แม้ว่าการบังคับใช้กฎหมาย PDPA จะผ่านช่วงเวลามาระยะหนึ่งแล้ว นับตั้งแต่การบังคับใช้อย่างเป็นทางการเมื่อวันที่ 1 มิถุนายน 2565 ทว่ายังมีความสับสนปะปนกับความสงสัย ว่าแต่ละแผนกในธุรกิจ ที่เกี่ยวข้องหรือสัมผัสกับข้อมูลส่วนบุคคล ต้องรับมือกับกฎหมายนี้อย่างไร?
กิจกรรมการประมวลผลข้อมูลที่เคยทำมา ยังทำตามเดิมได้หรือไม่? คำถามนี้กลายเป็นโจทย์ที่ทั้งใหม่และใหญ่กับหลายฝ่าย โดยเฉพาะ ฝ่ายการตลาด ที่มีการประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการ เพื่อออกแบบแผนการตลาด พัฒนาแคมเปญ รวมถึงพัฒนาสินค้าและบริการ ส่งเสริมและขยายโอกาสในการขายให้กับองค์กร เหตุผลที่ฝ่ายการตลาดไม่สามารถหลีกเลี่ยงกฎหมาย PDPA ได้ เพราะกฎหมาย PDPA เกิดขึ้นเพื่อดูแลข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลก็เป็นวัตถุดิบที่มีค่าต่อการทำการตลาด
ทั้งหมดนี้จึงนำมาสู่คำถามที่ว่า ฝ่ายการตลาดยังสามารถจัดการวัตถุดิบล้ำค่าของตนได้อยู่หรือไม่ เมื่อมีกฎหมาย PDPA? บทบาทหรือกิจกรรมของฝ่ายการตลาดจะเปลี่ยนไปอย่างไร ในบทความนี้ t-reg มีคำตอบมาให้ ไปดูกันเลย
ปฐมบท การตลาด และ PDPA
หากน้ำต้องพึ่งเรือ เสือต้องพึ่งป่า การตลาดก็ต้องพึ่ง Data เพื่อใช้ในการวิเคราะห์ทิศทางของตลาด ความต้องการของผู้บริโภค หรือเทรนด์ที่ลูกค้าสนใจ โดยเฉพาะการตลาดออนไลน์ หรือ Digital Marketing ที่ใช้ Data เป็นหนึ่งในวัตถุดิบสำคัญในการพัฒนาแคมเปญหรือออกแบบโปรโมชั่นให้ตรงตามความต้องการของผู้บริโภคยุคดิจิตอล
แต่ในยุคที่การ Disrupt ของเทคโนโลยีแพร่ไปทุกอุตสาหกรรม เทรนด์ Social Media ปรับเปลี่ยนไวเท่ากับการวิ่งของรถไฟชินคันเซน การตลาดที่จะเข้ามาจับเทรนด์เหล่านี้ได้ ต้องไม่หยุดอยู่แค่การทำ Digital Marketing แบบเดิมได้ ดังนั้นการตลาดจึงต้องอัพเกรดตัวเองไปเป็น Data-Driven Marketing หรือการตลาดที่พึ่งพาหรือขับเคลื่อนด้วยข้อมูล ด้วยข้อมูลที่แม่นยำนี้เอง จะทำให้นักการตลาดเข้าใจความต้องการของผู้บริโภคแบบ Exclusive รู้ลึก รู้จริง และกระตุ้นความต้องการของผู้บริโภคได้มาก เจาะจงลงลึกมากกว่า Digital Marketing แบบเดิม
การได้มาซึ่ง Data ของ Digital Marketing และ Data-Driven Marketing คือการเข้าถึงลูกค้าจากช่องทางต่าง ๆ อาทิ Search Engines เช่น Google, Safari, Websites, Email รวมถึงการแฝงตัวอยู่ใน Social Media platforms ยอดฮิต เช่น Facebook, Instagram, และ Twitter นอกจากนี้ยังมีการติดตาม Customer Journey ของลูกค้า ด้วยเทคนิคพรางตาอย่าง SEO หรือ Search Engine Optimization ซึ่งช่วยดันเว็บไซต์และบทความให้ขึ้นไปอยู่บนหน้าแรกของ Search Engine
กิจกรรมตามล่าข้อมูลของผู้บริโภคเกิดขึ้นอย่างแนบเนียน จนแทบไม่มีใครสังเกต แต่การมาถึงของกฎหมาย PDPA กลายเป็นจดหมายแจ้งเตือนว่า การเก็บ Data จากผู้บริโภคต้องอยู่ภายใต้ความยินยอมของเจ้าของข้อมูล และต้องคำนึงถึงความเป็นส่วนตัว ของเจ้าของข้อมูลด้วย ด้วยเหตุนี้นักการตลาดจึงควรทำความเข้าใจ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA กันก่อน
กฎหมาย PDPA คือ?
