เคยหรือไม่ที่คุณท่องเว็บไซต์ขายของออนไลน์ แล้วทำไมของแต่ละชิ้นที่ขึ้นมานำเสนอคุณในหน้าแรกของเว็บไซต์ช่างแปลกประหลาดและเป็นสินค้าที่คุณไม่เคยนึกจะซื้อมาก่อนเลย อ่าว… เมื่อมาดูที่บัญชีผู้ใช้กลับพบว่าเป็นของเพื่อนที่มายืมเครื่องคอมพิวเตอร์ของคุณใช้เมื่อก่อนหน้านี้นี่เอง คุณจึงจัดการสับเปลี่ยนโดยใช้บัญชีของคุณเอง Log in เข้าไปแทนที่ คราวนี้พบว่าสินค้าที่แนะนำเสนอขายให้กับคุณตรงใจมากขึ้น และทำให้คุณอยากได้สินค้าหลายชิ้น ปรากฎการณ์ในลักษณะนี้เกิดขึ้นมาจากการทำการตลาดส่วนบุคคลของเว็บไซต์ดังกล่าวนั่นเอง การทำการตลาดส่วนบุคคล (Personalized Marketing) หรือเรียกอีกอย่างหนึ่งว่า One-to-One Marketing หรือ Individual Marketing เป็นแนวคิดการทำการตลาดยุคดิจิทัล ที่พยายามนำเสนอสินค้าหรือบริการให้ตรงตามความต้องการของผู้บริโภคให้มากที่สุด โดยสินค้าและบริการที่นำเสนอให้กับแต่ละบุคคลไม่จำเป็นต้องเหมือนกันและมีความแตกต่างกันออกไป เพื่อสร้างประสบการณ์การใช้งานแพลตฟอร์มที่น่าประทับใจ จากการวิจัยพบว่า นักการตลาดจำนวนมากถึง 98% เห็นด้วยว่าการทำการตลาดส่วนบุคคลมีส่วนช่วยให้การพัฒนาความสัมพันธ์กับผู้บริโภค และเกือบ 90% กล่าวว่าผู้บริโภคเองก็คาดหวังการได้รับประสบการณ์อย่างเป็นส่วนตัวเช่นเดียวกัน ซึ่งความสัมพันธ์อันดีกับผู้บริโภคจะกลายเป็นแนวโน้มให้เกิดยอดขายหรือรายได้ของธุรกิจที่เพิ่มสูงขึ้นในลำดับถัดไป การทำการตลาดส่วนบุคคลอาจทำผ่านหลายกิจกรรม เช่น การนำเสนอสินค้าหรือบริการแก่บุคคลเป็นหน้าเว็บไซต์หรือแอปพลิเคชัน ฟังก์ชันแนะนำสินค้าใกล้เคียงกับที่คุณเคยค้นหา การส่งอีเมลเฉพาะบุคคล การสนทนาตอบคำถามและการเข้าถึงกลุ่มลูกค้าบนโซเชียลมีเดีย การยิงโฆษณาบนโซเชียลมีเดีย การยิงโฆษณาเพื่อย้ำเตือนกลุ่มบุคคลเดิม (Retargeting) ฯลฯ ซึ่งนักการตลาดจะสามารถทำกิจกรรมข้างต้นได้อย่างมีประสิทธิภาพ ผ่านการเก็บข้อมูลผู้ใช้งานบนดิจิทัลแพลตฟอร์ม แล้วนำมาวิเคราะห์เพื่อให้สามารถตอบโต้ได้ตรงตามความคาดหวังของแต่ละบุคคล โดยใช้เครื่องมืออัตโนมัติเป็นผู้ช่วย การทำการตลาดส่วนบุคคล คือแผนการตลาดทางธุรกิจซึ่งนำเสนอเนื้อหาเฉพาะไปยังแต่ละบุคคล ผ่านการเก็บข้อมูล การวิเคราะห์ข้อมูล…

เรียกได้ว่าส่งผลกระทบไปทั่วทุกวงการเลยก็ว่าได้ครับ สำหรับประเด็นเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย แม้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จะขยายเวลาบังคับใช้ออกไปอีก 1+1 ปี (บังคับใช้อย่างเต็มรูปแบบ 1 มิถุนายน 2565) แต่ก็ยังคงได้รับการพูดถึงในวงกว้างถึงการเตรียมตัวและการปฏิบัติตามกฎหมายในแต่ละบริบท ไม่เว้นแม้กระทั่งในวงการการศึกษา ซึ่งสถานศึกษาในเมืองไทยบางแห่งเริ่มออกมาเคลื่อนไหวด้าน การคุ้มครองข้อมูลส่วนบุคคลในสถานศึกษา กันแล้ว โดยคำนึงถึงการคุ้มครองข้อมูลส่วนบุคคลของผู้เรียนวัยเด็กตลอดจนวัยผู้ใหญ่เป็นสำคัญ “สถานศึกษา” ตามพระราชบัญญัติการศึกษาแห่งชาติ พ.