หนึ่งคำถามยอดฮิตสำหรับองค์กรคือ “เราต้องขอความยินยอมทุกครั้งที่เก็บข้อมูลจริงไหม?”
ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA “ความยินยอม” เป็นหนึ่งในการให้เหตุผลตามกฎหมาย หรือฐานทางกฎหมาย PDPA ในการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล แม้ว่าความยินยอมจะเป็นฐานทางกฎหมาย “ที่มีชื่อเสียงมากที่สุด” ในแง่ของความรู้จักหรือความคุ้นเคย แต่ก็เป็นฐานทางกฎหมายที่ต้องอาศัยความเข้าใจ และหลักการที่แม่นยำในการเลือกใช้งานและบริหารจัดการให้สอดคล้องกับ PDPA
ผลกระทบขององค์กรหากขอความยินยอมไม่ถูกต้อง หรือไม่สอดคล้องกับกฎหมาย PDPA ความยินยอมนั้นนอกจากจะไม่มีผลใช้งานได้จริงตามกฎหมาย อีกทั้งยังเสี่ยงต่อบทลงโทษทั้งทางปกครองและอาญาได้อีกด้วย
PDPA Thailand ชวนทุกท่านศึกษา “หลักการความยินยอมตาม PDPA” แบบย่อยง่าย อ่านแล้วสามารถนำไปใช้ในการทำงานได้จริง
สารบัญเนื้อหา PDPA กับ ความยินยอม
Add a header to begin generating the table of contents
หลักการความยินยอมตาม PDPA (มาตรา 19)
ตาม PDPA ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลของบุคคลใด ๆ ไม่ได้เลย หากเจ้าของข้อมูลยังไม่ได้ให้ความยินยอม เว้นแต่จะเข้ากรณียกเว้นตามกฎหมายกำหนด หรือมีฐานทางกฎหมายอื่น ๆ รองรับ
“แต่การขอความยินยอม แบบผ่าน ๆ นั้นไม่พอ” เพราะกฎหมายกำหนดให้ต้องขอความยินยอมอย่าง “ชัดแจ้งและโปร่งใส” โดยมีหลักเกณฑ์ดังนี้
1. ความยินยอมต้อง “ชัดแจ้ง” และตรวจสอบได้
องค์กรควรออกแบบให้ความยินยอมอยู่ในรูปที่สามารถพิสูจน์ย้อนหลังได้ เช่น ฟอร์มลงนาม เอกสาร หรือ Log ในระบบอิเล็กทรอนิกส์ ไม่ใช่แค่คำพูดปากเปล่า เพราะหากเกิดข้อพิพาทขึ้น ผู้ควบคุมข้อมูลจะต้องสามารถแสดงได้ว่า เจ้าของข้อมูล “เคยยินยอมจริง” และยินยอมอย่างรู้เท่าทัน มิใช่การกระทำเพื่อล่อล่วงในการให้ความยินยอม
2. ต้องแจ้งวัตถุประสงค์อย่างตรงไปตรงมา
ก่อนจะให้เจ้าของข้อมูลกด “ยอมรับ” หรือเซ็นชื่อ องค์กรต้องอธิบายให้ชัดว่าเก็บข้อมูลไปเพื่ออะไร เช่น เพื่อสมัครงาน เพื่อทำสัญญาซื้อขาย หรือเพื่อนำไปทำการตลาดต่อยอด หากเก็บเพื่อนำไปใช้หลายวัตถุประสงค์ ควรระบุแยกให้เข้าใจง่าย ไม่ใช้คำกลาง ๆ คลุมเครือจนเจ้าของข้อมูลไม่รู้ว่าข้อมูลของตนจะถูกใช้ไปทำอะไรบ้าง
3. แยกส่วนความยินยอมออกจากข้อความอื่น
แบบฟอร์มที่ดีไม่ควร “แอบซ่อน” ข้อความขอความยินยอมไว้ในเงื่อนไขยาว ๆ ที่คนส่วนใหญ่ไม่อ่าน เช่น ซ่อนอยู่ใน Terms & Conditions ยาวเป็นหน้า ๆ กฎหมายต้องการให้การให้ความยินยอม “ไม่เป็นการหลอกล่วงเเละให้อิสระเเก่เจ้าของข้อมูลส่วนบุคคล” จึงควรแยกหัวข้อหรือช่องติ๊ก “ยินยอมให้ใช้ข้อมูลเพื่อ…” ออกจากส่วนอื่นอย่างชัดเจน
4. ใช้ภาษาที่อ่านง่าย ไม่ซับซ้อนเกินจำเป็น
แม้จะเป็นเรื่องกฎหมาย แต่การอธิบายเจ้าของข้อมูลส่วนบุคคลไม่จำเป็นต้องใช้ภาษากฎหมายเต็มรูปแบบ องค์กรควรใช้ภาษาที่คนทั่วไปเข้าใจได้ เช่น “เราจะใช้ข้อมูลนี้เพื่อติดต่อกลับ แจ้งข้อมูลบริการ และเสนอโปรโมชั่นที่เหมาะกับคุณ” แทนการใช้ถ้อยคำยืดยาวที่อ่านแล้วไม่รู้เรื่อง เพื่อลดความเสี่ยงที่จะถูกตีความว่า “ไม่โปร่งใส”