PDPA หรือ Personal Data Protection Act B.E 2562 (2019) เป็น พ.ร.บ ว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล ถูกร่างขึ้นเพื่อสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต รวมทั้งควบคุมดูแลกิจกรรมใด ๆ ก็ตามที่ทำกับข้อมูลส่วนบุคคล
ทำความเข้าใจสาระสำคัญของกฎหมาย PDPA
ข้อมูลที่อยู่ภายใต้การคุ้มครองของกฎหมาย PDPA ได้แก่ ข้อมูลส่วนบุคคล (Personal Data) อาทิ ชื่อ-สกุล ข้อมูลที่อยู่ อายุ เบอร์โทรศัพท์ ข้อมูลการศึกษา ฯลฯ และ ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data) หรือข้อมูลส่วนบุคคลที่ละเอียดอ่อน เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา พฤติกรรมทางเพศ ฯลฯ
กฎหมาย PDPA ระบุถึง กิจกรรมการประมวลผลข้อมูลส่วนบุคคล ที่อยู่ภายใต้การกำกับดูแล ตามอำนาจกฎหมาย ครอบคลุมตั้งแต่ การรวบรวม การใช้ การเผยแพร่ และการส่งต่อข้อมูลส่วนบุคคล หมายความว่า การเก็บข้อมูลของผู้บริโภคของนักการตลาด ก็เป็นกิจกรรมหนึ่งที่อยู่ภายใต้การดูแลของกฎหมายฉบับนี้ และกำหมายฉบับรองที่พึ่งประกาศให้มีผลบังคับใช้เมื่อ 21 มิถุนายน 2565 ที่ผ่านมาด้วย
นอกจากนี้ในเอกสาร แนวปฎิบัติเพื่อคุ้มครองข้อมูลส่วนบุคคล หรือ TDPG เวอร์ชั่น 3 ซึ่งเป็นไกด์ไลน์เพิ่มเติมของกฎหมาย PDPA ก็ได้อธิบายขยายความ การคุ้มครองข้อมูลส่วนบุคคลสำหรับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของฝ่ายขายและการตลาดไว้ด้วย
รู้และเข้าใจ กฎหมาย PDPA ก่อนทำ Marketing
เมื่ออ่านมาถึงตรงนี้ ทีม Marketing อาจสงสัยว่า กฎหมายและประกาศเหล่านี้กำลังห้ามไม่ให้ Marketing เก็บข้อมูลของผู้บริโภคหรือลูกค้า ใช่หรือไม่? แล้วยังทำ Research ได้ไหม? Marketing Cookie ต้องยกเลิกหรือเปล่า? คำตอบคือ ไม่เลย กฎหมาย PDPA ไม่ได้ห้ามหรือสั่งให้หยุดเก็บข้อมูลของผู้บริโภค
แต่ PDPA กำลังสื่อสารกับทีม Marketing ว่า การเก็บข้อมูลส่วนบุคคล ด้วยวัตถุประสงค์ทางการตลาด ต้องขอความยินยอม หรือ ขอ Consent จากเจ้าของข้อมูล และ ต้องแจ้งวัตถุประสงค์ของการเก็บข้อมูล พร้อมระบุด้วยว่า ข้อมูลส่วนบุคคลที่เก็บรวบรวมมา จะถูกนำไปใช้ทำอะไรบ้าง
Consent สำคัญยังไง ทำไมต้องขอ
การขอความยินยอม (Consent) คือ การขออนุญาตหรือขอคำยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคล หรือนำข้อมูลส่วนบุคคลไปใช้ หรือนำไปเปิดเผยไม่ว่าใช้ในวัตถุประสงค์ใดก็ตาม อ่านเพิ่มเติมเกี่ยวกับ การขอคำยินยอม
เหตุที่ต้องกำกับดูแลการประมวลผลข้อมูลส่วนบุคคลของฝ่ายขายและการตลาด เพราะกฎหมาย PDPA เล็งเห็นว่าการทำการตลาดหลาย ๆ รูปแบบในปัจจุบันมีการติดตามพฤติกรรมและระบุตัวตนมากขึ้น ซึ่งเป็นการกระทำที่ก้าวล้ำความเป็นส่วนตัวของบุคคล แม้ว่าข้อมูลที่ใช้ในการทำการตลาดจะเป็นข้อมูลที่รวบรวมได้จากการให้บริการ ทว่าในบางกรณี ยังมีการใช้ข้อมูลเกินขอบเขตที่จำเป็น
