สิทธิในการยกเลิกได้ทุกเวลา.. ผลกระทบในเชิงลบ และ ‘ความเสี่ยง’ ที่ธุรกิจต้องทำความเข้าใจเรื่องนี้อย่างละเอียดก่อนจัดทำสัญญา ทำแผนการตลาด หรือจัดโปรโมชันส่งเสริมการขายเพื่อการเก็บข้อมูลส่วนบุคคลของลูกค้าในครั้งต่อไป

แต่ก่อนอื่นเราอยากยกตัวอย่างกรณีที่เคยเกิดขึ้นในการทำสัญญาธุรกรรมต่าง ๆ รวมถึงการตลาด และส่งเสริมการขายระหว่างผู้ให้บริการกับลูกค้าผู้ใช้บริการเสียก่อนว่าเป็นไปในลักษณะใดบ้าง เช่น

– การให้ข้อมูลเพื่อทำบัตรเครดิตที่ผ่านมาจะเห็นว่ามี ‘แอบ’ ให้เซ็นยินยอมในการขายประกันหรือบริการอื่นพ่วงมาด้วย และโดยมากก็ยอมเซ็นเนื่องจากมองว่าเป็นเงื่อนไขของผู้ให้บริการ

– การจัดโปรโมชันของแบรนด์สินค้าหรือบริการ อาทิ กิจกรรมการลด แลก แจก แถม ที่มักขอเก็บข้อมูลข้อมูลส่วนบุคคลของลูกค้ากลุ่มเป้าหมายเพื่อแลกกับของสมนาคุณหรือส่วนลดที่มักจะ ‘แอบ’ มีเงื่อนไขอื่น ๆ ที่นอกเหนือจากกิจกรรมหลักซึ่งผู้ใช้บริการบางครั้งก็ไม่ทราบ

– การสมัครสมาชิกเพื่อเข้าใช้บริการหรือรับสิทธิพิเศษ มักจะมีเงื่อนไขอื่นที่ระบุไว้เป็นเครื่องหมายดอกจัน ‘ตัวเล็กๆ และยาวมาก’ เพื่อประลองขันติและความอดทนในการอ่านเงื่อนไขเหล่านั้นของผู้สมัคร จนในที่สุดก็อาจจะแค่อ่านผ่าน ๆ

– บริการอินเทอร์เน็ตและหมายเลขโทรศัพท์มือถือที่มักจะนำข้อมูลการติดต่อของลูกค้า ไป ‘ขายพ่วง’ บริการอื่น ๆ ที่นอกเหนือจากสัญญาการให้บริการเดิม

– การขอข้อมูลติดต่อทางออนไลน์ เช่น อีเมล ID LINE หรือ บัญชีโซเชียลมีเดียเพื่อแลกกับส่วนลดหรือของรางวัลเพื่อทำกิจกรรมส่งเสริมการขายหรือบริการ และโดยส่วนใหญ่ก็ให้ข้อมูลนั้นไปโดยที่ไม่ทราบว่า เขาเหล่านั้นนำข้อมูลไปใช้อะไรอื่น ๆ อีกบ้าง

– ธุรกิจขายตรงที่มักขอข้อมูลติดต่อเพื่อชักชวนเป็นสมาชิกหรือตัวแทน โดยใช้ของแถมหรือการแอบอ้างเกินจริงเป็นสิ่งจูงใจ

จากกรณีตัวอย่างดังกล่าว และ ‘วิธีการที่ล่อแหลม’ สุ่มเสี่ยงการละเมิดเหล่านี้จะไม่ใช่สิ่งที่แบรนด์สินค้าหรือบริการควรทำอีกต่อไป เพราะไม่เพียงสร้างความรำคาญให้กับลูกค้า และส่งผลต่อความน่าเชื่อถือ แต่ภายใต้กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กรณีเหล่านั้นเป็นสิ่งที่ ‘ละเมิดกฎหมาย’

 

 

‘สิทธิในการยกเลิกได้ทุกเวลา’ ธุรกิจต้องรู้ไว้ไม่ปวดใจในภายหลัง

กฎหมาย PDPA ที่มีสาระสำคัญคือการ ‘ขอความยินยอม’ ในการเก็บ รวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ ไม่ก่อให้เกิดความเข้าใจผิด และคาดว่าในอนาคต คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะกำหนดแบบและข้อความเพื่อให้เป็นมาตรฐานเดียวกันทั้งหมด

