เจาะลึกกฎหมาย “PDPA” กับ 2 แม่ทัพจาก Columbus Agency พร้อมด้วยโซลูชั่นใหม่ Dynamic Consent Form

  • 21.3K
  •  
  •  
  •  
  •  

ในยุคที่วงการโฆษณาพากันพูดถึง Big Data หรือการนำ Data ต่าง ๆ มาใช้เพื่อการเพิ่มประสิทธิภาพการยิงโฆษณา คงไม่มีใครกล้าพูดว่า ไม่มีการทำ Remarketing campaign หรือไม่มีการนำ Data ของลูกค้าไปต่อยอดงาน Creative หรือ CRM ต่าง ๆ แน่นอน

แต่ด้วยสถานการณ์ที่เปลี่ยนไป รัฐกำลังจะบังคับใช้กฎหมาย PDPA ในวันที่ 27 พฤษภาคม 2563 ที่จะถึงนี้ ซึ่งเป็นกฎหมายคุ้มครองข้อมูลผู้บริโภค ทำให้แบรนด์หรือเอเจนซี่ต้องขยับตัวอีกครั้ง วันนี้เราจึงขอพาทุกคนไปรู้จักกับกฎหมาย PDPA เบื้องต้นกัน

PDPA คืออะไร และข้อมูลแบบไหนที่เข้าข่ายบ้าง

PDPA คือ กฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยระบุให้องค์กรหรือหน่วยงานที่เกี่ยวข้องที่เก็บข้อมูลส่วนบุคคลของประชาชนไม่ว่าจะเป็นบริษัทเอกชน หรือหน่วยงานภาครัฐ ต้องไม่นำเอาข้อมูลส่วนตัวของเราไปใช้ในกิจกรรมอื่น ๆ ที่เราไม่ยินยอม

ข้อมูลส่วนบุคคลนั้นครอบคลุม ตั้งแต่ ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ ไปจนถึงอีเมล หมายเลขบัตรประจำตัวประชาชน และ อื่นๆ นอกจากนี้ กฎหมายยังคุ้มครองไปถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เช่น เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อ ลัทธิ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลทางด้านสุขภาพ ข้อมูลทางพันธุกรรม และ ข้อมูลชีวภาพ

บทลงโทษของ PDPA คือ

  • โทษทางอาญา จำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท
  • โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
  • โทษทางปกครองปรับไม่เกิน 5 ล้านบาท

ทาง Marketing Oops! ได้รับเกียรติจากผู้บริหารจาก Columbus Agency เอเจนซี่โฆษณาเลือดใหม่ในเครือ Dentsu Aegis Network ที่เน้นการเป็น Innovative Creative Solution ทั้ง 2 ท่านมาให้ความเห็น ความรู้ ตลอดจนโซลูชั่นเพื่อจะช่วยให้แบรนด์สามารถรับมือกับกฎหมาย PDPA ได้อย่างมีประสิทธิภาพ

“เราเป็น Solution ให้กับลูกค้า ดังนั้นเมื่อเราทำงานให้ลูกค้าไม่ว่าจะงาน Creative หรือ Media หรืออะไรก็ตามแต่ที่สามารถตอบโจทย์ pain point ของลูกค้า สร้างผลลัพธ์ (Real Result) ให้กับลูกค้าได้ เราจะสร้างสิ่งนั้นให้ เพราะว่าเราเป็น Solution ซึ่งทั้งหมดมันเบสมาจาก Data” คุณนฐมน ก้องธนานนท์ CEO ของ Columbus Agency กล่าว

“โจทย์นึงที่สำคัญมากสำหรับปี 2563 นี้คือ วันที่ 27 พฤษภาคม 2563 จะเป็นวันที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act B.E. 2562 (2019) หรือ PDPA) มีผลบังคับใช้ทั้งฉบับ นั่นหมายความว่า Data ที่ลูกค้าเคยเก็บมาทั้งหมด อาจจะเป็น Data ที่ไม่เคยได้รับการ Consent มาก่อนเลย” คุณพิชิต เชียรจรัสวงศ์ CDO ของ Dentsu Aegis Network และ Columbus Agency กล่าว

