ภาพรวม
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่เรียกว่า PDPA เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับสมบูรณ์ของไทย มีผลบังคับใช้เต็มรูปแบบตั้งแต่ 1 มิถุนายน 2565 ควบคุมการเก็บรวบรวม ใช้ เปิดเผย และโอนข้อมูลส่วนบุคคลโดยองค์กรที่ดำเนินงานในไทยหรือประมวลผลข้อมูลของบุคคลในไทย
สำหรับอุตสาหกรรมขนส่งสินค้า PDPA มีผลกระทบอย่างมาก สินค้าทุกรายการเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล — ชื่อผู้ส่ง ที่อยู่ผู้รับ หมายเลขโทรศัพท์ อีเมล เลขบัตรประชาชนหรือหนังสือเดินทาง และเลขประจำตัวผู้เสียภาษี
PDPA มีผลกับตัวแทนขนส่งในสองสถานะ:
- ผู้ควบคุมข้อมูล (Data Controller) — เมื่อตัวแทนขนส่งกำหนดวัตถุประสงค์และวิธีการประมวลผล (เช่น เก็บข้อมูลติดต่อลูกค้าสำหรับระบบจองของตนเอง)
- ผู้ประมวลผลข้อมูล (Data Processor) — เมื่อตัวแทนขนส่งประมวลผลข้อมูลในนามของผู้อื่น (เช่น ยื่นใบขนต่อกรมศุลกากรโดยใช้ข้อมูลที่ผู้ส่งสินค้าให้มา)
การไม่ปฏิบัติตาม PDPA อาจส่งผลให้ถูกปรับทางปกครองสูงถึง 5 ล้านบาท โทษอาญารวมถึงจำคุกไม่เกิน 1 ปี และความรับผิดทางแพ่งสำหรับค่าเสียหายจริงพร้อมค่าเสียหายเชิงลงโทษสูงสุด 2 เท่า
ข้อมูลส่วนบุคคลในการดำเนินงานขนส่ง
ตัวแทนขนส่งจัดการข้อมูลส่วนบุคคลหลายประเภทที่ได้รับการคุ้มครองภายใต้ PDPA:
| ประเภทข้อมูล | ตัวอย่าง | ปรากฏที่ |
|---|---|---|
| ข้อมูลระบุตัวตน | ชื่อ-นามสกุล เลขบัตรประชาชน หนังสือเดินทาง | AWB, B/L, ใบขน, หนังสือรับรองแหล่งกำเนิด |
| ข้อมูลติดต่อ | ที่อยู่ หมายเลขโทรศัพท์ อีเมล LINE ID | บันทึกการจอง คำสั่งจัดส่ง AWB notify party |
| ข้อมูลทางการเงิน | เลขประจำตัวผู้เสียภาษี บัญชีธนาคาร (สำหรับคืนอากร) | ใบขน ใบแจ้งหนี้ บันทึกการชำระเงิน |
| ข้อมูลสินค้า | รายละเอียดสินค้า มูลค่า ต้นทาง/ปลายทาง | AWB, commercial invoice, packing list |
ข้อมูลสินค้า (รายละเอียดสินค้า รหัส HS น้ำหนัก) โดยทั่วไปไม่ใช่ข้อมูลส่วนบุคคลในตัวเอง แต่จะกลายเป็นข้อมูลส่วนบุคคลเมื่อเชื่อมโยงกับบุคคลที่ระบุตัวตนได้ เช่น ผู้รับสินค้าที่เป็นบุคคลธรรมดาแทนที่จะเป็นนิติบุคคล
PDPA นิยาม ข้อมูลส่วนบุคคล อย่างกว้างว่าเป็นข้อมูลใดๆ ที่เกี่ยวกับบุคคลซึ่งสามารถระบุตัวบุคคลนั้นได้โดยตรงหรือโดยอ้อม เลขประจำตัวผู้เสียภาษี 13 หลักที่กำหนดให้ผู้ประกอบการรายเดียว เป็นข้อมูลส่วนบุคคลแม้จะเป็นตัวระบุทางธุรกิจด้วย