แต่ที่น่าสนใจ คือ วรรคต่อมาของกฎหมายระบุถึง การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลฯ ต้องคำนึงถึง ‘ความเป็นอิสระ’ ของเจ้าของข้อมูลในการให้ความยินยอม โดยในการเข้าทำสัญญาหรือบริการอื่นใด จะต้อง ‘ไม่มีเงื่อนไข’ ในการให้ความยินยอมที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาหรือการให้บริการนั้น ๆ

อีกทั้ง เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสีย ‘เมื่อใดก็ได้’ โดยจะต้องถอนความยินยอมได้ง่าย เช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมาย หรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูล รวมถึงการถอนความยินยอมย่อม ‘ไม่ส่งผลกระทบ’ ต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลได้ให้ความยินยอมไปแล้ว

และหากการถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลในเรื่องใด ผู้ควบคุมข้อมูลฯ ‘ต้องแจ้ง’ ให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอมนั้น

 

 

‘ความเสี่ยง’ ในการเก็บข้อมูลส่วนบุคคลสำหรับธุรกิจอยู่ตรงไหน?

ลองนึกดูว่า หากธุรกิจทำการตลาด หรือกิจกรรมส่งเสริมการขายเพื่อ ‘เก็บข้อมูลส่วนบุคคล’ ของลูกค้าโดยใช้รางวัลเป็นสิ่งจูงใจ หรือแลกเปลี่ยน แต่ในทันทีที่ลูกค้าได้ให้ข้อมูล และได้รับของตอบแทนแล้ว ก็ร้องขอให้ยกเลิกในการเก็บข้อมูล หรือขอเพิกถอนความยินยอมก่อนหน้านี้ในทันที …จะเกิดอะไรขึ้น !!!
เนื่องจากกฎหมาย PDPA ระบุว่า “เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสีย ‘เมื่อใดก็ได้’ โดยจะต้องถอนความยินยอมได้ง่าย เช่นเดียวกับการให้ความยินยอม” นอกเสียจากว่าการถอนความยินยอมนั้นขัดต่อกฎหมาย หรือไปละเมิดสิทธิของผู้อื่น ซึ่งก็สามารถปฏิเสธคำร้องนั้นได้

ซ้ำร้าย กฎหมายระบุว่าสามารถถอนความยินยอมโดย ‘ไม่มีเงื่อนไข’ ในกรณีอาจจะขอของแถมที่ให้ไปคืนมาก็ไม่ได้ด้วย และธุรกิจก็ ‘จำเป็น’ ต้องปฏิบัติตามคำร้อง และทำได้เพียงบันทึกรายการคำปฏิเสธไว้เท่านั่น

ทั้งการทำสัญญาต่างๆ กฎหมายยังระบุว่า ต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลในการให้ความยินยอม ตรงนี้ยังสามารถ ‘ตีความ’ ได้อย่างกว้างขวาง ว่าแท้จริงแล้ว ความเป็นอิสระดังกล่าวนั้นจะต้องมีรูปแบบอย่างไรบ้าง แต่สรุปแล้วก็กล่าวได้เพียงว่า ข้อกำหนดของกฎหมาย PDPA บทนี้ ให้สิทธิแก่เจ้าของข้อมูลอย่างมาก ขณะเดียวกันก็เป็นความเสี่ยงที่ธุรกิจซึ่งต้องการเก็บใช้ข้อมูลส่วนบุคคลจะต้องระมัดระวังอย่างมากด้วยเช่นกัน

 

 

ธุรกิจสามารถปฏิเสธคำร้อง ‘ถอนความยินยอม’ ได้หรือไม่

แม้จะเป็นสิทธิที่เจ้าของข้อมูลสามารถเพิกถอนความยินยอมในการเก็บ รวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ แต่ในทางกลับกัน ธุรกิจสามารถจะปฏิเสธคำร้องได้เช่นกัน หากสามารถระบุเหตุผลที่ ‘จำเป็นหรือสำคัญกว่าสิทธิพื้นฐาน’ หรือเป็นข้อมูลส่วนบุคคลที่เก็บรวบรวม ‘ได้รับยกเว้น’ ไม่ต้องขอความยินยอม ในลักษณะนี้ :

