การจัดการ Cookie Consent กับ Consent ประเภทอื่น ๆ สิ่งที่คนทำ Marketing ควรรู้

    หากจะกล่าวถึงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA (Personal Data Protection Act) ที่มีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคล ก็ถือว่าเป็นกฎหมายที่มีความสำคัญและเกี่ยวข้องโดยตรงกับการทำการตลาดดิจิทัล (Digital Marketing) ซึ่งเป็นวิธีทำการตลาดที่พลิกโฉมจากการตลาดรูปแบบเดิมมาอยู่บนแพล็ตฟอร์มออนไลน์

Digital Marketing กับ PDPA เกี่ยวข้องกันอย่างไร

เพราะข้อมูลของลูกค้าคือสิ่งสำคัญสำหรับการทำ Marketing นักการตลาดหรือธุรกิจจึงจำเป็นต้องต้องวิเคราะห์วางแผนตามแคมเปญและเข้าถึงข้อมูลส่วนบุคคลของลูกค้า ซึ่งก็คือข้อมูลส่วนตัวที่สามารถสื่อหรือเชื่อมโยงไปถึงตัวบุคคลหรือลูกค้าคนนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม อาจเป็นได้ทั้งข้อมูลที่อยู่ในรูปแบบออนไลน์หรือออฟไลน์ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล เลขบัตรประชาชน เลขที่บัญชีธนาคาร เป็นต้น

การนำข้อมูลของลูกค้ามาทำการตลาด จะเลือกกลุ่มเป้าหมายที่สนใจสินค้าหรือบริการ โดยคำนึงถึงปัจจัยต่าง ๆ จากข้อมูลส่วนตัว เช่น อายุ เพศ อาชีพ จากนั้นใช้ keyword ที่เหมาะสมเพื่อเพิ่มประสิทธิภาพในการค้นหาสินค้าหรือบริการออนไลน์ แต่ก่อนที่ฝ่าย Marketing จะเข้าถึงข้อมูลส่วนบุคคลของลูกค้าได้นั้น ก็จะต้องปฏิบัติตามกฎหมาย PDPA ดังนี้

• ขอ Consent การใช้หรือเก็บข้อมูลส่วนบุคคลจากลูกค้าซึ่งก็คือเจ้าของข้อมูลส่วนบุคคลก่อน
• แจ้งจุดประสงค์การขอใช้หรือเก็บข้อมูล ว่าใช้หรือเก็บเพื่ออะไร ระยะเวลาเก็บเท่าไร
• ใช้ภาษาที่เข้าใจง่าย ไม่หลอกลวง แยกเป็นข้อ ๆ ให้ชัดเจน ไม่นำเงื่อนไขต่าง ๆ มาผูกพันกัน และขอเก็บข้อมูลเท่าที่จำเป็น
• เมื่อลูกค้าสมัครใจยินยอมให้ข้อมูลแล้ว (Consent) นักการตลาดก็มีหน้าที่ต้องคุ้มครองดูแลข้อมูลนั้นไม่ให้รั่วไหล

การปฏิบัติตามกฎหมาย PDPA ให้สอดคล้องก็เพื่อป้องกันไม่ให้บุคคลภายนอกที่ไม่ประสงค์ดีนำข้อมูลส่วนบุคคลของลูกค้าไปใช้ ซึ่งก็อาจเกิดความเสี่ยงทางด้านความปลอดภัยในชีวิตและทรัพย์สินตามมาได้ นอกจากนี้ก็เพื่อป้องกันไม่ให้ภาคธุรกิจต้องรับโทษตามกฎหมายจากความเสียหายที่เกิดขึ้นกับลูกค้า ซึ่งจะทำให้องค์กรที่ดูแลข้อมูลเสียความน่าเชื่อในการประกอบธุรกิจอีกด้วย

