Menu Close

ทำความรู้จัก PDPA และการเตรียม Cookie และ Universal Consent

PDPA-cooke-consent--1872665_1280

ทำความรู้จัก PDPA และการเตรียม Cookie และ Universal Consent

PDPA คืออะไร ฉบับเข้าใจง่าย สำหรับนักการตลาด

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

สาระสำคัญที่คล้ายคลึงกับ EU Data Protection Directive หรือ GDPR เช่น
1. การแจ้งให้ทราบเรื่องการจัดเก็บข้อมูล
2. การขอความยินยอม (Consent) ทั้งผ่านแบบฟอร์มและVerbal
3. การระบุวัตถุประสงค์ในการเก็บรวบรวม (Purpose Specification)
4. การรักษาความปลอดภัยของข้อมูล ต้องมีมาตรการรักษาความปลอดภัยของข้อมูลที่ถูกเก็บรักษา Integrity and confidentiality (security)
5. การกำหนดผู้ควบคุมข้อมูล (Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
6. สิทธิของเจ้าของข้อมูล โดยเจ้าของมีสิทธิในการขอเคลื่อนย้ายข้อมูลส่วนบุคคลของตน
7. ความรับผิดชอบของบุคคลซึ่งทำหน้าที่ควบคุมข้อมูล (Accountability)

สิ่งที่จะต้องเตรียมก็คือ
– List data touchpoint ทั้งหมดออกมาดู
– ออกแบบแบบระบบ consent ต่างๆทั้ง offline/online
– ตั้งกรรมการหรือคนที่ทำหน้าที่โดยตรง DPO (Data Protection Officer)
– ทำ Master Database เพื่อ Single Source of Customer Data
– ทำ Preference Center, Unsubscribe center เพื่อสิทธิที่จะถูกลบข้อมูลออก
– ทำ Data Gorvernance ให้ชัดเจน ใครควรView/Edit/Deleteข้อมูลลูกค้าแค่ไหน

ข้อมูลส่วนบุคคล หรือ Customer Data คืออะไร แบ่งเป็นกี่ประเภท
ประเภทของข้อมูลลูกค้า แบ่งเป็น 3 ประเภทได้แก่
1. ข้อมูลส่วนบุคคล (Personal Data)
ในที่นี้จะรวมทั้ง ข้อมูลที่ยืนยันตัวตนได้(Personally Identifiable Information) และยืนยันตัวตนไม่ได้ (Non-PII)

1.1 ข้อมูลที่ยืนยันตัวตนได้(Personally Identifiable Information)
คือข้อมูลที่ทราบแล้ว เราสามารถเชื่อมโยงได้ ว่าเจ้าของข้อมูลคนๆนั้นเป็นใคร โดยกลุ่มนี้สามารถแยกได้ย่อยเป็นอีก 2 กลุ่มได้แก่

(1) เชื่อมโยงได้โดยทันที (Linked Information) ได้แก่

  • ชื่อเต็ม (Full name)
  • ที่อยู่จริง (Physical address)
  • Email address

(2) เชื่อมโยงได้เมื่อนำข้อมูลมาประกอบกัน Linkable Information ได้แก่

  • ชื่อ หรือ นามสกุล (Firstname or lastname)
    ตำแหน่งที่อยู่  ประเทศ จังหวัด รหัสไปรษณีย์
    เพศ (Gender)

1.2  ข้อมูลที่ยืนยันตัวตนไม่ได้ (Non-PII)
คือข้อมูลที่ทราบแล้ว เราไม่สามารถเชื่อมโยงได้ ว่าเจ้าของข้อมูลคนๆนั้นเป็นใคร จัดอยู่ในกลุ่มข้อมูล (anonymous) ได้แก่

  • เลขไอพี (IP address)
  • Cookies
  • เลข Device IDs

* ข้อมูลส่วนบุคคล (Personal Data) กลุ่มนี้จัดว่าเป็น”ข้อมูลส่วนบุคคล”ตาม General Data Protection Regulation (GDPR)

