การใช้ เซลเพจ (Sale Page)ภายใต้ PDPA ไม่รู้! ระวังผิดกฎหมาย
การใช้ เซลเพจ (Sale Page) ภายใต้ PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ถือเป็นเรื่องใหม่ที่เจ้าของเซลเพจทั้งหลายควรจะให้ความสนใจ เพราะที่ผ่านมาเราใช้ เซลเพจ (Sale Page) นอกเหนือจากการปิดการขายแล้ว ตัว เซลเพจ (Sale Page) ยังสามารถติด Tracking ต่างๆเพื่อเก็บพฤติกรรมของผู้ชมเข้าหน้าเพจและลูกค้าได้ด้วย โดยไม่รู้ตัวเจ้าของเซลเพจก็มีข้อมูลของบุคคลเหล่านั้นอยู่ในมือแล้ว แต่จากนี้ภายหลังการประกาศบังคับใช้ กฎหมาย PDPA การจะจัดเก็บหรือนำข้อมูลนั้นไปใช้ทำการตลาดเหมือนเช่นเดิม อาจจะกลายเป็นการละเมิดข้อมูลส่วนบุคคล และโทษทางกฎหมายได้
ฉะนั้นแล้วเจ้าของเซลเพจจะทำอย่างไร เพื่อหลีกเลี่ยงการทำผิดกฎหมาย และยังคงได้ข้อมูลเพื่อทำการตลาดต่อไป ในบทความนี้เราจะมาช่วยสร้างความเข้าใจ ในการใช้ Sale Page (เซลเพจ) ภายใต้ PDPA พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ให้มากยิ่งขึ้น
เซลเพจ (Sale Page) ภายใต้ PDPA คืออะไร
ก่อนอื่นเราต้องทำความเข้าใจกับกฎหมายฉบับนี้ก่อน PDPA ย่อมาจาก Personal Data Protection Act เป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งจะมีผลบังคับใช้อย่างเต็มรูปแบบในวันที่ 1 มิถุนายน 2565 เป็นต้นไป เพื่อป้องกันการนำข้อมูลไปใช้หรือเอาไปเปิดเผยโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล
ต้องยอมรับว่าปัจจุบันเจ้าของธุรกิจออนไลน์หรือนักการตลาดมักเก็บหรือเข้าถึงข้อมูลส่วนบุคคล (Personal Data) ของลูกค้าหรือผู้ใช้งานได้หลากหลายช่องทาง ไม่ว่าจะเป็นการเก็บข้อมูลส่วนบุคคลจากการสมัครสมาชิกบนเว็บไซต์ การทำธุรกรรมผ่าน Mobile-Banking การขอเข้าถึงตำแหน่งที่ตั้งและ GPS บนมือถือ หรือแม้แต่การเก็บคุกกี้จากการใช้บริการเว็บไซต์ต่าง ๆ
จึงเป็นที่มาของกฎหมาย PDPA (Personal Data Protection Act) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เพื่อให้บริษัท พนักงาน หรือผู้ที่เกี่ยวข้องตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัยมากขึ้น โดยมีข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของ PDPA แบ่งเป็นสองประเภท ได้แก่
ข้อมูลส่วนบุคคลทั่วไป
> ชื่อ-นามสกุล
> เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน
> เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่
> ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์
> ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน
> วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง
> ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password, Cookies IP address, GPS Location
ทั้งนี้ข้อมูลที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้ เช่น ข้อมูลบริษัท จะไม่ถือว่า เป็นไม่ใช่ข้อมูลส่วนบุคคล และไม่อยู่ภายใต้กฎหมาย PDPA ด้วย
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว
ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) เป็นข้อมูลที่มีความละเอียดอ่อนและอาจส่งผลกระทบต่อเจ้าของข้อมูล ทั้งในแง่ของการทำงาน สังคม และชีวิตความเป็นอยู่ โดยเฉพาะอาจนำไปสู่การเลือกปฏิบัติได้ PDPA จึงกำหนดโทษที่หนักขึ้นหากใช้ข้อมูลนั้นไม่ถูกต้อง ซึ่งอาจเป็นถึงโทษทางอาญากรรมต้องจำคุกเลยทีเดียว เช่น
> เชื้อชาติ เผ่าพันธุ์
> ความคิดเห็นทางการเมือง
> ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
> พฤติกรรมทางเพศ
> ประวัติอาชญากรรม
> ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
> ข้อมูลสหภาพแรงงาน
> ข้อมูลพันธุกรรม
> ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา
ผู้ที่มีหน้าที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตามกฎหมาย PDPA
1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)
