เรื่องเล่าและแนวทางปฎิบัติตาม GDPR/PDPA ที่ นักโฆษณาดิจิทัล ต้องรู้

สมาคมโฆษณาดิจิทัลไทย (DAAT) ภายใต้ความร่วมมือจากสถาบันพัฒนาและทดสอบทักษะดิจิทัล (DDTI) จัดสัมมนาออนไลน์ DAAT TALK ครั้งที่ 1 เรื่อง ‘พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ตั้งรับและทำความเข้าใจพร้อมแนวทางปฏิบัติ’ ในวันอังคารที่ 5 พฤษภาคม 2563 เวลา 14.00-16.00 น. ที่ผ่านมา เพื่อให้ทุกภาคส่วน โดยเฉพาะบุคลากรในวงการการโฆษณาดิจิทัลมีความเข้าใจและเตรียมพร้อมรับมือกับข้อกำหนดใหม่ตามนโยบายของภาครัฐภายใต้ PDPA กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย รวมถึงศึกษาแนวทางและนโยบายการคุ้มครองข้อมูลส่วนบุคคลจากสหภาพยุโรป หรือ GDPR อีกด้วย

การสัมมนานำบรรยายโดย ดร.ธีทัต ชวิศจินดา รองคณบดีฝ่ายวางแผนและพัฒนา คณะนิติศาสตร์ สถาบันบัณฑิตพัฒนบริหารศาสตร์ หรือ นิด้า (NIDA) ผู้เชี่ยวชาญทางด้านกฎหมาย และวิทยากรหลักสูตร ICDL PDPC มีเนื้อหาที่น่าสนใจในหลายประเด็น โดยเน้นเรียนรู้สร้างความเข้าใจใน Concept พื้นฐานเรื่องการคุ้มครองข้อมูลส่วนบุคคลในบริบทของชาวตะวันตกก่อน เนื่องจากของไทยเองกำลังอยู่ในกระบวนการคัดเลือกคณะกรรมการและยังไม่มีแนวการปฏิบัติอย่างแน่ชัดออกมา ด้วยการชวนพูดคุยผ่านมุมมองของนักกฎหมาย และแชร์ประสบการณ์ที่เคยพบ ดังนี้

ประวัติศาสตร์ความเป็นมาของการคุ้มครองข้อมูลส่วนบุคคล

มุมมองทางวัฒนธรรมที่ต่างกันส่งผลให้เรามองเรื่องของการคุ้มครองข้อมูลส่วนบุคคลไม่เหมือนกัน เราจะเห็นได้ว่าชาวตะวันตก หรือผู้ที่มีวัฒนธรรมตามแบบตะวันตก เช่น ชาวยุโรป อเมริกา จะมีความเคร่งครัดและความใกล้ชิดกับเรื่องของการคุ้มครองข้อมูลส่วนบุคคลมากกว่าชาวเอเชีย สาเหตุก็มาจากเหตุการณ์สำคัญในประวัติศาสตร์ที่กลายเป็น Historical Trauma ที่ฝังอยู่ในสมองของชาวยุโรป เป็นภาพติดตรึงในวัฒนธรรมตะวันตก

สมัยสงครามโลกครั้งที่สอง กองกำลังนาซีมีการนำข้อมูลส่วนบุคคลอ่อนไหว หรือซึ่งก็คือเชื้อชาติมาเป็นข้ออ้างเพื่อใช้กวาดล้างชาวยิว ความทรงจำอันโหดร้ายต่อการใช้ข้อมูลส่วนบุคคลเพื่อตีตราและลงโทษมนุษย์คนอื่น ๆ (ข้อมูลส่วนบุคคลถูก Abused มาก่อน) ส่งผลให้ชาวตะวันตกเริ่มมีแนวคิดเรื่องการคุ้มครองข้อมูลส่วนบุคคลมาตั้งแต่สมัยหลังสงครามโลกในครั้งนั้น

