ร้านค้าออนไลน์ที่เก็บชื่อ ที่อยู่ เบอร์โทร หรือประวัติการสั่งซื้อของลูกค้า ล้วนอยู่ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) และต้องมีฐานทางกฎหมายในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลอย่างถูกต้อง ไม่ว่าร้านจะมีขนาดเล็กหรือใหญ่ก็ตาม บทความนี้สรุปสิ่งที่ SME ต้องทำให้ถูกต้องแบบเข้าใจง่าย
PDPA คืออะไร และเกี่ยวข้องกับร้านค้าออนไลน์อย่างไร
PDPA (Personal Data Protection Act) หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่กำหนดให้ผู้ประกอบธุรกิจที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้า ต้องปฏิบัติตามหลักเกณฑ์ที่กำหนดไว้อย่างเคร่งครัด ร้านค้าออนไลน์ทุกแห่งไม่ว่าจะขายผ่านเว็บไซต์ตัวเอง Facebook Shop Instagram Line OA หรือแพลตฟอร์มมาร์เก็ตเพลส ล้วนเข้าข่าย “ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)” ทันทีที่เก็บข้อมูลลูกค้า เช่น ชื่อ ที่อยู่จัดส่ง เบอร์โทรศัพท์ หรืออีเมล เพื่อดำเนินการสั่งซื้อและจัดส่งสินค้า
ข้อมูลส่วนบุคคลตามนิยามของ PDPA หมายถึงข้อมูลใดๆ ที่สามารถระบุตัวบุคคลได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-นามสกุล เลขบัตรประชาชน เบอร์โทรศัพท์ ที่อยู่ อีเมล หรือแม้แต่พฤติกรรมการซื้อสินค้าที่เชื่อมโยงกับตัวบุคคลได้ ร้านค้าออนไลน์จึงมีข้อมูลส่วนบุคคลของลูกค้าอยู่ในมือแทบทุกวัน และต้องบริหารจัดการให้ถูกต้องตามกฎหมาย
ฐานทางกฎหมายในการเก็บข้อมูลลูกค้า
สิ่งที่ร้านค้าออนไลน์มักเข้าใจผิดคือ ต้องขอความยินยอม (Consent) จากลูกค้าทุกครั้งก่อนเก็บข้อมูล แต่ในความเป็นจริง PDPA เปิดให้ใช้ “ฐานทางกฎหมาย” อื่นได้โดยไม่ต้องขอความยินยอมเสมอไป ฐานที่ร้านค้าออนไลน์ใช้บ่อยที่สุด ได้แก่
- ฐานสัญญา (Contractual Basis): การเก็บชื่อ ที่อยู่ เบอร์โทร เพื่อจัดส่งสินค้าตามคำสั่งซื้อ ถือเป็นความจำเป็นในการปฏิบัติตามสัญญาซื้อขาย จึงไม่จำเป็นต้องขอความยินยอมแยกต่างหาก
- ฐานประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest): เช่น การเก็บประวัติการสั่งซื้อเพื่อป้องกันการทุจริตหรือวิเคราะห์แนวโน้มธุรกิจ แต่ต้องชั่งน้ำหนักว่าไม่กระทบสิทธิของลูกค้าเกินสมควร
