ไม่ว่าจะขายแบบตรง กิจกรรมส่งเสริมการขาย และการตลาด ‘ข้อมูลบุคคล’ มักจะเป็นวัตถุดิบชั้นเลิศในการที่ Sale และ Marketing นำมาประมวลผลและวิเคราะห์เพื่อสร้างความเข้าอกเข้าใจลูกค้า หรือถึงขนาด ‘รู้ใจ’ ว่าผู้บริโภคที่เป็นกลุ่มเป้าหมายต้องการอะไร เวลาไหน แม้กระทั่งต้องการซื้อผ่านช่องทางไหนสะดวกที่สุด แถมยังทำให้ผู้ซื้อสินค้าหรือบริการยังรู้สึกว่า สิ่งเหล่านั้นเป็นบริการที่ผู้ขายปรับแต่งขึ้นเพื่อเราโดยเฉพาะ ซึ่งวิธีการนี้ในวงการนักขายและการตลาดเรียกว่า การตลาดส่วนบุคคล (Personalized Marketing) แต่ถ้าเป็น CEO ก็มักจะบอกว่านี่คือ Data Driven Marketing

แต่จะเรียกอะไรก็ช่างเถอะ! ผลที่เกิดขึ้นจากกิจกรรมทางการขายและการตลาด ที่นำมาซึ่งยอดขายสินค้าหรือบริการที่มากมาย เคล็ดลับส่วนใหญ่ก็ล้วนเกิดจากสิ่งที่เรียกว่า ‘Big Data’ ซึ่งตลอดหลายปีที่ผ่านมามีความหมายอย่างมากต่อทุกองค์กร แต่ในทางกลับกัน ดูเหมือนว่ากิจกรรมด้านการขายและการตลาดก็มักจะรุกล้ำเกินเส้นแบ่งของความเป็นส่วนตัวของลูกค้ามากทุกขณะ

ด้วยประเด็นนี้ ทั่วโลกจึงเกิดความตื่นตัวว่า ‘ข้อมูลส่วนบุคคล’ ไม่ใช่ใครก็จะมาเก็บไปใช้ได้โดยง่าย และอาจนำไปสู่การณ์ละเมิดสิทธิที่ร้ายแรงได้ ดังนั้นกฎหมายคุ้มครองข้อมูลส่วนบุคคลจึงเกิดขึ้น ขณะที่ในประเทศไทยก็มีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) ที่บังคับใช้อย่างเป็นทางการในวันที่ 1 มิถุนายน พ.ศ.2565 เป็นที่เรียบร้อย

เหตุนี้ การใช้ประโยชน์จากข้อมูลส่วนบุคคลเพื่อหวังผลด้านยอดขายและตลาด อาทิ การทดสอบเพื่อวัดผลลัพธ์ การสำรวจและวิเคราะห์ประสบการณ์ของลูกค้า การนำข้อมูลพฤติกรรมของลูกค้าที่มีต่อเว็บไซต์มาปรับปรุงเพื่อออกแบบผลิตภัณฑ์หรือบริการให้ตรงตามพฤติกรรมของลูกค้ามากที่สุด สิ่งเหล่านี้อาจจะต้อง ‘ระมัดระวัง’ มากขึ้น

แต่ไม่ได้หมายความว่า นักการตลาดจะไม่สามารถนำ ‘ข้อมูลลูกค้า’ มาประมวลผลเพื่อกิจกรรมด้านการตลาดและส่งเสริมการขายได้อีก เพียงแต่ต้องปฏิบัติให้ถูกต้อง ตลอดจนต้องทำความเข้าใจเรื่องกฎหมาย PDPA ในเชิงรุก ทั้งความเข้าใจในสาระสำคัญของกฎหมาย และการปรับรูปแบบการนำข้อมูลลูกค้ามาใช้ประโยชน์ ด้วย 5 รายการเชิงทุกที่ทีมของตลาดของทุกบริษัท สามารถปรับใช้ได้อย่างเหมาะสม โดยมีขั้นตอนดังนี้

1. แต่งตั้งที่ปรึกษาเรื่อง PDPA ภายในทีมการตลาดเพื่อตรวจสอบขั้นตอนการจัดการข้อมูล

ความรู้เป็นสิ่งที่ร่ำเรียนกันได้ แต่ความถนัดจัดเจนของแต่ละคนย่อมไม่อาจเรียนหรือสอนกันเพียงไม่กี่วัน ดังนั้นไม่ใช่เรื่องแปลกแต่อย่างใดที่ทีมการตลาดจะยังไม่เข้าใจเรื่องกฎหมาย PDPA มากพอ

