PDPA คืออะไร

สรุปกฎหมาย PDPA พร้อมแนะ Action Plan เพื่อผู้บริหารและทีม Digital Marketing ปรับตัวและจัดการข้อมูลให้ถูกต้องในปีนี้

Act

ในอดีตใครมีน้ำมันก็มีอิทธิพลบนโลกในนี้ ส่วนยุคนี้ใครมี ‘ข้อมูล’ มากกว่าก็จะกลายเป็นผู้ทรงอิทธิพลมากกว่าไปเสียแล้ว ตลอดหลายปีมานี้ทุกๆ องค์กรรับรู้ถึงความสำคัญของการเก็บข้อมูลลูกค้ารวมไปถึงข้อมูลของผู้ใช้งานบนช่องทางออนไลน์ต่างๆ ที่ตนเองมี ทว่าการเก็บและใช้ข้อมูลก็ใช่ว่าจะทำได้โดยอิสระแบบไม่มีกฎเกณฑ์ ขับรถยังมีกฎจราจร การเก็บข้อมูลผู้ใช้งานก็มีกฎหมายเหมือนกัน ซึ่งเรียกกันว่า PDPA

ที่ผ่านมาเฉพาะ พ.ร.บ.คอมพิวเตอร์ ที่มีอยู่เดิมอาจจะยังไม่ครอบคลุมในประเด็นนี้ จึงมีการออกกฎหมายเพื่อคุ้มครองข้อมูลส่วนบุคคลขึ้นมา เพื่อปกป้องสิทธิส่วนบุคคลให้ข้อมูลมีความปลอดภัยต่อผู้ใช้งานมากขึ้น ควบคู่ไปกับการเรียกร้องให้ภาคธุรกิจเก็บ ใช้ และประมวลผลข้อมูลเหล่านั้นอย่างมีความรับผิดชอบด้วย

วิธีการเก็บข้อมูลส่วนบุคคลของทุกหน่วยงานจะเปลี่ยนไปโดยสิ้นเชิง เพราะกฎหมายนี้กำลังจะบังคับใช้อย่างเต็มรูปแบบ คราวนี้ องค์กรจะต้องเตรียมตัวให้พร้อมยังไงบ้าง และประชาชนทั่วไปที่ให้ข้อมูลกับองค์กรต่างๆ อย่างพวกเราควรทราบอะไรเป็นความรู้ไว้บ้าง เราสรุปแนวทางไว้ให้ทุกคนแล้วค่ะ

PDPA คืออะไร

Personal Data Protection Act หรือ PDPA คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งเป็นกฎหมายที่ออกมาเพื่อคุ้มครองสิทธิเกี่ยวกับข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการควบคุมไม่ให้องค์กรนำข้อมูลส่วนบุคคลของเราไปใช้โดยไม่ได้รับความยินยอม ไปจนถึงการป้องกันเพื่อไม่ให้เกิดการนำข้อมูลไปใช้โดยมิชอบ

สำหรับกฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้น เป็นผลมาจากการเปลี่ยนผ่านเข้าสู่ดิจิทัล ซึ่งส่งผลให้มีการล่วงละเมิดสิทธิในข้อมูลส่วนบุคคลเพิ่มมากขึ้น ส่วนสาเหตุสำคัญของการออกกฎหมายฉบับนี้ในราชกิจจานุเบกษา ได้แนบท้ายไว้ว่า “เนื่องจากมีการล่วงละเมิดสิทธิส่วนบุคคลเป็นจำนวนมาก จนสร้างความเดือดร้อนรำคาญและความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล และการเก็บข้อมูลก็ทำได้ง่าย สะดวกและรวดเร็ว…”

ยกตัวอย่างง่ายๆ เช่น การส่งอีเมลหรือการโทรศัพท์ไปหาโดยการซื้อฐานข้อมูลมาจากที่อื่น โดยที่เจ้าของอีเมลหรือเบอร์โทรไม่เคยรับทราบมาก่อนว่า “ฉันยินยอมให้ข้อมูลกับคุณตอนไหน?” ก็เป็นตัวอย่างง่ายๆ ที่เรามักเห็นกันบ่อยๆ

ปัจจุบันมีการใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลอยู่ในหลายประเทศ โดยเฉพาะในอาเซียน ได้แก่ อินโดนีเซีย มาเลเซีย ฟิลิปปินส์ เวียดนาม ไทย ในขณะที่สหรัฐอเมริกาและสหภาพยุโรป ก็ประกาศใช้กฎหมายนี้เช่นกัน