เจ้าของข้อมูลส่วนบุคคล หรือ Data Subject ก็คือคนที่เป็นเจ้าของข้อมูลส่วนบุคคลชุดนั้นๆ จะชี้มาที่ตัวตนของบุคคลนั้นได้ ซึ่งก็คือลูกค้าหรือผู้ที่เข้ามาชม เซลเพจ (Sale Page) ภายใต้ PDPA เจ้าของข้อมูลเป็นผู้ได้รับการปกป้องคุ้มครองและมีสิทธิต่าง ๆ เหนือข้อมูลส่วนบุคคลของตน
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
ผู้ควบคุมข้อมูลส่วนบุคคล หรือ Data Controller คือคน บริษัทหรือองค์กรต่าง ๆ ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร อย่างไร ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน พ่อค้าแม่ค้าออนไลน์หรือเจ้าของ เซลเพจ (Sale Page) ที่รับข้อมูลจัดส่งสินค้าของลูกค้าที่ซื้อของมาเพื่อติดต่อส่งของก็เป็น ผู้ควบคุมข้อมูลส่วนบุคคล
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
ผู้ประมวลผลข้อมูลส่วนบุคคล หรือ Data Processor คือ คนที่บริษัทหรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง ตัวอย่างเช่น พี่ๆ ขนส่ง ที่ใช้ข้อมูลส่วนบุคคลของคนที่เราต้องการส่งของให้เพื่อเอาของไปส่งแทนเรา กรณีนี้พี่ๆ ก็เป็น ผู้ประมวลผลข้อมูลส่วนบุคคล หรือกรณีบริษัทใช้ ระบบ Cloud Service ซึ่งผู้ให้บริการจะเก็บข้อมูลแทนบริษัท ผู้ให้บริการ Cloud ก็เป็นผู้ประมวลผลข้อมูลส่วนบุคคล
โทษของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA)
สำหรับเจ้าของเซลเพจที่ยังไม่ได้ปฏิบัติหน้าที่ของตนให้ครบถ้วนตาม PDPA แนะนำว่าให้รีบดำเนินการโดยด่วน! เพราะในเร็ววันนี้ กฎหมาย PDPA จะมีผลบังคับใช้แล้ว พร้อมกับโทษปรับมหาศาลและโทษอื่นๆ อีกมากมาย ไม่ว่าจะโทษทาง แพ่ง ซึ่งผู้ได้รับความเสียหายได้เงินค่าเสียหายกลับบ้าน พร้อมกับที่อาจได้โบนัสจากศาลเป็นค่าเสียหายเชิงลงโทษ หรือโทษทางอาญา ที่อาจนำไปสู่โทษปรับ และอาจต้องติดคุก โทษของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) สามารถแบ่งเป็น 3 ประเภท ดังนี้
โทษทางอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
โทษทางแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า
โทษทางปกครอง: ปรับไม่เกิน 1/3/5 ล้านบาท
3 ขั้นตอนในการทำ เซลเพจ (Sale Page) ภายใต้ PDPA ที่ต้องรู้
เมื่ออ่านมาถึงตรงนี้แล้วหลายท่านอาจจะเริ่มมีความกังวล แต่อย่าเพิ่งหมดหวัง! เพราะการใช้ เซลเพจ (Sale Page) ภายใต้ PDPA เรายังสามารถเก็บข้อมูลส่วนบุคคลเหล่านี้ได้ตามปกติอยู่ เพียงแต่ต้องปรับให้มีการเก็บเท่าที่จำเป็น และต้องแจ้งรายละเอียดในการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล ให้เจ้าของข้อมูลทราบ และในบางกรณีอาจต้องมีการขอความยินยอมด้วย จึงจะถือว่าไม่ผิดหลัก PDPA
ขั้นตอน 1: การเตรียมความพร้อมของคนให้เข้าใจ PDPA
PDPA เป็นกฎหมายใหม่ที่จะมีผลสำคัญกับการใช้ข้อมูลส่วนบุคคของภาคธุรกิจต่อไป แต่หากทุกคนเปิดใจและทำความเข้าใจ ก็ไม่ใช่กฎหมายที่ยากเกินไป ขั้นตอนที่สำคัญขั้นตอนแรกในการเตรียมตัวสำหรับ PDPA จึงเป็นการเตรียมความพร้อมของคนในองค์กรเพื่อเข้าใจภาพรวม หน้าที่และขั้นตอนที่ต้องดำเนินการ
ขั้นตอน 2: เข้าใจความจำเป็นการประมวลผลข้อมูลส่วนบุคคลและแจ้งการประมวลผล ให้ถูกวิธี
หากผู้ควบคุมข้อมูลส่วนบุคคลต้องการเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล PDPA กำหนดหน้าที่หลักว่าผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งเจ้าของข้อมูลให้ทราบว่า จะเก็บ ใช้้ข้อมูลส่วนบุคคลใดบ้าง เพื่อประโยชน์อะไร นานเท่าไหร่ จะมีการส่งต่อเปิดเผยข้อมูลส่วนบุคคลนั้นให้ใครบ้าง จะรักษาความปลอดภัยข้อมูลเหล่านี้อย่างไร และรับประกันสิทธิการเป็นเจ้าของข้อมูลของบุคคลทั่วไปยังไง โดยต้องดำเนินการแจ้งข้อมูลทั้งหมดในเอกสารที่เรียกว่า Privacy Policy หรือ นโยบายความเป็นส่วนตัว นั่นเอง
ข้อมูลสำคัญที่ต้องระบุใน Privacy Policy
> จะมีใช้ข้อมูลส่วนบุคคลไหนบ้าง จากแหล่งไหนบ้าง?
