ทุกคนคงได้ยินคำว่า กฎหมายคุ้มครองสิทธิส่วนบุคคล หรือ PDPA ที่ถูกพูดถึงบ่อยมากขึ้น วันนี้ทาง Convert Digital มีข้อมูลเกี่ยวกับ PDPA ในประเทศไทยมาฝากทุกคน กฎหมายนี้มีผลอย่างไร ใครต้องรู้บ้าง แล้วแต่ละบริษัทต้องทำอย่างไร วันนี้เรามีคำตอบมาให้ครับ
กฎหมาย PDPA คืออะไร?
หลายคนได้ยินคำว่า PDPA คงมีคำถามว่าสิ่งนี้คืออะไร PDPA หรือ Personal Data Protection Act แปลเป็นไทย คือ กฎหมายคุ้มครองข้อมูลส่วนบุคคล มีต้นแบบมาจาก GDPR (General Data Protection Regulation) กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป
วัตถุประสงค์สำคัญของกฎหมายนี้ คือ การป้องกันไม่ให้เกิดการนำข้อมูลไปใช้ละเมิดสิทธิ ข่มขู่เพื่อหวังผลประโยชน์จากเจ้าของข้อมูลหรือบุคคลที่ดูแลข้อมูลนั่นเอง ดังนั้นการจะจัดเก็บข้อมูลใด ๆ จะต้องมีการแจ้งให้ทราบ และได้รับความยินยอมจากเจ้าของข้อมูลก่อน โดยกฎหมาย PDPA ได้มีการบังคับใช้อย่างเป็นทางการแล้วในประเทศไทย ตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป
กฎหมาย PDPA กับการเก็บข้อมูลของบริษัท
แน่นอนว่าการทำธุรกิจ ย่อมต้องมีการเก็บข้อมูลของลูกค้าอยู่แล้ว ดังนั้นสิ่งสำคัญของบริษัทคือการแจ้งนโยบายความเป็นส่วนตัว ขอความยินยอมในการเก็บข้อมูล และนำไปใช้ตามวัตถุประสงค์ต่าง ๆ เพื่อให้บริการ หรือดำเนินการธุรกิจต่อไป ซึ่งข้อมูลส่วนบุคคลที่ได้รับความคุ้มครองคือข้อมูลที่สามารถใช้เพื่อระบุตัวตนได้ มีต่อไปนี้
- ชื่อ – นามสกุล
- เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน
- วันเดือนปีเกิด สัญชาติ น้ำหนัก ส่วนสูง
- เลขบัตรประจำตัวประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่
- ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์
- ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน
- ข้อมูลอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username/Password, Cookies, IP address, GPS Location
นอกจากนี้ยังต้องระวังข้อมูลที่มีความอ่อนไหว เสี่ยงที่จะส่งผลกระทบต่อเจ้าของข้อมูลในบริบทต่าง ๆ เช่น การใช้ชีวิต การทำงาน การอยู่ในสังคม โดยเฉพาะการเลือกปฏิบัติ ข้อมูลอ่อนไหว คือ
- เชื้อชาติ เผ่าพันธุ์
- ความคิดเห็นทางการเมือง
- ความเชื่อในลัทธิ ศาสนา หรือปรัชญา
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
- ข้อมูลสหภาพแรงงาน
- ข้อมูลพันธุกรรม
- ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา
กฎหมาย PDPA กับการทำ Digital Marketing
อีกอย่างหนึ่งที่บริษัทต้องตรวจสอบให้แน่ใจว่า ฐานข้อมูลที่มีอยู่ได้ปฏิบัติตามกฎหมาย PDPA หรือไม่ ได้มีการขอความยินยอม หรือมีการแจ้งนโยบายความเป็นส่วนตัวให้เจ้าของข้อมูล หรือลูกค้าของธุรกิจทราบหรือไม่ ซึ่งทำให้เกือบทุกบริษัทต่างก็ต้องกลับมาส่งอีเมลแจ้งลูกค้าที่เคยเก็บข้อมูลดังกล่าวไว้ว่าจะขอใช้ข้อมูล
นอกจากข้อจำกัดในการใช้ฐานข้อมูลเดิม การ “สร้างฐานข้อมูลใหม่” เพิ่มเติมก็เป็นอีกหนึ่งเรื่องที่นักการตลาดต้องคำนึงถึง หากยังไม่เคยมีการปฏิบัติตามข้อดังกล่าว อาจจะส่งผลให้เราไม่สามารถนำข้อมูลที่มีอยู่มาใช้ได้ ซึ่งส่งผลกระทบในการทำ Digital Marketing แบบ Data-Driven หรือการใช้ข้อมูลต่าง ๆ เพื่อทำการตลาด ซึ่งเจ้าของข้อมูลหรือลูกค้าสามารถเลือกที่จะปิดกั้นการให้ข้อมูล Cookies กับธุรกิจที่จะทำให้การเก็บข้อมูลเพื่อนำไปวิเคราะห์ลูกค้าของบริษัทจะทำได้ยากขึ้นมากหรือไม่สามารถทำได้เลยเพราะลูกค้าไม่ยินยอม ตัวอย่างเช่น การวัดผลการโฆษณาที่แม่นยำลดน้อยลง การวางแผนการตลาดที่เหมาะสมในแต่ละช่วงเวลาและความต้องการของลูกค้าอาจทำได้ไม่ตรงเป้าหมายเหมือนแต่ก่อน การทำ Personalized Ads ก็จะมีประสิทธิภาพลดลง ทำให้อาจจะต้องใช้เงินมากขึ้นในการยิง Ads แบบกว้าง ๆ ไม่เจาะจง การทำ Customer Loyalty Program สานสัมพันธ์ระหว่างลูกค้ากับแบรนด์ การแจ้งข้อมูลข่าวสาร โปรโมชัน สินค้าออกใหม่ หรือพูดง่าย ๆ ว่าแม้เราจะเข้าถึงลูกค้าได้เท่าเดิม แต่ก็ไม่สามารถระบุเฉพาะเจาะจงหรือติดตามตัวลูกค้าคนนั้น ๆ ได้เหมือนแต่ก่อน มีการเว้นระยะห่างเพื่อให้ลูกค้ารู้สึกปลอดภัยในข้อมูลส่วนตัวมากขึ้น
เล่นปิดกั้นขนาดนี้ รับมือกับความเปลี่ยนแปลงอย่างไร?
