“ถ้าสินค้านั้นฟรี คุณก็คือสินค้า” คำกล่าวติดตลกของนักการตลาดที่ไม่ได้ตลกเลยซักนิดเดียว ทำนองเดียวกับตรรกะทางเศรษฐศาสตร์ที่ว่า “โลกนี้ไม่มีอะไรฟรี แม้แต่อากาศที่คุณกำลังหายใจ”

ข้อเท็จจริงเชิงเปรียบเทียบในลักษณะนี้เรามักพบเจอได้ในกิจกรรมทางการตลาดและส่งเสริมการขายในช่วงที่ผ่านมา ซึ่งมีการนำข้อมูลบุคคลมารวบรวม และวิเคราะห์เพื่อการขายสินค้าหรือบริการ แต่เมื่อทั่วโลกมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค และประเทศไทยกำลังบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมาย PDPA ข้อมูลส่วนบุคคลก็เป็นเพียงแค่สิ่งที่สามารถ ‘ยืมใช้’ อย่างระมัดระวังเท่านั้น

เรื่องนี้ อาจมองว่าเป็น ‘ตลกร้าย’ สำหรับนักการตลาดที่แต่เดิมข้อมูลส่วนบุคคลที่นำมาใช้กันราวเป็น ‘ของฟรี’ ผ่านการทำแคมเปญต่างๆ เพื่อค้นหา Customer Journey หรือ เส้นทางของผู้บริโภคตั้งแต่ก่อนจะเป็นลูกค้า จนนำไปสู่การตัดสินใจซื้อสินค้าหรือใช้บริการ รวมถึงกลับมาซื้อสินค้าหรือใช้บริการนั้นซ้ำ ๆ โดยการรวบรวมข้อมูลลูกค้า นำมาวิเคราะห์พฤติกรรมและความต้องการของลูกค้า ที่เรียกว่า Behavior Marketing แต่ทราบหรือไม่ว่า คุณอาจกำลังทำผิดกฎหมาย PDPA อยู่ !!

เพราะภายใต้กฎหมาย PDPA ข้อมูลส่วนบุคคลเป็นสิทธิที่ได้รับความคุ้มครองตามกฎหมาย และเป็นสิทธิของบุคคลนั้นๆ ในการจะยินยอม หรือไม่ยินยอมให้ใช้ข้อมูล รวมถึงสิทธิการขอให้แก้ไข ระงับ ถ่ายโอน หรือเพิงถอนไม่ให้นำข้อมูลไปใช้ในกิจกรรมทางการตลาดก็ได้ และเป็นสิทธิที่ผู้บริโภคในปัจจุบันเข้าใจเรื่องเหล่านี้ดีเลยทีเดียว

 

ดังนั้น รูปแบบการทำ Behavior Marketing จะต้องปรับเปลี่ยนไปตามบริบทของกฎหมาย คำถามคือ แล้วจะต้องทำอย่างไรเพื่อไม่ให้ผิดกฎหมาย PDPA ?

 

3 สิ่งที่การตลาดแบบ Behavior Marketing ต้องใส่ใจกฎหมาย PDPA

ภายใต้การบังคับใช้กฎหมายคุ้มครองข้อมูลผู้บริโภคที่ทั่วโลกต้องดำเนินการ คือ ต้องการมีแนวทางในการใช้ข้อมูลส่วนบุคคลของลูกค้าเพื่อการขาย ส่งเสริมการขายและบริการแก่ลูกค้าอย่างเป็นธรรม และปลอดภัย อันประกอบด้วย

1. การรักษาความลับของข้อมูลลูกค้า (Confidentiality) ตลอดจนจำกัดการเข้าถึงข้อมูลเพื่อปกป้องสิทธิความเป็นส่วนตัวของลูกค้า

2. ความถูกต้องและสมบูรณ์ของข้อมูล (Integrity) รวมถึงการป้องกันการดัดแปลง นำไปใช้ผิดวัตถุประสงค์หรือไม่เหมาะสม เพื่อให้ลูกค้าเกิดความมั่นใจ

3. ความพร้อมของข้อมูล (Availability) โดยลูกค้าสามารถเข้าถึงข้อมูลส่วนบุคคลได้ในเวลาที่ต้องการ ตลอดจนสามารถขอให้แก้ไข ถ่ายโอน ระงับหรือเพิกถอนการเก็บ รวบรวมใช้หรือเปิดเผย

 

แนะวิธีบริหารความเสี่ยงสำหรับกิจกรรมทางการตลาด

นอกจากหลักความเป็นธรรมและปลอดภัย การตลาดควรมีแนวทางในการบริหารและจัดการความเสี่ยงของข้อมูลลูกค้าอย่างเหมาะสม โดยวิธีการ ‘จำแนกข้อมูลตามระดับความเสี่ยงและผลกระทบ’ ที่อาจจะเกิดขึ้นแก่องค์กร หรือแคมเปญการตลาดต่างๆ ว่า หากเกิดการละเมิดจะมีการรับมืออย่างไร

