[กฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA] ผู้ประกอบการควรขอความยินยอม (consent) เมื่อไหร่ดี? เมื่อ PDPA มีผลบังคับใช้ปีหน้า ผู้ประกอบการที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลควรจะขอความยินยอม หรือ consent สำหรับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลประเภ

สำรวจ
ลงทุน
คำถาม

มีบัญชีอยู่แล้ว?หรือ

•

30 ก.ค. 2020 เวลา 13:15 • ธุรกิจ

ผู้ประกอบการควรขอความยินยอม (consent) เมื่อไหร่ดี?

เมื่อ PDPA มีผลบังคับใช้ปีหน้า ผู้ประกอบการที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลควรจะขอความยินยอม หรือ consent สำหรับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลประเภทไหนบ้าง? และขอเมื่อไหร่?

PDPA กำหนดว่า การขอความยินยอมจะต้องขอจากเจ้าของข้อมูลส่วนบุคคล ก่อนหรือขณะ ที่ผู้ควบคุมข้อมูลส่วนบุคคลจะทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลนั้น โดยมีเงื่อนไขเป็นไปตามมาตรา 19 ดังนี้

รูปแบบ: เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้

ลักษณะ: ความยินยอมต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน (ไม่รวมอยู่ในเงื่อนไขการใช้บริการ) มีแบบหรือข้อความที่เข้าถึงง่ายและเข้าใจได้ ใช้ภาษาที่อ่านง่าย ไม่หลอกลวงหรือทำให้เจ้าของข้อมูลเข้าใจผิดในวัตถุประสงค์การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ไม่บังคับ

องค์ประกอบ: มีการแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ถึงแม้กฎหมายจะเขียนให้ขอความยินยอมเป็นหลัก เว้นแต่จะเข้าข้อยกเว้น แต่ในทางปฏิบัติแล้ว หลักการขอความยินยอมคือ ขอเท่าที่จำเป็น กล่าวคือ ขอเฉพาะกิจกรรมที่ไม่มีฐานการประมวลผลอื่นที่จะอ้างอิงได้

ทั้งนี้ เนื่องจากเจ้าของข้อมูลส่วนบุคคลมีสิทธิตามกฎหมายที่จะถอนความยินยอมที่ตนเองเคยให้ไว้เมื่อใดก็ได้ หากเจ้าของข้อมูลส่วนบุคคลมาขอถอนความยินยอม ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องดำเนินการให้ในทุกกรณี ต่างจากการขอใช้สิทธิอื่นๆ ตาม PDPA ที่ผู้ควบคุมข้อมูลส่วนบุคคลมีสิทธิปฏิเสธไม่ดำเนินการให้ได้ ดังนั้น หากไม่ดำเนินการถอนความยินยอมให้ตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ ผู้ควบคุมข้อมูลส่วนบุคคลอาจมีความผิดและต้องรับโทษตามกฎหมายได้

นอกจากนี้ หากองค์กรหรือหน่วยงานอ้างอิงฐานความยินยอมเป็นฐานการประมวลผลข้อมูล องค์กรหรือหน่วยงานจะต้องแน่ใจว่า เมื่อเจ้าของข้อมูลส่วนบุคคลมาถอนความยินยอม จะสามารถหยุดการประมวลผลข้อมูลส่วนบุคคล หรือลบข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลนั้นไม่สามารถระบุตัวตนได้อีก (anonymization) แต่หากไม่สามารถทำได้ เนื่องจากองค์กรหรือหน่วยงานจะต้องประมวลผลข้อมูลส่วนบุคคลเพื่อปฏิบัติตามบทบัญญัติของกฎหมาย ดังนี้แล้ว ฐานความยินยอมก็ไม่ใช่ฐานการประมวลผลที่เหมาะสม

อีกทั้ง หากเจ้าของข้อมูลมีการถอนความยินยอมแล้ว การจะกลับไปอ้างอิงฐานการประมวลผลอื่นตามกฎหมายก็ไม่เหมาะสมอีกต่อไป

ด้วยเหตุข้างต้น ฐานความยินยอมจึงไม่ควรถูกนำมาใช้สำหรับกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลมีความจำเป็นจะต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจริงๆ ไม่ว่าจะด้วยเหตุที่จำเป็นในการให้บริการ หรือจำเป็นต้องปฏิบัติตามกฎหมายก็ตาม

อีกประเด็นที่น่าสนใจคือ หากผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้ให้บริการ การขอความยินยอมสามารถผูกเป็นเงื่อนไขของการใช้บริการได้หรือไม่ พูดง่ายๆ คือ ต้องให้ความยินยอมก่อน จึงจะใช้บริการได้

คำตอบคือ ไม่ได้

เนื่องจากขัดกับหลักการไม่บังคับตามที่กฎหมายกำหนด หากมีการขอความยินยอมดังกล่าวไป ก็จะไม่ถือว่าเป็นความยินยอมที่เป็นไปตามกฎหมาย ผลคือไม่สามารถบังคับใช้ต่อเจ้าของข้อมูลส่วนบุคคลได้ ดังนั้น ในการขอความยินยอมของผู้ให้บริการนั้น ถึงแม้ลูกค้าซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลจะไม่ให้ความยินยอม ก็จะต้องยังสามารถใช้บริการของผู้ควบคุมข้อมูลส่วนบุคคลได้อยู่นั่นเอง

Ruler Consulting: certified data protection officer ผู้เชี่ยวชาญกฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA

- บริการให้คำปรึกษากฎหมาย PDPA

- บริการช่วย implement PDPA

- บริการจัดอบรมและทำ workshop PDPA

- บริการทำหน้าที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (outsourced data protection officer: outsourced DPO)

ดูบริการและติดต่อเราได้ที่

Website: https://www.dporuler.com

Facebook Page: https://www.facebook.com/Dporuler

LinkedIn: https://www.linkedin.com/company/ruler-consulting-co-ltd

Tel: 0-2016-2850

Email: contact@dporuler.com

โฆษณา

ดาวน์โหลดแอปพลิเคชัน

ดาวน์โหลดแอปพลิเคชัน