กรณีศึกษา: การขอความยินยอมจากผู้เยาว์

ประมวลกฎหมายแพ่งและพาณิชย์ มาตรา 19 กำหนดว่า “บุคคลย่อมพ้นจากภาวะผู้เยาว์และบรรลุนิติภาวะเมื่อมีอายุยี่สิบปีบริบูรณ์” และมาตรา 20 กำหนดว่า “ผู้เยาว์ย่อมบรรลุนิติภาวะเมื่อทำการสมรส หากการสมรสนั้นได้ทำตามบทบัญญัติมาตรา 1448” กล่าวได้ว่า บุคคลจะบรรลุนิติภาวะเมื่อมีอายุครบ 20 ปีบริบูรณ์ หรือเมื่อทำการสมรสถูกต้องตามที่กฎหมายกำหนด หากบุคคลไม่เข้าเงื่อนไขดังกล่าว จึงเป็น “ผู้เยาว์” ที่ถือว่าเป็นผู้หย่อนความสามารถที่กฎหมายต้องให้ความคุ้มครองเป็นพิเศษ และกฎหมายดังกล่าวก็รวมถึง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ด้วย

            การที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลของผู้เยาว์เป็นพิเศษนั้น เนื่องจากผู้เยาว์อาจไม่มีวุฒิภาวะเพียงพอในการตระหนักถึงความเสี่ยง ผลที่อาจเกิดขึ้น หรือเป็นการปกป้องผู้เยาว์จากการถูกหลอกลวง กลฉ้อฉล ข่มขู่ สำคัญผิด หรือการกระทำที่ผิดกฎหมายที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลในบางกรณี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จึงกำหนดให้จะต้องมีการขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย

            กรณีที่จะต้องมีการขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ คือกรณีที่ใช้ฐานความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้เยาว์โดยหลักเกณฑ์การขอความยินยอมของผู้เยาว์จะต้องเป็นไปตามมาตรา 19 และมาตรา 20 อย่างไรก็ตาม ฐานความยินยอมไม่ใช่ฐานทางกฎหมายเพียงฐานเดียวในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้เยาว์ กล่าวคือ ข้อมูลส่วนบุคคลของผู้เยาว์ก็ถือเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ที่หากว่าใช้ฐานทางกฎหมายตามมาตรา 24 (1) – (6) หรือมาตรา 26 วรรคหนึ่ง (1) – (5) ซึ่งเป็นกรณีที่ไม่ต้องขอความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจึงไม่จำต้องปฏิบัติตามมาตรา 19 และมาตรา 20

            ตัวอย่างเช่น กรณีการเปิดบัญชีธนาคารของผู้เยาว์ โดยมีการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้เยาว์ในการเปิดบัญชีธนาคาร ผู้ควบคุมข้อมูลส่วนบุคคลอาจพิจารณาฐานทางกฎหมายตามมาตรา 24 (3) คือ เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้นได้ และหากมีการเปิดบัญชีหรือทำธุรกรรมผ่าน Mobile Banking และมีการเก็บรวบรวมและใช้ Facial recognition ของผู้เยาว์เพื่อพิสูจน์และยืนยันตัวตนของผู้เยาว์ ซึ่งมีการใช้เทคนิคหรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ จึงเป็นการเก็บรวบรวมข้อมูลชีวภาพตามมาตรา 26 วรรคสอง ผู้ควบคุมข้อมูลส่วนบุคคลจึงต้องพิจารณาฐานทางกฎหมายตามมาตรา 26 วรรคหนึ่ง (1) – (5) ในการเก็บรวบรวมข้อมูลส่วนบุคคลสำหรับกิจกรรมที่มีวัตถุประสงค์เพื่อยืนยันตัวตน เมื่อไม่มีเหตุดังกล่าว ก็จะต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล ตามหลักเกณฑ์ที่กำหนดไว้มาตรา 19 และมาตรา 20 ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

            นอกจากนี้ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้เผยแพร่แนวทางการดำเนินการในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งในแนวทางได้มีการอธิบายเพิ่มเติมถึงประเด็นเงื่อนไขเรื่องอายุและลักษณะของการให้ความยินยอมในกรณีผู้เยาว์ ดังนี้

            (1) กรณีที่ผู้เยาว์อายุมากกว่า 10 ปีแต่ยังไม่บรรลุนิติภาวะตามกฎหมาย ผู้เยาว์สามารถให้ความยินยอมด้วยตนเองโดยลำพังได้ หากเป็นการที่ผู้เยาว์ทำนิติกรรมที่ต้องทำเองเฉพาะตัวและเป็นการสมแก่ฐานานุรูปแห่งตนและเป็นการจำเป็นในการดำรงชีพตามสมควรหรือเป็นเพียงเพื่อจะได้ไปซึ่งสิทธิอันใดอันหนึ่ง หรือเป็นการเพื่อให้หลุดพ้นจากหน้าที่อันใดอันหนึ่ง (มาตรา 22-24 แห่งประมวลกฎหมายแพ่งและพาณิชย์) แต่หากไม่ใช่กรณีเหล่านั้น ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย
            สำหรับข้อความที่ระบุเพื่อขอความยินยอมจากผู้เยาว์ต้องเป็นภาษาหรือวิธีการที่ผู้เยาว์สามารถทำความเข้าใจได้โดยง่าย และมีมาตรการตรวจสอบอายุของผู้เยาว์ว่าเป็นผู้เยาว์ที่มีอายมากกว่า 10 ปีจริง และเป็นมาตรการที่เหมาะสมตามระดับความเสี่ยงด้วย เช่น การยืนยันการให้ความยินยอมของผู้เยาว์โดยใช้เลขบัตรประจำตัวประชาชนของผู้เยาว์ เป็นต้น

            (2) กรณีที่ผู้เยาว์มีอายุไม่เกิน 10 ปี ผู้ควบคุมข้อมูลส่วนบุคคลต้องขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์เท่านั้น และการขอความยินยอมควรมีการตรวจสอบว่าผู้ให้ความยินยอมนั้นเป็นผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์จริง และเป็นมาตรการที่เหมาะสมตามระดับความเสี่ยงด้วย อีกทั้งต้องใช้ภาษาหรือวิธีการที่ผู้ใช้อำนาจทางปกครองสามารถทำความเข้าใจได้โดยง่ายเช่นกัน
            ดังนั้น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้เยาว์นั้น ก็เหมือนกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่บรรลุนิติภาวะแล้ว คือ ผู้ควบคุมข้อมูลส่วนบุคคลต้องมีฐานทางกฎหมายในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และหากพิจารณาใช้ฐานความยินยอมแล้ว ก็ต้องดำเนินการขอความยินยอมให้ถูกต้องตามหลักเกณฑ์ที่กฎหมายกำหนด และปฏิบัติตามหน้าที่ที่กฎหมายกำหนดให้ถูกต้องครบถ้วน เช่น การแจ้ง Privacy notice การเก็บรวบรวมข้อมูลส่วนบุคคลได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย การมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เป็นต้น.

ที่มา 

1.    สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล. แนวปฏิบัติสำหรับผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล : กรณีศึกษาจากข้อหารือเกี่ยวกับการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (เผยแพร่เมื่อวันที่ 10 กุมภาพันธ์ 2566).,
2.    สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล. แนวทางการดำเนินการในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (เผยแพร่เมื่อวันที่ 7 กันยายน 2565).

โดย

ศุภวัชร์ มาลานนท์
GMI มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
ปัณฑารีย์ อวยจินดา
บริษัท ดีพีโอเอเอเอส จำกัด