มาตรการการประมวลผลข้อมูลส่วนบุคคลของนักธุรกิจในธุรกิจขายตรงที่มีรูปแบบหลายชั้น

เมื่อไม่นานมานี้ในประเทศไทยตราพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่กำหนดหน้าที่ให้บุคคลหรือนิติบุคคลที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องปฏิบัติตามกฎหมายเกี่ยวกับข้อมูลของเจ้าของข้อมูลส่วนบุคคล ทั้งในเรื่องการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลซึ่งมีผลต่อภาคธุรกิจเป็นอย่างมาก เพราะในโลกของธุรกิจถูกขับเคลื่อนด้วยข้อมูลมหาศาลเหล่านี้ เมื่อนำข้อมูลส่วนบุคคลมาประมวลผลจะต้องแสดงให้เจ้าของข้อมูลส่วนบุคคลเห็นว่าคุณเป็นใครและใช้ข้อมูลส่วนบุคคลของพวกเขาอย่างไร

อย่างไรก็ตามการนำกฎหมายมาปรับใช้กับธุรกิจให้เป็นรูปธรรมเป็นเรื่องใหม่สำหรับภาคธุรกิจ ผู้ศึกษาจึงมุ่งที่จะศึกษาการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของนักธุรกิจในธุรกิจขายตรงที่มีรูปแบบหลายชั้นจากกิจกรรมที่มีการประมวลผลข้อมูลส่วนบุคคลผ่านมุมมองของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ (ภาพที่ 1) ประกอบกับกฎหมาย General Data Protection Regulation (GDPR) ของสหภาพยุโรป

เมื่อพิจารณาสถานะของนักธุรกิจที่เป็นทั้งผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล (ตารางที่ 1) นักธุรกิจจึงมีหน้าที่ต้องปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ และการประมวลผลข้อมูลส่วนบุคคลของนักธุรกิจจะต้องอาศัยฐานการประมวลผลตามกฎหมายซึ่งมีความแตกต่างกันในแต่ละกิจกรรม (ตารางที่ 2)

ในเรื่องการระบุฐานการประมวลผลจะต้องพิจารณาวัตถุประสงค์ในแต่ละกิจกรรมที่มีการประมวลผลข้อมูลส่วนบุคคลของนักธุรกิจ ดังนี้

1. กิจกรรมการเตรียมการก่อนการขาย – มีวัตถุประสงค์ในเตรียมการข้อมูลส่วนบุคคลเบื้องต้นของผู้มุ่งหวัง เพื่อที่จะนำไปสนทนากับผู้มุ่งหวังต่อไป ซึ่งเป็นการเก็บรวบรวมข้อมูลส่วนบุคคลก่อนที่จะมีการเข้าพบผู้มุ่งหวัง เช่น การหาข้อมูลของผู้มุ่งหวังจากเฟซบุ๊คเป็นต้น จึงอาศัยฐานประโยชน์อันชอบธรรมในการประมวลผล
2. กิจกรรมการขาย – มีวัตถุประสงค์นำเสนอผลิตภัณฑ์และแนะนำโอกาสทางธุรกิจ จึงมีการสนทนาพูดคุยระหว่างการนำเสนอทั้งในเรื่องของธุรกิจและเรื่องส่วนบุคคล ทำให้มีการเก็บรวบรวบข้อมูลส่วนบุคคลของผู้มุ่งหวังเกิดขึ้น จึงต้องอาศัยฐานความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
3. กิจกรรมการสมัคร – มีวัตถุประสงค์เพื่อให้ผู้มุ่งหวังสมัครเข้าทำสัญญากับบริษัท ซึ่งนักธุรกิจอาจเก็บรวบรวมข้อมูลส่วนบุคคล เพื่อกรอกลงในใบสมัครหรือนำส่งใบสมัครแก่บริษัท จึงอาศัยฐานสัญญาในการประมวลผล
4. กิจกรรมการสอบถามความคิดเห็นของลูกค้าเกี่ยวกับผลิตภัณฑ์ – มีวัตถุประสงค์เพื่อสอบถามความพึงพอใจ ความสนใจเกี่ยวกับผลิตภัณฑ์เพื่อวิเคราะห์การนำเสนอผลิตภัณฑ์ อันเกิดจากการซื้อผลิตภัณฑ์ของลูกค้า ทำให้นักธุรกิจอาศัยฐานประโยชน์อันชอบธรรมในการประมวลผล
5. กิจกรรมการส่งข้อมูลทางการตลาด – มีวัตถุประสงค์ ส่งสื่อทางการตลาด เช่น การส่งจดหมายข่าว(โปรโมชัน) เป็นต้น ซึ่งจะต้องพิจารณาต่อไปเป็นการแจ้งหรือเสนอขายสินค้าใหม่หรือสินค้าที่คล้ายคลึงกัน 
   หากเป็นการแจ้งหรือเสนอขายสินค้าใหม่ ซึ่งไม่เคยมีความเกี่ยวข้องกับลูกค้ามาก่อน จึงต้องอาศัยฐานความยินยอมในการประมวลผล 
   หากเป็นการแจ้งหรือเสนอขายสินค้าที่คล้ายคลึงกัน นักธุรกิจจึงอาศัยฐานประโยชน์อันชอบธรรมในการประมวลผลได้

