ทำเว็บไซต์ผิดพ.ร.บ. PDPA ปรับสูงสุด 5 ล้านบาท
คุณเคยสังเกตุมั้ยครับว่า ทำไมเวลาเข้าเว็บไซต์เดี๋ยวนี้ส่วนใหญ่แล้วคุณจะเจอกับ “คุกกี้ป๊อปอัพหรือแบนเนอร์คุกกี้ (Cookie Popup หรือ Cookie Banner)” เด้งขึ้นมา เพื่อให้เรากด”ยอมรับ” “ตั้งค่า” หรือ “ปฏิเสธ” หากคุณลองอ่านรายละเอียดดูจะพบว่าใจความสำคัญคือการขออนุญาติใช้งาน”คุกกี้”จากเรา
แล้วเจ้า “คุกกี้ (Cookie)” มันคืออะไร? แล้วทำไมเจ้าของเว็บไซต์ถึงต้องขออนุญาติเราด้วย? ที่มาที่ไปเป็นยังไง เดี๋ยวผมจะสรุปให้ฟังครับ
จุดเริ่มต้นมาจาก พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA)
PDPA คือกฎหมายใหม่ที่ออกมาเพื่อแก้ไขปัญหาการถูกล่วงละเมิดข้อมูลส่วนบุคคลที่เพิ่มมากขึ้นเรื่อย ๆ ในปัจจุบัน เช่น การซื้อขายข้อมูลเบอร์โทรศัพท์และข้อมูลส่วนตัวอื่น ๆ โดยที่เจ้าของข้อมูลไม่ยินยอม ที่มักพบได้มากในรูปแบบการโทรมาโฆษณา หรือล่อลวง
โดยกฎหมายนี้ได้เริ่มบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิ.ย. 2565 เป็นกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้
PDPA เป็นกฎหมายที่ถูกสร้างมาเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลของทุกคน รวมถึงการจัดเก็บข้อมูลและนำไปใช้โดยไม่ได้แจ้งให้ทราบ และไม่ได้รับความยินยอมจากเจ้าของข้อมูลเสียก่อน
แล้วถ้าไม่ปฏิบัติตามกฎหมาย PDPA จะมีบทลงโทษอย่างไร?
บทลงโทษของผู้ที่ไม่ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีถึง 3 ประเภท ได้แก่
โทษทางแพ่ง
โทษทางแพ่งกำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด และอาจจะต้องจ่ายบวกเพิ่มอีกเป็นค่าค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่าของค่าเสียหายจริง ตัวอย่าง หากศาลตัดสินว่าให้ผู้ควบคุมข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคล เป็นจำนวน 1 แสนบาท ศาลอาจมีคำสั่งกำหนดค่าสินไหมเพื่อการลงโทษเพิ่มอีก 2 เท่าของค่าเสียหายจริง เท่ากับว่าจะต้องจ่ายเป็นค่าปรับทั้งหมด เป็นจำนวนเงิน 3 แสนบาท
โทษทางอาญา
โทษทางอาญาจะมีทั้งโทษจำคุกและโทษปรับ โดยมี โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ โดยโทษสูงสุดดังกล่าวจะเกิดจากการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศ ประเภทข้อมูลที่มีความละเอียดอ่อน(Sensitive Personal Data) ส่วนกรณีหากผู้กระทำความผิด คือ บริษัท(นิติบุคคล) ก็อาจจะสงสัยว่าใครจะเป็นผู้ถูกจำคุก เพราะบริษัทติดคุกไม่ได้ ในส่วนตรงนี้ก็อาจจะตกมาที่ ผู้บริหาร, กรรมการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของบริษัทนั้น ๆ ที่จะต้องได้รับการลงโทษจำคุกแทน
โทษทางปกครอง
โทษปรับ มี ตั้งแต่ 1 ล้านบาทจนถึงสูงสุดไม่เกิน 5 ล้านบาท ซึ่งโทษปรับสูงสุด 5 ล้านบาท จะเป็นกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลที่มีความละเอียดอ่อน(Sensitive Personal Data) ซึ่งโทษทางปกครองนี้จะแยกต่างหากกับการชดใช้ค่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทางอาญาด้วย
แล้วกฎหมาย PDPA เกี่ยวอะไรกับเว็บไซต์?
เว็บไซต์ส่วนใหญ่ในปัจจุบันมีการเก็บข้อมูลของผู้ใช้งานในรูปแบบต่างๆ โดยเฉพาะการเก็บ “คุกกี้ (Cookie)” เพื่อใช้ประโยชน์ต่างๆ เช่น การสมัครสมาชิก การเก็บสถิติการใช้งาน การตลาด เป็นต้น
ดังนั้นเมื่อมีการเก็บข้อมูลของผู้ใช้งาน ไม่ว่าจะในรูปแบบไหน ก็ต้องไดรับความยินยอมจากผู้ใช้งานก่อน ตามหลักกฎหมาย PDPA
Cookie คืออะไร
“คุกกี้” (Cookie) เป็นไฟล์ข้อมูลขนาดเล็กที่แสดงประวัติการเข้าชมเว็บไซต์และการดาวน์โหลด โดยประโยชน์และความจำเป็นของคุกกี้ก็คือเมื่อเราเคยเข้าใช้งานเว็บไซต์หนึ่งแล้ว คุกกี้จะจดจำข้อมูลหลายรูปแบบ เช่น ตำแหน่งโลเคชั่นของผู้ใช้งาน ภาษาการใช้งานหน้าเว็บไซต์ หรือข้อมูลของผู้ใช้เพื่อทำการตลาดโฆษณาแบบเจาะกลุ่มเป้าหมาย (Targeting ads) ซึ่งทำให้คอมพิวเตอร์หรืออุปกรณ์ของเราจดจำเว็บไซต์นั้นได้เมื่อกลับเข้าไปใช้งานเว็บไซต์อีกครั้ง การใช้ไฟล์คุกกี้ถือเป็นการจัดเก็บและใช้ข้อมูลส่วนบุคคลเช่นเดียวกัน ดังนั้น เจ้าของเว็บไซต์หรือผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งผู้ใช้งานเพื่อขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลด้วย
แล้วต้องทำยังไงบ้าง? เว็บไซต์เราถึงจะเก็บ”คุกกี้ (Cookie)”ตามหลัก PDPA อย่างถูกต้อง
3 องค์ประกอบที่จำเป็นสำหรับเว็บไซต์ ตามหลักกฎหมาย PDPA มีดังนี้
1.Cookie Popup หรือ Cookie Banner
เมื่อเราเข้าสู่เว็บไซต์ เรามักจะพบแบนเนอร์คุกกี้ (Cookie Banner) หรือ คุกกี้ป๊อปอัพ (Cookie Popup) ซึ่งเป็นแบนเนอร์หรือป๊อปอัพที่เห็นได้ง่าย อยู่ตามส่วนล่างหรือกลางหน้าเว็บไซต์ ผู้เข้าเว็บไซต์สามารถกดยอมรับคุกกี้ผ่านแบนเนอร์นี้ วิธีการนี้เป็นวิธีการให้ความยินยอมการใช้และเก็บข้อมูลส่วนบุคคลที่สะดวกและได้รับความนิยม เนื่องจากเป็นวิธีที่ไม่ซับซ้อนและถือเป็นการแจ้งจุดประสงค์การใช้คุกกี้ให้เจ้าของข้อมูลส่วนบุคคลเห็นได้ชัดเจน นอกจากนี้ยังกดเพื่อตั้งค่าการใช้คุกกี้ผ่านแบนเนอร์ได้อีกด้วย
ตัวอย่างแบนเนอร์คุกกี้ (Cookie Banner) หรือ คุกกี้ป๊อปอัพ (Cookie Popup) ของเว็บไซต์ผม
2.นโยบายการเก็บคุกกี้ Cookie Policy
นโยบายคุกกี้ หรือ Cookie Policy เป็นรายละเอียดการใช้คุกกี้ของเว็บไซต์นั้นๆ ส่วนประกอบของ นโยบายคุกกี้
- คำนิยามหรือความหมายของคุกกี้ ซึ่งคุกกี้ก็คือไฟล์ข้อความขนาดเล็กที่ถูกดาวน์โหลดไปยังอุปกรณ์คอมพิวเตอร์หรืออุปกรณ์มือถือ โดยมีไว้บันทึกข้อมูลและตั้งค่าตามวัตถุประสงค์ของคุกกี้แต่ละประเภท
- วัตถุประสงค์หรือประโยชน์ของการจัดเก็บคุกกี้ เช่น บันทึกการตั้งค่าแรกของเว็บไซต์เมื่อเข้าใช้งานในครั้งต่อไป
- การใช้งานของคุกกี้ โดยส่วนนี้จะเกี่ยวข้องกับนโยบายคุ้มครองส่วนข้อมูลส่วนบุคคล (Privacy Policy) เมื่อเข้าสู่หน้าเว็บไซต์จาก Browser คุกกี้จะถูกดาวน์โหลดสู่อุปกรณ์ เพื่อเก็บข้อมูลการใช้และประวัติการเข้าเว็บไซต์ ข้อมูลหรือบริการที่ผู้เข้าชมเว็บไซต์สนใจ อินเตอร์เน็ตโดเมนและ IP Address เว็บไซต์ third party ที่เชื่อมต่อกับเว็บไซต์ วันที่และเวลา รวมถึงระยะเวลาที่เข้าชมเว็บไซต์ เป็นต้น
- ประเภทคุกกี้ที่เว็บไซต์จัดเก็บ ทั้งคุกกี้ที่จำเป็น (Necessary Cookies) และคุกกี้ที่ไม่จำเป็น (Non-necessary Cookies) เช่น คุกกี้โฆษณา (Advertising Cookies) คุกกี้เพื่อการวัดผลของเว็บไซต์ (Performance Cookies) เป็นต้น
- การตั้งค่าคุกกี้ ผู้เข้าชมเว็บไซต์สามารถตั้งค่าหรือปิดการใช้คุกกี้บางประเภทได้ สำหรับคุกกี้ที่จำเป็น (Necessary Cookies) อาจไม่สามารถปิดการทำงานได้ โดย Cookie Policy ที่ดีก็ควรแจ้งเหตุผลว่าเพราะอะไรจึงปิดการทำงานไม่ได้ เช่น หากปิดการทำงานคุกกี้อาจทำให้ผู้เข้าเว็บไซต์ใช้งานฟังก์ชันบางอย่างหรือทั้งหมดของบริการเว็บไซต์ได้อย่างไม่ราบรื่น สำหรับคุกกี้ที่ไม่จำเป็น (Non-necessary Cookies) ก็ควรมีตัวเลือกให้ปิดหรือเปิดการทำงานได้
ดูตัวอย่าง นโยบายการใช้คุกกี้ (Cookies Policy)
3.นโยบายความเป็นส่วนตัว Privacy Policy
Privacy Policy (นโยบายความเป็นส่วนตัว) คือ นโยบายที่ถูกจัดทำขึ้นเพื่อแจ้งเจ้าของข้อมูลส่วนบุคคลถึงรายละเอียดและวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล โดยส่วนมากมักจะจัดทำในรูปแบบเอกสารที่เข้าถึงได้บนเว็บไซต์
การสร้างนโยบายความเป็นส่วนตัว (Privacy Policy) เป็นส่วนหนึ่งของรายการที่ต้องทำตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA: Personal Data Protection Act) ซึ่งองค์กรต้องจัดทำเพื่อใช้ในการขอจัดเก็บข้อมูลจากเจ้าของข้อมูล นอกจากนี้ นโยบายความเป็นส่วนตัวยังช่วยสร้างความน่าเชื่อถือให้กับองค์กร ทำให้ผู้ใช้งานมีความมั่นใจว่าข้อมูลที่ยินยอมให้จัดเก็บมีความปลอดภัย และถูกนำไปใช้งานได้ตรงตามจุดประสงค์
ตัวอย่างธุรกิจที่ต้องมี Privacy Policy
- ธุรกิจใดก็ตามที่เก็บข้อมูลลูกค้าหรือผู้ใช้งานไม่ว่าจะเป็น ชื่อ อีเมล์ หรือเบอร์โทรศัพท์เพื่อเสนอสินค้า บริการ หรือทำการตลาด
- เว็บไซต์ที่เก็บข้อมูลการล็อกอินด้วยอีเมลหรือบัญชี Social Network
- ธุรกิจขายของออนไลน์ที่เก็บข้อมูลการชำระเงิน
บทสรุป
จะเห็นได้ว่าการทำเว็บไซต์ให้ถูกต้องตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) นั้นมีรายละเอียดที่ค่อนข้างเยอะเลยทีเดียว แต่ก็เป็นสิ่งที่ควรทำ เพื่อป้องกันผลที่จะตามมาหากไม่ปฏิบัติตาม นอกจากนี้ยังช่วยให้องค์กร/บริษัทของคุณดูน่าเชื่อถือและมีความเป็นมืออาชีพขึ้นอีกด้วย
คุณสามารถดำเนินการติดตั้งและเขียนนโยบายความเป็นส่วนตัวต่างๆได้ด้วยตัวเอง โดยคุณสามารถค้นหาข้อมูลในแต่ละขั้นตอนจากในอินเตอร์เน็ตได้
แต่ถ้าคุณไม่อยากเสียเวลาทำเอง ผมมีบริการ Cookie Easy โซลูชั่นสำหรับการติดตั้ง “คุกกี้ (Cookie)” ตามหลักกฎหมาย PDPA ดูรายละเอียดเพิ่มเติม