การคุ้มครองข้อมลส่วนบุคคลและกฎหมายคุ้มครองข้อมูลส่วนบุคคลมีการพูดถึงอย่างจริงจังมากขึ้นตั้งช่วงปี 1970s และมีพัฒนาการมาเรื่อย ๆ การคุ้มครองข้อมูลโดยถือว่าเป็นสิทธิมนุษยชน (Human Rights) กับการใช้ข้อมูลส่วนบุคคลเพื่อให้เกิดประโยชน์และมูลค่าทางเศรษฐกิจ (Economic Value) มักจะเป็นสองแนวคิดที่ขัดแย้งกันมาอยู่เสมอ จนถึงยุคปัจจุบันที่สังคมถูกขับเคลื่อนด้วยข้อมูล และข้อมูลส่วนบุคคลมีแนวโน้มถูกใช้ไปในทางที่มิชอบ ทางสหภาพยุโรป (ซึ่งให้ความสำคัญต่อการคุ้มครองข้อมูลส่วนบุคคล) จึงคลอดกฎหมาย GDPR ออกมาในปี 2016 (บังคับใช้ปี 2018) และกลายเป็นต้นแบบยกร่าง PDPA ของไทยในปี 2019 โดยจะเห็นได้ว่า PDPA มีโครงสร้างทางกฎหมายหลายประการที่คล้ายคลึงกับ GDPR (General Data Protection Regulation)

GDPR ได้รับการยกย่องจากบุคคลในวงการว่าเป็นเอกสารระดับ “ตัวพ่อ” ในเรื่องการคุ้มครองข้อมูลส่วนบุคคลในปัจจุบัน

3 สิ่งที่นักโฆษณาดิจิทัลควรรู้เกี่ยวกับ GDPR

เนื่องจาก GDPR และ PDPA มีความคล้ายคลึงกัน การเรียนรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลตาม GDPR จึงทำให้เราสามารถเข้าใจ Concept คร่าว ๆ เกี่ยวกับ PDPA และแนวทางปฎิบัติได้ด้วยเช่นกัน โดยสิ่งที่นักโฆษณาดิจิทัลควรรู้เกี่ยวกับ GDPR มีอยู่ด้วยกัน 3 ประการ คือ หลักการสำคัญของ GDPR “ยันต์แคล้วคลาด” ทำอย่างไรจึงจะไม่ผิดกฎหมาย และสิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ที่ควรเข้าใจและเคารพ

1. หลักการสำคัญของ GDPR (6 Principles + 1 of GDPR) เป็นคอนเซ็ปต์หลัก ว่าข้อมูลส่วนบุคคลควรได้รับการคุ้มครองจากผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลในลักษณะอย่างไร ซึ่งในฐานะนักโฆษณาดิจิทัล คุณจึงมักมีกิจกรรมที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลอยู่เสมอจึงจำเป็นต้องรู้เอาไว้

• ข้อมูลส่วนบุคคลต้องถูกประมวลผลอย่างถูกกฎหมายและโปร่งใส
• ข้อมูลส่วนบุคคลต้องถูกเก็บรวบรวมอย่างมีวัตถุประสงค์ และไม่ถูกใช้ไปในวัตถุประสงค์นอกเหนือจากที่ระบุ
• ข้อมูลส่วนบุคคลต้องถูกเก็บเฉพาะให้เพียงพอ เกี่ยวข้อง และไม่มากเกินความจำเป็นตามวัตถุประสงค์
• ข้อมูลส่วนบุคคลต้องถูกเก็บอย่างแม่นยำ และอัปเดตให้ทันสมัยอยู่เสมอ
• ข้อมูลส่วนบุคคลต้องมีระยะเวลาการเก็บที่จำกัด และไม่นานเกินความจำเป็นตามวัตถุประสงค์
• ข้อมูลส่วนบุคคลต้องถูกประมวลผลโดยคำนึงถึงความปลอดภัยผ่านการใช้เทคโนโลยีและมาตรการที่เหมาะสม
• ผู้ควบคุมข้อมูลจะต้องมีความรับผิดชอบ และสามารถแจงได้ว่าดำเนินการสอดคล้องตามกฎหมายแล้ว

2. “ยันต์แคล้วคลาด” คือ 6 ฐานของกฎหมายที่ถูกอ้างอิงเมื่อคุณดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายใต้ GDPR (6 Lawful Bases of Processing) หากดำเนินการหรือพิสูจน์ได้ว่าดำเนินการตามฐานของกฎหมายเหล่านี้ ก็จะถือว่าคุณเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลโดยชอบ และไม่มีความผิดนั่นเอง มีอยู่ทั้งหมด 6 ฐานด้วยกัน คือ

• ภาระผูกพันตามสัญญา (Contractual Obligation)
• ภาระผูกพันตามกฎหมาย (Legal Obligation)
• ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest)
• สาธารณประโยชน์ (Public Interest)
• ประโยชน์อันชอบธรรม (Legitimate Interest)
• ความยินยอม (Consent)