ดังนั้นกฎหมายฉบับนี้จึงเป็นประโยชน์ต่อผู้บริโภค โดยให้ความคุ้มครองข้อมูลข่าวสารส่วนบุคคล เช่น การศึกษา ฐานะการเงิน ประวัติสุขภาพ ประวัติอาชญากรรม ประวัติการทำงาน และข้อมูลส่วนบุคคล เช่น ลายพิมพ์นิ้วมือ บันทึกลักษณะเสียง เลขบัตรประชาชน หรือเลขหมายเอกสารส่วนตัวอื่น ๆ โดยห้ามไม่ให้ผู้อื่นนำข้อมูลดังกล่าวไปใช้เพื่อประโยชน์ในด้านใดด้านหนึ่งที่เจ้าของข้อมูลไม่ยินยอมให้นำไปใช้ประโยชน์

บางครั้งข้อมูลเหล่านี้ถูกเก็บไปใช้อย่างง่ายดายและรวดเร็วผ่านสื่อดิจิทัล เพราะฉะนั้นผู้ที่ใช้ดิจิทัลจึงมีความเกี่ยวข้องกับกฎหมายนี้เป็นอย่างมาก

กฏหมาย PDPA บังคับใช้เมื่อไหร่

PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เคยมีการประกาศบังคับใช้ในวันที่ 27 พ.ค. 2563  จนกระทั่งวันที่ 12 พ.ค. 2563 ได้มีการประกาศเลื่อนการบังคับใช้ออกไปอีก 1 ปี (เป็นวันที่ 27 พ.ค. 2564) โดยหมวดและมาตราที่จำเป็นต้องเลื่อนการบังคับใช้ มีดังนี้
.
– หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล
– หมวด 3 สิทธิเจ้าของข้อมูลส่วนบุคค
– หมวด 5 การร้องเรียน
– หมวด 6 ความรับผิดทางแพ่ง
– หมวด 7 บทกำหนดโทษ
– ความในมาตรา 95 และมาตรา 96 ที่เดิมจะมีผลบังคับใช้

👉 อ่านสรุปข่าว

PDPA กับ GDPR ต่างกันอย่างไร

หากใครเคยได้ยินกฎหมาย GDPR (General Data Protection Regulation) หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลในสหภาพยุโรป ก็อาจจะมีความสงสัยว่าแล้วทั้งคู่แตกต่างกันอย่างไร

สิ่งที่สองกฎหมายนี้เหมือนกันก็คือวัตถุประสงค์ในการคุ้มครองข้อมูลส่วนบุคคล รวมถึงแนวทางปฏิบัติจริงๆ แล้วก็เรียกได้ว่าเป็นแนวทางรูปแบบเดียวกัน (เราจะเล่าถึงแนวทางปฏิบัติอีกทีหลังจากนี้)

แต่ถ้าถามว่าแตกต่างกันอย่างไร สรุปแบบง่ายๆ ก็คือเนื่องจากเป็นกฎหมายที่บังคับใช้และคุ้มครองคนในคนละพื้นที่ สิ่งที่จะแตกต่างกันแน่นอนก็คือ
1. บุคคลที่คุ้มครอง
2. บทลงโทษของกฎหมาย

ใครบ้างต้องทำ และ PDPA คุ้มครองใคร

PDPA เป็นกฎหมายที่คุ้มครองข้อมูลส่วนบุคคลของคนไทย มีผลบังคับใช้ทั้งกับบุคคลรวมไปถึงทุกๆ นิติบุคคลที่จดทะเบียนในประเทศไทย รวมไปถึงบังคับใช้กับบริษัทที่มีที่ตั้งอยู่ในต่างประเทศแต่ขายสินค้าหรือบริการให้กับลูกค้าคนไทยด้วย

ดังนั้นถึงแม้จะเป็นบริษัทที่ตั้งอยู่ในต่างประเทศแต่ถ้าขายสินค้าหรือบริการให้ลูกค้าคนไทย ก็ต้องปฏิบัติตาม PDPA ของไทย ในทางกลับกัน หากบริษัทของคุณจดทะเบียนในประเทศไทย แต่มีการขายสินค้าและบริการให้กับชาวต่างชาติ เช่น ลูกค้าเป็นชาวยุโรป คุณจะต้องเพิ่มข้อระเบียบ GDPR ซึ่งคุ้มครองข้อมูลส่วนบุคคลของคนยุโรปด้วย

กฎหมาย PDPA มีบทลงโทษอย่างไร

กฎหมาย PDPA มีบทลงโทษทั้งทางแพ่ง ทางอาญา และทางปกครอง สำหรับผู้ที่ฝ่าฝืนดังนี้

  • โทษทางอาญา จำคุกไม่เกิน 6 เดือนถึง 1 ปีหรือปรับไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
  • โทษทางปกครอง ปรับไม่เกิน 5 ล้านบาท

