บริษัทเก็บข้อมูลลูกค้าอย่างไรไม่ให้ผิดกฎหมาย

                   ในยุคที่ธุรกิจแทบทุกประเภทต้องอาศัยข้อมูลลูกค้าในการขายสินค้า การให้บริการ การทำการตลาด และการบริหารความสัมพันธ์กับลูกค้า คำถามสำคัญที่เจ้าของกิจการ ผู้บริหาร ฝ่ายบุคคล ฝ่ายขาย ฝ่ายการตลาด และแอดมินเว็บไซต์มักสงสัยคือ บริษัทเก็บข้อมูลลูกค้าอย่างไรไม่ให้ผิดกฎหมาย เพราะหากเก็บ ใช้ หรือเปิดเผยข้อมูลโดยไม่ถูกต้อง ธุรกิจอาจเผชิญทั้งข้อร้องเรียน ความเสียหายต่อชื่อเสียง ความรับผิดทางแพ่ง โทษทางปกครอง และในบางกรณีอาจมีโทษอาญาตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยได้ด้วย
                   กฎหมายหลักที่เกี่ยวข้องในเรื่องนี้คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ซึ่งใช้บังคับกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลในประเทศไทย และในบางกรณียังครอบคลุมผู้ที่อยู่นอกราชอาณาจักรแต่เสนอสินค้าหรือบริการแก่บุคคลที่อยู่ในประเทศไทยด้วย
                   ดังนั้น หากบริษัทต้องการเก็บข้อมูลลูกค้าอย่างถูกกฎหมาย ไม่ใช่แค่ “มีช่องติ๊กยินยอม” หรือ “ทำนโยบายความเป็นส่วนตัวไว้หน้าเว็บ” เท่านั้น แต่ต้องเข้าใจตั้งแต่เรื่องฐานกฎหมายในการประมวลผลข้อมูล ขอบเขตการเก็บข้อมูลที่จำเป็น วิธีแจ้งรายละเอียดแก่เจ้าของข้อมูล การจัดทำระบบรักษาความมั่นคงปลอดภัย การทำบันทึกรายการประมวลผล และการเคารพสิทธิของลูกค้าตามกฎหมายด้วย บทความนี้ ทนายนิธิพล ขออธิบายแบบละเอียดว่า บริษัทควรเก็บข้อมูลลูกค้าอย่างไรไม่ให้ผิดกฎหมาย ต้องระวังเรื่องอะไรบ้าง และควรวางระบบเอกสารอย่างไรเพื่อให้ธุรกิจเดินหน้าได้โดยลดความเสี่ยงทางกฎหมาย

                  1) ก่อนอื่นต้องเข้าใจก่อนว่า “ข้อมูลลูกค้า” แบบไหนเข้าข่ายข้อมูลส่วนบุคคล
                  ตามหลักกฎหมาย ข้อมูลส่วนบุคคลคือข้อมูลที่ทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-นามสกุล เบอร์โทรศัพท์ อีเมล เลขบัตรประชาชน ที่อยู่ เลขบัญชี ภาพถ่าย IP address หรือข้อมูลอื่นที่เชื่อมโยงไปถึงตัวบุคคลได้ หากบริษัทเก็บข้อมูลเหล่านี้จากลูกค้า ผู้ติดต่อ ผู้ใช้งานเว็บไซต์ หรือผู้ติดตามเพจ ก็มีโอกาสสูงที่จะอยู่ภายใต้ PDPA
                  นอกจากนี้ กฎหมายยังแยก ข้อมูลส่วนบุคคลที่มีความอ่อนไหว ออกต่างหาก เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม และข้อมูลชีวภาพ ซึ่งโดยหลักแล้วห้ามเก็บ เว้นแต่เข้าเงื่อนไขตามกฎหมาย เช่น ได้รับความยินยอมโดยชัดแจ้งหรือมีข้อยกเว้นตามมาตรา 26
                  พูดง่าย ๆ คือ บริษัทไม่ควรคิดว่า “ขอเก็บไว้ก่อน เผื่อได้ใช้ภายหลัง” เพราะยิ่งเก็บมาก ยิ่งเสี่ยงมาก และถ้าเป็นข้อมูลอ่อนไหวยิ่งต้องระวังเป็นพิเศษ

