ในฐานะอีเวนต์แพลนเนอร์ หรือบทบาทก็ตามที่เกี่ยวข้องกับงานอีเวนต์ในยุคปัจจุบัน ข้อมูลส่วนตัวของผู้ร่วมงานถือเป็นสิ่งที่ต้องให้ความสำคัญเป็นอย่างมาก การทำอีเวนต์ให้อยู่ภายใต้กฎหมาย GDPR ของสหภาพยุโรปก็เป็นหนึ่งเรื่องจำเป็นที่มองข้ามไม่ได้ โดยเฉพาะกับความจริงที่ว่าเรากำลังอยู่ในปี 2023 หรือเป็นเวลากว่า 5 ปีแล้วที่กฎหมายตัวนี้ถูกบังคับใช้ นอกจากจะเป็นการปกป้องข้อมูลส่วนบุคคลของผู้ร่วมงานแล้ว การปฏิบัติตามข้อกำหนดเหล่านี้ยังเป็นการช่วยไม่ให้คุณต้องเผชิญหน้ากับค่าปรับจำนวนมหาศาล ที่อาจส่งผลกระทบครั้งใหญ่ต่อธุรกิจของคุณได้
ในบล็อกนี้เราจะมาแนะนำสิ่งที่ควรทำ (Do) และสิ่งที่ไม่ควรทำ (Don’t) ที่ควรรู้ เพื่อช่วยให้คุณทำงานอีเวนต์ให้ออกมาสอดคล้องกับตัวกฎหมาย GDPR เพื่อให้มั่นใจว่างานของคุณจะไม่เกิดปัญหาตามมาในภายหลัง
หมายเหตุ: แม้ General Data Protection Act หรือ GDPR จะเป็นกฎหมายของสหภาพยุโรป แต่ไม่ได้บังคับใช้แค่ภายในประเทศแถบยุโรปเท่านั้น ยกตัวอย่างเช่น หากธุรกิจของคุณมีสำนักงานอยู่ในประเทศไทย แต่สามารถให้บริการบนโลกออนไลน์ได้ และมีผู้ใช้งานจากประเทศแถบยุโรปด้วย ก็เข้าข่ายที่จะต้องดำเนินการให้สอดคล้องกับกฎหมายเหล่านี้เช่นกัน
Do & Don’t ที่ควรรู้หากต้องการทำงานอีเวนต์ให้เป็นไปตาม GDPR
• Do: เก็บข้อมูลอย่างโปร่งใส
• Don’t: จำกัดสิทธิ์ในการเข้าถึงข้อมูลจากทีมงานที่ไม่เกี่ยวข้องก่อนได้รับอนุญาต
• Do: ทำงานกับผู้เยาว์ ต้องได้รับการยินยอมจากผู้ปกครอง
• Don’t: ไม่เก็บข้อมูลนานเกินความจำเป็น
• Do: เช็กให้ชัวร์ว่าทุกแพลตฟอร์มอยู่ภายใต้ GDPR
• Don’t: ไม่ส่งอีเมลโฆษณา ถ้าอีกฝ่ายยังไม่ยืนยันตัวแบบ Double Opt-in
Do: เก็บข้อมูลอย่างโปร่งใส
การเก็บข้อมูลของงานอีเวนต์จะต้องมีความชัดเจน โปร่งใส (Transparent) ซึ่งผู้ร่วมงานจะต้องได้รับแจ้งรายละเอียดการใช้ข้อมูลอย่างครบถ้วน รวมถึงมีการยินยอมให้นำไปใช้ข้อมูลได้อย่างชัดเจน เช่นการคลิกช่องเครื่องหมายถูก (Checkbox) ก่อนทำการลงทะเบียนเข้าร่วมงาน เป็นต้น
นอกจากวิธีที่ยกตัวอย่างไปข้างต้น ยังมีอีกหลายวิธีที่คุณสามารถทำได้ เช่น
• เขียนนโยบายด้านความปลอดภัย (Privacy Policy) ที่ระบุรายละเอียดชัดเจนว่าจะเก็บข้อมูลใดบ้าง จุดประสงค์ของการเก็บ และวิธีการนำไปใช้งาน โดยเขียนออกมาให้เข้าใจง่ายที่สุด และนำไปไว้ในจุดที่เห็นได้ชัด เช่นบนหน้าเว็บไซต์ของงาน หรือหน้าลงทะเบียนเข้าร่วมงาน
• แจ้งเตือนผู้ร่วมงานในจุดที่เห็นได้ชัด เช่น ทำป๊อปอัปขึ้นมาที่หน้าเว็บสำหรับลงทะเบียนเข้าร่วมงาน
• เก็บข้อมูลผู้ร่วมงานให้น้อยที่สุด เก็บแค่เท่าที่จำเป็นสำหรับการทำงานเท่านั้น