ข้อมูลที่เคยเก็บมานานแล้วอาจใช้ไม่ได้เพราะไม่เคยขอ Consent มาก่อน

“สิ่งที่ต้องระวังคือข้อมูลที่ลูกค้าเคยมีการเก็บอยู่แล้วมากมายนั้น อาจจะเป็นข้อมูลที่ไม่เคยมีการขอความยินยอม (Consent) มาก่อน ซึ่งนั่นแปลว่าข้อมูลตรงนั้นจะไม่สามารถนำมาใช้งานได้ ดังนั้นต้องนำมาทำการขอความยินยอม (Consent) ใหม่อีกรอบ ส่วนข้อมูลที่จะเก็บใหม่นั้นต้องมีการวางแผนการทำการขอความยินยอม (Consent) อย่างดี มีการวางแผนการทำ Data Governance อย่างรัดกุม” คุณพิชิตให้สัมภาษณ์เพิ่มเติม

“ด้วยเหตุนี้ ในปี 2020 จึงไม่ใช่เพียงเรื่องความเก่งในการนำ Data มาใช้เพียงอย่างเดียว แต่ต้องแน่ใจ และมั่นใจได้ว่าข้อมูลที่ได้มานั้นถูกต้องและ Compliance จริง ๆ” คุณพิชิตกล่าวต่อ

ซึ่งองค์ประกอบสำคัญของการทำ Data Governance ที่จะต้องมี ได้แก่

  1. Lineage คือ การอธิบายที่มาที่ไปของข้อมูล เนื่องจากข้อมูลที่ถูกเก็บมามีความหลากหลายต้องสามารถระบุได้ว่าได้มาจากที่ไหน คำนวณออกมาได้ยังไง มาจาก Data set ไหนบ้างเพื่อประโยชน์ในการนำมาวิเคราะห์ต่อยอด
  2. Audit คือ จะต้องทราบเหตุการณ์ต่างๆที่เกิดขึ้นกับข้อมูล โดยบันทึก Log ของกิจกรรมที่จำเป็นรวมไปจนถึงว่าใครนำเข้าข้อมูลเพิ่ม เวลาไหน เมื่อไหร่ หากระบบมี API เรียกจากภายนอกก็ต้องบันทึกเหตุการณ์การเชื่อมต่อนั้นๆลง Log ไว้ด้วย เพื่อประโยชน์ทางด้านงานตรวจสอบนั้นเอง
  3. Security ในด้านความปลอดภัย ครอบคลุมถึงการกำหนดนโยบายการเข้าถึงข้อมูลหรือ Data Set ทั้งในระดับ User, Roles, Group โดยอนุญาตสิทธิ์ตามจำเป็น เช่น เข้าถึงเพื่อดูได้อย่างเดียว หรือดูและแก้ไขส่วนไหนได้บ้าง ในด้าน Security นี้จะครอบคลุมถึงความปลอดภัยของการจัดเก็บข้อมูลด้วย เช่น การเข้ารหัสข้อมูลบางชนิดที่สามารถระบุตัวตนได้
  4. Data Quality หากข้อมูลไม่สมบูรณ์ ไม่ถูกต้อง การนำไปวิเคราะห์ใช้งานก็ผิด ส่งผลต่อความน่าเชื่อถือของระบบ โดยในปัจจุบันจะเน้นการทำ Data Profiling เพราะจะมีรูปแบบการตรวจสอบข้อมูลในแต่ละแบบให้เราเลยว่า ลักษณะของข้อมูลเราเป็นอย่างไร เพื่อแก้ไขได้ง่าย รวดเร็ว และถูกต้อง
  5. Compliance ในส่วนนี้ขึ้นอยู่กับธุรกิจของเราด้วยว่าทำอะไร เช่น หากเป็นธุรกิจด้านการทำธุรกรรมการเงิน ซื้อขายหลักทรัพย์ ก็จะมีกฎหมาย ระเบียบข้อบังคับที่ต้องให้ดำเนินการตาม ในส่วนนี้เราเพียงตรวจสอบให้มั่นใจว่า การควบคุมข้อมูลเป็นไปตาม Compliance ของธุรกิจ

จะทำยังไงถ้าต้องขอ Consent Data อีกรอบจากฐานข้อมูลเดิม และทำยังไงให้ User ใหม่อยากให้ Data กับเรา?

