5 เรื่องที่ต้องรู้เกี่ยวกับ Email Consent ใน PDPA

   

กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย (PDPA) เป็นกฎหมายใหม่ที่จะมีผลบังคับใช้อย่างสมบูรณ์ในวันที่ 1 มิถุนายน 2565 ที่จะถึงนี้ ถึงเวลาแล้วที่นักการตลาดจะสร้างความมั่นใจว่าโปรแกรมสำหรับทำการตลาดผ่าน Email Marketing เพื่อให้สอดคล้องตามข้อกำหนดของกฎหมาย PDPA นักการตลาดออนไลน์จะทำอย่างไรเพื่อไม่ให้การทำ Email marketing ละเมิดการคุ้มครองข้อมูลส่วนบุคคล ? นักการตลาดออนไลน์จะต้องรับมือกับกฎหมายที่เปลี่ยนไปอย่างไร ? มาเรียนรู้แนวทางจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) ที่เป็นต้นแบบของ PDPA กันได้ที่บทความนี้เลย

ประเด็นเรื่องการขอความยินยอม (Consent) เพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเป็นสิ่งสำคัญที่เปลี่ยนแปลงไปจากเดิมและเป็นเรื่องชวนให้นักการตลาดปวดหัวมากที่สุด เนื่องจากกฎหมาย GDPR ยกระดับมาตรฐานการขอความยินยอมสำหรับ Email subscriber ที่อยู่ในสหภาพยุโรปให้สูงขึ้น ซึ่งหมายความว่า consent ที่องค์กรได้เคยเก็บรวบรวมไว้จาก subscriber ที่อยู่ใน EU อาจไม่เป็นไปตามข้อกำหนดของกฎหมายปัจจุบันแล้ว

กฎหมาย GDPR กำหนดแนวทางการขอ consent เพิ่มขึ้นจากกฎหมายเดิมอย่าง EU Privacy Directive ปัจจุบัน GDPR มีผลบังคับใช้ทั่ว EU โดยกำหนดให้องค์กรต่างๆ ต้องเก็บรวบรวม consent โดย consent นั้นจะต้อง "ให้โดยอิสระ, มีความเฉพาะเจาะจง, โดยทราบข้อมูลที่เกี่ยวข้องและโดยชัดแจ้ง"

สำนักงานคณะกรรมการข้อมูลแห่งสหราชอาณาจักร (ICO) ได้ให้คำแนะนำที่ครอบคลุมเกี่ยวกับการขอความยินยอมตาม GDPR เพื่อเก็บรวบรวมข้อมูลสำหรับ Email marketing พร้อมตัวอย่างที่สามารถนำไปใช้ได้จริง ดังนี้

1. การขอความยินยอมจะต้องมีตัวเลือกให้ผู้ใช้เปิดใช้เอง อย่าติ๊กเครื่องหมายในช่องไว้ล่วงหน้า

การขอ consent ที่ถูกต้องตาม GDPR ผู้ใช้งานจะต้องตกลงยินยอมให้ consent เอง เช่น การติ๊กเครื่องหมายในช่อง เพื่อเปิดการใช้งาน ดังนั้น ระบบจึงไม่ควรตั้งค่าเริ่มต้นให้มีเครื่องหมายติ๊กเลือกในช่องขอ consent ไว้ตั้งแต่แรก โดยจะถือว่าการที่ผู้ใช้งานไม่ได้สนใจเป็นการให้ consent ไม่ได้

Recital 32: “การนิ่งเฉย การติ๊กเครื่องหมายในช่องขอ consent ไว้ล่วงหน้า หรือการไม่กระทำการใด ไม่ถือว่าเป็นการให้ความยินยอม”

2. แยกคำขอความยินยอมออกจากข้อกำหนดและเงื่อนไขอื่นๆ

การให้ consent เพื่อทำ Email marketing จะต้องให้โดยอิสระ ไม่มีเงื่อนไข เช่น ผู้ใช้งานมีทางเลือกว่าจะสมัครรับข้อความทางการตลาดหรือไม่รับก็ได้ แต่ถ้าผู้ใช้งานต้องการดาวน์โหลด whitepaper หรือเอกสารที่องค์กรจัดทำเพื่อดึงดูดกลุ่มผู้สนใจให้มาซื้อผลิตภัณฑ์จากข้อเท็จจริงที่องค์กรเตรียมไว้ โดยมีเงื่อนไขว่าต้องกดสมัครรับข่าวสารทางอีเมลด้วย กรณีนี้จึงไม่เป็นการให้ consent โดยอิสระ