และหากผู้กระทำความผิดเป็นนิติบุคคล กรรมการหรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลอาจต้องรับผิดด้วย

via GIPHY
อ่านมาถึงตรงนี้แล้วก็คงจะเริ่มขนลุกตามๆ กัน เพราะกฎหมายนี้ถือว่ามีบทลงโทษที่รุนแรงมากทีเดียว ดังนั้นจะปล่อยให้ขนลุกอย่างเดียวไม่ได้ เราคงต้องลุกขึ้นมาทำอะไรบางอย่างแล้วค่ะ โดยเฉพาะอย่างยิ่งถ้าเรามีการเก็บและประมวลผลข้อมูลของคนไทยอยู่ (ซึ่งจริงๆ แล้วก็เรียกได้ว่าคนทำธุรกิจในไทยแทบจะทุกคน) กฎหมายนี้ล้วนมีความเกี่ยวข้องกับคุณอยู่

องค์ประกอบของ PDPA

คำศัพท์ที่เกี่ยวข้องกับการทำ PDPA

คำศัพท์ที่เกี่ยวข้อง ความจริงมีหลายคำศัพท์มากๆ ทั้งน้ีขอเลือกเฉพาะคำศัพท์ที่เกี่ยวข้องกับหัวใจสำคัญของการทำ PDPA ที่จำเป็นแน่ๆ กับการนำไปปฏิบัติ มาแนะนำกันก่อน ดังนี้

Privacy Policy / Privacy Notice

Privacy Policy คือ นโยบายการรักษาความเป็นส่วนตัวของผู้ให้ข้อมูล ที่องค์กรจะต้องมีการเขียนรายละเอียดและนำเสนอนโยบายนี้ออกมาให้ชัดเจนและครบถ้วนว่า องค์กรจะมีการเก็บข้อมูลอะไร เก็บอย่างไร ประมวลผลหรือส่งต่อที่ไหน จะมีมาตรการอย่างไรเพื่อคุ้มครองความเป็นส่วนตัวของผู้ให้ข้อมูล เป็นต้น เรียกได้ว่าเป็นรายละเอียดที่คุณควรเขียนให้ครอบคลุมและชัดเจนที่สุด

Shifu แนะนำ

Privacy Policy ของ Content Shifu ในปัจจุบันนี้ถูกสร้างขึ้นมาจากบริการของทาง EasyPDPA.com ซึ่งเป็นผู้ให้บริการการสร้างเนื้อหา Privacy Policy แบบมืออาชีพอย่างรวดเร็ว ในราคาย่อมเยา

หากคุณไม่แน่ใจกับการเขียนเนื้อหาเหล่านี้ด้วยตนเองว่าจะตกหล่นหรือเปล่า ภาษาถูกต้องครอบคลุมไหม การจ้างนักกฎหมายเลยก็มีค่าใช้จ่ายค่อนข้างสูง บริการของที่นี่ช่วยคุณได้ค่ะ

EasyPDPA

Affiliate Notice: Content Shifu จะได้รับค่าตอบแทนจากทางผู้ให้บริการ หากคุณคลิกลิงก์/แบนเนอร์ของเราและตัดสินใจใช้บริการกับทางผู้ให้บริการ หลังจากนี้ ทั้งนี้ Content Shifu เป็นผู้สร้างสรรค์เนื้อหาด้วยตนเองโดยเน้นประโยชน์ของผู้อ่านเป็นสำคัญ คุณสามารถอ่านหน้า Affiliate Disclosure เพื่อทราบข้อมูลเพิ่มเติมเกี่ยวกับมาตรการการเลือกแนะนำพาร์ทเนอร์ของเรา

หมายเหตุ: ในทางนิยามแล้ว คำว่า Privacy Policy จะใช้กับการสื่อสารภายในองค์กร ส่วน Privacy Notice จะใช้กับการสื่อสารนอกองค์กร ทั้งนี้ในทางปฏิบัติ คำว่า Privacy Policy นั้นเป็นที่นิยมและผู้บริโภคคุ้นเคยมากกว่า

Consent

Consent คือการขอความยินยอมจากผู้ให้ข้อมูล ว่าองค์กรที่ขอข้อมูลนั้นต้องการขออะไรและนำไปใช้อย่างไรบ้าง ในเชิงรายละเอียดแล้ว Consent นั้นมีหลายประเภท แต่ Consent ที่ดีที่เราควรขอจากผู้ให้ข้อมูล คือ Consent ที่แสดงความจำนงอย่างชัดเจน หรือที่เรียกกันว่า Explicit Consent ซึ่งหมายถึงความยินยอมที่เกิดขึ้นโดยผู้ให้ข้อมูลได้แสดงความยินยอมอย่างตั้งใจชัดเจน ยกตัวอย่างเช่น การที่ผู้ให้ข้อมูลได้ติ๊กเลือกช่องที่เขียนว่า “ฉันได้อ่านและยอมรับ” ถือเป็น Explicit Consent