• ให้สิทธิ์ผู้ร่วมงานในการลบ หรือแก้ไขข้อมูลส่วนตัวที่อยู่บนระบบได้ทุกเวลา
Don’t: จำกัดสิทธิ์ในการเข้าถึงข้อมูลจากทีมงานที่ไม่เกี่ยวข้องก่อนได้รับอนุญาต
ต้องดูให้แน่ใจว่าพาร์ตเนอร์ หรือสปอนเซอร์ ซึ่งเป็นองค์กรภายนอกไม่สามารถเข้าถึงข้อมูลส่วนตัวของผู้ร่วมงานอีเวนต์ของคุณได้ก่อนได้รับอนุญาตอย่างถูกต้อง และในการทำงานภายใน จำเป็นจะต้องจำกัดสิทธิ์ในการเข้าถึงข้อมูลหากไม่ใช่แผนกหรือทีมที่เกี่ยวข้องกับการนำข้อมูลไปใช้ เช่น ทีมงานของผลิตภัณฑ์ B ไม่ควรมีสิทธิ์เข้าถึงข้อมูลของผู้ร่วมงาน หากเจ้าตัวระบุว่าสนใจแค่ผลิตภัณฑ์ของทีม A เป็นต้น
Do: ทำงานกับผู้เยาว์ ต้องได้รับการยินยอมจากผู้ปกครอง
หากงานอีเวนต์เกี่ยวข้องกับข้อมูลส่วนตัวของเด็กหรือผู้เยาว์ ผู้จัดจะต้องได้รับการยินยอมในการใช้ข้อมูลจากผู้ปกครองของผู้ร่วมงานคนนั้นๆ เสียก่อน
iubenda ระบุว่า หากกลุ่มเป้าหมายของธุรกิจเป็นผู้เยาว์ (ในช่วงวัย 13 ถึง 16 ปี ขึ้นอยู่กับกฎหมายของแต่ละประเทศว่ากำหนดอายุผู้เยาว์อย่างไร) จำเป็นต้องมีเอกสารยินยอมจากผู้ปกครองอย่างเป็นทางการเสียก่อนถึงจะนำข้อมูลไปใช้งานได้ ซึ่งก็ถือเป็นความท้าทายอีกหนึ่งรูปแบบ เพราะเป็นการเพิ่มผู้ที่เกี่ยวข้องเข้ามาในขั้นตอนการทำงานด้วย อาจเป็นการขอเอกสารสำเนาบัตรประชาชน พาสปอร์ต หรืออาจเป็นหลักฐานการชำระเงินด้วยบัตรเครดิตในชื่อผู้ปกครอง เป็นต้น แต่ทั้งนี้ทั้งนั้นทุกอย่างต้องเริ่มจากการถามอายุของอีกฝ่ายให้ชัดเจนเป็นอันดับแรก
กรณีตัวอย่างที่น่าสนใจคือ สมมติว่าคุณต้องการจะส่งอีเมลจดหมายข่าวให้ผู้รับปลายทางที่มีสถานะเป็นผู้เยาว์ อาจใช้วิธีการส่งอีเมลยืนยันการรับจดหมายข่าวออกไป 2 ฉบับพร้อมๆ กัน ฉบับหนึ่งส่งถึงผู้รับโดยตรง ส่วนอีกฉบับส่งไปหาผู้ปกครองให้ยืนยันอีกทาง ซึ่งเมื่อได้รับการยืนยันจากทางผู้ปกครองเรียบร้อยแล้วถึงจะสามารถดำเนินงานส่วนนี้ต่อไปได้
Don’t: ไม่เก็บข้อมูลนานเกินความจำเป็น
คำแนะนำของเราคือ คุณควรมีนโยบายด้านการเก็บรักษาข้อมูลในช่วงระยะเวลาหนึ่ง หรือ Data Retention Policy เพื่อให้แน่ใจว่ามีการกำหนดช่วงเวลาในการลบข้อมูลส่วนตัวของผู้ร่วมงานออกจากระบบเมื่อไม่มีจุดประสงค์ในการใช้งานแล้ว
สถานการณ์ตัวอย่าง คุณคือผู้จัดงานอีเวนต์ที่มีการเก็บข้อมูลผู้ร่วมงานสำหรับใช้ส่งอีเมลอัปเดตงานครั้งต่อไป หลังจากงานจบไปแล้วหลายเดือนสปอนเซอร์รายหนึ่งของคุณมาขอข้อมูลชุดนี้ไปใช้ทำการตลาด หากไม่มีนโยบาย Data Retention เพื่อทำการลบทิ้ง คุณอาจเผลอส่งต่อข้อมูลให้บุคคลภายนอกและกลายเป็นการละเมิด GDPR ขึ้นมาได้
หรือสรุปสั้นๆ ก็คือ ใช้เสร็จ ลบทิ้ง ลดโอกาสในการถูกนำข้อมูลไปใช้ด้วยจุดประสงค์ที่เจ้าของข้อมูลไม่ยินยอม
