B2B กับ B2C ความแตกต่างของการทำ PDPA

ในยุคนี้ที่รูปแบบการทำการตลาดเริ่มเปลี่ยนจากการตลาดรูปแบบเดิมอย่างสื่อสิ่งพิมพ์ ไปเป็นการตลาดออนไลน์ที่ผู้บริโภคเข้าถึงสินค้าหรือบริการง่ายเพียงปลายนิ้ว ส่วนที่แทบจะเรียกได้ว่าเป็นหัวใจสำคัญของการตลาดในยุคนี้คือ “ข้อมูล” นั่นเอง

PDPA เกี่ยวข้องกับธุรกิจอย่างไร

การทำการตลาดด้วยการใช้ข้อมูล (Data-Driven Marketing) โดยที่ธุรกิจขอใช้ เก็บหรือรวบรวมข้อมูลจากลูกค้าซึ่งเป็นเจ้าของข้อมูลเพื่อนำข้อมูลเหล่านี้ไปวิเคราะห์ต่อยอดทั้งการตลาดแบบดั้งเดิมและการตลาดออนไลน์ ธุรกิจก็จะต้องมีมาตรฐานความปลอดภัยกับการดำเนินการด้านข้อมูลส่วนบุคคลของลูกค้า ไม่ให้ข้อมูลส่วนบุคคลรั่วไหลซึ่งอาจก่อให้เกิดความเสียหายตามมาได้

ประเทศไทยจึงมีกฎหมายเพื่อคุ้มครองข้อมูลส่วนบุคคลเหล่านี้ กฎหมายนี้คือ PDPA (Personal Data Protection Act) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 โดยจะเริ่มบังคับใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 นี้ ดังนั้น PDPA กับธุรกิจจึงเป็นสิ่งที่แยกออกจากกันไม่ได้

B2B กับ B2C คืออะไร

B2B (Business-to-Business)

คือ การทำการตลาดระหว่างธุรกิจกับธุรกิจ ยกตัวอย่างเช่น บริษัทที่ปรึกษาซอฟแวร์ บริษัทเทรนนิ่งบุคลากร บริษัทที่ขายวัตถุดิบให้กับโรงงานการผลิต finished goods หรือบริษัทให้เช่าอุปกรณ์เครื่องใช้สำนักงานกับองค์กร โดยการตลาดแบบ B2B เน้นเจาะเป้าหมายไปที่กลุ่มลูกค้าที่เป็นองค์กร ซึ่งผู้ใช้สินค้าหรือบริการจะเป็นพนักงานในองค์กรเป็นหลัก

B2C (Business-to-Customer)

คือ การทำการตลาดระหว่างธุรกิจที่ขายสินค้าหรือบริการกับลูกค้าที่เป็นผู้บริโภคทั่วไปโดยตรง ยกตัวอย่างเช่น ร้านขายอาหาร ขายมือถือ โรงเรียน สวนสนุก บริการแพล็ตฟอร์มขนส่งอาหาร เป็นต้น

ข้อมูลธุรกิจ (B2B) และข้อมูลส่วนบุคคล (B2C) ต่างกันอย่างไร

เพราะข้อมูลของผู้บริโภคเป็นตัวกำหนดพฤติกรรมการบริโภคสินค้าหรือบริการ ซึ่งข้อมูลส่วนบุคคลเหล่านี้อาจประกอบด้วยชื่อ ที่อยู่ เพศ อายุ อาชีพ ระดับการศึกษา จึงมีความสำคัญต่อการกำหนดแคมเปญการตลาดให้ตรงใจกับกลุ่มเป้าหมายที่มีความต้องการแตกต่างกัน ทั้งลูกค้ารายบุคคลและลูกค้าที่เป็นองค์กร

แคมเปญการตลาดของธุรกิจต้องอ้างอิงจากความต้องการของกลุ่มลูกค้า เครื่องมือที่ช่วยให้เข้าใจลูกค้าได้คือข้อมูล ข้อมูลธุรกิจอย่าง B2B มุ่งเน้นไปที่องค์กรหรือบริษัท โดยมีกลุ่มเป้าหมายเป็นบุคคลหรือพนักงานในบริษัท เช่น ที่อยู่บริษัท อีเมลบริษัท อัตรากำลัง โครงสร้างองค์กร ทุนจดทะเบียน ข้อมูลของพนักงานในภาพรวม เป็นต้น ความต้องการก็เพื่อตอบสนองการใช้งานของบริษัท ส่วนข้อมูลส่วนบุคคลอย่าง B2C จัดเก็บจากลูกค้าที่เป็นบุคคลทั่วไป เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล เลขบัญชีธนาคาร เพศ อายุ เป็นต้น ความต้องการของลูกค้ากลุ่มนี้ก็เพื่อตอบสนองการใช้งานของตนเอง ทั้ง B2B และ B2C จึงมีวิธีการตัดสินใจต่อรูปแบบการตลาดที่ต่างกัน ทำให้ฝ่าย marketing ใช้ปัจจัยในการวิเคราะห์ข้อมูลที่แตกต่างกัน

