อะไรคือ Cookies consent ทำไมเจ้าของเว็บไซต์ต้องมี

   

เมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA (Personal Data Protection Act) เริ่มบังคับใช้ในไทยแล้ว เจ้าของเว็บไซต์ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตาม PDPA จะต้องเตรียมพร้อมที่จะปฏิบัติตามกฎหมาย PDPA เช่น การขอความยินยอมการใช้ข้อมูลจากผู้ใช้งานเว็บไซต์หรือเจ้าของข้อมูลส่วนบุคคล แจ้งวัตถุประสงค์ว่าเราจะจัดเก็บข้อมูลอะไรบ้าง นำข้อมูลไปใช้เพื่ออะไร เป็นต้น การขอความยินยอมจึงมีหลายรูปแบบแตกต่างกันไปตามประเภทข้อมูลที่เจ้าของเว็บไซต์จะขอเก็บ วันนี้เราจะมาทำความรู้จักการขอความยินยอมรูปแบบหนึ่งเรียกว่า cookie consent กัน

Cookie คืออะไร

“คุกกี้” เป็นไฟล์ข้อมูลขนาดเล็กที่แสดงประวัติการเข้าชมเว็บไซต์และการดาวน์โหลด ซึ่งประโยชน์และความจำเป็นของคุกกี้ก็คือเมื่อเราเคยเข้าใช้งานเว็บไซต์หนึ่งแล้ว คุกกี้จะจดจำข้อมูลหลายรูปแบบ เช่น ตำแหน่งโลเคชั่นของผู้ใช้งาน ภาษาการใช้งานหน้าเว็บ หรือข้อมูลของผู้ใช้เพื่อทำการตลาดโฆษณาแบบเจาะกลุ่มเป้าหมาย (Targeting ads) ซึ่งทำให้คอมพิวเตอร์หรืออุปกรณ์ของเราจดจำเว็บไซต์นั้นได้เมื่อกลับเข้าไปใช้งานเว็บไซต์อีกครั้ง การใช้ไฟล์คุกกี้ถือเป็นการจัดเก็บและใช้ข้อมูลส่วนบุคคลเช่นเดียวกัน ดังนั้น เจ้าของเว็บไซต์หรือผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งผู้ใช้งานเพื่อขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลด้วย

ประเภทของคุกกี้

คุกกี้ที่จำเป็น ( Necessary Cookies) ซึ่งจะช่วยทำให้เว็บไซต์ใช้งานฟังก์ชันพื้นฐานต่างๆ ได้อย่างถูกต้องและปลอดภัย เช่น การเข้าระบบเว็บไซต์ Log in หรือการชำระเงินผ่าน E-payment คุกกี้เก็บข้อมูลการใช้งาน (Analytic หรือ Statistics หรือ Performance Cookies) เป็นคุกกี้ทางสถิติที่รวบรวมและรายงานข้อมูลสถิติการเข้าชมเว็บไซต์ คุกกี้ฟังก์ชันการทำงาน (Preferences หรือ Functional Cookies) ที่เป็นการบันทึกข้อมูลการเปลี่ยนแปลงฟังก์ชันการใช้งานเว็บไซต์ของผู้ใช้งาน เช่น จดจำการ log in ทำให้การเข้าใช้งานเว็บไซต์ครั้งต่อไปไม่ต้อง log in ซ้ำอีก และภาษาในเว็บไซต์ที่เราเลือกใช้ คุกกี้โฆษณา (Marketing cookies) ซึ่งมักเป็นคุกกี้จากเว็บไซต์บุคคลที่สามที่เผยแพร่หรือลงโฆษณา มีไว้ใช้ติดตามผู้เข้าชมเว็บไซต์ เพื่อแสดงโฆษณาที่เกี่ยวข้องและที่น่าสนใจสำหรับผู้ใช้งานรายบุคคล

