PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่กำลังจะประกาศใช้เต็มรูปแบบ 1 มิถุนายน 2565 นี้ เป็นกฎหมายที่ออกมาคุ้มครองสิทธิเกี่ยวกับข้อมูลส่วนบุคคล หรือคุ้มครองข้อมูลที่สามารถใช้ระบุตัวบุคคล ซึ่งกฎหมายฉบับนี้กำหนดให้มีการคุ้มครองข้อมูลส่วนบุคคลอย่างครอบคลุม อาทิ ข้อมูลลูกค้า ข้อมูลของคู่ค้าทางธุรกิจ บุคลากรในองค์กร ลูกจ้าง ฯลฯ

หลาย ๆ ครั้งคุณคงเคยได้ยินคนพูดถึงเว็บคุกกี้ หรือคุกกี้เว็บไซต์ (Cookies) ว่าเป็นสิ่งที่น่าสนใจ และเป็นตัวช่วยในการทำธุรกิจในยุคดิจิทัลได้ดี ซึ่งเมื่อ PDPA บังคับใช้ คุณควรศึกษาอย่างละเอียด เพราะการเก็บคุกกี้เว็บไซต์ก็เข้าข่ายได้รับการคุ้มครองจากกฎหมายฉบับนี้ด้วย และเมื่อยังไม่มีแนวปฏิบัติกำหนดออกมาอย่างเป็นทางการจากภาครัฐ จึงทำให้เกิดข้อถกเถียงกัน ซึ่งในฐานะที่พวกเราเป็นผู้เชี่ยวชาญ รวมทั้งทำงานให้บริการด้านการคุ้มครองข้อมูลส่วนบุคคล จึงอยากนำความรู้เรื่อง Cookie กับการทำ PDPA ขององค์กรมาให้ชาว SME ได้รับรู้ เข้าใจมากยิ่งขึ้น โดยผ่าน 5 คำถาม-คำตอบ ดังนี้ครับ

SME เคลียร์ชัดเรื่องการใช้ Cookies และ PDPA ใน 5 คำถาม – คำตอบ

Q1: คุกกี้คืออะไร สำคัญกับชาว SME อย่างไร

A1: Cookies คือ ไฟล์ขนาดเล็กที่สร้างขึ้นเพื่อทำการจดจำพฤติกรรมของผู้ใช้งานในเว็บไซต์ ซึ่งข้อมูลที่ได้จาก Cookies จะถูกนำไปประมวลผล ธุรกิจ SME สามารถนำข้อมูลผลลัพธ์เหล่านี้มาดำเนินการให้ตอบโจทย์ลูกค้าในการเข้าเว็บไซต์ของเรามากยิ่งขึ้นในครั้งถัดไปได้ ซึ่งคุกกี้มีหลายประเภทและบางประเภทเข้าข่ายบังคับใช้ภายใต้กฎหมาย PDPA เนื่องจากคุกกี้ทำหน้าที่ประมวลผลข้อมูลที่เป็นข้อมูลส่วนบุคคล เช่น IP Address การตั้งค่า พฤติกรรมการใช้งาน เป็นต้น

Q2: คุกกี้มีกี่ประเภท SME ใช้คุกกี้แบบไหนได้บ้าง?

A2: ประเภทของคุกกี้ (จากฟังก์ชันจะเห็นได้ว่ามีประโยชน์ต่อ SME อย่างมาก) สามารถแบ่งออกตามลักษณะของการใช้งานทางธุรกิจได้ ดังนี้

- Necessary Cookies หรือ คุกกี้ที่จำเป็น ซึ่งเป็นสิ่งที่ช่วยทำให้เว็บไซต์มีความปลอดภัย และใช้งานได้อย่างเป็นมาตรฐาน เช่น Payment หรือการ Log-in

- Functional Cookies คุกกี้เพื่อช่วยการใช้งาน จะช่วยจดจำข้อมูล การลงทะเบียน หรือ ตัวเลือกที่ผู้ใช้งานเคยเลือกไว้ เช่น ภาษา หรือ ที่อยู่เพื่อการขนส่งสินค้า เพื่อความสะดวกรวดเร็วและคงประสิทธิภาพ

- Analytic Cookies คุกกี้ประเภทนี้จะมาช่วยเรื่องการเก็บข้อมูล เพื่อการประเมิน วิเคราะห์ สินค้า/บริการ เพื่อนำไปพัฒนาเว็บไซต์

- Targeting Cookies คุกกี้เพื่อเจาะตลาดกลุ่มเป้าหมาย โดยจะเก็บข้อมูลของสินค้า และบริการที่ผู้เข้าใช้บริการสนใจ เพื่อให้สามารถวิเคราะห์ นำเสนอ หรือ การโฆษณาที่เหมาะสมกับผู้เข้าใช้งาน โดยจะคัดกรองสินค้า และบริการที่ไม่ตรงกับความสนใจของผู้เข้าใช้ออก

Q3: SME ใช้คุกกี้อย่างไรถึงจะถูกกฎหมาย PDPA ?