ศ. 2542 หมายถึง หน่วยงานที่มีอำนาจหน้าที่หรือวัตถุประสงค์ในการจัดการศึกษา ทั้งภาครัฐและเอกชน ไม่ว่าจะเป็นโรงเรียน วิทยาลัย มหาวิทยาลัย มหาวิทยาลัยในกำกับ(ของรัฐ) ศูนย์การเรียนรู้ สถาบันฝึกอบรม สถาบันกวดวิชา ฯลฯ ต่างก็ต้องดำเนินการที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลทั้งสิ้น ไม่มากก็น้อย โดยมีวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล (ของผู้เรียน) เพื่อดำเนินกิจการโดยทั่วไป ตลอดจนใช้ประมวลผลเพื่อการตลาด หรือการประชาสัมพันธ์ ซึ่งมีความจำเป็นต้องมีนโยบายและมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม และ “ควร” ดำเนินการขอความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของผู้เรียนด้วย สถานศึกษาหลายแห่งจำเป็นต้องนำข้อมูลส่วนบุคคล (ของผู้เรียน) มาประมวลผล เพื่อการดำเนินกิจการทั่วไป การตลาด และการประชาสัมพันธ์ จึงควรมีนโยบายคุ้มครองข้อมูลส่วนบุคคล…

การคุ้มครองข้อมูลส่วนบุคคลเป็นประเด็นร้อนแรงอย่างต่อเนื่องในฝั่งยุโรป เห็นได้จากข่าวนี้ คุณยายคนหนึ่งในประเทศเนเธอร์แลนด์ถูกศาลสั่งให้ลบภาพถ่ายของหลานที่เธอโพสต์ลงบนเฟซบุ๊กและพินเทอเรสต์ (Pinterest) โดยไม่ได้รับอนุญาตจากพ่อแม่ของเด็ก (ตามกฎหมาย GDPR ระบุว่าเป็นผู้มีอำนาจที่จะให้ความยินยอมแทนเด็กที่มีอายุต่ำกว่า 13 ปี) พร้อมกับจ่ายค่าปรับ เรื่องราวนี้ถูกยื่นขึ้นฟ้องต่อศาลเมื่อคุณยายปฏิเสธที่จะลบรูปภาพถ่ายของหลานออกจากโซเชียลมีเดียตามคำเรียกร้องของลูกสาวแท้ ๆ ของเธอเองหลายต่อหลายครั้ง ปกติแล้ว GDPR จะไม่ได้มีขอบข่ายการคุ้มครองถึงการประมวลผลภายในครัวเรือน หรือกรณีส่วนตัวมาก ๆ แต่การโพสต์ลงโซเชียลมีเดียทำให้ภาพถ่ายของหลานดังกล่าวเปิดกว้างออกสู่สาธารณะและอาจตกไปอยู่ในมือของบุคคลสามที่เอาไปประมวลผลโดยมิชอบต่อไป และภาพถ่ายของหลานดังกล่าวมีลักษณะเป็นข้อมูลส่วนบุคคล ชนชาติตะวันตก (โดยเฉพาะชาวยุโรป) เห็นประเด็นเรื่องการคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องสำคัญ แม้แต่คุณยายแท้ ๆ ของหลานเองก็ไม่ละเว้น! สำหรับในเมืองไทยประเด็นเรื่องการคุ้มครองข้อมูลส่วนบุคคลอาจจะยังไม่ได้เห็นเป็นข่าวบ่อยครั้งนัก แต่การประกาศบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 อย่างเต็มรูปแบบ และการออกกฎเกณฑ์แนวทางการคุ้มครองข้อมูลส่วนบุคคลจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่กำลังตามมา จะทำให้เรื่องนี้เข้มข้นขึ้นอย่างแน่นอน แต่เอ … จากข่าวดังกล่าวจะสังเกตเห็นได้ว่า “ภาพถ่าย” ก็เป็น “ข้อมูลส่วนบุคคล” ที่ได้รับความคุ้มครองตามกฎหมายด้วย อย่างนี้การจะถ่ายภาพ/วิดีโอใคร (หรือติดใคร) และเอาไปใช้งาน เราจะต้องขอความยินยอมถ่ายภาพ/วิดีโอจากทุกคน ทุกครั้งไปหรือไม่ เรามาหาคำตอบกันครับ /*! elementor –…

ในมุมมองของเจ้าของข้อมูลส่วนบุคคล สิ่งแรก ๆ ที่จะทำให้เรารู้สึกปลอดภัยแล้วไว้ใจได้ว่าข้อมูลของเราจะได้รับการคุ้มครองอย่างแน่นอนเมื่อคลิกเข้าสู่เว็บไซต์ นั่นก็คือการมีกล่องข้อความเด้งขึ้นมาให้เรากดยอมรับการใช้งานคุกกี้ตลอดจนการคลิกอ่านต่อประกาศนโยบความเป็นส่วนตัว (Privacy Notice) บนหน้าเว็บ หากเว็บไซต์ไหนไม่มีทั้ง 2 อย่างนี้ เราอาจอนุมานไปก่อนได้เลยว่าเว็บไซต์และองค์กรที่เป็นเจ้าของเว็บไซต์นั้นไม่มีมาตรการคุ้มครองข้อมุลส่วนบุคคลที่เหมาะสม และรีบกดออกจากเว็บไซต์นั้นไปโดยไม่ย้อนกลับมาอีกเลย จะเห็นได้ว่า การไม่มีประกาศความเป็นส่วนตัวอาจทำให้องค์กรสูญเสีย Potential Customer หรือผู้มีแนวโน้มเป็นลูกค้าของคุณได้อย่างง่ายดาย กฎหมายคุ้มครองข้อมูลส่วนบุคคล ไม่ว่าจะเป็น GDPR ของยุโรป หรือ PDPA ของไทย ต่างมีหลักการคุ้มครองข้อมูลส่วนบุคคลที่คล้ายคลึงกัน โดยหลักความโปร่งใสและการแจ้งวัตถุประสงค์ของการประมวลผลข้อมูลแก่เจ้าของข้อมูลส่วนบุคคล เป็นหลักการพื้นฐานที่ “ประกาศความเป็นส่วนตัว” สามารถตอบโจทย์ได้ หากองค์กรใดมีการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้แจ้งถึงวัตถุประสงค์ ฐานทางกฎหมาย และมาตรการคุ้มครองข้อมูลส่วนบุคคลให้แก่เจ้าของข้อมุลส่วนบุคคลได้รับทราบก่อนหรือระหว่างการประมวลผล องค์กรอาจมีความผิดตามกฎหมายหากเกิดการฟ้องร้อง โดย PDPA มีบทลงโทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท โทษทางอาญา ระวางโทษจำคุกไม่เกิน 1 ปี หรือ/และปรับไม่เกิน 1 ล้านบาท และโทษทางแพ่ง…

การประกาศใช้ PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ทำให้หลาย ๆ องค์กรเริ่มลุกขึ้นมาดำเนินการด้านนี้กันแล้ว แต่คุณแน่ใจหรือยังว่าได้ดำเนินการคุ้มครองข้อมูลส่วนบุคคลอย่างสอดคล้องครบถ้วนกับตัวกฎหมายในทุกมิติ? เมื่อเกิดการละเมิด เช่น การรั่วไหลของข้อมูลและมีผู้เสียหาย หากหน่วยงานที่เกี่ยวข้องตรวจสอบแล้วพบว่าคุณดำเนินงานไม่ครบตามกฎหมายบัญญัติ อาจโดนระวางโทษปรับทางปกครองสูงถึง 5 ล้านบาท ต้องชดเชยค่าสินไหมทดแทน และอาจเล่นเอาผู้มีอำนาจในการควบคุมข้อมูลส่วนบุคคลขององค์กรติดคุกได้อีก 1 ปี คอนเฟิร์มความมั่นใจว่าทำตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ครบถ้วนแล้ว ด้วย Checklist นี้ได้เลย องค์กรของคุณจำเป็นต้องมี Data Protection Officer หรือไม่ และต้องไม่ลืมที่จะใส่รายละเอียดติดต่อ DPO (หรือทีมงาน) ลงในเอกสารหรือทุกช่องทางที่เกี่ยวกับข้อมูลส่วนบุคคล เลือกฐานทางกฎหมายสำหรับการประมวลผลข้อมูลแต่ละชุด