Back

เคลียร์ชัดเรื่อง consent ตาม PDPA

เคลียร์ชัดเรื่อง consent ตาม PDPA

   

ชื่อ-สกุล ที่อยู่ เลขบัตรประชาชน เบอร์โทรศัพท์ อีเมล ประวัติทางการเงิน ประวัติอาชญากรรม ลายนิ้วมือ ล้วนเป็นสิ่งที่ใช้บ่งบอกตัวบุคคลหรือตัวเจ้าของข้อมูลเหล่านี้ อาจจะเรียกง่ายๆ ว่าเป็นข้อมูลส่วนบุคคล ซึ่งเจ้าของข้อมูลส่วนบุคคลก็มีสิทธิในข้อมูลของตนเอง โดยกฎหมายก็ให้ความคุ้มครองสิทธินี้ไว้ด้วย

กฎหมายที่ว่านี้คือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act) วัตถุประสงค์ก็ตรงตัวตามชื่อ คือเป็นกฎหมายที่มีไว้คุ้มครองข้อมูลส่วนบุคคล ทั้งข้อมูลที่จับต้องได้ เช่น ที่อยู่ บัญชีธนาคาร หรือข้อมูลทางอิเล็กทรอนิกส์ เช่น อีเมล บัญชีผู้ใช้เว็บไซต์ต่างๆ โดยผู้ควบคุมข้อมูลส่วนบุคคลที่เป็นผู้ขอข้อมูลเพื่อนำไปใช้ หรือเก็บรวบรวม ดังนั้น เมื่อใครก็ตามที่ต้องการจะใช้ข้อมูลที่ผู้อื่นเป็นเจ้าของ ตามมารยาทแล้วก็ต้องขออนุญาตจากเจ้าของก่อน ในทางกฎหมายก็เช่นกัน ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องขอความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคล โดยแจ้งวัตถุประสงค์ก่อนว่าจะเก็บรวบรวมข้อมูลอะไร และนำข้อมูลนั้นไปใช้เพื่ออะไรบ้าง

ประเภทของข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคล แบ่งออกเป็น 2 ประเภท ดังนี้

  1. ข้อมูลส่วนบุคคลทั่วไป (Personal Data) คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม ทั้งข้อมูลในรูปแบบออนไลน์หรือออฟไลน์ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล เลขบัตรประชาชน เลขที่บัญชีธนาคาร
  2. ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) เป็นข้อมูลที่เฉพาะเจาะจงของตัวบุคคล มีความละเอียดอ่อนสูง เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นในทำนองเดียวกัน

การขอ Consent ตามฐานกฎหมาย (Lawful basis)

1. การใช้ฐานการประมวลผลข้อมูลส่วนบุคคลทั่วไป

พิจารณาได้จากรูปแบบการดำเนินการ และวัตถุประสงค์การใช้ เก็บรวบรวมหรือเปิดเผยข้อมูลนั้น ซึ่งในแต่ละชุดข้อมูลก็มีรายละเอียดที่แตกต่างกัน ทั้งนี้ โดยหลักการตามกฎหมาย PDPA ระบุว่าให้ใช้ฐานความยินยอม (Consent) เป็นฐานหลักในการประมวลผลข้อมูล เนื่องจากเปิดโอกาสให้เจ้าของข้อมูลส่วนบุคคลสามารถเลือกจัดการข้อมูลของตนเองได้เต็มที่

ในทางปฏิบัติแล้วผู้ควบคุมข้อมูลส่วนบุคคลอาจไม่สามารถใช้ฐานความยินยอม (Consent) กับการขอใช้หรือเก็บรวบรวมกับข้อมูลทุกประเภทได้ ซึ่งองค์กรแต่ละประเภทย่อมมีความจำเป็นในการอ้างอิงฐานตามกฎหมายแตกต่างกันไปตามลักษณะของธุรกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล โดยกฎหมาย PDPA ยังมีวิธีการประมวลผลตามฐานกฎหมายอื่นที่สามารถปรับใช้ตามบริบทและวัตถุประสงค์ ได้แก่ ฐานสัญญา (Contract), ฐานหน้าที่ตามกฎหมาย (Legal Obligation), ฐานประโยชน์สำคัญต่อชีวิต (Vital Intertest), ฐานภารกิจของรัฐ (Public Task), ฐานประโยชน์อันชอบธรรม (Legitimate Interest), ฐานจดหมายเหตุ วิจัย สถิติ (Scientific or Research) หากวัตถุประสงค์การใช้ เก็บรวบรวมหรือเปิดเผยข้อมูลเข้าตามฐานการประมวลผล 5 ฐานนี้ ผู้ควบคุมข้อมูลส่วนบุคคลก็ไม่ต้องขอความยินยอม (Consent) จากเจ้าของข้อมูลอีก

