Now!
Solution ด้านการคุ้มครองข้อมูลส่วนบุคคลที่ตอบโจทย์ SMEs ได้ทุกคำถาม

สิทธิในการเพิกถอนความยินยอม สิทธิที่ทุกองค์กร ‘ต้องรู้ ‘ ก่อนผิด PDPA !

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

สิทธิในการเพิกถอนความยินยอม สิทธิที่ทุกองค์กร ‘ต้องรู้ ‘ ก่อนผิด PDPA !

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

จาก พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA (Personal Data Protection Act) มีข้อกำหนดที่ให้สิทธิแก่เจ้าของข้อมูลในการร้องขอให้ผู้ควบคุมข้อมูลดำเนินการตามสิทธิที่ร้องขอ หนึ่งข้อในนี้รวมถึง “สิทธิในการเพิกถอนความยินยอม” ( Right to Withdraw Consent ) – มาตรา 19 โดยถือว่า กฎหมาย PDPA ได้ให้ความสำคัญต่อตัวเจ้าของข้อมูลส่วนบุคคลมากขึ้น  ไม่ว่าจะเป็นการให้สิทธิร้องขอให้บริษัทอนุญาตให้เข้าถึง รวมถึงการให้สิทธิแก่เจ้าของข้อมูลในการเผิกถอนได้ตามต้องการ 

ในกรณีที่องค์กรใช้กระบวนการเก็บรวบรวมข้อมูลจากฐานความยินยอม (Consent) แม้องค์กรจะมีการมอบเอกสารเพื่อให้ลูกค้ายินยอมให้มีการเก็บรวบรวม ใช้ เผยแพร่แล้ว แต่อย่าลืมว่า ลูกค้ายังมีสิทธิในการเพิกถอนความยินยอมได้ตามต้องการด้วย ครั้งนี้เราจะมาเจาะประเด็นกันครับว่า สิทธิในการเพิกถอนความยินยอม คืออะไร ลูกค้าหรือเจ้าของข้อมูลสามารถทำได้แค่ไหน และเราในฐานะองค์กรที่ต้องรวบรวมข้อมูลส่วนบุคคล ต้องรู้อะไรบ้าง 

สิทธิในการเพิกถอนความยินยอม (Right to Withdraw Consent)  ตามมาตรา 19 หลักการสำคัญของสิทธินี้คือ เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะเพิกถอนความยินยอมเมื่อใดก็ได้ โดยการเพิกถอนความยินยอมจะอยู่ในรูปแบบใดก็ได้ เช่น ทางอิเล็กทรอนิกส์ หรือทำเป็นเอกสารที่เป็นลายลักษณ์อักษร โดยการเพิกถอนองค์กรจะต้องมีการอธิบายสิทธิอย่างชัดเจน เข้าใจง่าย และไม่ยากไปกว่าตอนที่ขอความยินยอมจากลูกค้า โดยการยกเลิกจะต้องไม่ขัดต่อฐานการประมวลผลข้อมูลทางกฎหมายของข้อมูลส่วนบุคคลทั่วไป หรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไปก่อนหน้านี้

…แล้วอะไรคือข้อยกเว้นตามกฎหมายหรือฐานการประมวลผลข้อมูลที่ว่าล่ะ??

  • สัญญา (Contract) ฐานนี้เป็นการปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลฯกับเจ้าของข้อมูลส่วนบุคคล ทั้งนี้สามารถทำเป็นลายลักษณ์อักษรหรือไม่เป็นลายลักษณ์อักษรก็ได้ ตัวอย่างเช่น การสมัครสมาชิกฟิตเนสและการให้บริการด้านการออกกำลังกายกับสมาชิกฟิตเนส  เก็บรวบรวมที่อยู่จัดส่งของผู้ซื้อให้กับร้านค้าเพื่อส่งสินค้า **ใช้ได้กับข้อมูลส่วนบุคคลทั่วไปเท่านั้น

 

  • หน้าที่ตามกฎหมาย (Legal Obligation) เป็นฐานที่กฎหมายกำหนดไห้ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตามกฎหมาย ตัวอย่างเช่น การให้ข้อมูลกับหน่วยงานหรือพนักงานเจ้าหน้าที่ของรัฐซึ่งมีอำนาจตามกฎหมาย การที่บริษัทประกันขอสำเนาบัตรประชาชนเพื่อพิสูจน์ตัวตนของผู้ใช้บริการตามกฎหมาย

 

