อ้างอิงตามกฏหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล Personal Data Protection Act (PDPA) ในไทยที่กำลังจะมีผลบังคับใช้ในวันที่ 1 มิถุนายน พ.ศ. 2565 นี้ กำหนดให้เว็บไซต์ต่าง ๆ ที่มีการเก็บข้อมูลผู้ใช้งานผ่านการใช้คุกกี้ (Web Cookie) จะต้องพัฒนาระบบบริหารจัดการความยินยอมในการเก็บข้อมูลด้วย Cookie Consent Banner ซึ่งในบทความนี้เราจะขอเรียกสั้น ๆ ว่า Cookie Banner
แม้ว่าในปัจจุบันไม่ว่าใครก็ตามที่มีเว็บไซต์เป็นของตัวเอง หรือเป็นเว็บไซต์ขององค์กร ก็สามารถทำ Cookie Banner ได้ง่าย ๆ เพราะมีเครื่องมือต่าง ๆ ที่ช่วยในการทำ Cookie Banner ทั้งแบบฟรี และแบบเสียค่าบริการเป็นรายเดือนให้เราสามารถเลือกใช้ได้ตามความสะดวก
แต่รู้หรือไม่ ไม่ว่าจะเป็นเครื่องมือฟรี หรือเป็นเครื่องมือที่เราลงทุนเสียเงินเพื่อซื้อมาทำ Cookie Banner ตามกฏหมาย PDPA ก็ตาม ถ้าหากติดตั้ง หรือปรับแต่งไม่ถูกต้อง ก็ถือว่ายังผิดต่อข้อกฏหมาย PDPA อยู่ดี ดังนั้นในบทความนี้จะพามาดู 8 ข้อควรระวังเมื่อคุณต้องทำ Cookie Banner ด้วยตัวเองให้ถูกต้องตามข้อกฏหมาย PDPA
แต่หากคุณยังไม่แน่ใจว่าเว็บไซต์ของคุณต้องใช้ Cookie Banner มั้ยทางเรามีบทความ อธิบาย Cookie วิธีที่นักการตลาดติดตามเราบนโลกออนไลน์ พร้อมวิธีตรวจเช็ค Cookie แบบบ้าน ๆ ที่จะช่วยให้คุณเข้าใจคุกกี้ในเว็บไซต์ให้มากยิ่งขึ้น
8 ข้อแนะนำสำหรับการทำ Cookie Banner
สำหรับข้อแนะนำทั้ง 8 ข้อนี้ เกิดจากการให้คำปรึกษา และพัฒนา Cookie Banner ให้กับลูกค้าหลาย ๆ ที่ จนพบจุดร่วมที่เจ้าของเว็บไซต์ส่วนใหญ่มักทำผิดพลาดได้ง่าย ซึ่งข้อผิดพลาดที่กล่าวถึงในบทความนี้ ส่วนใหญ่เกิดจากการขาดความรู้ความเข้าใจในข้อกฏหมาย PDPA และอีกส่วนนึงคือเป็นข้อผิดพลาดในการตั้งค่าระบบ
1. Cookie Banner ต้องมาพร้อมกับนโยบายคุกกี้ (Cookie Policy)
ตามกฏหมาย PDPA แล้ว นอกจากผู้พัฒนาเว็บไซต์จะต้องใช้ Cookie Banner เพื่อขอความยินยอมก่อนการเก็บข้อมูลการใช้งานแล้ว ผู้พัฒนายังต้องแจ้งให้ผู้ใช้ทราบอย่างละเอียดถึงรายละเอียดการใช้งานคุกกี้แต่ละแบบ ซึ่งในทางกฏหมายจะระบุให้ทำเอกสารที่ชี้แจงการใช้งานคุกกี้ในเว็บไซต์อย่างเป็นระบบผ่านเอกสารที่ชื่อว่า Cookie Policy