                  2) บริษัทจะเก็บข้อมูลลูกค้าได้ ต้องมี “ฐานกฎหมาย” รองรับ
                  ประเด็นสำคัญมากของคำถามว่า บริษัทเก็บข้อมูลลูกค้าอย่างไรไม่ให้ผิดกฎหมาย คือ บริษัทต้องมีเหตุผลทางกฎหมายที่ชัดเจนก่อนจะเก็บ ใช้ หรือเปิดเผยข้อมูล ไม่ใช่เก็บเพราะสะดวกหรืออยากมีฐานข้อมูลไว้ทำการตลาดในอนาคต โดยมาตรา 19 วางหลักว่า การเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูล เว้นแต่เข้าข้อยกเว้นตามที่กฎหมายกำหนด
                  ในทางปฏิบัติ ฐานกฎหมายที่ธุรกิจมักใช้บ่อย ได้แก่ การขอความยินยอม, การจำเป็นเพื่อการทำสัญญาหรือก่อนทำสัญญา, การปฏิบัติตามกฎหมาย, ประโยชน์โดยชอบด้วยกฎหมายของบริษัท, การป้องกันหรือระงับอันตรายต่อชีวิต/สุขภาพ และฐานอื่นตามที่กฎหมายรองรับ ซึ่งการเลือกฐานกฎหมายต้องสอดคล้องกับวัตถุประสงค์จริงของการใช้ข้อมูล ไม่ใช่เลือกแบบกว้าง ๆ เพื่อกันพลาด ตัวอย่างเช่น บริษัทขายสินค้าออนไลน์เก็บชื่อ ที่อยู่ เบอร์โทร เพื่อจัดส่งสินค้า อาจอาศัยฐานจำเป็นเพื่อปฏิบัติตามสัญญาได้ แต่ถ้าบริษัทต้องการนำอีเมลลูกค้าไปส่งโปรโมชั่นต่อเนื่อง อาจต้องพิจารณาฐานกฎหมายให้เหมาะสม และในหลายกรณีควรมีการขอความยินยอมที่ชัดเจนเพื่อความปลอดภัยทางกฎหมาย

                  3) เก็บได้เท่าที่จำเป็น ห้ามเก็บเกินวัตถุประสงค์
                  มาตรา 22 กำหนดหลักสำคัญว่า การเก็บรวบรวมข้อมูลส่วนบุคคลต้องเก็บเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล นี่คือหัวใจของการทำ PDPA ในภาคธุรกิจ เพราะหลายบริษัทมักทำแบบฟอร์มสมัครสมาชิกหรือแบบฟอร์มสั่งซื้อยาวเกินจำเป็น เช่น ขายสินค้าทั่วไปแต่กลับเก็บวันเดือนปีเกิด เลขบัตรประชาชน อาชีพ รายได้ สถานภาพสมรส หรือข้อมูลสุขภาพ โดยไม่มีเหตุจำเป็นแท้จริง แบบนี้ยิ่งเพิ่มความเสี่ยงทางกฎหมายโดยไม่จำเป็น
                 แนวคิดที่ถูกต้องคือ เก็บเฉพาะข้อมูลที่จำเป็นต่อวัตถุประสงค์นั้นจริง ๆ ใช้เท่าที่จำเป็น เก็บไว้เท่าที่จำเป็น และลบหรือทำลายเมื่อหมดความจำเป็นตามวัตถุประสงค์ ดังนั้น ถ้าธุรกิจถามว่า “ขอข้อมูลลูกค้าได้มากแค่ไหน” คำตอบคือ ขอได้เท่าที่จำเป็นอย่างแท้จริงและต้องอธิบายได้ว่าจำเป็นเพราะอะไร