การจัดการ Consent ใน Digital Marketing

ความยินยอม (Consent) เกิดขึ้นได้จากการที่เจ้าของข้อมูลได้สมัครใจ “เลือก” ที่จะยินยอมให้ธุรกิจใช้หรือเก็บข้อมูลส่วนบุคคล โดยฝ่าย Marketing จะเป็นผู้เชิญชวนให้ลูกค้ายอมรับหรืออนุญาตให้เก็บข้อมูลส่วนบุคคล แต่หากลูกค้าเลือกที่จะปฏิเสธ ฝ่าย Marketing ก็สามารถเก็บข้อมูลนั้นได้ สิ่งที่น่าสังเกตคือ หากมีการเก็บข้อมูลใหม่ หรือเปลี่ยนวัตถุประสงค์การเก็บไปจากเดิม ก็ควรจะต้องขอ Consent ใหม่ทุกครั้ง ไม่ควรนำ Consent เดิมกลับมาใช้ใหม่ เพราะอาจผิด PDPA ได้

สำหรับการจัดการ Consent เพื่อเก็บข้อมูลของลูกค้าจะอยู่ในรูปแบบของฟอร์มกรอกข้อมูล ในการขอ Consent มีทั้งระดับ Consent ประเภทต่าง ๆ และ Cookie Consent โดยแบ่งได้ ดังนี้

1. Consent ประเภทต่าง ๆ

เป็นการขอ Consent ในการเก็บรวบรวมข้อมูลส่วนบุคคลจากจุดรวบรวมข้อมูลที่ถูกตั้งไว้เพื่อรับข้อมูลส่วนบุคคลในบริการต่าง ๆ เช่น Web Form, Email, APP SDK หรือ Custom API เป็นต้น การขอ Consent ประเภทอื่น ๆ เหมาะสำหรับเว็บไซต์และแอพพลิเคชันที่มีการจัดเก็บและใช้ข้อมูลส่วนบุคคลของผู้รับบริการ หรือมีการสมัครสมาชิก นอกจากการขอ consent แล้ว จำเป็นต้องแจ้งนโยบายความเป็นส่วนตัว (Privacy Policy) ซึ่งองค์กรต้องจัดทำเพื่อใช้ในการขอจัดเก็บข้อมูลจากเจ้าของข้อมูลตาม PDPA

การทำ Consent ประเภทต่าง ๆ ยังต้องยึดหลักการขอ Consent คือ ต้องแจ้งวัตถุประสงค์การเก็บและประมวลผลข้อมูล (purpose of processing) เช่น ใช้เพื่อวิเคราะห์ข้อมูลลูกค้า วางแผนแคมเปญ หรือการทำ Email Marketing โดยการให้ Consent ในส่วนนี้เจ้าของข้อมูลส่วนบุคคลสามารถกดยอมรับหรือคลิกจาก link ได้ ส่วนการตั้งค่า ช่องทางการติดต่อ และการเลือกหมวดหมู่ที่ต้องการรับข่าวสารมักใช้วิธีตั้งค่าผ่าน Preference Center

ตัวอย่างการจัดการ Consent ประเภทต่าง ๆ ผ่านการตั้งค่าบน Preference Center

2. Cookie Consent

หากเว็บไซต์มีการใช้คุกกี้เพื่อการวิเคราะห์ข้อมูล และ/หรือ ใช้ในการทำการตลาด จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูล(ผู้เยี่ยมชมเว็บไซต์) ก่อน ถ้าไม่มีการขอความยินยอมจากเจ้าของข้อมูลก่อนอาจจะถือได้ว่ามีความเสี่ยงสูงต่อในหลักการปฏิบัติที่ไม่สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลก่อนอื่นเรามาทำความรู้จักประเภทของคุกกี้ที่เก็บบนเว็บไซต์ ที่แบ่งออกเป็น 2 ประเภทใหญ่ ดังนี้

2.1 คุกกี้ที่มีความจำเป็นอย่างยิ่ง (Necessary Cookies)

ผู้ใช้งานจะเลือกเก็บคุกกี้ประเภทนี้ไม่ได้ เพราะมีความจำเป็นกับระบบการทำงานของเว็บไซต์ รวมถึงนโยบายความปลอดภัย เช่น ระบบ log in หรือการยืนยันตัวตนด้วย KYC

2.2 คุกกี้ที่ไม่จำเป็น (Non-Necessary Cookies)

ผู้ใช้งานสามารถเลือกให้ consent การเก็บคุกกี้ประเภทนี้ได้ โดยคุกกี้ที่ไม่จำเป็นแบ่งย่อยได้อีกหลายประเภท เช่น