ภายใต้ GDPR การขอความยินยอมสำหรับ Email marketing จะต้องแบ่งสัดส่วน แยกกันกับข้อกำหนดและเงื่อนไข (Terms and Conditions)หรือการบริการส่วนอื่น เว้นแต่ความยินยอมสำหรับ Email marketing นั้นจำเป็นเพื่อให้บริการนั้นสมบูรณ์

Article 7(4): “การประเมินว่าความยินยอมได้มีการให้ไว้อย่างอิสระ ให้พิจารณาว่าความยินยอมนั้นถูกผูกเป็นเงื่อนไขในการปฏิบัติตามสัญญาหรือการให้บริการของผู้ควบคุมข้อมูลส่วนบุคคลหรือไม่”

ตัวอย่างเช่น เมื่อผู้ใช้งานดาวน์โหลด ebook หรือเนื้อหาอื่นๆ จะมีตัวเลือกให้ผู้ใช้งานติ๊กเลือกในช่องเพื่อสมัครรับอีเมล หรือถ้าผู้ใช้งานไม่เลือกสมัครรับอีเมล ก็ยังสามารถดาวน์โหลด ebook ได้

3. วิธีการถอนความยินยอมจะต้องง่าย

Article 7(3):​ “เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะถอนความยินยอมได้ทุกเมื่อ และการถอนความยินยอมจะต้องง่ายเหมือนกับการให้ความยินยอม”

กฎหมายเกี่ยวกับอีเมลทั้งหมด รวมทั้งกฎหมาย CASL ของแคนาดาและ CAN-SPAM ของสหรัฐอเมริกากำหนดให้องค์กรต่างๆ ต้องให้โอกาส subscriber ในการเลือกไม่รับอีเมล โดยในอีเมลส่งเสริมการขายแต่ละฉบับต้องมีตัวเลือกให้ยกเลิกการสมัคร (unsubscribe) หากองค์กรปฏิบัติตามกฎหมายเกี่ยวกับอีเมลของแคนาดา สหรัฐอเมริกา หรือยุโรปในปัจจุบันอยู่แล้ว ก็อาจไม่ต้องเปลี่ยนแปลงอะไรมากเมื่อต้องปฏิบัติตามข้อกำหนด GDPR นี้ ทั้งนี้ องค์กรก็ยังจำเป็นต้องทบทวนวิธีการไม่เลือกรับอีเมลเพื่อให้แน่ใจว่าได้ปฏิบัติตามกฎหมายปัจจุบันแล้ว เช่น การไม่คิดค่าธรรมเนียม การไม่ขอเก็บข้อมูลอื่นใดนอกจากอีเมล การไม่ให้สมาชิกเข้าสู่ระบบ การไม่ขอให้สมาชิกเข้าชมหน้าเว็บไซต์มากกว่าหนึ่งเพจเพื่อตอบรับคำขอ

ตัวอย่างเช่น ในส่วนท้ายของอีเมลส่งเสริมการขาย จะมีตัวเลือกไม่รับอีเมล ซึ่งทำให้การยกเลิกการสมัครเป็นเรื่องง่ายสำหรับ subscriber ที่ไม่สนใจจะรับข่าวสารจากอีเมลแล้ว

นอกจากนี้ การร้องเรียนเรื่องสแปมมักมาจากกระบวนการยกเลิกการสมัครที่ไม่เป็นมิตร จากรายงาน Adapting to Consumers’ New Definition of Spam ผู้บริโภคครึ่งหนึ่งในสหรัฐฯ ได้ร้องเรียนว่าอีเมลขององค์กรเป็นสแปม เพราะพวกเขาไม่สามารถยกเลิกรับอีเมลได้ง่ายๆ ดังนั้น การออกแบบให้ผู้ใช้งานมีอุปสรรคในการยกเลิกรับอีเมล จึงเป็นความเสี่ยงที่จะละเมิดกฎหมาย และยังเสี่ยงต่อ deliverability หรือความสามารถในการเข้าถึงกล่องจดหมายของ subscriber ด้วย

4. เก็บหลักฐานความยินยอม – ใคร เมื่อไร อย่างไร

GDPR ไม่เพียงแต่กำหนดวิธีการเก็บรวบรวมความยินยอมเท่านั้น แต่ยังกำหนดให้องค์กรต่างๆ ต้องเก็บบันทึกความยินยอมเหล่านี้ด้วย

Article 7 (1):​ “ในกรณีที่การประมวลผลข้อมูลส่วนบุคคลใช้ฐานความยินยอม ให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถพิสูจน์ได้ว่าเจ้าของข้อมูลยินยอมให้มีการประมวลผลข้อมูลส่วนบุคคลของตน”

ภาระการพิสูจน์ความยินยอมในบางประเทศ ถือเป็นความรับผิดชอบขององค์กรที่เก็บรวบรวมข้อมูลความยินยอม สำหรับนักการตลาดแล้ว ข้อกำหนดนี้ถือเป็นความท้าทายอย่างมาก ซึ่งการเก็บหลักฐานความยินยอมหมายความว่าคุณต้องสามารถแสดงหลักฐานเหล่านี้ได้ว่าใครให้ความยินยอม ? ได้ให้ความยินยอมเมื่อไหร่ ? ได้รับการแจ้งรายละเอียดอะไรบ้าง ? ได้ให้ความยินยอมอย่างไร ? (เช่น ระหว่างการชำระเงินสินค้า หรือผ่านแบบฟอร์ม Facebook เป็นต้น) มีวิธีถอนความยินยอมหรือไม่ ?

