การขอความยินยอมตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

การขอความยินยอมตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

เพื่อให้เกิดความเป็นธรรมแก่เจ้าของข้อมูลส่วนบุคคล พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น องค์กรต่าง ๆ ต้องสามารถกล่าวอ้างสิทธิหรือ “ฐานทางกฎหมาย” ตามที่กฎหมายกำหนด

เพื่อแสดงให้เห็นว่าองค์กรมีความชอบธรรมในการนำข้อมูลส่วนบุคคลไปใช้ได้โดยชอบด้วยกฎหมาย ซึ่งเป็นหลักเกณฑ์ที่ได้รับอิทธิพลมาจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR)  โดยฐานทางกฎหมายดังกล่าว ได้แก่

1) เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ

2) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

3) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น

4) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ
ของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล

5) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล

6) เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

7) ความยินยอม

การขอความยินยอมตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ด้วยเหตุนี้ ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ความยินยอมจากเจ้าของข้อมูลส่วนบุคคลจึงเป็นฐานทางกฎหมายสุดท้ายที่องค์กรต่าง ๆ สามารถใช้เพื่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ หากไม่เป็นไปตามข้อยกเว้นอื่นตามมาตรา 24 หรือมาตรา 26 แล้วแต่กรณี 

ดังนั้น จึงไม่ใช่ทุก ๆ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ต้องได้รับความยินยอมเสมอไป แต่ “ความยินยอม” เป็นเพียงหนึ่งในหลาย ๆ ช่องทางที่กล่าวอ้างเพื่อให้เกิดความเป็นธรรมตามที่กฎหมายกำหนดเท่านั้น

เมื่อองค์กรพิจารณาแล้วว่าต้องขอความยินยอมเนื่องจากไม่สามารถใช้ฐานทางกฎหมายอื่น ๆ ความยินยอมที่ชอบด้วยกฎหมายก็ต้องปฏิบัติตามหลักเกณฑ์ที่กำหนดไว้ในมาตรา 19 อย่างเคร่งครัด โดยในกรณีที่ไม่มีการกำหนดแบบหรือข้อความในการขอความยินยอมที่มีสภาพบังคับตามกฎหมายอื่นไว้เป็นการเฉพาะ องค์กรต่าง ๆ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลพึงดำเนินการดังนี้

1.เงื่อนไขเวลาในการขอความยินยอม ต้องมีการขอความยินยอมก่อนหรือในขณะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จะใช้ก่อนแล้วมาขอในภายหลังไม่ได้

การขอความยินยอมตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

2.องค์กรต้องแจ้งวัตถุประสงค์และรายละเอียดของการขอความยินยอมให้เจ้าของข้อมูลส่วนบุคคลทราบ (informed) ก่อนจะให้ความยินยอม

3.การขอความยินยอมต้องระบุวัตถุประสงค์ในการให้ความยินยอมอย่างเฉพาะเจาะจง (specific) ไม่ใช่ระบุวัตถุประสงค์อย่างกว้าง ๆ เป็นการทั่วไป

4.การขอความยินยอมต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์

5.การขอความยินยอมจะชอบด้วยกฎหมาย ก็ต่อเมื่อเจ้าของข้อมูลส่วนบุคคลให้ความยินยอมโดยสมัครใจและอิสระ (freely given) จากเจ้าของข้อมูลส่วนบุคคล ปราศจากกลฉ้อฉล หลอกลวง ข่มขู่ หรือสำคัญผิด

การให้ความยินยอมต้องไม่มีลักษณะที่เป็นเงื่อนไขที่บังคับหรือผูกมัดหรือเป็นเงื่อนไขที่บังคับให้เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมก่อนการเข้าทำสัญญาซึ่งรวมถึงการให้บริการใด ๆ ที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ

จากหลักเกณฑ์ข้างต้น มีกรณีศึกษาดังนี้

กรณีศึกษาที่ 1

บริษัท ก เป็นผู้ควบคุมข้อมูลส่วนบุคคลที่ให้บริการแอปพลิเคชัน (Application) ผ่านโทรศัพท์มือถือในการตัดต่อภาพ บริษัท ก ได้ระบุเงื่อนไขในการใช้แอปพลิเคชันดังกล่าวว่า ผู้ใช้บริการหรือ เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมให้บริษัท ก ใช้ข้อมูลส่วนบุคคลที่ระบุตำแหน่งของเจ้าของข้อมูลส่วนบุคคลตามพิกัด GPS (GPS Location)

และบริษัท ก สามารถบันทึกพฤติกรรมการใช้แอปพลิเคชันดังกล่าวของเจ้าของข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ทางการตลาดด้วย (ซึ่งไม่ได้เกี่ยวข้องหรือจำเป็นกับการ ให้บริการตัดต่อภาพ) จึงจะสามารถใช้บริการได้ ผู้ใช้บริการที่เป็นเจ้าของข้อมูลส่วนบุคคลจึงกดให้ความยินยอม การให้คำยินยอมดังกล่าวไม่ถือเป็นการให้ความยินยอมโดยสมัครใจและอิสระ

กรณีศึกษาที่ 2

หน่วยงานของรัฐแห่งหนึ่งให้บริการซ่อมบำรุงถนนให้แก่ประชาชนทั่วไป แต่หน่วยงานของรัฐ ดังกล่าวระบุว่าประชาชนทั่วไปต้องระบุข้อมูลส่วนบุคคลที่ไม่เกี่ยวข้องกับการซ่อมบำรุงถนน เช่น อีเมล เพื่อรับข้อมูลข่าวสารเกี่ยวกับการซ่อมบำรุงถนน

โดยประชาชนต้องกดให้ความยินยอมในการเก็บรวบรวมข้อมูลดังกล่าวผ่านแอปพลิเคชันเท่านั้นจึงจะสามารถใช้บริการตรวจสอบข้อมูลการซ่อมบำรุงถนนได้

บุคคลที่ไม่ให้ความยินยอมจะไม่สามารถใช้บริการดังกล่าวได้ การให้ความยินยอมแก่หน่วยงานของรัฐดังกล่าวไม่ถือเป็นการให้ความยินยอมโดยสมัครใจ และอิสระ

หลักเกณฑ์และกรณีศึกษาข้างต้นเป็นเพียงส่วนหนึ่งของการได้มาซึ่งความยินยอมโดยชอบด้วยกฎหมายเท่านั้น ในการได้มาซึ่งความยินยอมยังต้องพิจารณาองค์ประกอบอื่นๆ  อีกหลายประการ อาทิ การแจ้งวัตถุประสงค์ การแสดงออกในการให้ความยินยอม อายุและความสามารถของผู้ให้ความยินยอม และวิธีการถอนความยินยอม เป็นต้น

ประการสำคัญหน้าที่ขององค์กรต่าง ๆ ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีอยู่ตลอดระยะเวลาที่องค์กรมี “การใช้” ข้อมูลส่วนบุคคลอยู่ เงื่อนไขของความยินยอมเป็นเพียงส่วนหนึ่งของกระบวนการ “เก็บรวบรวม” ซึ่งเป็นต้นทางในการนำเข้าข้อมูลเท่านั้น.