> มีความจำเป็นในการใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อะไร?
> จะจัดเก็บข้อมูลส่วนบุคคลนานเท่าไหร่?
> จะส่งต่อหรือเผยแพร่ข้อมูลส่วนบุคคลนั้นให้ใครบ้าง?
> จะมีวิธีในการรักษาความปลอดภัยข้อมูลส่วนบุคคลอย่างไร?
> สิทธิในข้อมูลส่วนบุคคลของเจ้าของข้อมูลมีอะไรบ้าง และในกรณีที่ต้องการใช้สิทธิ เช่น ลบข้อมูล ต้องติดต่อใคร?
การเก็บข้อมูลส่วนบุคคลโดยใช้ Cookies
อีกประเภทของข้อมูลส่วนบุคคลที่มีการเก็บสำหรับการให้บริการ เซลเพจ (Sale Page) ภายใต้ PDPA คือ Cookies หรือเครื่องมือในการจัดเก็บข้อมูล เพื่อช่วยให้การใช้งานบนเว็บไซต์มีประสิทธิภาพมากขึ้นถือเป็นข้อมูลส่วนบุคคล ซึ่งถ้าหากคุณมี Cookies ติดตั้งในหน้าเว็บไซต์ เพื่อทำการเก็บข้อมูลส่วนบุคคลโดยเฉพาะพฤติกรรมของผู้ใช้งาน คุณต้องแจ้ง และขอความยินยอมจากผู้ใช้งานก่อน
ขั้นตอน 3: การรักษาความปลอดภัยของข้อมูลส่วนบุคคล
นอกจากการจัดทำ Privacy Policy แล้วเมื่อมีการเก็บรักษาข้อมูลส่วนบุคคลของบุคคลใด ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่รักษาความปลอดภัยของข้อมูล ไม่ใช่แค่ความลับ แต่ต้องรวมถึง ความถูกต้องและความพร้อมของข้อมูลส่วนบุคคลที่ตนใช้
สำหรับมาตรฐานในการรักษาความปลอดภัยของข้อมูลขั้นต่ำ ประกอบด้วย 3 ส่วนหลักคือ (1) การฝึกอบรมสร้างความเข้าใจคน (2) การจัดทำ Access Control & Logging เพื่อการตรวจสอบคนที่เข้าถึงข้อมูล และ (3) มาตรการ IT Security อื่น ๆ เช่น firewall / encryption โดยกฎหมายไม่ได้กำหนดชัดเจนว่าต้องทำระดับไหน ขึ้นกับความเสี่ยงของข้อมูลส่วนบุคคลที่ประมวลผลเป็นหลัก
นอกจากการทำมาตรการรักษาความมั่นคงปลอดภัยแล้วผู้ควบคุมข้อมูลส่วนบุคคลต้องเตรียม กลไกรับมือเหตุการณ์เกี่ยวกับข้อมูลส่วนบุคคลหลัก คือ (1) การเกิดเหตุละเมิดข้อมูลส่วน บุคคล (Data Breach) ไม่ว่าจะจาการโดน ransomware หรือการทำข้อมูลหลุดรั่วไหล ซึ่ง ผู้ควบคุมข้อมูลส่วนบุคคล ต้องเร้งแก้ไข รวมถึงรายงานเหตุการณ์ในเวลาที่กำหนด และ (2) การใช้สิทธิของเจ้าของข้อมูลที่อาจใช้ได้ตลอดเวลา และผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการเพื่อตอบรับหรือปฏิเสธให้เหมาะสม
เซลเพจ (Sale Page) ภายใต้ PDPA
ปัจจุบันธุรกิจออนไลน์หันมาใช้เซลเพจเพื่อปิดการขายมากขึ้น ด้วยคุณสมบัติที่สามารถใส่ข้อมูลเกี่ยวกับสินค้าได้ ทั้งรูปภาพ วิดีโอ รีวิว โปรโมชัน ใช้ทำ โฆษณาสินค้า ไปจนถึงปิดการขาย ในหน้าเดียว โดยอาจจะมีการทำฟอร์มไว้สำหรับกรอกเพื่อให้ได้มาซึ่งข้อมูลของลูกค้า หรือมีปุ่มที่ช่วยกระตุ้นให้ลูกค้าสั่งซื้อ หรือลงทะเบียน หรือกระทำบางอย่างตามวัตถุประสงค์ของเซลเพจแล้ว นอกจากนี้ตัวเซลเพจยังสามารถติด Tracking เชื่อมกับแพลตฟอร์มโซเชียลมีเดียต่างๆ อย่าง Facebook, Line, TikTok, Google, Instagram เพื่อนำไปวิเคราะห์ วางแผนการตลาด และยิงโฆษณาได้อย่างแม่นยำมากยิ่งขึ้น