การตลาดออนไลน์ที่ได้รับความนิยมรูปแบบหนึ่ง คือ การส่งอีเมลเพื่อรับข่าวสารหรือโปรโมชั่นจากธุรกิจ ซึ่งฝ่าย marketing สามารถแบ่งหมวดหมู่ได้ง่ายๆ ด้วยการแยกรายการกลุ่มประเภทอีเมลธุรกิจกับอีเมลส่วนบุคคลออกจากกัน เช่น อีเมลประเภท @hotmail หรือ @gmail ซึ่งอาจเป็นอีเมลของลูกค้าทั่วไปก็จัดอยู่ในหมวดหมู่ B2C แต่ถ้าเป็นชื่อบริษัทก็จัดอยู่ในหมวดหมู่ B2B

การเก็บข้อมูล B2B และ B2C โดยใช้ฐานการประมวลผลตามกฎหมาย

ฐานการประมวลผลตามกฎหมายที่เกี่ยวข้องกับการทำการตลาดมี 2 ฐานใหญ่ๆ ดังนี้

1. ฐานความยินยอม (Consent)

ความยินยอม (Consent) เป็นหัวใจสำคัญสำหรับการจัดเก็บข้อมูล B2B และ B2C ดังนั้น ฝ่ายขายหรือฝ่ายการตลาดจะต้องแจ้งรายละเอียดการเก็บข้อมูลส่วนบุคคลและวัตถุประสงค์เพื่อขอความยินยอมให้ชัดเจนกับเจ้าของข้อมูลก่อนถึงจะเริ่มทำการตลาดได้ และเมื่อธุรกิจต้องการขอข้อมูลเพิ่มเติม ก็จะต้องขอความยินยอมเพื่อเก็บข้อมูลที่ขอเพิ่มใหม่อีกครั้ง เนื่องจากอาจมีวัตถุประสงค์การประมวลผลข้อมูลต่างๆ จากการเก็บครั้งแรก

นอกจากนี้ บริษัทอาจใช้เทคนิคต่างๆ เพื่อจูงใจผู้บริโภคเพื่อให้ Consent ได้ เช่น การลดราคาเมื่อเช็คอินและแชร์รูปภาพของร้านค้า การกดเพิ่มเพื่อนในแชทแอพพลิเคชั่น แต่บริษัทต้องแจ้งถึงวัตถุประสงค์ของการเก็บรวบรวมข้อมูลเหล่านั้นให้เจ้าของข้อมูลทราบ จะต้องเป็นความยินยอมที่ชัดเจน

2. ฐานการประมวลผลโดยชอบด้วยกฎหมาย (Legitimate Interest)

สำหรับฐานการประมวลผลนี้จะอ้างอิงจากขอบเขตที่เจ้าของข้อมูลสามารถคาดหมายว่าธุรกิจจะเก็บข้อมูลได้หรือไม่ ซึ่งการเก็บและข้อมูลของ B2B กับ B2C จะแตกต่างกัน ดังนี้

การเก็บข้อมูล B2B สามารถอ้างอิงฐานผลประโยชน์โดยชอบด้วยกฎหมายได้ตั้งแต่แรก

กล่าวคือ ธุรกิจสามารถโฆษณาหรือส่งโปรโมชั่นให้กับอีเมลองค์กรได้ โดยอาจไม่จำเป็นต้องขอความยินยอม (Consent) เนื่องจากบริษัทที่ประกอบธุรกิจในลักษณะเดียวกันย่อมคาดหมายได้ว่าอีกธุรกิจก็ต้องการติดต่อเพื่อเสนอขายสินค้าหรือบริการเช่นกัน

ตัวอย่างเช่น ฝ่ายขายของโรงแรมส่งอีเมลโปรโมชั่นห้องพักให้กับบริษัทหนึ่ง ซึ่งบริษัทก็คาดหมายได้ว่าโรงแรมนี้ก็อาจเป็นตัวเลือกหนึ่งที่บริษัทอาจใช้บริการโรงแรมเพื่อ outing หรือการสัมมนา สำหรับการสอบถามข้อมูลเพิ่มเติมจากบริษัท เช่น จำนวนพนักงานในบริษัท รายชื่อของพนักงานที่เข้าพัก อาจยังจำเป็นต้องขอ Consent อยู่