Do: เช็กให้ชัวร์ว่าทุกแพลตฟอร์มอยู่ภายใต้ GDPR
เครื่องมือด้านเทคโนโลยีทุกรูปแบบของงานอีเวนต์มีการประมวลผล ไม่ว่าจะเป็นระบบลงทะเบียน แอปพลิเคชันมือถือ หรือเครื่องมือสำหรับเก็บ Lead เพราะฉะนั้นแล้วไม่ว่าจะมีเครื่องมือจำนวนมากแค่ไหน คุณจำเป็นจะต้องตรวจสอบให้แน่ใจว่าสิ่งที่นำมาใช้ทั้งหมดสอดคล้องกับแนวทางของ GDPR
Don’t: ไม่ส่งอีเมลโฆษณา ถ้าอีกฝ่ายยังไม่ยืนยันตัวแบบ Double Opt-in
Double Opt-in คือวิธีการยืนยันตัวที่กำหนดให้ผู้ร่วมงานอีเวนต์ต้องยืนยันผ่านระบบลงทะเบียนสองครั้ง ครั้งแรกเกิดขึ้นระหว่างการลงทะเบียนเข้าร่วมงาน ส่วนครั้งที่สองจะเกิดขึ้นผ่านการกดปุ่มยอมรับที่อีเมลที่ทางผู้จัดงานส่งไปให้ วิธีนี้จะช่วยป้องกันการนำอีเมลผู้อื่นมาใช้โดยไม่ได้รับอนุญาต รวมถึงเป็นการคัดกรองให้แน่ใจว่าอีเมลทางการตลาดต่างๆ ที่ถูกส่งออกไปจะส่งไปถึงเฉพาะคนที่ให้การยินยอมแล้วจริงๆ เท่านั้น
นอกจากที่กล่าวถึงไปข้างต้นทั้งหมด ยังมีรายละเอียดอื่นๆ เกี่ยวกับ GDPR ที่ควรทราบอีกไม่น้อย เช่น ข้อมูลด้านการเงินคือสิ่งที่ไม่สามารถลบออกจากระบบได้ เพราะจำเป็นต้องใช้ดำเนินการเกี่ยวกับเอกสารด้านภาษีในภายหลัง หรือสัดส่วนค่าปรับของการละมิดกฎหมาย GDPR มีตั้งแต่ความผิดเล็กที่ 2% ของผลประกอบการทั่วโลก หรือ 10 ล้านยูโร และความผิดใหญ่อยู่ที่ 4% หรือ 20 ล้านยูโร (ซึ่งการตัดสินว่าจะใช้หลักเกณฑ์ใด ขึ้นอยู่กับว่าสามารถปรับในรูปแบบไหนได้มากกว่ากัน)
โดยสรุป กฎหมาย GDPR คืออีกหนึ่งปัจจัยสำคัญที่คนเป็นอีเวนต์แพลนเนอร์จะต้องใส่ใจมากๆ โดยเฉพาะในปี 2023 รวมถึงหลังจากนี้เป็นต้นไป ซึ่งด้วยคำแนะนำที่เรามอบให้ไปในบล็อกนี้ สามารถช่วยให้คุณจัดการงานอีเวนต์ในส่วนนี้ได้ดีขึ้น ลดความเสี่ยงในการถูกปรับ เพราะสำหรับงานอีเวนต์ที่เกี่ยวข้องกับผู้คน การปกป้องข้อมูลส่วนตัวเป็นเรื่องที่ไม่สามารถมองข้ามได้
เลือก Happenn หากคุณต้องการเทคโนโลยีงานอีเวนต์ที่รองรับ GDPR
ถ้าคุณกำลังมองหาเทคโนโลยีสำหรับงานอีเวนต์ที่ทั้งปลอดภัย และเป็นไปตามแนวทางของ GDPR อย่างเต็มที่ Happenn คือตัวเลือกนั้นของคุณ ระบบของเรานำเสนอขั้นตอนการใช้งานข้อมูลอย่างชัดเจนและโปร่งใส มั่นใจได้ว่าทั้งการเก็บและจัดการข้อมูลจะเป็นไปตามแนวทางของ GDPR อย่างแน่นอน
หากอยากรู้ว่า Happenn สามารถช่วยทำให้งานอีเวนต์ครั้งต่อไปของคุณดีขึ้นได้แค่ไหน ติดต่อเข้ามาหาเราผ่านการกรอกแบบฟอร์มที่หน้า Contact ตรงนี้ หรือทางอีเมลที่ hello@happenn.com เราพร้อมให้บริการทั้งงานส่วนที่เกี่ยวข้องกับ GDPR และอื่นๆ เพื่อให้งานอีเวนต์ของคุณประสบความสำเร็จตามที่วางแผนไว้ สวัสดีครับ