                  4) ต้องแจ้งลูกค้าให้ทราบก่อนหรือขณะเก็บข้อมูล
                  มาตรา 23 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งรายละเอียดแก่เจ้าของข้อมูลก่อนหรือในขณะเก็บรวบรวมข้อมูล เว้นแต่เจ้าของข้อมูลทราบอยู่แล้ว กล่าวอีกแบบหนึ่งคือ บริษัทไม่ควรเก็บข้อมูลลูกค้าแบบเงียบ ๆ หรือซ่อนเงื่อนไขไว้ลึกมากจนลูกค้าไม่เข้าใจ เพราะกฎหมายคาดหวังให้เจ้าของข้อมูลรับรู้ว่า บริษัทเป็นใคร เก็บข้อมูลอะไร เก็บไปเพื่ออะไร อาศัยฐานกฎหมายอะไร จะเปิดเผยให้ใครบ้าง เก็บไว้นานแค่ไหน เจ้าของข้อมูลมีสิทธิอะไรบ้าง และติดต่อบริษัทหรือเจ้าหน้าที่คุ้มครองข้อมูลได้อย่างไร
                  ในเชิงเว็บไซต์ เอกสารที่นิยมใช้คือ Privacy Policy / Privacy Notice / Cookie Notice / Consent Form ข้อความใต้แบบฟอร์มสมัคร / ติดต่อ / สั่งซื้อ แต่ต้องเข้าใจว่าเอกสารเหล่านี้ไม่ใช่ทำไว้เพื่อ “ให้มี” เท่านั้น ต้องเขียนให้สอดคล้องกับการปฏิบัติจริงของบริษัทด้วย

                  5) ความยินยอมต้องชัดเจน ไม่บังคับ และถอนเมื่อไรก็ได้
                  หลายธุรกิจเข้าใจผิดว่า ทำช่องติ๊กยินยอมไว้หน้าเว็บแล้วถือว่าจบ แต่ความจริงมาตรา 19 วางหลักเรื่องความยินยอมไว้อย่างมีนัยสำคัญ คือ ต้องทำโดยชัดแจ้ง แยกจากข้อความอื่นอย่างชัดเจน เข้าใจง่าย ไม่หลอกลวง ไม่ทำให้เจ้าของข้อมูลเข้าใจผิด และเจ้าของข้อมูลสามารถถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม
                  ดังนั้น สิ่งที่ไม่ควรทำ เช่น ติ๊กยินยอมไว้ล่วงหน้าแล้ว บังคับว่าถ้าไม่ยินยอมการตลาดจะซื้อสินค้าไม่ได้ ทั้งที่ไม่เกี่ยวกัน ใช้ภาษากว้างเกินไป เช่น “ยินยอมให้ใช้ข้อมูลทุกกรณี” รวมความยินยอมหลายเรื่องไว้ในช่องเดียว ถอนยินยอมยากกว่าตอนกดยอมรับ ถ้าบริษัทใช้ฐาน “ความยินยอม” จริง ต้องออกแบบระบบให้ลูกค้าเลือกได้จริง เข้าใจได้จริง และถอนออกได้จริง

                  6) อย่านำข้อมูลไปใช้เกินจากวัตถุประสงค์เดิม
                  กฎหมายไม่ได้คุมเฉพาะตอน “เก็บ” แต่คุมถึงตอน “ใช้” และ “เปิดเผย” ด้วย โดยหากบริษัทจะนำข้อมูลไปใช้ในวัตถุประสงค์ใหม่ที่แตกต่างจากที่แจ้งไว้เดิม จะทำไม่ได้ เว้นแต่เข้าเงื่อนไขตามกฎหมาย เช่น แจ้งวัตถุประสงค์ใหม่และได้รับความยินยอมก่อน หรือมีกฎหมายอื่นให้อำนาจไว้
                  ตัวอย่างความเสี่ยงที่พบบ่อย ลูกค้ากรอกข้อมูลเพื่อซื้อสินค้า แต่บริษัทนำไปขายต่อให้พันธมิตร ลูกค้ากรอกข้อมูลเพื่อติดต่อกลับ แต่บริษัทนำไปยิงโฆษณาต่อ ลูกค้าส่งเอกสารเพื่อสมัครงาน แต่บริษัทนำไปทำฐานข้อมูลการตลาดทั้งหมดนี้อาจมีปัญหาทางกฎหมายได้ หากไม่ได้แจ้งวัตถุประสงค์ไว้ชัดเจนและไม่มีฐานกฎหมายรองรับ