• คุกกี้เก็บข้อมูลการใช้งาน (Analytic หรือ Statistics หรือ Performance Cookies) เป็นคุกกี้ทางสถิติที่รวบรวมและรายงานข้อมูลสถิติการเข้าชมเว็บไซต์
• คุกกี้ฟังก์ชันการทำงาน (Preferences หรือ Functional Cookies) ที่เป็นการบันทึกข้อมูลการเปลี่ยนแปลงฟังก์ชันการใช้งานเว็บไซต์ของผู้ใช้งาน เช่น จดจำ log in ทำให้การเข้าใช้งานเว็บไซต์ครั้งต่อไปไม่ต้อง log in ซ้ำอีก ภาษาในเว็บไซต์ที่เราเลือกใช้
• คุกกี้โฆษณา (Marketing Cookies) ซึ่งมักเป็นคุกกี้จากเว็บไซต์บุคคลที่สามที่เผยแพร่หรือลงโฆษณา มีไว้ใช้ติดตามผู้เข้าชมเว็บไซต์ เพื่อแสดงโฆษณาที่เกี่ยวข้องและที่น่าสนใจสำหรับผู้ใช้งานรายบุคคล

การขอ Cookie Consent โดยส่วนใหญ่จะใช้วิธีการขอ Consent ผ่าน Cookie Banner ซึ่งมีลักษณะเป็นตัวป็อปอัพที่เด้งขึ้นมาบนเว็บไซต์ เพื่อให้ผู้ใช้งานกด accept หรือยินยอมการเก็บคุกกี้ และอาจมี link ให้คลิกอ่านรายละเอียดนโยบายคุกกี้ (Cookie Policy) และตั้งค่าการเก็บคุกกี้แต่ละประเภทได้เอง Cookie Consent ที่ดี ควรมีองค์ประกอบ ดังนี้

• แจ้งและขอความยินยอมการเก็บคุกกี้
• ระบุวัตถุประสงค์การเก็บรวบรวม
• ใช้ภาษาที่เข้าใจง่าย ชัดเจน ข้อความไม่กำกวม
• ไม่สร้างเงื่อนไขให้กับผู้ใช้เว็บไซต์
• เข้าถึง Cookie Policy บนเว็บไซต์ได้ง่าย
• ผู้ใช้งานเว็บไซต์สามารถเลือกได้ว่าจะให้เว็บไซต์ใช้คุกกี้หรือข้อมูลประเภทใดได้บ้าง
• มีระบบตรวจสอบ และบันทึกข้อมูลการให้ความยินยอมให้ใช้คุกกี้

   

ตัวอย่างการขอ Cookie Consent โดยใช้วิธีการขอ Consent ผ่าน Cookie Banner

    การขอ Consent เพื่อเก็บข้อมูลจากลูกค้า ถือเป็นหัวใจหลักในการทำ Marketing เพื่อให้สอดคล้องตาม PDPA นอกจากเรื่องการขอ consent แล้ว เว็บไซต์ที่มีการจัดเก็บข้อมูลส่วนบุคคลจำเป็นต้องจัดทำนโยบายความเป็นส่วนตัว (Privacy Policy) ซึ่งเนื้อหาที่องค์กรจัดทำจึงต้องมีความชัดเจน ครบถ้วน ซึ่งสามารถเลือกใช้เครื่องมือที่ได้รับการยอมรับจากนักกฎหมาย จาก PDPA.Pro ช่วยสร้าง Privacy Policy อย่างมืออาชีพ

   

ตัวอย่างรายละเอียดของนโยบายคุกกี้ (Cookie Policy)

    ด้านการจัดการ Consent ประเภทต่าง ๆ ให้เหมาะสำหรับเว็บไซต์หรือแอพลิเคชั่นมีการจัดเก็บข้อมูลผู้ใช้บริการหรือใช้ข้อมูลลูกค้าเพื่อวิเคราะห์แคมเปญต่างๆ ส่วนเว็บไซต์ที่มีการจัดเก็บคุกกี้ ก็จะต้องขอ Cookie Consent โดยสามารถใช้เครื่องมือช่วยสร้าง Cookie Banner และแจ้ง Cookie Policy เพียงไม่กี่ขั้นตอน ง่ายๆ ได้ทันที เพียงเท่านี้องค์กรของคุณก็พร้อมที่จะปฏิบัติตาม PDPA แล้ว