- ฐานความยินยอม (Consent): จำเป็นเมื่อร้านต้องการนำข้อมูลลูกค้าไปใช้นอกเหนือจากวัตถุประสงค์การซื้อขายปกติ เช่น ส่งโปรโมชันทางการตลาด (Marketing) ผ่าน SMS หรืออีเมล หรือแชร์ข้อมูลให้บุคคลที่สามเพื่อวัตถุประสงค์อื่น
- ฐานภาระผูกพันตามกฎหมาย: เช่น การเก็บข้อมูลใบกำกับภาษีตามที่กฎหมายภาษีกำหนด
สิ่งที่ร้านค้าออนไลน์ต้องทำให้ถูกต้องตาม PDPA
1. จัดทำนโยบายความเป็นส่วนตัว (Privacy Policy)
ร้านค้าต้องมีเอกสารหรือหน้าเว็บที่ระบุชัดเจนว่าเก็บข้อมูลอะไรบ้าง เก็บไปทำไม เก็บนานแค่ไหน และลูกค้าติดต่อใช้สิทธิ์อย่างไร โดยควรเผยแพร่ในที่ที่ลูกค้าเข้าถึงได้ง่าย เช่น หน้าเว็บไซต์ หรือลิงก์แนบท้ายข้อความสั่งซื้อ
2. ขอความยินยอมสำหรับการตลาดโดยเฉพาะ
หากต้องการส่งโปรโมชันหรือข้อความการตลาดผ่าน SMS อีเมล หรือ Line ต้องมีช่องทางให้ลูกค้ากดยินยอมอย่างชัดเจน (Opt-in) ไม่ใช่การติ๊กถูกไว้ล่วงหน้าให้อัตโนมัติ (Pre-ticked Box) และต้องมีวิธีให้ลูกค้ายกเลิกความยินยอมได้ง่ายเช่นกัน (Opt-out)
3. จำกัดการเก็บข้อมูลเท่าที่จำเป็น (Data Minimization)
ร้านค้าไม่ควรเก็บข้อมูลที่ไม่เกี่ยวข้องกับการซื้อขาย เช่น เลขบัตรประชาชนแบบเต็ม หรือข้อมูลสุขภาพ เว้นแต่มีความจำเป็นจริงและมีฐานทางกฎหมายรองรับชัดเจน
4. เก็บรักษาข้อมูลอย่างปลอดภัย
ต้องมีมาตรการป้องกันข้อมูลรั่วไหล เช่น จำกัดสิทธิ์การเข้าถึงข้อมูลลูกค้าเฉพาะพนักงานที่จำเป็น ใช้รหัสผ่านที่รัดกุมสำหรับระบบจัดการร้านค้า และไม่ส่งต่อไฟล์ข้อมูลลูกค้าผ่านช่องทางที่ไม่ปลอดภัย
5. รองรับสิทธิ์ของเจ้าของข้อมูล (Data Subject Rights)
ลูกค้ามีสิทธิ์ขอเข้าถึงข้อมูลของตนเอง ขอแก้ไขให้ถูกต้อง ขอให้ลบข้อมูล หรือคัดค้านการนำข้อมูลไปใช้เพื่อการตลาด ร้านค้าต้องมีช่องทางรับคำขอเหล่านี้และตอบสนองภายในระยะเวลาที่เหมาะสม
6. ทำสัญญาประมวลผลข้อมูลกับผู้ให้บริการภายนอก
หากใช้บริการขนส่ง ระบบตะกร้าสินค้า หรือระบบ CRM จากบุคคลภายนอกที่เข้าถึงข้อมูลลูกค้า ควรมีข้อตกลงหรือเงื่อนไขการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) เพื่อกำหนดความรับผิดชอบให้ชัดเจน
ตัวอย่างสถานการณ์จริงของร้านค้าออนไลน์
ร้านขายเสื้อผ้าออนไลน์แห่งหนึ่งเก็บชื่อ ที่อยู่ และเบอร์โทรลูกค้าเพื่อจัดส่งสินค้าตามปกติ กรณีนี้ใช้ฐานสัญญาได้โดยไม่ต้องขอความยินยอมเพิ่มเติม แต่หากร้านต้องการเก็บวันเกิดลูกค้าเพื่อส่ง SMS โปรโมชันวันเกิด กรณีนี้ต้องขอความยินยอมแยกต่างหาก เพราะเป็นการใช้ข้อมูลนอกเหนือจากวัตถุประสงค์การซื้อขายเดิม และต้องมีช่องทางให้ลูกค้าปฏิเสธหรือยกเลิกได้ตลอดเวลา
