การขอความยินยอมตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

แนวทางการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล อาจดำเนินการโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลได้ แต่ต้องเป็นไปตามข้อยกเว้นที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลบัญญัติให้กระทำได้ (“ฐานทางกฎหมาย หรือ Lawful Basis”) ตามมาตรา 24 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้แก่
1)  เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ
เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ
2)   เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
3)  เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา
หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
4)  เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ
ของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
5)  เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
หรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล
6)   เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
ในกรณีที่เป็นข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อ ในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพ แรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนอง เดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด จะเป็นไปตามข้อยกเว้นตามมาตรา 26
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ
ด้วยเหตุนี้ ความยินยอมจากเจ้าของข้อมูลส่วนบุคคลจึงเป็นฐานทางกฎหมายสุดท้าย
ที่ผู้ควบคุมข้อมูลส่วนบุคคลสามารถใช้เพื่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้หากไม่เป็นไปตามข้อยกเว้นอื่นตามมาตรา 24 หรือมาตรา 26 แล้วแต่กรณี การขอความยินยอมที่ชอบด้วยกฎหมายตามมาตรา19 นั้นในกรณีที่ไม่มีการกำหนดแบบหรือข้อความในการขอความยินยอมที่มีสภาพบังคับตาม กฎหมายอื่นไว้เป็นการเฉพาะ ผู้ควบคุมข้อมูลส่วนบุคคลพึงดำเนินการดังนี้
1)       เงื่อนไขเวลาในการขอความยินยอม ต้องมีการขอความยินยอมก่อนหรือในขณะ กระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
2)     ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล
ต้องแจ้งวัตถุประสงค์และรายละเอียดของการขอความยินยอมให้เจ้าของข้อมูลส่วนบุคคลทราบ (informed) ก่อนจะให้ความยินยอม
3)       การขอความยินยอมต้องระบุวัตถุประสงค์ในการให้ความยินยอมอย่างเฉพาะเจาะจง(specific) ไม่ใช่ระบุวัตถุประสงค์อย่างกว้าง ๆ เป็นการทั่วไป
4)       การขอความยินยอมต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์
5)     การขอความยินยอมจะชอบด้วยกฎหมาย ก็ต่อเมื่อเจ้าของข้อมูลส่วนบุคคล
ให้ความยินยอมโดยสมัครใจและอิสระ (freely given) จากเจ้าของข้อมูลส่วนบุคคล โดยปราศจากกลฉ้อฉล หลอกลวง ข่มขู่ หรือสำคัญผิด
6)       การให้ความยินยอมต้องไม่มีลักษณะที่เป็นเงื่อนไขที่บังคับหรือผูกมัด หรือเป็นเงื่อนไขที่บังคับให้เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมก่อนการเข้าทำสัญญาซึ่งรวมถึงการให้บริการใด ๆ เพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญา
ซึ่งรวมถึงการให้บริการนั้น ๆ
จากหลักเกณฑ์ข้างต้น มีกรณีศึกษาดังนี้
กรณีศึกษาที่ 1
บริษัท ก เป็นผู้ควบคุมข้อมูลส่วนบุคคลที่ให้บริการแอปพลิเคชัน (Application) ผ่าน โทรศัพท์มือถือในการตัดต่อภาพ บริษัท ก ได้ระบุเงื่อนไขในการใช้แอปพลิเคชันดังกล่าวว่า ผู้ใช้บริการหรือ เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมให้บริษัท ก ใช้ข้อมูลส่วนบุคคลที่ระบุตำแหน่งของเจ้าของข้อมูล ส่วนบุคคลตามพิกัด GPS (GPS Location) และบริษัท ก สามารถบันทึกพฤติกรรมการใช้แอปพลิเคชัน ดังกล่าวของเจ้าของข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ทางการตลาดด้วย (ซึ่งไม่ได้เกี่ยวข้องหรือจำเป็นกับการ ให้บริการตัดต่อภาพ) จึงจะสามารถใช้บริการได้ ผู้ใช้บริการที่เป็นเจ้าของข้อมูลส่วนบุคคลจึงกดให้ความยินยอม การให้คำยินยอมดังกล่าวไม่ถือเป็นการให้ความยินยอมโดยสมัครใจและอิสระ
กรณีศึกษาที่ 2
หน่วยงานของรัฐแห่งหนึ่งให้บริการซ่อมบำรุงถนนให้แก่ประชาชนทั่วไป แต่หน่วยงานของรัฐ ดังกล่าวระบุว่า ประชาชนทั่วไปต้องระบุข้อมูลส่วนบุคคลที่ไม่เกี่ยวข้องกับการซ่อมบำรุงถนน เช่น ที่อยู่อีเมล เพื่อรับข้อมูลข่าวสารเกี่ยวกับการซ่อมบำรุงถนน โดยประชาชนต้องกดให้ความยินยอมในการเก็บรวบรวม ข้อมูลดังกล่าวผ่านแอปพลิเคชันเท่านั้นจึงจะสามารถใช้บริการตรวจสอบข้อมูลการซ่อมบำรุงถนนได้ บุคคลที่ ไม่ให้ความยินยอมจะไม่สามารถใช้บริการดังกล่าวได้
              การให้ความยินยอมแก่หน่วยงานของรัฐดังกล่าว ไม่ถือเป็นการให้ความยินยอมโดยสมัครใจ และอิสระ ดังนั้น ประชาชนย่อมสามารถใช้บริการตรวจสอบข้อมูลการซ่อมบำรุงถนนของหน่วยงานของรัฐแห่งนั้นได้ โดยไม่จำเป็นต้องให้ความยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลทึ่ไม่เกี่ยวข้องกับการซ่อมบำรุงถนน เช่น ที่อยู่อีเมล์ดังกล่าว
              หลักเกณฑ์และกรณีศึกษาข้างต้นเป็นเพียงส่วนหนึ่งของการได้มาซึ่งความยินยอมโดยชอบด้วยกฎหมายเท่านั้น ในการได้มาซึ่งความยินยอมยังต้องพิจารณาองค์ประกอบอื่นๆ  อีกหลายประการ อาทิ การแจ้งวัตถุประสงค์ การแสดงออกในการให้ความยินยอม อายุและความสามารถของผู้ให้ความยินยอม และวิธีการถอนความยินยอม เป็นต้น
           ประการสำคัญหน้าที่ขององค์กรต่าง ๆ ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีอยู่ตลอดระยะเวลาที่องค์กรมี “การใช้” ข้อมูลส่วนบุคคลอยู่ เงื่อนไขของความยินยอมเป็นเพียงส่วนหนึ่งของกระบวนการ “เก็บรวบรวม” ซึ่งเป็นต้นทางในการนำเข้าข้อมูลเท่านั้น.
_________

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

Ref: https://www.bangkokbiznews.com/news/1022383

TAG: PDPA, พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ, แนวทางขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล