ธุรกิจต้องรู้! กิจกรรมใดบ้าง ต้องขอความยินยอมตามกฎหมาย PDPA

10 Oct 2024 Privacy & Data Protection

กิจกรรมใดบ้างที่ต้องขอความยินยอม? นี่คงเป็นอีกคำถามที่ผู้ประกอบการ หรือผู้รับผิดชอบในองค์กรที่ต้องดำเนินการตามกฎหมาย PDPA ยังสงสัย เนื่องจากตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย (PDPA – Personal Data Protection Act) มาตรา 19 ระบุไว้ว่า “ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้” 

ขณะที่มาตรา 24 และมาตรา 26 ก็มีการระบุถึงข้อยกเว้นในการขอความยินยอมไว้ ดังนี้

มาตรา 24 ระบุว่า 

  1. เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะหรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ ซึ่งได้จัดให้มีมาตรการปกป้องที่ เหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ตามที่คณะกรรมการประกาศกำหนด 
  1. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล 
  1. เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา ซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือ เพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น 
  1. เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุม ข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล 
  1. เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล 
  1. เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

มาตราที่ 26 ระบุว่า หากมีการใช้ข้อมูลส่วนบุคคลที่ละเอียดอ่อนจะมีข้อยกเว้นบางประการ คือ เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล หรือ 

  1. เป็นการดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหาผลกำไร 
  1. เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล 
  1. เป็นการจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมายการปฏิบัติตามหรือการใช้สิทธิ เรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้เพื่อสิทธิเรียกร้องตามกฎหมาย
  1. เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์

จากข้อยกเว้นที่กล่าวในข้างต้น จะเห็นได้ว่ายังมีอีกหลายกิจกรรมที่จำเป็นต้องมีการขอความยินยอมจากเจ้าของข้อมูล ไม่ว่าจะเป็นกรณี

  1. การเก็บรวบรวมข้อมูลส่วนบุคคล เช่น การเก็บข้อมูลส่วนบุคคลของลูกค้า ผู้ใช้บริการ พนักงาน หรือบุคคลอื่น ๆ
  2. การนำข้อมูลส่วนบุคคลไปใช้ เพื่อวัตถุประสงค์นอกเหนือจากที่ระบุไว้ในมาตรา 24 เช่น สำหรับทำการตลาด วิเคราะห์ข้อมูลพฤติกรรมผู้บริโภค หรือเพื่อปรับปรุงการให้บริการ
  3. การเปิดเผยข้อมูลส่วนบุคคล การแชร์ข้อมูลส่วนบุคคลกับบุคคลภายนอก เช่น บริษัทอื่น ๆ หรือพันธมิตรทางธุรกิจ
  4. การโอนข้อมูลไปยังต่างประเทศ กรณีข้อมูลส่วนบุคคลถูกโอนไปเก็บหรือประมวลผลในประเทศอื่น จะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน
  5. การใช้ข้อมูลเพื่อวัตถุประสงค์นอกเหนือจากที่ได้ขอความยินยอมไว้ หากมีการเปลี่ยนแปลงวัตถุประสงค์ในการใช้ข้อมูล จะต้องขอความยินยอมใหม่

โทษปรับ เมื่อไม่มีการขอความยินยอม

ตามกฎหมาย PDPA มาตรา 79-87 ได้ระบุโทษเกี่ยวกับการขอความยินยอมไว้ 3 ด้าน คือ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง ดังนี้

  • โทษทางอาญา มีทั้งโทษจำคุกและปรับ โดยมีโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • โทษทางแพ่ง มีการกำหนดให้ใช้สินไหมทดแทนที่เกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคล (ที่ได้รับความเสียหายจากการถูกละเมิด) โดยมีวิธีการคำนวนคือ ค่าสินไหมทดแทน + (ค่าสินไหมเพื่อการลงโทษ X2) รวมกับค่าทนาย
  • โทษทางปกครอง จะมีโทษปรับตั้งแต่ 1 ล้านบาท ไปจนถึง 5 ล้านบาท 

