ตามที่บุคคลทั่วไปมักเข้าใจผิดนั้น ความจริงแล้ว หากท่านต้องการจัดการการขอ “ความยินยอม” ให้ถูกต้องตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นั้น จึงจำต้องเข้าใจหลักปฎิบัติ ดังต่อไปนี้
สารบัญ
การขอความยินยอมที่ถูกต้องนั้น จะต้อง…
1.ความยินยอมนั้น ต้องเป็นการให้โดยอิสระ (Freely Given )กล่าวคือจะต้องเกิดจากการกระทำของเจ้าของข้อมูลส่วนบุคคลซึ่งแสดงว่า “ให้” มิใช่การที่ผู้ควบคุมข้อมูล กำหนดเครื่องหมาย ใช่ ให้แก่เจ้าของข้อมูลส่วนบุคคลอยู่ก่อนหน้าแล้ว และเจ้าของข้อมูลไม่สามารถ “เลือก” ให้หรือไม่ให้ความยินยอมเพียงส่วนใดส่วนหนึ่งได้ การกระทำเช่นนั้นย่อมไม่ชอบด้วยกฎหมาย และไม่มีผลผูกพันเจ้าของข้อมูล
2.ความยินยอมนั้น ไม่สามารถนำมาเป็นเงื่อนไขของการใช้บริการได้ (barfaing power) เช่น การห้ามเจ้าของข้อมูลใช้งานเว็บไซต์ หากมิได้ให้ความยินยอม การกระทำเช่นนั้นย่อมไม่ชอบด้วยกฎหมาย และไม่มีผลผูกพันเจ้าของข้อมูล
3.ความยินยอมนั้น เมื่อได้รับมาแล้ว ตัวเจ้าของข้อมูลจะถอนความยินยอมนั้นออกเสียเมื่อไหร่ก็ได้ (right to withdraw consent) และกระทำการถอนความยินยอมนั้น ต้องกระทำได้โดยง่าย(ไม่ยากไปกว่าขั้นตอนการขอความยินยอมไว้ครั้งแรก) ตามสิทธิของเจ้าของข้อมูล ในมาตรา 19 วรรค ห้า หากไม่ปฎิบัติตามการกระทำเช่นนั้นย่อมไม่ชอบด้วยกฎหมาย และไม่มีผลผูกพันเจ้าของข้อมูล
4.ความยินยอมนั้น ต้องเฉพาะเจาะจง (Specific) ว่าขอเพื่อวัตถุประสงค์ใดโดยละเอียด และไม่เป็นการขอเพื่อการทั่วไป เช่น ท่านยินยอมให้บริษัทใช้ข้อมูลของท่านไปเพื่อประโยชน์ของบริษัทใดๆก็ได้ตามที่บริษัทเห็นสมควร การบัญญัติเช่นนี้ย่อมไม่ชอบด้วยกฎหมายและไม่มีผลผูกพันเจ้าของข้อมูล หากไม่ปฎิบัติตามการกระทำเช่นนั้นย่อมไม่ชอบด้วยกฎหมาย และไม่มีผลผูกพันเจ้าของข้อมูล
5.ความยินยอมนั้น ต้องมีการแจ้งวัตถุประสงค์โดยละเอียด (Informed) ตามมาตรา 23 ว่าผู้ควบคุมข้อมูลนั้นเก็บ เผยแพร่ ใช้ เพื่อสิ่งใด (Informed) หากไม่ปฎิบัติตามการกระทำเช่นนั้นย่อมไม่ชอบด้วยกฎหมาย และไม่มีผลผูกพันเจ้าของข้อมูล
6.ความยินยอมนั้น ต้องไม่กำกวม (Unabiguous) ใช้ภาษาที่อ่านง่าย เมื่อขอความยินยอมจะต้อง ไม่ปะปนกันกับเรื่องอื่นอย่างชัดเจน ( Clearlt distinguishable from other matter) หากไม่ปฎิบัติตามการกระทำเช่นนั้นย่อมไม่ชอบด้วยกฎหมาย และไม่มีผลผูกพันเจ้าของข้อมูล
แต่ทั้งนี้ หากข้อมูลที่เจ้าของข้อมูลมีความสำคัญที่น้อยหรือเป็นประโยชน์อันชอบธรรมที่ถูกพิจารณาแล้ว (Legitimate interest assessnent) ผู้ควบคุมข้อมูลส่วนบุคคลไม่ต้องอาศัยความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก็ได้ ตาม มาตรา 24 (5) เช่น การเปิดเผยข้อมูลส่วนบุคคลของผู้ที่เป็นลูกหนี้ตามคำพิพากษาเป็นเจ้าของข้อมูลส่วนบุคคล และเจ้าหนี้ตามคำพิพากษานั้นร้องขอให้เปิดเผย
ภัยอันตราย… หากไม่มีความคุ้มครองข้อมูลส่วนบุคคล (DATA BREACH)
-การโจรกรรมอัตลักษณ์ของบุคคล คือ การขโมยข้อมูลของบุคคลอื่นโดยการสวมรอยเป็นบุคคลอื่น เช่น ในสหรัฐอเมริกาเกิดการสวมรอยขึ้นเพื่อผลประโยชน์ทางด้านการยื่นขอคืนภาษี (TAX REFUND), การสวมรอยเป็นเจ้าของบัตรเครดิตเพื่อเก็บเงินผู้อื่น
-ค่าใช้จ่ายที่ระบบเสียหายหากถูกเจาะเข้าระบบนั้น เทียบไม่ได้จากกำไรที่เกิดจากลูกค้าเข้าใช้บริการเสียความมั่นใจ ทั้งยังเกิดความเสี่ยงในแง่ของกฎหมายในความรับผิดตามกฎหมาย
ระวางโทษ… ตาม พรบ.ข้อมูลส่วนบุคคล
กฎหมายกำหนดโทษแก่ ผู้ควบคุมข้อมูล (CONTROLLER) และ/หรือ ผู้ประมวลผลข้อมูล (PROCESSOR) ซึ่งมีหน้าที่กำหนดวัตถุประสงค์และวิธีการจัดการข้อมูล ที่อาจเป็นได้ทั้งบุคคลธรรมดา นิติบุคคล หรือเป็นองกรภาครัฐก็ได้ เช่น ตัวบริษัทเป็นผู้ควบคุมข้อมูลของพนักงานในบริษัทตน ได้ว่าจ้าง ผู้ประมวลผลข้อมูลเป็นบริษัทบัญชี ในการจัดการประมวลผลการจ่ายเงินเดือนของพนักงานทุกเดือน (PAYROLL) โดนส่งมอบอำนาจหน้าที่ และข้อมูลส่วนตัวคือ หมายเลขบัญชีของพนักงานให้แก่ผู้ประมวลผลข้อมูล หน้าที่และความรับผิดจึงเกิดขึ้น
| การกระทำที่เป็นความผิด | โทษปรับทางปกครอง |
| การเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย (มาตรา 24, มาตรา 27) | ไม่เกิน 3,000,000 บาท |
| การไม่ขอความยินยอมให้ถูกต้องตามกฎหมายหรือไม่แจ้งผลกระทบจากการถอนความยินยอม (มาตรา 19) | ไม่เกิน 1,000,000 บาท |
| การเก็บรวบรวมใช้หรือเปิดเผยข้อมูลผิดไปจากวัตถุประสงค์ที่ได้แจ้งไว้โดยไม่ได้แจ้งวัตถุประสงค์ใหม่หรือมีกฎหมายให้ทำได้ (มาตรา 21) | ไม่เกิน 3,000,000 บาท |
| การเก็บรวบรวมข้อมูลเกินไปกว่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (มาตรา 22) | ไม่เกิน 3,000,000 บาท |
| การเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรงที่ต้องห้ามตามกฎหมาย (มาตรา 25) | ไม่เกิน 3,000,000 บาท |
| การขอความยินยอมที่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ | ไม่เกิน 3,000,000 บาท |
| การเก็บรวบรวมใช้หรือเปิดเผยการโอนข้อมูลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย (มาตรา 26, มาตรา 27, มาตรา 28, มาตรา 29) | ไม่เกิน 5,000,000 บาท |
| การไม่ปฏิบัติตามหน้าที่ความรับผิดชอบ | |
| การไม่แจ้งเจ้าของข้อมูลทั้งในกรณีเก็บข้อมูลจากเจ้าของข้อมูลโดยตรงหรือโดยอ้อม (มาตรา 23 หรือมาตรา 25) | ไม่เกิน 1,000,000 บาท |
| การไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ (มาตรา 30) | ไม่เกิน 1,000,000 บาท |
| การไม่ดำเนินการตามสิทธิคัดค้านของเจ้าของข้อมูล (มาตรา 32 วรรค 2) | ไม่เกิน 3,000,000 บาท |
| การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (มาตรา 41) | ไม่เกิน 1,000,000 บาท |
| การไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอหรือการให้ออกหรือเลิกจ้างเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพราะเหตุที่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (มาตรา 42) | ไม่เกิน 1,000,000 บาท |
| การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย (มาตรา 28, มาตรา 29) | ไม่เกิน 3,000,000 บาท |
| การไม่จัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสมการไม่จัดให้มีระบบตรวจสอบเพื่อลบทำลายข้อมูลหรือไม่ปฏิบัติสิทธิในการลบเมื่อถอนความยินยอมหรือตามสิทธิในการขอลบข้อมูลโดยไม่มีเหตุตามกฎหมายการไม่แจ้งเหตุละเมิดข้อมูลหรือการไม่ตั้งตัวแทนในราชอาณาจักร | ไม่เกิน 3,000,000 บาท |
ติดต่อเราเพื่อบริการจัดทำร่าง หรือ บริการตรวจร่างสัญญา PDPA (คุ้มครองข้อมูลส่วนบุคคล) ที่นี่
บทความที่เกี่ยวข้อง สาระสำคัญเกี่ยวกับ พรบ.ข้อมูลส่วนบุคคลกับการคุ้มครองสิทธิของผู้บริโภค
