PDPA มีผลบังคับใช้แล้ว การขอความยินยอม หรือ Consent คือหนึ่งในขั้นตอนสำคัญของการปฏิบัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล องค์กรหรือผู้ประกอบการที่มีการเก็บรวบรวมข้อมูลส่วนบุคคล จะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล โดยมาตรา 19 ระบุไว้ว่า “ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัติ”
ประเด็นสำคัญในการขอความยินยอมและออกแบบเอกสารขอความยินยอม คือ เจ้าของข้อมูล “ทราบถึงวัตถุประสงค์” “เพิกถอนได้” และ “คัดค้านได้” เมื่อเจ้าของข้อมูลส่วนบุคคล มีการขอเพิกถอนการให้ความยินยอม องค์กรจะต้องดำเนินการภายใน 30 วัน นับตั้งแต่วันที่ได้รับเรื่องมา
กิจกรรมอะไรบ้างที่ต้องขอความยินยอม ขอความยินยอมต้องทำอย่างไรถูกต้องตาม PDPA
การดำเนินการขอความยินยอม นอกจากจะเป็นการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลแล้ว ยังช่วยส่งเสริมภาพลักษณ์ที่ดีให้กับองค์กร สร้างความน่าเชื่อถือที่เจ้าของข้อมูลส่วนบุคคลมีต่อองค์กร โดยกิจกรรมที่ต้องมีการขอความยินยอม ตัวอย่างเช่น การจ้างงาน การใช้ข้อมูลส่วนบุคคลของพนักงาน บันทึกกล้องวงจรปิด กิจกรรมทางการตลาด กิจกรรมการขายหรือติดต่อลูกค้าเพื่อขาย การส่งข้อมูลไปให้บุคคล/องค์กรภายนอกในเชิงพาณิชย์ (Third Party) เป็นต้น
ขอความยินยอมอย่างไรให้ถูกต้องตาม PDPA?
สำหรับการขอความยินยอมในการเก็บรวบรวมข้อมูลนั้น ผู้เก็บรวบรวมข้อมูลส่วนบุคคลจะต้องให้ความสำคัญกับข้อมูลส่วนบุคคลที่ได้มา ดำเนินการตามวัตถุประสงค์ที่ได้แจ้งไว้เท่านั้น และมีมาตรการดูแลรักษาความปลอดภัยข้อมูล ทั้งนี้นอกจากจะเป็นการปฏิบัติตาม PDPA แล้ว ยังแสดงให้เห็นถึงความโปร่งใส และความจริงใจที่มีต่อพนักงานและลูกค้า ในฐานะที่เป็นเจ้าของข้อมูลส่วนบุคคล และเพื่อให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (มาตรา 19 วรรค 3) ซึ่งลักษณะของแบบฟอร์มการขอความยินยอม (Consent Form) ควรจะมีรายละเอียดดังนี้
• ต้องทำโดยชัดแจ้ง เป็นหนังสือ หรือทำผ่านระบบอิเล็กทรอนิกส์
• ต้องแจ้งวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• ต้องแยกส่วน ใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวง
• ความเป็นอิสระในการให้ความยินยอม การปฏิเสธการให้ความยินยอมต้องไม่มีผลกระทบต่อการรับบริการ
• ถอนความยินยอมเมื่อใดก็ได้ เว้นแต่มีข้อจำกัดสิทธิ
แจ้งขอความยินยอมผ่านวิธีใดได้บ้าง?
รูปแบบในการขอความยินยอม (Consent) สามารถทำได้หลายวิธี ทั้งในรูปแบบเอกสาร และแบบอิเล็กทรอนิกส์ โดยการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแต่ละครั้ง จะต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างชัดเจนเสมอ
• แจ้งทางหนังสือ
• แจ้งทางวาจา
• แจ้งทางข้อความ (SMS, E-mail)
• แจ้งทางโทรศัพท์
• แจ้งทางระบบ Electronics (QR Code, URL)
ต้องขอความยินยอมทุกครั้งหรือไม่? กรณีใดที่ไม่ต้องขอความยินยอมจากเจ้าของข้อมูล
6 กรณีเก็บข้อมูลส่วนบุคคลได้ โดยไม่ต้องขอความยินยอม (มาตรา 24)
• เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ ศึกษาและวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ตามที่คณะกรรมการประกาศกำหนด (Scientific / Historical Research)
• เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (Vital Interest)
• เป็นการจำแนกเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น (Contract)
• เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์แก่สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล (Public Task)
• เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล (Legitimate Interest)
• เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (Legal Obligations)
