท์ได้นั่นเอง

5.ส่งข้อมูลลูกค้าให้กับบุคคลภายนอก (Third Party)

การส่งข้อมูลพนักงานหรือลูกค้าไปยังองค์กรภายนอกในเชิงพาณิชย์ ยกตัวอย่างเช่น บริษัทการเงินที่จะส่งงข้อมูลลูกค้าไปยังไปให้กับหน่วยงานอื่น ที่จะโฆษณาขายประกันหรือสินเชื่อ เมื่อ PDPA ประกาศบังคับใช้ เราก็จะต้องมีการขอความยินยอมใหม่อีกครั้ง เพราะ ขั้นตอนแรกคือการที่ลูกค้าได้ให้ความยินยอมกับองค์กรในการเก็บข้อมูล ในฐานะ Data Controller แต่เราจะส่งข้อมูลลูกค้าให้กับองค์กรภายนอกเพื่อที่จะนำข้อมูลลูกค้าไปใช้ในเชิงพาณิชย์ ดังนั้นเราก็ที่จะต้องมีการขอความยินยอมกับลูกค้าหรือจะให้องค์กรภายนอกติดต่อเพื่อไปขอความยินยอมกับลูกค้าเองก็ได้ อีกทั้ง เราก็จะต้องมีหลักฐานอีกด้วยว่า ลูกค้าให้ consent กับเราแล้ว นอกจากนี้เมื่อองค์กรได้มีการส่งข้อมูลส่วนบุคคลไปให้องค์กรภายนอก ก็ควรที่จะมีการร่าง Processing Agreement ระหว่าง 2 องค์กรถึง วัตถุประสงฺค์และกิจกรรมการใช้ข้อมูลอีกด้วย