DOs & DON’Ts ออกแบบเว็บไซต์อย่างไรให้สอดคล้อง PDPA

December 3, 2020

หลายคนอาจจะเคยได้ยินคำว่า “GDPR (General Data Protection Regulation)” กันมาบ้างแล้วนะคะ ซึ่งก็คือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป ซึ่งมีกฎบังคับในเรื่องข้อตกลงของบริษัทต่าง ๆ ในการเก็บ บันทึก และประมวลผลข้อมูล โดยมีการกำหนดให้เปิดเผยว่าข้อมูลที่บริษัทจะจัดเก็บไปมีอะไรบ้าง และพวกเขาจะนำไปใช้ต่อกับใครหรือไม่ ซึ่งจะต้องมีการทำข้อมูลเพื่อให้ผู้ใช้งานกดยืนยันยอมรับก่อนใช้บริการหรือก่อนสมัครสมาชิก ดังนั้นช่วงหลังมานี้เราจึงเห็นหลายเว็บไซต์มีการแจ้งเตือน อาจจะเป็นโยบายคุกกี้ หรือขึ้นเป็นหน้าข้อมูลเพื่อขอความยินยอมที่จะยอมรับเงื่อนไขการใช้บริการหรือการสมัครสมาชิก ซึ่งเงื่อนไขนั้นจะบอกข้อมูลว่าเว็บไซต์จะเก็บข้อมูลส่วนตัวของผู้ใช้อะไรบ้าง

เราอาจจะสงสัยกันว่า เจ้า GDPR กับ PDPA มันต่างกันไหม จริง ๆ แล้วควรจะเรียกว่ามันเป็นส่วนหนึ่งของกันและกันแต่ก็ไม่เหมือนกันซะทีเดียว ทั้งสองล้วนแต่มีมาเพื่อคุ้มครองข้อมูลส่วนบุคคล พูดง่าย ๆ ก็คือข้อมูลอะไรก็แล้วแต่ที่ระบุตัวตนของคน ๆ นั้นได้ เช่น ชื่อ นามสกุล เลขประจำตัวประชาชน IP address หรือข้อมูลส่วนบุคคลที่มีความอ่อนไหว ก็จะมีความคุ้มครองที่เข้มงวดมากขึ้น

หน้าที่ของผู้ออกแบบเว็บไซต์ อย่างแรกเลยคือ ต้องตรวจสอบก่อนว่าเว็บไซต์ของเราจะเก็บข้อมูลประเภทไหนบ้าง มีการสมัครสมาชิกหรือไม่ แจ้งให้เจ้าของข้อมูลทราบอย่างชัดเจนว่า จะเก็บข้อมูลอะไรบ้าง เพื่ออะไรและจะเก็บอย่างไรเช่น เราจะติดตั้งระบบวิเคราะห์อื่น ๆ อย่าง Google Analytics บนเว็บไซต์ ก็ต้องเขียนแจ้งเตือนให้ผู้ใช้ทราบว่าเว็บไซต์จะเก็บอะไรบ้าง แต่ถ้าไม่ได้เก็บข้อมูลที่ระบุตัวตนคน ๆ หนึ่งได้ ก็สามารถเขียนแจ้งรวมกับนโยบายคุกกี้ได้ โดยทำลิงก์ให้เข้าไปอ่านเพิ่มเติม และมีนโยบายความเป็นส่วนตัวที่สอดคล้องกับกฎหมายอย่าง Privacy Policy

DOs & DON’Ts ออกแบบเว็บไซต์อย่างไรให้สอดคล้อง PDPA

การขอความยินยอมที่ชัดเจน โปร่งใสตามหลัก PDPA ที่อ้างอิงจากกฎหมายที่ คล้ายกันอย่าง GDPR ของสหภาพยุโรป ยังถือว่าเป็นการสร้างความสัมพันธ์ที่ดีและได้รับการไว้วางใจจากลูกค้าในระยะยาว ดังนั้นอะไรบ้างที่ควรทำและไม่ควรทำในการออกแบบเว็บไซต์ เรายกมาไว้ที่นี่แล้วค่ะ

1. ระบบสมัครใจเลือก

สิ่งที่ควรทำและไม่ควรทำในการบันทึกคำยินยอม

DOs : ผู้ให้บริการจะต้องสร้างตัวเลือกกับผู้ใช้งานในการให้ความยินยอมอย่างสมัครใจเมื่อได้รับแจ้งว่าจะขอข้อมูลส่วนตัวจะใช้หรือจะเก็บข้อมูลอย่างไร เมื่ออ่านรายละเอียดครบถ้วน และยืนยันยอมรับการใช้กฎของบริการนั้นแล้ว ผู้ใช้จะเลือกในช่องของเว็บไซต์เพื่อยินยอมให้ใช้ข้อมูลและยอมรับข้อกำหนดของเว็บไซต์ก่อนสมัครสมาชิก

