พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือที่เรียกกันย่อๆ ว่า PDPA ซึ่งย่อมาจาก Personal Data Protection Act นั้น PDPA เป็นกฎหมายที่ได้ต้นแบบมาจากกฎหมายเรื่องการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปที่เรียกกันย่อๆ ว่า GDPR ซึ่งย่อมาจาก The General Data Protection Regulation และกฎหมายตัวนี้มีผลกระทบอย่างมากต่อเว็บไซต์ต่างๆ ที่ใช้งานในสหภาพยุโรป ซึ่งแทบทุกเว็บไซต์ใช้ cookie เพื่อเก็บข้อมูลและพฤติกรรมของผู้เข้าชมเว็บไซต์ เนื่องจากตอนนี้ PDPA  ของไทยเองยังไม่ได้ระบุเรื่องของ cookie โดยเฉพาะเจาะจง ในขณะที่ทุกวันนี้บ้านเราเองก็ใช้เว็บไซต์หรือระบบออนไลน์ต่างๆ เป็นเรื่องปกติในชีวิตประจำวัน และเช่นเดียวกับเว็บไซต์ต่างๆ ทั่วโลกที่ใช้ cookie ในการเก็บข้อมูลผู้ใช้งานเช่นกัน วันนี้เราจะมาเจาะเรื่อง GDPR ที่เกี่ยวกับการใช้ cookie บนเว็บไซต์และการขอความยินยอมกับผู้ใช้งาน เพื่อเป็นตัวอย่างกับการปรับใช้กับกฎหมาย PDPA ของไทย ซึ่งมีความคล้ายคลึงกัน

ใครที่ท่องอินเทอร์เน็ตเป็นประจำคงคุ้นหูกับคำว่าคุกกี้ (Cookies) กันมาบ้าง ประโยชน์ของมันมีหลายอย่าง เช่น ช่วยให้เราไม่ต้องล็อกอินเข้าเว็บไซต์ที่เคยเข้าไปดูแล้ว หรือต้องกรอกแบบฟอร์มที่เคยกรอกไปแล้ว และที่ชัดเจนมากคือความสามารถที่ทำให้เว็บไซต์ต่างๆ แสดงข้อมูลในแบบที่เราชอบ หรือสนใจ ซึ่งอาจถือว่าเป็นข้อดี แต่อันตรายของมันก็มีไม่น้อย ไม่ว่าจะเป็นการสปายแอบเก็บข้อมูลส่วนตัวต่างๆ ของเรา เพื่อส่งโฆษณามาในเครื่องหรือบางครั้งอาจถูกสวมรอยเจาะเข้าบัญชีเงินฝากได้อีก

Cookie คืออะไร?

Cookies ในภาษาคอมพิวเตอร์ คือ HTTP Header รูปแบบหนึ่งที่ประกอบไปด้วยข้อความ Text ตามแต่ละเว็บไซต์และจะถูกบันทึกลงบนบราวเซอร์ของเราเมื่อเราแวะเข้าไปชมเว็บไซต์นั้นๆ โดยจุดประสงค์หลักก็คือการทำให้เจ้าของเว็บไซต์สามารถจัดเก็บข้อมูลบางอย่างไว้ที่เว็บบราวเซอร์ของผู้ใช้งาน เช่น ข้อมูลแบบฟอร์มที่เคยกรอก ข้อมูลที่บันทึกว่าเคยมีการเข้ามาที่เว็บไซต์แห่งนี้ ข้อมูลการตั้งค่าต่างๆ ของเว็บไซต์ โดยเว็บบราวเซอร์ตัวแรกที่มีการนำ Cookies มาใช้งานคือ Netscape Navigator 1.0

Cookies มี 2 ประเภท คือ

1. Cookies ของเว็บไซต์ที่เราเข้าชมเป็นผู้สร้างขึ้นเอง
2. Cookies ของ Third-Party หรือเว็บไซต์บุคคลที่สาม ซึ่งเว็บไซต์อื่นๆ ที่เป็นเจ้าของเนื้อหาบางอย่าง เช่น โฆษณา เป็นผู้สร้างขึ้น