สำหรับวงการการโฆษณาดิจิทัล การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลอาจไม่ได้เข้าข่ายฐานทางกฎหมายอื่น ๆ นอกเหนือจากความยินยอม ดังนั้นนักโฆษณาดิจิทัลทุกท่านควรตระหนักถึงความสำคัญในการแจ้งให้เจ้าของข้อมูลส่วนบุคคลรับทราบถึงวัตถุประสงค์และขอให้พวกเขายินยอมก่อนหรือระหว่างการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลทุกครั้ง

3. สิทธิของเจ้าของข้อมูลส่วนบุคคล (GDPR มาตรา 12-23) นักการตลาดโฆษณาดิจิทัลควรทราบเกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมาย เพื่อที่จะได้เข้าใจถึงสิทธิขั้นพื้นฐาน และออกแบบระบบการจัดการและคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับสิทธิของพวกเขาเหล่านั้น หรือสามารถมองเห็นภาพมากพอเพื่อถ่ายทอดและควบคุมงานของผู้ออกแบบระบบระดับปฏิบัติการได้อย่างมีความเข้าใจ โดยสิทธิของเจ้าของข้อมูลส่วนบุคคลตาม GDPR มีดังนี้

• สิทธิได้รับการแจ้ง บอกกล่าว ก่อนหรือระหว่างการเก็บรวบรวม ใช้ ประมวลผลข้อมูลส่วนบุคคล
• สิทธิเข้าถึงและขอสำเนาข้อมูลส่วนบุคคลของตนเองได้
• สิทธิได้รับการแก้ไข ปรับเปลี่ยน ทำให้ถูก และอัปเดตข้อมูลส่วนบุคคล
• สิทธิขอถูกลืมหรือขอลบข้อมูลส่วนบุคคลออกจากระบบ
• สิทธิขอโอนรายละเอียดข้อมูลส่วนบุคคลของตนเองได้
• สิทธิคัดค้านการประมวลผล ไม่ยอมให้ประมวลผลข้อมูลส่วนบุคคลอีกต่อไป

ประเด็นเรื่องของ Cookies

คุกกี้ (Cookies) คือไฟล์ขนาดเล็กที่ถูกฝังไว้ในคอมพิวเตอร์หรืออุปกรณ์อิเล็กทรอนิกส์เมื่อมีผู้เข้าชมเว็บไซต์ มีหน้าที่ช่วยสนับสนุนประสบการณ์การใช้งานบนเว็บไซต์ให้สะดวกยิ่งขึ้นโดยการเก็บจดจำข้อมูลเอาไว้ เช่น จดจำการตั้งค่า Preference ช่วยให้โหลดหน้าเว็บได้รวดเร็วยิ่งขึ้น กรอกข้อมูลอัตโนมัติในครั้งถัด ๆ ไป และนำเสนอสิ่งที่ผู้ใช้งานมีแนวโน้มจะสนใจ เป็นต้น

การศึกษา Website Tracking ปี 2020 พบว่า 99% ของคุกกี้ถูกใช้งานเพื่อการติดตามผู้ใช้งานหรือทำการโฆษณาตรงไปยังกลุ่มเป้าหมาย (Targeted Advertising) การใช้งานคุกกี้มีความสัมพันธ์อย่างใกล้ชิดกับวงการโฆษณาดิจิทัลอย่างมาก เนื่องจากเป็นหนทางที่ทำให้นักโฆษณาได้รับข้อมูลส่วนตัวและข้อมูลเชิงพฤติกรรมจากผู้บริโภค เพื่อที่จะสามารถนำข้อมูลนั้นมาประมวลผลและใช้ในการทำการตลาดและยิงโฆษณาให้ตรงตามกลุ่มเป้าหมายต่อไป

Cookies เป็นหนึ่งในประเด็นที่ได้รับความสนใจอย่างมากและมีการดำเนินการอย่างเห็นเป็นรูปธรรมเมื่อ GDPR บังคับใช้จริง

