เมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ {--mlinkarticle=8014--}PDPA{--mlinkarticle--} (Personal Data Protection Act) เริ่มบังคับใช้ในไทยแล้วผู้ที่เป็นเจ้าของเว็บไซต์จะต้องเตรียมพร้อมที่จะปฏิบัติตามกฎหมาย PDPA เช่น ต้องให้ผู้อื่นยินยอมก่อนนำมาใช้งานหรือ แจ้งวัตถุประสงค์ว่าเราจะ{--mlinkarticle=5675--}จัดเก็บข้อมูล{--mlinkarticle--}อะไรยังไงบ้าง แล้วจึงนำข้อมูลไปใช้ตามที่เราได้แจ้งไป เป็นต้น การขอความยินยอมจึงมีหลายรูปแบบแตกต่างกันไปตามประเภทข้อมูลที่เจ้าของ{--mlinkarticle=8445--} เว็บไซต์{--mlinkarticle--}แต่ละคนจะขอเก็บข้อมูล วันนี้เราจะมาทำความรู้จักกับการขอความยินยอมรูปแบบหนึ่งเรียกว่า cookie consent กัน
Cookie consent คืออะไร
Cookie consent คือ การขอความยินยอมเพื่อจัดเก็บไฟล์คุกกี้และข้อมูลต่างๆ ของผู้ใช้งานเว็บไซต์นั้นๆ ซึ่งไฟล์คุกกี้นี้ก็ถือว่าเป็นข้อมูลของแต่ละบุคคลประเภทหนึ่งที่จะจัดเก็บข้อมูลจากเจ้าของข้อมูลหลายรูปแบบจากการเข้าชมเว็บไซต์ของเจ้าของเว็บไซต์ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจึงต้องขอความยินยอมจากเจ้าของข้อมูลก่อนไม่เช่นนั้นจะมีความผิดทางกฎหมาย PDPA ได้
เมื่อฝ่าฝืนกฏหมาย PDPA จะเป็นอย่างไร
ปัจจุบันกฎหมาย PDPA ประกาศให้ใช้ตั้งแต่เดือนพฤษภาคม 2565 โดยบทลงโทษมีทั้งทางอาญา ทางแพ่ง และทางปกครอง ซึ่งบุคคลธรรมดาและนิติบุคคลในประเทศไทยต้องปฏิบัติตามกฎหมาย PDPA หากฝ่าฝืนจะมีโทษปรับสูงสุด 5 ล้านบาท จำคุกสูงสุด 1 ปี และต้องจ่ายค่าเสียหายตามจริง รวมถึงค่าสินไหมทดแทนเพื่อการลงโทษสูงสุดสองเท่าของค่าเสียหายตามจริง หากผู้กระทำความผิดเป็นนิติบุคคล กรรมการหรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลอาจต้องรับผิดด้วย
นอกจากอัตราโทษตามกฎหมายแล้ว องค์กรที่ไม่ปฏิบัติตาม PDPA หากเกิดความเสียหายต่อข้อมูลส่วนบุคคลของลูกค้า เช่น ไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม จนทำให้เกิดข้อมูลต่างๆรั่วไหลก็อาจได้รับบทลงโทษทางสังคมอีก เช่น เสียชื่อเสียง องค์กรขาดความน่าเชื่อถือ จนกระทั่งเสียรายได้จากฐานลูกค้าในอนาคตก็เป็นได้
Cookie แบบไหนต้องให้ consent
-
คุกกี้ที่จำเป็น (necessary cookies) คือ ไม่ต้องขอความยินยอมการใช้หรือเก็บรวบรวมคุกกี้ที่จำเป็น แต่ต้องแจ้งวัตถุประสงค์และแจ้งว่ากำลังจะใช้คุกกี้ที่จำเป็นให้ผู้ใช้งานรู้ก่อนจึงจะไม่ผิดกฎหมาย
-
คุกกี้ที่ไม่จำเป็น (non-necessary cookies) - เช่น คุกกี้เพื่อการตลาด (Marketing Cookies) ต้องขอ consent เนื่องจากคุกกี้ประเภทนี้ไม่ได้มีความสำคัญกับการใช้งานเว็บไซต์โดยตรงทำออกมาเพื่อหวังผลประโยชน์ และคุกกี้ประเภทนี้อาจก่อให้เกิดความรำคาญให้กับผู้ใช้ได้ เช่น คุกกี้โฆษณา ดังนั้น ตามกฎหมายแล้ว การใช้หรือเก็บรวบรวมคุกกี้ที่ไม่จำเป็น จึงต้องได้รับความยินยอมจากผู้ใช้งานก่อนทุกครั้ง
-
ขอ consent เมื่อใช้คุกกี้ใหม่หรือเปลี่ยนแปลงวัตถุประสงค์ ถ้ามีการใช้คุกกี้ใหม่ หรือเปลี่ยนแปลงวัตถุประสงค์ ไม่ว่าจะเป็นคุกกี้ประเภทใดก็ตาม เราจะต้องแจ้งวัตถุประสงค์ใหม่และขอความยินยอมจากผู้ใช้งานเว็บไซต์ด้วย แม้ว่าผู้ใช้งานเว็บไซต์จะเคยให้ความยินยอมคุกกี้มาแล้ว แต่เนื่องจากมีการเปลี่ยนแปลงในรายละเอียดของคุกกี้ใหม่ เจ้าของเว็บไซต์จึงจำเป็นต้องขอความยินยอมการใช้คุกกี้อีกครั้ง ผู้ใช้งานสามารถเลทอกที่จะยินยอมหรือเลือกที่จะปฏิเสธคุกกี้ได้
ตัว{--mlinkarticle=8323--}กฎหมาย{--mlinkarticle--} PDPA นี้ได้มีการใช้งานเป็นที่เรียบร้อยแล้ว ทำให้เชื่อว่าหลาย ๆ คน หลายๆ องค์กรได้มีการเตรียมความพร้อม เพื่อปรับตัวและขอความยินยอมในการใช้{--mlinkarticle=5297--}ข้อมูลส่วนบุคคล {--mlinkarticle--}นี้กันมาได้สักระยะแล้ว แต่ในปัจจุบันมีการประกาศเลื่อนการบังคับใช้ออกไปเป็น 1 มิ.ย. 2565 นับได้ว่าเป็นโอกาสดีสำหรับท่านใดที่ยังไม่ได้เริ่ม หรือ ยังไม่เสร็จสมบูรณ์ได้มีเวลาในการเตรียมตัว และ ตรวจสอบความถูกต้องให้เรียบร้อยครบถ้วนเพื่อให้ถูกต้องตามที่กฎหมายกำหนด
อ้างอิง
- ถ้าไม่อยากผิดกฎหมายต้องดู,[online]เข้าได้จาก
https://blog.sogoodweb.com/Article/Detail/151960/Cookie-Consent-Banner-คืออะไร-ทำไมทุกเว็บไซต์ถึงต้องมี - ทำไมเราควรติดตั้ง cookie consent banner,[online]เข้าได้จาก
https://blog.readyplanet.com/17443478/how-to-create-cookie-consent-for-your-website - ถ้าไม่อยากผิดกฎหมาย ต้องทำอย่างไร?,[online]เข้าได้จาก
https://www.kasikornbank.com/th/personal/the-wisdom/articles/Pages/BIZ-Empowerment_Onward54_2021.aspx