ดังนั้นเมื่อเซลเพจมีการเก็บข้อมูลของลูกค้าและผู้ใช้งาน จึงเข้าข่ายต้องปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ด้วยเช่นกัน Fastcommerz ผู้ให้บริการเซลเพจอันดับหนึ่ง เจ้าแรกของไทย มีฟีเจอร์ Privacy Policy หรือ นโยบายความเป็นส่วนตัว รองรับกฎหมาย PDPA สำหรับ เซลเพจ (Sale Page) ที่จดโดเมน เนม (Domain Name) ด้วย
วิธีการตั้งค่า PDPA บน เซลเพจ (Sale Page) ของ Fastcommerz
สำหรับ วิธีการตั้งค่า PDPA บน เซลเพจ (Sale Page) ของ Fastcommerz นั้น มี อยู่ด้วยกัน 4 Step ดังนี้
Step1 > เข้าหลังบ้าน Fastcommerz จากนั้น ไปที่เมนู “การตั้งค่า” จะมีแถบปรากฏออกมา จากนั้นเลือก อันล่างสุด แถบ “นโยบายคุ้มครองส่วนบุคคล”
Step2 > “กดปุ่มเปิด” เพื่อเปิดการใช้งาน นโยบายส่วนบุคคล
Step3 > ทำการกรอก “ชื่อบริษัท/ชื่อร้าน” และช่องต่อไป ทำการระบุ “ชื่อ-สกุล เจ้าของบริษัท/เจ้าของร้าน”
Step4 > ทำการกรอก “ชื่อบริษัท/ชื่อร้าน” และ “ช่องทางการติดต่อ”
ตัวอย่างหน้า เซลเพจ (Sale Page) ที่มีการตั้งค่า PDPA เรียบร้อยแล้ว >> รับทำเซลเพจ.com/mainsalepage
สรุป
การใช้งาน เซลเพจ (Sale Page) ภายใต้ PDPA นอกจากการแจ้ง Privacy Policy แล้ว เจ้าของ เซลเพจ (Sale Page) จำเป็นต้องขอความยินยอม (Consent) จากกลุ่มลูกค้าเป้าหมายก่อนจึงจะสามารถส่งข้อความไปติดต่อประชาสัมพันธ์ต่างๆ ยังคนกลุ่มดังกล่าวได้ ไม่ว่าจะเป็นการติดต่อสื่อสารผ่านช่องทาง SMS , e-mail เป็นต้น โดยการขอความยินยอมนั้น เจ้าของข้อมูลมีอิสระที่จะให้หรือไม่ให้ความยินยอมก็ได้ และเจ้าของข้อมูลอาจถอนความยินยอมเมื่อไหร่ก็ได้ และเมื่อเจ้าของข้อมูลถอนความยินยอม การส่งข้อมูลการตลาดต้องหยุดในทันที
อย่างไรก็ตามแม้กฎหมาย PDPA นี้จะเป็นเรื่องใหญ่และเรื่องใหม่สำหรับประเทศไทย ถ้าทุกฝ่ายทำความเข้าใจในข้อกฎหมายนี้ได้ ก็ไม่ใช่เรื่องยากจนเกินไป เพราะทุกคนต้องอยู่ภายใต้กติกาข้อบังคับเดียวกัน และสุดท้ายแล้วไม่มีใครไม่ชอบให้คนอื่นเอาใจ ไม่มีลูกค้าคนไหนไม่อยากให้แบรนด์รู้ใจพวกเขา เพราะถ้าธุรกิจของคุณสามารถทำให้ชีวิตพวกลูกค้าสะดวกสบายขึ้นจากข้อมูลที่พวกเขามอบให้ ทุกคนล้วนเต็มใจมอบข้อมูลให้คุณด้วยตนเอง ดังนั้นเมื่อคุณปิดการขายแล้ว อย่าลืมเปิดความสัมพันธ์กับลูกค้าในระยะยาวด้วย