หลายท่านคงเกิดความสงสัย ที่ผ่านมาจะพบว่า หลายๆ เว็บไซต์ที่เราเข้าไปใช้งานจะมีเอกสารฉบับหนึ่งเด้งมารบกวนการเข้าไปชมเว็บไซต์ของเรา โดยศัพท์แสงภาษาไอทีเรียกว่า ‘Cookie Consent’ เป็นเอกสารขอความยินยอมในการเก็บข้อมูลของผู้เข้าใช้งาน ตามข้อกำหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) เป็นกฎหมายใหม่ที่มีวัตถุประสงค์ในการคุ้มครองข้อมูลส่วนบุคคล ซึ่งในส่วนของแพลตฟอร์มเว็บไซต์ที่มีการเก็บข้อมูลโดยคุกกี้จึงต้องปฏิบัติตามกฎหมาย
โดยเจ้าคุกกี้ (Cookies) ที่ว่าจะแบ่งเป็นแบบชั่วคราว คือ มีวันหมดอายุได้ เช่น สังเกตได้ว่าบางครั้งหากเราไม่ได้เข้าไปใช้งานเว็บไซต์ดังกล่าวเป็นเวลานานการจดจำรหัสผ่านจะหายไปจนต้องนึกอยู่นานเพราะจำรหัสผ่านไม่ได้ ส่วนอีกแบบ คือ ‘คุกกี้ชนิดถาวร’ แน่นอนว่าเป็นคุกกี้พันธุ์อมตะที่ไม่มีวันหมดอายุในการจัดเก็บ
โดยทั่วไปคุกกี้ จะอร่อย…! หากไม่อร่อย อาจจะเป็นเพราะไม่ใช่ขนม แต่เป็น Cookies ที่เป็นไฟล์ขนาดเล็กทำหน้าที่เก็บข้อมูล มีวัตถุประสงค์การใช้งานเฉพาะด้านหรือทำงานที่เฉพาะเจาะจง ซึ่งแบ่งประเภทได้ ดังนี้
- Necessary Cookies เป็นประเภทที่มีความสำคัญต่อการทำงานของเว็บไซต์ และช่วยให้การใช้งานเว็บมีความปลอดภัย
- Analytical/Performance Cookies ใช้สำหรับการประมวลผลหรือการวัดผลการเข้ารับชมเว็บไซต์ อาทิ Google Analytics ที่แทบทุกเว็บไซต์นำข้อมูลไปปรับปรุงการใช้งานเว็บไซต์ หรือใช้ประโยชน์ต่อในเชิงด้านการตลาด
- Functionality Cookies เรียกว่าเป็นคุกกี้ส่วนตัวก็ได้ เพราะมีหน้าที่ในการจดจำและบันทึกสิ่งที่เราทำในการใช้งานเว็บไซต์ เช่น การปรับแต่ง การตั้งค่าการใช้งานต่าง ๆ การจดจำรหัสผ่าน เป็นต้น
- Targeting Cookies หรือ Advertising Cookies เคยเห็นโฆษณาขายสินค้าที่เราเพิ่งสืบค้นอยู่ ๆ ก็เด้งมาในหน้าเว็บที่เราเปิดหรือไม่ สิ่งนี้เกิดจากคุกกี้แสนรู้ที่ไม่เพียงมีการจดจำและบันทึกข้อมูลการใช้งาน ยังมีความสามารถในการ ‘สรรหา’ สิ่งที่คิดว่าเราชอบมานำเสนอให้ตรงใจเราได้อีกด้วยเพราะนี่คือคุกกี้โฆษณา บางท่านอาจชอบ บางท่านก็เหนื่อยหน่ายกับคุกกี้แบบนี้มาก
- Social Media Cookies เป็นคุกกี้เชื่อมโยงเว็บไซต์กับโซเชียลมีเดีย ช่วยให้การมีปฏิสัมพันธ์กับโซเชียลมีเดียจากบนเว็บไซต์สะดวกขึ้น
อาจเปรียบได้ว่า เว็บไซต์เป็นสถานประกอบการ หากเราเข้าไปใช้งานจะมีระบบแจ้งให้เจ้าของสถานที่ทราบว่ามีใครเข้ามา ได้ใช้งานอะไรบ้าง โดยจะมีการบันทึกและจัดเก็บข้อมูลผ่านอินเทอร์เน็ตเบราว์เซอร์ ข้อมูลที่มีการจัดเก็บ อาทิ ข้อมูลส่วนตัวที่ลงทะเบียนกับเว็บไซต์ IP Address วัน เวลาที่ใช้งาน รหัสผ่าน เข้าชมหน้าเว็บไซต์ไหนบ้าง คลิกปุ่มไหนบ้าง การชำระเงินผ่าน E-payment หรือจะบอกว่า ทุกอย่างที่เราทำข้อมูลเหล่านั้นจะมีการจัดเก็บและนำไปสู่การประมวลผลเพื่อประโยชน์ในกิจกรรมต่างๆ
ที่น่าขำ คือ ก่อนหน้านี้ก็ไม่เคยมีใครบอกเราว่ามีการเก็บข้อมูล เก็บไปทำไม ไปใช้อะไร และจะลบให้เมื่อไหร่ ?
