5 เรื่องที่ต้องรู้เกี่ยวกับ Email Consent ใน PDPA

6 days ago

กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย (PDPA) เป็นกฎหมายใหม่ที่จะมีผลบังคับใช้อย่างสมบูรณ์ในวันที่ 1 มิถุนายน 2565 ที่จะถึงนี้ ถึงเวลาแล้วที่นักการตลาดจะสร้างความมั่นใจว่าโปรแกรมสำหรับทำการตลาดผ่าน Email Marketing เพื่อให้สอดคล้องตามข้อกำหนดของกฎหมาย PDPA นักการตลาดออนไลน์จะทำอย่างไรเพื่อไม่ให้การทำ Email marketing ละเมิดการคุ้มครองข้อมูลส่วนบุคคล ? นักการตลาดออนไลน์จะต้องรับมือกับกฎหมายที่เปลี่ยนไปอย่างไร ? มาเรียนรู้แนวทางจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) ที่เป็นต้นแบบของ PDPA กันได้ที่บทความนี้เลย

1. การขอความยินยอมจะต้องมีตัวเลือกให้ผู้ใช้เปิดใช้เอง อย่าติ๊กเครื่องหมายในช่องไว้ล่วงหน้า

การขอ consent ที่ถูกต้องตาม GDPR ผู้ใช้งานจะต้องตกลงยินยอมให้ consent เอง เช่น การติ๊กเครื่องหมายในช่อง เพื่อเปิดการใช้งาน ดังนั้น ระบบจึงไม่ควรตั้งค่าเริ่มต้นให้มีเครื่องหมายติ๊กเลือกในช่องขอ consent ไว้ตั้งแต่แรก โดยจะถือว่าการที่ผู้ใช้งานไม่ได้สนใจเป็นการให้ consent ไม่ได้

Recital 32: “การนิ่งเฉย การติ๊กเครื่องหมายในช่องขอ consent ไว้ล่วงหน้า หรือการไม่กระทำการใด ไม่ถือว่าเป็นการให้ความยินยอม”

2. แยกคำขอความยินยอมออกจากข้อกำหนดและเงื่อนไขอื่นๆ

การให้ consent เพื่อทำ Email marketing จะต้องให้โดยอิสระ ไม่มีเงื่อนไข เช่น ผู้ใช้งานมีทางเลือกว่าจะสมัครรับข้อความทางการตลาดหรือไม่รับก็ได้ แต่ถ้าผู้ใช้งานต้องการดาวน์โหลด whitepaper หรือเอกสารที่องค์กรจัดทำเพื่อดึงดูดกลุ่มผู้สนใจให้มาซื้อผลิตภัณฑ์จากข้อเท็จจริงที่องค์กรเตรียมไว้ โดยมีเงื่อนไขว่าต้องกดสมัครรับข่าวสารทางอีเมลด้วย กรณีนี้จึงไม่เป็นการให้ consent โดยอิสระ

ภายใต้ GDPR การขอความยินยอมสำหรับ Email marketing จะต้องแบ่งสัดส่วน แยกกันกับข้อกำหนดและเงื่อนไข (Terms and Conditions)หรือการบริการส่วนอื่น เว้นแต่ความยินยอมสำหรับ Email marketing นั้นจำเป็นเพื่อให้บริการนั้นสมบูรณ์

Article 7(4): “การประเมินว่าความยินยอมได้มีการให้ไว้อย่างอิสระ ให้พิจารณาว่าความยินยอมนั้นถูกผูกเป็นเงื่อนไขในการปฏิบัติตามสัญญาหรือการให้บริการของผู้ควบคุมข้อมูลส่วนบุคคลหรือไม่”

ตัวอย่างเช่น เมื่อผู้ใช้งานดาวน์โหลด ebook หรือเนื้อหาอื่นๆ จะมีตัวเลือกให้ผู้ใช้งานติ๊กเลือกในช่องเพื่อสมัครรับอีเมล หรือถ้าผู้ใช้งานไม่เลือกสมัครรับอีเมล ก็ยังสามารถดาวน์โหลด ebook ได้