แต่ยังไม่ต้อง Panic กันไป ในบทความนี้ เราได้รวบรวม สิ่งที่ Marketing ต้องรู้เกี่ยวกับกฎหมาย PDPA ก่อนทำแผนการตลาด ไว้ที่นี่แล้ว
กิจกรรมการประมวลผลข้อมูลของผู้ใช้บริการ ต้องได้รับการยินยอมจากเจ้าของข้อมูลอย่างชัดเจน ครบถ้วนครอบคลุมทุกเงื่อนไข และควรให้สิทธิเจ้าของข้อมูลในการเลือกให้ความยินยอมรายประเด็นได้ รวมถึงแจ้งอย่างชัดเจนว่า หากเจ้าของข้อมูลไม่ให้ความยินยอมแล้วจะเกิดผลกระทบต่อการใช้งานสินค้าหรือบริการอย่างไร
ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวมข้อมูลของฝ่ายขายหรือการตลาด ให้เจ้าของข้อมูลส่วนบุคคลทราบทุกครั้ง และต้องมีช่องทางรองรับการถอนความยินยอม กรณีที่เจ้าของข้อมูลส่วนบุคคลต้องการเพิกถอนความยินยอม ซึ่งเป็นสิทธิ์ตามกฎหมาย
เมื่อเจ้าของข้อมูลให้การยินยอมแล้ว ฝ่ายการตลาดในฐานะผู้ควบคุมข้อมูลของลูกค้าและผู้ใช้บริการ จำเป็นต้องปฏิบัติตามหลักความจำเป็น ความโปร่งใส ความเป็นธรรม พร้อมทั้งดูแลความปลอดภัยของข้อมูลส่วนบุคคล แม้จะให้คำยินยอมแล้ว ก็ต้องไม่ลุกล้ำความเป็นส่วนตัวจนเกินไป
หาก ทีมการตลาด เป็นผู้ที่ควบคุมข้อมูลส่วนบุคคล ต้องการส่งข้อมูลที่มี ให้กับบริษัทเอเจนซี่โฆษณา หรือ Outsource อื่น ๆ เพื่อใช้ทำแคมเปญการตลาด จะต้องขอความยินยอมเพิ่มเติมจากเจ้าของข้อมูลส่วนบุคคล หากวัตถุประสงค์การใช้ข้อมูลเปลี่ยนไปจากเดิม
- ทีม Marketing ควรทำความเข้าใจ สิทธิตามกฎหมายของเจ้าของข้อมูลส่วนบุคคล หรือ Data Subject Right เพื่อทำความเข้าใจสิทธิของเจ้าของข้อมูล ในกรณีที่ลูกค้าแจ้งขอให้ระงับ/ ยกเลิกการส่งโปรโมชั่น การโทรเสนอขายสินค้าและบริการ หรือ Email Marketing และควรมีช่องทางให้เจ้าของข้อมูลสามารถยกเลิกรับบริการที่เกี่ยวกับการตลาดด้วย ข้อมูลเพิ่มเติมเกี่ยวกับ Data Subject Right
IP Address หรือข้อมูลส่วนบุคคลอื่น ๆ ที่อยู่ในฐานข้อมูลระบบ CIM (Custumer Interaction Management) ต้องถูกจัดเก็บอย่างปลอดภัย กรณีที่มีการแชร์ข้อมูลเหล่านี้เพื่อใช้ในกิจกรรมทางการตลาด ต้องระมัดระวังไม่ให้ละเมิดกฎหมาย PDPA
ประกาศ Privacy Policy หน้าเว็บไซต์ ต้องดำเนินการให้ครบถ้วนตามประกาศในกฎหมาย PDPA คือระบุข้อมูลที่จัดเก็บ วัตถุประสงค์การจัดเก็บ ระยะเวลาการจัดเก็บ และระบบรักษาความปลอดภัย โดยในประกาศจะต้องใช้ภาษาที่ชัดเจน เข้าใจง่าย ไม่เลี่ยงบาลี ไม่นำเงื่อนไขที่ไม่เกี่ยวข้องมาทำให้เกิดความเข้าใจผิด และเก็บข้อมูลเท่าที่จำเป็นต่อการใช้เท่านั้น
