Menu Close

ทำความรู้จัก PDPA และการเตรียม Cookie และ Universal Consent

pdpa-and-cookie-consent

PDPA คืออะไร ฉบับเข้าใจง่าย สำหรับนักการตลาด

สรุป พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

สาระสำคัญที่คล้ายคลึงกับ EU Data Protection Directive หรือ GDPR เช่น
1. การแจ้งให้ทราบเรื่องการจัดเก็บข้อมูล
2. การขอความยินยอม (Consent) ทั้งผ่านแบบฟอร์มและVerbal
3. การระบุวัตถุประสงค์ในการเก็บรวบรวม (Purpose Specification)
4. การรักษาความปลอดภัยของข้อมูล ต้องมีมาตรการรักษาความปลอดภัยของข้อมูลที่ถูกเก็บรักษา Integrity and confidentiality (security)
5. การกำหนดผู้ควบคุมข้อมูล (Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
6. สิทธิของเจ้าของข้อมูล โดยเจ้าของมีสิทธิในการขอเคลื่อนย้ายข้อมูลส่วนบุคคลของตน
7. ความรับผิดชอบของบุคคลซึ่งทำหน้าที่ควบคุมข้อมูล (Accountability)

สิ่งที่จะต้องเตรียมก็คือ

  • List data touchpoints ทั้งหมดออกมาดู
  • ออกแบบแบบระบบ consent ต่างๆทั้ง offline/online
  • ตั้งกรรมการหรือคนที่ทำหน้าที่โดยตรง DPO (Data Protection Officer)
  • ทำ Master Database เพื่อ Single Source of Customer Data
  • ทำ Preference Center, Unsubscribe center เพื่อสิทธิที่จะถูกลบข้อมูลออก
  • ทำ Data Gorvernance ให้ชัดเจน ใครควรView/Edit/Deleteข้อมูลลูกค้าแค่ไหน

ข้อมูลส่วนบุคคล หรือ Customer Data คืออะไร แบ่งเป็นกี่ประเภท


ประเภทของข้อมูลลูกค้า แบ่งเป็น 3 ประเภทได้แก่
1. ข้อมูลส่วนบุคคล (Personal Data)
ในที่นี้จะรวมทั้ง ข้อมูลที่ยืนยันตัวตนได้(Personally Identifiable Information) และยืนยันตัวตนไม่ได้ (Non-PII)

1.1 ข้อมูลที่ยืนยันตัวตนได้(Personally Identifiable Information)
คือข้อมูลที่ทราบแล้ว เราสามารถเชื่อมโยงได้ ว่าเจ้าของข้อมูลคนๆนั้นเป็นใคร โดยกลุ่มนี้สามารถแยกได้ย่อยเป็นอีก 2 กลุ่มได้แก่

(1) เชื่อมโยงได้โดยทันที (Linked Information) ได้แก่

  • ชื่อเต็ม (Full name)
  • ที่อยู่จริง (Physical address)
  • Email address

(2) เชื่อมโยงได้เมื่อนำข้อมูลมาประกอบกัน Linkable Information ได้แก่

  • ชื่อ หรือ นามสกุล (Firstname or lastname)
    ตำแหน่งที่อยู่  ประเทศ จังหวัด รหัสไปรษณีย์
    เพศ (Gender)

1.2  ข้อมูลที่ยืนยันตัวตนไม่ได้ (Non-PII)
คือข้อมูลที่ทราบแล้ว เราไม่สามารถเชื่อมโยงได้ ว่าเจ้าของข้อมูลคนๆนั้นเป็นใคร จัดอยู่ในกลุ่มข้อมูล (anonymous) ได้แก่

  • เลขไอพี (IP address)
  • Cookies
  • เลข Device IDs

* ข้อมูลส่วนบุคคล (Personal Data) กลุ่มนี้จัดว่าเป็น”ข้อมูลส่วนบุคคล”ตาม General Data Protection Regulation (GDPR)

อ่านรายละเอียดเรื่อง Customer Data คืออะไร แบ่งเป็นกี่ประเภท


สำหรับการจัดการ Consent มีทั้งระดับ Cookie Consent และระดับสูงกว่าคือ (Universal Consent & Preference Management)

