การตลาด (Marketing) หรือกิจกรรมต่าง ๆ ของธุรกิจที่ทำให้เกิดการนำเสนอสินค้าหรือบริการไปสู่ผู้บริโภคทั่วไป ขณะที่ การส่งเสริมการขาย (Promotion) คือกิจกรรมที่นอกเหนือจากการตลาดแบบทั่วไป และมีลักษณะเป็นครั้งคราวเพื่อการกระตุ้นให้เกิดความสนใจสินค้าหรือบริการนั้น ๆ จึงกล่าวได้ว่าแม้สองสิ่งนี้จำเป็นต้องทำควบคู่กันแต่โดยเนื้อหาของกิจกรรมย่อมแตกต่างกัน

ทว่าภายใต้การบังคับใช้กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นสิ่งที่การตลาดและส่งเสริมการขายจะต้องปฏิบัติเหมือนกัน คือ ความถูกต้องและสอดคล้องกับข้อบังคับของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ดังนั้น กิจกรรมด้านการตลาด อาทิ การโฆษณา ประชาสัมพันธ์ การขายแบบตรง ทั้งรูปแบบออนไลน์และออฟไลน์ ตลอดจนกิจกรรมส่งเสริมการขายในรูปแบบ ลด แลก แจก แถม ซึ่งได้มีการเก็บ รวบรวมใช้ หรือเปิดเผย ‘ข้อมูลส่วนบุคคล’ จะต้องเข้าใจพื้นฐานของกฎหมาย PDPA ทั้งบริษัทจะต้องดำเนินการให้สอดคล้องตามข้อบังคับของกฎหมาย ดังนี้

• สร้างนโยบายความเป็นส่วนตัว (Privacy Policy) และประกาศความเป็นส่วนตัว (Policy Notice)
• ในกรณีมีเว็บไซต์ที่จัดเก็บข้อมูลคุกกี้ต้องทำ Cookie Policy
• จัดทำข้อตกลงความยินยอม (Consent) การเก็บ รวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคล
• ทำบันทึกรายการกิจกรรมการประมวลผลข้อมูล (Record of Processing Activities : RoPA)
• แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer :DPO) (ในกรณีองค์กรที่กฎหมายบังคับ)
• จัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคลแก่ผู้ประมวลผลข้อมูลหรือการแบ่งปันข้อมูลแก่บุคคลที่สาม
• จัดทำประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA
• ดำเนินการด้านการเข้าถึงสิทธิของเจ้าของข้อมูล และดำเนินการด้านความปลอดภัยของข้อมูลที่เหมาะสม

แผนกการตลาด และส่งเสริมการขาย ต้องดำเนินการตาม PDPA อย่างไรบ้าง

นอกเหนือจากการดำเนินการตามกฎหมายของบริษัทซึ่งระบุในข้างต้นตามระเบียบและข้อบังคับของกฎหมายฉบับใหม่นี้ ขณะเดียวกัน บริษัทที่มีการเก็บ และประมวลผลข้อมูลส่วนบุคคลของลูกค้าในแผนกการตลาด และกิจกรรมส่งเสริมการขาย ทั้งปฏิเสธไม่ได้ว่า ‘ข้อมูล’ หรือที่เรียกว่า Big Data ซึ่งบริษัทได้มีการเก็บรวบรวมข้อมูลบุคคลของลูกค้า หรือกลุ่มเป้าหมายเป็นจำนวนมาก และมีการนำมาใช้เพื่อการตลาด และส่งเสริมการขาย จะต้องกำหนดแนวทางปฏิบัติที่ถูกต้องให้แก่บุคลากรภายในทีมด้วย

โดยเบื้องต้นแผนกการตลาดและกิจกรรมส่งเสริมการขายจะต้องทราบว่า ข้อมูลส่วนบุคคลใดใช้ได้บ้าง ซึ่งในมุมของกิจกรรมทางการค้าเพื่อแบ่งปันรายได้หรือผลกำไร สามารถใช้ข้อมูลส่วนบุคคลได้ก็ต่อเมื่อ :

• ได้ให้ความยินยอมอย่างชัดเจนตามวัตถุประสงค์
• เป็นการปฏิบัติตามสัญญา
• ดำเนินการตามสิทธิโดยชอบธรรมตามกฎหมาย
• กฎหมายฉบับอื่น ๆ ระบุว่าสามารถทำได้

ด้วยเหตุนี้ จะเห็นว่า ในยุคที่ธุรกิจขับเคลื่อนด้วยข้อมูล (Data Driven) แผนกกฎหมายของบริษัทจึงต้องเป็นส่วนสำคัญขององค์กรมากยิ่งขึ้น โดยเฉพาะอย่างยิ่งในด้านกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่มีการเก็บใช้ หรือประมวลผลข้อมูลส่วนบุคคล ดังนั้น กิจกรรมด้านการตลาดและส่งเสริมการขายจึงต้องมีเจ้าหน้าที่ซึ่งมีความรู้ในเรื่องกฎหมาย PDPA เพื่อตรวจสอบข้อมูล ขั้นตอน และแคมเปญต่าง เพื่อให้กิจกรรมดังกล่าวถูกต้องและยังสามารถป้องกันการละเมิดข้อมูลส่วนบุคคลของลูกค้าได้อีกด้วย

ข้อมูลส่วนบุคคลใดบ้าง? ที่การตลาดและส่งเสริมการขาย มักนำมาใช้และต้องระวัง

กฎหมาย PDPA บัญญัตินิยามของข้อมูลส่วนบุคคล อันหมายถึงข้อมูลที่สามารถระบุตัวตนของบุคคลนั้นได้ทั้งทางตรงและทางอ้อม โดยข้อมูลที่ต้องระวังไม่เพียงเป็นข้อมูลส่วนบุคคลทั่วไป เช่น

• ชื่อ-นามสกุล
• เบอร์โทรศัพท์ อีเมล บ้านเลขที่ตามภูมิลำเนา ที่อยู่ปัจจุบัน
• เลขประจำตัวประชาชน เลขหนังสือเดินทาง เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี เลขบัญชีธนาคาร เลขบัตรเครดิต
• บัญชีโซเชียลมีเดีย บัญชี Google ข้อมูลบนคอมพิวเตอร์ แท็บเล็ต หรือมือถือ เช่น LINE ID, IP Address, MAC Address, Cookie ID
• ข้อมูลทรัพย์สิน ที่สามารถเชื่อมโยงบุคคลนั้นได้ เช่น เลขทะเบียนรถ โฉนดที่ดิน อสังหาริมทรัพย์
• ข้อมูลอื่น ๆ ที่สามารถเชื่อมโยงหรือระบุตัวตนได้ เช่น วันเกิด สถานที่เกิด ข้อมูลการศึกษา ข้อมูลทางการเงิน ข้อมูลการจ้างงาน
แต่รวมถึงข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) ซึ่งกฎหมาย PDPA ห้ามไม่ให้เก็บรวมรวม ยกเว้นว่า ได้ขอความยินยอมจากเจ้าของข้อมูลอย่างชัดเจน และอยู่บนพื้นฐานของความจำเป็น และจัดให้มีการคุ้มครองความปลอดภัยข้อมูลอย่างเหมาะสม เช่น

– เชื้อชาติ เผ่าพันธุ์
– ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
– ความคิดเห็นทางการเมือง พฤติกรรมทางเพศ
– ประวัติอาชญากรรม ข้อมูลสหภาพแรงงาน
– ข้อมูลสุขภาพ ที่เป็นเวชระเบียนของบุคคลทั้งการรักษาโรค การดูแลสุขภาพและตกแต่ง ข้อมูลพันธุกรรม หรือ DNA และข้อมูลความพิการ
– ข้อมูลทางชีวภาพ เช่น รูปภาพใบหน้า วิดีโอ ลายนิ้วมือ ฟิลม์เอ็กซ์เรย์ ข้อมูลสแกนม่านตา ข้อมูลอัตลักษณ์เสียง โครงสร้างร่างกาย อัตลักษณ์เฉพาะบุคคล
– ข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมคุ้มครองข้อมูลส่วนบุคคลการประกาศกำหนด