ด้วยเหตุนี้ สิ่งแรกที่เราอยากแนะนำให้ทุกบริษัททำ คือ การแต่งตั้งที่ปรึกษาในเรื่องกฎหมาย PDPA เพื่อสนับสนุนทีมการตลาดในการดูแลและจัดการข้อมูลในส่วนของกิจกรรมด้านการตลาดและส่งเสริมการขายในบริษัท หรือ (ถ้ามี) การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) ก็จะเป็นเรื่องดีที่สุด เพื่อตรวจสอบข้อมูลส่วนบุคคลต่างๆ ก่อนอนุมัติแคมเปญการตลาดขององค์กรอย่างละเอียดถี่ถ้วน เพื่อให้เป็นไปตามขั้นตอนที่ถูกต้องและสอดคล้องกับกฎหมาย เรียกว่าการมี DPO จึงเป็นเกราะป้องกันชั้นดี โดย DPO จะต้องมีคุณสมบัติที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลให้การรับรอง และเป็นตำแหน่งที่กฎหมายคุ้มครอง

ถึงอย่างนั้น หัวหน้าทีมฝ่ายขายและการตลอดเอง จะต้องมีความเข้าใจเรื่องกฎหมายข้อมูลส่วนบุคคลในระดับหนึ่ง และควรตรวจสอบให้แน่ใจว่าสมาชิกในทีมแต่ละคนเข้าใจถึงผลที่อาจเกิดขึ้นหากไม่ปฏิบัติตามข้อบังคับของกฎหมาย PDPA

2. สำรวจข้อมูลส่วนบุคคลที่มีอยู่ และรวบรวมเพื่อดำเนินการขอความยินยอม

สิ่งสำคัญ คือ ในทีมฝ่ายขายและการตลาดจะต้องรู้ก่อนว่า มีทรัพยากรที่เป็นข้อมูลส่วนบุคคลภายในบริษัทมีการจัดเก็บไว้เท่าไหร่ เก็บในรูปแบบไหน และนำมาจัดแบ่งตามวัตถุประสงค์ในการใช้งาน โดยหัวหน้าทีมสามารถสร้างเป็นคลังข้อมูลเฉพาะ เพื่อดำเนินการใน 2 เรื่องสำคัญ คือ สร้างแบบฟอร์มเพื่อการขอความยินยอมอย่างชัดแจ้งในการเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลของลูกค้า และเรื่องที่สองคือการสร้างระบบ หรือกระบวนการในการบันทึกและจัดเก็บข้อมูลที่มีความปลอดภัย

อย่างไรก็ตาม สำหรับบางธุรกิจที่มีการเก็บข้อมูลเด็ก ผู้ที่ยังไม่บรรลุนิติภาวะ ผู้พิการ บุคคลไร้ความสามารถ หรือเสมือนไร้ความสามารถ จำเป็นจะต้องสร้างกระบวนการตรวจสอบอย่างละเอียด เช่น อายุ สถานะภาพ ความยินยอมจากผู้ปกครองตามกฎหมาย เพื่อป้องกันการละเมิดหรือเหตุการณ์ฟ้องร้องในภายหลัง

3. แบ่งประเภทข้อมูลส่วนบุคคล เพื่อเป้าหมายการขายหรือการตลาดเฉพาะด้าน

เป็นเรื่องล้าสมัยไปแล้วกับการทำการตลาดแบบ ‘หว่านแห’ ด้วยเหตุนี้เอง ข้อมูลของฝ่ายขายและการตลาดภายในทีมที่ไม่เพียงจะต้องจัดแบ่งตามประเภทของข้อมูล วัตถุประสงค์ในการใช้ข้อมูล แต่ยังรวมถึงต้องแบ่งกลุ่มของข้อมูลเพื่อการนำไปใช้ประโยชน์ในบางกิจกรรม เช่น แบ่งข้อมูลส่วนบุคคลลูกค้าตามกลุ่มผลิตภัณฑ์ หรือบริการ แบ่งตามสถานะภาพ รายได้ อายุ หรือจะแบ่งเป็นแคมเปญอย่างไรก็ได้ แต่ควรมีการจัดสรรเป็นกลุ่มข้อมูลที่มี ‘ความเฉพาะเจาะจง’ ซึ่งยังมีประโยชน์อีกด้าน คือ ทำให้การทำแคมเปญต่างๆ มีความแม่นยำและได้ผลลัพธ์ตรงตามวัตถุประสงค์มากขึ้น