A3: การใช้งานคุกกี้ประเภท Necessary Cookies จำเป็นสำหรับการเข้าใช้งานเว็บไซต์ หากไม่มีคุกกี้ประเภทนี้ก็ไม่สามารถใช้งานเว็บไซต์ได้อย่างเป็นปกติ อย่างไรก็ตามคุกกี้ประเภทอื่น ๆ อาจไม่จำเป็น ซึ่งกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่าง PDPA กำหนดไว้ว่า

การปฏิบัติตาม PDPA = เมื่อใช้คุกกี้บนเว็บไซต์จำเป็นต้องได้รับความยินยอมที่ถูกต้องจากผู้ใช้งาน รวมถึงเจ้าของเว็บไซต์ที่มีฐานะเป็นผู้ควบคุมข้อมูล จำเป็นต้องจัดเก็บเอกสารหลักฐานการขอความยินยอมและ log file ต่าง ๆ เอาไว้ เตรียมความพร้อมหากเกิดการละเมิดข้อมูล หรือคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลต้องการตรวจสอบ

Q4: Cookie Consent ที่ดีควรมีลักษณะอย่างไร?

A4: SME ควรมีการขอความยินยอมเก็บข้อมูลการใช้งานของลูกค้าตั้งแต่ที่ลูกค้าเริ่มเข้าชมเว็บไซต์ หรือในระหว่างที่ลูกค้ากำลังรับชมเว็บไซต์อยู่ และการขอความยินยอมนั้นต้องสามารถมองเห็นได้ง่าย รวมทั้งต้องมีระเบียบข้อกำหนดของทางเว็บไซต์ระบุอย่างชัดเจน เช่น วัตถุประสงค์ของการเก็บรวบรวมข้อมูล ระเบียบวิธีการจัดเก็บข้อมูล ระยะเวลาเก็บรักษาและลบทำลาย รวมถึงสิทธิที่เจ้าของข้อมูลสามารถใช้ได้ แนบมาด้วย เพื่อที่เจ้าของข้อมูลจะได้ทำการศึกษาได้ทันทีก่อนให้ความยินยอม

การให้ความยินยอมตามหลักการคุ้มครองข้อมูลส่วนบุคคลนั้นต้อง “ให้เปล่า” โดยสมัครใจ ไม่ใช่การแลกเปลี่ยน และควรเป็นปุ่มหรือระบบที่ให้เจ้าของข้อมูลแสดงความจำนงเองโดยไม่ได้เซ็ต Default ยินยอมไว้ให้ล่วงหน้า และต้องสามารถถอนความยินยอมอย่างสะดวกได้เมื่อต้องการ

หลายคนอาจบอกว่าการใช้ Plug-in สำเร็จรูปแก้ปัญหาเรื่องการขอความยินยอมได้ง่ายนิดเดียว อย่างไรก็ตามคุณต้องให้ความสำคัญว่าปลั๊กอินที่คุณใช้แมทช์กับหลักการข้างต้นมากเพียงใดด้วยเช่นกัน

Q5: หากชาว SME ไม่สนใจเรื่องคุกกี้จะเกิดอะไรขึ้น?

A5: Cookie ถือว่าเป็นสิ่งที่สามารถสร้างประโยชน์ให้กับธุรกิจของคุณได้อย่างมาก และมีมานานแล้วคู่กับโลกดิจิทัล แต่เมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่าง PDPA บังคับใช้ SME คงจะต้องหันมาให้ความสนใจอีกครั้ง หากคุณเพิกเฉยที่จะศึกษาเรื่องนี้หรือนำไปใช้ผิดวิธี จากที่จะสร้างประโยชน์ให้ธุรกิจคุณ จะกลายเป็นสร้างผลเสียให้คุณแทน เพราะโทษของ PDPA หากเกิดการละเมิดข้อมูลส่วนบุคคล และไม่มีมาตรการที่ดีพอหรือสอดคล้องตามกฎหมาย คุณอาจโดนโทษปรับถึงหลักล้าน หรือรุนแรงกว่านั้น คือทั้งจำทั้งปรับ นั่นเอง

คำถาม-คำตอบ 5 ข้อนี้ บ่งบอกว่าระบบ Cookies เป็นเรื่องที่ SME ต้องให้ความสำคัญ เพราะหากนำระบบนี้มาปรับใช้กับธุรกิจของตนได้อย่างถูกต้องเหมาะสมจะเป็นการเพิ่มโอกาสทางการค้า และสามารถนำข้อมูลมาใช้ในการวางแผนธุรกิจ ดังนั้น เพื่อให้สอดคล้องกับกฏหมาย PDPA จึงจำเป็นต้องศึกษาเพื่อให้สามารถนำไปใช้ได้อย่างถูกต้อง การขอความยินยอมให้ใช้คุกกี้ นับว่าเป็นข้อปฏิบัติขั้นพื้นฐานในการขออนุญาตจัดเก็บข้อมูลส่วนบุคคล ที่คุณไม่อาจละเลย!

นอกจากการปรับปรุงคุกกี้ให้สอดคล้องตาม PDPA แล้ว ยังมีอีกหลายประเด็นที่ต้องให้ความสนใจ ในการเตรียมความพร้อมขององค์กรก่อนจะมีการประกาศใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เช่น องค์กรแบบไหนจำเป็นต้องมี DPO? การประมวลผลข้อมูลในองค์กรสอดคล้องกับข้อกฏหมาย PDPA หรือไม่? มีนโยบาย/ประกาศความเป็นส่วนตัวแล้วหรือยัง? ฯลฯ ศึกษาเพิ่มเติมหรือติดตามข่าวสารได้ที่ เว็บไซต์ pdpa.online.th หรือเฟซบุ๊ก PDPA Thailand