                 7) ถ้าเก็บข้อมูลอ่อนไหว ต้องยิ่งระวังเป็นพิเศษ
                 ข้อมูลอ่อนไหวตามมาตรา 26 เป็นกลุ่มข้อมูลที่กฎหมายคุ้มครองเข้มกว่าปกติ โดยหลักห้ามเก็บ เว้นแต่มีเหตุยกเว้นตามกฎหมาย เช่น ได้รับความยินยอมโดยชัดแจ้ง หรือเข้าเงื่อนไขที่กฎหมายกำหนด ธุรกิจที่เสี่ยงเจอประเด็นนี้บ่อย ได้แก่ คลินิก โรงพยาบาล ฟิตเนส โรงเรียน บริษัทประกัน นายจ้าง บริษัทตรวจประวัติ หรือแพลตฟอร์มที่ใช้ระบบสแกนใบหน้า ลายนิ้วมือ หรือข้อมูลสุขภาพของลูกค้า
                 หากธุรกิจจำเป็นต้องแตะข้อมูลอ่อนไหว ควรให้ทนายหรือผู้เชี่ยวชาญตรวจเอกสารและขั้นตอนทั้งหมดก่อนเสมอ เพราะความผิดพลาดในส่วนนี้มักมีความเสี่ยงสูงกว่าข้อมูลทั่วไป

                8) บริษัทต้องมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล
                มาตรา 37 กำหนดหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลให้ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลโดยมิชอบ และยังมีประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยที่ออกในราชกิจจานุเบกษาเมื่อปี 2565 เพิ่มรายละเอียดเชิงปฏิบัติอีกชั้นหนึ่ง
                ในทางปฏิบัติ มาตรการที่บริษัทควรมี เช่น กำหนดสิทธิการเข้าถึงข้อมูลตามหน้าที่ ใช้รหัสผ่านที่เหมาะสมและการยืนยันตัวตน จำกัดการดาวน์โหลดหรือส่งต่อไฟล์ลูกค้า เข้ารหัสข้อมูลที่สำคัญ แยกบทบาทของพนักงานขาย แอดมิน ฝ่ายบัญชี และฝ่ายไอที มีระบบสำรองข้อมูล ตรวจสอบการเข้าถึงย้อนหลังได้ กำหนดขั้นตอนเมื่อเกิดเหตุข้อมูลรั่วไหล ที่สำคัญคือ “มาตรการที่เหมาะสม” ไม่ได้แปลว่าทุกบริษัทต้องมีระบบราคาแพงเหมือนองค์กรขนาดใหญ่ แต่ต้องเหมาะกับลักษณะ ปริมาณ ความเสี่ยง และผลกระทบของข้อมูลที่ถือครองอยู่จริง

