หลายคนอาจเคยสังเกตเห็นว่าเวลาที่เราเข้าเว็บไซต์ต่างๆ มักจะมีการให้เรากด “ยินยอม” หรือ ”ปฏิเสธ” ในการให้เว็บไซต์เหล่านั้นเก็บข้อมูลการใช้งาน หรือที่เรียกว่า “Cookies Consent” เป็นการเก็บข้อมูลผ่าน “คุกกี้” ซึ่งก็คือไฟล์ข้อมูลขนาดเล็กที่รวบรวมประวัติการเข้าชม การดาวน์โหลด ตำแหน่งที่ตั้ง และข้อมูลอื่นๆ ของผู้ใช้ สำหรับการสอบถามความยินยอมนี้ถือเป็นการเคารพสิทธิและความเป็นส่วนตัวของผู้ใช้งาน รวมถึงยังเป็นไปตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือกฎหมาย PDPA อีกด้วย

ในการตลาดยุคปัจจุบัน “ข้อมูล (Data)” ที่ถูกเก็บจากคุกกี้นั้นถือเป็นหัวใจสำคัญ เพราะสามารถนำไปต่อยอดให้กับธุรกิจได้อย่างมหาศาล ไม่ว่าจะเป็นการพัฒนากลยุทธ์และกิจกรรมทางการตลาด ซึ่งช่วยในการเพิ่มยอดขายและยังสามารถนำข้อมูลดังกล่าวมาสร้างความสัมพันธ์ที่ดีให้กับลูกค้า จนนำไปสู่การสร้างความภักดีต่อแบรนด์ (Brand Loyalty) ได้อีกด้วย ทำให้เหล่าธุรกิจต่างๆ หันมาเก็บข้อมูลของลูกค้ากันอย่างแพร่หลาย แต่รู้หรือไม่ว่าการเก็บข้อมูลในทุกแพลตฟอร์มนั้นจะต้องได้รับการยินยอมจากผู้ใช้งานก่อนเสมอ มิเช่นนั้นผู้ที่นำข้อมูลไปใช้งานจะต้องถูกดำเนินคดีตามกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ที่กำลังจะบังคับใช้อย่างเป็นทางการในวันที่ 1 มิถุนายน 2565 นี้แล้ว

วันนี้ Connect X จึงขอพาทุกท่านไปเตรียมพร้อม ก่อน PDPA มีผลบังคับใช้ เพื่อให้ธุรกิจสามารถใช้ประโยชน์จากข้อมูลได้อย่างถูกต้องตามกฎหมาย และไม่ต้องห่วงว่าจะถูกฟ้องร้องจนส่งผลเสียต่อธุรกิจ

PDPA คืออะไร?

กฎหมาย PDPA (Personal Data Protection Act) หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คือกฎหมายที่ช่วยคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค ให้สามารถจัดเก็บหรือนำไปใช้ประโยชน์ได้ตามความยินยอมเท่านั้น ไม่สามารถเก็บข้อมูลหรือนำไปใช้โดยไม่แจ้งให้ผู้บริโภคทราบ และ/หรือได้รับความยินยอมในฐานะเจ้าของข้อมูลก่อน โดยครอบคลุมทั้งช่องทางออนไลน์และออฟไลน์จากองค์กรทั้งในประเทศไทยและต่างประเทศ

หากไม่ปฏิบัติตามกฎหมาย PDPA จะเป็นอย่างไร?