จะเห็นว่า กฎหมาย PDPA ไม่ได้ห้ามทำกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เพียงแค่เพิ่มเงื่อนไขในการรวบรวม ใช้หรือเผยแพร่ข้อมูลส่วนบุคคล ให้อยู่ในขอบเขตความปลอดภัยที่เจ้าของข้อมูลสามารถบริหารจัดการได้ ในหัวข้อถัดไป จะพูดถึง Cookie Consent ที่ทีม Marketing อาจจะคุ้นเคยกันบ้าง เมื่อกฎหมาย PDPA บังคับใช้ ต้องทำยังไงกับ Cookie Consent เลื่อนลงข้างล่างเพื่ออ่านรายละเอียดได้เลย
Cookie Consent เรื่องเก่าเล่าใหม่ ที่นักการตลาดต้องทำความเข้าใจ (อีกครั้ง)
Cookie Website คือไฟล์ที่เก็บกิจกรรมการใช้งานหน้าเว็บไซต์เอาไว้ จดจำการตั้งค่าอาทิ การเปลี่ยนภาษา การใช้งานส่วนต่าง ๆ ที่เกิดขึ้นเป็นประจำ Cookie จะช่วยให้ผู้ใช้งานเว็บไซต์สามารถใช้งานเว็บนั้น ๆ ได้สะดวกขึ้น
เราอาจคุ้นเคยกับคำว่า Cookie Consent กันบ้างแล้ว จากช่วงหนึ่งที่กฎหมาย GDPR ของสหภาพยุโรปมีการบังคับใช้ให้มีการติดตั้ง Cookie Consent บนเว็บไซต์ ดังนั้นเมื่อใดที่เจ้าของเว็บไซต์จะเก็บ Cookie จำเป็นต้องบอกผู้ใช้งาน และต้องขอความยินยอมจากเจ้าของข้อมูล ด้วยเหตุนี้เมื่อเข้าใช้งานหน้าเว็บไซต์ เราจึงพบเห็นหน้าต่างคุกกี้ ปรากฎขึ้นมาบนหน้าจอ เพื่อให้กดยอมรับ ปฏิเสธ หรือเลือกยอมรับ Cookie ตามความสมัครใจ
Cookie มีหลายประเภท อาทิ
Functional Cookies เป็น Cookie ประเภทหนึ่งที่จำเป็นต่อระบบโดยตรง หากผู้ใช้งานกดปฏิเสธ หรือไม่ยอมรับ Cookie เหล่านี้แล้ว อาจทำให้ไม่สามารถเข้าใช้งานเว็บไซต์ได้
Preference cookies เป็น Cookie ที่ช่วยเพิ่มประสิทธิภาพเว็บการใช้งานเว็บไซต์ จดจำการ ใช้งานที่เกิดขึ้นบ่อย ๆ ช่วยให้การเข้าใช้งานเว็บไซต์ครั้งต่อไปไม่ต้องตั้งค่าซ้ำ
Statistic cookies ช่วยให้เจ้าของเว็บไซต์เข้าใจว่าผู้เยี่ยมชมโต้ตอบกับเว็บไซต์อย่างไรโดยการรวบรวมและรายงานข้อมูลโดยไม่ระบุชื่อ
- Marketing cookies ใช้สำหรับติดตามผู้เยี่ยมชมเว็บไซต์ จุดประสงค์คือการแสดงโฆษณาที่เกี่ยวข้องและมีส่วนร่วมสำหรับผู้ใช้แต่ละราย และด้วยเหตุนี้จึงมีคุณค่ามากขึ้นสำหรับผู้เผยแพร่โฆษณาและผู้ลงโฆษณาบุคคลที่สาม
อาจพูดได้ว่า Cookie ถือเป็น Personal Data ประเภทหนึ่ง เนื่องจากมีการเก็บข้อมูลส่วนบุคคล เช่น IP Address แม้จะไม่สามารถระบุข้อมูลสำคัญของเจ้าของข้อมูลได้ชัดเจนมากนัก แต่การเก็บรวบรวม Cookie ของบุคคลหนึ่งไว้อย่าสม่ำเสมอ หรือนำข้อมูลจาก Cookie ไปใช้ประมวลผล ก็ถือเป็นกิจกรรมที่ต้องพึงระวัง ดังนั้นการดำเนินการเกี่ยวกับ Cookie Consent ให้สอดคล้องกับ GDPR และ PDPA จะช่วยให้เว็บไซต์น่าเชื่อถือมากขึ้น อีกทั้งช่วยให้กิจกรรมการใช้ข้อมูลเพื่อเป้าหมายทางการตลาด มีฐานอ้างอิงที่น่าเชื่อถือ
แล้ว Direct Marketing ยังทำได้อยู่ไหม?