ตัวอย่างเช่น หากมีผู้สนใจรับข่าวสารพวกเขาจะได้รับอีเมลขอให้ยืนยันการสมัครสมาชิก ผ่านการคลิกลิงก์ในอีเมลเพื่อตอบรับคำขอให้สมัครรับอีเมล ผู้ให้บริการอีเมลจะบันทึกการกระทำนั้น ทำให้องค์กรสามารถตรวจสอบได้ว่า ใครเป็นผู้สมัครรับอีเมล กดสมัครเมื่อไหร่ และสมัครรับอีเมลด้วยวิธีไหน

5. ตรวจสอบแนวทางปฏิบัติในการขอความยินยอมและความยินยอมที่เก็บรวบรวมไว้

Recital 171:​ “ ในกรณีที่การประมวลผลข้อมูลส่วนบุคคลใช้ฐานความยินยอม ตามระเบียบ 95/46 / EC เจ้าของข้อมูลส่วนบุคคลไม่จำต้องให้ความยินยอมอีกครั้ง หากวิธีการให้ความยินยอมเป็นไปตามเงื่อนไขของข้อบังคับนี้”

กฎหมาย GDPR ไม่ได้ใช้กับการสมัครรับอีเมลที่เกิดขึ้นหลังวันที่ 25 พฤษภาคม 2561 เท่านั้น แต่ยังมีผลกับอีเมลของ subscriber ชาว EU ในรายชื่อเดิมทั้งหมด หาก subscriber ปัจจุบันได้ให้ความยินยอมตามแนวปฏิบัติของ GDPR อยู่แล้ว และองค์กรได้เก็บบันทึกความยินยอมไว้แล้ว ก็ไม่จำเป็นต้องขอความยินยอมซ้ำอีก อย่างไรก็ตาม หากการเก็บบันทึกที่มีอยู่ไม่เป็นไปตามข้อกำหนดของ GDPR องค์กรจะต้องตรวจสอบรายชื่ออีเมลที่มีอยู่ แล้วดูว่ารายชื่ออีเมลใดได้ให้ความยินยอมที่สอดคล้องกับ GDPR แล้ว และตรวจสอบว่าอีเมลนั้นมีการเก็บบันทึกความยินยอมที่ชัดเจน จากนั้นติดตั้งโปรแกรมส่งคำขอความยินยอม ซึ่งอีเมลไหนที่ไม่ได้มีการเก็บบันทึกตาม GDPR หรือไม่แน่ใจว่าความยินยอมนั้นเป็นไปตามกฎหมายหรือไม่ องค์กรจะต้องใช้โปรแกรมเพื่อส่งคำขอความยินยอมไปที่ subscriber อีกครั้ง เพื่อให้ subscriber ให้ความยินยอม ในกรณีที่ subscriber กดยกเลิกความยินยอม หรือไม่ได้รับคำขอความยินยอมที่องค์กรส่งไป องค์กรจะต้องลบอีเมลของ subscriber นั้นออกจากรายชื่ออีเมล

ตัวอย่างเช่น การใช้โปรแกรมส่งคำขอความยินยอมการสมัครรับอีเมลไปที่ subscriber เป็นระยะ เพื่อจัดเก็บรายชื่ออีเมลขององค์กรให้สะอาดปลอดภัย รวมถึงใช้ภาษาที่ชัดเจนเพื่อขอให้ subscriber ยืนยันว่ายังต้องการรับอีเมล โดยคลิกลิงก์ยืนยันในอีเมล

ทีมของคุณเตรียมตัวอย่างไรสำหรับองค์กรของคุณใช้แคมเปญส่งคำขอความยินยอมแล้วหรือยัง หรือว่ากำลังวางแผนอยู่ คุณได้วางกลยุทธ์อะไรอีกบ้างเพื่อให้แน่ใจว่าสอดคล้องกับ PDPA เราอยากที่จะได้ยินจากคุณ! สร้างแบนเนอร์คุกกี้เพื่อขอความยินยอมในการใช้คุกกี้ภายใน 2 นาทีกับ Cookie Wow