โดย Cookie Policy หรือ นโยบายคุกกี้ คือ เอกสารที่ใช้อธิบายให้ผู้ใช้งานเข้าใจเกี่ยวกับคุกกี้ รายละเอียดคุกกี้ที่ใช้ในเว็บไซต์โดยละเอียด (ทางเราแนะนำว่าไม่ควรคัดลอกจากที่อื่นมาแปะโต้ง ๆ เพราะแต่ละเว็บไซต์ใช้คุกกี้ไม่เหมือนกัน ซึ่งอาจจะส่งผลในเชิงกฏหมาย ในกรณีที่มีคนร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในภายหลัง) ไปจนถึงการลบคุกกี้ด้วยตัวผู้ใช้เอง หากใครทำ Cookie Banner แล้วยังไม่มีการเขียนนโยบายคุกกี้ในเว็บไซต์ เราขอแนะนำ Template Cookie Policy ของ DGA เพื่อให้ทุกท่านไปปรับแต่งใช้ได้ตามความเหมาะสม หรือดูตัวอย่างนโยบายคุกกี้ ของ Datayolk
2. เลือกวิธีการให้ความยินยอมที่ชัดเจน (Explicit Consent) ผ่านการกดปุ่ม ใน Cookie Banner เท่านั้น
ตามข้อกฏหมาย PDPA อ้างอิงจาก Thailand Data Protection Guideline 3.0 กำหนดให้ในการใช้งานข้อมูลส่วนบุคคลต้องมีการขอความยินยอมอย่างชัดแจ้ง (Explicit Consent) ซึ่งในที่นี้หมายถึง การที่เจ้าของข้อมูล (ผู้ใช้งาน) ลงมือกระทำบางอย่าง เพื่อจุดประสงค์ในการให้ความยินยอมในการเก็บและใช้ข้อมูลเป็นหลัก ไม่ใช่การกระทำที่ผู้ใช้ทำเพื่อจุดประสงค์อื่น ดังนั้นหมายความว่าวิธีการขอความยินยอมในตัวอย่างที่จะกล่าวดังต่อไปนี้ ไม่ถือเป็นการขอความยินยอมอย่างชัดแจ้งในเชิงกฏหมายได้แก่
การเลื่อนหน้าจอไม่ถือเป็นการให้ความยินยอมในการเก็บข้อมูลที่ถูกต้อง
การเลื่อนหน้าจอ (Scroll) เพื่ออ่านบทความ มีจุดประสงค์หลักเพื่ออ่านบทความ แต่ในบางเว็บไซต์จะถือว่าเมื่อเราเลื่อนหน้าจอ จะถือว่าเรายินยอมให้เก็บข้อมูลด้วยซึ่งไม่ถูกต้องในเชิงกฏหมาย
การไม่สนใจ Cookie Consent Banner ไม่ถือเป็นการให้ความยินยอมในการเก็บข้อมูลที่ถูกต้อง
ในบางเว็บไซต์จะมีการตั้งเวลาสำหรับแสดง Cookie Banner เอาไว้ เมื่อผู้ใช้ไม่ได้กดอะไรใน Banner ตัว Banner จะหายไปและเลือกความยินยอมผู้ใช้โดยอัติโนมัติซึ่งไม่ถูกต้องในเชิงกฏหมาย
รูปแบบที่เหมาะสมที่สุดคือการสร้างปุ่มสำหรับให้ผู้ใช้เลือก ให้ หรือ ไม่ให้ ความยินยอมในการเก็บข้อมูล
3. สร้างปุ่มที่ให้ผู้ใช้เลือก / ไม่เลือกให้ความยินยอมในการเก็บข้อมูลอย่างชัดเจน
Cookie Banner ที่ดีต้องมีทางเลือกให้ผู้ใช้ให้ความยินยอม และไม่ให้ความยินยอมในการเก็บข้อมูลอย่างชัดเจนในรูปแบบปุ่มกด ที่แยกออกมาสองปุ่มอย่างชัดเจน เจ้าของเว็บไซต์สามารถสร้างปุ่ม ยอมรับทั้งหมด และไม่ยอมรับทั้งหมดได้ โดยต้องมีส่วนที่ผู้ใช้สามารถเลือกปรับแต่งการให้ความยินยอมคุกกี้แต่ละประเภทได้