DON’Ts : สิ่งที่ผู้ให้บริการไม่ควรทำ คือ การตั้งค่าบังคับให้ยินยอม โดยช่องที่ให้ความยินยอมได้ถูกเลือกมาตั้งแต่แรกแล้ว หรืออีกกรณีที่บังคับให้ผู้ใช้เลือกก่อนเป็นลำดับแรก โดยที่ยังไม่ได้แจ้งกฎหรือรายละเอียดก่อน ดังนั้น การจัดวางเว็บไซต์ที่ดีจึงควรนำรายละเอียดวัตถุประสงค์การใช้ข้อมูล และกฎของเว็บไซต์ขึ้นก่อนเพื่อให้ผู้ใช้อ่านและรับทราบ ตามด้วยช่องติ๊กถูกเพื่อยินยอมให้ใช้ข้อมูลควรอยู่ส่วนท้ายสุด

2. แยกส่วนของ “ข้อกำหนดและเงื่อนไขการใช้งาน” ออกจาก “การใช้ข้อมูล”

การระบุเงื่อนไขของคำยินยอมที่เจ้าของข้อมูลควรรู้

DOs : ควรแยกหัวข้อและรายละเอียดออกจากกันให้เป็นสัดส่วน เพื่อให้มองเห็นได้ชัดเจนและเข้าใจง่าย รวมทั้งแยกช่อง ติ๊กถูกเพื่อยอมรับตามข้อกำหนดและเงื่อนไขการใช้งาน ออกจากส่วนของการยินยอมให้ใช้ข้อมูล เช่น ข้อมูล ชื่อ ที่อยู่ โลเคชั่น เป็นต้น

DON’Ts : ข้อกำหนดและเงื่อนไขการใช้งาน กับ การให้ความยินยอมในการใช้ข้อมูลส่วนบุคคลในด้านต่าง ๆ มีเนื้อหารายละเอียดที่แตกต่างกัน จึงไม่ควรนำมารวมกัน

3. มีฟังก์ชันให้ผู้ใช้ถอนการใช้งาน

เจ้าของข้อมูลสามารถขอใช้สิทธิ์ในการถอนคำยินยอมไปจนถึงสามารถขอลบข้อมูลของตัวเองได้

ผู้ใช้มีสิทธิ์ถอนความยินยอมได้ทุกเมื่อ เมื่อผู้ใช้ยินยอมพวกเขาควรได้รับแจ้งว่าจะถอนได้ที่ไหนและอย่างไร ซึ่งมีแนวโน้มว่าบรรดาผู้ใช้จะลืมวิธีการทำหลังจากที่ได้เห็นวิธีในครั้งแรก

DOs : ควรแจ้งรายละเอียดตอนขอความยินยอมไว้ด้วยว่า หากผู้ใช้งานต้องการถอนการใช้งาน นำข้อมูลออก ลบบัญชีสมาชิกหรือดาวน์โหลดข้อมูลของตนเอง จะทำได้ที่ไหน ซึ่งการถอนความยินยอมนี้ จะต้องมีฟังก์ชันการใช้งานที่ง่าย เข้าถึงได้ง่าย ถอนได้โดยไม่มีเงื่อนไข เช่น ไม่เสียค่าใช้จ่ายเมื่อขอลบบัญชีสมาชิก หรือต้องทำแบบทดสอบก่อนถึงจะถอนความยินยอมได้

DON’Ts : ข้อมูลของผู้ใช้สามารถเข้าถึงได้ง่ายตลอดเวลาแต่ไม่มีฟังก์ชั่นให้ถอดถอน

4. การแยกส่วนความยินยอมของข้อมูลต่างประเภท

การแยกส่วนความยินยอมต่างประเภทคืออะไร

DOs : อาจให้ผู้ใช้งานเลือกได้ว่าจะให้ความยินยอมการใช้ การเก็บ หรือรวบรวมข้อมูลส่วนบุคคลอะไรบ้าง โดยแยกส่วนกันตามแต่ละวัตถุประสงค์ และมีช่องติ๊กถูกแยกกันตามแต่ละหัวข้อ ซึ่งจะช่วยให้ผู้ใช้งานเข้าใจถึงการจัดเก็บประเภทข้อมูล และวัตถุประสงค์ที่แตกต่างกันได้ง่ายมากขึ้น เช่น แยกช่องและขอความยินยอมในการจัดเก็บที่อยู่ ออกจากการขอความยินยอมให้เว็บไซต์ใช้ตำแหน่งที่ตั้งของผู้ใช้ขณะที่ใช้เว็บไซต์นั้น หรือแยกส่วนที่ขอความยินยอมการจัดเก็บเลขบัตรประชาชน ออกจากการขอความยินยอมระบบเก็บลายนิ้วมือ เป็นต้น