“ทำให้ถูกต้อง โปร่งใส และสนุก” คุณนฐมน CEO กล่าว

  1. ถูกต้อง โปร่งใส เราต้องมาดูหลักในการขอความยินยอม (Consent) ก่อน โดยหลักการคือจะต้องให้เจ้าของข้อมูลสามารถ
  • ทำผ่านกระดาษ หรือ ระบบออนไลน์ก็ได้
  • อ่านง่าย เข้าใจง่าย มีการระบุชัดเจนว่าจะให้ Consent อะไร เพื่อไปทำอะไรบ้าง
  • ไม่หลอกลวงให้เข้าใจผิด
  • แยกชัดเจนจากเงื่อนไขอื่นๆ และไม่เอาเงื่อนไขอื่นมาผูกพัน

“สิ่งที่ยังเข้าใจกันผิดๆ อยู่ คือหลายๆ แบรนด์ใช้วิธีขอ Consent ทีเดียวแล้วเก็บ Cookie ไปทำ Re-marketing ทุก platform ซึ่งจริงๆ แล้วนั่นคือ “ผิดกฎหมาย”

โดยความเป็นจริงเราต้องให้ข้อมูลครบหมดว่าเราจะนำข้อมูล หรือ Cookie ไปใช้กับอะไรบ้าง แล้วให้ User สามารถเลือกได้ว่าจะให้ข้อไหน ไม่ให้ข้อไหน” คุณนฐมน CEO กล่าวเพิ่มเติม

  1. ทำให้สนุก ทำให้น่าสนใจ อย่าทำให้เป็นเรื่องซีเรียสหรือน่ากลัว ต่างประเทศทำเรื่องนี้มาก่อนเรา มีเคสน่าสนใจเยอะมากๆ” เช่นตัวอย่างของ LLoyds Bank ที่ใช้ Email ในการสื่อสารกับ User โดยเป็นการให้ความรู้กับ User ทำให้ User เข้าใจว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลคืออะไร และยังให้ User เลือกช่องทางที่สะดวกในการติดต่ออีกด้วย เพื่อไม่ให้เป็นการรบกวน User มากเกินไป ผลลัพธ์ที่ได้คือ read rate ของอีเมลเพิ่มขึ้นถึง 5 เท่า

อีกเคสที่น่าสนใจคือเคสของ Easy Jet https://www.easyjet.com/en/policy/privacy-promise

Easy Jet ทำให้การเก็บข้อมูลซึ่งเป็นเรื่องของกฎหมายที่ซีเรียสกลายเป็นความสนุก ทำให้เรื่องที่เข้าใจยาก เข้าใจง่าย ซึ่งถือเป็นความฉลาดของการขออนุญาตในการเก็บ Data

ไม่เพียงแต่ข้อมูลเดิมต้องขอ Consent ใหม่ แต่ต้องให้สิทธิ์ User เข้าถึงเพื่อการยกเลิก Consent (Unconsent) ด้วย

การถอนความยินยอม (Unconsent) นั้น จะต้องให้เจ้าของข้อมูลสามารถ

  • ทำเมื่อไหร่ก็ได้
  • ทำได้ง่ายเช่นเดียวกับการให้ความยินยอม สามารถระบุได้ว่าจะ Unconsent อะไรบ้าง
  • แจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบ

กฎหมาย PDPA ได้กำหนดไว้ว่า User ต้องสามารถ Unconsent ได้ง่ายและ Real Time นอกจากนั้นยังต้องระบุได้ว่าจะ Unconsent อะไรบ้าง ซึ่งหาก User มีการ Unconsent จะต้องมีการแจ้งไปยัง Third Party ทันที (real-time) ให้หยุดการโฆษณาแบบ Re-marketing ไม่ว่าจะเป็น Google, Facebook หรืออะไรก็ตามที่สามารถเก็บ Cookie มาทำ Re-marketing ได้

ซึ่งจะเป็นการยุ่งยากมากหากไม่มีแพลตฟอร์มรองรับที่สามารถช่วยจัดการในเรื่องแบบนี้ เช่น User อาจจะ Unconsent เฉพาะ Facebook Ad แต่ ไม่ Unconsent Google Ad นั่นแปลว่าเรายังใช้ Cookie ไป Re-marketing ที่ Google ได้ แต่ที่ Facebook คือไม่ได้แล้ว ซึ่งสิ่งนี้จะทำให้ Marketer ปวดหัวมาก เนื่องจากปกติแล้วการ Re-marketing จะทำแบบ Real-time และสามารถเกิดได้หลาย Platform มากๆ ดังนั้น Marketer จึงต้องการระบบที่ดีที่จะสามารถรองรับการจัดการในส่วนนี้ได้อย่างถูกต้อง และแม่นยำ