ฐานการประมวลผลข้อมูลตามกฎหมาย (Lawful Basis) ของข้อมูลส่วนบุคคลทั่วไปที่ไม่ต้องขอความยินยอม (consent) มีดังนี้

  • ฐานสัญญา (Contract) จะใช้ได้กับข้อมูลส่วนบุคคลทั่วไปเท่านั้น ฐานนี้เป็นการปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลกับเจ้าของข้อมูลส่วนบุคคล สัญญาตามฐานนี้จะทำเป็นลายลักษณ์อักษรหรือไม่เป็นลายลักษณ์อักษรก็ได้ ตัวอย่างเช่น สัญญาเปิดบัญชีธนาคารและการให้บริการกับลูกค้าของธนาคาร การสมัครสมาชิกฟิตเนสและการให้บริการด้านการออกกำลังกายกับสมาชิกฟิตเนส การปฏิบัติตามสัญญาซื้อขายโดยเว็บไซต์ E-commerce เก็บรวบรวมที่อยู่จัดส่งของผู้ซื้อให้กับร้านค้าเพื่อส่งสินค้า

  • ฐานหน้าที่ตามกฎหมาย (Legal Obligation) เป็นสิ่งที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตามกฎหมาย เนื่องจากเป็นเรื่องที่กฎหมายกำหนดไว้ชัดเจนว่าต้องปฏิบัติตาม เช่น การให้สิทธิลูกจ้างลาป่วยหรือลาพักผ่อนตามกฎหมายแรงงาน การให้ข้อมูลกับหน่วยงานหรือพนักงานเจ้าหน้าที่ของรัฐซึ่งมีอำนาจตามกฎหมาย การการที่ธนาคารขอสำเนาบัตรประชาชนเพื่อพิสูจน์ตัวตนของผู้ใช้บริการตามกฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงิน

  • ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest) โดยจะสามารถใช้ฐานนี้ในการประมวลผลข้อมูลสุขภาพที่เป็นข้อมูลอ่อนไหว (Censitive data) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย สุขภาพ ซึ่งจะใช้ฐานนี้ได้เฉพาะในกรณีที่เจ้าของข้อมูลอยู่ในสภาวะที่ไม่สามารถให้ความยินยอมได้ ตัวอย่างเช่น แพทย์ขอใช้ประวัติการรักษาของเจ้าของข้อมูลจากโรงพยาบาลเพื่อทำการรักษาเจ้าของข้อมูลซึ่งเป็นผู้ป่วย สาธารณสุขจังหวัดขอเก็บข้อมูลการติดเชื้อของประชาชนในพื้นที่เพื่อเฝ้าระวังป้องกันโรคระบาด

  • ฐานภารกิจของรัฐ (Public Task) เป็นการใช้อำนาจรัฐเพื่อปฏิบัติหน้าที่ตามที่ได้รับมอบหมาย ผู้ควบคุมข้อมูลส่วนบุคคลในฐานนี้มักเป็นพนักงานเจ้าหน้าที่ของรัฐหรือหน่วยงานเอกชนที่มีอำนาจตามที่กำหนดไว้ในกฎหมาย เช่น ตำรวจมีอำนาจในการปรับ จับกุมหรือขอข้อมูลที่เกี่ยวข้องกับคดีตามกฎหมายอาญา โรงเรียนสอนขับรถยนต์ที่กรมการขนส่งทางบกได้ให้อำนาจให้บริการสอบใบอนุญาตขับขี่รถยนต์

  • ฐานประโยชน์อันชอบธรรม (Legitimate Interest) เป็นการดำเนินการที่จำเป็นเพื่อประโยชน์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือบุคคลภายนอก แต่การดำเนินการนั้นจะต้องไม่ละเมิดสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล และเจ้าของข้อมูลก็คาดหมายได้ว่าจะมีการดำเนินการนี้ ตัวอย่างเช่น การประเมินการขึ้นเงินเดือนพนักงาน การรวบรวมสถิติโดยไม่ใช้ข้อมูลที่บ่งชี้ตัวตนของเจ้าของข้อมูล การบันทึกภาพกล้องวงจรปิดในสถานที่สาธารณะ

  • ฐานจดหมายเหตุ วิจัย สถิติ (Scientific or Research) การปฏิบัติตามฐานนี้อาจต้องอ้างอิงฐานตามกฎหมายอื่นประกอบด้วยว่าจะขอจัดเก็บข้อมูลเพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ วิจัย สถิติ ตามวัตถุประสงค์หลักใด เช่น ขอเก็บตามฐานภารกิจของรัฐ (Public Task) ฐานการปฏิบัติตามกฎหมาย (Legal Obligation) หรืออาจต้องอาศัยการตัดสินใจตามฐานความยินยอม (Consent) กับเจ้าของข้อมูล

เมื่อพิจารณาตามฐานการประมวลผลข้อมูลส่วนบุคคลของข้อมูลทั่วไปแล้ว หากวัตถุประสงค์การใช้ เก็บรวบรวมหรือเปิดเผยข้อมูลไม่เข้าฐานใดตามที่กล่าวไว้ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องใช้ฐานความยินยอม (Consent) โดยต้องขอให้ชัดเจนว่าขอข้อมูลไปเพื่ออะไร ให้อิสระกับเจ้าของข้อมูลว่าจะให้หรือไม่ให้ความยินยอม การจัดทำ Consent ให้แยกส่วนการขอความยินยอมออกจากส่วนอื่นให้ชัดเจน และให้แจ้งผลกระทบกับเจ้าของข้อมูลด้วย ถ้าการถอนความยินยอมจะกระทบกับการใช้งานในเรื่องนั้นๆ การขอ Consent มักเป็นการขอความยินยอมเพิ่มเติมจากการใช้ข้อมูลตามฐานการประมวลผลหลัก ตัวอย่างเช่น ขอ Consent ให้ลูกค้ารับข่าวสารหรือโปรโมชั่นของผู้ขายทางอีเมล หรือให้ส่ง Direct Marketing ซึ่งเป็นการขอแยกกับข้อมูลตามฐานสัญญาซึ่งลูกค้าได้ทำสัญญาซื้อขายกับเว็บไซต์ไว้

เนื่องจากการขอ Consent เป็นวิธีการที่ให้ความสมัครใจกับเจ้าของข้อมูลส่วนบุคคล จึงเป็นหน้าที่ขององค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลที่จะต้องปฏิบัติตามวัตถุประสงค์ที่เจ้าของข้อมูลให้ความยินยอมไว้ นอกจากนี้ หากเจ้าของข้อมูลถอนความยินยอมตามฐาน Consent อาจทำให้ต้องหยุดประมวลผลการใช้ข้อมูลนั้นไป จึงนับว่าเป็นความเสี่ยงและเป็นภาระต่อผู้ควบคุมข้อมูลส่วนบุคคลเป็นอย่างยิ่ง ดังนั้น ในทางปฏิบัติ การประมวลผลข้อมูลส่วนบุคคลทั่วไป จึงมักใช้ฐานการประมวลผลอื่นเป็นหลัก และใช้ฐานความยินยอม (Consent) เพิ่มเติม ในกรณีที่องค์กรต้องการใช้ข้อมูลชุดเดียวกัน แต่ใช้เพื่อวัตถุประสงค์อื่น และการขอ Consent ก็จะต้องขอแยกกับการขอใช้ข้อมูลตามวัตถุประสงค์หลักให้ชัดเจน

2. การใช้ฐานการประมวลผลข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data)

