Cookie Consent ใช้ผิด อาจต้องรับผิดถึง 3 ล้าน

cookie เป็นเครื่องมือสำคัญที่ช่วยให้ผู้ประกอบการที่มีการใช้หน้าเว็บไซต์สามารถวิเคราะห์ข้อมูลเชิงลึกเกี่ยวกับกิจกรรมออนไลน์เพื่อทราบถึงพฤติกรรมต่างๆ

Cap & Corp Forum

คุกกี้ (cookie) เป็นเครื่องมือสำคัญที่ช่วยให้ผู้ประกอบการที่มีการใช้หน้าเว็บไซต์สามารถวิเคราะห์ข้อมูลเชิงลึกเกี่ยวกับกิจกรรมออนไลน์เพื่อทราบถึงพฤติกรรมต่าง ๆ ของผู้บริโภคที่เข้ามายังหน้าเว็บไซต์และนำไปใช้ในการกำหนดกลยุทธ์ทางธุรกิจได้อย่างมีประสิทธิภาพ ปัจจุบันจึงจะเห็นได้ว่าเว็บไซต์ต่าง ๆ ดำเนินการเก็บคุกกี้เพื่อวัตถุประสงค์ทางด้านการวิเคราะห์พฤติกรรมของผู้บริโภคอย่างแพร่หลาย อย่างไรก็ตามคุกกี้บางประเภทที่หน้าเว็บไซต์ต่าง ๆ ใช้นั้น อาจเป็นข้อมูลที่สามารถระบุหรือบ่งบอกถึงตัวบุคคลของผู้ใช้บริการที่เข้ามาเยี่ยมชมเว็บไซต์ได้ ดังนั้นคุกกี้บางประเภทจึงอาจจัดเป็นข้อมูลส่วนบุคคลตามความหมายของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act หรือ PDPA) จึงเป็นที่น่าสังเกตว่าหลังจากวันที่พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีผลบังคับใช้แล้ว ผู้ประกอบการที่ดำเนินการเก็บรวบรวม ใช้ หรือประมวลผลข้อมูลส่วนบุคคลโดยใช้คุกกี้ จะมีแนวทางปฏิบัติอย่างไร

คุกกี้คืออะไร

Privacy and Electronic Communication Regulations (PECR) หรือกฎหมายว่าด้วยสิทธิความเป็นส่วนตัวที่เกี่ยวข้องกับการสื่อสารโดยช่องทางอิเล็กทรอนิกส์ของประเทศอังกฤษ (เป็นกฎหมายที่อนุวัติตาม ePrivacy Directive ของสหภาพยุโรป) ​ได้ให้ความหมายของคุกกี้ไว้ว่า คุกกี้เป็นข้อมูลตัวอักษรเล็ก ๆ (text file) ที่ถูกดาวน์โหลดและจัดเก็บไว้ในอุปกรณ์ เช่น เครื่องคอมพิวเตอร์ หรือสมาร์ตโฟน ของผู้ที่เข้ามาเยี่ยมชมหน้าเว็บไซต์ (terminal equipment) โดยคุกกี้จะสามารถจดจำอุปกรณ์ของผู้เข้าชมเว็บไซต์และจัดเก็บข้อมูลบางประเภทเกี่ยวกับความต้องการของผู้บริโภค (user’s preferences) และประวัติการเข้าชมบนหน้าเว็บไซต์ (past actions)

หากพิจารณาถึงลักษณะการทำงานของคุกกี้บางประเภท จะเห็นได้ว่าคุกกี้บางประเภทนั้นสามารถใช้ระบุถึงตัวตนของบุคคลใดบุคคลหนึ่งได้ภายใต้เงื่อนไขของการเก็บรวบรวม ใช้ และเปิดเผย (“การประมวลผล”) ที่กำหนดในกิจกรรมการประมวลผลหนึ่ง ๆ คุกกี้ (หรือ cookie IDs) ลักษณะดังกล่าวจึงเป็น “ข้อมูลส่วนบุคคล” ซึ่งแนวทางการตีความว่า cookie IDs บางประเภทเป็นข้อมูลส่วนบุคคลสอดคล้องกับ GDPR แนวทางการวินิจฉัยของศาลสหภาพยุโรปในคดี Fashion ID (C-40/17) และ Planet49 (C-673/17) และคำแนะนำของ European Data Protection Board (2020)

ดังนั้น การใช้คุกกี้บนหน้าเว็บไซต์จึงต้องคำนึงถึงฐานความชอบด้วยกฎหมายในการประมวลผลข้อมูลส่วนบุคคลด้วย ซึ่งโดยทั่วไปฐานความชอบด้วยกฎหมายที่สอดคล้องกับการประมวลผลคุกกี้จะอยู่ในฐานของ “ความยินยอม” (PDPA มาตรา 19 ประกอบมาตรา 24) ซึ่ง “Cookie Consent” ที่ชอบด้วยกฎหมายจำเป็นต้องพิจารณาประกอบกับเงื่อนไขด้านวัตถุประสงค์ การแจ้งที่ชอบด้วยกฎหมาย และการได้รับความยินยอม

ประเภทของคุกกี้จำแนกตามวัตถุประสงค์ของการใช้งาน อาจจำแนกได้เป็น 4 ประเภทดังนี้

(1) คุกกี้ที่จำเป็น (strictly necessary cookie) คือคุกกี้ประเภทที่มีความจำเป็นต้องใช้เพื่อให้การให้บริการหรือการทำงานของหน้าเว็บไซต์สามารถดำเนินการไปได้ เช่น ในเว็บไซต์สำหรับการขายของออนไลน์ คุกกี้จะทำให้เว็บไซต์สามารถแยกและจดจำรายการสินค้าในรถเข็นของผู้บริโภคแต่ละรายได้อย่างถูกต้อง ดังนั้นคุกกี้ประเภทนี้จึงไม่จำเป็นต้องทำการขอความยินยอมจากผู้บริโภคแต่อย่างใด แต่ทั้งนี้ผู้ให้บริการยังคงมีหน้าที่ต้องแจ้งและอธิบายแก่ผู้ใช้บริการถึงความจำเป็นและเหตุผลในการใช้งาน (right to be informed, PDPA มาตรา 23)

(2) คุกกี้เพื่อการทำงานของเว็บไซต์ (functional cookie) คุกกี้ประเภทนี้ทำให้เว็บไซต์สามารถจดจำผู้เข้ามาใช้บริการหรือเยี่ยมชมเว็บไซต์และค่าที่ผู้ใช้บริการเลือก โดยข้อมูลดังกล่าวจะถูกนำไปใช้ในการจัดเนื้อหาบนหน้าเว็บไซต์ให้เหมาะสมกับผู้เข้าชมเว็บไซต์แต่ละรายได้ เช่น ภาษาที่ใช้ รายงานสภาพอากาศในประเทศไหน หรือ การ Log in เข้าระบบโดยอัตโนมัติ

(3) คุกกี้ข้อมูลสถิติ (statistics cookie) คุกกี้ประเภทนี้จะทำหน้าที่ในการจัดเก็บสถิติในด้านต่าง ๆ เกี่ยวกับการเข้าชมเว็บไชต์ เช่น มีการเข้าชมหน้าไหนบ้าง มีการคลิกเข้าปุ่มเมนู​หรือลิงค์ใดบ้าง โดยวัตถุประสงค์ของคุกกี้นี้มีเพื่อการพัฒนาปรับปรุง website functions

(4) คุกกี้เพื่อการตลาด (marketing cookie) คุกกี้ประเภทนี้จะทำการติดตามกิจกรรมต่าง ๆ ที่ผู้บริโภคทำบนช่องทางออนไลน์ และช่วยในการส่งเสริมการขายโดยการปล่อยโฆษณาต่าง ๆ ไปยังผู้บริโภคได้อย่างสอดคล้องกับพฤติกรรมของผู้บริโภคแต่ละรายให้มากยิ่งขึ้น

สิ่งที่ควรดำเนินการหากหน้าเว็บไซต์มีการใช้คุกกี้

(1) ต้องทราบก่อนว่าการใช้คุกกี้แต่ละประเภทนั้นเป็นไปเพื่อวัตถุประสงค์อะไร

(2) จัดทำรายละเอียดเกี่ยวกับการใช้คุกกี้ (Cookie Policy/Cookie Notice/Cookie Statement) เพื่ออธิบายถึงวัตถุประสงค์ในการใช้คุกกี้ รายละเอียดในการใช้และเปิดเผย และวิธีการให้ หรือถอนความยินยอมในการใช้คุกกี้ ระยะเวลาการจัดเก็บ ฯลฯ เพื่อให้สอดคล้องกับ PDPA มาตรา 23

(3) จัดทำหน้าต่างแสดงคำอธิบาย (overlay or banner) เกี่ยวกับรายละเอียดการใช้งานคุกกี้และการขอความยินยอม

(4) ต้องมั่นใจว่าหน้าต่างแสดงคำอธิบายและจัดเก็บความยินยอมสามารถเห็นได้ง่าย และปรากฏอยู่จนกว่าผู้เข้าชมเว็บไซต์จะได้ให้ หรือไม่ให้ความยินยอม

(5) ในกรณีที่หน้าเว็บไซต์มีการใช้คุกกี้เพื่อการตลาด ควรพิจารณาถึงเรื่องหลักความโปร่งใสในการประมวลผลข้อมูลเป็นสำคัญ​

