ธุรกิจขนาดเล็กต้องทำอะไรบ้างตาม PDPA? [คู่มือ PDPA ฉบับง่ายสำหรับ SMEs]
หลายคนคิดว่า PDPA (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) เป็นเรื่องสำหรับบริษัทใหญ่ แต่ในความเป็นจริงแล้ว ไม่ว่าจะเป็นร้านค้าออนไลน์ ร้านกาแฟ หรือฟรีแลนซ์ หากมีการเก็บข้อมูลลูกค้า เช่น ชื่อ เบอร์โทร หรืออีเมล ก็อยู่ภายใต้กฎหมาย PDPA เช่นกัน
บทความนี้จะช่วยให้คุณเข้าใจ สิ่งที่ธุรกิจขนาดเล็กต้องทำ เพื่อให้ปฏิบัติตาม PDPA อย่างง่ายที่สุด
✅ ธุรกิจแบบไหนต้องทำตาม PDPA?
หากคุณมีการ “เก็บข้อมูลส่วนบุคคล” ของลูกค้า พนักงาน หรือผู้ติดต่อ เช่น:
ข้อมูลจากฟอร์มหน้าเว็บ (ชื่อ-เบอร์โทร)
รายชื่อผู้ติดตาม Line OA / Facebook
รายชื่อพนักงาน
กล้องวงจรปิดที่จับภาพลูกค้าได้
ธุรกิจของคุณต้องปฏิบัติตาม PDPA ไม่ว่าจะเล็กแค่ไหน
🔍 ธุรกิจขนาดเล็กต้องทำอะไรบ้าง?
1. ตรวจสอบว่าภายในองค์กรเก็บข้อมูลอะไรบ้าง (Data Mapping)
เริ่มต้นโดยการทบทวนว่าเก็บข้อมูลอะไรไว้ เช่น:
รายชื่อลูกค้า
เบอร์โทร / อีเมล
ที่อยู่สำหรับจัดส่งสินค้า
ข้อมูลการชำระเงิน
📌 คำถามง่าย ๆ:
“ข้อมูลนี้ระบุตัวบุคคลได้หรือไม่?” ถ้าใช่ = เป็นข้อมูลส่วนบุคคล
2. แจ้งวัตถุประสงค์ และขอความยินยอม (Consent)
ถ้าคุณเก็บข้อมูลเพื่อ:
ส่งโปรโมชั่น
ใช้ในการโฆษณาออนไลน์
แชร์ให้พาร์ทเนอร์ (เช่น ส่งข้อมูลให้บริษัทขนส่ง)
คุณ ต้องแจ้งลูกค้าให้ชัดเจน ว่าเก็บข้อมูลไปทำอะไร และให้ลูกค้าแจ้งให้ “ความยินยอม” ก่อนเสมอ
✍️ ตัวอย่างข้อความ:
“เว็บไซต์นี้เก็บข้อมูลของคุณเพื่อใช้ในการประมวลผลการสั่งซื้อ และส่งโปรโมชั่นทางอีเมล กรุณากดปุ่ม ‘ยินยอม’ เพื่อดำเนินการต่อ”
3. จัดทำนโยบายความเป็นส่วนตัว (Privacy Policy)
แม้จะเป็นเว็บไซต์ขนาดเล็ก ก็ควรมีหน้านโยบายความเป็นส่วนตัว ที่แจ้งว่า:
เก็บข้อมูลอะไร
ใช้เพื่ออะไร
เก็บไว้นานเท่าไหร่
ใครมีสิทธิใช้ข้อมูล
เจ้าของข้อมูลมีสิทธิอะไรบ้าง
📌 ควรวางลิงก์ไว้ที่ท้ายเว็บไซต์ หรือในเมนูการสมัครใช้งาน
4. ตั้งระบบให้ลูกค้าใช้สิทธิได้
ตามกฎหมาย PDPA ให้สิทธิแก่เจ้าของข้อมูล เช่น:
ขอเข้าถึง / ขอสำเนาข้อมูล
ขอให้ลบ / ถอนความยินยอม
ธุรกิจของคุณควรมีช่องทางติดต่อ เช่น อีเมล หรือฟอร์มสำหรับให้ลูกค้าใช้สิทธิเหล่านี้
5. รักษาความปลอดภัยของข้อมูล (Data Security)
ไม่ว่าจะใช้ Excel หรือ Google Form ข้อมูลต้อง:
เข้ารหัส / ตั้งรหัสผ่าน
จำกัดคนเข้าถึง
สำรองข้อมูลอย่างสม่ำเสมอ
ไม่แชร์ไฟล์ลูกค้าในที่สาธารณะ
⚠️ ถ้าไม่ทำตาม PDPA จะเกิดอะไรขึ้น?
โทษตามกฎหมายมีทั้ง:
ปรับทางปกครองสูงสุด 5 ล้านบาท
โทษอาญา: จำคุกไม่เกิน 1 ปี
เสียค่าชดเชยทางแพ่งให้เจ้าของข้อมูล
แม้ภาครัฐจะให้ความยืดหยุ่นกับธุรกิจขนาดเล็ก แต่หากมีการร้องเรียน ผู้ถูกร้องเรียนต้องรับผิดชอบตามกฎหมาย
✅ สรุป: ธุรกิจขนาดเล็กต้องทำอะไรตาม PDPA?
| สิ่งที่ต้องทำ | อธิบาย |
|---|---|
| ตรวจสอบข้อมูลที่เก็บ | ชื่อ เบอร์ อีเมล อยู่ในข่าย PDPA |
| ขอความยินยอม | ทุกครั้งก่อนใช้ข้อมูลในเชิงพาณิชย์ |
| มีนโยบายความเป็นส่วนตัว | แจ้งให้ลูกค้าทราบสิทธิและวัตถุประสงค์ |
| มีช่องทางให้ลูกค้าใช้สิทธิ | เช่น ถอนความยินยอม, ขอสำเนาข้อมูล |
| ดูแลข้อมูลให้ปลอดภัย | เข้ารหัส, ไม่แชร์, สำรองข้อมูล |