ผู้ที่เกี่ยวข้อง

หัวข้อเมื่อซักครู่เราได้พูดกว้างๆ ว่าเจอแน่แทบจะกับทุกคนที่เกี่ยวข้องกับข้อมูลของลูกค้าชาวไทย ที่นี้รูปแบบความเกี่ยวข้องกับข้อมูลนั้นก็สามารถจำแนกได้อีกหลายประเภท ทั้งผู้เก็บข้อมูลและผู้ประมวลผลข้อมูล โดยกลุ่มผู้ที่ต้องปฏิบัติตามกฎหมายนี้ออกเป็น 2 กลุ่ม ดังนี้

  • ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ คนหรือนิติบุคคลใดก็ตามที่เก็บและใช้ข้อมูลส่วนบุคคล เช่น Content Shifu มีช่องทางการให้ติดตามข่าวสารทางอีเมล โดยขอและจัดเก็บข้อมูลชื่อและอีเมลของคุณ
    พูดง่ายๆ ว่า Data Controller ก็คือบริษัทที่ต้องการเก็บและใช้ข้อมูลลูกค้า โดยมีหน้าที่ต้องขอคำยินยอม (Consent) จากลูกค้า และดูแลให้เกิดความเป็นส่วนตัวของข้อมูล
  • ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หรือ คนหรือนิติบุคคลที่ Data Controller ว่าจ้างหรือใช้บริการให้ประมวลผลข้อมูลส่วนบุคคล
    ตัวอย่างเช่น ซอฟต์แวร์ด้านการตลาด HubSpot ถูกใช้โดยฝ่าย Marketing เพื่อประมวลผลข้อมูลการตลาดและข้อมูลของลูกค้า หรือตัวอย่างที่น่าจะได้เห็นเคสกันบ่อยๆ ก็อย่างเช่น หากเราต้องการทำ Facebook Custom Audience โดยอัปโหลดข้อมูลลูกค้า แพลตฟอร์ม Facebook ก็คือ Data Processor นั่นเอง

ทำให้ถูกต้องตาม PDPA ต้องทำอย่างไร

Disclaimer
ผู้เขียนและทีม Content Shifu ไม่ใช่ทนายความหรือมีความเชี่ยวชาญในด้านกฎหมายโดยตรง บทความนี้เขียนขึ้นจากการศึกษาค้นคว้า ตีความ เรียบเรียงและแชร์ประสบการณ์ในฐานะของ Data Controller ที่มีการขอข้อมูลจากผู้ใช้บนโลกออนไลน์

ในส่วนนี้ทางเราขออนุญาตโฟกัสในส่วนงานที่เกี่ยวข้องกับ Digital Marketing & Sales เป็นหลัก เพราะเป็นด่านแรกที่เกี่ยวข้องกับการขอ Consent หรือการพยายามได้มาซึ่งข้อมูลของผู้ใช้บนโลกออนไลน์ รวมไปถึงการนำข้อมูลไปใช้งานเพื่อการทำการตลาด การขาย และการทำธุรกิจ เป็นต้น สิ่งที่ควรทำหากคุณอยากทำให้ถูกต้อง ได้แก่

1.สร้างความตระหนักและความเข้าใจภายในองค์กร และตั้งคณะทำงาน

PDPA นั้นไม่ใช่เรื่องของฝ่ายกฎหมายเพียงอย่างเดียว การที่บริษัทจะทำได้สำเร็จต้องเกิดจากความเข้าใจและความร่วมมือของหลายฝ่าย ยกตัวอย่างเช่น ฝ่ายไอทีที่เป็นคนดูแลจัดการระบบที่ใช้เก็บและประมวลผลข้อมูล, ฝ่ายการตลาดหรือฝ่ายขายที่มีการติดต่อและส่งข้อมูลต่างๆ ให้ลูกค้า จะต้องมีการปฏิบัติอย่างถูกต้อง เป็นต้น รวมไปถึงผู้บริหารและผู้จัดการที่จำเป็นต้องมีความรู้เพื่อเตรียมปรับกลยุทธ์การตลาด กลยุทธ์การทำงาน และเป็นกลุ่มคนสำคัญในการสร้างการรับรู้

การทำ PDPA อย่างจริงจังอาจต้องมีการปรับเปลี่ยนแก้ไขงานเดิมๆ หลายอย่าง จึงควรตั้งคณะทำงานที่เกี่ยวข้อง นอกจากนี้ในทางกฎหมายแล้วยังมีอีกหนึ่งตัวละครที่องค์กรจะต้องแต่งตั้งเป็นเรื่องเป็นราว นั่นคือ เจ้าหน้าที่คุ้มครองข้อมูลหรือ DPOs (Data Protection Officer) ที่เป็นเสมือนบุคคลที่เป็นตัวแทนของบริษัทในการดูแลรับผิดชอบการทำ PDPA พร้อมกับประสานงานกับสำนักงานคุ้มครองข้อมูลส่วนบุคคลเมื่อเกิดปัญหา (ในธุรกิจขนาดเล็ก เจ้าของกิจการมักจะควบตำแหน่ง DPO เองไปด้วยเลย เพราะตนเองคือคนที่จำเป็นต้องเข้าใจเรื่อง PDPA ด้วยตนเองมากที่สุด)