ดังที่เล่าไปแล้วในตอนต้นว่า Cookies มีประโยชน์แต่ก็มีโทษไม่น้อย เพราะข้อมูลส่วนตัวของคุณอาจถูกลักลอบส่งกลับไปยังเว็บไซต์ไม่พึงประสงค์ จนนำไปสู่การถูกแฮกข้อมูลบัญชีใช้งาน โดยเฉพาะอย่างยิ่งข้อมูลเกี่ยวกับการทำธุรกรรมออนไลน์ ใครช้อบปิ้งออนไลน์บ่อยๆ ควรต้องระมัดระวังไว้ให้มากขึ้น

 

กฎหมาย GDPR ของยุโรปมีข้อกำหนดเรื่องการขอความยินยอมในการเก็บ cookie ของผู้ใช้งานเว็บไซต์อย่างไร

GDPR cookie consent หรือข้อบังคับของ GDPR เกี่ยวกับการต้องได้รับการอนุญาตหรือยินยอมให้ใช้ cookie จากผู้ใช้งานก่อน กล่าวคือให้ผู้ใช้งานเว็บไซต์สามารถระบุได้ว่าจะอนุญาตให้เว็บไซต์ใช้ cookie ในการเก็บข้อมูลส่วนบุคคลของเขาหรือไม่และยอมให้ใช้ cookie ตัวใดบ้าง ก่อนที่ cookie จะสามารถทำงานในการเก็บข้อมูลและนำข้อมูลนั้นไปประมวลผลและใช้งานได้ ซึ่งกฎนี้มีผลบังคับใช้ตั้งแต่ 25 พฤษภาคม 2018

GDPR ระบุให้ในคำขอความยินยอมให้เก็บ cookie (cookie consent) ต้องแจ้งข้อมูลเหล่านี้ให้ผู้ใช้งานทราบ

• แจ้งข้อมูลว่าทำไมถึงมีการเก็บข้อมูล และข้อมูลจะถูกใช้อย่างไร โดยใคร ที่ไหน เอกสารการให้ความยินยอมต้องมีข้อความที่ชัดเจนและต้องสามารถเลือกได้ว่าจะเลือกให้ใช้หรือไม่ใช้ cookie ประเภทไหน หรือตัวใด
• การแจ้งข้อมูลกับผู้ใช้งานถือเป็นยืนยันว่าจะทำตามนั้นจริง ต้องเป็นข้อความเชิงบวกไม่มีการใช้ถ้อยคำข่มขู่หรือกำกวมที่อาจทำให้เกิดความเข้าใจผิดได้
• การขอความยินยอมต้องทำก่อนที่จะทำการเก็บหรือทำการใดๆ กับข้อมูลส่วนบุคคล
• ต้องง่ายต่อการขอยกเลิก ผู้ใช้งานต้องสามารถถอนความยินยอมเมื่อใดก็ได้ที่เปลี่ยนใจ
• ผู้ใช้งานที่เป็นเจ้าของข้อมูลมีสิทธิที่จะขอให้ลบข้อมูลที่ถูกเก็บไว้ทั้งหมดเมื่อไหร่ก็ได้
• เอกสารการให้ความยินยอมทั้งหมดต้องถูกบันทึกเป็นเอกสารที่สามารถเรียกดูได้
  
  

The Court of Justice of the European Union (CJEU) ออกกฎว่า แบนเนอร์ที่ขอความยินยอมในการเก็บ cookie ไม่อนุญาตให้มีเครื่องหมายถูกไว้ก่อนในช่องยินยอม ทำให้แบนเนอร์ขอความยินยอมของหลายๆ เว็บไซต์ที่ทำขึ้นก่อนกฎหมายใหม่ออกมาถือว่าใช้ไม่ได้ ตัวอย่างเช่น Pop up แบนเนอร์ที่ใช้คำว่า ‘By using this site, you accept cookies’  นั้นใช้ไม่ได้กับกฎหมายใหม่ หรือการใช้เพียงปุ่ม OK เพื่อยอมรับการเก็บ cookie ก็ใช้ไม่ได้กับกฎหมายนี้เช่นกัน