               9) ต้องควบคุมผู้ประมวลผลข้อมูลและผู้รับจ้างภายนอกด้วย
               หลายบริษัทเข้าใจว่าถ้าเอางานไปให้ Vendor ทำ เช่น บริษัททำระบบ CRM, บริษัทส่ง SMS, บริษัททำแชตบอต, บริษัทเก็บ Cloud, บริษัทรับทำการตลาด หรือ Outsource Call Center แล้วความเสี่ยงทางกฎหมายจะย้ายไปอยู่กับผู้รับจ้างทั้งหมด ซึ่งไม่จริงเสมอไป มาตรา 37 วางหน้าที่ให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องมีการดำเนินการที่เหมาะสมเพื่อป้องกันไม่ให้ผู้ประมวลผลข้อมูลใช้หรือเปิดเผยข้อมูลนอกเหนือจากคำสั่งหรือโดยมิชอบ เพราะฉะนั้น หากบริษัทจ้างบุคคลภายนอกจัดการข้อมูลลูกค้า ควรมีอย่างน้อย สัญญาประมวลผลข้อมูลหรือข้อกำหนดคุ้มครองข้อมูล การกำหนดขอบเขตงานชัดเจน การกำหนดมาตรการรักษาความลับ การกำหนดสิทธิในการตรวจสอบ เงื่อนไขการลบ/คืนข้อมูลเมื่อเลิกจ้าง ข้อกำหนดเรื่องการแจ้งเหตุละเมิดข้อมูล
              10) บริษัทควรทำบันทึกรายการประมวลผลข้อมูล
              มาตรา 39 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกรายการเกี่ยวกับการประมวลผลข้อมูลเพื่อให้เจ้าของข้อมูลและสำนักงานสามารถตรวจสอบได้ และมีประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลปี 2565 ว่าด้วยหลักเกณฑ์และวิธีการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลรองรับเพิ่มเติม
              เอกสารนี้ในทางปฏิบัติมักเรียกว่า ROPA หรือบันทึกรายการประมวลผลข้อมูล ซึ่งช่วยให้บริษัทเห็นภาพทั้งระบบว่า เก็บข้อมูลอะไร เก็บจากใคร เก็บเพื่ออะไร ใช้ฐานกฎหมายใด ส่งต่อให้ใคร เก็บไว้นานเท่าไร มีมาตรการป้องกันอย่างไรธุรกิจจำนวนมากมี Privacy Policy แล้ว แต่ไม่มี ROPA ทำให้เวลาถูกตรวจสอบจริงตอบไม่ได้ว่าข้อมูลลูกค้าไหลผ่านองค์กรอย่างไร แบบนี้เสี่ยงมาก

              11) ต้องเคารพสิทธิของเจ้าของข้อมูลส่วนบุคคล
              PDPA ให้สิทธิแก่เจ้าของข้อมูลหลายประการ เช่น สิทธิรับทราบรายละเอียด สิทธิขอเข้าถึงข้อมูล สิทธิขอรับสำเนา สิทธิขอให้โอนข้อมูลในบางกรณี สิทธิคัดค้าน สิทธิขอลบหรือทำลาย สิทธิระงับการใช้ และสิทธิขอแก้ไขข้อมูลให้ถูกต้องเป็นปัจจุบัน ดังนั้น บริษัทควรมีช่องทางให้ลูกค้ายื่นคำขอได้จริง เช่น อีเมลเฉพาะ แบบฟอร์มออนไลน์ หรือช่องทางติดต่อเจ้าหน้าที่ที่ชัดเจน ไม่ใช่เขียนในนโยบายว่า “ลูกค้ามีสิทธิ” แต่เมื่อมีการใช้สิทธิจริงกลับไม่มีคนรับเรื่อง ไม่มี SLA และไม่มีระบบติดตามคำขอ ธุรกิจที่ทำระบบนี้ดี มักลดข้อพิพาทได้มาก เพราะลูกค้ารู้สึกว่าบริษัทรับผิดชอบและพร้อมแก้ไขปัญหาอย่างโปร่งใส

              12) เก็บไว้นานแค่ไหนจึงจะไม่ผิดกฎหมาย
              คำถามยอดฮิตคือ ข้อมูลลูกค้าเก็บไว้ได้กี่ปี คำตอบคือกฎหมายไม่ได้กำหนดตัวเลขตายตัวสำหรับทุกธุรกิจ แต่ยึดหลักว่า เก็บไว้เท่าที่จำเป็นตามวัตถุประสงค์ และเมื่อพ้นความจำเป็นแล้วควรลบ ทำลาย หรือทำให้ไม่สามารถระบุตัวบุคคลได้ เว้นแต่มีเหตุให้เก็บต่อได้ตามกฎหมาย เช่น เพื่อการปฏิบัติตามกฎหมาย เพื่อการก่อตั้งสิทธิเรียกร้อง การใช้สิทธิเรียกร้อง หรือการต่อสู้สิทธิเรียกร้องตามกฎหมาย
             ดังนั้น บริษัทควรจัดทำ Data Retention Policy แยกตามประเภทข้อมูล เช่น ข้อมูลลูกค้าทั่วไป ข้อมูลบัญชีและภาษี ข้อมูลสมัครงาน ข้อมูลกล้องวงจรปิด ข้อมูลการตลาด ข้อมูลร้องเรียน เพื่อให้พนักงานรู้ว่าข้อมูลใดควรลบเมื่อไร