2. เลือกใช้บริการ Data Processor ที่มีมาตรฐาน

นอกจากจะไม่ใช่เรื่องของคนในองค์กรเพียงอย่างเดียว จากนิยามของในหัวข้อที่แล้วที่เล่าถึง Data Controller (พูดง่ายๆ ก็คือบริษัทของเรา) ยังมีอีกตัวละครที่ชื่อว่า Data Processor หรือกล่าวง่ายๆ ว่า Data Processor ก็คือระบบจัดเก็บข้อมูล ซอฟต์แวร์ รวมไปถึงบริษัท Outsource ที่มีความเกี่ยวข้องกับการประมวลผลข้อมูลในองค์กรของคุณ

ในฐานะ Data Controller ที่ต้องปกป้องข้อมูลของลูกค้า คุณจำเป็นจะต้องเลือก Data Processor ที่มีมาตรฐาน หาก Data Processor เป็นบริษัทในไทย คุณควรสอบถามและพูดคุยเรื่องการรองรับ PDPA กับทาง Processor โดยตรง

ทั้งนี้ในหลายๆ ครั้ง Data Processor มักจะเป็นแพลตฟอร์มหรือซอฟต์แวร์ต่างประเทศ (เช่น Google Analytics ก็ถือเป็น Data Processor นึงของเว็บไซต์ของเรา) ผู้ให้บริการต่างประเทศอาจจะไม่ได้มีทีมงานที่ทราบเกี่ยวกับกฎหมาย PDPA ของไทยโดยตรง

มาตรา ๒๘ ระบุว่า “ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ

ทั้งนี้คำว่า ‘เพียงพอ’ ในที่นี้ยังไม่ได้มีข้อมูลที่ระบุรายละเอียดออกมาอย่างชัดเจน ดังนั้นเราจึงขอแนะนำว่า ให้เลือกผู้ให้บริการที่รองรับ GDPR ถ้าให้ดีก็คือต้องมีหน้าเพจที่เล่าอย่างชัดเจนว่าตนเองรองรับ GDPR อย่างไร (เช่น หน้านี้ของ Facebook for Business) และควรเป็นบริษัทชั้นนำที่เชื่อถือได้

Shifu แนะนำ

คำกล่าวที่ว่า “รองรับ GDPR ก็ถือว่ารองรับ PDPA ด้วย” ถือเป็นคำกล่าวที่กล่าวได้แบบก้ำกึ่ง ไม่ได้ถูกต้องซะทีเดียว ซึ่งอธิบายได้ด้วยวงกลมด้านล่างซึ่งวาดขึ้นเพื่อการเปรียบเปรย จะเห็นได้ว่า PDPA ไม่ได้เป็น Subset ของ GDPR (การทำ GDPR ไม่ได้ยืนยันว่าจะรองรับ PDPA 100%) เพราะ PDPA ก็มีรายละเอียดที่เป็นเฉพาะของตนเองอยู่บ้าง อย่างไรก็ตามจะเห็นได้ว่าพื้นที่ส่วนใหญ่นั้นทับซ้อนกันอยู่ ซึ่งเยอะกว่าพื้นที่ส่วนที่ไม่ทับซ้อน เนื่องจากทั้งสองกฎหมายมีรายละเอียดส่วนใหญ่ที่มีความคล้ายกันอยู่เยอะมาก

PDPA ต่างกับ GDPR

3. สร้างหน้า Privacy Policy

สร้างหน้า Privacy Policy ที่อธิบายมาตรการปกป้องความเป็นส่วนตัวของข้อมูล โดยเนื้อหาที่ควรมีในหน้านี้ ได้แก่

  • ลักษณะข้อมูลส่วนบุคคลที่คุณเก็บรวบรวม
  • แหล่งที่มา
  • วัตถุประสงค์ในการประมวลผลข้อมูล
  • การเก็บรักษาและระยะเวลาในการเก็บรักษา
  • สิทธิของเจ้าของข้อมูล
  • รายละเอียดบริษัทและ DPO ของบริษัท

คลิกที่ปุ่มนี้เพื่อไปยังหน้าของผู้ให้บริการสร้าง Privacy Policy ที่มีมาตรฐาน

สร้าง Policy แบบมืออาชีพใน 2 นาที

สำหรับข้อ 4 เป็นต้นไป จะขอเล่าแนวทางปฏิบัติผสมกับ Case study ในการปรับตัวของ Content Shifu มาเล่าร่วมด้วยนะคะ