คุกกี้มีหลายประเภทด้วยกัน โดยแบ่งออกโดยใช้เกณฑ์ดังนี้

• ระยะเวลาการฝังตัว แบ่งออกเป็น 1.) Session Cookies คุกกี้ระยะสั้นที่เก็บเฉพาะระหว่างมีการใช้งานเว็บไซต์ หมดอายุไปเมื่อปิดเบราว์เซอร์ และ 2.) Persistent Cookies คุกกี้ระยะยาวที่ยังฝังอยู่ในฮาร์ดไดรฟต่อไปจนกว่าจะมีการสั่งลบออกจากเบราว์เซอร์
• วัตถุประสงค์ แบ่งออกเป็น 1.) Strictly Necessary Cookies คุกกี้จำเป็นต่อการใช้งานเว็บไซต์และฟีเจอร์ต่าง ๆ ของเว็บไซต์ 2.) Preference Cookies คุกกี้ที่จดจำการตั้งค่าต่าง ๆ ของเว็บไซต์ 3.) Statistic Cookies คุกกี้เก็บสถิติการใช้งานเว็บไซต์ของผู้ใช้งาน โดยการเก็บข้อมูลต้องทำให้เป็นข้อมูลนิรนาม (Anonymization) ซึ่งไม่สามารถระบุตัวตนของผู้ใช้งานแต่ละคนได้ 4.) Marketing Cookies คุกกี้สำหรับการตลาด ติดตามพฤติกรรมและความชอบข้องผู้ใช้งานเว็บไซต์เพื่อวัตถุประสงค์ในการนำเสนอโฆษณาที่ตรงตามความต้องการหรือความชอบของผู้ใช้งานเว็บไซต์/ผู้บริโภค
• ที่มา แบ่งออกเป็น 1.) First-Party Cookies คุกกี้ที่ฝังอยู่ในเครื่องมือโดยเว็บไซต์ที่เข้าชมเองโดยตรง และ 2.) Third-Party Cookies คุกกี้ที่ฝังอยู่ในเครื่องมือโดยระบบการโฆษณาหรือระบบการเก็บและวิเคราะห์สถิติจากภายนอกเว็บไซต์

Cookies เป็นการเก็บข้อมูลที่มีความเสี่ยงและต้องการความมั่นใจว่าจะไม่อยู่ในรูปแบบที่สามารถระบุตัวตนของเจ้าของข้อมูลได้ หรือมีระบบการป้องกันและมาตรการการปกป้องคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมเพียงพอ เพื่อให้สอดคล้องกับ GDPR เว็บไซต์ต้องทำแบบฟอร์มขอความยินยอมใช้งานคุกกี้ (Accept Cookies Form) ให้ผู้ใช้งานกดยอมรับ พร้อมระบุวัตถุประสงค์ของการใช้งาน โดยบางส่วนที่เป็นคุกกี้ที่ไม่จำเป็นอย่างเช่น Statistic Cookies และ Marketing Cookies อาจมีฟังก์ชันให้สามารถกดเลือกเปิด-ปิดการยอมรับได้ด้วย เพื่อเป็นการเคารพและให้สิทธิเจ้าของข้อมูลส่วนบุคคลอย่างเต็มที่

ปัจจุบันมี Plug-in ที่ช่วยในการสร้างแถบขอความยินยอมการใช้งานคุกกี้ สามารถติดตั้งบนเว็บไซต์ได้อย่างสะดวก

ในฐานะเจ้าของเว็บไซต์/นักโฆษณาดิจิทัล เราจะรู้ได้อย่างไรว่าเว็บไซต์ของเราดำเนินการตาม GDPR หรือไม่? หรือมีอะไรบ้างที่ต้องให้ความสำคัญและปรับปรุง? ข่าวดีก็คือมีเว็บไซต์ฟรีให้ใช้เช็กได้ครับอย่างเช่น www.cookiebot.com และ www.cookiemetrix.com เพียงแค่ป้อนข้อมูลโดเมนเข้าไป ระบบจะตรวจสอบและประมวลผลออกมาว่าเว็บไซต์ของคุณมีรายละเอียดของคุกกี้ว่ามีตัวไหนบ้าง มีแบนเนอร์โฆษณาที่ติดคุกกี้ หรือ Third-Party Cookies หรือไม่ ตลอดจนบอกว่าเว็บไซต์ของคุณมีการดำเนินการที่ Comply สอดคล้องกับ GDPR หรือเปล่า

สำหรับเครื่องมือที่ช่วยเช็กว่าเว็บไซต์มีลักษณะที่สอดสอดคล้องกับ PDPA ของไทยหรือไม่ น่าจะมีออกมาในเร็ว ๆ นี้ หลังจากมีระเบียบและมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวกับคุกกี้ออกมาจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอย่างเป็นทางการ