ข้อผิดพลาดที่พบบ่อยของร้านค้าออนไลน์
- ไม่มีนโยบายความเป็นส่วนตัวเลย: ทำให้ไม่สามารถชี้แจงวัตถุประสงค์การเก็บข้อมูลได้เมื่อถูกลูกค้าหรือหน่วยงานสอบถาม
- ส่งโปรโมชันหาลูกค้าเก่าโดยไม่ขอความยินยอม: เป็นข้อผิดพลาดที่พบบ่อยที่สุด เพราะร้านมักคิดว่าเมื่อลูกค้าเคยซื้อสินค้าแล้วสามารถส่งการตลาดได้ตลอดไป
- เก็บข้อมูลเกินความจำเป็น: เช่น ขอสำเนาบัตรประชาชนทั้งที่ไม่มีความจำเป็นทางกฎหมาย เพิ่มความเสี่ยงหากข้อมูลรั่วไหล
- แชร์ฐานข้อมูลลูกค้ากับพันธมิตรธุรกิจโดยไม่แจ้งลูกค้า: ถือเป็นการเปิดเผยข้อมูลนอกวัตถุประสงค์ที่แจ้งไว้ อาจเข้าข่ายผิด PDPA
- ไม่มีมาตรการรักษาความปลอดภัยข้อมูลบนเครื่องมือแชท: เช่น การเก็บสลิปโอนเงินหรือข้อมูลบัตรลูกค้าไว้ในแชทแอปพลิเคชันที่เข้าถึงได้ง่าย
คำแนะนำเชิงปฏิบัติสำหรับร้านค้าออนไลน์
ร้านค้าออนไลน์ควรเริ่มจากสำรวจว่าตนเองเก็บข้อมูลอะไรบ้าง เก็บไว้ที่ไหน และใช้เพื่อวัตถุประสงค์ใด จากนั้นจัดทำนโยบายความเป็นส่วนตัวแบบง่ายๆ ที่ลูกค้าเข้าใจได้ทันที แยกฐานทางกฎหมายให้ชัดเจนระหว่างข้อมูลที่จำเป็นต่อการซื้อขายกับข้อมูลที่ใช้เพื่อการตลาด และจัดเตรียมช่องทางให้ลูกค้าใช้สิทธิ์ของตนเองได้ง่าย เช่น ปุ่มยกเลิกรับข่าวสาร หรือช่องทางติดต่อขอลบข้อมูล การปฏิบัติตาม PDPA อย่างถูกต้องไม่เพียงลดความเสี่ยงทางกฎหมาย แต่ยังช่วยสร้างความไว้วางใจให้ลูกค้ากล้าซื้อซ้ำในระยะยาวอีกด้วย หากไม่มั่นใจในรายละเอียดเฉพาะกรณี ควรปรึกษาผู้เชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคลโดยตรง
ใช้บทความนี้กับธุรกิจของคุณอย่างไร
เนื้อหาเรื่อง PDPA ร้านค้าออนไลน์: เก็บข้อมูลลูกค้าไม่ผิดกฎหมาย ควรนำไปใช้ตรวจสอบกับเอกสารและตัวเลขจริงของกิจการ ไม่ใช่อ่านเพื่อจำคำศัพท์ เพราะแนวทางบัญชีและภาษีขึ้นกับข้อเท็จจริง เอกสาร และรอบเวลาที่เกิดรายการของแต่ละธุรกิจ
เช็กลิสต์ก่อนนำไปใช้
- รวบรวมเอกสารรายรับ รายจ่าย ภาษีซื้อ-ขาย และรายการธนาคารให้ครบตามรอบเดือน
- ตรวจว่าธุรกรรมที่เกี่ยวข้องบันทึกบัญชีถูกต้องและมีหลักฐานรองรับครบถ้วน
- หากไม่แน่ใจเรื่องภาษี ควรปรึกษาผู้ทำบัญชีหรือที่ปรึกษาภาษีก่อนตัดสินใจ