การตลาดแบบตรงถือเป็นหนึ่งในเทคนิคทำการตลาด ที่สามารถเข้าถึงกลุ่มเป้าหมายได้เร็ว เพราะการตลาดประเภทนี้มีรูปแบบการเสนอขายสินค้าและบริการให้กับกลุ่มเป้าหมายโดยตรง ไม่ต้องผ่านคนกลางหรือโฆษณา นอกจากนี้ Direct Marketing ยังเป็นการสื่อสารที่สอดคล้องกับพฤติกรรมของลูกค้า ซึ่งข้อมูลข่าวสารหรือข้อเสนอจะถูกส่งไปยังลูกค้า เป้าหมายโดยตรงผ่านช่องทางการสื่อสารเพื่อให้ลูกค้าสามารถตอบสนองกลับมาได้ทันที
ซึ่งปัจจัยสำคัญในการทำการตลาดทางตรง คือ ฐานข้อมูลที่เก็บรวบรวมจากลูกค้า ฐานข้อมูลจะถูกนำมาใช้ในการกำหนดองค์ประกอบของการตลาดทางตรงที่เหมาะสมกับลูกค้าเป้าหมายในแต่ละคน และยังนำมาใช้ในการดำเนินกิจกรรมต่าง ๆ เช่น การส่ง Email ให้กับลูกค้า หรือ การโทรศัพท์เพื่อเสนอขายสินค้า
การตลาดแบบตรง ดูคล้ายว่าจะสวนทางกับหลักการของกฎหมาย PDPA ที่กำลังบังคับใช้อยู่ในขณะนี้ เพราะวิธีการสื่อสารของ Direct Marketing ค่อนข้างรุกล้ำความเป็นส่วนตัวของกลุ่มเป้าหมาย เมื่อเป็นเช่นนี้ องค์กร ห้างร้าน หรือทีม Marketing ยังสามารถทำการตลาดแบบตรงได้อยู่หรือไม่?
คำตอบคือ การตลาดแบบตรงสามารถทำได้ เมื่อได้รับความยินยอม
เช่นเดียวกับกรณีของ Digital Marketing และ Data-Driven Marketing การนำข้อมูลส่วนบุคคลจากเจ้าของข้อมูลมาใช้เพื่อทำการตลาดแบบตรงนั้น ต้องคำนึงถึงสิ่งต่อไปนี้
การขอความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคล จะดำเนินกิจกรรมทางการตลาดได้ก็ต่อเมื่อ ได้รับความยินยอมที่เป็นลายลักษณ์อักษรจากเจ้าของข้อมูล
เนื้อหาของ Consent Form ต้องมีความชัดเจน เจาะจง ไม่กำกวม
แบ่งช่องทางการส่งข้อมูลให้เป็นตัวเลือก เช่น ทางอีเมล โทรศัพท์ จดหมายอิเล็กทรอนิกส์ จดหมายฉบับ
มีช่องทางรองรับ ให้เจ้าของข้อมูลยื่นถอนความยินยอมหรือ ยกเลิก Consent ได้ ในกรณีที่เจ้าของข้อมูลไม่ต้องการรับโปรโมชั่นหรือการเสนอขาย
บทบาทและความเคยชินที่ต้องปรับ หลังการเข้ามาของ PDPA
นักการตลาดที่เคยชินกับการเก็บข้อมูลกลุ่มเป้าหมาย ด้วยวิธีการต่าง ๆ หรือเคยชินกับ การยิงโฆษณาบนแพลตฟอร์มโซเชียลมีเดีย รวมถึงกิจกรรมที่มองไม่เห็น อย่างเช่น Marketing cookies การเก็บข้อมูลของผู้ใช้บริการจากแคมเปญ หรือกิจกรรมต่าง ๆ รวมถึงการส่งอีเมลเสนอขาย และอีกหลายกิจกรรมที่มีการสัมผัสกับข้อมูลส่วนบุคคล