 

ตัวอย่างแบนเนอร์ขอความยินยอมที่ไม่ถูกต้องตามกฎของ EU 

 ส่วนภาพนี้คือตัวอย่างแบนเนอร์ขอความยินยอมที่ถูกต้องตามกฎของ EU 

แบนเนอร์นี้ถูกต้องเพราะ

1. เห็นได้ชัดเจน และจะแสดงอยู่จนกระทั่งผู้ใช้ติ๊กเลือกแบบใดแบบหนึ่ง
   
   
2. แสดงก่อนที่จะใช้ cookie (prior consent) ผู้ใช้งานต้องให้ความยินยอมก่อนจะมีการใช้ cookie
   
   
3. ข้อมูลเกี่ยวกับ cookie ถูกต้องและระบุชัดเจน โดยใช้ภาษาตรงไปตรงมาเข้าใจง่าย เพราะ GDRP ระบุให้ผู้ใช้งานต้องได้รับทราบรายละเอียดครบถ้วนเกี่ยวกับประเภทของ cookie ที่จะมีการเก็บบนเว็บไซต์
   
   
4. Cookie ประเภทต่างๆ ที่ใช้บนเว็บไซต์ถูกแสดงเป็นรายการอย่างชัดเจนว่าแต่ประเภทใช้เพื่อวัตถุประสงค์ใดและจะมีการเก็บข้อมูลไว้นานเท่าไหร่
   
   
5. Cookie ถูกจัดกลุ่มให้ผู้ใช้งานโดยทั่วไปเข้าใจง่าย
   
   
6. Cookie (Necessary cookie) ที่จำเป็นต้องถูกติ๊กเลือกไว้ เพราะถ้าไม่มี cookie ประเภทนี้เว็บไซต์จะไม่สามารถแสดงผลได้หรือทำงานได้หรือไม่สามารถทำงานได้อย่างถูกต้อง
   
   
7. ผู้ใช้งานสามารถเข้าถึงคำยินยอมที่ให้ไว้บนเว็บไซต์และสามารถเปลี่ยนใจยกเลิกการให้ความยินยอมเมื่อไหร่ก็ได้
   
   
8. การให้ความยินยอมทั้งหมดจะต้องถูกจัดเก็บเป็นเอกสาร
   
   
9. ทุกๆ 12 เดือน นับตั้งแต่ครั้งแรกที่ผู้ใช้งานเข้ามาใช้งานเว็บไซต์ แบนเนอร์ขอความยินยอมการใช้ cookie จะถูกแสดงอีกครั้ง เพื่อขอความยินยอมใหม่ทั้งหมด

โดยองค์กรที่ไม่ทำตามกฎหมายอาจจะโดนโทษปรับสูงสุดถึง €20 ล้านยูโร หรือ 4% ของงบประมาณที่ใช้ของบริษัทในรอบปีที่ผ่านมาขึ้นอยู่กับว่ายอดใดมีมูลค่าสูงกว่ากัน

จะเห็นว่ากฎหมายของยุโรปมีความเข้มงวดมากและมาตรการในการลงโทษเป็นจำนวนเงินที่ค่อนข้างสูงมาก สำหรับประเทศไทยก็คงต้องดูกันต่อไปเมื่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ตั้งขึ้นเรียบร้อยและทำการออกกฎเกณฑ์ต่างๆ ในรายละเอียด ในเรื่องการเก็บ cookie ของเว็บไซต์ไทยจะเป็นอย่างไรต่อไป  

 

อ้างอิง

https://www.cookiebot.com/en/gdpr-cookies/?gclid=Cj0KCQjwzN71BRCOARIsAF8pjfiptEapIQLSHRMterTCkWkbgw10gqOfYIIKwjYYui_RAAqSwK08ZX0aAresEALw_wcB