3. วิธีการถอนความยินยอมจะต้องง่าย

Article 7(3):“เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะถอนความยินยอมได้ทุกเมื่อ และการถอนความยินยอมจะต้องง่ายเหมือนกับการให้ความยินยอม”

กฎหมายเกี่ยวกับอีเมลทั้งหมด รวมทั้งกฎหมาย CASL ของแคนาดาและ CAN-SPAM ของสหรัฐอเมริกากำหนดให้องค์กรต่างๆ ต้องให้โอกาส subscriber ในการเลือกไม่รับอีเมล โดยในอีเมลส่งเสริมการขายแต่ละฉบับต้องมีตัวเลือกให้ยกเลิกการสมัคร (unsubscribe) หากองค์กรปฏิบัติตามกฎหมายเกี่ยวกับอีเมลของแคนาดา สหรัฐอเมริกา หรือยุโรปในปัจจุบันอยู่แล้ว ก็อาจไม่ต้องเปลี่ยนแปลงอะไรมากเมื่อต้องปฏิบัติตามข้อกำหนด GDPR นี้ ทั้งนี้ องค์กรก็ยังจำเป็นต้องทบทวนวิธีการไม่เลือกรับอีเมลเพื่อให้แน่ใจว่าได้ปฏิบัติตามกฎหมายปัจจุบันแล้ว เช่น การไม่คิดค่าธรรมเนียม การไม่ขอเก็บข้อมูลอื่นใดนอกจากอีเมล การไม่ให้สมาชิกเข้าสู่ระบบ การไม่ขอให้สมาชิกเข้าชมหน้าเว็บไซต์มากกว่าหนึ่งเพจเพื่อตอบรับคำขอ

ตัวอย่างเช่น ในส่วนท้ายของอีเมลส่งเสริมการขาย จะมีตัวเลือกไม่รับอีเมล ซึ่งทำให้การยกเลิกการสมัครเป็นเรื่องง่ายสำหรับ subscriber ที่ไม่สนใจจะรับข่าวสารจากอีเมลแล้ว

นอกจากนี้ การร้องเรียนเรื่องสแปมมักมาจากกระบวนการยกเลิกการสมัครที่ไม่เป็นมิตร จากรายงาน Adapting to Consumers’ New Definition of Spam ผู้บริโภคครึ่งหนึ่งในสหรัฐฯ ได้ร้องเรียนว่าอีเมลขององค์กรเป็นสแปม เพราะพวกเขาไม่สามารถยกเลิกรับอีเมลได้ง่ายๆ ดังนั้น การออกแบบให้ผู้ใช้งานมีอุปสรรคในการยกเลิกรับอีเมล จึงเป็นความเสี่ยงที่จะละเมิดกฎหมาย และยังเสี่ยงต่อ deliverability หรือความสามารถในการเข้าถึงกล่องจดหมายของ subscriber ด้วย

4. เก็บหลักฐานความยินยอม – ใคร เมื่อไร อย่างไร

GDPR ไม่เพียงแต่กำหนดวิธีการเก็บรวบรวมความยินยอมเท่านั้น แต่ยังกำหนดให้องค์กรต่างๆ ต้องเก็บบันทึกความยินยอมเหล่านี้ด้วย

Article 7 (1):“ในกรณีที่การประมวลผลข้อมูลส่วนบุคคลใช้ฐานความยินยอม ให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถพิสูจน์ได้ว่าเจ้าของข้อมูลยินยอมให้มีการประมวลผลข้อมูลส่วนบุคคลของตน”

ภาระการพิสูจน์ความยินยอมในบางประเทศ ถือเป็นความรับผิดชอบขององค์กรที่เก็บรวบรวมข้อมูลความยินยอม สำหรับนักการตลาดแล้ว ข้อกำหนดนี้ถือเป็นความท้าทายอย่างมาก ซึ่งการเก็บหลักฐานความยินยอมหมายความว่าคุณต้องสามารถแสดงหลักฐานเหล่านี้ได้ว่าใครให้ความยินยอม ? ได้ให้ความยินยอมเมื่อไหร่ ? ได้รับการแจ้งรายละเอียดอะไรบ้าง ? ได้ให้ความยินยอมอย่างไร ? (เช่น ระหว่างการชำระเงินสินค้า หรือผ่านแบบฟอร์ม Facebook เป็นต้น) มีวิธีถอนความยินยอมหรือไม่ ?