5 ขั้นตอนสำหรับการตลาดและส่งเสริมการขาย ปฏิบัติได้ถูกต้องตาม PDPA

จากข้อมูลด้านบนจะเห็นว่า ข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลอ่อนไหวหลายๆ ประเภทก่อนหน้านี้ธุรกิจต่างๆ มีการเก็บ รวบรวมใช้ หรือเปิดเผยโดยไม่ได้มีกฎหมายเฉพาะมาควบคุมกำกับ ขณะที่ภายใต้กฎหมาย PDPA ที่บังคับใช้จะทำให้รูปแบบและขั้นตอนในการเก็บรวบรวม หรือประมวลผลข้อมูลนั้นเกิดความยุ่งยากขึ้น แต่หากมองในมุมกลับกัน ที่ผู้คนทั่วโลกต่างให้ความสำคัญต่อการคุ้มครองและสิทธิพื้นฐานของข้อมูลส่วนบุคคล ธุรกิจจึงหลีกเลี่ยงไม่ได้ที่จะต้องดำเนินการอย่างเหมาะสมและสอดคล้องกับกฎหมาย

ดังนั้น การตลาดและกิจกรรมส่งเสริมการขายที่ต้องใช้ความระมัดระวังในการดำเนินการที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของลูกค้าใน 5 ขั้นตอน ดังนี้

1. ตรวจสอบสถานะ : ดำเนินการตรวจสอบข้อมูลส่วนบุคคลแต่ละรายการ วัตถุประสงค์การใช้งานให้ตรงกับวัตถุประสงค์ที่ได้แจ้งไว้แก่เจ้าของข้อมูล และสถานะความยินยอมอยู่เสมอ เพื่อให้แน่ใจว่ารายการหรือฐานข้อมูลเป็นปัจจุบันก่อนนำไปใช้งาน

2. ตรวจสอบสิทธิทางกฎหมาย : ให้ทีมกฎหมายหรือบุคลากรที่มีความเชี่ยวชาญด้านกฎหมาย PDPA ตรวจสอบข้อมูลและขั้นตอนการดำเนินการของแคมเปญการตลาดหรือ โปรโมชันต่างเพื่อความมั่นใจว่าไม่ได้ละเมิดกฎหมาย

3. จำกัดการเข้าถึงข้อมูล : โดยสามารถกำหนดสิทธิของบุคคลในทีม เพื่อจำกัดการเข้าถึงข้อมูลส่วนบุคคลของลูกค้าให้เหมาะสมตามหน้าที่ และป้องกันการรั่วไหลหรือการละเมิดข้อมูลลูกค้า

4. แบ่งปันข้อมูลจะต้องแน่ใจ : การแบ่งปันข้อมูลส่วนบุคคลกับบริษัทอื่น จะต้องแน่ใจว่าได้แจ้งแก่เจ้าของข้อมูลและได้รับความยินยอมแล้วเท่านั้น รวมทั้งได้ระบุไว้ใน Policy Notice อย่างชัดเจน

5. ลดความเสี่ยงการละเมิด : โดยการจัดทำข้อมูลส่วนบุคคลที่มีการจัดเก็บไว้เป็นจำนวนมากให้เป็นข้อมูลแฝง หรือทำให้ข้อมูลนั้นเป็นนิรนาม โดยวิธีทาเทคนิค แต่ไม่ได้ลดคุณค่าของข้อมูล เพื่อเป็นการลดความเสี่ยงจากการละเมิดข้อมูลส่วนบุคคล

อย่างไรก็ตาม ทั้งหมดนี้เป็นเพียงคำแนะนำแบบกว้าง ๆ เพื่อให้องค์กรธุรกิจได้นำไปปรับใช้อย่างเหมาะสม ซึ่งจะต้องประกอบด้วยคำแนะนำและการชี้แนะแนวทางที่ถูกต้องจากผู้เชี่ยวชาญตามบริบทขององค์กรนั้น ๆ ด้วย

ด้วยเหตุนี้ เราจึงย้ำเตือนเสมอว่า ฝ่ายกฎหมายขององค์กรจะต้องมีส่วนร่วมในการจัดทำแคมเปญการตลาดหรือกิจกรรมส่งเสริมการขายเพื่อป้องกันไม่ใช้ฝ่าฝืนกฎหมายหรือละเมิดข้อมูลลูกค้าซึ่งจะนำมาซึ่งผลเสียไม่เพียงแค่โทษปรับ แต่ยังส่งผลต่อความเชื่อมั่นของลูกค้าอีกด้วย