โดยมีการแบ่งระดับข้อมูลลูกค้าเป็น 3 ระดับ คือ เสี่ยงต่ำ ปานกลาง และเสี่ยงสูง หรืออาจจำแนกได้มากกว่า หรือละเอียดกว่านี้ ก็ขึ้นอยู่กับแต่ละองค์กร หรือประเภทของข้อมูลและการใช้งาน อาทิ แคมเปญที่ต้องใช้ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive data) ต่าง ๆ หรือข้อมูลเด็กที่ยังไม่บรรลุนิติภาวะ บุคคลไร้ความสามารถหรือเสมือนไร้ความสามารถ เป็นต้น

ด้วยเหตุนี้ จึงไม่เพียงมีการจัดลำดับของประเภทของข้อมูลลูกค้า นักการตลาดยังจะต้องมีการจัดทำแบบ ประเมินผลกระทบ หรือแนวโน้มที่อาจเกิดขึ้นจากการถูกละเมิดความปลอดภัยของข้อมูลส่วนบุคคลในกิจกรรมด้านการตลาดรูปแบบต่าง ๆ

โดยเฉพาะอย่างยิ่งการทำ Behavior Marketing ที่มีการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลลูกค้า ที่โดยส่วนใหญ่จะมีลักษณะการเก็บและใช้ข้อมูลที่ไม่เพียงแต่ข้อมูลทั่วไป คือ ชื่อ ที่อยู่ เบอร์โทร อายุ แต่ยังรวมถึงข้อมูลด้านพฤติกรรมและความสนใจ โดยสามารถดำเนินการได้โดยใช้หลักเกณฑ์ จาก

• ความสามารถในการระบุตัวบุคคลไม่ว่าจะเป็นทางตรง หรือทางอ้อมที่อาจจะกระทบต่อลูกค้า
• ปริมาณของข้อมูลลูกค้าที่มีการจัดเก็บ อาจจะต้องดูที่ความ ‘จำเป็น’ ในการเก็บใช้ข้อมูล
• ความอ่อนไหวตามประเภทของข้อมูล อาทิ ข้อมูลส่วนบุคคลอ่อนไหว และข้อมูลเด็กที่ต้องระมัดระวังเป็นพิเศษ

 

อย่างไรก็ตาม การบริหารความเสี่ยงสำหรับการตลาดแบบ Behavior Marketing จึงยังต้องดูทั้ง ‘ก่อนใช้’ และ ‘หลังใช้งาน’ คือผลกระทบที่อาจจะเกิดขึ้นจากการใช้งานข้อมูลส่วนบุคคล ซึ่งหากมองโดยหลักการ ข้อมูลส่วนบุคคลเพื่อกิจกรรมด้านการตลาดจะมีการเก็บ รวมรวมใช้ หรือเปิดเผย จะต้องมีการสร้างแบบฟอร์มขอความยินยอม (Consent) และต้องระบุวัตถุประสงค์ในการใช้งานข้อมูลส่วนบุคคลโดยชัดเจน และไม่นำข้อมูลไปใช้ผิดไปจากวัตถุประสงค์เดิม

ตรงนี้ นักการตลาด หรือเจ้าของธุรกิจอาจจะตั้งข้อสังเกตได้ว่า หากจะต้องทำแคมเปญการตลาดเดือนละ 10 แคมเปญ จะต้องมีการขอความยินยอมจากเจ้าของข้อมูลทุกแคมเปญหรือไม่ ?

คำตอบของเรื่องนี้ แม้จะค่อนข้างละเอียดอ่อน แต่หากให้อ้างอิงตามกฎหมาย PDPA ที่กำลังจะบังคับใช้ในวันที่ 1 มิถุนายน นี้ ก็คงจะต้องบอกว่า ยังเป็นกฎหมายที่มีรายละเอียดที่ ‘ดิ้นได้’

จากประเด็นนี้ แบบฟอร์มขอความยินยอมจากลูกค้าเพื่อเก็บใช้หรือเปิดเผย ข้อมูลลูกค้าสำหรับกิจกรรมทางการตลาด ก็อาจจะสามารถกำหนดเป็นวัตถุประสงค์ ‘กว้าง ๆ ’ ไว้ก่อน แต่ควรระมัดระวังการใช้งานเพื่อไม่ให้เป็นการละเมิดสิทธิที่อาจจะทำให้เกิดการรบกวน สร้างความรำคาญ หรือส่งผลกระทบต่อชื่อเสี่ยง จิตใจ หรือสร้างความขัดแย้งอันจะนำไปสู่การฟ้องร้องดำเนินคดีตามกฎหมาย PDPA