ตัวอย่างเช่น หากมีผู้สนใจรับข่าวสารพวกเขาจะได้รับอีเมลขอให้ยืนยันการสมัครสมาชิก ผ่านการคลิกลิงก์ในอีเมลเพื่อตอบรับคำขอให้สมัครรับอีเมล ผู้ให้บริการอีเมลจะบันทึกการกระทำนั้น ทำให้องค์กรสามารถตรวจสอบได้ว่า ใครเป็นผู้สมัครรับอีเมล กดสมัครเมื่อไหร่ และสมัครรับอีเมลด้วยวิธีไหน

5. ตรวจสอบแนวทางปฏิบัติในการขอความยินยอมและความยินยอมที่เก็บรวบรวมไว้

Recital 171:“ ในกรณีที่การประมวลผลข้อมูลส่วนบุคคลใช้ฐานความยินยอม ตามระเบียบ 95/46 / EC เจ้าของข้อมูลส่วนบุคคลไม่จำต้องให้ความยินยอมอีกครั้ง หากวิธีการให้ความยินยอมเป็นไปตามเงื่อนไขของข้อบังคับนี้”

กฎหมาย GDPR ไม่ได้ใช้กับการสมัครรับอีเมลที่เกิดขึ้นหลังวันที่ 25 พฤษภาคม 2561 เท่านั้น แต่ยังมีผลกับอีเมลของ subscriber ชาว EU ในรายชื่อเดิมทั้งหมด หาก subscriber ปัจจุบันได้ให้ความยินยอมตามแนวปฏิบัติของ GDPR อยู่แล้ว และองค์กรได้เก็บบันทึกความยินยอมไว้แล้ว ก็ไม่จำเป็นต้องขอความยินยอมซ้ำอีก อย่างไรก็ตาม หากการเก็บบันทึกที่มีอยู่ไม่เป็นไปตามข้อกำหนดของ GDPR องค์กรจะต้องตรวจสอบรายชื่ออีเมลที่มีอยู่ แล้วดูว่ารายชื่ออีเมลใดได้ให้ความยินยอมที่สอดคล้องกับ GDPR แล้ว และตรวจสอบว่าอีเมลนั้นมีการเก็บบันทึกความยินยอมที่ชัดเจน จากนั้นติดตั้งโปรแกรมส่งคำขอความยินยอม ซึ่งอีเมลไหนที่ไม่ได้มีการเก็บบันทึกตาม GDPR หรือไม่แน่ใจว่าความยินยอมนั้นเป็นไปตามกฎหมายหรือไม่ องค์กรจะต้องใช้โปรแกรมเพื่อส่งคำขอความยินยอมไปที่ subscriber อีกครั้ง เพื่อให้ subscriber ให้ความยินยอม ในกรณีที่ subscriber กดยกเลิกความยินยอม หรือไม่ได้รับคำขอความยินยอมที่องค์กรส่งไป องค์กรจะต้องลบอีเมลของ subscriber นั้นออกจากรายชื่ออีเมล

ตัวอย่างเช่น การใช้โปรแกรมส่งคำขอความยินยอมการสมัครรับอีเมลไปที่ subscriber เป็นระยะ เพื่อจัดเก็บรายชื่ออีเมลขององค์กรให้สะอาดปลอดภัย รวมถึงใช้ภาษาที่ชัดเจนเพื่อขอให้ subscriber ยืนยันว่ายังต้องการรับอีเมล โดยคลิกลิงก์ยืนยันในอีเมล