“ถ้าสินค้านั้นฟรี คุณก็คือสินค้า” คำกล่าวติดตลกของนักการตลาดที่ไม่ได้ตลกเลยซักนิดเดียว ทำนองเดียวกับตรรกะทางเศรษฐศาสตร์ที่ว่า “โลกนี้ไม่มีอะไรฟรี แม้แต่อากาศที่คุณกำลังหายใจ” ข้อเท็จจริงเชิงเปรียบเทียบในลักษณะนี้เรามักพบเจอได้ในกิจกรรมทางการตลาดและส่งเสริมการขายในช่วงที่ผ่านมา ซึ่งมีการนำข้อมูลบุคคลมารวบรวม และวิเคราะห์เพื่อการขายสินค้าหรือบริการ แต่เมื่อทั่วโลกมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค และประเทศไทยที่มีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมาย PDPA ข้อมูลส่วนบุคคลก็เป็นเพียงแค่สิ่งที่สามารถ ‘ยืมใช้’ อย่างระมัดระวังเท่านั้น
เรื่องนี้ อาจมองว่าเป็น ‘ตลกร้าย’ สำหรับนักการตลาดที่แต่เดิมข้อมูลส่วนบุคคลที่นำมาใช้กันราวเป็น ‘ของฟรี’ ผ่านการทำแคมเปญต่างๆ เพื่อค้นหา Customer Journey หรือ เส้นทางของผู้บริโภคตั้งแต่ก่อนจะเป็นลูกค้า จนนำไปสู่การตัดสินใจซื้อสินค้าหรือใช้บริการ รวมถึงกลับมาซื้อสินค้าหรือใช้บริการนั้นซ้ำๆ โดยการรวบรวมข้อมูลลูกค้า นำมาวิเคราะห์พฤติกรรมและความต้องการของลูกค้า ที่เรียกว่า Behavioral Marketing แต่ทราบหรือไม่ว่า คุณอาจกำลังทำผิดกฎหมาย PDPA อยู่!!!
เพราะภายใต้กฎหมาย PDPA ข้อมูลส่วนบุคคลเป็นสิทธิที่ได้รับความคุ้มครองตามกฎหมาย และเป็นสิทธิของบุคคลนั้นๆ ในการจะยินยอม หรือไม่ยินยอมให้ใช้ข้อมูล รวมถึงสิทธิการขอให้แก้ไข ระงับ ถ่ายโอน หรือเพิงถอนไม่ให้นำข้อมูลไปใช้ในกิจกรรมทางการตลาดก็ได้ และเป็นสิทธิที่ผู้บริโภคในปัจจุบันเข้าใจเรื่องเหล่านี้ดีเลยทีเดียว
ดังนั้น รูปแบบการทำ Behavioral Marketing จะต้องปรับเปลี่ยนไปตามบริบทของกฎหมาย คำถามคือ แล้วจะต้องทำอย่างไรเพื่อไม่ให้ผิดกฎหมาย PDPA ???
3 สิ่งที่การตลาดแบบ Behavioral Marketing ต้องใส่ใจกฎหมาย PDPA
ภายใต้การบังคับใช้กฎหมายคุ้มครองข้อมูลผู้บริโภคที่ทั่วโลกต้องดำเนินการ คือ ต้องการมีแนวทางในการใช้ข้อมูลส่วนบุคคลของลูกค้าเพื่อการขาย ส่งเสริมการขายและบริการแก่ลูกค้าอย่างเป็นธรรม และปลอดภัย อันประกอบด้วย
- การรักษาความลับของข้อมูลลูกค้า (Confidentiality) ตลอดจนจำกัดการเข้าถึงข้อมูลเพื่อปกป้องสิทธิความเป็นส่วนตัวของลูกค้า
- ความถูกต้องและสมบูรณ์ของข้อมูล (Integrity) รวมถึงการป้องกันการดัดแปลง นำไปใช้ผิดวัตถุประสงค์หรือไม่เหมาะสม เพื่อให้ลูกค้าเกิดความมั่นใจ
- ความพร้อมของข้อมูล (Availability) โดยลูกค้าสามารถเข้าถึงข้อมูลส่วนบุคคลได้ในเวลาที่ต้องการ ตลอดจนสามารถขอให้แก้ไข ถ่ายโอน ระงับหรือเพิกถอนการเก็บ รวบรวมใช้หรือเปิดเผย
