กรณีศึกษา: การขอความยินยอมจากผู้เยาว์
“ผู้เยาว์” ถือว่าเป็นผู้หย่อนความสามารถที่กฎหมายต้องให้ความคุ้มครองเป็นพิเศษ และกฎหมายดังกล่าวก็รวมถึง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ด้วย
การที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลของผู้เยาว์เป็นพิเศษนั้น เนื่องจากผู้เยาว์อาจไม่มีวุฒิภาวะเพียงพอในการตระหนักถึงความเสี่ยง ผลที่อาจเกิดขึ้น
หรือเป็นการปกป้องผู้เยาว์จากการถูกหลอกลวง กลฉ้อฉล ข่มขู่ สำคัญผิด หรือการกระทำที่ผิดกฎหมายที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลในบางกรณี
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จึงกำหนดให้จะต้องมีการขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย
กรณีที่จะต้องมีการขอความยินยอมจากผู้ใช้อำนาจปกครอง ที่มีอำนาจกระทำการแทนผู้เยาว์ คือกรณีที่ใช้ฐานความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้เยาว์
โดยหลักเกณฑ์การขอความยินยอมของผู้เยาว์จะต้องเป็นไปตามมาตรา 19 และมาตรา 20 อย่างไรก็ตาม ฐานความยินยอมไม่ใช่ฐานทางกฎหมายเพียงฐานเดียวในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้เยาว์
กล่าวคือ ข้อมูลส่วนบุคคลของผู้เยาว์ก็ถือเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ที่หากว่าใช้ฐานทางกฎหมายตามมาตรา 24 (1) – (6)
หรือมาตรา 26 วรรคหนึ่ง (1) – (5) ซึ่งเป็นกรณีที่ไม่ต้องขอความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจึงไม่จำต้องปฏิบัติตามมาตรา 19 และมาตรา 20
ตัวอย่างเช่น กรณีการเปิดบัญชีธนาคารของผู้เยาว์ โดยมีการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้เยาว์ในการเปิดบัญชีธนาคาร
ผู้ควบคุมข้อมูลส่วนบุคคลอาจพิจารณาฐานทางกฎหมายตามมาตรา 24 (3) คือ เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้นได้
และหากมีการเปิดบัญชีหรือทำธุรกรรมผ่าน Mobile Banking และมีการเก็บรวบรวมและใช้ Facial recognition ของผู้เยาว์เพื่อพิสูจน์และยืนยันตัวตนของผู้เยาว์
ซึ่งมีการใช้เทคนิคหรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพ หรือทางพฤติกรรมของบุคคลมาใช้ ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้
จึงเป็นการเก็บรวบรวมข้อมูลชีวภาพตามมาตรา 26 วรรคสอง ผู้ควบคุมข้อมูลส่วนบุคคลจึงต้องพิจารณาฐานทางกฎหมายตามมาตรา 26 วรรคหนึ่ง (1) – (5) ในการเก็บรวบรวมข้อมูลส่วนบุคคล
สำหรับกิจกรรมที่มีวัตถุประสงค์เพื่อยืนยันตัวตน เมื่อไม่มีเหตุดังกล่าว ก็จะต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล ตามหลักเกณฑ์ที่กำหนดไว้มาตรา 19 และมาตรา 20 ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ
นอกจากนี้ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้เผยแพร่แนวทางการดำเนินการในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ซึ่งในแนวทางได้มีการอธิบายเพิ่มเติมถึงประเด็นเงื่อนไขเรื่องอายุและลักษณะของการให้ความยินยอมในกรณีผู้เยาว์ ดังนี้
(1) กรณีที่ผู้เยาว์อายุมากกว่า 10 ปีแต่ยังไม่บรรลุนิติภาวะตามกฎหมาย ผู้เยาว์สามารถให้ความยินยอมด้วยตนเองโดยลำพังได้ หากเป็นการที่ผู้เยาว์ทำนิติกรรมที่ต้องทำเองเฉพาะตัว
และเป็นการสมแก่ฐานานุรูปแห่งตน และเป็นการจำเป็นในการดำรงชีพตามสมควร หรือเป็นเพียงเพื่อจะได้ไปซึ่งสิทธิอันใดอันหนึ่ง
หรือเป็นการเพื่อให้หลุดพ้นจากหน้าที่อันใดอันหนึ่ง (มาตรา 22-24 แห่งประมวลกฎหมายแพ่งและพาณิชย์) แต่หากไม่ใช่กรณีเหล่านั้น ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย
สำหรับข้อความที่ระบุเพื่อขอความยินยอมจากผู้เยาว์ต้องเป็นภาษาหรือวิธีการที่ผู้เยาว์สามารถทำความเข้าใจได้โดยง่าย และมีมาตรการตรวจสอบอายุของผู้เยาว์ ว่าเป็นผู้เยาว์ที่มีอายมากกว่า 10 ปีจริง
และเป็นมาตรการที่เหมาะสมตามระดับความเสี่ยงด้วย เช่น การยืนยันการให้ความยินยอมของผู้เยาว์โดยใช้เลขบัตรประจำตัวประชาชนของผู้เยาว์ เป็นต้น
(2) กรณีที่ผู้เยาว์มีอายุไม่เกิน 10 ปี ผู้ควบคุมข้อมูลส่วนบุคคลต้องขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์เท่านั้น
และการขอความยินยอมควรมีการตรวจสอบว่าผู้ให้ความยินยอมนั้นเป็นผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์จริง และเป็นมาตรการที่เหมาะสมตามระดับความเสี่ยงด้วย
อีกทั้งต้องใช้ภาษาหรือวิธีการที่ผู้ใช้อำนาจทางปกครองสามารถทำความเข้าใจได้โดยง่ายเช่นกัน
ดังนั้น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้เยาว์นั้น ก็เหมือนกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่บรรลุนิติภาวะแล้ว
คือ ผู้ควบคุมข้อมูลส่วนบุคคลต้องมีฐานทางกฎหมายในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และหากพิจารณาใช้ฐานความยินยอมแล้ว ก็ต้องดำเนินการขอความยินยอมให้ถูกต้องตามหลักเกณฑ์ที่กฎหมายกำหนด และปฏิบัติตามหน้าที่ที่กฎหมายกำหนดให้ถูกต้องครบถ้วน
เช่น การแจ้ง Privacy notice การเก็บรวบรวมข้อมูลส่วนบุคคลได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย การมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เป็นต้น.
ที่มา:
1.สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล. แนวปฏิบัติสำหรับผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล : กรณีศึกษาจากข้อหารือเกี่ยวกับการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (เผยแพร่เมื่อวันที่ 10 กุมภาพันธ์ 2566).,
2.สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล. แนวทางการดำเนินการในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (เผยแพร่เมื่อวันที่ 7 กันยายน 2565).
คอลัมน์ Tech Law and Security
ศุภวัชร์ มาลานนท์
GMI มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
ปัณฑารีย์ อวยจินดา
บริษัท ดีพีโอเอเอเอส จำกัด