ทั้งหมดนี้ดูยุ่งยากแต่ Columbus ได้เตรียม Tool ที่ช่วยทำให้ง่ายขึ้นไว้แล้ว

ปีนี้ Columbus agency ได้พัฒนา Dynamics Consent Form ซึ่งเป็น Consent Form ที่ถูกพัฒนาขึ้นมาจากโจทย์ของลูกค้าที่ไม่ใช่เพียง Consent ธรรมดาที่ทำให้ถูกกฎหมายเท่านั้น แต่ต้องเป็น Dynamics Consent ที่รองรับการทำ Real Time Customize จาก User ได้อีกด้วย โดย Tool ตัวนี้รองรับ

  • การ Consent ได้ Real Time
  • การ Unconsent ได้ Real Time เชื่อมต่อกับทุก Advertiser ไม่ว่าจะเป็น Facebook, Google, Twitter, Linkedin, Outbrain และอื่นๆ อีกมากมายที่สามารถทำ Re-marketing ได้

อย่างเช่นตอนนี้ เว็บ Presstoday.news ได้ใช้ Tool ของเราอยู่ จะสังเกตว่าเมื่อเข้าไปในเว็บจะเห็น Pop-up ที่มุมซ้ายล่างเพื่อขอ Consent จาก User

ซึ่งถ้า User ต้องการดูรายละเอียดเพิ่ม หรือปรับ Setting เอง Tool ของเราก็จะพา User ไปยัง Pop-up ที่อธิบายว่า Cookie แต่ละตัวคืออะไร และเก็บเพื่ออะไร โดย User สามารถเลือกได้ว่าจะให้ Consent อะไรบ้าง ไม่ให้อะไรบ้าง โดยสาเหตุที่ Flow การใช้งานทั้งหมดเราทำให้จบใน Pop-up เล็กๆ ไม่เปิดขึ้นหน้าใหม่ให้ยุ่งยากนั้น เพราะเราคำนึง User Experience ของผู้ใช้งานนั่นเอง

  • ที่สำคัญคือ สามารถทำการตรวจสอบ Consent และ Log Consent ที่เกิดขึ้นทั้งหมดได้โดยที่ข้อมูลทั้งหมดเก็บอยู่บน Block Chain

ซึ่ง Dynamic Consent Form ของ Columbus Agency จะช่วยเข้ามาจัดการความยุ่งยากนี้ทั้งหมด เพื่อให้เกิดความง่ายเพื่อที่ Marketer จะได้โฟกัสที่ผลลัพธ์ (Conversion) ของการโฆษณาเพียงอย่างเดียวและไม่ต้องกังวลใจต่อไปว่าใครจะ Consent หรือ Unconsent อะไร เมื่อไหร่ เพราะเรามีระบบการจัดการที่มีประสิทธิภาพมารองรับเรื่องนี้แล้ว

เหลือเวลาอีกแค่ 60 วันที่ต้องเตรียมตัว ธุรกิจไหนบ้างที่จำเป็นต้องใช้

ธุรกิจส่วนใหญ่ทุกวันนี้มีการเก็บ Data หมด และส่วนใหญ่ก็ชอบทำการ Re-marketing เน้นการเก็บ Lead โดยเฉพาะในกลุ่ม ประกัน, ธนาคาร, รถยนต์, อสังหา, ท่องเที่ยว และกลุ่มที่ทำ E-commerce ต้องใช้ทั้งหมด

“โลกในยุคต่อจากนี้ไปเป็นยุคที่ Creative มาพร้อมกับ Innovative และทุกอย่างเบสมาจาก Data ที่ต้องเก็บอย่างถูกต้องมีการวาง Structure ที่ดีสามารถ Traceable ได้ มันหมดยุคแล้วกับการเดาๆ ซื้อข้อมูลที่ไม่มีที่มา ในฐานะ Marketer เราก็เห็นว่ามันมีข้อดีคือ เราจะสามารถทำ Marketing ได้ฉลาดขึ้น แม่นยำขึ้น หากเรามีการวางแผนในการเก็บข้อมูลที่ดี คุณนฐมน CEO กล่าว

สำหรับ Brand หรือ Marketing ที่อยากเช็คความเข้าใจเรื่อง PDPA ทาง columbus agency ได้จัดทำแบบทดสอบออนไลน์เบื้องต้นไว้ให้ สามารถทำแบบทดสอบได้ที่ https://rename.ly/PDPA


  • 21.3K
  •  
  •  
  •  
  •