เมื่อเรารู้ว่าข้อมูลของลูกค้าสำคัญกับธุรกิจของเรา ดังนั้นเจ้าของธุรกิจก็ควรต้องมีมาตรการรักษาความปลอดภัยของข้อมูลส่วนตัวของลูกค้าอย่างรัดกุมและเป็นมาตรฐาน สร้างความน่าเชื่อถือมากพอที่จะทำให้ลูกค้าเชื่อใจธุรกิจ รวมไปถึงการเตรียมตัวเปลี่ยนวิธีเก็บข้อมูลมาเป็นแบบ First party data ที่จะมาช่วยระบุตัวตนของลูกค้าแทนการใช้ cookies ในอดีตเมื่อบริษัทไม่ได้รับความยินยอมเปิดเผยข้อมูล
ในฐานะเจ้าของธุรกิจควรเตรียมตัวให้พร้อมโดยการ
- เตรียมนโยบาย Privacy Policy เพื่อบันทึกกิจกรรมการประมวลผลข้อมูล ระบุชัดเจนว่าจะใช้ข้อมูล เพื่ออะไร
- มีการแจ้งนโยบายความเป็นส่วนตัวแก่เจ้าของข้อมูลทั้งเก่าและใหม่ ไม่ว่าจะเป็นทางอีเมลหรือ Cookie Bar
- ใช้ Cookie Bar บนเว็บไซต์เพื่อแจ้งขอคำยินยอมในการใช้ Cookie โดยลูกค้ามีสิทธิ์ปฎิเสธได้ หากปฎิเสธอาจทำให้เครื่องมือวัดผลเว็บไซต์ต่าง ๆ ไม่สามารถทำงานได้
- มีการแจ้งเตือนเจ้าของข้อมูล หากเกิดการรั่วไหลของข้อมูล
- วางแผนเก็บข้อมูลลูกค้าอย่างเป็นระบบจากช่องทางอื่น ๆ นอกเหนือจากเว็บไซต์เพื่อทำ First Party Data ไม่ว่าจะเก็บข้อมูลจากหน้าร้าน จากออเดอร์ที่ได้รับ ฯลฯ โดยทุกช่องทางที่บริษัทต้องการเก็บข้อมูล ต้องมีการแจ้งเพื่อขอความยินยอมก่อนเสมอ
เมื่อธุรกิจของคุณได้รับความไว้วางใจจากลูกค้า และลูกค้ายินยอมจะเปิดเผยข้อมูลส่วนบุคคลให้แก่ธุรกิจของคุณ แน่นอนว่าข้อมูลเหล่านี้ควรนำมาใช้เพื่อประโยชน์ของลูกค้าในอนาคตและควรใช้ตามวัตถุประสงค์ที่แจ้งไว้เบื้องต้นเท่านั้น ถ้าธุรกิจคุณทำได้อย่างถูกต้องตามหลักการที่กล่าวมา คุณก็ยังคงสามารถใช้ข้อมูลของลูกค้าแบบ First Party Data เพื่อยังคงระบุตัวตนเพื่อทำการโฆษณาให้ตรงกลุ่มเป้าหมายต่อไปได้เสมือนยังใช้ cookies
เพราะการเตรียมตัวให้พร้อมกับการเปลี่ยนแปลงเป็นสิ่งจำเป็นของธุรกิจ หากคุณยังกังวลว่า PDPA และการเก็บข้อมูลลูกค้าไม่ได้จะมีผลกระทบกับการทำ Digital Marketing ที่แม่นยำของบริษัทคุณ สามารถเข้ามาปรึกษากับ Convert Digital ได้นะครับ เราพร้อมจะให้คำแนะนำทางด้านธุรกิจและการทำตลาดออนไลน์แบบครบวงจรเพื่อให้ธุรกิจของคุณเติบโตอย่างยั่งยืนต่อไป