– เพื่อจัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ
– เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
– เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลก่อนทำสัญญา
– จำเป็นเพื่อการปฏิบัติหน้าที่ในภารกิจเพื่อประโยชน์สาธารณะ
– เป็นประโยชน์โดยชอบด้วยกฎหมาย เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานของเจ้าของข้อมูล
– เป็นการปฏิบัติตามกฎหมาย

ด้วยเหตุนี้ จะเห็นว่าเงื่อนไขในการ ‘ปฏิเสธคำร้อง’ ขอถอนความยินยอมโดยหลักการจะมองที่ฐานทางกฎหมาย และประโยชน์สาธารณะที่สำคัญ อีกทั้งกฎหมาย PDPA มาตรา 32 ยังระบุถึงสิทธิในการคัดค้านของเจ้าของข้อมูล ซึ่งหากมีความจำเป็น หรือเหตุผลที่เพียงพอก็ยังสามารถคัดค้านการเก็บข้อมูลที่ได้รับการยกเว้นได้อีกด้วย นอกเสียจากว่า ผู้ควบคุมข้อมูลฯ จะมีเหตุผลเพียงพอหรือเหตุผลที่สำคัญกว่ามาหักล้าง และหน่วยงานที่จะพิจารณาว่าสิ่งใดสำคัญกว่าย่อมหมายถึงคณะกรรมการคุ้มครองข้อมูลฯ

กระนั้น ทางออกที่ ‘ง่ายกว่า’ สำหรับการเก็บข้อมูลของภาคธุรกิจ คือ เป็นการปฏิบัติตามฐานสัญญา ซึ่งผู้ควบคุมข้อมูลฯ ได้แจ้งแก่เจ้าของข้อมูลฯ ก่อนหน้าที่จะทำสัญญานั้น และที่สำคัญ ต้องไม่ลืมบันทึกการปฏิเสธการคัดค้านพร้อมด้วยเหตุผลไว้ในรายการด้วย เผื่อมีกรณีฟ้องร้องเกิดขึ้นในอนาคต

ควรทราบอีกว่า เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลฯ หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลที่ตนไม่ได้ให้ความยินยอม ซึ่งผู้ควบคุมข้อมูลฯ ต้องปฏิบัติตามคำขอโดยไม่ชักช้า แต่ต้องไม่เกินสามสิบวันนับแต่วันที่ได้รับคำขอ และสามารถปฏิเสธคำขอได้เฉพาะในกรณีที่เป็นการปฏิเสธตามกฎหมายหรือคำสั่งศาลเท่านั้น

 

 

หากเป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมไว้ ‘ก่อนกฎหมายบังคับใช้’ จะทำอย่างไร ?

ในกฎหมาย PDPA บทเฉพาะกาล มาตรา 39 ระบุว่า ข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลได้เก็บรวบรวมไว้ ‘ก่อนพระราชบัญญัติบังคับใช้’ ให้ผู้ควบคุมข้อมูลฯ สามารถเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม แต่ต้องกำหนดวิธีการ ‘ยกเลิกความยินยอม’ และประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่ต้องการให้เก็บรวมรวม และใช้ข้อมูลส่วนบุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย

แต่หากมีการนำข้อมูลส่วนบุคคลที่เก็บไว้ก่อนกฎหมายบังคับใช้มาประมวลผล หรือเปิดเผย ยังจะต้องขอความยินยอมจากเจ้าของข้อมูล และปฏิบัติตามบัญญัติของกฎหมาย

ทั้งนี้ จากข้อสรุปที่เราได้เรียบเรียงจากบทกฎหมายทั้งหมดจะเห็นได้ชัดว่า ภายใต้การบังคับใช้กฎหมาย PDPA อาจจะเป็น ‘จุดเปลี่ยน’ ที่สำคัญสำหรับธุรกิจ ซึ่งไม่เพียงมีขั้นตอนการดำเนินการ และต้นทุนการจัดการที่เพิ่มขึ้น อีกทั้งกฎหมายยังมีบริบทที่ ‘กว้างขวาง’ ซึ่งอาจจะต้องรอดูว่า ‘กฎหมายลูก’ จะออกมาเมื่อไหร่ เพื่อจำกัดความคลุมเครือนี้ให้ชัดเจน

ทว่าสิ่งที่ธุรกิจต้องรีบในตอนนี้และรอไม่ได้คือ ‘ศึกษา’ และปรับเปลี่ยนการดำเนินธุรกิจให้สอดคล้องกับกฎหมายใหม่ฉบับนี้