และสำหรับมุมมองด้านกฎหมาย PDPA ยังมีข้อดีอีกประการ คือทำให้กระบวนการเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลเป็นไปตามวัตถุประสงค์ของการขายและการตลาดอย่างแท้จริง ‘ไม่สะเปะสะปะ’ อันนำไปสู่การทำบันทีกรายการข้อมูลส่วนบุคคลได้อีกด้วย

4. อัพเดตข้อมูลส่วนบุคคล และความยินยอมอยู่เสมอ

กฎหมาย PDPA ไม่เพียงให้สิทธิแก่เจ้าของข้อมูลส่วนบุคคล หากนำไปใช้ต้องขอความยินยอม แต่ยังระบุถึงสิทธิในการไม่ยินยอม การเพิกถอน การเข้าถึงและขอสำเนา การขอแก้ไขข้อมูล การถ่ายโอนข้อมูล หรือแม้แต่สิทธิในการคัดค้าน ให้ลบหรือทำลายข้อมูล ด้วยเหตุนี้ ‘สถานะ’ การยินยอมของข้อมูลส่วนบุคคลจึงต้องมีการ ‘อัพเดตอยู่เสมอ’ ซึ่งหัวหน้าทีมจะต้องหมั่นตรวจสอบเรื่องเหล่านี้ในเชิงรุกสำหรับทุกแคมเปญ

5.ออกแบบแผนและซักซ้อมการละเมิดข้อมูลส่วนบุคคลภายในทีม

PDPA กำหนดให้องค์กรต้องรายงานการละเมิดข้อมูลไม่เกิน72 ชั่วโมงหลังจากที่องค์กรรับทราบถึงการละเมิด ดังนั้น DPO (ถ้ามี) จะต้องดำเนินการในเรื่องนี้ รวมถึงการวางมาตรการและขั้นตอนในการป้องกันการละเมิด แต่หากไม่มี DPO หัวหน้าทีมฝ่ายขายและการตลาดอาจจะต้องเป็นผู้รับผิดชอบ ‘เบื้องต้น’ ในบทบาทนี้

โดยเริ่มจากการสร้างความเข้าใจเรื่อง PDPA ภายในทีม ทั้งตรวจสอบให้แน่ใจว่าลูกทีมเข้าใจเรื่อง PDPA และการละเมิดเป็นอย่างดี เช่น หากเกิดการละเมิดข้อมูลลูกค้าขึ้น หรือมีข้อมูลรั่วไหลอันอาจนำไปสู่การละเมิด ภายในทีมจะต้องมีแนวปฏิบัติที่ตรงกัน เช่น หากมีการร้องเรียน การขอให้ระงับการเก็บหรือเปิดเผยข้อมูลส่วนบุคคล หรือหากเกิดเหตุการณ์แจ้งละเมิดจะต้องปฏิบัติอย่างไร แจ้งให้ใครทราบ ตลอดจนมีการกำหนดช่องทางการสื่อสารที่เหมาะสมไว้เฉพาะเรื่องนี้ เพื่อให้การดำเนินการเป็นไปอย่างรวดเร็วทันต่อสถานการณ์

ทั้ง 5 รายการ ที่เราแนะและอยากให้ทำเหล่านี้ ไม่เพียงเป็นการป้องกัน และสามารถแก้สถานการณ์เหตุละเมิดในเชิงรุก แต่ยังทำให้ทีมฝ่ายขายและการตลาดในองค์กรได้ตระหนักและเข้าใจถึงความสำคัญของการปฏิบัติให้ถูกต้องตามกฎหมาย PDPA แถมยังสามารถสร้างความเข้าอกเข้าใจ เป็นมิตรไมตรีระหว่างบริษัทกับลูกค้าได้อีกด้วย

กระนั้น กฎหมายข้อมูลส่วนบุคคล ซึ่งแน่นอนว่าย่อมหมายถึง ‘ทุกคน’ ด้วยเหตุนี้ ยังมีประเด็นเรื่องการเก็บข้อมูลคู่ค้า กรรมการ ผู้ถือหุ้น ที่อาจมีการส่งต่อหรือถ่ายโอนข้อมูลไปให้บุคคลที่สาม ตลอดจนข้อมูลยิบย่อยต่างๆ ที่ทั้งทีมตลาด ทีมขาย ทีมบริหารงานลูกค้า (AE) มีการเก็บ รวบรวมใช้ หรือเปิดเผย จะต้องมีการปฏิบัติให้ถูกต้องตามกฎหมาย PDPA โดยจะมีการแจกแจงเรื่องที่คุณควรรู้ในบทความถัดไป