แนะวิธีบริหารความเสี่ยงสำหรับกิจกรรมทางการตลาด
นอกจากหลักความเป็นธรรมและปลอดภัย การตลาดควรมีแนวทางในการบริหารและจัดการความเสี่ยงของข้อมูลลูกค้าอย่างเหมาะสม โดยวิธีการ ‘จำแนกข้อมูลตามระดับความเสี่ยงและผลกระทบ’ ที่อาจจะเกิดขึ้นแก่องค์กร หรือแคมเปญการตลาดต่างๆ ว่า หากเกิดการละเมิดจะมีการรับมืออย่างไร
โดยมีการแบ่งระดับข้อมูลลูกค้าเป็น 3 ระดับ คือ เสี่ยงต่ำ ปานกลาง และเสี่ยงสูง หรืออาจจำแนกได้มากกว่า หรือละเอียดกว่านี้ ก็ขึ้นอยู่กับแต่ละองค์กร หรือประเภทของข้อมูลและการใช้งาน อาทิ แคมเปญที่ต้องใช้ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive data) ต่างๆ หรือข้อมูลเด็กที่ยังไม่บรรลุนิติภาวะ บุคคลไร้ความสามารถ หรือเสมือนไร้ความสามารถ เป็นต้น
ด้วยเหตุนี้ จึงไม่เพียงมีการจัดลำดับของประเภทของข้อมูลลูกค้า นักการตลาดยังจะต้องมีการจัดทำแบบ ประเมินผลกระทบ หรือแนวโน้มที่อาจเกิดขึ้นจากการถูกละเมิดความปลอดภัยของข้อมูลส่วนบุคคลในกิจกรรมด้านการตลาดรูปแบบต่างๆ แคมเปญไหนมีความเสี่ยงสูงอาจต้องพิจารณาว่าควรทำหรือไม่ มีวิธีคุ้มครองข้อมูลที่รัดกุมหรือไม่ อย่างไร
ทำการตลาด Behavioral Marketing ไม่ผิด PDPA
การใช้ข้อมูลทำการตลาดแบบ Behavioral Marketing จะต้องมีการสร้างแบบฟอร์มขอความยินยอม (Consent) และต้องระบุวัตถุประสงค์ในการใช้งานข้อมูลส่วนบุคคลโดยชัดเจน และไม่นำข้อมูลไปใช้ผิดไปจากวัตถุประสงค์เดิม (เพื่อทำการตลาด) และควรระมัดระวังการใช้งานเพื่อไม่ให้เป็นการละเมิดสิทธิที่อาจจะทำให้เกิดการรบกวน สร้างความรำคาญ หรือส่งผลกระทบต่อชื่อเสี่ยง จิตใจ หรือสร้างความขัดแย้งอันจะนำไปสู่การฟ้องร้องดำเนินคดีตามกฎหมาย PDPA
หรือหลาย ๆ องค์กรอาจเลือกวิธีการทำข้อมูลส่วนบุคคลให้เป็น Anonymous หรือข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ นำมาวิเคราะห์กลุ่มผู้บริโภคผ่านลักษณะทางประชากรศาสตร์ และพฤติกรรมการจับจ่ายใช้สอย เพื่อกำหนดทิศทาง ทางการตลาดในภาพรวม แทนที่การติดต่อไปยังลูกค้าโดยตรง (Direct Marketing)
เมื่อมีกฎหมาย PDPA การทำกิจกรรมด้านการตลาดและส่งเสริมการขายในลักษณะต่างๆ ที่มีการประมวลผลข้อมูลลูกค้า จะต้องมีความระมัดระวัง และเป็นไปได้ว่าจะเกิดเป็นต้นทุนที่เพิ่มขึ้นด้วย ซึ่งอย่างที่บอกในข้างต้น ‘โลกนี้ไม่มีอะไรที่ฟรี’ แต่ก็เป็นสิ่งที่จำเป็นเพื่อให้เป็นไปตามหลักปฏิบัติสากล เจ้าของธุรกิจอาจจะพิจารณาจ้างผู้เชี่ยวชาญในด้านนี้คอยให้คำปรึกษา หรือแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ในองค์กรเพื่อป้องกันความเสี่ยงการละเมิดที่อาจจะเกิดขึ้นในอนาคต