ในบางเว็บไซต์ที่มีการพัฒนา Cookie Banner แบบที่ไม่ถูกต้อง จะใช้ Cookie Banner ประเภทที่เรียกว่า Notice Only ซึ่งจะเป็น Cookie Banner ที่จะแจ้งให้ผู้ใช้ทราบว่ามีการใช้คุกกี้ในเว็บไซต์เฉย ๆ โดยไม่มีช่องทางให้ปฏิเสธการใช้งานคุกกี้ (Cookie Banner ประเภท Notice Only จะใช้ได้ก็ต่อเมื่อในเว็บไซต์นั้น มีแต่คุกกี้ที่จำเป็น (Necessary Cookies) ที่เปิดใช้งานอยู่)
4. แยกประเภทคุกกี้ ทั้งคุกกี้ที่จำเป็น (Necessary Cookies) และคุกกี้ที่ไม่จำเป็น (Non-Necessary Cookies)
ถึงแม้ว่าโดยทั่ว ๆ ไปแล้วเราจะต้องขอความยินยอมในการใช้คุกกี้กับผู้ใช้ก่อน แต่คุกกี้บางประเภทจำเป็นจะต้องเปิดใช้งานอยู่ตลอดเวลาโดยไม่สามารถปิดการใช้งานได้ หากปิดการใช้งาน อาจจะทำให้เว็บไซต์ของเราทำงานผิดปกติ ดังนั้นใน Cookie Banner โดยทั่ว ๆ ไป เราควรแบ่งกลุ่มคุกกี้ออกมาเป็น 3 กลุ่มเพื่อให้ผู้ใช้เลือกการให้ความยินยอมได้ตรงกับความต้องการของตัวเองมากที่สุดได้แก่
- คุกกี้ที่จำเป็น (Necessary Cookies)
คุกกี้ในส่วนนี้เราจะตั้งค่า ให้เปิดใช้งานอยู่ตลอดเวลา และไม่สามารถปิดได้ เป็นคุกกี้ที่เกี่ยวกับการทำงานของเว็บไซต์โดยตรง - คุกกี้สำหรับการวิเคราะห์ข้อมูล (Analytics Cookies)
คุกกี้สำหรับการวิเคราะห์ข้อมูลที่เน้นใช้เพื่อเก็บข้อมูลเพื่อปรับปรุงประสิทธิภาพในเว็บไซต์เป็นหลักอย่างเช่น คุกกี้จาก Google Analytics, Hotjar และ truehits เป็นต้น คุกกี้ประเภทนี้ต้องถูกปิดการใช้งานไว้เป็นค่าเริ่มต้นและผู้ใช้จะต้องเลือกให้ความยินยอมในการเก็บข้อมูลด้วยตัวเอง - คุกกี้สำหรับการทำการตลาด (Marketing Cookies)
คุกกี้สำหรับการทำการตลาด เป็นคุกกี้ที่คนส่วนใหญ่จะไม่ค่อยให้ความยินยอมในการเก็บข้อมูล เพราะจะทำให้มีการยิงโฆษณาไปในทุก ๆ เว็บไซต์ที่ผู้ใช้ ใช้งานอยู่ เมื่อเทียบกับคุกกี้สำหรับการวิเคราะห์ข้อมูลที่เป็นการแค่การเก็บข้อมูลพฤติกรรมการใช้งานเฉย ๆ คุกกี้ประเภทนี้ต้องถูกปิดการใช้งานไว้เป็นค่าเริ่มต้น และผู้ใช้จะต้องเลือกยินยอมในการให้เก็บข้อมูลด้วยตัวเองเหมือน คุกกี้สำหรับการวิเคราะห์ข้อมูล
สำหรับใครที่ยังไม่แน่ใจว่าคุกกี้ในเว็บไซต์ของตัวเองมีอะไรบ้างและแต่ละอันจัดเป็นคุกกี้เป็นประเภทไหน เราขอแนะนำเว็บไซต์สำหรับตรวจเช็คคุกกี้โดยตรง เช่น CookieServe, CookieBot
5. ไม่แอบเลือกให้ความยินยอมในการเก็บข้อมูลไว้ตั้งแต่แรก (Opt-in Consent)
ตามกฏหมายระบุไว้ว่า ในการขอความยินยอมจากผู้ใช้งาน ทางเจ้าของเว็บไซต์จะต้องให้อิสระในการเลือกให้ หรือไม่ให้ความยินยอมในระดับที่เท่า ๆ กัน ซึ่งหมายความว่าจะต้องไม่ถือวิสาสะเลือกตัวเลือกบางอย่างให้ผู้ใช้ก่อน