  • ภารกิจของรัฐ (Public Task) เป็นฐานการใช้อำนาจรัฐเพื่อปฏิบัติหน้าที่ตามที่ได้รับมอบหมาย ผู้ควบคุมข้อมูลส่วนบุคคล  โดยในฐานนี้มักเป็นเจ้าหน้าที่ของรัฐ หรือหน่วยงานเอกชนที่มีอำนาจตามที่กำหนดไว้ในกฎหมาย เช่น ตำรวจ

 

  • ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest) องค์กรสามารถใช้ฐานนี้ในการประมวลผลข้อมูลสุขภาพที่เป็นข้อมูลอ่อนไหว (sensitive data) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย สุขภาพ ซึ่งจะใช้ฐานนี้ได้เฉพาะในกรณีที่เจ้าของข้อมูลอยู่ในสภาวะที่ไม่สามารถให้ความยินยอมได้ ตัวอย่างเช่น สาธารณสุขจังหวัดขอเก็บข้อมูลของประชาชนในพื้นที่เพื่อเฝ้าระวังป้องกันโรคระบาด 

 

  • เป็นประโยชน์อันชอบธรรม (Legitimate Interest) เป็นการดำเนินการที่จำเป็นเพื่อประโยชน์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือบุคคลภายนอก แต่การดำเนินการนั้นจะต้องไม่ละเมิดสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล ตัวอย่างเช่น การบันทึกภาพกล้องวงจรปิดในสถานที่สาธารณะ

 

  • วิจัย สถิติ (Scientific or Research) ฐานนี้ต้องอ้างอิงฐานตามกฎหมาย ประกอบด้วยว่าจะขอจัดเก็บข้อมูลเพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ วิจัย สถิติ ตามวัตถุประสงค์หลักใด เช่น ขอเก็บตามฐานภารกิจของรัฐ (Public Task) ฐานการปฏิบัติตามกฎหมาย (Legal Obligation) 

หน่วยงานต้องทำอย่างไรบ้าง !? หากได้รับคำขอเพิกถอนจากเจ้าของข้อมูลส่วนบุคคล 

  • ตรวจสอบการจำกัดสิทธิในการถอนความยินยอมทางกฎหมาย 
  • แจ้งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล โดยหากผู้ควบคุมข้อมูลส่วนบุคคลไม่แจ้งถึงผลกระทบจากการถอนความยินยอม ต้องระวางโทษปรับทางปกครองไม่เกิน 1,000,000 บาท (มาตรา 82)
  • หยุดการประมวลผล 

* การประมวลผล หมายถึง การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

สาระสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล คือ การให้ความคุ้มครองข้อมูลเกี่ยวกับบุคคลที่ทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-สกุล ที่อยู่ เลขบัตรประชาชน เบอร์ติดต่อ อีเมล โดยกฎหมายนี้มีเป้าหมายเพื่อป้องกันการละเมิดสิทธิความเป็นส่วนตัวของเจ้าของข้อมูล ที่อาจนำมาซึ่งความเดือดร้อน รำคาญ หรือสร้างความเสียหายต่อเจ้าของข้อมูลได้ การขอความยินยอม (Consent) ตามกฎหมาย PDPA ถือว่าเป็นขั้นตอนสุดท้ายที่ควรเลือกในการใช้หากข้อมูลนั้นไม่ได้อยู่ในฐานการประมวลผลข้อมูลตามกฎหมาย (Lawful Basis) ของข้อมูลส่วนบุคคลทั่วไปที่ไม่ต้องขอความยินยอม  ที่กล่าวข้างต้น  แต่ก็ถือว่าเป็นขั้นตอนที่สำคัญ และยุ่งยากมากที่สุด เพราะถ้าไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้ว ผู้ควบคุมข้อมูลส่วนบุคคลที่เป็นผู้ดูแลระบบก็ไม่อาจนำข้อมูลนั้นมาใช้ได้ ทั้งนี้ หากได้รับความยินยอมแล้วก็จะต้องใช้ข้อมูลตามวัตถุประสงค์ที่ได้แจ้งไว้เท่านั้น และจะต้องดูแลรักษาข้อมูลนั้นให้ปลอดภัย ป้องกันผู้อื่นละเมิดสิทธิความเป็นส่วนตัวของเจ้าของข้อมูล ซึ่งหากมีกรณีข้อมูลรั่วไหลออกไปผู้ควบคุมข้อมูลส่วนบุคคลก็อาจมีความผิดตามกฎหมาย ทั้งทางแพ่ง อาญา และปกครองได้

 

Share :

บทความที่เกี่ยวข้อง

การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล  ถือเป็นประเด็นที่ต้องพิจารณาทางกฎหมายหลายประการ โดยมี
Copyright © 2022 Digital Business Consult, All Rights Reserved.

ลงทะเบียน

เข้าสู่ระบบ