ความยินยอม ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ความยินยอม เป็นฐานทางกฎหมายในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (ประมวลผล)ฐานหนึ่งในหลาย ๆ ฐานที่กฎหมายกำหนดไว้เพื่อให้ ผู้ควบคุมข้อมูลส่วนบุคคล ใช้เป็นเครื่องมือในการบรรลุวัตถุประสงค์การใช้ข้อมูลส่วนบุคคลทั้งข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลตามมาตรา 26 อาทิ เชื้อชาติ ศาสนา ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ และข้อมูลชีวภาพ เป็นต้น

ก่อนที่จะใช้ความยินยอมเป็นฐานการประมวลผลข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ตรวจสอบก่อนว่าความยินยอมเป็นฐานทางกฎหมายที่สอดคล้องกับกิจกรรมการประมวลผล ลักษณะการประมวลผล และกฎหมายอื่น ๆ ที่เกี่ยวข้องหรือไม่ เนื่องจากตามมาตรา 19 วรรคท้ายกำหนดว่า การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่ไม่เป็นไปตามที่กำหนดไว้ในหมวดนี้ (หมวด 2 มาตรา 19-29 ) ไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคคลและไม่ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทำประมวลผลข้อมูลส่วนบุคคลได้

เมื่อพิจารณาแล้วว่าความยินยอมเป็นฐานทางกฎหมายที่เหมาะสม ถูกต้อง จึงพิจารณาเงื่อนไขของการจัดทำความยินยอมที่ชอบด้วยกฎหมายตามที่กำหนดไว้ในมาตรา 19 ดังนี้
(1)ระยะเวลาที่ได้รับความยินยอม: ต้องได้มาก่อนหรือในขณะที่จะประมวลผลข้อมูลส่วนบุคคล จะประมวลผลก่อน ขอทีหลัง หรือขอย้อนหลังไม่ได้)
(2)รูปแบบ: การขอความยินยอมต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้
(3)ขอจากใคร: ในการขอความยินยอมต้องขอจากเจ้าของข้อมูลส่วนบุคคลเท่านั้น ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรส หรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้วตามประมวลกฎหมายแพ่งและพาณิชย์ การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าวต้องปฏิบัติตามเงื่อนไขในมาตรา 20 ของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้แก่ ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือต้องขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ ทั้งนี้ตามเงื่อนไขที่กฎหมายกำหนด
(4)การแจ้งวัตถุประสงค์: ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล และการแจ้งนั้นต้องไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว
(5)แบบของการขอความยินยอม: การขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย
(6)ความเป็นอิสระในการให้ความยินยอม: ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม (freely given)  โดยในการเข้าทำสัญญาซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อประมวลผลข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ
(7)การถอนความยินยอม: เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล   

ในการใช้ ความยินยอม นั้น องค์กรต้องปฏิบัติตามเงื่อนไขทั้ง 7ประการข้างต้น อย่างเคร่งครัด จึงจะเป็นความยินยอมที่ชอบด้วยกฎหมาย ซึ่งหลักการขอความยินยอมตามมาตรา 19 ของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เป็นบทบัญญัติที่สอดคล้องกับเงื่อนไขการขอความยินยอมตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปหรือ GDPR มาตรา 7 โดย EDPB Guidelines 05/2020 on consent under Regulation 2016/679 ได้ให้ข้อแนะนำไว้ว่าความยินยอมจะเป็นฐานทางกฎหมายที่เหมาะสมได้ก็ต่อเมื่อเจ้าของข้อมูลส่วนบุคคลได้รับการเสนอการควบคุม (control) และเสนอทางเลือกที่แท้จริง (genuine choice) เกี่ยวกับการยอมรับหรือปฏิเสธข้อกำหนดที่เสนอหรือปฏิเสธได้โดยไม่มีความเสียหาย (หรือได้รับผลกระทบเชิงลบ) และความยินยอมเป็น การตัดสินใจที่ย้อนกลับได้ (reversible decision)

โดยในส่วนหน่วยงานของรัฐ UK ICO และ EDPB ให้ข้อแนะนำว่าหน่วยงานของรัฐอาจมีข้อจำกัดในการใช้ฐานความยินยอมในการประมวลผลเนื่องจากการมีอำนาจรัฐ มีการใช้อำนาจทางปกครองเพื่อการจัดทำบริการสาธารณะ ความยินยอมที่เป็นอิสระจึงอาจเกิดขึ้นได้ยาก หรือในกรณีของความสัมพันธ์ระหว่างนายจ้าง-ลูกจ้างที่นายจ้างมีสถานะทางเศรษฐกิจหรืออำนาจต่อรองที่สูงกว่าลูกจ้าง การขอความยินยอมก็อาจทำได้ยากที่จะให้มีความเป็นอิสระอย่างแท้จริงเช่นกัน

ความยินยอมเป็นหนึ่งในหลาย ๆ ฐานที่กฎหมายกำหนดไว้ เพื่อให้การประมวลผลข้อมูลส่วนบุคคลเป็นธรรมและโปร่งใสต่อเจ้าของข้อมูลส่วนบุคคล โดยการให้องค์กรต่าง ๆ ที่จะประมวลผลข้อมูลส่วนบุคคลต้องพิจารณาและพิสูจน์ได้ว่ามีฐานทางกฎหมาย (ข้อกล่าวอ้างว่ามีสิทธิประการใดประการหนึ่งในการนำข้อมูลส่วนบุคคลไปใช้) โดยต้องแจ้งในประกาศนโยบายความเป็นส่วนตัว (Privacy Notice) และควรบันทึกไว้ในบันทึกรายการกิจกรรมการประมวลผลด้วย (Record of Processing Activities: ROPA) เพื่อประโยชน์ในการทบทวนตรวจสอบทั้งจากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล.
_________

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ref: https://www.bangkokbiznews.com/columnist/1006638