fbpx

PDPA Focus – เรื่องของ “ความยินยอม” ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

ความยินยอม

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ Personal Data Protection Act (PDPA) ถูกบัญญัติขึ้นเพื่อเห็นแก่ประโยชน์ของบุคคลอันมีสิทธิในข้อมูลส่วนตัวของตนเอง สาระสำคัญของกฎหมายฉบับนี้หลัก ๆ เลยก็คือ การคุ้มครองข้อมูลส่วนบุคคล ก่อนจะเก็บ รวบรวม หรือนำข้อมูลส่วนบุคคลของใครก็ตามไปใช้ ผู้ควบคุมข้อมูล (ไม่ว่าจะในฐานะบุคคลคือนิติบุคคลก็ตาม) ต้องทำการขอ ความยินยอม (Consent) จากบุคคลเสียก่อนครับ ไม่อย่างนั้นก็อาจจะมีความผิดตามกฎหมาย ต้องระวังโทษทั้งทางแพ่ง อาญา และปกครอง

การขอความยินยอม

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) มาตรา 19 ระบุไว้ว่า

“ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้”

และเพื่อให้สอดคล้องตามกฎหมาย แบบฟอร์มการขอความยินยอม (Consent Form) จากเจ้าของข้อมูลส่วนบุคคลควรมีลักษณะดังต่อไปนี้

  • กระทำโดยชัดแจ้ง อาจทำผ่านรูปแบบเอกสารหนังสือให้เซ็นต์ หรือทำผ่านระบบอิเล็กทรอนิกส์ (หน้าเว็บไซต์ แอปพลิเคชัน ฯลฯ)
  • แจ้งถึงวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเอาไว้อย่างละเอียด
  • แยกส่วนออกจากข้อความอื่นอย่างชัดเจน รูปแบบข้อความเข้าถึงและเข้าใจได้ง่าย ภาษาอ่านง่าย
  • ไม่หลอกลวงให้เข้าใจผิด
  • ไม่มีเงื่อนไขในการให้ความยินยอม (ผู้ควบคุมข้อมูลต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคล)

หากการขอความยินยอมไม่เข้าเกณฑ์ตรงกับลักษณะที่ระบุอยู่ข้างต้นนี้ ให้ถือว่าไม่มีผลผูกพันกับเจ้าของข้อมูลส่วนบุคคล ดังนั้นผู้ควบคุมข้อมูลไม่สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ หรือถ้าทำก็จะมีความผิดนั่นเอง

การ “ถอน” ความยินยอม

PDPA เป็นกฎหมายที่คำนึงถึงข้อมูลส่วนบุคคลเป็นสำคัญ จึงอนุญาตให้เจ้าของข้อมูลส่วนบุคคลสามารถถอนความยินยอมได้โดยง่าย ยกเว้นมีข้อจำกัดสิทธิในการถอนความยินยอมตามกฎหมายหรือสัญญาโดยทางฝั่งผู้ควบคุมข้อมูลจะต้องดำเนินการให้บุคคลสามารถจัดการถอนความยินยอมได้ด้วยตนเอง ซึ่งเป็นที่ถกเถียงกันในวงการต่าง ๆ ว่าจะออกแบบแนวทางออกมาอย่างไรให้สอดคล้องกับกฎหมายในจุดนี้ นอกจากนั้นการถอนความยินยอม:

  • ไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลก่อนหน้านั้น ตามที่ได้ให้ความยินยอมไปแล้วโดยชอบ
  • ผู้ควบคุมข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบจากการถอนความยินยอมดังกล่าว (ถ้ามี)

การขอความยินยอมจากผู้เยาว์ คนไร้ความสามารถ และคนเสมือนไร้ความสามารถ

นอกเหนือจากการขอความยินยอมและการถอนความยินยอมของบุคคลทั่วไปแล้ว PDPA ยังมีเนื้อหาที่ครอบคลุมถึงกลุ่มพิเศษทางสังคมด้วย นั่นก็คือผู้เยาว์ที่ยังไม่บรรลุนิติภาวะ คนไร้ความสามารถ และคนเสมือนไร้ความสามารถ ซึ่งมีแนวทางในการขอความยินยอมเพื่อเก็บรวบรวม ใช้ และเผยแพร่ข้อมูลส่วนบุคคลของคนกลุ่มนี้ ดังนี้

  • ผู้เยาว์ที่มีอายุไม่เกิน 10 ปี ให้ขอความยินยอมจากผู้ปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
  • ผู้เยาว์ที่ยังไม่บรรลุนิติภาวะสามารถให้ความยินยอมโดยลำพังได้ หากเข้าข่ายตามมาตราที่ 22, 23 และ 24 ของประมวลกฎหมายแพ่งและพาณิชย์ (อันว่าด้วยเรื่องการใด ๆ ที่ผู้เยาว์สามารถกระทำเองโดยลำพัง) นอกเหนือจากนั้น ให้ขอความยินยอมจากผู้ปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ประกอบด้วย
  • คนไร้ความสามารถ ให้ขอความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ
  • คนเสมือนไร้ความสามารถ ให้ขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ

เนื่องจากสถานการณ์ไม่ปกติอย่างการแพร่ระบาดของ COVID-19 เข้ามาแทรก ส่งผลการบังคับใช้ของ PDPA ถูกยกเว้น และกำหนดบังคับใช้อย่างเต็มรูปแบบอีกครั้ง 1 มิถุนายน 2565 ในฐานะพลเมืองไทย เราจะต้องปฎิบัติตนตามกฎหมาย และมีหน้าที่ที่จะต้องรู้เกี่ยวกับข้อกฎหมายด้วย (เพราะการที่ผิดกฎหมายแล้วอ้างว่าไม่รู้นั้นไม่สามารถกระทำได้) เราจึงต้องศึกษาเนื้อหาของ พ.ร.บ. ฉบับนี้เอาไว้เพื่อที่จะได้ปฎิบัติตนได้อย่างสอดคล้องกับกฎหมายนั่นเอง


 

เรียนรู้เพิ่มเติมเกี่ยวกับ การคุ้มครองข้อมูลส่วนบุคคล กับหลักสูตร Personal Data Protection Certificate: PDPC เนื้อหาครอบคลุม กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และแนวทางการปฏิบัติเพื่อคุ้มครองข้อมูลส่วนบุคคล

หากผู้บริหารองค์กรหรือผู้ที่ได้รับมอบหมายให้รับผิดชอบเกี่ยวกับด้านการคุ้มครองข้อมูลส่วนบุคคลขององค์กรท่านใด ได้อ่านบทความเกี่ยวกับ ความยินยอมตาม PDPA และยังคงมีความกังวลเกี่ยวกับแนวทางการนำข้อมูลส่วนบุคคลไปใช้งาน สงสัยว่าวิธีการขอความยินยอมที่กระทำอยู่ถูกต้องหรือไม่ ถ้าไม่จะต้องปรับปรุงอย่างไร? บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด (Digital Business Consult: DBC) ยินดีรับให้คำปรึกษา พร้อมบริการอบรมแบบ In-house Training ภายในองค์กรและอบรมออนไลน์หลักสูตร Personal Data Protection Certificate ครบวงจร เพื่อเป็น Solution ให้กับองค์กรที่ต้องการดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย (PDPA)

Our Consultation Service <<< คลิกเพื่อศึกษารายละเอียดบริการที่ปรึกษาด้าน PDPA
PDPA Thailand by DBC <<< หรือคลิกเพื่อสอบถามข้อมูลผ่านทาง Facebook Messenger

X