“ความยินยอม” ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 “ความยินยอม” เป็นฐานทางกฎหมายในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (“ประมวลผล”)ฐานหนึ่งในหลาย ๆ ฐานที่กฎหมายกำหนดไว้เพื่อให้ “ผู้ควบคุมข้อมูลส่วนบุคคล” ใช้เป็นเครื่องมือในการบรรลุวัตถุประสงค์การใช้ข้อมูลส่วนบุคคลทั้งข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลตามมาตรา 26 อาทิ เชื้อชาติ ศาสนา ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ และข้อมูลชีวภาพ เป็นต้น
              ก่อนที่จะใช้ความยินยอมเป็นฐานการประมวลผลข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ตรวจสอบก่อนว่าความยินยอมเป็นฐานทางกฎหมายที่สอดคล้องกับกิจกรรมการประมวลผล ลักษณะการประมวลผล และกฎหมายอื่น ๆ ที่เกี่ยวข้องหรือไม่ เนื่องจากตามมาตรา 19 วรรคท้ายกำหนดว่า การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่ไม่เป็นไปตามที่กำหนดไว้ในหมวดนี้ (หมวด 2 มาตรา 19-29 ) ไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคคลและไม่ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทำประมวลผลข้อมูลส่วนบุคคลได้
              เมื่อพิจารณาแล้วว่าความยินยอมเป็นฐานทางกฎหมายที่เหมาะสม ถูกต้อง จึงพิจารณาเงื่อนไขของการจัดทำความยินยอมที่ชอบด้วยกฎหมายตามที่กำหนดไว้ในมาตรา 19 ดังนี้
(1)         ระยะเวลาที่ได้รับความยินยอม: ต้องได้มาก่อนหรือในขณะที่จะประมวลผลข้อมูลส่วนบุคคล จะประมวลผลก่อน ขอทีหลัง หรือขอย้อนหลังไม่ได้)
(2)   รูปแบบ: การขอความยินยอมต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้
(3)   ขอจากใคร: ในการขอความยินยอมต้องขอจากเจ้าของข้อมูลส่วนบุคคลเท่านั้น ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรส หรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้วตามประมวลกฎหมายแพ่งและพาณิชย์ การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าวต้องปฏิบัติตามเงื่อนไขในมาตรา 20 ของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้แก่ ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือต้องขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ ทั้งนี้ตามเงื่อนไขที่กฎหมายกำหนด
(4)   การแจ้งวัตถุประสงค์: ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล และการแจ้งนั้นต้องไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว
(5)         แบบของการขอความยินยอม: การขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย
(6)   ความเป็นอิสระในการให้ความยินยอม: ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม (freely given)  โดยในการเข้าทำสัญญาซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อประมวลผลข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ
(7)         การถอนความยินยอม: เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล   
              ในการใช้ “ความยินยอม” นั้น องค์กรต้องปฏิบัติตามเงื่อนไขทั้ง 7ประการข้างต้น อย่างเคร่งครัด จึงจะเป็นความยินยอมที่ชอบด้วยกฎหมาย ซึ่งหลักการขอความยินยอมตามมาตรา 19 ของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เป็นบทบัญญัติที่สอดคล้องกับเงื่อนไขการขอความยินยอมตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปหรือ GDPR มาตรา 7 โดย EDPB Guidelines 05/2020 on consent under Regulation 2016/679 ได้ให้ข้อแนะนำไว้ว่าความยินยอมจะเป็นฐานทางกฎหมายที่เหมาะสมได้ก็ต่อเมื่อเจ้าของข้อมูลส่วนบุคคลได้รับการเสนอการควบคุม (control) และเสนอทางเลือกที่แท้จริง (genuine choice) เกี่ยวกับการยอมรับหรือปฏิเสธข้อกำหนดที่เสนอหรือปฏิเสธได้โดยไม่มีความเสียหาย (หรือได้รับผลกระทบเชิงลบ) และความยินยอมเป็น “การตัดสินใจที่ย้อนกลับได้” (reversible decision)
              โดยในส่วนหน่วยงานของรัฐ UK ICO และ EDPB ให้ข้อแนะนำว่าหน่วยงานของรัฐอาจมีข้อจำกัดในการใช้ฐานความยินยอมในการประมวลผลเนื่องจากการมีอำนาจรัฐ มีการใช้อำนาจทางปกครองเพื่อการจัดทำบริการสาธารณะ ความยินยอมที่เป็นอิสระจึงอาจเกิดขึ้นได้ยาก หรือในกรณีของความสัมพันธ์ระหว่างนายจ้าง-ลูกจ้างที่นายจ้างมีสถานะทางเศรษฐกิจหรืออำนาจต่อรองที่สูงกว่าลูกจ้าง การขอความยินยอมก็อาจทำได้ยากที่จะให้มีความเป็นอิสระอย่างแท้จริงเช่นกัน
              ความยินยอมเป็นหนึ่งในหลาย ๆ ฐานที่กฎหมายกำหนดไว้ เพื่อให้การประมวลผลข้อมูลส่วนบุคคลเป็นธรรมและโปร่งใสต่อเจ้าของข้อมูลส่วนบุคคล โดยการให้องค์กรต่าง ๆ ที่จะประมวลผลข้อมูลส่วนบุคคลต้องพิจารณาและพิสูจน์ได้ว่ามีฐานทางกฎหมาย (ข้อกล่าวอ้างว่ามีสิทธิประการใดประการหนึ่งในการนำข้อมูลส่วนบุคคลไปใช้) โดยต้องแจ้งในประกาศนโยบายความเป็นส่วนตัว (Privacy Notice) และควรบันทึกไว้ในบันทึกรายการกิจกรรมการประมวลผลด้วย (Record of Processing Activities: ROPA) เพื่อประโยชน์ในการทบทวนตรวจสอบทั้งจากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล.
_________

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ref: https://www.bangkokbiznews.com/columnist/1006638

 
TAG: PDPA, พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ, ความยินยอม, EDPB, PDPC, สคส