“ความยินยอม” ตามร่างกฎหมายลำดับรอง PDPA | สุมาพร (ศรีสุนทร) มานะสันต์
สำนักงานปลัดกระทรวงดิจิทัลฯ (ทำหน้าที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล) เปิดรับฟังความคิดเห็นร่างกฎหมายลำดับรองภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ซึ่งจะมีผลใช้บังคับในวันที่ 1 มิ.ย. 2565 นี้
ผู้เขียนจึงขอหยิบยกบางประเด็นเรื่อง “การขอความยินยอม” (Consent) ตามร่างกฎหมายลำดับรองมาอธิบายให้ฟัง โดยสังเขป
รับฟังร่างกฎหมายอะไรบ้าง?
ในครั้งนี้ ได้มีการเปิดรับฟังร่างกฎหมายลำดับรองจำนวน 5 ฉบับ โดย 3 ฉบับได้ปิดรับฟังไปแล้วตั้งแต่วันที่ 19 พ.ค. 65 ได้แก่ 1) ร่างประกาศ เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูล
2) ร่างประกาศ เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก และ3) ร่างประกาศ เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูล
ทั้งนี้ อีกสองฉบับที่ยังคงเปิดรับฟังถึงวันที่ 25 พ.ค. 65 ได้แก่ 1) ร่างแนวทาง เรื่อง แนวทางและวิธีการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล และ 2) ร่างแนวทาง เรื่อง การแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล โดยฉบับนี้ ผู้เขียนขอหยิบยกบางประเด็นที่น่าสนใจในเรื่อง “การขอความยินยอม” ตามร่างแนวทางมาอธิบาย
ความยินยอมตาม PDPA
ฐานในการประมวลผลโดยชอบด้วยกฎหมายตาม PDPA มีอยู่หลายฐาน ฐานความยินยอม ถือเป็นฐานหนึ่งที่กฎหมายกำหนดให้สามารถกระทำได้ โดยต้องเป็นการขอความยินยอม “เท่าที่จำเป็น” ในกรณีที่ไม่สามารถใช้ฐานอื่นในการประมวลผลได้แล้ว โดยการใช้ฐานนี้ เจ้าของข้อมูลมีสิทธิเพิกถอนความยินยอมเมื่อใดก็ได้ เว้นแต่ในกรณีที่มีข้อจำกัดสิทธิกำหนดไว้
หลักการขอความยินยอมตามร่างแนวทางรับฟัง
ร่างแนวทางเรื่องการขอความยินยอม ได้กำหนดหลักการในเรื่องการขอความยินยอมไว้ในสองกรณี คือ
1) กรณีที่มีกฎหมายหรือหน่วยงานกำกับดูแลเป็นการเฉพาะ ก็ให้เป็นไปตามแบบฟอร์มหรือหลักเกณฑ์ที่กฎหมายหรือหน่วยงานกำกับดูแลกำหนด
เช่น หาก ธปท. มีการกำหนดหลักเกณฑ์เรื่องการขอความยินยอมที่สถาบันการเงินต้องถือปฏิบัติติ สถาบันการเงินย่อมต้องปฏิบัติตามหลักเกณฑ์ในเรื่องดังกล่าวเป็นหลัก หรือ
หาก กสทช. มีการกำหนดแบบฟอร์มเฉพาะในการขอความยินยอมจากผู้ใช้บริการ
ผู้รับใบอนุญาตก็ต้องใช้แบบฟอร์มตามที่กำหนดกับผู้ใช้บริการ (ซึ่งเป็นไปตามหลักการของ ม.3 PDPA ที่ให้บังคับตามบทบัญญัติของกฎหมายเฉพาะก่อน)
2) กรณีเป็นการขอความยินยอมที่ไม่มีกฎหมายเฉพาะ เช่น อาจเป็นกรณีร้านอาหารต้องการขอความยินยอมจากลูกค้าในการใช้ข้อมูล หรือกรณีผู้ให้บริการแพลตฟอร์มออนไลน์ต้องการขอความยินยอมจากผู้ใช้บริการเพื่อเก็บข้อมูลเพื่อการตลาด กรณีเหล่านี้ การขอความยินยอมต้องสอดคล้องกับหลักการใน ม.19 และ 23 ของ PDPA ซึ่งร่างแนวทางได้ขยายความและอธิบายการขอความยินยอม
ผู้เขียนขอสรุปให้เห็นภาพ ที่สำคัญในบางประเด็น เช่น
(1) ขอเป็น “กระดาษ” หรือ “อิเล็กทรอนิกส์” ก็ได้ กล่าวคือ ลักษณะของความยินยอมสามารถทำในรูปแบบกระดาษ/เอกสาร/หนังสือ หรือผ่านระบบอิเล็กทรอนิกส์ก็ได้ สำคัญที่ว่า การดำเนินการนั้นจะต้องสามารถบันทึกและเก็บข้อมูลการให้ความยินยอมของเจ้าของข้อมูลไว้ได้เพื่อประโยชน์ในการยืนยันความถูกต้องในภายหลัง ทั้งนี้ ในกรณีที่การขอจัดทำในรูปแบบอิเล็กทรอนิกส์จะต้องพิจารณาหลักการตามกฎหมายธุรกรรมอิเล็กทรอนิกส์ประกอบด้วย
(2) “ระยะเวลา” และ “ความอิสระ” กล่าวคือ ในเรื่องของระยะเวลา การขอความยินยอมต้องขอ “ก่อน” หรือ “ขณะ” กระทำการเก็บ/ใช้/เปิดเผยข้อมูลส่วนบุคคล ซึ่งหากมากระทำในภายหลัง ความยินยอมดังกล่าวอาจไม่ชอบด้วยกฎหมาย
นอกจากนี้ ในการขอความยินยอมดังกล่าวนั้น เจ้าของข้อมูลต้องมีความอิสระในการตัดสินใจ โดยไม่ได้มีลักษณะของการบังคับให้ต้องให้ความยินยอมก่อนจึงจะเข้าใช้บริการหลักได้ เช่น การสมัครสามาชิกร้านอาหารผ่านแอปพลิเคชันมีการขอข้อมูล เช่น ชื่อ ที่อยู่ เบอร์โทร และมีข้อกำหนดให้ระบุข้อมูลอื่น ๆ ที่ไม่เกี่ยวข้องและจำเป็นกับการสมัครสมาชิกร้านอาหาร เช่น ข้อมูลฐานเงินเดือน lifestyle ข้อมูลการเดินทาง
เพื่อวัตถุประสงค์ในการตลาดให้กับบริษัทในเครือ ซึ่งหากไม่ระบุจะไม่สามารถสมัครสมาชิกได้ กรณีเช่นนี้ ถือว่าไม่ได้ให้ “อิสระในการตัดสินใจ” กับเจ้าของข้อมูลส่วนบุคคล เนื่องจากเป็นการสร้างเงื่อนไขในการให้ความยินยอม
(3) “ชัดแจ้ง” และ “แยกต่างหากจากสัญญา” กล่าวคือ ชัดแจ้งในที่นี้ หมายถึง ต้องระบุให้ชัดเจนว่าจะนำข้อมูลของเจ้าของข้อมูลไปทำอะไรบ้าง โดยจะใช้วิธีการ bundled consent หรือ รวมหลายวัตถุประสงค์อยู่ในการขอความยินยอมเพียงครั้งเดียวไม่ได้ และในกรณีที่มีการส่งข้อมูลต่อ ต้องระบุให้ครบว่าใครบ้างจะได้ข้อมูลดังกล่าวไป
เนื่องจาก PDPA กำหนดสิทธิของเจ้าของข้อมูลไว้หลายประการ (เช่น สิทธิในการขอเข้าถึงและแก้ไขข้อมูล) ซึ่งการใช้สิทธิดังกล่าวนี้ เจ้าของข้อมูลจำเป็นต้องทราบว่าข้อมูลถูกนำไปใช้อย่างไร และเก็บอยู่กับใครบ้าง เพื่อสามารถตามไปใช้สิทธิที่กฎหมายกำหนดได้อย่างถูกต้อง
ทั้งนี้ ข้อความการขอความยินยอมต้องมีการแยกส่วนอย่างชัดเจนกับสัญญา ซึ่งหากข้อความการขอความยินยอมถูกนำไปปะปนกับถ้อยคำในข้อตกลงหรือสัญญา ความยินยอมนั้นย่อมไม่ชอบด้วยกฎหมาย
(4) แจ้ง “รายละเอียด” พร้อม “วัตถุประสงค์” ในประเด็นนี้ จำเป็นต้องพิจารณาควบคู่กับร่างแนวทาง เรื่อง การแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล โดยในเรื่องการแจ้งวัตถุประสงค์ให้เจ้าของข้อมูลทราบ (Privacy Notice) สามารถทำได้หลายวิธี
ไม่ว่าจะทางวาจา ลายลักษณ์อักษร หรือวิธีการทางอิเล็กทรอนิกส์ก็ได้ ซึ่งวิธีการที่นิยมในปัจจุบัน เช่น การกดปุ่มยินยอม หรือการสไลด์หน้าจออุปกรณ์สื่อสาร เป็นต้น โดยในข้อความที่ระบุนั้นต้องมีความละเอียดเพียงพอที่จะให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ในการนำไปใช้ เช่น ต้องมีการระบุว่าข้อมูลใดบ้างที่จะทำการจัดเก็บ เก็บไปเพื่อวัตถุประสงค์ใด และการยกเลิกความยินยอมในอนาคตจะทำได้อย่างไร เป็นต้น
ท้ายที่สุด บทความนี้ได้นำเสนอเนื้อหาเพียงบางส่วนของร่างกฎหมายลำดับรอง ซึ่งบางฉบับ โดยเฉพาะอย่างยิ่งเรื่องการขอความยินยอมยังคงเปิดรับฟังความคิดเห็นถึงวันที่ 25 พ.ค. 65 ซึ่งเป็นโอกาสอันดี หากท่านมีประเด็นที่เกี่ยวข้องกับเรื่องดังกล่าว และประสงค์จะแสดงความคิดเห็นหรือข้อเสนอแนะ อันจะเป็นประโยชน์ต่อการร่างกฎหมายต่อไป.