(6) กรณีมีการประมวลผลข้อมูลร่วมกับบุคคลที่สาม เช่น outsourcing ควรคำนึงถึงเรื่องการจัดทำสัญญาการประมวลผลข้อมูลส่วนบุคคล (data processing agreement) เพื่อกำหนดกรอบหน้าที่และความรับผิดระหว่างองค์กรกับบุคคลภายนอกให้ชัดเจน

(7) เมื่อมีการเปลี่ยนแปลงทางด้านเทคนิค (technical change) ต้องทำการตรวจสอบว่ากระบวนการต่าง ๆ ในข้อ (1)-(6) ยังไม่มีความถูกต้องหรือสอดคล้องกับสิ่งที่แก้ไขหรือมีการปรับปรุงให้มีความถูกต้องแล้ว

การตั้งค่า Web Browser (เว็บเบราว์เซอร์)

การตั้งค่า web browser ของหน้าเว็บไซต์ที่มีการใช้คุกกี้ ถือว่ามีความสำคัญอย่างยิ่งในการลดโอกาสที่จะเกิดการละเมิดต่อพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ โดยมีแนวทางในการปฏิบัติดังต่อไปนี้

(1) ควรตั้งค่าเริ่มต้นไม่ให้มีการเก็บข้อมูลคุกกี้ของผู้เข้าเยี่ยมชมเว็บไซต์จนกว่าผู้เข้าชมเว็บไซต์จะได้รับแจ้งข้อมูลเกี่ยวกับการประมวลผลโดยคุกกี้ที่ชัดแจ้งและเข้าใจได้ง่ายตามเงื่อนไขของ PDPA มาตรา 23

(2) ผู้เข้าชมเว็บไซต์ได้ให้ความยินยอมแล้วภายหลังจากการได้รับแจ้งข้อมูลตามข้อ (1) ตามเงื่อนไขของหลักความยินยอมที่ชอบด้วยกฎหมาย (valid consent, PDPA มาตรา 19)

(3) หน้าเว็บไซต์ต้องจัดให้มีช่องทางให้ผู้ใช้ตั้งค่าในการ “อนุญาต” หรือ “ไม่อนุญาต” ให้เว็บไซต์ทำการจัดเก็บคุกกี้ประเภทใดประเภทหนึ่งได้

(4) หน้าเว็บไซต์จะกำหนดค่าตั้งต้นเป็น “อนุญาต” ให้ใช้คุกกี้ประเภทที่ (2)-(4) ไม่ได้ ผู้ใช้งานเว็บไซต์ต้องเป็นผู้เลือกในการอนุญาตให้ใช้คุกกี้ประเภทที่ (2)-(4) ด้วยตนเอง (affirmative action of consent)

(5) หน้าเว็บไซต์ต้องจัดให้มีช่องทางลบคุกกี้ที่ถูกอนุญาตให้ทำการจัดเก็บไปแล้วก่อนหน้า และให้ผู้ใช้สามารถแก้ไขเปลี่ยนแปลงความยินยอมได้ (right to withdrawal of consent, PDPA มาตรา 19)

กล่าวโดยสรุปคือ การใช้คุกกี้จะสามารถกระทำได้ก็ต่อเมื่อได้รับ “ความยินยอม” จากผู้เข้าชมเว็บไซต์ บนเงื่อนไขของการแจ้งถึงวัตถุประสงค์และรายละเอียดของการประมวลผลโดยชัดแจ้ง และความยินยอมดังกล่าวต้องให้อิสระแก่ผู้เข้าชมเว็บไซต์ในการเลือกยินยอมหรือไม่ยินยอมได้ โดยการไม่ยินยอมให้ใช้คุกกี้ต้องไม่เป็นอุปสรรคต่อการเข้าเว็บไซต์ (เว้นแต่ส่วนที่เป็น “คุกกี้ที่จำเป็น” เท่านั้น) รวมถึงต้องจัดให้มีช่องทางในการยกเลิกหรือเพิกถอนความยินยอมให้ผู้เข้าชมเว็บไซต์สามารถทำได้ตลอดเวลา และอีกประเด็นหนึ่งที่สำคัญคือ ต้องมั่นใจว่าจะไม่มีการใช้คุกกี้ใด ๆ นอกเหนือไปจากประเภทของคุกกี้ที่ได้แจ้ง ภายใต้ขอบวัตถุประสงค์ที่ชอบด้วยกฎหมาย และเพียงเท่าที่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเท่านั้น

การใช้คุกกี้โดยไม่ชอบด้วยกฎหมายอาจมีความรับผิดตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เป็นโทษปรับทางปกครองไม่เกิน 3 ล้านบาทเลยทีเดียว

ชิโนภาส อุดมผล

Optimum Solution Defined (OSD)

ศุภวัชร์ มาลานนท์

Certified Information Privacy Professional/E

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์