ในยุคโลกาภิวัตน์ที่เทคโนโลยีเติบโตขึ้นอย่างรวดเร็ว โดยเฉพาะอย่างยิ่งการเติบโตของการซื้อขายสินค้าออนไลน์ (E-commerce) ที่หากจะเปรียบเทียบง่ายๆ ก็เหมือนเรายกตั้งแต่ตลาดนัดจตุจักรไปจนถึงช็อปแบรนด์เนมมาไว้ในโลกอินเทอร์เน็ต ซึ่งสิ่งเหล่านี้เปลี่ยนพฤติกรรมของผู้บริโภคไปอย่างสิ้นเชิง
ปัจจุบันนี้ผู้คนซื้อของออนไลน์มากขึ้น ใช้โซเชียลมีเดียมากขึ้น ฉะนั้นแล้วสินค้าและบริการอื่นๆ ที่แม้จะไม่ได้มีการซื้อขายผ่านอินเทอร์เน็ตในแพลตฟอร์ม online shoping ก็เริ่มผันตัวมาทำการตลาดออนไลน์ หรือ Digital Marketing กันแล้ว เพื่อให้สินค้าและบริการสามารถเข้าถึงผู้บริโภคได้มากขึ้นนั่นเอง
และสิ่งสำคัญในที่บรรดานักธุรกิจ, เข้าของแบรนด์, แพลตฟอร์มต่างๆ ในอินเทอร์เน็ตจะนำมาวิเคราะห์เพื่อวางแผนการตลาดคงจะหนีไม่พ้น ‘ข้อมูล’
PDPA คืออะไร
คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA) ถูกสร้างขึ้นมาเพื่อคุ้มครองประชาชนไม่ให้ถูกละเมิดข้อมูลส่วนบุคคล หากตนยังไม่ได้ให้ความยินยอม
ฉะนั้นแล้ว หากผูัทำธุรกิจหรือนักการตลาดต้องการจะนำข้อมูลต่างๆ มาใช้เพื่อประโยชน์ในการทำ Digital Marketing ล่ะก็ ต้องศึกษาข้อมูลเกี่ยวกับ PDPA เอาไว้ เพราะกระทบด้านการนำข้อมูลมาใช้เต็มๆ
สามารถอ่านข้อมูลเกี่ยวกับ PDPA เพิ่มเติมได้ที่ : PDPA ส่งผลกระทบอย่างไรต่อ Content Creator
‘ข้อมูล’ คือทุกสิ่ง
เคยไหมคะ ที่เสิร์ชหาสินค้าบางชนิดบนอินเทอร์เน็ตแค่ครั้งเดียว หลังจากนั้นก็โดนยิง Ad ใส่จนหลอน เห็นสินค้าชนิดนั้นปรากฎตัวอยู่ทุกที่ ไม่ว่าจะ Pop-Up โฆษณาในเว็บไซต์ที่เข้าไปเยี่ยมชม หรือเด้งเข้ามาหน้าโซเชียลมีเดียของเรา
นั่นคือผลพวงของการที่เว็บไซต์และแบรนด์ต่างๆ เก็บข้อมูลไปจากเรา ผ่านประวัติการเข้าชมหรือประวัติการค้นหา ทำให้รู้ว่าเรามีความสนใจในเรื่องใดอยู่ และสิ่งนั้นมีค่ามหาศาล เพราะสามารถนำข้อมูลที่ได้ไปใช้ประโยชน์ได้หลายทาง ไม่ว่าจะวิเคราะห์พฤติกรรมผู้บริโภค, คัดเลือกกลุ่มเป้าหมายเพื่อจะได้ยิงโฆษณา หรือไม่ว่าจะนำมาวางแผนพัฒนาธุรกิจของตนต่อไป ต่างก็ต้องใช้ข้อมูลทั้งนั้น
เรียกได้ว่า ยิ่งมีข้อมูลมาก ก็ยิ่งรู้มาก นั่นเองค่ะ
การเก็บข้อมูลนั้นอาจเกิดขึ้นโดยเราเต็มใจหรือไม่เต็มใจ จึงได้มีกฎหมาย PDPA ออกมาเพื่อบังคับใช้ให้บรรดาเว็บไซต์และแอปพลิเคชั่นต่างๆ ต้องขอความยินยอมก่อนจะนำข้อมูลไปใช้ประโยชน์นั่นเอง
บุคคลที่มีความรับผิดชอบต่อ PDPA ในการทำ Digital Marketing มีใครบ้าง?