หากไม่มีฐานฯ อื่นมารองรับ การประมวลผลข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล คุณทำ Consent Form แล้วหรือยัง จัดทำ Data Flow และอบรมบุคลากรให้สามารถกรอกเอกสารได้ เพื่อประโยชน์ด้านการปรับปรุงกระบวนการคุ้มครองข้อมูล และเป็นเอกสารแสดงให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลใช้ตรวจสอบ (Accountability)…

คำถามที่หลาย ๆ คนยังคงสงสัย … เริ่มต้นทำตาม PDPA ควรทำอย่างไร? หลังเรียนรู้เกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และแนวทางในการปฏิบัติตามกฎหมายฉบับนี้กันแล้ว [ภายใต้หลักสูตร PDPC] สิ่งที่คุณควรทำในลำดับถัดมาก็คือลงมือปฏิบัติให้เป็นรูปธรรม ด้วยการสำรวจข้อมูลภายในองค์กรของคุณว่ามีอยู่มากน้อยเพียงใด อยู่ตรงไหนบ้าง และสถานะของข้อมูลเหล่านั้นเป็นอย่างไรบ้าง? ผู้ควบคุมข้อมูลจะได้วางแผนและวางมาตรการในการจัดการคุ้มครองข้อมูลได้อย่างครอบคลุมและเหมาะสม ซึ่ง Data Map ก็คือเครื่องมือที่จะมาช่วยสนับสนุนการสำรวจข้อมูลภายในองค์กรนั่นเองครับ Data Map คืออะไรกันแน่? Data Map หรือเรียกเป็นภาษาไทยว่า “แผนผังข้อมูล” คือ เครื่องมือที่จะช่วยให้องค์กรของคุณดำเนินการสำรวจข้อมูล และมองเห็นภาพรวมของข้อมูลที่มีอยู่ภายในองค์กรได้อย่างสะดวกและเป็นโครงสร้างที่ชัดเจน ด้วยการสร้างลิสต์รายการของข้อมูลออกมา แล้วคุณจะประหลาดใจกับปริมาณของข้อมูลส่วนบุคคลที่มีเก็บรักษาหรือใช้งานอยู่ภายในองค์กร แผนผังข้อมูลฉบับนี้ (สามารถลงทะเบียนเพื่อรับ e-Book ได้ทางด้านล่าง) แนะแนวทางการทำรายการบันทึกข้อมูลองค์กรด้วยหลักการ 5Ws คือ ทำไมข้อมูลส่วนบุคคลถูกประมวลผล (Why?) ข้อมูลส่วนบุคคลของใครถูกประมวลผล (Who?) ข้อมูลส่วนบุคคลอะไรถูกประมวลผล (What?) ข้อมูลส่วนบุคคลถูกประมวลผลเมื่อไหร่ (When?) ข้อมูลส่วนบุคคลถูกประมวลผลที่ไหน…

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ Personal Data Protection Act (PDPA) ถูกบัญญัติขึ้นเพื่อเห็นแก่ประโยชน์ของบุคคลอันมีสิทธิในข้อมูลส่วนตัวของตนเอง สาระสำคัญของกฎหมายฉบับนี้หลัก ๆ เลยก็คือ การคุ้มครองข้อมูลส่วนบุคคล ก่อนจะเก็บ รวบรวม หรือนำข้อมูลส่วนบุคคลของใครก็ตามไปใช้ ผู้ควบคุมข้อมูล (ไม่ว่าจะในฐานะบุคคลคือนิติบุคคลก็ตาม) ต้องทำการขอ ความยินยอม (Consent) จากบุคคลเสียก่อนครับ ไม่อย่างนั้นก็อาจจะมีความผิดตามกฎหมาย ต้องระวังโทษทั้งทางแพ่ง อาญา และปกครอง เสริมทีม DPO เพิ่มทักษะ PDPA องค์กรด้วยหลักสูตร DPS: Workshop Series >> คลิก << การขอความยินยอม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) มาตรา 19 ระบุไว้ว่า “ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้” และเพื่อให้สอดคล้องตามกฎหมาย…