จากการสัมภาษณ์นักธุรกิจทำให้ในเรื่องการระบุฐานการประมวลผลจะต้องพิจารณาวัตถุประสงค์ในแต่ละกิจกรรมที่มีการประมวลผลข้อมูลส่วนบุคคลของนักธุรกิจ ดังนี้ ทำให้เห็นถึงเส้นทางการไหลเวียนของข้อมูลส่วนบุคคล (ภาพที่ 2)

พบว่านักธุรกิจเก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้าทั่วไป สมาชิกและนักธุรกิจในองค์กรซึ่งเป็นการเก็บรวบรวมในรูปแบบของกระดาษและอิเล็กทรอนิกส์ โดยนักธุรกิจไม่ได้แจ้งรายละเอียดข้อมูลส่วนบุคคลที่เก็บรวบรวมต่อเจ้าของข้อมูลส่วนบุคคล (ตารางที่ 3) อีกทั้งในบางกิจกรรมยังไม่มีการขอความยินยอมในการประมวลผลข้อมูลส่วนบุคคลตามกฎหมาย (ตารางที่ 4) 

ดังที่ได้กล่าวข้างต้นข้อมูลส่วนบุคคลนี้จะนำไปใช้กับทุกกิจกรรมที่มีการประมวลผลข้อมูลส่วนบุคคล ทั้งนี้แม้ว่านักธุรกิจจะไม่ได้เปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลที่สามนอกเหนือจากผู้ควบคุมข้อมูลและเจ้าของข้อมูล แต่ก็ยังไม่มีกำหนดระยะเวลาการจัดเก็บข้อมูลส่วนบุคคล ไม่มีการลบหรือทำลายข้อมูลที่ได้จัดเก็บดังกล่าว

เมื่อมีการประมวลผลข้อมูลส่วนบุคคลทำให้นักธุรกิจมีหน้าที่ต้องจัดทำบันทึกรายการกิจกรรมประมวลผลข้อมูลส่วนบุคคลในทุกกิจกรรมของตนโดยระบุถึงข้อมูลที่เกี่ยวข้องกับการประมวลผลนั้นทั้งหมด เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ เว้นแต่จะเป็นกิจการขนาดเล็กตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด (ตารางที่ 5)

นอกจากนี้เจ้าของข้อมูลส่วนบุคคลยังสามารถใช้สิทธิของตนกับผู้ควบคุมข้อมูลส่วนบุคคล (ตารางที่ 6) แต่นักธุรกิจไม่ได้แจ้งช่องทางการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลและไม่ทราบวิธีการจัดการคำร้องขอของเจ้าของข้อมูลส่วนบุคคล

ข้อค้นพบ

การดำเนินธุรกิจของนักธุรกิจกลุ่มเป้าหมายชี้ให้เห็นว่านักธุรกิจยังไม่สามารถที่จะปฏิบัติให้สอดคล้องตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ในหลายประการ เนื่องจากยังมีความไม่ชัดเจนเรื่องรูปแบบและวิธีการในการปฏิบัติ และการกำหนดนิยามคำว่ากิจการขนาดเล็กยังไม่ชัดเจนให้หมายถึงบุคคลธรรมดาที่มีการประมวลผลข้อมูลส่วนบุคคลเพื่อประโยชน์ทางธุรกิจหรือทางวิชาชีพ รวมถึงในแต่ละภาคส่วนของธุรกิจยังไม่มีการจัดทำประมวลแนวปฏิบัติอันอาจเป็นแนวทางที่จะก่อให้เกิดมาตรฐานการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล