Blog

pdpa-thai-startup-cover

KNOWLEDGE

"PDPA คืออะไรและ Startup ควรให้ความสำคัญกับอะไรบ้าง

MAY 21, 2021

ในปัจจุบันข้อมูล (Data) เป็นหนึ่งในปัจจัยสำคัญในการดำเนินธุรกิจ ทั้งในด้านการตลาดและการบริหารจัดการธุรกิจ บริษัทไหนที่มีข้อมูลของลูกค้าจำนวนมากเท่าไร ยิ่งสร้างความได้เปรียบทางการแข่งขันมากเท่านั้น และความสำคัญข้อมูลนี้เองจึงเป็นที่มาของ PDPA

PDPA คืออะไร

PDPA (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) คือ กฎหมายที่คุ้มครองความปลอดภัยของข้อมูลส่วนบุคคล โดยในกำหนดให้การจัดเก็บข้อมูลต้องได้รับความยินยอมจากเจ้าข้อมูลทุกครั้ง รวมถึงเจ้าของข้อมูลมีสิทธิในการถอนความยินยอมได้ทุกเวลา และสำหรับผู้เก็บข้อมูลมีหน้าที่ในการรักษาความปลอดภัยข้อมูลเหล่านั้น

คำจำกัดความและขอบเขตของข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคล (Personal Data) คือข้อมูลที่สามารถระบุถึงตัวตนของบุคคลนั้น ตั้งแต่ชื่อ-นามสกุล, ที่อยู่, เลขประจำตัวประชาชน ไปจนถึง E-mail โดยสิ่งเหล่านี้ล้วนถือเป็นข้อมูลส่วนบุคคลทั้งสิ้น

ข้อมูลส่วนบุคคลใช้ทำอะไรได้บ้าง

สำหรับภาคธุรกิจแล้ว ข้อมูลส่วนบุคคลถือเป็นสิ่งสำคัญในการพัฒนาธุรกิจ ทั้งในด้านการวิเคราะห์หา Insight ของลูกค้า เพื่อนำไปในใช้ในด้านการตลาด รวมถึงการพัฒนาสินค้าให้ตอบสนองตามความต้องการของผู้บริโภคได้อย่างแม่นยำและมีประสิทธิภาพ

ถึงแม้ว่าข้อมูลส่วนบุคคลจะเป็นผลดีต่อธุรกิจ แต่ในทางกลับกันหากไม่มีมาตรการป้องกันที่เพียงพอ ก็อาจนำมาสู่การถูกโจรกรรมข้อมูล และนำไปใช้ข้อมูลในทางที่ผิด ซึ่งจากประเด็นนี้ส่งผลให้เกิด PDPA ขึ้นมาในประเทศไทย

KATALYST-what-is-PDPA-01

ผลกระทบจาก PDPA สู่ Startup

จากที่กล่าวไปข้างต้นว่าข้อมูลส่วนบุคคล ถูกนำไปใช้ประโยชน์ในการทำการตลาดและการพัฒนาสินค้า ดังนั้นผลกระทบที่ได้รับจึงขยายไปวงกว้าง เช่น การทำการตลาดออนไลน์ (Digital Marketing) อย่าง Facebook Ads และ Google Ads เมื่อข้อมูลมีอยู่จำกัด โอกาสที่จะทำโฆษณาได้ตรงกลุ่มเป้าหมายก็เป็นไปได้ยาก

เมื่อการทำการตลาดออนไลน์แม่นยำน้อยลง ย่อมส่งผลกระทบต่อช่องทางในการขาย รวมถึงต้นทุนในการทำโฆษณาที่ต้องอาศัยการทดสอบ (A/B Testing) บ่อยขึ้น เพื่อที่จะได้ผลลัพธ์ที่ตรงกลุ่มเป้าหมายดังเดิม ผลกระทบจึงมากกว่าด้านการตลาด แต่ยังรวมถึงต้นทุนในการดำเนินธุรกิจที่เพิ่มมากขึ้นอีกด้วย

การเตรียมตัวสำหรับ Startup กับ PDPA

ถึงแม้จะได้รับผลกระทบอย่างไรก็ตามธุรกิจก็ต้องปรับตัว โดยการเตรียมความพร้อมสำหรับการบังคับใช้ PDPA ของภาคธุรกิจเริ่มต้นจากการทำความเข้าใจ PDPA และบทบาทของธุรกิจ ซึ่งในทางกฎหมายแบ่งบทบาทของผู้ถือครองข้อมูล (ธุรกิจ) ออกเป็น 2 บทบาทดังนี้

1. Data Controller (ผู้ควบคุมข้อมูล) ผู้ควบคุมข้อมูล คือ ผู้ที่เก็บรวบรวมข้อมูลมีบทบาทและหน้าที่ในการตัดสินใจเกี่ยวกับข้อมูล เช่น การส่งต่อข้อมูลไปวิเคราะห์ หรือเปิดเผยข้อมูลสู่สาธารณะ เป็นต้น

2. Data Processor (ผู้ประมวลผลข้อมูล) สำหรับผู้ประมวลผลข้อมูลมีบทบาทหน้าที่ในการวิเคราะห์ข้อมูล ภายใต้คำสั่งของผู้ควบคุมข้อมูล โดยธุรกิจที่มีบทบาทนี้ เช่น บริษัทเกี่ยวกับ Data Analysis หรือผู้ให้บริการในด้าน Cloud เป็นต้น

นอกจากบทบาทแล้วสิ่งที่ผู้ประกอบการต้องเตรียมพร้อมเพื่อรองรับ PDPA แบ่งออกเป็น 4 ขั้นตอนดังนี้

1. การเก็บรวบรวมข้อมูลส่วนบุคคล

  • จัดทำ Privacy Policy เช่น แจ้งรายละเอียดกับลูกค้าก่อนเก็บข้อมูล ตั้งแต่อธิบายข้อมูลส่วนตัวที่เก็บ ไปจนถึงอธิบายสิทธิในการเพิกถอนความยินยอมการให้ข้อมูลของลูกค้า เป็นต้น
  • จัดการแอปพลิเคชันและเว็บไซต์ เช่น การขอจัดเก็บ Cookie ของลูกค้าที่เข้ามาใช้บริการเว็บไซต์ เพื่อนำข้อมูลส่วนตัวของลูกค้ามาใช้ประโยชน์ในทางธุรกิจ เป็นต้น
  • จัดเก็บข้อมูลพนักงาน ในส่วนนี้ HR ต้องเป็นผู้ดำเนินการในการขอความยินยอมในการจัดเก็บข้อมูลของพนักงาน เพื่อแจ้งวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลของพนักงาน

2. การประมวลผลข้อมูลส่วนบุคคล

กำหนดนโยบายในการดำเนินการด้านข้อมูลส่วนบุคคล (Standard Operating Procedure) เช่น การเก็บช่องทางการติดต่อข้อมูลของลูกค้า ในการส่ง Direct Marketing หลังจากการประมวลผลข้อมูลส่วนบุคคลของลูกค้าเสร็จ หรือ การปรับรูปแบบการใช้ข้อมูล ลดการนำข้อมูลส่วนบุคคลมาใช้แต่มุ่งเน้นไปที่สถิติโดยรวมแทน เป็นต้น

3. มาตรการด้านรักษาความปลอดภัยข้อมูลส่วนบุคคล

  • กำหนดแนวทางการรักษาความปลอดภัยของข้อมูล เช่น การรักษาความลับ (Confidentiality) การป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) รวมถึงควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) เป็นต้น
  • กำหนดนโยบายระยะเวลาการเก็บรักษาข้อมูล (Data Retention) โดยผู้ประกอบการควรกำหนดระยะเวลาในการจัดเก็บข้อมูลให้ชัดเจน และเมื่อครบกำหนดควรทำลายเอกสารที่มีข้อมูลส่วนบุคคล เพื่อป้องกันการถูกโจรกรรมข้อมูล
  • สร้างระบบแจ้งเตือนเพื่อป้องกันการโจรกรรมข้อมูลจากผู้ไม่หวังดี เช่น การแจ้งเตือนผ่าน E-mail เมื่อมีผู้พยายามเข้าถึงข้อมูลหลายครั้งจนผิดปกติ หรือการ Login เพื่อเข้าถึงข้อมูลจากสถานที่อื่นและเครื่องอื่น (Device) เป็นต้น

4. การส่งต่อหรือเปิดเผยข้อมูลส่วนบุคคล

ในกรณีที่ผู้ประกอบการจำเป็นต้องส่งต่อหรือเปิดเผยข้อมูลส่วนบุคคล ไปยังผู้ให้บริการภายนอกหรือ Thrid Party ควรมีการทำสัญญาการรักษาข้อมูลตามกฎหมายของ PDPA รวมถึงควรมีกระบวนการรับคำร้องจากผู้ให้ข้อมูลด้วย

KATALYST-what-is-PDPA-02

การปรับตัวของ Startup กับ PDPA

หลังจากทราบวิธีเตรียมตัวเพื่อให้บริษัทตอบรับกับกฎหมาย PDPA แล้ว ต่อมาคือการปรับตัวในด้านการตลาด ข้อมูลเป็นสิ่งสำคัญในการดำเนินธุรกิจในด้านการตลาดและการพัฒนาสินค้าและบริการ ดังนั้น เมื่อข้อมูลส่วนบุคคลมีน้อยลง ก็ถึงเวลาที่ธุรกิจต้องปรับตัวเช่นเดียวกัน

หลังจากทราบวิธีเตรียมตัวเพื่อให้บริษัทตอบรับกับกฎหมาย PDPA แล้ว ต่อมาคือการปรับตัวในด้านการตลาด ข้อมูลเป็นสิ่งสำคัญในการดำเนินธุรกิจในด้านการตลาดและการพัฒนาสินค้าและบริการ ดังนั้น เมื่อข้อมูลส่วนบุคคลมีน้อยลง ก็ถึงเวลาที่ธุรกิจต้องปรับตัวเช่นเดียวกัน

1. Heatmap

สำหรับธุรกิจไหนที่มีเว็บไซต์เป็นของตัวเอง Heatmap เป็นอีกหนึ่งทางเลือกในการวิเคราะห์พฤติกรรมของผู้เข้าชมเว็บไซต์ เช่น ผู้ชมเว็บไซต์มาจากช่องทางไหน (โทรศัพท์หรือคอมพิวเตอร์) อ่านตรงส่วนไหนของเว็บไซต์บ่อย หรือ มีการคลิกไปที่ผลิตภัณฑ์ไหนมากที่สุด เพื่อปรับกลยุทธ์ทางการตลาดให้เหมาะสมกับพฤติกรรมส่วนใหญ่ของลูกค้าที่เข้าชมเว็บไซต์ โดย ประโยชน์ของ Heatmap มีดังนี้

  • เข้าใจพฤติกรรมของลูกค้า ภายในเว็บไซต์แบบละเอียด ลงลึกถึงแต่ละส่วนของหน้าเว็บไซต์ ทั้งการคลิกหรือสินค้าที่ลูกค้าใช้ระยะเวลาในการอ่านนานเป็นพิเศษ
  • ปรับปรุงเว็บไซต์ได้ง่ายขึ้น เมื่อทราบพฤติกรรมของลูกค้าบนเว็บไซต์แล้ว จะช่วยให้การปรับปรุงหน้าเว็บไซต์ (UX/UI) มีประสิทธิภาพและตอบโจทย์ความต้องการของลูกค้ามากยิ่งขึ้น
  • ปรับกลยุทธ์ทางการตลาดออนไลน์ได้ ในส่วนนี้คือการนำข้อมูลหน้าสินค้าที่ลูกค้าใช้งานมากที่สุด มาปรับใช้การตลาด เช่น ปรับตำแหน่งสินค้าในเว็บไซต์ให้เห็นชัดมากขึ้น หรือลดจำนวน การผลิตในสินค้าที่ลูกค้าไม่ค่อยให้ความสนใจ เป็นต้น

KATALYST-what-is-PDPA-03

2. Social Listening Tools

ในส่วนของ Social Listening Tools นั้นเป็นเครื่องมือในการสำรวจว่าลูกค้ากำลังพูดถึงแบรนด์อย่างไรบนโลกออนไลน์ ซึ่งทำให้ผู้ประกอบการทราบถึงความรู้สึกของลูกค้าที่มีต่อแบรนด์ โดยหลักการนำเครื่องมีนี้มาใช้ส่วนใหญ่มีด้วยกัน 3 วัตถุประสงค์ (Objective) ดังนี้

  • การปรับกลยุทธ์ในการสร้าง Brand Awareness โดยหลังจากที่แบรนด์รู้แล้วว่ามุมมองของลูกค้าต่อแบรนด์เป็นในลักษณะไหน ซึ่งหากไม่ตรงตาม Brand Awareness Stragy ก็ถึงเวลาปรับปรุงกลยุทธ์ใหม่ ให้เป็นไปตามที่แบรนด์ต้องการ รวมถึงวิเคราะห์จุดยืนความเป็นแบรนด์ให้ตอบโจทย์ลูกค้ามากยิ่งขึ้น
  • การพัฒนาสินค้าตาม Customer Feedback สิ่งนี้เป็นหนึ่งในหัวใจสำคัญที่พาธุรกิจเติบโตไปได้ หากสามารถพัฒนาสินค้าให้ตอบโจทย์ความต้องการของลูกค้าได้ โอกาสในการเพิ่ม Market Share ก็จะสูงตามไปด้วย
  • การวิเคราะห์หา Keyword ในส่วนนี้จะช่วยเพิ่มความแม่นยำในการทำการตลาดออนไลน์ โดยเฉพาะการทำ SEM และ SEO หากทราบว่ากลุ่มลูกค้าใช้คำอะไรในการพูดถึงสินค้า ก็จะสามารถปรับแนวทางการใช้ Keyword เพื่อให้ลูกค้าค้นหาแบรนด์เจอบนโลกออนไลน์ ได้สะดวกมากยิ่งขึ้น

3. Fanpage Karma

เมื่อเก็บข้อมูลส่วนบุคคลได้น้อยลง ถึงเวลานำข้อมูลจากคู่แข่งมาใช้ให้เป็นประโยชน์ โดย Fanpage Karma เป็นเครื่องมือในการวิเคราะห์ข้อมูลคู่แข่งทั้งบน Facebook, Instagram และ Twitter รวมถึงการสำรวจ Social Trend และ Topic เพื่อนำมาปรับใช้ในการสร้างคอนเทนต์แบบ Real Time โดยแนวทางการนำ Fanpage Karma มาปรับใช้มีดังนี้

  • เปรียบเทียบ Content ทั้งรูปแบบของโพสต์และความถี่ในการลงโพสต์ ศึกษาว่าคู่แข่งที่ประสบความสำเร็จมีแนวทางการทำ Content และการวางกลยุทธ์ในการโพสต์อย่างไร เพื่อนำมาเปรียบเทียบและปรับปรุง Content บนหน้า Facebook Page ให้มีประสิทธิภาพ
  • เปรียบเทียบ Engagement เพื่อดูว่าการทำ Content แบบ Organic ประเภทไหนที่ประสบความสำเร็จ เพื่อลดต้นทุนในการทำโฆษณาผ่านเฟสบุ๊ก (Facebook Ads)

Summary

PDPA ถือเป็นการเปลี่ยนแปลงครั้งสำคัญของธุรกิจ ทั้งการเตรียมพร้อมปรับรูปแบบการเก็บข้อมูลเพื่อหลีกเลี่ยงการทำผิดกฎหมาย รวมถึงการรับมือกับความเปลี่ยนแปลงเมื่อข้อมูลที่มีลดน้อยลง ในยุคที่ธุรกิจขับเคลื่อนด้วย Big Data การปรับกลยุทธ์เพื่อให้ธุรกิจยังคงดำเนินต่อไปได้ สิ่งเหล่านี้ยังถือเป็นโจทย์ครั้งสำคัญที่เหล่าผู้ประกอบการ Startup ต้องแก้ปัญหาเพื่อให้ธุรกิจเติบโตต่อไปในอนาคต

ที่มา:

Back