การเก็บข้อมูล B2C ต้องขอ Consent ในครั้งแรกก่อนเสมอ

กล่าวคือ ธุรกิจจะอ้างอิงฐานผลประโยชน์โดยชอบด้วยกฎหมายเหมือนการเก็บข้อมูล B2B ตั้งแต่ครั้งแรกเลยไม่ได้ จะต้องขอ Consent ในครั้งแรกก่อนเสมอ ส่วนการทำการตลาดในคราวต่อๆ ไป ก็ใช้ข้อมูลชุดเดียวกันเพื่อวัตถุประสงค์เดียวกันตามที่ขอ Consent ไปตอนแรกได้ โดยที่ไม่ต้องขอ Consent อีก

ตัวอย่างเช่น การส่งอีเมลเพื่อเชิญชวนให้เจ้าของบัญชีสมัครสินเชื่อธนาคาร จะต้องขอ Consent ก่อนเสมอ ธนาคารจะอ้างว่าเจ้าของบัญชีคาดหมายได้เพราะเปิดบัญชีกับธนาคารไม่ได้ เนื่องจากการเปิดบัญชีธนาคารกับการส่งอีเมลโฆษณาสินเชื่อ มีวัตถุประสงค์การเก็บหรือใช้ข้อมูลส่วนบุคคลที่แตกต่างกัน ทั้งนี้ หากเจ้าของธนาคารได้ให้ Consent การส่งอีเมลโฆษณาไว้ตั้งแต่เปิดบัญชีธนาคารแล้ว ก็สามารถส่งอีเมลได้โดยอ้างอิงฐานผลประโยชน์โดยชอบด้วยกฎหมายได้

สรุป 7 มาตรการตาม PDPA กับธุรกิจ

บทสรุปการเก็บหรือใช้ข้อมูล B2B และ B2C ตามฐาน Consent และฐานผลประโยชน์โดยชอบด้วยกฎหมายให้สอดคล้องกับ PDPA

1. แจ้งเจ้าของข้อมูลผ่านนโยบายความเป็นส่วนตัว (Privacy Policy) ที่ชัดเจนและเข้าถึงง่าย อาจแจ้งผ่านเว็บไซต์หรือแอปพลิเคชัน หรือช่องทางการติดต่ออื่นๆ เช่น การลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดีย
2. บันทึกหลักฐานการยินยอมกับข้อมูลที่จัดเก็บ ในกรณีที่เจ้าของข้อมูลขอสำเนาหรือหากจำเป็นต้องตรวจสอบข้อมูลภายหลัง
3. มีตัวเลือกให้ความยินยอมลักษณะ opt-in หรือ opt-out ที่เจ้าของข้อมูลสามารถเลือกให้ความยินยอมรายประเด็นได้
4. มีช่องทางให้เจ้าของข้อมูลส่วนบุคคลถอนความยินยอมเมื่อไม่ต้องการรับข่าวสารจากธุรกิจแล้ว และลบข้อมูลตามกำหนดเวลา
5. เคารพความเป็นส่วนตัว ใช้ข้อมูลด้วยความระมัดระวังและเท่าที่จำเป็น ไม่ส่งอีเมลบ่อยเกินไป
6. จัดให้มีมาตรฐานความปลอดภัยของข้อมูลส่วนบุคคล และกำหนดสิทธิการเข้าถึงข้อมูลของพนักงานตามตำแหน่งหรือตามความรับผิดชอบ
7. อบรมพนักงานในบริษัทให้มีความรู้และ Awareness เกี่ยวกับ PDPA เสมอ โดยเฉพาะฝ่าย HR ที่จำเป็นต้องจัดการข้อมูลส่วนบุคคลของพนักงานในองค์กรจำนวนมาก หลักสูตรออนไลน์ที่ถูกออกแบบโดยผู้เชี่ยวชาญ HR PDPA Awareness Training ที่สามารถจัดตารางเรียนแบบ Self-learning เข้าถึงบทเรียนได้ทุกที่ทุกเวลา เพื่อช่วยเตรียมความพร้อม PDPA ให้กับ HR

PDPA มีส่วนสำคัญกับการตลาดออนไลน์ที่ช่วยสร้างผลกำไรให้กับธุรกิจในปัจจุบัน การได้มาซึ่งข้อมูลธุรกิจและข้อมูลส่วนบุคคลช่วยให้ฝ่าย Marketing วิเคราะห์แคมเปญโฆษณาได้ตรงกลุ่มเป้าหมายมากขึ้น ทั้งนี้ ธุรกิจก็ต้องมีมาตรการคุ้มครองข้อมูลให้ปลอดภัย และปฏิบัติให้สอดคล้องกับกฎหมาย PDPA พร้อมจัดทำเอกสารตามกฎหมายและวิเคราะห์โครงสร้างธุรกิจครบวงจร ด้วย PDPA Core บริการให้คำปรึกษาและจัดทำ Gap Analysis ให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล โดยทีมนักกฎหมายเชี่ยวชาญ พร้อมเทคโนโลยีครบครัน