อ่านรายละเอียดเรื่อง Customer Data คืออะไร แบ่งเป็นกี่ประเภท


สำหรับการจัดการ Consent มีทั้งระดับ Cookie Consent และระดับสูงกว่าคือ (Universal Consent & Preference Management)
คุกกี้ หลักๆมีกี่รูปแบบ
1.คุกกี้ที่มีความจำเป็นอย่างยิ่ง (Strictly Necessary Cookies) เพื่อให้ Website ของเราทำงานได้ถูกต้อง, เพื่อระบบ Log-In หรือระบบ KYC  หรือเป็นคุกกี้เพื่อการตรวจเช็คความปลอดภัยด้านE-Payment

2. คุกกี้สำหรับฟังก์ชั่นการทำงาน (Preferences หรือ Functional Cookies) คุกกี้สำหรับใช้เพื่อประสบการณ์ที่ดีในการใช้งาน website เช่น จดจำสินค้าล่าสุดที่เราเคยดู ภาษาที่เราเลือกใช้ หรือการจดจำ Log-In  ก็ได้

3. คุกกี้เก็บข้อมูลการใช้งาน (Analytic หรือ Statistics หรือ Performance Cookies) คุกกี้พวกนี้สำหรับจัดเก็บพฤติกรรมการใช้งานwebsite ทั้งหมด และรวมถึง 3rd Party Cookie เช่น Google Analytic  เป็นต้น

4. คุกกี้สำหรับการโฆษณา (Marketing cookies ) คุกกี้สำหรับใช้เพื่อการทำ Advertising ทั้งการ Re-marketing  หรือการ Track จำนวน frequency

การจัดการ Cookie Consent Management
OneTrust Website Cookie Banner

ตัวอย่าง Cookie  Banner Flow ที่จะทำหน้าที่ขวางการ Tracking ของ User จนกว่าจะมีการกดรับ Cookie
โดยเราสามารถเลือกความเข้มข้นในการขอ Consent ได้หลายแบบ เช่น

Notice Only ทึกทัก – Track ไปแล้ว และแจ้งให้ทราบเท่านั้นว่า Web ของเรามีการใช้คุกกี้อะไรบ้าง User ไม่สามารถ Disable Cookie ของเราได้ทำได้แค่ปิด Dialog / Banner Cookie เท่านั้น
Implied Consent แค่โอเคก็ทะลุทะลวง –  ยังไม่ Track แต่ทันทีที่ User กด OK  ระบบจะ Enable Cookie ทุกตัว
Opt-out ลากเข้าไปก่อน – Track ไปแล้ว และแจ้งให้ทราบว่า Web ของเรามีการใช้คุกกี้อะไรบ้าง มีPage ให้ User เข้าไป disable cookie บางตัวได้
Opt-in ปลอดภัยฝุดๆ – ยังไม่ Track นอกจากคุกกี้ที่จำเป็นกับการใช้งาน (Strictly Necessary) User เข้าไป Enable cookie แต่ละตัวเอง

การจัดการ Universal Consent & Preference Management
1. ระบุวัตถุประสงค์การเก็บและประมวลผล (purpose of processing) เช่น
– เพื่อการบริหารความสัมพันธ์, การทำ Email Marketing, การวัดผลแคมเปญ

2. การกำหนดจุดที่จะเก็บข้อมูล Points of Interaction หรือ Collection Point เช่น
– Web Form, Email, APP SDK หรือ Custom API อื่นๆ
โดยในส่วนนี้เราสามารถบังคับ User  ให้ Double Opt-in  ได้ เช่นการให้ User click confirmation link ใน Email

3. การสร้าง Preference Center เพื่อให้ User เข้ามาจัดการช่องทางการติดต่อ, และหมวดหมู่ที่ต้องการรับข่าวสารจากเรา

ตัวอย่าง Preference Center ของ spotify

อ่าน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
http://www.ratchakitcha.soc.go.th/…/P…/2562/A/069/T_0052.PDF

Reference อื่นๆ
https://gdpr.eu/cookies
https://www.onetrust.com/
https://www.slideshare.net/mediapostlive/onetrust-sponsored-coffee-break
https://www.nivea.co.th/system-pages/cookies#CookieDescription

 

หากมีคำถามเพิ่มเติม สามารถสอบถามผมได้ที่กลุ่ม >> Marketing Tech Thailand Digital Transformation Group