ซึ่งในต่างประเทศ จะถือว่าการเลือกบางสิ่งบางอย่างไว้ให้ก่อน ถือเป็นเทคนิคในเชิงการออกแบบที่จงใจชักจูงให้ผู้ใช้กระทำบางอย่าง (Dark Pattern) โดยผลวิจัยจากการทดลองออกแบบโดยเลือกตัวเลือกบางอย่างไว้ให้ก่อนอยู่แล้ว พบว่ากว่า 45% ของผู้ร่วมการทดสอบยอมรับตัวเลือกที่เลือกไว้ให้ก่อน (ในผลวิจัย เป็นเกี่ยวกับการเลือกตัวเลือกเรื่องการให้หักเงินเดือนส่วนหนึ่งเข้ากองทุนเกษียนอายุ) จึงทำให้การใช้เทคนิคนี้ ไม่ถือเป็นการขอความยินยอมโดยปราศจากการชี้นำในเชิงกฏหมาย
ดังนั้นจึงสรุปได้ว่า
ถ้าผู้ใช้ไม่ได้ให้ความยินยอมด้วยการเลือกด้วยตัวเอง = ใช้คุกกี้เก็บข้อมูลไม่ได้
ถ้าผู้ใช้กดปุ่มเลือกให้ความยินยอมผ่านการกดปุ่ม = สามารถใช้คุกกี้เพื่อเก็บข้อมูลได้ตามข้อตกลงนั้น
6. มีช่องทางให้ผู้ใช้สามารถเปลี่ยนแปลงการให้ความยินยอมคุกกี้ได้ในภายหลัง
เมื่อผู้ใช้ได้ให้ความยินยอมในการเก็บข้อมูลไปแล้ว ผู้ใช้สามารถถอนความยินยอมในภายหลังได้โดยง่าย เหมือนตอนให้ความยินยอม ซึ่งสาเหตุการถอนความยินยอมอาจจะเกิดจากได้หลายสาเหตุเช่น เปลี่ยนใจในภายหลัง ,มีการเปลี่ยนแปลงนโยบายคุกกี้ใหม่ ที่ไม่ตรงกับความต้องการของผู้ใช้ โดยรูปแบบที่ถูกต้องคือการสร้างปุ่มเล็ก ๆ ที่ปรากฏอยู่ตลอดเวลา เพื่อให้ทางผู้ใช้สามารถปรับเปลี่ยนความยินยอมได้สะดวก เหมือนตอนให้ความยินยอม
7. เมื่อมีการแก้ไขนโยบายคุกกี้ ระบบจะต้องสร้าง Cookie Banner ขึ้นมาใหม่เพื่อขอความยินยอมอีกครั้งทั้งกับผู้ใช้ใหม่และผู้ใช้เก่า
ในกรณีที่มีการเปลี่ยนแปลงนโยบายคุกกี้ไม่ว่าจะเป็นการเพิ่ม Marketing Cookie เข้าไป, มีการเปลี่ยนทีมการตลาด (มีการส่งออกไปให้บุคคลที่สามประมวลผลข้อมูลอีกที) ที่เข้ามาช่วยดูแล Google Analytics Account หรือมีการนำคุกกี้บางตัวออก ทางผู้พัฒนาจะต้องทำการขอความยินยอมในการใช้คุกกี้ใหม่ เพื่อให้ตอบรับกับตัวนโยบายตัวใหม่
หรือในอีกกรณีนึงคือ ถ้าที่ผ่านมาไม่เคยขอความยินยอมการใช้คุกกี้กับผู้ใช้เลย (ช่วงก่อนกฏหมาย PDPA) การจะใช้งานคุกกี้ต่อไป ต้องกลับไปขอความยินยอมจากผู้ใช้เก่า ๆ ที่ไม่เคยได้ขอความยินยอมไว้ก่อนด้วย
ในฝั่งนักพัฒนาซอฟแวร์ หรือเจ้าของเว็บไซต์ การขอความยินยอมใหม่ในที่นี้ คือการอัพเดตเป็น Version ใหม่ ซึ่งบางเครื่องมือเมื่อเรากับอัพเดตเวอร์ชั่นใหม่ ระบบจะสร้าง Cookie Banner ตัวใหม่เพื่อขอความยินยอมอีกรอบให้โดยอัติโนมัติ
8. มีการบล็อคไม่เปิดใช้งานคุกกี้ก่อนได้รับความยินยอมจากผู้ใช้งาน