5. ห้ามออกกลอุบายหลอกล่อหรือบังคับให้ยินยอมการขอความยินยอม
ในการเก็บรวบรวมข้อมูล ต้องไม่ใช้วิธีที่ทำให้เจ้าของข้อมูลเข้าใจผิด เช่น เขียนวัตถุประสงค์คลุมเครือ หรือบังคับว่า “หากไม่ยินยอมให้ใช้ข้อมูลเพื่อการตลาด จะไม่สามารถใช้บริการพื้นฐานได้” ทั้งที่จริง ๆ แล้วบริการพื้นฐานไม่จำเป็นต้องใช้ข้อมูลในส่วนนั้น การผูกขาดแบบนี้ทำให้ความยินยอมไม่เป็นไปตามหลัก “การให้ด้วยความเป็นอิสระ (Freely Given)” และเสี่ยงว่าการขอความยินยอมไม่ชอบด้วยกฎหมาย
ในส่วนการขอความยินยอม “กรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์” ต้องขอความยินยอมจากผู้ปกครอง และการถอนความยินยอมของผู้เยาว์ต้องพิจารณาตามหลักเกณฑ์เดียวกับการขอความยินยอม คือจะต้องให้ผู้ใช้อำนาจปกครองเป็นผู้ดำเนินการถอนความยินยอมแทน
แม้จะเคยให้ความยินยอมแล้ว แต่หากเจ้าของข้อมูลเปลี่ยนใจ องค์กรต้องตอบสนองตาม “สิทธิในการถอนความยินยอม” ตาม PDPA เสมอ
บทบัญญัติตามกฎหมายที่บอกว่า “เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่าย เช่นเดียวกับการให้ความยินยอม” คือความท้าทายขององค์กรในกรณีที่ประมวลผลข้อมูลส่วนบุคคล ด้วยการขอความยินยอม เพราะองค์กรต้องออกแบบระบบรองรับอย่างจริงจัง ไม่ใช่ให้ยินยอมง่าย แต่ถอนความยินยอมยากเกินความจำเป็น
ตัวอย่างการตอบสนองสิทธิในการถอนความยินยอมที่ “ไม่สอดคล้องกับกฎหมาย PDPA”
เจ้าของข้อมูลคลิกลิงก์ “ยกเลิกการรับข่าวสาร” ในอีเมล หรือยื่นแบบคำร้องขอยกเลิกผ่านช่องทางที่องค์กรกำหนด หลักการสำคัญคือ ขั้นตอนการถอนควร “ง่ายไม่ต่างจากขั้นตอนตอนให้” จะให้กดยินยอมแค่หนึ่งคลิก แต่ถอนต้องโทรคุย ส่งเอกสารหลายใบ แบบนี้ไม่สอดคล้องเจตนารมณ์ของ PDPA
แต่เรื่องที่ควรรู้คือ การถอนความยินยอมจะไม่กระทบต่อความชอบด้วยกฎหมายของการประมวลผล ที่เคยทำไปแล้วก่อนหน้า แต่หากการถอนมีผลต่อการให้บริการ เช่น ไม่สามารถส่งข้อมูลอัปเดตบริการได้อีกต่อไป องค์กรควรแจ้งผลกระทบเหล่านี้ให้เจ้าของข้อมูลส่วนบุคคลทราบอย่างชัดเจน
“PDPA ≠ ขอความยินยอม” เพราะในบางกรณีองค์กรสามารถประมวลผลข้อมูลส่วนบุคคลได้ทันที (มาตรา 24)
หลายองค์กรมักเข้าใจผิดว่า “ทำอะไรกับข้อมูลต้องขอยินยอมทุกครั้ง” ซึ่งในทางปฏิบัติไม่จริง และอาจทำให้ระบบยุ่งเกินจำเป็น เพราะกฎหมาย PDPA เปิดช่องให้ใช้ “ฐานทางกฎหมายอื่น” แทนความยินยอมได้ในบางกรณี เช่น
การประมวลผลข้อมูลเพื่อการปฏิบัติตามกฎหมาย เช่น การส่งข้อมูลพนักงานให้กับสำนักงานประกันสังคม
การประมวลผลข้อมูลเพื่อการปฏิบัติตามสัญญา เช่น HR เก็บรวบรวมข้อมูลพนักงาน เพื่อจัดทำสัญญาจ้างงานประจำ
การประมวลผลข้อมูลเพื่อการป้องกันอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ เช่น การช่วยเหลือในสถานการณ์ฉุกเฉิน ที่เจ้าของข้อมูลหมดสติ หรือไม่สามารถให้ความยินยอมได้ เพื่อการรักษาชีวิตของบุคคลนั้น