4. ยกระดับการขอ Consent

4.1 ออกแบบ User Experience ที่เหมาะสม

แต่เดิมที่ User Experience จะเน้น “ง่ายเข้าไว้” แต่สำหรับการขอ Consent อย่างถูกต้องนั้น ควรจะต้องเกิดจากการที่ User ได้รับข้อมูลที่ครบ ได้มีเวลาในการพิจารณาอ่าน และสามารถเลือกได้ว่าจะยินยอมหรือไม่

ตัวอย่าง User Experience ที่ง่ายเกินไปจนไม่ดี คือตัวอย่างด้านซ้าย เช่น “การที่คุณกดปุ่ม Next ถือว่าคุณได้ยอมรับแล้ว” หรือ “การที่คุณปัดหน้าจอต่อไป ถือว่าคุณได้ยอมรับแล้ว”

PDPA ขอ Consent ที่ดีคืออะไร

4.2 Consent พื้นฐานที่ต้องขอ

สำหรับการทำ Digital Marketing & Sales สิ่งที่ควรขอ Consent มีอะไรบ้าง? ตัวอย่างข้อมูลที่ธุรกิจควรเก็บและควรขอคำยินยอมมีดังนี้

Cookie Consent

การแจ้งขอความยินยอมในการเก็บ Cookie บนเว็บเบราเซอร์ของผู้เข้าชม (สามารถเลือกที่จะไม่ยอมรับได้) หน้าจอนี้จะปรากฏทุกครั้งที่เราพบเว็บเบราเซอร์ที่ยังไม่เคยมีการแจ้งความยินยอมมาก่อน

ตัวอย่างเมื่อคุณเข้าเว็บ Content Shifu ด้วยเบราเซอร์ใหม่ คุณควรจะพบกับข้อความขอคำยินยอมในการเก็บ Cookies ตามตัวอย่างในส่วนท้ายภาพนี้

Cookies Consent ขอเก็บคุ้กกี้

Input Submission Consent

ทุกๆ ครั้งที่มีการขอข้อมูลส่วนบุคคล ไม่ว่าจะผ่าน Form หรือผ่านการพิมพ์ด้วย Chat จากเดิมที่ที่ช่องกรอกข้อมูลนั้นทำได้ง่ายมากๆ เพียงแค่มี Field ข้อมูลและปุ่มให้คลิก

ตัวอย่าง:

เว็บไซต์เวอร์ชันเก่าของเรา จะมีฟอร์มพร้อม Call to Action แทรกอยู่ตามจุดต่างๆ ของหน้าเพจ เช่น หน้าแรก หรือแทรกระหว่างที่คุณกำลังอ่านบทความ หากคุณเลื่อนผ่านแล้วสนใจติดตามรับข่าวสาร ก็สามารถกรอกเพียงชื่อ อีเมล แล้วกดติดตามได้เลยทันทีง่ายๆ

Shifu แนะนำ
ที่ผ่านมาการทำ Lead Generation โดยการแทรกฟอร์มลงไปในหน้าต่างๆ เป็นที่นิยมมาก เพราะสามารถนำเสนอ Offer ที่น่าสนใจ และคนที่สนใจก็สามารถกรอกรับได้ทันที ไม่ได้ทำหลาย Steps แต่ปัจจุบันการทำ Lead Generation Form จำเป็นต้องมี Consent ที่ชัดเจนมากขึ้น การทำหน้า Landing Page แยกต่างหาก หรือการทำ Form แบบหลาย Steps จึงกลายเป็นวิธีการที่เหมาะสมมากกว่าเพื่อให้มีข้อความการขอ Consent ที่ครบถ้วน

สิ่งที่ควรทำคือต้องมีข้อความที่ระบุชัดเจนว่าองค์กรจะปกป้องความเป็นส่วนตัวของข้อมูลนี้อย่างไร รวมถึงการมี Checkbox เพื่อให้ผู้กรอกข้อมูลได้แสดงว่ารับทราบและยืนยันความจำนงก่อนส่งข้อมูล ตัวอย่างฟอร์มที่ใช้เพื่อสมัครติดตามข่าวสารจากเรา

form consent for pdpa

Shifu แนะนำ
จะเห็นว่าผู้ใช้ยังไม่สามารถกดปุ่ม Subscribe ได้ หากไม่เลือกกล่องที่เป็น Required field นั่นหมายถึง ผู้ใช้ต้องมีความรับผิดชอบด้วยตนเองในการทำความเข้าใจเนื้อหาดังกล่าว ว่าทาง Data Controller กำลังต้องการขออะไร เมื่อทำความเข้าใจแล้วจึงเลือกยืนยันถึงจะสมัครต่อได้