แหล่งอ้างอิงที่ใช้ทบทวน
คำถามที่พบบ่อย (FAQ)
ร้านค้าออนไลน์ขนาดเล็กต้องปฏิบัติตาม PDPA หรือไม่
ต้องปฏิบัติตามเช่นกัน PDPA ไม่ได้ยกเว้นตามขนาดธุรกิจ ตราบใดที่ร้านค้าเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้า เช่น ชื่อ ที่อยู่ เบอร์โทร ก็เข้าข่ายต้องปฏิบัติตามกฎหมายนี้ไม่ว่าจะเป็นร้านเล็กหรือใหญ่
การเก็บที่อยู่ลูกค้าเพื่อจัดส่งสินค้าต้องขอความยินยอมหรือไม่
ไม่จำเป็นต้องขอความยินยอมแยกต่างหาก เพราะการเก็บข้อมูลเพื่อจัดส่งสินค้าตามคำสั่งซื้อถือเป็นความจำเป็นในการปฏิบัติตามสัญญาซื้อขาย (ฐานสัญญา) แต่ร้านยังต้องแจ้งวัตถุประสงค์การเก็บข้อมูลผ่านนโยบายความเป็นส่วนตัวให้ลูกค้าทราบ
ต้องขอความยินยอมทุกครั้งก่อนส่งโปรโมชันให้ลูกค้าเก่าหรือไม่
ใช่ หากต้องการส่งข้อความการตลาดผ่าน SMS อีเมล หรือ Line ไปยังลูกค้าที่เคยซื้อสินค้า ต้องขอความยินยอมแยกต่างหากจากการซื้อขายปกติ และต้องมีช่องทางให้ลูกค้ายกเลิกรับข่าวสารได้ง่ายตลอดเวลา
ร้านค้าออนไลน์ต้องมีนโยบายความเป็นส่วนตัวเป็นลายลักษณ์อักษรหรือไม่
ควรมี เนื่องจาก PDPA กำหนดให้ผู้ควบคุมข้อมูลต้องแจ้งวัตถุประสงค์และรายละเอียดการเก็บข้อมูลแก่เจ้าของข้อมูลอย่างชัดเจน การมีนโยบายความเป็นส่วนตัวที่เผยแพร่บนเว็บไซต์หรือแนบไว้ในขั้นตอนสั่งซื้อจะช่วยให้ร้านค้าปฏิบัติตามข้อกำหนดนี้ได้อย่างถูกต้อง
หากข้อมูลลูกค้ารั่วไหล ร้านค้าออนไลน์ต้องทำอย่างไร
ต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายในระยะเวลาที่กฎหมายกำหนด และแจ้งเจ้าของข้อมูลหากเหตุการณ์นั้นมีความเสี่ยงสูงต่อสิทธิและเสรีภาพของลูกค้า ควรมีแผนรับมือเหตุการณ์ข้อมูลรั่วไหลเตรียมไว้ล่วงหน้า
ใช้บริการขนส่งหรือระบบ CRM ภายนอกที่เข้าถึงข้อมูลลูกค้า ต้องทำอะไรเพิ่มเติม
ควรมีข้อตกลงหรือเงื่อนไขการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) กับผู้ให้บริการภายนอกเหล่านั้น เพื่อกำหนดหน้าที่และความรับผิดชอบในการรักษาความปลอดภัยของข้อมูลลูกค้าให้ชัดเจน
ไม่ปฏิบัติตาม PDPA มีบทลงโทษอย่างไร
PDPA กำหนดทั้งโทษทางแพ่ง โทษทางปกครอง (ค่าปรับ) และโทษทางอาญาในบางกรณี ซึ่งรายละเอียดอัตราโทษที่แน่ชัดควรตรวจสอบกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือที่ปรึกษากฎหมายโดยตรง เพื่อความถูกต้องและเป็นปัจจุบัน