เจาะลึกการสร้าง Cookies Consent Banner ที่สอดคล้องตาม PDPA ทำอย่างไร

Share
ในตอนที่แล้ว เรากล่าวถึง cookie consent ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA (Personal Data Protection Act) ไปบ้างแล้ว สำหรับ cookie consent เป็นการขอความยินยอมให้เจ้าของเว็บไซต์เก็บรวมรวมหรือใช้ไฟล์คุกกี้เพื่อจดจำข้อมูลการใช้งานเว็บไซต์จากผู้ใช้งาน ซึ่งคุกกี้นี้ก็ถือว่าเป็นข้อมูลส่วนบุคคลจำพวกหนึ่งนั่นเอง

Cookie คืออะไร

“คุกกี้” เป็นไฟล์ข้อมูลขนาดเล็กที่แสดงประวัติการเข้าชมเว็บไซต์และการดาวน์โหลด ซึ่งประโยชน์และความจำเป็นของคุกกี้ก็คือเมื่อเราเคยเข้าใช้งานเว็บไซต์หนึ่งแล้ว คุกกี้จะจดจำข้อมูลหลายรูปแบบ เช่น ตำแหน่งโลเคชั่นของผู้ใช้งาน ภาษาการใช้งานหน้าเว็บ หรือข้อมูลของผู้ใช้เพื่อทำการตลาดโฆษณาแบบเจาะกลุ่มเป้าหมาย (Targeting ads) ซึ่งทำให้คอมพิวเตอร์หรืออุปกรณ์ของเราจดจำเว็บไซต์นั้นได้เมื่อกลับเข้าไปใช้งานเว็บไซต์อีกครั้ง การใช้ไฟล์คุกกี้ถือเป็นการจัดเก็บและใช้ข้อมูลส่วนบุคคลเช่นเดียวกัน ดังนั้น เจ้าของเว็บไซต์หรือผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งผู้ใช้งานเพื่อขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลด้วย

ทำไมต้องมี cookie consent banner

การขอความยินยอมการใช้คุกกี้กับเจ้าของข้อมูลส่วนบุคคลตาม PDPA ผ่าน banner เป็นวิธีการที่สะดวกและได้รับความนิยม เนื่องจากเป็นวิธีที่ไม่ซับซ้อนและถือเป็นการแจ้งให้ผู้ใช้งานเว็บไซต์ในฐานะเจ้าของข้อมูลส่วนบุคคลเห็นได้ชัดเจน

หน้าตาของ cookie consent banner จะเห็นได้เมื่อเราเข้าเว็บไซต์ ก็จะมี cookie consent banner เป็น pop-up เด้งขึ้นมา ผู้ใช้งานเว็บไซต์ในฐานะเจ้าของข้อมูลส่วนบุคคลจะเห็น banner นี้ได้ทันที ทำให้เจ้าของเว็บไซต์ให้ความยินยอมการใช้หรือเก็บรวบรวมคุกกี้ง่ายมากขึ้น แถมยังไม่ละเลยการปฏิบัติตาม PDPA ด้วย

Cookie consent banner ควรมีส่วนประกอบอะไรบ้าง*

  • ควรมีตัวเลือกว่าจะยินยอมให้ใช้คุกกี้ที่ไม่จำเป็น (non-necessary cookies) อันไหนบ้าง
  • อธิบายคุกกี้ที่กำลังจะใช้ เช่น รายละเอียดและวัตถุประสงค์การใช้และเก็บรวบรวมคุกกี้ที่จำเป็น (necessary cookies)
  • มีลิงค์เชื่อมต่อไปที่หน้านโยบายการใช้คุกกี้ (cookies policy) สร้าง cookies policy
  • รายละเอียดเกี่ยวกับผู้ให้บริการคุกกี้ มีการแจ้งบอกคุกกี้ที่กำหนดด้วยตนเอง (first party cookies) หรือที่กำหนดโดยผู้อื่น (third party cookie)
  • ระยะเวลาการจัดเก็บคุกกี้ หรือที่เรียกกันว่าวันหมดอายุของคุกกี้ว่าเป็นคุกกี้ประเภทชั่วคราว (session cookie) หรือเป็นแบบถาวร (persistent cookie)
  • รายละเอียดกับเกี่ยวกับบุคคลที่แชร์ข้อมูลด้วย
  • ประเภทและวัตถุประสงค์ของการใช้คุกกี้
  • จัดทำแบนเนอร์คุกกี้บนเว็บไซต์
  • แยกประเภทคุกกี้ ทั้งคุกกี้ที่จำเป็น (necessary cookies) และคุกกี้ที่ไม่จำเป็น (non-necessary cookies)
  • ขอความยินยอมการใช้ตามวัตถุประสงค์จากผู้ใช้งานเว็บไซต์ก่อนที่จะใช้คุกกี้ที่ไม่จำเป็น (non-necessary cookies)
  • ให้ผู้ใช้งานเว็บไซต์ตั้งค่าการใช้คุกกี้ได้ และระบุข้อมูลด้วยภาษาที่เข้าใจง่าย
  • เข้าถึงนโยบายการใช้คุกกี้บนเว็บไซต์ได้ง่าย
  • มีระบบการตรวจสอบ ที่จัดเก็บเอกสารและข้อความยินยอมให้ใช้คุกกี้ของผู้ใช้งาน
  • จัดเก็บ cookie consent ไว้ระยะเวลาหนึ่งตามความจำเป็นตามกฎหมาย
  • ให้มีช่องทางหรือวิธีการให้ผู้ใช้งานลบหรือยกเลิกการใช้คุกกี้

    • ประเภทของคุกกี้

    ประเภทของคุกกี้เป็นตัวกำหนดประเภทข้อมูลส่วนบุคคลว่าเป็นข้อมูลประเภทใด และจะได้รับความคุ้มครองตาม PDPA เข้มงวดเท่าใดบ้าง โดยวัตถุประสงค์ ข้อมูลที่เก็บรวบรวม คุกกี้ที่แชร์ร่วมกับบุคคลอื่น เช่น คุกกี้จากเว็บไซต์ third party ซึ่งความแตกต่างของคุกกี้นี้เป็นเรื่องสำคัญว่าข้อมูลประเภทใดจะได้รับความคุ้มครองเข้มงวดถึงระดับไหนตาม PDPA คุกกี้แบ่งออกเป็น 2 ประเภทใหญ่ๆ คือ คุกกี้ที่จำเป็น (necessary cookies) กับคุกกี้ที่ไม่จำเป็น (non-necessary cookies) ความจำเป็นก็ตามชื่อของคุกกี้เลยว่าคุกกี้ตัวไหนที่สำคัญกับระบบการทำงานของเว็บไซต์ก็จะเรียกว่าคุกกี้ที่จำเป็น ซึ่งคุกกี้ทั้ง 2 ประเภทนี้ จะได้รับความคุ้มครองตาม PDPA แตกต่างกัน และการขอความยินยอมให้ใช้หรือเก็บรวบรวมคุกกี้ก็จะต่างไปด้วย

    1. คุกกี้ที่จำเป็น (Necessary Cookies)

    เป็นคุกกี้ที่มีความจำเป็นต่อระบบการทำงานของเว็บไซต์ เพื่อให้สามารถทำงานได้อย่างปกติและปลอดภัย เช่น ระบบ log in หรือการยืนยันตัวตนด้วย KYC

    2. คุกกี้ที่ไม่จำเป็น (Non-Necessary Cookies) มีหลายประเภทแตกต่างกันตามวัตถุประสงค์ใช้งาน เช่น

    คุกกี้เก็บข้อมูลการใช้งาน (Analytic หรือ Statistics หรือ Performance Cookies) เป็นคุกกี้วัดผลที่รวบรวมและรายงานข้อมูลสถิติการเข้าชมเว็บไซต์ เช่น Google Analytics หรือ Facebook Pixel

    คุกกี้ฟังก์ชันการทำงาน (Preferences หรือ Functional Cookies) ที่เป็นการบันทึกข้อมูลการเปลี่ยนแปลงฟังก์ชันการใช้งานเว็บไซต์ของผู้ใช้งาน เช่น จดจำการ log in ทำให้การเข้าใช้งานเว็บไซต์ครั้งต่อไปไม่ต้อง log in ซ้ำอีก และภาษาในเว็บไซต์ที่เราเลือกใช้

    คุกกี้โฆษณา (Marketing cookies) ซึ่งมักเป็นคุกกี้จากเว็บไซต์ third party ที่เผยแพร่หรือลงโฆษณา มีไว้ใช้ติดตามผู้เข้าชมเว็บไซต์ เพื่อแสดงโฆษณาที่เกี่ยวข้องและที่น่าสนใจสำหรับผู้ใช้งานรายบุคคล โดยความแตกต่างระหว่าง first party cookies กับ third party cookies อยู่ที่การวางคุกกี้ไว้ที่เว็บไซต์ไหน สำหรับ first party cookies จะเป็นคุกกี้ที่ใช้บนเว็บไซต์ที่ผู้ใช้กำลังใช้งานหรือเยี่ยมชมอยู่ในขณะนั้น ส่วน third party cookies เป็นคุกกี้ที่มีการถ่ายโอนข้อมูลจากเว็บไซต์ที่ผู้ใช้งานเยี่ยมชมอยู่ไปยังอีกเว็บไซต์หนึ่ง หรือเรียกว่า third party เช่น คุกกี้โฆษณา รูปภาพ social media plugin

    Session cookies เป็นคุกกี้ที่จดจำข้อมูลในช่วงเวลาที่เปิด browser อยู่ และจะถูกลบออกไปโดยอัตโนมัติเมื่อปิดบราวเซอร์ของ ดังนั้น จึงเป็นคุกกี้ชั่วคราวที่จะหมดอายุเมื่อปิดการใช้งาน browser หรือปิด session ทำให้เป็นคุกกี้ที่เข้าถึงข้อมูลส่วนบุคคลน้อยกว่าคุกกี้ประเภทอื่นๆ

    Persistent cookies เป็นคุกกี้ที่ยังคงอยู่หลังจาก browser ถูกปิดไป และจะยังอยู่จนกว่าจะถึงหมดอายุ ตามที่ผู้วางระบบได้ตั้งค่าไว้ หรือจนกว่าผู้ใช้งานเว็บไซต์ได้ลบคุกกี้นี้ออกไปเอง คุกกี้แบบ persistent จะช่วยเว็บไซต์จดจำการตั้งค่าและระบุคอมพิวเตอร์ของผู้ใช้งาน เมื่อได้เปิดบราวเซอร์และเล่นอินเตอร์เน็ตอีกครั้ง

    Cookie แบบไหนต้องให้ consent

  • คุกกี้ที่จำเป็น (necessary cookies) - ไม่ต้องขอ consent เจ้าของเว็บไซต์ไม่ต้องขอความยินยอมการใช้หรือเก็บรวบรวมคุกกี้ที่จำเป็น แต่ต้องแจ้งวัตถุประสงค์และแจ้งว่ากำลังจะใช้คุกกี้ที่จำเป็นให้ผู้ใช้งานรู้ก่อน
  • คุกกี้ที่ไม่จำเป็น (non-necessary cookies) - เช่น คุกกี้เพื่อการตลาด (Marketing Cookies) ต้องขอ consent เนื่องจากคุกกี้ประเภทนี้ไม่ได้มีความสำคัญกับการใช้งานเว็บไซต์โดยตรง และคุกกี้ประเภทนี้อาจก่อให้เกิดความรำคาญกับผู้ใช้ได้ เช่น คุกกี้โฆษณาที่มีการส่งข้อมูลไปยัง third party ดังนั้น ตามกฎหมายแล้ว การใช้หรือเก็บรวบรวมคุกกี้ที่ไม่จำเป็น จึงต้องขอความยินยอมจากผู้ใช้งานก่อนทุกครั้ง
  • ขอ consent เมื่อใช้คุกกี้ใหม่หรือเปลี่ยนแปลงวัตถุประสงค์ ในอีกกรณี ถ้ามีการใช้คุกกี้ใหม่ หรือเปลี่ยนแปลงวัตถุประสงค์การใช้หรือเก็บรวบรวมคุกกี้ไม่ว่าจะเป็นคุกกี้ประเภทใดก็ตาม จะต้องแจ้งวัตถุประสงค์ใหม่และขอความยินยอมจากผู้ใช้งานเว็บไซต์ด้วย แม้ว่าผู้ใช้งานเว็บไซต์จะเคยให้ความยินยอมคุกกี้มาก่อนแล้วก็ตาม แต่เนื่องจากมีการเปลี่ยนแปลงในรายละเอียดของคุกกี้ใหม่ เจ้าของเว็บไซต์จึงจำเป็นต้องขอความยินยอมการใช้คุกกี้อีกครั้ง ซึ่งผู้ใช้งานเว็บไซต์ในฐานะเจ้าของข้อมูลส่วนบุคคลสามารถยินยอมหรือปฏิเสธคุกกี้ได้

    • การปฏิบัติตามกฎหมาย PDPA ให้ถูกต้องอาจมีรายละเอียดเยอะ แต่ก็ไม่ยากเกินไปที่จะศึกษาให้เข้าใจ ทั้งนี้ก็มีผู้เชี่ยวชาญอย่าง cookie.wow ที่จะช่วยคุณสร้าง Cookie Banner ให้ถูกต้องตาม PDPA ใน 2 นาที พร้อมระบบบันทึก consent เตรียมพร้อม PDPA ก่อนใคร เพียงเท่านี้ นโยบายการใช้คุกกี้ของคุณมีการขอ consent อย่างถูกต้องตาม PDPA แล้ว



    You may also like

    More posts