เมื่อการมาถึงของกฎหมาย PDPA ไม่ได้ปิดกั้นการทำการตลาด อย่างที่กังวลกัน แต่เข้ามากวดขันความเข้มงวดในกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ให้อยู่ในกรอบกฎหมายและมาตรฐานความปลอดภัยเดียวกัน อย่างไรก็ตาม กฎหมาย PDPA ก็ไม่ใช่กฎหมายเปล่าที่กล่าวถึงแนวทางเท่านั้น แต่มีการกำหนดบทลงโทษ ในกรณีที่กระทำความผิด หรือละเมิดกฎหมายอีกด้วย
ด้วยเหตุนี้ ทีมการตลาดจึงต้องกลับมาทบทวนการดำเนินงานภายในทีม พร้อมทั้งตรวจสอบกิจกรรมที่อยู่ภายใต้ความรับผิดชอบของทีม หากมีกิจกรรมที่สัมผัสกับข้อมูลส่วนบุคคล หรือกระทบกับความเป็นส่วนตัวของผู้บริโภค จะใช้วิธีการหรือแนวทางไหน ในการทำให้กิจกรรมดำเนินไปดังเดิมได้ พร้อม ๆ กับการปฏิบัติตามกฎหมาย PDPA
โดยอาจเริ่มตาม Guideline เบื้องต้นดังต่อไปนี้
ทีมการตลาด ทีมกฎหมาย ทีม IT และทีมผู้บริหาร ควรมีการทำงานร่วมกัน เพื่อทำความเข้าใจกฎหมาย PDPA พร้อมทั้งประกาศที่เกี่ยวข้อง จากนั้นจึงร่วมกันออกแบบนโยบาย กำหนดมาตรฐานการรักษาความปลอดภัยของข้อมูล (Information Security) และนโยบายความเป็นส่วนตัว (Privacy Policy)ให้สอดคล้องกับกฎหมาย PDPA เพื่อให้เป็นแนวปฏิบัติร่วมกัน และจะช่วยให้การบริหารจัดการภายในองค์กรมีความสะดวกยิ่งข้ึน
แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) เพื่อกำกับดูแล รับผิดชอบการดำเนินงานต่าง ๆ ที่เกี่ยวข้องกับกฎหมาย PDPA หากองค์กรไม่มีทีมกฎหมายที่ดูแลกฎหมายภายในโดยเฉพาะ อาจแต่งตั้งผู้ที่มีความเหมาะสมได้ หรือในกรณีที่มีกฎหมายอยู่แล้ว ให้ดำเนินการแต่งตั้งอย่างเป็นทางการ
ทำความรู้จัก เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO
ทีมการตลาด ทีมกฎหมาย ควรทำงานร่วมกับทีม IT ในการสร้าง Interface ของ Privacy Policy ที่มีประสิทธิภาพ เพื่อให้การเก็บข้อมูลของผู้บริโภคอยู่บนฐานกฎหมาย และมีช่องทางรองรับการใช้สิทธิของผู้บริโภคตามที่ร้องขอ เช่นในกรณีที่ผู้บริโภคเคยให้ความยินยอมในการโทรเสนอขายโปรโมชั่น แล้วต้องการยกเลิกความยินยอม ควรมีช่องทางหรือเบอร์โทรติดต่อฝ่าย CSM สำหรับโทรแจ้งขอยกเลิกความยินยอมได้ หรือการเสนอขายผ่านอีเมล ควรมีช่องทางให้ยกเลิกรับอีเมล หรือ unsubscribe ด้วย
- ทีมการตลาด ควรมีการตรวจสอบกิจกรรมภายในที่มีการเก็บรวบรวม ใช้ เผยแพร่ หรือส่งต่อข้อมูลส่วนบุคคล ครอบคลุมทั้งกิจกรรมที่เกิดขึ้นเป็นประจำและกิจกรรมที่ไม่ได้เกิดขึ้นบ่อย เพราะการตรวจสอบตัวเลขกิจกรรม รายละเอียดกิจกรรม รายละเอียดข้อมูลส่วนบุคคลครบถ้วนแล้ว จะเป็นประโยชน์ต่อการทำ บันทึกรายการกิจกรรมการประมวลผล หรือเรียกว่าการทำ Records of Processing Activities (RoPA) ขององค์กรด้วย
ปัจฉิมบท การตลาด PDPA