ตัวแทนขนส่งควรจัดทำ ทะเบียนข้อมูล (data inventory) — บันทึกครอบคลุมว่าเก็บข้อมูลส่วนบุคคลอะไร เพราะเหตุใด เก็บที่ไหน ใครเข้าถึงได้ และเก็บนานเท่าใด KabyTech มีเครื่องมือแมปข้อมูลที่ระบุฟิลด์ข้อมูลส่วนบุคคลในบันทึกสินค้าทั้งหมดโดยอัตโนมัติ
การประมวลผลข้อมูลและข้อกำหนดความยินยอม
ภายใต้ PDPA ข้อมูลส่วนบุคคลสามารถประมวลผลได้ด้วย ฐานทางกฎหมาย ที่ถูกต้องเท่านั้น ฐานที่เกี่ยวข้องที่สุดสำหรับการขนส่ง:
- ความจำเป็นตามสัญญา — การประมวลผลจำเป็นเพื่อปฏิบัติตามสัญญากับเจ้าของข้อมูล (เช่น ใช้ที่อยู่ผู้รับเพื่อจัดส่งสินค้า) นี่คือฐานที่ใช้บ่อยที่สุดในการขนส่ง
- หน้าที่ตามกฎหมาย — กฎหมายกำหนดให้ต้องประมวลผล (เช่น ยื่นข้อมูลผู้ส่ง/ผู้รับต่อกรมศุลกากรตาม พ.ร.บ. ศุลกากร)
- ประโยชน์โดยชอบด้วยกฎหมาย — การประมวลผลจำเป็นเพื่อประโยชน์ที่ชอบด้วยกฎหมายของผู้ควบคุม ตราบเท่าที่ไม่ขัดกับสิทธิของเจ้าของข้อมูล (เช่น ป้องกันการฉ้อโกง การตรวจสอบภายใน)
- ความยินยอม — เจ้าของข้อมูลให้ความยินยอมอย่างชัดแจ้ง จำเป็นเมื่อไม่มีฐานอื่นใช้ได้
ในสถานการณ์ขนส่งส่วนใหญ่ ความจำเป็นตามสัญญา และ หน้าที่ตามกฎหมาย ครอบคลุมกิจกรรมการประมวลผลข้อมูลส่วนใหญ่ ความยินยอมมักจำเป็นสำหรับการสื่อสารทางการตลาด การแชร์ข้อมูลกับบุคคลที่สามเพื่อวัตถุประสงค์ที่ไม่เกี่ยวกับการดำเนินงาน หรือการประมวลผลข้อมูลอ่อนไหว
ไม่ว่าจะใช้ฐานใด ตัวแทนขนส่งต้องแจ้ง ประกาศความเป็นส่วนตัว (privacy notice) ต่อเจ้าของข้อมูล ณ เวลาที่เก็บข้อมูลหรือก่อนหน้า ประกาศต้องระบุว่าเก็บข้อมูลอะไร เพราะเหตุใด แชร์กับใคร เก็บนานเท่าใด และเจ้าของข้อมูลใช้สิทธิอย่างไร (เข้าถึง แก้ไข ลบ โอนย้าย)
KabyTech สร้างแม่แบบประกาศความเป็นส่วนตัวที่ปรับแต่งสำหรับการขนส่ง ครอบคลุมจุดเก็บข้อมูลทั้งหมด — แบบฟอร์มจอง การจับข้อมูล AWB การยื่นใบขน และยืนยันการจัดส่ง
การโอนข้อมูลข้ามแดน
การขนส่งระหว่างประเทศเกี่ยวข้องกับการไหลของข้อมูลข้ามแดนโดยธรรมชาติ ข้อมูลผู้ส่งจากผู้ส่งออกไทยอาจถูกส่งไปยังตัวแทนผู้รับในจีน ระบบผู้ขนส่งในญี่ปุ่น หรือหน่วยงานศุลกากรในสหภาพยุโรป PDPA กำหนดข้อจำกัดในการโอนข้อมูลส่วนบุคคลนอกประเทศไทย
PDPA อนุญาตให้โอนข้อมูลข้ามแดนเมื่อ:
- ประเทศปลายทางมี มาตรฐานคุ้มครองข้อมูลที่เพียงพอ ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (กกส.) กำหนด
- การโอนจำเป็นเพื่อ ปฏิบัติตามสัญญา ระหว่างเจ้าของข้อมูลกับผู้ควบคุม (เช่น การจัดส่งสินค้าระหว่างประเทศ)
- การโอนจำเป็นเพื่อปฏิบัติตาม หน้าที่ตามกฎหมาย (เช่น ยื่นข้อมูลต่อศุลกากรต่างประเทศตามกฎหมายการค้าระหว่างประเทศ)
- เจ้าของข้อมูลให้ ความยินยอมอย่างชัดแจ้ง หลังจากได้รับแจ้งเกี่ยวกับมาตรฐานการคุ้มครองที่ไม่เพียงพอในประเทศปลายทาง
- มี มาตรการป้องกันที่เหมาะสม — เช่น กฎที่มีผลผูกพันของบริษัท ข้อสัญญามาตรฐาน หรือนโยบายคุ้มครองข้อมูลระดับกลุ่มบริษัท
สำหรับการขนส่งไปสหภาพยุโรป อาจต้องปฏิบัติตาม GDPR เพิ่มเติมหากผู้รับในสหภาพยุโรปเป็นบุคคลธรรมดา สำหรับการขนส่งไปจีน PIPL (Personal Information Protection Law) มีข้อกำหนดการโอนข้ามแดนของตัวเอง KabyTech รองรับกฎการจัดการข้อมูลที่ปรับแต่งได้ตามประเทศปลายทาง
KabyTech เข้ารหัสข้อมูลส่วนบุคคลทั้งหมดระหว่างส่ง (TLS 1.3) และจัดเก็บ (AES-256) ตัวเลือกที่ตั้งข้อมูลช่วยให้ลูกค้าเลือกเก็บข้อมูลในเซิร์ฟเวอร์ในประเทศไทยเท่านั้น หรือจำลองไปยังโหนดภูมิภาคเพื่อประสิทธิภาพ บันทึกตรวจสอบติดตามการโอนข้อมูลข้ามแดนทุกรายการ
สรุป
PDPA ของไทยเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับสมบูรณ์ที่มีผลบังคับใช้โดยตรงกับการดำเนินงานขนส่ง สินค้าทุกรายการเกี่ยวข้องกับข้อมูลส่วนบุคคล — ชื่อ ที่อยู่ เลขประจำตัวผู้เสียภาษี ข้อมูลติดต่อ — และตัวแทนขนส่งต้องประมวลผลข้อมูลนี้ตาม พ.ร.บ.
จุดสำคัญในการปฏิบัติตาม:
- ระบุบทบาทของคุณ (ผู้ควบคุม vs. ผู้ประมวลผล) สำหรับแต่ละกิจกรรมการประมวลผลข้อมูล
- ใช้ความจำเป็นตามสัญญาและหน้าที่ตามกฎหมายเป็นฐานหลัก ขอความยินยอมเมื่อจำเป็น
- แจ้งประกาศความเป็นส่วนตัวที่ชัดเจน ณ จุดเก็บข้อมูล
- ใช้มาตรการป้องกันที่เหมาะสมสำหรับการโอนข้อมูลข้ามแดน
- จัดทำทะเบียนข้อมูลและนโยบายเก็บรักษาข้อมูล เคารพสิทธิเจ้าของข้อมูล (เข้าถึง แก้ไข ลบ)
KabyTech ออกแบบมาพร้อมการปฏิบัติตาม PDPA ตั้งแต่ต้น — ตั้งแต่การเข้ารหัสระดับฟิลด์และนโยบายเก็บรักษาที่ปรับแต่งได้ ไปจนถึงประกาศความเป็นส่วนตัวอัตโนมัติและการควบคุมการโอนข้ามแดน ช่วยให้ตัวแทนขนส่งมุ่งเน้นการขนส่งสินค้าในขณะที่ KabyTech จัดการข้อกำหนดคุ้มครองข้อมูลเบื้องหลัง