แม้กฎหมายจะไม่ได้เจาะจงว่าต้องมีการเก็บรวบรวมขอความยินยอมด้วยวิธีไหน แต่หากจะสร้างแบบฟอร์มการขอความยินยอม (Consent Form) ที่ได้มาตรฐาน สอดคล้องตามกฎหมาย PDPA ควรทำอย่างไร

  • การขอความยินยอมควรกระทำโดยชัดแจ้ง อาจทำผ่านรูปแบบเอกสารหนังสือให้เซ็นต์ หรือทำผ่านระบบอิเล็กทรอนิกส์ (หน้าเว็บไซต์ แอปพลิเคชัน ฯลฯ)
  • แจ้งถึงวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเอาไว้อย่างละเอียด
  • แยกส่วนออกจากข้อความอื่นอย่างชัดเจน รูปแบบข้อความเข้าถึงและเข้าใจได้ง่าย ภาษาอ่านง่าย
  • ไม่มีการหลอกลวงให้เข้าใจผิด
  • ไม่มีเงื่อนไขในการให้ความยินยอม (ผู้ควบคุมข้อมูลต้องคำนึงถึงความเป็นอิสระ ของเจ้าของข้อมูลส่วนบุคคล)

จะดีกว่าไหม หากมีแพลตฟอร์มที่ช่วยให้คุณสามารถสร้างช่องทางการขอความยินยอม ซึ่งสามารถแจ้งเตือนผลกระทบเมื่อมีการถอนความยินยอม รวมถึงรวบรวมความยินยอมจากช่องทางต่าง ๆ ไว้ได้ในที่เดียว

Security Pitch ขอแนะนำ OneFence โซลูชัน Privacy Management ระบบบริหารจัดการข้อมูลส่วนบุคคลได้สอดคล้องตามกฎหมาย PDPA โดยเรามีโมดูล Consent Management ที่จะเป็นเครื่องมือช่วยบริหารจัดการการเก็บรวบรวมและขอความยินยอม

  • สร้างและปรับแต่งช่องทางการขอความยิมยอมที่ถูกต้องตามกฎหมาย เพื่อขอความยิมยอม ก่อนเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยรองรับการสร้างแบบฟอร์มผ่านเทมพลต และกำหนดตั้งค่าหัวข้อในรูปแบบการลากวาง (Drag and Drop) 
  • รองรับทั้งภาษาไทย และภาษาอังกฤษ 
  • สามารถวาง link แสดงนโยบายการคุ้มครองข้อมูลส่วนบุคคล 
  • รองรับการนำช่องทางการขอความยิมยอมที่สร้างขึ้นไปใช้ได้ในหลากหลายรูปแบบ และหลากหลายช่องทางการเก็บข้อมูล (Collection Point) โดยแต่ละแผนกสามารถสร้าง นำไปใช้งาน และจัดการ Consent Form ที่เกี่ยวกับกิจกรรม (Activity) ของตนได้อย่างอิสระ
  • รองรับการกำหนดสิทธิการใช้งานระบบ แบบไม่จำกัดจำนวน 
  • บันทึกแบบฟอร์มขอความยินยอมในแต่ละเวอร์ชัน พร้อมตรวจสอบวงจรชีวิตความยินยอม และเรียกดูรายละเอียดย้อนหลังได้
  • รองรับการจัดการความยินยอมของเจ้าของข้อมูลผ่านหน้า Portal ที่ปรับแต่งได้
  • รองรับการเก็บบันทึกความยินยอมแบบออฟไลน์ 

สอบถามข้อมูลผลิตภัณฑ์ “OneFence”

Tel. : 061-462-6414, 02-103-6462
Line : @securitypitch
Email : [email protected]

PDPAข้อมูลส่วนบุคคลพรบข้อมูลส่วนบุคคลสคส