ในเคสนี้เป็นการส่งอีเมลข่าวสารไปให้ เพราะฉะนั้นผู้ให้ข้อมูลจำเป็นต้องให้ข้อมูลการติดต่อและอนุญาตให้เราติดต่อไป แต่ขอเสริมเป็นความรู้อีกเรื่อง ทั้งนี้หากการขอข้อมูลของคุณ เป็นการขอเพราะเพื่อ “นำมาใช้พัฒนาประสบการณ์ หรือทำให้แอปพลิเคชั่นของคุณดียิ่งขึ้น” ซึ่งเป็นการพัฒนาแบบกว้างๆ ไม่ได้เกี่ยวข้องกับการใช้บริการโดยตรงของผู้ให้ข้อมูล ในเคสนี้นิยมทำเป็น Popup เล็กๆ ที่ผู้ใช้เลือกได้ว่าจะให้หรือไม่ให้ การที่ไม่ให้ก็ยังคงสามารถรับบริการได้อยู่

Shifu แนะนำ
อีกประเด็นที่น่าสนใจคือ ถ้าเราเคยขอข้อมูลลูกค้ามาก่อนแล้วก่อนหน้านี้ เราจะต้องทำอย่างไรกับข้อมูลของลูกค้าเก่า? จำเป็นจะต้องกลับไปขอ Consent อีกรอบนึงไหม?

ผู้เขียนขอตอบโดยอ้างอิงจากกฎหมายของ GDPR เว็บไซต์ privacypolicies.com ได้ระบุว่า สิ่งที่เราควรทำคือการแจ้งกับลูกค้าว่า “เราได้มีการอัปเดต Privacy Policy” และให้เขากด Consent กลับมาอีกครั้ง สำหรับในต่างประเทศ เช่น GDPR นั้น การได้รับ Consent กลับมาอีกครั้งเป็นสิ่งจำเป็น

5. จัดประเภทรูปแบบการสื่อสาร

5.1 จัดประเภทตามหมวดหมู่เนื้อหา

เพิ่มเติมจากรูปข้างต้น เคสของ Content Shifu เองเรามีการจัดรูปแบบการสื่อสารออกเป็นประเภทต่างๆ ให้เป็นระบบมากขึ้น จากเดิมทีที่การส่งอีเมลของเราจะเป็นแบบเหมารวม ปัจจุบันเรามีการแยกประเภทของอีเมล เพื่อให้ผู้ติดตามเลือกที่จะรับ/หรือไม่รับ ประเภทของอีเมลที่เขาสนใจ/ไม่สนใจ

ตัวอย่างของ Content Shifu เราแยกประเภทของอีเมลข่าวสารออกเป็น

  • Events & Trainings (ข่าวสารด้านคอร์สเรียน งานอบรม หรืออีเวนต์)
  • Knowledge Resources (บทความใหม่ หรือคอนเทนต์ความรู้อื่นๆ)
  • News Update (ข่าวสารและประกาศจาก Content Shifu ที่คุณควรทราบ)

subscription type example pdpa case

ดังนั้นสิ่งที่ทีมต้องปรับตัวก็คือ การเขียนและส่งอีเมลจะต้องพึงระลึกว่าอีเมลนี้จัดอยู่ในกลุ่มประเภทไหนทำให้จากเดิมที่อาจมีอีเมลที่เนื้อหาข้างในพูดรวมๆ ในหลายๆ เรื่อง เราก็พยายามที่จะแยกเนื้อหาอีเมลให้ชัดเจนมากขึ้น 

ทั้งนี้วิธีนี้ก็มีข้อเสียอยู่บ้าง คือหากในเวลานั้นๆ เรามีเรื่องที่ต้องการแจ้งข่าวหลายเรื่อง ก็อาจทำให้ผู้รับได้รับอีเมลหลายอีเมลเกินไป ทั้งนี้องค์กรจึงจำเป็นจะต้องวางแผนการส่งอีเมลให้รอบคอบมากขึ้น โดยเฉพาะอย่างยิ่งเมื่อหลาย Department มีการใช้ Channel นี้ร่วมกัน

5.2 จัดประเภทตามรูปแบบในการติดต่อ

นอกจากตัวอย่างในเรื่องการชี้แจ้งเรื่องเนื้อหาแล้ว การขอข้อมูลจากผู้ใช้งาน ควรมีการแบ่งประเภทของรูปแบบการติดต่อออกเป็น 2 แบบคือ

  1. Marketing Communication สำหรับการสื่อสารติดต่อแบบเป็นกลุ่ม เช่น การสมัครติดตามรับข่าวสาร เป็นต้น มักใช้กับการสื่อสารแบบกว้าง หรือการสื่อสารที่เกิดจากระบบอัตโนมัติ (Marketing Automation)
  2. 1-on-1 Communication สำหรับการพูดคุยแบบเจาะจงคนต่อคน ไม่ว่าจะเป็นในเรื่องสินค้า/บริการ/คำถามหรือปัญหาที่พบ เช่น แบบฟอร์มขอข้อมูลบริการเพิ่มเติม หรือขอความช่วยเหลือ ลูกค้าจะได้รับการติดต่อในรูปแบบนี้