ในข้อนี้ อาจจะดูเหมือนข้อที่ 5 แต่แท้จริงแล้ว ปัญหาข้อที่ 8 นี้เกิดจากการตั้งค่า Cookie Banner แบบผิด ๆ โดย Cookie Banner Plugin ที่ดีจะต้องมีช่องสำหรับให้ใส่ Cookie Script ไว้ใน Plugin เลย เพื่อให้คุกกี้ทำงานตามเงื่อนไขของ Plugin ซึ่งหากเราไม่รู้ว่าในเว็บไซต์ของเรามีคุกกี้อะไรบ้าง แล้วใช้ Cookie Banner ไปเลยก็มีโอกาสที่เราจะตั้งค่าผิดพลาดได้
/// ตัวอย่าง Cookie Script ของ Google Analytics
<script
async
src="https://www.googletagmanager.com/gtag/js?id=G-0JGXXQLTXX"
></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag() {
dataLayer.push(arguments);
}
gtag('js', new Date());
gtag('config', 'G-0JGXXQLTXX');
</script>แล้ว Cookie Banner ที่ถูกต้องมีหน้าตาเป็นอย่างไร ?
Cookie Banner ที่ดีจะประกอบไปด้วย 3 ส่วนโครงสร้างหลักอันได้แก่
- Consent Banner ส่วนที่จะเป็น Banner ที่จะปรากฏขึ้นมาในครั้งแรกของการเข้าใช้งานเว็บไซต์ ซึ่งจะเปิดให้ผู้ใช้เลือกการให้ความยินยอมได้อย่างละเอียดผ่าน Setting Modal และอ่านรายละเอียดเกี่ยวการใช้คุกกี้อย่างละเอียดผ่าน ลิ้งค์ Cookie Policy
- Settings Modal คือส่วนการบริหารจัดการหลักของส่วนคุกกี้แต่ละประเภทซึ่งจะมีรายละเอียดของ Cookie แต่ละหมวดหมู่ รายชื่อคุกกี้ที่ใช้ และปุ่มการเลือก ให้ / ไม่ให้ ความยินยอม
ถ้าเป็นไปได้ เราสามารถแนบลิ้งค์ติดต่อเรา ในกรณีที่ผู้ใช้มีปัญหาข้อสงสัยเกี่ยวกับคุกกี้ในเว็บไซต์ได้เช่นกัน - Reconsent Button คือปุ่มเล็ก ๆ ที่ให้ผู้ใช้สามารถเลือกแก้ไขความยินยอมในภายหลัง หลังจากเคยให้ความยินยอมไปแล้วในครั้งแรกได้อย่างสะดวก
ถ้าอยากจะให้ความสำคัญกับความเป็นส่วนตัวมากขึ้นอีกนิด นอกจาก Cookie Banner แล้วยังต้องทำอะไรอีกในเว็บไซต์
นอกจากคุกกี้ที่เรา “จงใจ” ติดตั้งในเว็บไซต์แล้วไม่ว่าจะติดตั้งเพื่อให้เว็บไซต์ทำงานได้เพื่อทำการวิเคราะห์ข้อมูลทางการตลาด หรือเพื่อทำโฆษณา แต่ในความเป็นจริงแล้ว Third Party Service บางอย่างก็อาจจะมีคุกกี้แนบมาด้วย ถ้าอธิบายให้เห็นภาพที่สุดก็คือ คุกกี้ที่มาจาก iframe นั่นเอง
โดย iframe ที่นักพัฒนา หรือเจ้าของเว็บไซต์ส่วนใหญ่ต้องคุ้นเคยเป็นอย่างดีก็คือการ Embedded Video หรือ Program อื่น ๆ เข้ามาในโปรแกรมของเราเองอย่างเช่น YouTube, Power BI, Google Map, Data Studio