สำหรับการใช้ข้อมูลส่วนบุคคลที่อ่อนไหว เช่น ลายนิ้วมือ ประวัติการรักษา เทคโนโลยีจดจำใบหน้า (Facial Recognition) จะต้องใช้ตามวัตถุประสงค์ที่แจ้งไว้แต่แรกและต้องขอ consent ทุกครั้ง โดยการขอใช้หรือเก็บรวบรวมข้อมูลจะต้องมีความได้สัดส่วนและจำเป็น กล่าวคือ การใช้ข้อมูลส่วนบุคคลที่อ่อนไหว จะใช้ได้ต่อเมื่อไม่สามารถใช้ข้อมูลส่วนบุคคลทั่วไปทดแทนได้ ตัวอย่างเช่น การเก็บข้อมูลลายนิ้วมือของสมาชิกฟิตเนสเพื่อใช้ยืนยันตัวตนสมาชิก อาจเกินความจำเป็นเนื่องจาก ทางฟิตเนสสามารถใช้บัตรสมาชิกในการสแกนเข้าออกฟิตเนสแทนได้

กฎหมาย PDPA ได้ให้ข้อยกเว้นที่ไม่ต้องขอความยินยอม (Consent) ในบางกรณีได้ ตัวอย่างเช่น

  • เมื่อมีเหตุจำเป็นเร่งด่วนเพื่อป้องกันหรือระงับอันตรายต่อชีวิต (Vital interest) ตัวอย่างเช่น เมื่อเจ้าของข้อมูลเกิดเหตุฉุกเฉินไม่รู้สึกตัว เจ้าหน้าที่กู้ชีพสามารถขอข้อมูลสุขภาพกับบุคคลใกล้ชิดได้ หรือโรงพยาบาลสามารถให้ประวัติการรักษากับอีกโรงพยาบาลหนึ่งเพื่อช่วยเหลือผู้ป่วยที่ประสบอุบัติเหตุที่หมดสติได้
  • การดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากำไร ที่มีวัตถุประสงค์เกี่ยวกับการเมือง ศาสนา ปรัชญา หรือสหภาพแรงงาน
  • ข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล
  • การก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
  • เพื่อประโยชน์สาธารณะ เช่น การขอข้อมูลสุขภาพและ timeline จากกลุ่มบุคคลเสี่ยงต่อโรคติดต่อหรือโรคระบาด เพื่อป้องกันการติดต่อหรือแพร่เข้ามาในราชอาณาจักร
  • การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย การคุ้มครองผู้ประสบภัยจากรถ เช่น ฝ่าย HR ใช้ใบรับรองแพทย์ของเจ้าของข้อมูลเพื่อเป็นหลักฐานในการเบิกจ่ายค่ารักษาพยาบาลกับประกันสังคม

สำหรับการประมวลผลข้อมูลทางออนไลน์ก็เช่นกัน ปัจจุบันก็จะต้องมีการขอ Consent เพื่อขอใช้งานตามวัตถุประสงค์ต่างๆ เช่น การยืนยันตัวบุคคลเมื่อเข้าใช้บริการเว็บไซต์ การขอให้ระบบตรวจสอบ location ของผู้ใช้งาน เพื่อจะได้รับบริการขนส่งที่ใกล้เคียงได้สะดวกขึ้น ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลสามารถขอ PDPA consent ได้ผ่านแบบฟอร์มอิเล็กทรอนิกส์ การขอใช้ Cookie เพื่อเก็บข้อมูลการใช้อินเตอร์เน็ต โดยแจ้งวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลไปด้วยและต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน เข้าถึงได้และเข้าใจได้ ใช้ภาษาที่อ่านง่าย