ข้อผิดพลาดที่เคยเกิดขึ้นกับพวกเรามาก่อนคือ ลูกค้าติดต่อสอบถามในแบบฟอร์มเฉพาะเจาะจงซึ่งควรจะได้รับการติดต่อเฉพาะ 1-on-1 Communication ในประเด็นนั้นๆ แต่ความผิดพลาดในการจัดเก็บ ทำให้ลูกค้าได้รับการจัดเก็บอยู่ในกลุ่ม Marketing Communication ไปด้วย จึงได้รับอีเมลข่าวสารโดยที่ไม่ได้มีการ

สมัครรับข่าวสารโดยตรงมาก่อน เป็นต้น เชื่อว่าหลายๆ ธุรกิจเองก็เคยทำผิดพลาดในเรื่องนี้กันมาบ้าง นี่คืออีกหนึ่งเรื่องที่ควรป้องกันและแก้ไข

6. มีช่องทางการขอยกเลิกที่ชัดเจน

การขอยกเลิกการรับข่าวสาร

ตามหลักการแล้ว ใน Email footer ของทุกๆ Marketing Communication จะต้องมีปุ่ม (มักจะเขียนว่า Unsubscribe หรือ Manage Preference) เพื่อให้ผู้รับอีเมลสามารถกดยกเลิกการรับอีเมล หรือกดขอเปลี่ยนแปลงประเภทของอีเมล ที่จะรับได้

pdpa right to unsubscribe manage preference

หากเป็น 1-on-1 Email ก็มีความเป็นไปได้ที่จะไม่มีปุ่มนี้ในอีเมล อย่างไรก็ตาม หากคุณรู้สึกว่าตนเองถูกคุกคามหรือไม่ต้องการรับข่าวสาร คุณในฐานะผู้บริโภคก็มีสิทธิ์ที่จะแจ้งกับองค์กรขอไม่รับอีเมล 1-on-1 จากที่นี่

สรุป Checklist

คุณได้เตรียมการสำหรับกฎหมาย PDPA พร้อมแล้วหรือยัง? เราขอสรุป Checklist ที่คุณควรทำอีกครั้งดังนี้

  1. แต่งตั้งทีมทำงานและ DPO รวมถึงสร้างความรู้ความเข้าใจในองค์กร
  2. เลือก Data Processor ที่มีมาตรฐาน ถ้าเป็นของต่างประเทศอย่างน้อยที่สุดควรต้องรองรับ GDPR
  3. สร้างหน้า Privacy Policy
  4. ยกระดับการขอ Consent
    1. ปรับปรุง User Experience ที่เหมาะสม
    2. Consent พื้นฐานที่ควรขอ ได้แก่ การเก็บ Cookie บนเว็บเบราเซอร์ และทุกๆ ครั้งที่ให้ผู้ใช้กรอกข้อมูลส่วนบุคคล
  5. จัดประเภทรูปแบบการสื่อสาร และให้ทีมติดต่อสื่อสารออกไปอย่างเหมาะสม
  6. มีช่องทางการขอยกเลิก

ตาคุณแล้ว

หากคุณเป็นเจ้าของกิจการหรือผู้ที่มีอำนาจตัดสินใจภายในองค์กร ตอนนี้ได้เวลาศึกษา ดูแล และจัดการเรื่องข้อมูลส่วนบุคคล พร้อมกับประกาศนโยบายในองค์กรให้ชัดเจน เพื่อสร้างความมั่นใจให้กับผู้ซื้อสินค้าและบริการของคุณแล้ว

ส่วนถ้าคุณเป็นลูกค้าหรือผู้ใช้บริการของแต่ละองค์กร เวลามีใครมาขอเข้าถึงข้อมูลส่วนบุคคลของคุณ ลองคิดและไตร่ตรองดูว่าเขาขอข้อมูลของคุณไปเพื่ออะไร เราจำเป็นไหมที่จะต้องให้ข้อมูลกับเขา เขาได้ประโยชน์อะไรจากการขอข้อมูลเหล่านั้น เพื่อเตรียมความพร้อมในการปกป้องสิทธิส่วนบุคคลของตัวเองด้วยนะคะ

แนะนำ Resources ที่น่าศึกษาเพิ่มเติม

Shifu Team

ทีมของ Content Shifu ที่ไม่ได้มีแค่คนใดคนนึง แต่เกิดจากการร่วมมือกันของหลายๆ ยอดฝีมือ เพื่อทำคอนเทนต์ดีๆ ให้คุณได้ติดตามอ่าน

More From Me

Leave a Reply

Your email address will not be published. Required fields are marked *