 

7 ฐานความยินยอมที่การตลาดประมวลผลข้อมูลลูกค้าได้

จากรูปแบบของการทำการตลาดแบบ Behavior Marketing ยังสามารถประมวลผลข้อมูลส่วนบุคคลลูกค้าตามฐานกฎหมาย โดยมี 7 ฐานที่การตลาดควรรู้ คือ

1. ฐานตามสัญญา (Contract) เป็นการประมวลผลข้อมูลที่ไม่ต้องขอความยินยอมเนื่องจากการปฏิบัติตามสัญญา โดยในทางการตลาดการจะสามารถกำหนดสามารถทำได้ทั้งที่เป็นลายลักษณ์อักษรหรือไม่ก็ได้ อาทิ ฐานสัญญาจากลูกค้าที่ใช้บริการฟิตเนสที่สามารถนำมาประมวลผลเพื่อการตลาดหรือบริการภายในฟิตเนสได้

2. ฐานหน้าที่ตามกฎหมาย (Legal Obligation) เป็นฐานที่จะใช้ได้ก็ต่อเมื่อกฎหมาย PDPA หรือกฎหมายอื่นๆ อนุญาตให้ทำได้ ฐานนี้สำหรับ Behavior Marketing จะมีความเกี่ยวโยงกับฐานสำดับต่อไป

3. ฐานประโยชน์อันชอบธรรม (Legitimate Interest) นับเป็นฐานที่ยืดหยุ่นและอาจจะเป็นประโยชน์สำหรับ Behavior Marketing หากผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลสามารถระบุได้ว่า เป็นประโยชน์อันชอบธรรม ‘สมเหตุสมผล’ ในการประมวลผลข้อมูลส่วนบุคคล ทั้งมีผลกระทบต่อความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลเพียงเล็กน้อย และอาจจะต้องอ้างอิงตามฐานกฎหมาย โดยเรื่องนี้นักการตลาดจะต้องปรึกษานักกฎหมายในองค์กรก่อนจะใช้ฐานนี้

4. ฐานจดหมายเหตุ วิจัย สถิติ (Scientific or Research) สำหรับการตลาดแบบ Behavior Marketing อาจจะหมายถึงการทำวิจัยการตลาดที่เป็นประโยชน์สาธารณะ และปฏิบัติตามกฎหมาย

5.ฐานภารกิจของรัฐ (Public Task) การประมวลผลที่จำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์แก่รัฐ หรือรัฐเป็นผู้ให้ดำเนินการ

6. ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest) กรณีนี้ คำว่า ‘สำคัญต่อชีวิต’ อาจจะตีความสำหรับการตลาดในแง่มุมที่หลากหลาย ยกตัวอย่าง สถานบริการสุขภาพเอกชนอาจจะทำแคมเปญการตลาดในรูปแบบ Behavior Marketing ด้วยการประมวลผลข้อมูลส่วนบุคคลลุกค้าโดยไม่ต้องขอความยินยอมเพิ่มเติมได้ หากสามารถชี้แจงได้ว่า สิ่งนั้นมีประโยชน์ สำคัญต่อชีวิตของลูกค้า หรือลูกค้าไม่อยู่ในสภาพที่ให้ความยินยอมโดยวิธีปกติได้

7. ฐานความยินยอมจากเจ้าของข้อมูล (Consent) เป็นการให้ประมวลผลข้อมูลโดย ‘สมัครใจ’ จากเจ้าของข้อมูลส่วนบุคคล โดยแจ้งวัตถุประสงค์ชัดเจนตามที่ระบุไว้ในตอนต้น

อย่างไรก็ตาม ข้อมูลที่นำมากล่าวอ้างเหล่านี้ ส่วนใหญ่ยังเป็นแค่ ‘ทฤษฎี’ ซึ่งในเร็วๆ นี้กฎหมาย PDPA จะบังคับใช้อย่างเป็นทางการ ดังนั้นการทำกิจกรรมด้านการตลาดและส่งเสริมการขายในลักษณะต่าง ๆ ที่มีการประมวลผลข้อมูลลูกค้า จะต้องมีความระมัดระวัง และเป็นไปได้ว่าจะเกิดเป็นต้นทุนที่เพิ่มขึ้นด้วย

ซึ่งอย่างที่บอกในข้างต้น ‘โลกนี้ไม่มีอะไรที่ฟรี’ แต่ก็เป็นสิ่งที่จำเป็นเพื่อให้เป็นไปตามหลักปฏิบัติสากล เจ้าของธุรกิจอาจจะพิจารณาจ้างผู้เชี่ยวชาญในด้านนี้คอยให้คำปรึกษา หรือแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล(DPO)ในองค์กรเพื่อป้องกันความเสี่ยงการละเมิดที่อาจจะเกิดขึ้นในอนาคต