             13) หากฝ่าฝืน อาจมีทั้งค่าเสียหาย โทษทางปกครอง และโทษอาญา
             PDPA ไม่ใช่กฎหมายเชิงสัญลักษณ์เท่านั้น เพราะมีระบบความรับผิดหลายชั้น หากบริษัททำให้เจ้าของข้อมูลเสียหาย เจ้าของข้อมูลสามารถเรียกค่าสินไหมทดแทนทางแพ่งได้ และศาลอาจกำหนดค่าเสียหายเชิงลงโทษเพิ่มเติมได้ตามเงื่อนไขของกฎหมาย ขณะที่การไม่ปฏิบัติตามหน้าที่บางประการ เช่น การแจ้งรายละเอียดตามมาตรา 23 หรือการจัดทำบันทึกรายการตามมาตรา 39 อาจนำไปสู่โทษทางปกครองตามมาตรา 82 และการฝ่าฝืนบางกรณีเกี่ยวกับข้อมูลอ่อนไหวหรือการเปิดเผยโดยมิชอบอาจมีโทษอาญาตามมาตรา 79 เป็นต้น
            ด้วยเหตุนี้ ประเด็น บริษัทเก็บข้อมูลลูกค้าอย่างไรไม่ให้ผิดกฎหมาย จึงไม่ใช่เรื่องเอกสารหน้าบ้านอย่างเดียว แต่เป็นเรื่องการจัดการความเสี่ยงทั้งองค์กร

            14) ตัวอย่างการเก็บข้อมูลลูกค้าแบบ “เสี่ยงผิดกฎหมาย”
            เพื่อให้เห็นภาพชัดขึ้น ต่อไปนี้คือตัวอย่างที่พบบ่อย

            กรณีที่ 1: แบบฟอร์มติดต่อหน้าเว็บเก็บเกินจำเป็น
            มีช่องให้กรอกเลขบัตรประชาชน วันเกิด อาชีพ ทั้งที่แค่ต้องการให้พนักงานโทรกลับ กรณีนี้อาจขัดหลักเก็บเท่าที่จำเป็น

            กรณีที่ 2: ซื้อของครั้งเดียว แต่ถูกส่งโฆษณาไม่หยุด
            หากบริษัทไม่ได้แจ้งวัตถุประสงค์หรือไม่มีฐานกฎหมายรองรับ การนำข้อมูลไปใช้การตลาดต่ออาจมีความเสี่ยง

            กรณีที่ 3: ส่งรายชื่อลูกค้าให้พาร์ตเนอร์โดยลูกค้าไม่รู้
            อาจเข้าข่ายเปิดเผยข้อมูลนอกวัตถุประสงค์เดิม

            กรณีที่ 4: ใช้ลายนิ้วมือหรือสแกนหน้าโดยไม่มีความจำเป็น
            หากไม่มีเหตุที่เหมาะสมและไม่มีฐานกฎหมายรองรับ ยิ่งเสี่ยงเพราะเป็นข้อมูลอ่อนไหว/ข้อมูลชีวภาพ

            กรณีที่ 5: พนักงานดาวน์โหลดรายชื่อลูกค้าออกไปเองได้ทั้งหมด
            สะท้อนว่ามาตรการรักษาความมั่นคงปลอดภัยอาจไม่เพียงพอ