Cookie consent คืออะไร

Cookie consent คือ การขอความยินยอมเพื่อจัดเก็บไฟล์คุกกี้และข้อมูลต่างๆ จากผู้ใช้งานเว็บไซต์ ซึ่งไฟล์คุกกี้นี้ก็ถือเป็นข้อมูลส่วนบุคคลประเภทหนึ่งที่จัดเก็บข้อมูลจากเจ้าของข้อมูลหลายรูปแบบจากการเข้าชมเว็บไซต์ เจ้าของเว็บไซต์ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจึงต้องขอความยินยอมจากเจ้าของข้อมูลตามกฎหมาย PDPA ด้วย

กฎหมายเรื่องคุกกี้ใน PDPA

เนื่องจาก PDPA มีความคล้ายคลึงกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของยุโรป หรือ GDPR ซึ่งเจ้าของเว็บไซต์จะต้องขอความยินยอม (consent) การจัดเก็บข้อมูลจากเจ้าของข้อมูลก่อน โดยการเก็บ ใช้ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคลต้องได้รับความยินยอม ยกเว้นจะมีเหตุอื่นที่ได้รับอนุญาตตามกฎหมาย สำหรับการใช้คุกกี้ มีสาระสำคัญตามกฎหมายดังนี้ แจ้งให้ผู้ใช้งานเว็บไซต์ทราบว่ามีการใช้คุกกี้ ระบุวัตถุประสงค์การเก็บรวบรวม ขอความยินยอมการจัดเก็บคุกกี้ ใช้ภาษาที่เข้าใจง่าย ชัดเจน ข้อความไม่กำกวม ไม่สร้างเงื่อนไขให้กับผู้ใช้เว็บไซต์ ผู้ใช้งานเว็บไซต์สามารถเลือกได้ว่าจะให้เว็บไซต์ใช้คุกกี้หรือข้อมูลประเภทใดได้บ้าง การแจ้งขอจัดเก็บคุกกี้ถือเป็นหลักฐานในการปฏิบัติตาม PDPA เจ้าของข้อมูลสามารถขอยกเลิกหรือถอนความยินยอมได้ทุกเมื่อ โดยให้เจ้าของเว็บไซต์มีกระบวนการรับคำร้องจากเจ้าของข้อมูลส่วนบุคคล ควรเป็นวิธีที่ง่ายไม่ซับซ้อน และไม่กำหนดเงื่อนไข อาจใช้วิธีการยื่นแบบฟอร์ม ส่งคำร้องผ่านช่อง chat หรือส่งอีเมลก็ได้

ใครบ้างที่ต้องทำตามกฎหมาย PDPA

นอกจากผู้ใช้งานเว็บไซต์ในฐานะเจ้าของข้อมูลส่วนบุคคลที่ได้รับความคุ้มครองตาม PDPA แล้ว สำหรับผู้ประกอบการหรือเจ้าของเว็บไซต์ที่เข้าข่ายต้องปฏิบัติตามกฎหมาย PDPA แบ่งออกเป็น 3 ประเภทดังต่อไปนี้

1. เจ้าของเว็บไซต์ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล เป็นองค์กรที่เก็บหรือใช้ข้อมูลส่วนบุคคล เช่น บริษัทการตลาดที่เก็บข้อมูลลูกค้า บริษัทขายของออนไลน์

2. เป็นผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งได้รับการว่าจ้างให้ประมวลผลข้อมูลของลูกค้าหรือบุคคลใดๆ ตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล

3. เป็นองค์กรที่อยู่นอกราชอาณาจักรแต่มีการเสนอขายสินค้าหรือบริการให้กับลูกค้าในประเทศไทย มีการโอนถ่ายข้อมูล อาทิ การเฝ้าติดตามพฤติกรรมผู้บริโภค อาจจะเป็น การตั้งกลุ่มเป้าหมายทำโฆษณาออนไลน์ หรือการรับจองรองแรมผ่านเว็บไซต์ ก็ถือว่าอยู่ในกลุ่มนี้ทั้งหมด