DON’Ts : การรวมเงื่อนไขการยินยอมและข้อจำกัดทั้งหมด รวมถึงข้อมูลอื่น ๆ โดยไม่มีการติ๊กแยกเพื่อยินยอมการใช้ข้อมูลแต่ละส่วน ซึ่งถือว่าผิดเนื่องจากขาดความชัดเจน

5. การใช้ข้อมูลจากเว็บไซต์อื่น

การใช้ข้อมูลจากเว็บไซต์อื่น

DOs :ถ้าเว็บไซต์ของเราสามารถเข้าระบบด้วยการ log in จากเว็บไซต์ third party ได้ เช่น Facebook Twitter Google Line เป็นต้น ผู้ดูแลระบบไม่ควรบอกเพียงแค่ว่าได้มีการเข้าใช้งานจากเว็บไซต์ third party เฉย ๆ แต่ควรออกแบบโดยเจาะจงชื่อเว็บไซต์ third party ลงไปด้วย โดยอาจใช้วิธีการแยกส่วนแสดงข้อมูลของแต่ละเว็บไซต์ third party เพื่อให้เห็นข้อมูลได้ง่ายและชัดเจนขึ้น อาจเป็นการแสดงผลอีกหน้า ว่าผู้ใช้ได้เข้าระบบจากเว็บไซต์ third party ตัวใดบ้าง ซึ่งผู้ดูแลระบบต้องแจ้งให้ผู้ใช้งานทราบข้อมูล เพราะการเข้าระบบจากเว็บไซต์เหล่านี้จะมีการดึงข้อมูลส่วนบุคคลบางส่วนไปใช้ร่วมกับเว็บไซต์หลักด้วย

DON’Ts : การไม่จำแนกหรือแยกเว็บไซต์ third party ที่ชัดเจน รวมถึงไม่มีตัวเลือกที่ละเอียดว่าจะแบ่งปันข้อมูลนี้กับใคร

แนวทางปฏิบัติอื่น ๆ ที่สำคัญ ในการเว็บไซต์ของ GDPR

กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (GDPR) เป็นกรอบทางกฎหมายที่กำหนดแนวทางในการรวบรวมและประมวลผลข้อมูลส่วนบุคคลภายในสหภาพยุโรป GDPR ส่งผลกระทบต่อหลายบริษัท โดยเฉพาะบริษัทที่ประมวลผลข้อมูลแบบออนไลน์อย่างเว็บไซต์และแอปพลิเคชัน บริษัทจึงจำเป็นต้องเพิ่มศักยภาพให้กับผู้ใช้ โดยมีแนวทางปฏิบัติอื่น ๆ ดังนี้ ใช้ภาษาที่เข้าใจง่ายและชัดเจน

ผู้ดูแลระบบควรแจ้งรายละเอียดวัตถุประสงค์ในการขอความยินยอม และข้อตกลงการใช้เว็บไซต์ด้วยภาษาที่เข้าใจง่าย พร้อมบอกประโยชน์ว่าถ้ายินยอมให้ใช้ข้อมูลจะเกิดผลดีต่อการใช้งานอย่างไร ซึ่งถือว่าจำเป็นต่อผู้ใช้งานว่าจะยินยอมให้ใช้ข้อมูลส่วนบุคคลหรือไม่ และการตกลงยินยอมอะไรบางอย่างที่เป็นการผูกมัด ดังนั้น จึงควรหลีกเลี่ยงการใช้ประโยคที่ซับซ้อนที่จะทำให้เกิดการเข้าใจผิด ใช้ตัวอย่างให้เห็นภาพ

การใช้ภาพประกอบหรือตัวอย่างจริงมาแสดงให้เห็นอย่างชัดเจนจะช่วยให้ผู้ใช้เข้าใจและยังช่วยในการตัดสินใจที่จะยินยอมให้ใช้ข้อมูลได้ดียิ่งขึ้น โดยปรับให้เหมาะสมและเห็นถึงประโยชน์ที่ผู้ใช้จะได้รับ

จะเห็นว่ามีขั้นตอนที่ดูซับซ้อน แต่จริง ๆ แล้วไม่ได้ยากเลยค่ะ เพียงแค่ออกแบบด้วยฟังก์ชั่นที่ใช้ภาษาเข้าใจง่าย ชัดเจน และตรงตามหลัก GDPR และ PDPA เท่านี้ บริษัทของคุณจะได้คะแนนความไว้วางใจจากลูกค้าขึ้นเป็นกอง

บทความนี้อ้างอิงจาก Martin Braaten Grina, UX Lead ของ Auka บริษัทพัฒนาเทคโนโลยีการชำระเงินผ่านมือถือในกลุ่มประเทศนอร์ดิกส์

สร้าง Privacy Policy ง่ายๆ

อย่างมืออาชีพ ถูกต้องตาม PDPA

สร้าง Policy ตอนนี้!