คำแนะนำในการรับมือกับ GDPR/PDPA

ช่วงสุดท้ายของการสัมมนาออนไลน์ ดร.ธีทัต ชวิศจินดา ได้ให้คำแนะนำจากแง่มุมของผู้เชี่ยวชาญในวงการกฎหมายคุ้มครองข้อมูลส่วนบุคคล สำหรับสิ่งที่องค์กรด้านโฆษณาดิจิทัลควรดำเนินการเพื่อให้พร้อมรับมือกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ดังนี้

• จัดทำ Information Life Cycle จำพวก Data Map / Data Flow / Information Inventory เพื่อดูว่าในองค์กรมีการไหลเวียนของข้อมูลเป็นอย่างไร มีการจัดแบ่งประเภทของข้อมูลหรือยัง ข้อมูลส่วนไหนที่เข้าข่ายเป็นข้อมูลส่วนบุคคลบ้าง และมีมาตรการที่ดำเนินการเกี่ยวกับข้อมูลเหล่านั้นอย่างไร เพื่อให้เห็นภาพรวมของวงจรข้อมูล
• ดำเนินการให้แน่ใจว่าสอดคล้องกับการคุ้มครองข้อมูลส่วนบุคคล ทั้งในแง่ของการขอความยินยอมเพื่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (รวมถึงเรื่องการเก็บคุกกี้) และการดำเนินการ Plug-in หลังบ้านหรือกระบวนการทางไอทีและเทคนิค
• ทำความเข้าใจในสามเรื่องนี้ เรียกรวมกันว่า “3Ds” คือ ) Data Due Diligence หรือการสอบทานธุรกิจด้านข้อมูล เมื่อมีนักลงทุนหรือผู้ที่สนใจในธุรกิจของคุณ พวกเขาจะดำเนินการขอ Due Diligence เพื่อทราบถึงข้อมูลทั้งหมดของบริษัทรวมไปถึงกระบวนการการคุ้มครองข้อมูลส่วนบุคคลที่คุณได้ดำเนินการไปอีกด้วย องค์กรจึงต้องคำนึงถึงการดำเนินการใด ๆ เพื่อให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อที่เมื่อมีการตรวจสอบย้อนหลังแล้วจะได้โปร่งใสและไม่มีความผิด 2.) Data Protection Officer (DPO) หรือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ซึ่งองค์กรของคุณจำเป็นต้องมี หากเป็นองค์กรขนาดใหญ่ เป็นธุรกิจที่มีความเสี่ยงของการคุ้มครองข้อมูลสูง หรือเป็นองค์กรที่ดำเนินกิจกรรมเกี่ยวกับการเก็บรวบรวม ใช้ หรือประมวลผลข้อมูลส่วนบุคคลโดยตรง และ 3.) Data Protection Impact Assessment (DIPA) คือ การประเมินผลกระทบของการคุ้มครองข้อมูลส่วนบุคคล โดยหากมีกระบวนการใดที่มีแนวโน้มที่จะก่อให้เกิดความเสี่ยงสูงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลจะต้องดำเนินการประเมินความเสี่ยงของแนวทางการประมวลผลก่อนการประมวลผลข้อมูลจริง
• สร้างความตระหนักและวัฒนธรรมการเคารพสิทธิความเป็นส่วนตัว (Raise Awareness and Privacy Culture) ภายในองค์กร และให้มองเรื่องของการคุ้มครองข้อมูลส่วนบุคคลเชื่อมโยงกับเรื่องอื่น ๆ ในองค์กร เพื่อลดการเกิดการละเมิดข้อมูลส่วนบุคคลในองค์กรในระยะยาว

มุมมองของดร.ฯ และเพื่อน ๆ ในวงการ คาดว่าน่าจะใช้เวลาไม่น้อยกว่า 10 ปี ที่จะทำให้คนไทยส่วนใหญ่จะหันมาตระหนักในเรื่องการคุ้มครองข้อมูลส่วนบุคคล

สำหรับผู้สนใจสามารถรับชมวิดีโอคลิปการบรรยายย้อนหลังได้ที่:

• DAAT TALK ครั้งที่ 1 (1/3) https://bit.ly/2T2mCCs
• DAAT TALK ครั้งที่ 1 (2/3) https://bit.ly/2WwrC4l
• DAAT TALK ครั้งที่ 1 (3/3) https://bit.ly/35Vh9Ta

Link Download เอกสารประกอบการสมมนา: shorturl.at/opyAT

สนใจเรียนหลักสูตร PDPC (Personal Data Protection Certificate) เกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล PDPA ติดต่อเรา >>> คล