บทลงโทษตามกฎหมาย PDPA หากไม่ทำตาม

ปัจจุบันกฎหมาย PDPA ประกาศขยายเวลาบังคับใช้เต็มรูปแบบออกไปจนถึงช่วงปลายเดือนพฤษภาคม 2565 โดยบทลงโทษมีทั้งทางอาญา ทางแพ่ง และทางปกครอง ซึ่งบุคคลธรรมดาและนิติบุคคลในประเทศไทยต้องปฏิบัติตามกฎหมาย PDPA หากฝ่าฝืนจะมีโทษปรับสูงสุด 5 ล้านบาท จำคุกสูงสุด 1 ปี และต้องจ่ายค่าเสียหายตามจริง รวมถึงค่าสินไหมทดแทนเพื่อการลงโทษสูงสุดสองเท่าของค่าเสียหายตามจริง หากผู้กระทำความผิดเป็นนิติบุคคล กรรมการหรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลอาจต้องรับผิดด้วย

นอกจากอัตราโทษตามกฎหมายแล้ว องค์กรที่ไม่ปฏิบัติตาม PDPA หากเกิดความเสียหายต่อข้อมูลส่วนบุคคลของลูกค้า เช่น ไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม จนข้อมูลเกิดรั่วไหล ก็อาจได้รับบทลงโทษทางสังคมอีก เช่น องค์กรขาดความน่าเชื่อถือ เสียชื่อเสียง จนกระทั่งเสียรายได้จากฐานลูกค้าในอนาคต

Cookies Checklist ต้องทำอะไรบ้างให้สอดคล้องกับ PDPA

เมื่อการขอความยินยอมเป็นสิ่งจำเป็น เพื่อให้สอดคล้องกับ PDPA เจ้าของเว็บไซต์มีขั้นตอนการจัดทำ Cookie consent ดังนี้ รู้ประเภทและวัตถุประสงค์ของการใช้คุกกี้ จัดทำแบนเนอร์คุกกี้บนเว็บไซต์ สร้างแบนเนอร์คุกกี้บนเว็บไซต์ใน 2 นาทีที่ Cookie Wow แยกประเภทคุกกี้ ทั้งคุกกี้ที่จำเป็น (necessary cookies) และคุกกี้ที่ไม่จำเป็น (non-necessary cookies) ขอความยินยอมการใช้ตามวัตถุประสงค์จากผู้ใช้งานเว็บไซต์ก่อนที่จะใช้คุกกี้ที่ไม่จำเป็น ให้ผู้ใช้งานเว็บไซต์ตั้งค่าการใช้คุกกี้ได้ และระบุข้อมูลด้วยภาษาที่เข้าใจง่าย เข้าถึงนโยบายการใช้คุกกี้บนเว็บไซต์ได้ง่าย มีระบบการตรวจสอบ ที่จัดเก็บเอกสารและข้อความยินยอมให้ใช้คุกกี้ของผู้ใช้งาน จัดเก็บ cookie consent ไว้ระยะเวลาหนึ่งตามความจำเป็นตามกฎหมาย

การขอความยินยอมให้ใช้คุกกี้ นับว่าเป็นข้อปฏิบัติหนึ่งตามกฎหมาย PDPA หากเว็บไซต์ของคุณมีการให้บริการสินค้าหรือการจัดเก็บข้อมูลของผู้ใช้บริการ เราขอแนะนำให้สร้างแบนเนอร์คุกกี้ได้ที่ Cookie Banner เพื่อขอความยินยอมการใช้คุกกี้จากผู้ใช้งานเว็บไซต์ ซึ่งตัวแบนเนอร์นี้จะปรากฏขึ้นเมื่อผู้ใช้งานเข้าเว็บไซต์ทุกครั้ง และถือเป็นหลักฐานการยินยอมให้ใช้คุกกี้จากผู้ใช้งาน

ในบทความต่อไปเราจะมาดูกันว่าองค์ประกอบของแบนเนอร์คุกกี้มีอะไรบ้าง และจะต้องออกแบบอย่างไรให้ใช้งานได้จริง

สร้างแบนเนอร์คุกกี้ให้สอดคล้องกับกฎหมาย PDPA ได้เลยที่นี่ Cookie Wow

---

บทความที่เกี่ยวข้อง

เจาะลึกการสร้าง Cookies Consent Banner ที่สอดคล้องตาม PDPA ทำอย่างไร
ทำเว็บไซต์ให้สอดคล้องกฎหมาย PDPA ด้วย Cookie Wow