สิทธิในการเพิกถอนความยินยอม (Right to Withdraw Consent) มาตรา 19 ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) คือ หนึ่งใน สิทธิเจ้าของข้อมูล ที่เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้ โดยจะต้องถอนความยินยอมได้ง่าย เช่นเดียวกับการให้ความยินยอม ความท้าทายขององค์กรในกรณีที่ประมวลผลข้อมูลส่วนบุคคลด้วยการขอความยินยอม องค์กรต้องออกแบบระบบรองรับอย่างจริงจัง ไม่ใช่ให้ยินยอมง่าย แต่ถอนความยินยอมยากเกินความจำเป็น
ตัวอย่างการตอบสนองสิทธิในการถอนความยินยอมที่ สอดคล้องกับกฎหมาย PDPA
หากตอนสมัครสมาชิก ลูกค้าให้ความยินยอมด้วยการคลิกติ๊กถูกเพียงครั้งเดียว ขั้นตอนการถอนความยินยอมก็ต้องทำได้ง่ายเช่นกัน
เช่น มีลิงก์ ยกเลิกการรับข่าวสาร (Unsubscribe) ที่ท้ายอีเมลให้ลูกค้าคลิกกดยืนยันได้ทันที หรือมีเมนูตั้งค่าในแอปพลิเคชันให้ลูกค้ากดปิด (Toggle Off) สิทธิได้ด้วยตนเองตลอดเวลา โดยไม่บังคับให้ต้องล็อกอินเข้าสู่ระบบ หรือไม่ต้องติดต่อพนักงานให้ยุ่งยาก
โดยการเพิกถอนความยินยอมจะมีเงื่อนไขทางกฎหมายอยู่ 2 ข้อ
ไม่กระทบอดีต การยกเลิกจะไม่มีผลย้อนหลังต่อข้อมูลที่องค์กรได้นำไปประมวลผลเรียบร้อยแล้วก่อนหน้าที่จะมีการเพิกถอน
ไม่ขัดต่อฐานกฎหมายอื่น เจ้าของข้อมูลจะถอนความยินยอมไม่ได้ หากข้อมูลนั้นยังจำเป็นต้องใช้เพื่อปฏิบัติตามกฎหมาย เพื่อทำตามสัญญาที่ยังมีผลผูกพันอยู่ หรือมีฐานการประมวลผลข้อมูลตามกฎหมายอื่นในการอ้างเพื่อประมวลผลข้อมูลส่วนบุคคล
แล้ว “ฐานการประมวลผลข้อมูลตามกฎหมาย” แบบไหนบ้าง ที่จะเป็นเกราะป้องกันให้องค์กรยังสามารถดำเนินธุรกิจต่อไปได้โดยไม่เสี่ยงละเมิด PDPA?
ฐานการประมวลผลข้อมูลตามกฎหมาย PDPA (Lawful Basis) ที่ไม่ได้มีแค่เรื่องของการขอ “ความยินยอม”
ฐานสัญญา (Contract) เป็นการประมวลผลข้อมูลส่วนบุคคลเพื่อปฏิบัติตามสัญญาระหว่างองค์กรกับเจ้าของข้อมูลส่วนบุคคล (ไม่ว่าจะทำเป็นลายลักษณ์อักษรหรือไม่ก็ตาม) หมายเหตุ: ใช้ได้กับข้อมูลส่วนบุคคลทั่วไปเท่านั้น
ตัวอย่าง: การเก็บที่อยู่ลูกค้าเพื่อจัดส่งสินค้า หรือ การเก็บประวัติเพื่อให้บริการฟิตเนสแก่สมาชิก
ฐานหน้าที่ตามกฎหมาย (Legal Obligation) เป็นการประมวลผลข้อมูลเพราะองค์กรมีหน้าที่ต้องปฏิบัติตามที่กฎหมายกำหนดไว้
ตัวอย่าง: บริษัทประกันขอสำเนาบัตรประชาชนเพื่อพิสูจน์ตัวตนตามพระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน หรือ การส่งข้อมูลพนักงานให้กรมสรรพากรตามประมวลรัษฎากร
ฐานภารกิจของรัฐ (Public Task) เป็นการใช้อำนาจรัฐเพื่อปฏิบัติหน้าที่ตามที่ได้รับมอบหมาย มักใช้กับหน่วยงานรัฐ หรือเอกชนที่ได้รับมอบอำนาจตามกฎหมาย
ตัวอย่าง: การทำงานของเจ้าหน้าที่ตำรวจ หรือ กรมการปกครอง
ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest) ใช้ในกรณีฉุกเฉินเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ โดยเจ้าของข้อมูลอยู่ในสภาวะที่ไม่สามารถให้ความยินยอมได้ (ครอบคลุมถึงข้อมูลส่วนบุคคลลักษณะพิเศษ หรือ Sensitive Data)
ตัวอย่าง: พนักงานประสบอุบัติเหตุในที่ทำงานจนหมดสติและต้องส่งโรงพยาบาลด่วน บริษัทสามารถส่งข้อมูลประวัติการแพ้ยาหรือหมู่เลือดของพนักงานให้แก่แพทย์ได้ทันทีโดยไม่ต้องขอความยินยอม เพื่อรักษาชีวิตของพนักงาน
ฐานประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) เป็นการประมวลผลที่องค์กรนำข้อมูลไปใช้เพราะมีความจำเป็นและมีเหตุผลอันสมควร เพื่อให้ธุรกิจดำเนินต่อไปได้หรือเพื่อความปลอดภัย โดยต้องรักษาสมดุลไม่ให้ละเมิดสิทธิขั้นพื้นฐานของเจ้าของข้อมูล
ตัวอย่าง: การติดตั้งกล้องวงจรปิด (CCTV) ในพื้นที่บริษัทเพื่อรักษาความปลอดภัย
ฐานวิจัยและสถิติ (Scientific or Research) การเก็บข้อมูลเพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ หรือการวิจัยทางสถิติ โดยต้องอิงตามวัตถุประสงค์หลักและมีมาตรการคุ้มครองข้อมูลที่เหมาะสม
ตัวอย่าง: การเก็บข้อมูลสถิติประชากรเพื่อการวิจัยระดับชาติ