โดยคุกกี้ที่มากับ iframe เหล่านี้ ในเชิงกฏหมาย PDPA เราสามารถปฏิเสธความรับผิดชอบ (Disclaimer) ผ่านการระบุในนโยบายคุกกี้ ได้ว่าคุกกี้นี้ไม่เกี่ยวกับการบริการของเรา ผู้ใช้ต้องไปศึกษานโยบายความเป็นส่วนตัว (Privacy Policy) ของบริการนั้น ๆ เอง
แต่ถ้าองค์กร หรือเว็บไซต์ของเราอยากจะเป็นผู้นำในด้านการให้ความสำคัญกับความเป็นส่วนตัวให้มากขึ้น ทางเราก็เสนอให้คุณรับผิดชอบส่วนนี้ด้วยผ่านการใช้ iframe manager
iframe manager เป็นการโปรแกรมบริหารจัดการ Consent การใช้งาน iframe ที่อาจจะมี Cookie ติดมาด้วยผ่านการทำ Thumbnail iframe หรือ Banner ที่จะขอความยินยอมผู้ใช้ก่อน ก่อนเปิดใช้งาน iframe โดยผู้ใช้จะสามารถเลือกอ่าน Privacy Policy ของบริการนั้น ๆ ได้ การกดเพื่อใช้งาน iframe วิธีนี้นอกจากจะปกป้องความเป็นส่วนตัวของผู้ใช้อย่างเต็มที่แล้ว ยังทำให้เว็บไซต์เราโหลดเร็วขึ้นมาอีกด้วย
ตัวอย่าง การ Embedded YouTube Video ที่ทำผ่านการใช้ iframe manager
(สำหรับนักพัฒนา iframe manager เป็น open source ที่สามารถนำไปปรับใช้ต่อได้เลย)
เป็นยังไงกันบ้าง หวังว่าบทความนี้จะช่วยให้คุณได้ลองกลับมาตรวจสอบเว็บไซต์ตัวเอง เพื่อหาข้อผิดพลาด และปรับแก้ไขให้ตรงตามข้อกฏหมาย PDPA นะครับ
มีคำถามสงสัยเพิ่มเติม ?
หากคุณสนใจเกี่ยวกับเรื่องที่เราเขียน สิ่งที่เราทำ และโครงการที่เราตั้งใจจะดำเนินงานในอนาคต คุณสามารถติดต่อพูดคุยกับเราได้
แหล่งอ้างอิง
- เอกสาร พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลาจากเว็บไซต์ราชกิจจานุเบกษา
- Thailand Data Protection Guideline 3.0 โดยศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย
- iframe manager
- Scrolling is Not Consent Under the GDPR
- Checklist to collect valid cookie consent
บทความที่เกี่ยวข้อง
รวบรวมประสบการณ์ตรงจากคนจบไม่ตรงสาย แต่สามารถทำงานในตำแหน่ง Software Developer ได้สำเร็จ
จะเริ่มเรียน Coding เลือกอย่างไรดี ? ระหว่าง เรียนรู้ด้วยตัวเอง vs หลักสูตรของมหาลัย vs Coding Bootcamp ในบทความนี้จะมาสรุปข้อดีข้อเสียของแต่ละตัวเลือกกัน
Low-Code ทำให้เราสามารถพัฒนาโปรแกรมได้โดยไม่ต้องเขียนโค้ดเลย แต่ในขณะเดียวกันการไม่เข้าใจเรื่องโค้ดดิ้งก็ทำให้มีความเสี่ยงที่เราจะทำโปรแกรมที่ไม่ปลอดภัยออกมา และทำให้เกิดปัญหาในภายหลัง
บทความนี้ จะรวบรวมเทคนิค และปัญหาการใช้งาน AppSheet ที่มีคนสอบถามจาก Facebook Group เพื่อให้ง่ายต่อการค้นหาวิธีการแก้ไขในภายหลัง