           15) เช็กลิสต์สำหรับบริษัทที่อยากเก็บข้อมูลลูกค้าให้ถูกกฎหมาย
           หากถามแบบภาคปฏิบัติว่า บริษัทเก็บข้อมูลลูกค้าอย่างไรไม่ให้ผิดกฎหมาย คำตอบสั้นที่สุดคือ บริษัทควรทำอย่างน้อย 10 เรื่องนี้ ได้แก่ สำรวจว่าบริษัทเก็บข้อมูลอะไรบ้าง แยกประเภทข้อมูลทั่วไปและข้อมูลอ่อนไหว กำหนดวัตถุประสงค์ให้ชัด เลือกฐานกฎหมายให้ถูกกับแต่ละวัตถุประสงค์ เขียน Privacy Notice / Consent ให้ตรงกับการใช้งานจริง เก็บเท่าที่จำเป็น จำกัดสิทธิการเข้าถึงข้อมูล ทำสัญญากับ Vendor ที่เกี่ยวข้องกับข้อมูล จัดทำบันทึกรายการประมวลผลข้อมูล กำหนดช่องทางรับคำขอใช้สิทธิและแผนรับมือเหตุข้อมูลรั่วไหล

           16) ธุรกิจขนาดเล็กต้องทำ PDPA ด้วยหรือไม่
           หลายคนเข้าใจว่ากฎหมายนี้ใช้กับเฉพาะบริษัทใหญ่ แต่โดยหลักแล้ว หากธุรกิจมีการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้า ก็ต้องพิจารณาปฏิบัติตาม PDPA แล้ว เพียงแต่รายละเอียดบางเรื่องอาจมีข้อยกเว้นหรือระดับความเข้มข้นต่างกันตามลักษณะกิจการและความเสี่ยง เช่น ประเด็นบันทึกรายการหรือเจ้าหน้าที่คุ้มครองข้อมูลในบางกรณี
          ดังนั้น ร้านค้าออนไลน์ คลินิก โรงเรียน บริษัทบริการ บริษัทรับเหมา สตาร์ตอัป หรือสำนักงานวิชาชีพต่าง ๆ ไม่ควรมองข้ามเรื่องนี้

           สรุป: บริษัทเก็บข้อมูลลูกค้าอย่างไรไม่ให้ผิดกฎหมาย สรุปให้ชัดที่สุด บริษัทที่ต้องการเก็บข้อมูลลูกค้าอย่างไม่ให้ผิดกฎหมาย ควรยึดหลักดังนี้ เก็บเมื่อมีฐานกฎหมายรองรับ เก็บเท่าที่จำเป็น แจ้งรายละเอียดให้ลูกค้าทราบอย่างโปร่งใส ขอความยินยอมให้ถูกต้องเมื่อจำเป็น ไม่ใช้ข้อมูลเกินวัตถุประสงค์ ป้องกันข้อมูลด้วยมาตรการที่เหมาะสม ควบคุมผู้รับจ้างภายนอก จัดทำบันทึกรายการประมวลผลข้อมูล เคารพสิทธิของเจ้าของข้อมูล และลบข้อมูลเมื่อหมดความจำเป็น
          ถ้าธุรกิจละเลยเรื่องเหล่านี้ ความเสี่ยงไม่ได้มีเพียงเรื่องค่าปรับ แต่รวมถึงความเสียหายต่อความเชื่อมั่นของลูกค้าและภาพลักษณ์ขององค์กรด้วย หากคุณกำลังจัดทำเว็บไซต์บริษัท วางระบบฟอร์มเก็บข้อมูลลูกค้า ทำแคมเปญการตลาดออนไลน์ หรืออยากตรวจเอกสาร PDPA ขององค์กรให้ถูกต้องก่อนเกิดปัญหา บทความนี้จาก ทนายนิธิพล ตั้งใจให้เป็นจุดเริ่มต้นที่ช่วยให้เห็นภาพกฎหมายชัดขึ้น แต่ในกรณีที่ธุรกิจมีการใช้ข้อมูลจำนวนมาก มีการส่งข้อมูลให้พาร์ตเนอร์ หรือเกี่ยวข้องกับข้อมูลอ่อนไหว ควรให้ผู้เชี่ยวชาญตรวจระบบเฉพาะกรณีเพิ่มเติม