คุกกี้ หลักๆมีกี่รูปแบบ
1.คุกกี้ที่มีความจำเป็นอย่างยิ่ง (Strictly Necessary Cookies) เพื่อให้ Website ของเราทำงานได้ถูกต้อง, เพื่อระบบ Log-In หรือระบบ KYC  หรือเป็นคุกกี้เพื่อการตรวจเช็คความปลอดภัยด้านE-Payment

2.คุกกี้สำหรับฟังก์ชั่นการทำงาน (Preferences หรือ Functional Cookies) คุกกี้สำหรับใช้เพื่อประสบการณ์ที่ดีในการใช้งาน website เช่น จดจำสินค้าล่าสุดที่เราเคยดู ภาษาที่เราเลือกใช้ หรือการจดจำ Log-In  ก็ได้

3. คุกกี้เก็บข้อมูลการใช้งาน (Analytic หรือ Statistics หรือ Performance Cookies) คุกกี้พวกนี้สำหรับจัดเก็บพฤติกรรมการใช้งานwebsite ทั้งหมด และรวมถึง 3rd Party Cookie เช่น Google Analytic  เป็นต้น

4. คุกกี้สำหรับการโฆษณา (Marketing cookies ) คุกกี้สำหรับใช้เพื่อการทำ Advertising ทั้งการ Re-marketing  หรือการ Track จำนวน frequency

การจัดการ Cookie Consent Management

OneTrust Website Cookie Banner
ตัวอย่าง Cookie  Banner Flow ที่จะทำหน้าที่ขวางการ Tracking ของ User จนกว่าจะมีการกดรับ Cookie

โดยเราสามารถเลือกความเข้มข้นในการขอ Consent ได้หลายแบบ เช่น

Notice Only ทึกทัก – Track ไปแล้ว และแจ้งให้ทราบเท่านั้นว่า Web ของเรามีการใช้คุกกี้อะไรบ้าง User ไม่สามารถ Disable Cookie ของเราได้ทำได้แค่ปิด Dialog / Banner Cookie เท่านั้น
Implied Consent แค่โอเคก็ทะลุทะลวง –  ยังไม่ Track แต่ทันทีที่ User กด OK  ระบบจะ Enable Cookie ทุกตัว
Opt-out ลากเข้าไปก่อน – Track ไปแล้ว และแจ้งให้ทราบว่า Web ของเรามีการใช้คุกกี้อะไรบ้าง มีPage ให้ User เข้าไป disable cookie บางตัวได้
Opt-in ปลอดภัยฝุดๆ – ยังไม่ Track นอกจากคุกกี้ที่จำเป็นกับการใช้งาน (Strictly Necessary) User เข้าไป Enable cookie แต่ละตัวเอง

การจัดการ Universal Consent & Preference Management
1. ระบุวัตถุประสงค์การเก็บและประมวลผล (purpose of processing) เช่น
– เพื่อการบริหารความสัมพันธ์, การทำ Email Marketing, การวัดผลแคมเปญ

  1. การกำหนดจุดที่จะเก็บข้อมูล Points of Interaction หรือ Collection Point เช่น
    – Web Form, Email, APP SDK หรือ Custom API อื่นๆ
    โดยในส่วนนี้เราสามารถบังคับ User  ให้ Double Opt-in  ได้ เช่นการให้ User click confirmation link ใน Email

3. การสร้าง Preference Center เพื่อให้ User เข้ามาจัดการช่องทางการติดต่อ, และหมวดหมู่ที่ต้องการรับข่าวสารจากเรา

ตัวอย่าง Preference Center ของ spotify

อ่าน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
http://www.ratchakitcha.soc.go.th/…/P…/2562/A/069/T_0052.PDF

Reference อื่นๆ
https://gdpr.eu/cookies
https://www.onetrust.com/
https://www.slideshare.net/mediapostlive/onetrust-sponsored-coffee-break
https://www.nivea.co.th/system-pages/cookies#CookieDescription

หากมีคำถามเพิ่มเติม สามารถสอบถามผมได้ที่กลุ่ม >> Marketing Tech Thailand