สำหรับผู้ที่นำข้อมูลไปใช้ประโยชน์โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลนั้น ไม่ว่าจะเป็นผู้ควบคุมข้อมูล (Data Controller) หรือผู้ประมวลผลข้อมูล (Data Processor) ก็มีโทษทางกฎหมายทั้งในทางแพ่ง อาญา และทางปกครอง ซึ่งมีโทษสูงสุดคือการปรับ 5 ล้านบาท จำคุกสูงสุด 1 ปี และต้องจ่ายค่าสินไหมทดแทนด้วย

5 ข้อที่ทุกธุรกิจห้ามพลาด ในการเตรียมตัวก่อน PDPA มีผลบังคับใช้

1. สร้าง Awareness ด้าน Data Privacy ให้กับบุคลากรในองค์กร

เพราะแทบทุกแผนกอาจมีความเกี่ยวข้องที่ทำให้ต้องใช้งาน เก็บรวบรวม และเปิดเผยข้อมูลส่วนบุคคลของลูกค้า พนักงานบริษัท บริษัทคู่ค้า (Vendor) บริษัทที่ได้รับการว่าจ้าง (Outsource) ฯลฯ จึงจำเป็นจะต้องมีความตระหนักถึงความสำคัญของนโยบายความเป็นส่วนตัวของข้อมูลส่วนบุคคลเหล่านั้น นอกจากนี้ควรศึกษาข้อมูลและปฏิบัติให้ถูกต้องตามกฎหมาย PDPA เพราะทุกคนมีความเสี่ยงต่อการที่ข้อมูลส่วนบุคคลที่องค์กรประมวลผลอาจถูกละเมิดร่วมกัน รวมถึงช่วยกันการดำเนินการเพื่อลดความเสี่ยงเหล่านั้นลง

2. วางนโยบายความเป็นส่วนตัว Privacy Policy

นโยบายดังกล่าวควรครอบคลุมทั้งภายในองค์กร รวมถึงการสร้างเงื่อนไขสำหรับผู้ใช้บริการหรือลูกค้าของเรา ซึ่งองค์กรควรจัดหาเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ Data Protection Officer: DPO เพื่อช่วยให้คำแนะนำและตรวจสอบการดำเนินงานขององค์กรให้ถูกต้องตามกฎหมาย PDPA สามารถลดความเสี่ยงได้อีกทางหนึ่ง

ในส่วนของนโยบายความเป็นส่วนตัวของลูกค้า ธุรกิจต้องระบุให้ชัดเจนว่าต้องการเก็บข้อมูลอะไร เพื่อใช้ประโยชน์อะไร มีการส่งต่อข้อมูลให้บริษัทภายนอกหรือไม่ และมีระยะเวลาในการเก็บนานเท่าใด รวมทั้งมีมาตรการในการคุ้มครองความเป็นส่วนตัวอย่างไรบ้าง พร้อมทั้งทำส่วนการแจ้งเตือนหรือฟอร์มในการสอบถามความยินยอมให้ชัดเจน เช่น บนเว็บไซต์อาจจะเป็น “รูปแบบคุกกี้แบนเนอร์ (Cookie Consent Banner)” โดยระบุเงื่อนไข Cookies Privacy Policy ให้ผู้ใช้งานอ่านและกดยินยอมหรือปฏิเสธ ทำให้เหล่าธุรกิจไม่ต้องห่วงปัญหาที่จะตามมาในเรื่อง PDPA กับเว็บไซต์อีกเลย ส่วนในช่องทางอื่นๆ อย่างแอปพลิเคชันก็สามารถแจ้งเตือนภายในแอป (In-App Notification) เมื่อผู้ใช้งานทำการเปิดแอปพลิเคชันครั้งแรก หรือทำการสมัครสมาชิกได้เช่นกัน

3. กำหนดมาตรการในการดูแลข้อมูลส่วนบุคคล

เมื่อองค์กรได้มีการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้ใช้บริการหรือลูกค้าแล้วนั้น จะต้องจัดการระบบให้มีความปลอดภัย เพราะหากมีการรั่วไหลอาจทำให้เกิดการฟ้องร้องหรือดำเนินคดีได้ โดยอาจเริ่มจากการจัดทำ Access Control & Logging เพื่อตรวจสอบคนที่เข้าถึงข้อมูล และเพิ่ม IT Security เช่น Firewall หรือ Encryption เป็นต้น ควรเตรียมมาตรการในการรับมือเหตุการณ์ฉุกเฉิน เมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคลโดยตั้งใจหรือมิได้ตั้งใจ ทางองค์กรจะต้องมีการรายงานผลและแสดงความรับผิดชอบต่อเหตุการณ์ที่เกิดขึ้นในทุกกรณี

