กิจกรรมใดบ้างที่ต้องขอความยินยอม? นี่คงเป็นอีกคำถามที่ผู้ประกอบการ หรือผู้รับผิดชอบในองค์กรที่ต้องดำเนินการตามกฎหมาย PDPA ยังสงสัย เนื่องจากตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย (PDPA – Personal Data Protection Act) มาตรา 19 ระบุไว้ว่า “ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้” 

ขณะที่มาตรา 24 และมาตรา 26 ก็มีการระบุถึงข้อยกเว้นในการขอความยินยอมไว้ ดังนี้

มาตรา 24 ระบุว่า 

1. เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะหรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ ซึ่งได้จัดให้มีมาตรการปกป้องที่ เหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ตามที่คณะกรรมการประกาศกำหนด 

2. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล 

3. เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา ซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือ เพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น 

4. เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุม ข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล 

5. เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล 

6. เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

มาตราที่ 26 ระบุว่า หากมีการใช้ข้อมูลส่วนบุคคลที่ละเอียดอ่อนจะมีข้อยกเว้นบางประการ คือ เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล หรือ 

1. เป็นการดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหาผลกำไร 

2. เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล 

3. เป็นการจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมายการปฏิบัติตามหรือการใช้สิทธิ เรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้เพื่อสิทธิเรียกร้องตามกฎหมาย

4. เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์

จากข้อยกเว้นที่กล่าวในข้างต้น จะเห็นได้ว่ายังมีอีกหลายกิจกรรมที่จำเป็นต้องมีการขอความยินยอมจากเจ้าของข้อมูล ไม่ว่าจะเป็นกรณี

1. การเก็บรวบรวมข้อมูลส่วนบุคคล เช่น การเก็บข้อมูลส่วนบุคคลของลูกค้า ผู้ใช้บริการ พนักงาน หรือบุคคลอื่น ๆ
2. การนำข้อมูลส่วนบุคคลไปใช้ เพื่อวัตถุประสงค์นอกเหนือจากที่ระบุไว้ในมาตรา 24 เช่น สำหรับทำการตลาด วิเคราะห์ข้อมูลพฤติกรรมผู้บริโภค หรือเพื่อปรับปรุงการให้บริการ
3. การเปิดเผยข้อมูลส่วนบุคคล การแชร์ข้อมูลส่วนบุคคลกับบุคคลภายนอก เช่น บริษัทอื่น ๆ หรือพันธมิตรทางธุรกิจ
4. การโอนข้อมูลไปยังต่างประเทศ กรณีข้อมูลส่วนบุคคลถูกโอนไปเก็บหรือประมวลผลในประเทศอื่น จะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน
5. การใช้ข้อมูลเพื่อวัตถุประสงค์นอกเหนือจากที่ได้ขอความยินยอมไว้ หากมีการเปลี่ยนแปลงวัตถุประสงค์ในการใช้ข้อมูล จะต้องขอความยินยอมใหม่

โทษปรับ เมื่อไม่มีการขอความยินยอม

ตามกฎหมาย PDPA มาตรา 79-87 ได้ระบุโทษเกี่ยวกับการขอความยินยอมไว้ 3 ด้าน คือ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง ดังนี้

• โทษทางอาญา มีทั้งโทษจำคุกและปรับ โดยมีโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ

• โทษทางแพ่ง มีการกำหนดให้ใช้สินไหมทดแทนที่เกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคล (ที่ได้รับความเสียหายจากการถูกละเมิด) โดยมีวิธีการคำนวนคือ ค่าสินไหมทดแทน + (ค่าสินไหมเพื่อการลงโทษ X2) รวมกับค่าทนาย

• โทษทางปกครอง จะมีโทษปรับตั้งแต่ 1 ล้านบาท ไปจนถึง 5 ล้านบาท 

ลักษณะแบบฟอร์มขอความยินยอม (Consent) 

แม้กฎหมายจะไม่ได้เจาะจงว่าต้องมีการเก็บรวบรวมขอความยินยอมด้วยวิธีไหน แต่หากจะสร้างแบบฟอร์มการขอความยินยอม (Consent Form) ที่ได้มาตรฐาน สอดคล้องตามกฎหมาย PDPA ควรทำอย่างไร

• การขอความยินยอมควรกระทำโดยชัดแจ้ง อาจทำผ่านรูปแบบเอกสารหนังสือให้เซ็นต์ หรือทำผ่านระบบอิเล็กทรอนิกส์ (หน้าเว็บไซต์ แอปพลิเคชัน ฯลฯ)
• แจ้งถึงวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเอาไว้อย่างละเอียด
• แยกส่วนออกจากข้อความอื่นอย่างชัดเจน รูปแบบข้อความเข้าถึงและเข้าใจได้ง่าย ภาษาอ่านง่าย
• ไม่มีการหลอกลวงให้เข้าใจผิด
• ไม่มีเงื่อนไขในการให้ความยินยอม (ผู้ควบคุมข้อมูลต้องคำนึงถึงความเป็นอิสระ ของเจ้าของข้อมูลส่วนบุคคล)

จะดีกว่าไหม หากมีแพลตฟอร์มที่ช่วยให้คุณสามารถสร้างช่องทางการขอความยินยอม ซึ่งสามารถแจ้งเตือนผลกระทบเมื่อมีการถอนความยินยอม รวมถึงรวบรวมความยินยอมจากช่องทางต่าง ๆ ไว้ได้ในที่เดียว

Security Pitch ขอแนะนำ OneFence โซลูชัน Privacy Management ระบบบริหารจัดการข้อมูลส่วนบุคคลได้สอดคล้องตามกฎหมาย PDPA โดยเรามีโมดูล Consent Management ที่จะเป็นเครื่องมือช่วยบริหารจัดการการเก็บรวบรวมและขอความยินยอม

• สร้างและปรับแต่งช่องทางการขอความยิมยอมที่ถูกต้องตามกฎหมาย เพื่อขอความยิมยอม ก่อนเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยรองรับการสร้างแบบฟอร์มผ่านเทมพลต และกำหนดตั้งค่าหัวข้อในรูปแบบการลากวาง (Drag and Drop) 
• รองรับทั้งภาษาไทย และภาษาอังกฤษ 
• สามารถวาง link แสดงนโยบายการคุ้มครองข้อมูลส่วนบุคคล 
• รองรับการนำช่องทางการขอความยิมยอมที่สร้างขึ้นไปใช้ได้ในหลากหลายรูปแบบ และหลากหลายช่องทางการเก็บข้อมูล (Collection Point) โดยแต่ละแผนกสามารถสร้าง นำไปใช้งาน และจัดการ Consent Form ที่เกี่ยวกับกิจกรรม (Activity) ของตนได้อย่างอิสระ
• รองรับการกำหนดสิทธิการใช้งานระบบ แบบไม่จำกัดจำนวน 
• บันทึกแบบฟอร์มขอความยินยอมในแต่ละเวอร์ชัน พร้อมตรวจสอบวงจรชีวิตความยินยอม และเรียกดูรายละเอียดย้อนหลังได้
• รองรับการจัดการความยินยอมของเจ้าของข้อมูลผ่านหน้า Portal ที่ปรับแต่งได้
• รองรับการเก็บบันทึกความยินยอมแบบออฟไลน์ 

สอบถามข้อมูลผลิตภัณฑ์ “OneFence”

Tel. : 061-462-6414, 02-103-6462
Line : @securitypitch
Email : [email protected]