จาก พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA (Personal Data Protection Act) มีข้อกำหนดที่ให้สิทธิแก่เจ้าของข้อมูลในการร้องขอให้ผู้ควบคุมข้อมูลดำเนินการตามสิทธิที่ร้องขอ หนึ่งข้อในนี้รวมถึง “สิทธิในการเพิกถอนความยินยอม” ( Right to Withdraw Consent ) – มาตรา 19 โดยถือว่า กฎหมาย PDPA ได้ให้ความสำคัญต่อตัวเจ้าของข้อมูลส่วนบุคคลมากขึ้น ไม่ว่าจะเป็นการให้สิทธิร้องขอให้บริษัทอนุญาตให้เข้าถึง รวมถึงการให้สิทธิแก่เจ้าของข้อมูลในการเผิกถอนได้ตามต้องการ
ในกรณีที่องค์กรใช้กระบวนการเก็บรวบรวมข้อมูลจากฐานความยินยอม (Consent) แม้องค์กรจะมีการมอบเอกสารเพื่อให้ลูกค้ายินยอมให้มีการเก็บรวบรวม ใช้ เผยแพร่แล้ว แต่อย่าลืมว่า ลูกค้ายังมีสิทธิในการเพิกถอนความยินยอมได้ตามต้องการด้วย ครั้งนี้เราจะมาเจาะประเด็นกันครับว่า สิทธิในการเพิกถอนความยินยอม คืออะไร ลูกค้าหรือเจ้าของข้อมูลสามารถทำได้แค่ไหน และเราในฐานะองค์กรที่ต้องรวบรวมข้อมูลส่วนบุคคล ต้องรู้อะไรบ้าง
สิทธิในการเพิกถอนความยินยอม (Right to Withdraw Consent) ตามมาตรา 19 หลักการสำคัญของสิทธินี้คือ เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะเพิกถอนความยินยอมเมื่อใดก็ได้ โดยการเพิกถอนความยินยอมจะอยู่ในรูปแบบใดก็ได้ เช่น ทางอิเล็กทรอนิกส์ หรือทำเป็นเอกสารที่เป็นลายลักษณ์อักษร โดยการเพิกถอนองค์กรจะต้องมีการอธิบายสิทธิอย่างชัดเจน เข้าใจง่าย และไม่ยากไปกว่าตอนที่ขอความยินยอมจากลูกค้า โดยการยกเลิกจะต้องไม่ขัดต่อฐานการประมวลผลข้อมูลทางกฎหมายของข้อมูลส่วนบุคคลทั่วไป หรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไปก่อนหน้านี้
…แล้วอะไรคือข้อยกเว้นตามกฎหมายหรือฐานการประมวลผลข้อมูลที่ว่าล่ะ??
- สัญญา (Contract) ฐานนี้เป็นการปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลฯกับเจ้าของข้อมูลส่วนบุคคล ทั้งนี้สามารถทำเป็นลายลักษณ์อักษรหรือไม่เป็นลายลักษณ์อักษรก็ได้ ตัวอย่างเช่น การสมัครสมาชิกฟิตเนสและการให้บริการด้านการออกกำลังกายกับสมาชิกฟิตเนส เก็บรวบรวมที่อยู่จัดส่งของผู้ซื้อให้กับร้านค้าเพื่อส่งสินค้า **ใช้ได้กับข้อมูลส่วนบุคคลทั่วไปเท่านั้น
- หน้าที่ตามกฎหมาย (Legal Obligation) เป็นฐานที่กฎหมายกำหนดไห้ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตามกฎหมาย ตัวอย่างเช่น การให้ข้อมูลกับหน่วยงานหรือพนักงานเจ้าหน้าที่ของรัฐซึ่งมีอำนาจตามกฎหมาย การที่บริษัทประกันขอสำเนาบัตรประชาชนเพื่อพิสูจน์ตัวตนของผู้ใช้บริการตามกฎหมาย
- ภารกิจของรัฐ (Public Task) เป็นฐานการใช้อำนาจรัฐเพื่อปฏิบัติหน้าที่ตามที่ได้รับมอบหมาย ผู้ควบคุมข้อมูลส่วนบุคคล โดยในฐานนี้มักเป็นเจ้าหน้าที่ของรัฐ หรือหน่วยงานเอกชนที่มีอำนาจตามที่กำหนดไว้ในกฎหมาย เช่น ตำรวจ
- ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest) องค์กรสามารถใช้ฐานนี้ในการประมวลผลข้อมูลสุขภาพที่เป็นข้อมูลอ่อนไหว (sensitive data) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย สุขภาพ ซึ่งจะใช้ฐานนี้ได้เฉพาะในกรณีที่เจ้าของข้อมูลอยู่ในสภาวะที่ไม่สามารถให้ความยินยอมได้ ตัวอย่างเช่น สาธารณสุขจังหวัดขอเก็บข้อมูลของประชาชนในพื้นที่เพื่อเฝ้าระวังป้องกันโรคระบาด
- เป็นประโยชน์อันชอบธรรม (Legitimate Interest) เป็นการดำเนินการที่จำเป็นเพื่อประโยชน์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือบุคคลภายนอก แต่การดำเนินการนั้นจะต้องไม่ละเมิดสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล ตัวอย่างเช่น การบันทึกภาพกล้องวงจรปิดในสถานที่สาธารณะ
- วิจัย สถิติ (Scientific or Research) ฐานนี้ต้องอ้างอิงฐานตามกฎหมาย ประกอบด้วยว่าจะขอจัดเก็บข้อมูลเพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ วิจัย สถิติ ตามวัตถุประสงค์หลักใด เช่น ขอเก็บตามฐานภารกิจของรัฐ (Public Task) ฐานการปฏิบัติตามกฎหมาย (Legal Obligation)
หลักสูตรที่น่าสนใจ
หน่วยงานต้องทำอย่างไรบ้าง !? หากได้รับคำขอเพิกถอนจากเจ้าของข้อมูลส่วนบุคคล
- ตรวจสอบการจำกัดสิทธิในการถอนความยินยอมทางกฎหมาย
- แจ้งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล โดยหากผู้ควบคุมข้อมูลส่วนบุคคลไม่แจ้งถึงผลกระทบจากการถอนความยินยอม ต้องระวางโทษปรับทางปกครองไม่เกิน 1,000,000 บาท (มาตรา 82)
- หยุดการประมวลผล
* การประมวลผล หมายถึง การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
สาระสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล คือ การให้ความคุ้มครองข้อมูลเกี่ยวกับบุคคลที่ทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-สกุล ที่อยู่ เลขบัตรประชาชน เบอร์ติดต่อ อีเมล โดยกฎหมายนี้มีเป้าหมายเพื่อป้องกันการละเมิดสิทธิความเป็นส่วนตัวของเจ้าของข้อมูล ที่อาจนำมาซึ่งความเดือดร้อน รำคาญ หรือสร้างความเสียหายต่อเจ้าของข้อมูลได้ การขอความยินยอม (Consent) ตามกฎหมาย PDPA ถือว่าเป็นขั้นตอนสุดท้ายที่ควรเลือกในการใช้หากข้อมูลนั้นไม่ได้อยู่ในฐานการประมวลผลข้อมูลตามกฎหมาย (Lawful Basis) ของข้อมูลส่วนบุคคลทั่วไปที่ไม่ต้องขอความยินยอม ที่กล่าวข้างต้น แต่ก็ถือว่าเป็นขั้นตอนที่สำคัญ และยุ่งยากมากที่สุด เพราะถ้าไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้ว ผู้ควบคุมข้อมูลส่วนบุคคลที่เป็นผู้ดูแลระบบก็ไม่อาจนำข้อมูลนั้นมาใช้ได้ ทั้งนี้ หากได้รับความยินยอมแล้วก็จะต้องใช้ข้อมูลตามวัตถุประสงค์ที่ได้แจ้งไว้เท่านั้น และจะต้องดูแลรักษาข้อมูลนั้นให้ปลอดภัย ป้องกันผู้อื่นละเมิดสิทธิความเป็นส่วนตัวของเจ้าของข้อมูล ซึ่งหากมีกรณีข้อมูลรั่วไหลออกไปผู้ควบคุมข้อมูลส่วนบุคคลก็อาจมีความผิดตามกฎหมาย ทั้งทางแพ่ง อาญา และปกครองได้