4. สร้างระบบรองรับเมื่อมีการยกเลิกการยินยอมแบบอัตโนมัติ

ในเงื่อนไขนโยบายความเป็นส่วนตัว จะต้องมีการระบุว่าเมื่อผู้ใช้งานหรือลูกค้ากดยินยอมให้ใช้ประโยชน์จากข้อมูลแล้ว ลูกค้าสามารถทำการยกเลิกการยินยอมก่อนระยะเวลาที่ธุรกิจกำหนดได้ ซึ่งหมายถึงว่าเจ้าของข้อมูลสามารถทำการยกเลิกได้ตลอดเวลา การมีระบบรองรับสำหรับการยกเลิกการยินยอมแบบอัตโนมัติจะช่วยให้สร้างความพึงพอใจต่อผู้ใช้บริการหรือลูกค้าได้มากกว่า เพราะสามารถดำเนินการได้ทันที จึงช่วยลดโอกาสในการฟ้องร้องดำเนินคดีจากความล่าช้าในการดำเนินการได้อีกด้วย

5. เตรียมเครื่องมือให้พร้อม

ให้ Connect X เป็นตัวช่วยให้กับธุรกิจของคุณ เราคือแพลตฟอร์ม CDP (Customer Data Platform) สามารถช่วยเก็บรวบรวมข้อมูลลูกค้าจากทุกช่องทางไว้ในที่เดียวกัน มาพร้อมกับระบบ Marketing Automation ที่ช่วยทำการตลาดแบบอัตโนมัติ โดยเป็นแพลตฟอร์มหรือระบบที่รองรับกฎหมาย PDPA เป็นระบบที่ได้รับมาตรฐานการเก็บข้อมูลอย่างปลอดภัย มีมาตรฐาน ISO27001 ทำให้เหล่าธุรกิจคลายกังวลได้เพราะข้อมูลของลูกค้าจะปลอดภัยและมีขั้นตอนการเก็บข้อมูลที่ถูกต้องตามกฎหมาย PDPA อย่างแน่นอน

จากที่ Connect X ได้แนะนำ 5 ข้อที่ธุรกิจควรเตรียมตัวก่อนที่กฎหมาย PDPA บังคับใช้กันไปแล้ว จะเห็นได้ว่าข้อมูลส่วนบุคคลนั้นมีความสำคัญที่เหล่าธุรกิจจะต้องคำนึงถึงโดยมีมาตรการสร้างทั้งความเข้าใจและความพร้อมของบุคลากรกับระบบที่ใช้งานให้พร้อมก่อน 1 มิถุนายนที่จะถึงนี้ ซึ่งหากไม่ปฏิบัติตามกฎหมาย PDPA แล้วมีการนำข้อมูลไปใช้โดยไม่ได้รับความยินยอมหรือใช้ผิดวัตถุประสงค์ ก็อาจทำให้เกิดความเสียหายต่อทรัพย์สินหรือความเป็นส่วนตัวของเจ้าของข้อมูลหรือลูกค้าของเรา และส่งผลกระทบต่อองค์กรเป็นวงกว้าง

หากองค์กรธุรกิจปฏิบัติตามกฎหมาย PDPA อย่างเคร่งครัด โดยที่มีการชี้แจงเรื่องการใช้ข้อมูลอย่างโปร่งใส ด้วยภาษาที่เข้าใจง่ายและตรงไปตรงมา ก็จะช่วยส่งเสริมภาพลักษณ์ที่ดีให้กับธุรกิจ พร้อมสร้างความสบายใจจนเกิดเป็นความไว้วางใจให้กับลูกค้าได้อย่างแน่นอน