เว็บไซต์เก็บข้อมูลโดยไม่บอกกล่าวไม่ได้แล้ว
ภายใต้กฎหมาย PDPA ตามที่ระบุข้างต้นระบุชัดว่า ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ต้องมีการจัดทำ ‘Consent’ อธิบายง่ายๆ คือการจะเก็บข้อมูลใคร ก็ต้องขอความยินยอมจากบุคคลนั้นก่อนทุกครั้ง ในส่วนของเว็บไซต์ กรณีที่เห็นได้ชัดเจนคือ ที่ผ่านมาเว็บไซต์มี Pop up ที่เป็นนโยบายการจัดเก็บคุกกี้ ชี้แจ้งไว้อย่างละเอียดว่าได้มีการจัดเก็บ หรือรวบรวม และนำข้อมูลนั้นไปใช้เพื่ออะไรบ้าง ซึ่งเจ้าของข้อมูลสามารถยินยอม ไม่ยินยอม หรือยินยอมให้จัดเก็บข้อมูลบางส่วนเพื่อกิจกรรมบางอย่างก็ได้เช่นกัน
เว็บไซต์ไหนบ้างที่เข้าข่ายต้องขอ ‘Cookie Consent’
กฎหมาย PDPA มาตรา 5 ระบุว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หรือผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งอยู่ในราชอาณาจักร ไม่ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยนั้น ได้กระทำในหรือนอกราชอาณาจักรก็ตาม ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่นอกราชอาณาจักร พระราชบัญญัตินี้ให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล ส่วนบุคคลซึ่งอยู่ในราชอาณาจักรโดยการดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผล ข้อมูลส่วนบุคคลดังกล่าว เมื่อเป็นกิจกรรม ดังนี้
1.การเสนอสินค้าหรือบริการให้แก่เจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าจะมีการชำระเงินของเจ้าของข้อมูลส่วนบุคคลหรือไม่ก็ตาม
2.การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักร
สำหรับ Page Facebook, Facebook Group, IG และ Twitter ซึ่งเป็นผู้ให้บริการจากต่างชาติ แต่บริษัทก็ได้มีการจัดทำนโยบายและการขอความยินยอมจากผู้ใช้แล้ว ดังนั้นเคสเจ้าของเพจ หรือ User ที่มีผู้ติดตามจำนวนมากไม่จำเป็นต้องขอความยินยอมซ้ำอีก นอกเหนือจากการเก็บข้อมูลที่ไม่อยู่ในอำนาจ หรือนโยบายของผู้ให้บริการหลัก
ส่วนเว็บไซต์อื่น ๆ ทั่วไป ทั้งในฐานะผู้ให้บริการ และเป็นผู้ควบคุมข้อมูลส่วนบุคคล ที่มีการรวบรวม ใช้ และเผยแพร่ ตลอดจนถึงผู้ประมวลผล หากมีการเก็บรวบรวม ใช้และเผยแพร่ จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
หมายความว่า : กฎหมายระบุถึงการรวบรวม ใช้ และเผยแพร่ หากเว็บไซต์ใดที่เข้าข่ายมีกิจกรรมดังกล่าวย่อมต้องขอความยินยอม และเป็นสาเหตุว่าทำไมเราจึงเห็น Cookie Consent เด้งขึ้นมาบนหน้าเว็บไซต์อย่างที่อธิบายในข้างต้น สิ่งเหล่านี้มีวัตถุประสงค์ก็เพื่อคุ้มครองข้อมูลส่วนบุคคลเป็นสำคัญ ทั้งยังมีรายละเอียดปลีกย่อยที่ธุรกิจจะต้องศึกษาและทำความเข้าใจโดยละเอียด
Cookie Policy นโยบายคุกกี้ที่เจ้าของเว็บไซต์ต้องทำไว้
แน่นอนว่าหากเว็บไซต์มีการเก็บคุกกี้ นอกจากจะต้องขอ Cookie Consent ที่ผู้ควบคุมข้อมูลจะต้องทำแล้ว เว็บไซต์ในทุกวันนี้ยังต้องทำ Cookie Policy นโยบายคุกกี้ที่ถูกจัดทำขึ้นเพื่อแจ้งเจ้าของข้อมูลส่วนบุคคลทราบเกี่ยวกับคุกกี้ที่เว็บไซต์ได้ใช้ เพื่อประโยชน์ด้านใดบ้าง เก็บและไม่เก็บอะไรบ้าง นำข้อมูลใดไปใช้ โอนถ่ายข้อมูล หรือส่งต่อข้อมูลไปที่ใดอีกบ้าง ซึ่งมักจะทำในรูปแบบเอกสารชี้แจงที่เข้าถึงได้ในเว็บไซต์เพื่อให้สอดคล้องกับกฎหมาย PDPA ที่จะบังคับใช้อย่างเป็นทางการในเร็วๆ นี้
อย่างไรก็ตาม ในมุมของเว็บไซต์และแพลตฟอร์มให้บริการในรูปแบบออนไลน์ยังมีอีกหลายมิติที่เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เจ้าของเว็บไซต์ ตลอดจนภาคธุรกิจจะต้องศึกษา ทำความเข้าใจ เพื่อให้สามารถปฏิบัติตามกฎหมายใหม่ฉบับนี้ได้อย่างไม่มีความเสี่ยงใดๆ ซ่อนอยู่
