PDPA for Marketing ฉบับเข้าใจง่ายสำหรับนักการตลาด

PDPA คืออะไร? ฉบับเข้าใจง่ายสำหรับนักการตลาด

สรุป พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) แบบเข้าใจง่าย และเอาไปใช้ได้จริง
สาระสำคัญของ PDPA มีแนวคิดใกล้เคียงกับ EU Data Protection Directive และ GDPR โดยหลักๆ มีเรื่องสำคัญดังนี้

1. การแจ้งให้ทราบ (Notice) ต้องบอกให้ชัดว่าเก็บข้อมูลอะไร และเก็บไปทำไม
2. การขอความยินยอม (Consent) ทั้งผ่านแบบฟอร์ม และ Verbal Consent
3. การระบุวัตถุประสงค์ (Purpose Specification) ห้ามเก็บเกินกว่าวัตถุประสงค์ที่แจ้งไว้
4. การรักษาความปลอดภัยของข้อมูล (Integrity & Confidentiality) ต้องมีมาตรการป้องกันข้อมูลรั่วไหล
5. บทบาทหน้าที่ชัดเจน ระหว่าง Data Controller และ Data Processor
6. สิทธิของเจ้าของข้อมูล (Data Subject Rights) เช่น สิทธิขอเข้าถึง แก้ไข ลบ หรือขอเคลื่อนย้ายข้อมูล
7. Accountability องค์กรต้องพิสูจน์ได้ว่าปฏิบัติตามกฎหมายจริง

---

สิ่งที่องค์กรควรเตรียม

▪️ ทำ List ของ Data Touchpoints ทั้งหมด ว่าเราเก็บข้อมูลจากจุดไหนบ้าง
▪️ ออกแบบระบบ Consent ทั้ง Offline และ Online
▪️ แต่งตั้ง DPO (Data Protection Officer) หรือผู้รับผิดชอบโดยตรง
▪️ จัดทำ Master Database เพื่อเป็น Single Source of Customer Data
▪️ สร้าง Preference Center และ Unsubscribe Center รองรับสิทธิการลบข้อมูล
▪️ วาง Data Governance ให้ชัด ใคร View / Edit / Delete ข้อมูลได้ระดับไหน

---

Customer Data คืออะไร? แบ่งกี่ประเภท?

ข้อมูลลูกค้าสามารถแบ่งได้ 3 กลุ่มหลัก

1. ข้อมูลส่วนบุคคล (Personal Data)

ครอบคลุมทั้งข้อมูลที่ยืนยันตัวตนได้ (PII) และข้อมูลที่ไม่สามารถยืนยันตัวตนได้โดยตรง (Non-PII)

1.1 Personally Identifiable Information (PII)

คือข้อมูลที่ทราบแล้ว สามารถเชื่อมโยงได้ว่าเจ้าของข้อมูลคือใคร แบ่งเป็น 2 กลุ่ม

(1) Linked Information – เชื่อมโยงได้ทันที
▪️ ชื่อ–นามสกุลเต็ม
▪️ ที่อยู่จริง
▪️ Email Address

(2) Linkable Information – ต้องนำมาประกอบกัน
▪️ ชื่อ หรือ นามสกุล
▪️ ประเทศ จังหวัด รหัสไปรษณีย์
▪️ เพศ

1.2 Non-PII (Anonymous Data)

คือข้อมูลที่ทราบแล้ว ไม่สามารถระบุได้ว่าเป็นใคร เช่น
▪️ IP Address
▪️ Cookies
▪️ Device IDs

หมายเหตุ: บางกรณีข้อมูลเหล่านี้อาจถูกจัดเป็น Personal Data ตาม GDPR หากสามารถนำไปเชื่อมโยงตัวบุคคลได้

---

การจัดการ Consent

การจัดการ Consent มี 2 ระดับ

1. Cookie Consent
2. Universal Consent & Preference Management (ระดับที่ลึกและครอบคลุมมากกว่า)

---

ประเภทของคุกกี้หลักๆ

1. Strictly Necessary Cookies
   จำเป็นต่อการทำงานของ Website เช่น Log-in, KYC, ระบบความปลอดภัย E-Payment
2. Functional / Preference Cookies
   ช่วยให้ประสบการณ์ใช้งานดีขึ้น เช่น จำภาษาที่เลือก หรือสินค้าที่เคยดู
3. Analytics / Performance Cookies
   เก็บพฤติกรรมการใช้งาน รวมถึง 3rd Party Cookies เช่น Google Analytics
4. Marketing Cookies
   ใช้ทำ Advertising เช่น Re-marketing และควบคุม Frequency

---

รูปแบบ Cookie Banner Flow

ตัวอย่างแนวคิด เช่น OneTrust Website Cookie Banner

▪️ Notice Only ทึกทักก่อนแล้วแจ้งทีหลัง – Track ทันที ผู้ใช้ปิดได้แค่ Banner
▪️ Implied Consent แค่กด OK ก็ทะลุทะลวง – ยังไม่ Track จนกดตกลง จากนั้นเปิดทุก Cookie
▪️ Opt-out ลากเข้าไปก่อน – Track แล้ว แต่เปิดหน้าให้ไป Disable บางประเภทได้
▪️ Opt-in ปลอดภัยสุด – Track เฉพาะ Strictly Necessary จนกว่าจะกด Enable เอง

---

Universal Consent & Preference Management

1. ระบุ Purpose of Processing ให้ชัด เช่น
   ▪️ บริหารความสัมพันธ์ลูกค้า (CRM)
   ▪️ Email Marketing
   ▪️ วัดผล Campaign
2. กำหนด Collection Points หรือ Points of Interaction เช่น
   ▪️ Web Form
   ▪️ Email
   ▪️ App SDK
   ▪️ Custom API

สามารถบังคับ Double Opt-in ได้ เช่น ส่ง Email ให้กดยืนยันอีกครั้ง

3. สร้าง Preference Center > ให้ User จัดการช่องทางการติดต่อ และหมวดหมู่ข่าวสารที่ต้องการรับได้เอง

---

สรุปง่ายๆ สำหรับนักการตลาด 🔥

PDPA ไม่ได้ห้ามทำ Marketing แต่บังคับให้ทำอย่างมีระบบ มีความโปร่งใส และเคารพสิทธิของเจ้าของข้อมูล…..ถ้าทำ Data Governance ดีตั้งแต่ต้น ✔︎ PDPA จะกลายเป็นโอกาสในการยกระดับ Customer Trust มากกว่าจะเป็นข้อจำกัด

Reference
https://gdpr.eu/cookies
https://www.onetrust.com/
https://www.slideshare.net/mediapostlive/onetrust-sponsored-coffee-break
https://www.nivea.co.th/system-pages/cookies#CookieDescription