คลิก Cookie wow เพื่อจัดทำ Cookie consent เพียงไม่กี่นาที

หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล ในการขอความยินยอม (Consent) หลักการขอความยินยอมการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล จะต้องแจ้งรายละเอียดและวัตถุประสงค์ในการรวบรวมข้อมูล การใช้ หรือเผยแพร่ให้เจ้าของข้อมูลทราบก่อนหรือขณะเก็บรวบรวมข้อมูล เจ้าของข้อมูลมีสิทธิที่จะทราบว่าจะจัดเก็บข้อมูลอะไรบ้าง รวมถึงระยะเวลาการจัดเก็บ สถานที่ และวิธีการติดต่อกับผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งเรามักจะเห็นการแจ้งข้อมูลเหล่านี้ตามข้อกำหนดและเงื่อนไขก่อนที่ผู้ใช้งานเว็บไซต์จะสมัครสมาชิก หรือตามแบบฟอร์มก่อนเปิดบัญชีธนาคาร ทำแบบฟอร์มในรูปแบบเอกสารให้กรอกและเซ็นรับทราบยินยอม หรือทำ Consent form ขอใช้ข้อมูลโดยให้กรอกข้อมูลและลงนามผ่านทางระบบอิเล็กทรอนิกส์ แจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเอาไว้อย่างชัดเจนผ่านทางนโยบายความเป็นส่วนตัว Privacy Policy คลิก PDPA Pro เพื่อสร้าง Privacy Policy ที่ได้มาตรฐาน ควรสร้าง Consent form ให้เจ้าของข้อมูลแสดงเจตนายินยอมอย่างชัดเจน เช่น การติ๊กเลือกช่องที่เขียนว่า “ฉันได้อ่านและยอมรับ” ซึ่งเจ้าของข้อมูลก็ได้ยินยอมให้ใช้ข้อมูลและยอมรับนโยบายความเป็นส่วนตัวตามวัตถุประสงค์การใช้ที่แจ้งไว้ แจ้งการขอใช้ Cookie ผ่านทาง Cookie consent ที่แสดงในรูปแบบ pop up ตามหน้าเว็บไซต์ เพื่อเก็บข้อมูลส่วนบุคคล

ใช้ภาษาอ่านเข้าใจง่าย ข้อความไม่กำกวม แยกส่วน Privacy Policy และ Consent Form ออกจากข้อความอื่นอย่างชัดเจน ใช้ภาษาที่เข้าใจง่าย อาจแจ้งมาตรการรักษาความปลอดภัยของข้อมูลที่ได้รับความยินยอม เพื่อให้เจ้าของข้อมูลเกิดความไว้วางใจ ให้ความยินยอมได้ง่ายมากขึ้น

สร้างวิธีการเพื่อถอนความยินยอม อาจสร้างเป็นแบบฟอร์มให้กรอก ส่งอีเมล หรือปุ่มยกเลิกความยินยอม ควรมีขั้นตอนที่ไม่ยุ่งยากซับซ้อน ภาษาอ่านเข้าใจง่าย เข้าถึงได้ง่าย ไม่เสียค่าใช้จ่าย ไม่สร้างเงื่อนไขเพื่อถอนความยินยอม

การขอความยินยอม (Consent) ตามกฎหมาย PDPA ถือว่าเป็นขั้นตอนที่สำคัญมากที่สุด เพราะถ้าไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้ว ผู้ควบคุมข้อมูลส่วนบุคคลที่เป็นผู้ดูแลระบบก็ไม่อาจนำข้อมูลนั้นมาใช้ได้ ทั้งนี้ เมื่อได้รับความยินยอมแล้วก็จะต้องใช้ข้อมูลตามวัตถุประสงค์ที่ได้แจ้งไว้ และจะต้องดูแลรักษาข้อมูลนั้นให้ปลอดภัย ป้องกันผู้อื่นละเมิดสิทธิความเป็นส่วนตัวของเจ้าของข้อมูล ซึ่งหากข้อมูลรั่วไหลออกไปก็อาจนำมาซึ่งความเดือดร้อนรำคาญหรือสร้างความเสียหาย และผู้ควบคุมข้อมูลส่วนบุคคลก็อาจมีความผิดตามกฎหมาย ทั้งทางแพ่ง อาญา และปกครองได้

สร้าง Privacy Policy ง่ายๆ

อย่างมืออาชีพ ถูกต้องตาม PDPA

สร้าง Policy ตอนนี้!

บริษัท เดต้า ว้าว จำกัด
1778 อาคารซัมเมอร์ฮับ ออฟฟิศ, ชั้น 6 ถนนสุขุมวิท แขวงพระโขนง เขตคลองเตย กรุงเทพมหานคร 10110 ประเทศไทย

โทร: 02-024-9119
sales@datawow.io

facebook-icon
linkedin-icon
dw-blog-icon

©2021 Data Wow Co., Ltd. All Rights Reserved.

HelpTerms of UsePrivacy Policy