คือ ผู้ที่รวบรวมข้อมูลของคนอื่นมาใช้งาน อาจเป็นเจ้าของกิจการ, ผู้ดูแลเว็บไซต์ หรือฝ่ายการตลาดก็ได้ โดยสามารถแบ่งได้เป็น
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) : เป็นผู้ต้องขอความยินยอมในการเก็บข้อมูลส่วนตัวจากบุคคลอื่น
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) : เป็นผู้ประมวลผลข้อมูล ที่จะนำข้อมูลต่างๆ มาวิเคราะห์และใช้ประโยชน์
ยกตัวอย่าง เช่น ทีมการตลาดต้องการจะยิงโฆษณาใน Facebook ทีมการตลาดเป็นผู้วางแผนการโฆษณาและมีข้อมูลลูกค้าในมือ จึงเป็นผู้ควบคุมข้อมูล ส่วน Facebook คือผู้ประมวลผลค่ะ
ทำการตลาดออนไลน์อย่างไรให้ถูกกฎหมาย PDPA
ถ้าคุณคือผู้ทำธุรกิจและมีแพลตฟอร์มออนไลน์เป็นของตัวเอง เช่น เว็บไซต์หรือแอปพลิเคชั่น จำเป็นจะต้องขอความยินยอมจากผู้ใช้บริการตั้งแต่เริ่มสร้างบัญชี โดยมีมาตรการ ดังนี้
- จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- แจ้งให้ผู้ใช้บริการทราบให้ชัดเจน ว่าจะนำข้อมูลไปใช้ทำอะไร นำไปเปิดเผยที่ไหน และจัดเก็บข้อมูลชนิดไหนบ้าง เช่น Location, ประวัติการค้นหา หรือ Cookie โดยมีแบบฟอร์มขอความยินยอมที่ชัดเจนและเข้าใจง่าย
- กำหนดนโยบายด้านความปลอดภัยของข้อมูล, นโยบายความเป็นส่วนตัว
- ฝ่ายกฎหมาย, HR และ Compliance ต้องกำหนดนโยบายของบริษัทให้สอดคล้องกับ PDPA ไม่ใช่แค่เรื่องการจัดเก็บข้อมูลลูกค้า แต่เรื่องการจัดเก็บข้อมูลพนักงานในบริษัทก็เช่นกัน
- ฝ่าย IT/Deverloper ต้องออกแบบการใช้งานแพลตฟอร์มให้สอดคล้องกับนโยบายใหม่ โดยห้ามจัดเก็บข้อมูลใดจากผู้เข้าใช้บริการจนกว่าบุคคลนั้นจะกดยินยอมให้เก็บข้อมูลได้ รวมถึงจัดให้มีช่องทางที่ให้ผู้ใช้บริการขอเพิกถอนความยินยอมได้ในภายหลัง
หากไม่ปฏิบัติตาม จะมีบทลงโทษอย่างไรบ้าง?
โทษทางแพ่ง
- ต้องใช้ค่าสินไหมทดแทนตามความเสียหายที่เกิดขึ้น โดยศาลสั่งลงโทษเพิ่มได้ไม่เกินสองเท่าของค่าสินไหมทดแทนที่แท้จริง
โทษทางปกครอง
- กรณีไม่ขอความยินยอม/ไม่แจ้งรายละเอียด/ไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ/ไม่จัดทำบันทึกรายการ/ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล/ไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของ DPO ปรับไม่เกิน 1 ล้านบาท
- เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย/ไม่ได้แจ้งวัตถุประสงค์การใช้งานใหม่/เก็บข้อมูลเกินความจำเป็น/ขอความยินยอมที่เป็นการหลอกลวงให้เข้าใจผิด/ไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม/ไม่แจ้งเหตุเมื่อมีการละเมิดข้อมูล โอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย/ไม่ตั้งตัวแทนในราชอาณาจักร ปรับไม่เกิน 3 ล้านบาท
- เก็บรวบรวม ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย ปรับไม่เกิน 5 ล้านบาท
หมายเหตุ : ข้อมูลส่วนบุคคลอ่อนไหว คือข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
โทษอาญา
- หากผู้ควบคุมข้อมูลส่วนบุคคล ใช้หรือเปิดเผยข้อมูลส่วนบุคคลอ่อนไหว โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือผิดจากวัตถุประสงค์ที่ได้แจ้งไว้ หรือโอนข้อมูลส่วนบุคคลอ่อนไหวไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย โดยแบ่งโทษออกได้เป็น 2 กรณี
- ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย จำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 500,000 บาท
- เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น จำคุกไม่เกิน 1 ปี ปรับไม่เกิน 500,000 บาท
- ผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ ตามพ.ร.บ.นี้ ห้ามนำไปเปิดเผยแก่ผู้อื่น เว้นแต่เปิดเผยตามหน้าที่ หรือเพื่อประโยชน์แก่การสอบสวนหรือพิจารณาคดี หรือได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล หรือเปิดเผยให้หน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย หรือ ข้อมูลคดีต่างๆ ที่เปิดเผยต่อสาธารณะ จำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 500,000 บาท
- ผู้กระทำความผิดที่เป็นนิติบุคคล หากกรรมการหรือผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้น สั่งการหรือกระทำหรือละเว้นไม่สั่งการหรือไม่กระทำการ จนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ต้องรับโทษในส่วนที่กำหนดโทษอาญาไว้ด้วย
ขอบคุณข้อมูลจาก :
- PDPA PRO : https://pdpa.pro/blogs/pdpa-preparation-for-digital-marketing
- กรุงเทพธุรกิจ : https://www.bangkokbiznews.com/business/1006740