การประมวลผลข้อมูลเพื่อภารกิจเพื่อประโยชน์สาธารณะหรือใช้อำนาจรัฐ เช่น การจัดเก็บข้อมูลเพื่อสาธารณสุข หรือความปลอดภัยสาธารณะ
การประมวลผลข้อมูลเพื่อประโยชน์โดยชอบด้วยกฎหมาย เช่น การติดตั้งกล้องวงจรปิดในพื้นที่ทำงาน เพื่อการคุ้มครองความปลอดภัยของผู้ที่เกี่ยวข้อง
PDPA กับความยินยอม และการบริหารจัดการ “ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data)” (มาตรา 26)
ตามหลักกฎหมาย PDPA กำหนดให้มีการคุ้มครองข้อมูลประเภท “ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data)” ให้จริงจังและเข้มข้นกว่าข้อมูลส่วนบุคคลทั่วไป เพราะข้อมูลประเภทนี้หากรั่วไหลหรือใช้งานผิดวัตถุประสงค์ อาจกระทบสิทธิและศักดิ์ศรี ทั้งการถูกเลือกปฏิบัติ หรือก่อให้เกิดความอับอาย ต่อเจ้าของข้อมูล
ตัวอย่างของข้อมูลอ่อนไหว ได้แก่ เชื้อชาติ เผ่าพันธุ์ ความเชื่อทางศาสนาหรือปรัชญา ข้อมูลสุขภาพ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ใบหน้า ลายนิ้วมือ ม่านตา)
โดยหลักแล้วองค์กร “ห้ามเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลอ่อนไหว หากไม่ได้รับความยินยอมโดยชัดแจ้ง จากเจ้าของข้อมูล”
เว้นแต่จะเข้ากรณียกเว้นที่กฎหมายกำหนด เช่น ใช้เพื่อช่วยชีวิตในกรณีฉุกเฉิน เมื่อเจ้าของข้อมูลไม่อาจให้ความยินยอมได้ หรือมีฐานทางกฎหมายอื่นรองรับ
ความเสี่ยงจากบทลงโทษในกรณีที่องค์กร บริหารจัดการ “ความยินยอม” ไม่สอดคล้องตามที่กฎหมาย PDPA กำหนด
บทลงโทษกฎหมาย PDPA ที่เกี่ยวข้องกับ “ความยินยอม” มีทั้งโทษทางปกครองและโทษอาญา โดยความผิดที่เกี่ยวกับการขอความยินยอมที่ไม่ถูกต้องหรือการประมวลผลข้อมูลโดยไม่ชอบที่ต้องอาศัยความยินยอม มีดังนี้
โทษทางปกครอง (มาตรา 82 และ 83) มีอำนาจสั่งลงโทษโดยคณะกรรมการผู้เชี่ยวชาญ.
มาตรา | การกระทำที่ผิดต่อหลักความยินยอม | บทลงโทษทางปกครอง |
มาตรา 82 | ปรับไม่เกินหนึ่งล้านบาท | ไม่แจ้งผลกระทบจากการถอนความยินยอม ตามมาตรา 19 วรรคหก หรือ ไม่ขอความยินยอมตามแบบหรือข้อความที่คณะกรรมการประกาศกำหนด ตามมาตรา 19 วรรคสาม. |
มาตรา 83 | ปรับไม่เกินสามล้านบาท | ขอความยินยอมโดยการหลอกลวง หรือทำให้เจ้าของข้อมูลส่วนบุคคล เข้าใจผิดในวัตถุประสงค์. |
โทษทางอาญา (มาตรา 79) โทษอาญากำหนดเฉพาะสำหรับการละเมิดที่เกี่ยวข้องกับ ข้อมูลอ่อนไหว (มาตรา 26)
มาตรา | การกระทำที่ผิด (เกี่ยวข้องกับการใช้/เปิดเผย/โอนข้อมูลอ่อนไหว) | บทลงโทษอาญา |
มาตรา 79 | การฝ่าฝืนมาตรา 27 (ใช้/เปิดเผย) หรือมาตรา 28 (โอนไปต่างประเทศ) อันเกี่ยวกับข้อมูลส่วนบุคคลตามมาตรา 26 โดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย. | โทษจำคุกไม่เกิน หกเดือน หรือปรับไม่เกิน ห้าแสนบาท หรือทั้งจำทั้งปรับ. |
มาตรา 79 | การฝ่าฝืนมาตรา 27 หรือมาตรา 28 อันเกี่ยวกับข้อมูลส่วนบุคคลตามมาตรา 26 เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น. | โทษจำคุกไม่เกิน หนึ่งปี หรือปรับไม่เกิน หนึ่งล้านบาท หรือทั้งจำทั้งปรับ. |
