ในวันที่แบรนด์ต่างแข่งกันสะสม Data ให้ BIG เพื่อรอวันได้ออกดอกออกผลจากการประมวลผลและทำ AI, Machine learning, Automation, Personalization กันเจ๋งๆ ซักที ดันมีกฎหมายใหม่ออกมาสั่งห้าม  เหมือนสะสมแต้มชานมไข่มุกจนครบจำนวนกำลังจะเดินไปแลกของ....เอ๊า.....ร้านปิดซะงั้น ! 

จริงๆแล้วไม่ได้แย่ขนาดนั้นค่ะ เรามาดูกันว่าทำไม 

ข้อดี PDPA กับนักการตลาด

• หากบริษัทของคุณลงทุนด้าน  Data Security ไว้เยอะ ถึงเวลาเอามา PR ซะให้คุ้ม ! 
• ระยะยาวพรบ.นี้จะทำให้ผู้บริโภคมั่นใจในระบบการเก็บข้อมูล และการเอาข้อมูลไปใช้อย่างถูกต้อง นักการตลาดก็จะได้ข้อมูลที่ถูกต้อง เป็นจริง ใช้ได้จริงมากขึ้นเอาไปประมวลผลใช้งานเป็น predictive model หรือ Automation ที่แม่นยำสุดอะไรสุด

ข้อเสีย PDPA กับนักการตลาด

• ในระยะสั้น เราต้องรื้องานค่อนข้างเยอะ เช่น เวบ แอพ ใบสมัคร ระบบสมาชิก ระบบการติดต่อกับลูกค้า 
• และหากเราทำได้ไม่ดีพอ โดนฟ้องเป็นคดีเจิม PDPA แบรนด์เราจะดังมากกก แต่ก็ทำลายความน่าเชื่อถือได้มากกกก จนไม่คุ้มเสี่ยงหรอกค่ะ

ความเปลี่ยนแปลงใดบ้างที่อาจกำลังมาทางนักการตลาด

1. บทบาทใหม่

ตามที่เราได้เข้าใจพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำลังจะมีผลบังคับใช้ 27 พ.ค.นี้แล้ว ( อ่านใจความพรบ. ได้ที่นี่ link ) กำหนดว่าจะต้องมีบทบาทใหม่อีก 2 ตำแหน่ง

• ผู้ควบคุมข้อมูล : บุคคล/นิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูล
• ผู้ประมวลผล : มีบทบาท บุคคล/นิติบุคลซึ่งดำเนินการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลตามคำสั่ง หรือ ในนามของผู้ควบคุม (  ต้องเป็นคนละคนกับผู้ควบคุม )

เราคิดว่านักการตลาดที่องค์กรมีข้อมูลค่อนข้างเยอะและมีการทำการตลาดแบบใช้ Data เยอะๆ ผู้บริหารสูงสุดของฝ่ายการตลาดอย่าง CMO, Marketing Director หรือ Manager ซึ่งเป็นผู้มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูล อาจต้องรับตำแหน่งใหม่นี้ไปโดยปริยาย  ส่วน Vendor Data Consultant อย่างเรา Analytist ก็จะเข้าข่ายเป็นผู้ประมวลผลค่ะ ทั้งนี้ขึ้นอยู่กับบริบทของธุรกิจและการตัดสินใจของแต่ละองค์กรด้วยค่ะ 

2. รูปแบบการบริหารข้อมูล และบริการใหม่ๆที่จะเกิดขึ้น

ทั้ง eco system ของข้อมูลจะต้องมีการปรับอีกหลายอย่างเพื่อรองรับสิทธิใหม่ๆที่เจ้าของข้อมูลพึงได้รับ 

คีย์คือ ต้องมีหลักฐานของ Consent เก็บไว้

การขอความยินยอม (Consent) นั้น จะต้องให้เจ้าของข้อมูลสามารถ

• ทำผ่านกระดาษ หรือ ระบบออนไลน์ก็ได้ 
• ใช้ภาษาที่อ่านง่าย เข้าใจง่าย 
• ไม่หลอกลวงให้เข้าใจผิด 
• การทำ Opt Out จะไม่สามารถทำได้อีกต่อไป 
• ควรมีทางเลือกไว้ 2 ทาง คือ ยินยอม และไม่ยินยอม
• แยกชัดเจนจากเงื่อนไขอื่นๆ และไม่เอาเงื่อนไขอื่นมาผูกพัน

ที่เราชอบเอามาพับๆใส่ไว้ให้ User อ่านจบเร็วๆ หรือกดอ่านหรือไม่อ่านก็ได้นี่คือ ผิดนะคะ ที่ถูกจะต้องคลี่ ต้องแผ่ ยาวๆไปเลย และแยกหัวข้อออกจากหัวข้ออื่นๆ

การถอนความยินยอม (Consent) นั้น จะต้องให้เจ้าของข้อมูลสามารถ

• ทำเมื่อไหร่ก็ได้  ระบุไว้กว้างอีกเช่นกัน  คงต้องรอกฎหมายลูกมาแจ้ง เช่นว่า จะต้อง 24 ชม.หรือไม่ แต่เราก็แนะนำให้เตรียมแบบที่ประหยัดกำลังคนที่สุด เช่น เวบ, แอพ, Call center)
• แต่พรบ.ระบุว่าจะต้องทำได้ง่ายเช่นเดียวกับการให้ความยินยอม ( ข้อนี้กว้างหนักเลย และคงทำได้ยากอยู่ เพราะต้องยืนยันตัวตนด้วย) 

เรามีตัวอย่างของ SCB ที่ทำไว้ค่อนข้างดี มาให้ดูกันค่ะ

เข้าแอพไปตรงเมนูอื่นๆ ด้านขวาล่างสุด มีเมนู “จัดการข้อมูลส่วนตัว”

มีการแจ้งสิทธิและวัตถุประสงค์ที่ชัดเจน ไม่มีการพับเก็บไว้ 

คำถามที่ว่า การประมวลผลโดยไม่มีข้อมูลที่สามารถระบุตัวตนได้อยู่ด้วย สามารถทำได้หรือไม่นั้น ยังไม่แน่ชัด 

ในรายละเอียดเหล่านี้ยังต้องอาศัยการตีความโดยนักกฎหมาย และหากจะทำต้องพร้อมรับความเสี่ยงด้วย จนกว่าจะมีแนวทางจาก PDPA Thailand หรือ กฎหมายลูกจะมาบ่งชี้ชัด 

ผู้เขียน : Analytist Team