จะเห็นว่ากิจกรรมต่าง ๆ ที่เกี่ยวข้องกับการทำการตลาด ยังสามารถทำได้ ไม่ว่าจะเป็นการเก็บข้อมูลกลุ่มเป้าหมาย การทำ Research ทางการตลาด การเสนอขายสินค้าและบริการ การประมวลผล Cookie หรือแม้แต่การยิงแอดโฆษณา ตราบใดที่กิจกรรมทางการตลาดเหล่านี้ผ่านการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล และไม่นำข้อมูลไปประมวลผลนอกเหนือจากวัตถุประสงค์
ส่วนกิจกรรมทางการตลาดที่ไม่สามารถทำได้ คือกิจกรรมใด ๆ ที่ไม่ได้ยื่นขอคำยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเป็นกิจกรรมที่ล่วงล้ำความเป็นส่วนตัวมากจนเกินไป รวมถึงการส่งต่อหรือเผยแพร่ข้อมูลส่วนบุคคลโดยที่เจ้าของข้อมูลไม่ได้ให้คำยินยอม
Marketing เป็น Department หนึ่งที่มีการสัมผัสกับข้อมูลส่วนบุคคล ผ่านกิจกรรมต่าง ๆ ที่คุ้นชินกัน จนอาจคิดไม่ถึงว่ากิจกรรมนั้น ๆ มีข้อมูลส่วนบุคคลมาเกี่ยวข้องอย่างไร ดังนั้นทีม Marketing จึงควรได้รับความรู้และทำความเข้าใจกฎหมาย PDPA เบื้องต้น รวมถึงเข้าใจขอบเขตของการประมวลผลข้อมูส่วนบุคคลที่ไหลเวียนอยู่ภายในแผนก เพื่อให้การใช้ข้อมูล มาประกอบการทำแผนการตลาด แคมเปญ หรือการทำโฆษณา อยู่ในขอบเขตของกฎหมายและไม่ละเมิดความเป็นส่วนตัว
ทีม Marketing อาจไม่จำเป็นต้องข้ามขั้นไปเรียนรู้ Firewall หรือเขียนโค้ดขึ้นมาเพื่อปกป้องข้อมูลของลูกค้าที่มีอยู่ในมือ สิ่งมี่ควรมีคือการตระหนักรู้เรื่องกฎหมาย PDPA และ Cyber Security เพราะจะช่วยให้เข้าใจบทบาทของทีมที่มีส่วนรับผิดชอบข้อมูลส่วนบุคคล ขอบเขตการประมวลผลข้อมูลส่วนบุคคล และข้อมูลอื่น ๆ ที่จะเป็นประโยชน์ต่อการทำการตลาด
สิ่งที่เน้นย้ำเสมอในบทความนี้คือ ทีมการตลาด รวมถึงทีมอื่น ๆ ที่เกี่ยวข้องหรือสัมผัสกับข้อมูลส่วนบุคคล จำเป็นต้องมีความรู้ความเข้าใจเกี่ยวกับกฎหมาย PDPA สิ่งที่องค์กรต้นสังกัดทำได้คือการสร้างการตระหนักรู้เรื่องกฎหมาย PDPA และ Cyber Security หรือที่เรียกว่า PDPA Security Awareness Training ที่เป็นหนึ่งในการปฏิบัติตามขั้นตอนของกฤหมาย PDPA อีกด้วย ทำความเข้าใจเกี่ยวกับ PDPA Security Awareness Training เพิ่มเติมที่นี่
t-reg ขอแนะนำ SECAP Security Awareness Platform แพลตฟอร์มสร้างความรู้ ความเข้าใจ เพิ่มประสิทธิภาพในการทำงานให้กับบุคลากร ด้วยสื่อที่ครบทุกเนื้อหาการเสริมสร้างความปลอดภัย รู้เท่าทันระวังภัยคุกคาม พร้อมแบบประเมิน เพื่อวิเคราะห์ความเสี่ยงที่อาจเกิดขึ้นจากบุคลากรในองค์กรคุณ ดูรายละเอียดเพิ่มเติมได้ที่ secap.co
