ตัวอย่าง consent form PDPA

ตัวอย่าง consent form PDPA

แบบฟอร์มขอความยินยอม (consent form) ตาม PDPA

        เชื่อว่าใครที่ติดตามเรื่อง PDPA ตั้งแต่แรกๆ คงจะคุ้นหูกับคำว่า ขอความยินยอม หรือขอ consent โดยเราอาจจะเคยได้ยินบ่อยๆ ว่า เมื่อ PDPA มีผลบังคับใช้ในวันที่ 1 มิถุนายน พ.ศ. 2564 แล้ว เราจะใช้ข้อมูลส่วนบุคคลอีกต่อไปไม่ได้ถ้าไม่ได้ขอความยินยอม/ขอ consent จากเจ้าของข้อมูลส่วนบุคคลเสียก่อน พอได้ยินแบบนี้แล้ว หลายคนมีการเตรียมตัวขอความยินยอม/ขอ consent จากเจ้าของข้อมูลส่วนบุคคล มีการไปสรรหาแบบฟอร์ม consent ตามสื่อหรือเว็บไซต์ต่างๆ

แต่………………

คำถามคือ เมื่อ PDPA มีผลบังคับใช้แล้ว เราจำเป็นจะต้องมีแบบฟอร์มขอความยินยอม (consent form) จริงๆ ไหม?

คำตอบคือ ไม่ใช่ทุกกรณีจะต้องขอความยินยอมเสมอไป เพราะถึงแม้กฎหมายจะเขียนให้ขอความยินยอมเป็นหลัก เว้นแต่จะเข้าข้อยกเว้น แต่ในทางปฏิบัติแล้ว หลักการขอความยินยอมคือ ขอเท่าที่จำเป็น ขอเมื่อมันไม่เข้าข้อยกเว้นเท่านั้น (อ่านเพิ่มเติมได้ที่ ขอ consent เมื่อไหร่ดี)

ทีนี้ หากพิจารณาแล้ว เข้ากรณีที่เราจะต้องขอความยินยอม คำถามต่อไปคือ จะต้องขอความยินยอมอย่างไรให้เป็นไปตามกฎหมาย มีแบบฟอร์มขอความยินยอมมาตรฐานของ PDPA หรือเปล่า

แบบฟอร์มขอความยินยอม (consent form) ที่ถูกต้องตาม PDPA เป็นอย่างไร?

PDPA ไม่มีแบบฟอร์มมาตรฐานที่สามารถใช้ได้กับทุกกรณี มีเพียงแต่การกำหนดหลักการขอความยินยอมว่าจะต้องมีลักษณะอย่างไรเท่านั้น แต่ขอบเขต โดยเฉพาะวัตถุประสงค์ที่จะขอความยินยอมนั้น จะแตกต่างกันออกไปตามแต่ละกรณี

ข้อกำหนด (requirements) หลักของการขอความยินยอมมีดังนี้

  1. แยกส่วนออกจากข้อความอื่นอย่างชัดเจน (ไม่รวมอยู่ในเงื่อนไขการใช้บริการ)
  2. เข้าถึงง่ายและเข้าใจได้
  3. ใช้ภาษาที่อ่านง่าย
  4. ไม่หลอกลวง
  5. ไม่บังคับ

        ก่อนหน้าที่จะมี PDPA แน่นอนว่าผู้ประกอบธุรกิจก็มีการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนที่จะมีการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นๆ อยู่แล้ว แต่ส่วนใหญ่การขอความยินยอมนั้นยังไม่เป็นไปตามข้อกำหนดของ PDPA ดังนั้น ผลกระทบต่อธุรกิจก็คือ จะต้องมีการจัดทำแบบฟอร์ม/การขอความยินยอมใหม่ เพื่อให้เป็นไปตาม PDPA

แต่ปัญหาของหลายบริษัทที่พบก็คือ ไม่รู้ว่าแบบฟอร์มปัจจุบันของตนเองนั้นขัดหรือไม่ขัดต่อข้อกำหนดของ PDPA หรือไม่ อย่างไร วันนี้ Ruler เลยจะนำตัวอย่างการขอความยินยอมที่ยังไม่เป็นไปตาม PDPA มาอธิบายให้เห็นว่า ตรงส่วนไหนของความยินยอมบ้าง ที่ถือว่ายังไม่เป็นไปตามข้อกำหนดของกฎหมาย และแบบไหนถึงจะเป็น

ข้อกำหนดและเงื่อนไข

ข้อกำหนดและเงื่อนไขฉบับนี้ ถือเป็นข้อตกลงระหว่าง …………………………………………………………………………………..

คำนิยาม

“บริการ” หมายถึง บริการของผู้ให้บริการภายใต้ข้อกำหนดและเงื่อนไขฉบับนี้

“ผู้ให้บริการ” หมายถึง …………………………………………………………………………….

ข้าพเจ้าเข้าใจดีว่า ผู้ให้บริการ จะเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของข้าพเจ้า เพื่อวัตถุประสงค์ในการให้บริการตามสัญญานี้ การวิเคราะห์ข้อมูลเพื่อวางแผนทางการตลาด การนำเสนอสินค้าและบริการอื่นๆ ของผู้ให้บริการแก่ข้าพเจ้า รวมถึงวัตถุประสงค์อื่นๆ ตามที่ผู้ให้บริการเห็นสมควร

ข้าพเจ้ารับทราบดีกว่า หากข้าพเจ้าไม่ตกลงยอมรับข้อกำหนดและเงื่อนไขนี้ ผู้ให้บริการสงวนสิทธิไม่ให้บริการแก่ข้าพเจ้าได้

ลงชื่อ ……………………………………………………………

คำว่า “เข้าใจดีว่า” มีความหมายคลุมเครือ ไม่ชัดเจนว่าคือการให้ความยินยอม หรือ ตกลงยอมรับในเงื่อนไขดังกล่าว หากต้องการบอกว่าผู้ใช้บริการตกลงยอมรับเงื่อนไข ก็ควรจะเขียนว่าตกลงยอมรับ แต่หากจะขอความยินยอม ควรแยกส่วนต่างหากออกจากข้อกำหนดและเงื่อนไขการใช้บริการ

วัตถุประสงค์เพื่อ “การวิเคราะห์ข้อมูลเพื่อวางแผนทางการตลาด การนำเสนอสินค้าและบริการอื่นๆ ของผู้ให้บริการแก่ข้าพเจ้า” ไม่ใช่วัตถุประสงค์ที่จำเป็นในการให้บริการ ไม่เข้าข้อยกเว้นตามกฎหมาย จึงต้องขอความยินยอม ซึ่งจะต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน (ไม่รวมอยู่ในเงื่อนไขการใช้บริการ)

การระบุ “รวมถึงวัตถุประสงค์อื่นๆ ตามที่ผู้ให้บริการเห็นสมควร” ทำให้วัตถุประสงค์ไม่มีความชัดเจน เจ้าของข้อมูลส่วนบุคคลไม่อาจทราบได้ว่าจะมีการใช้ข้อมูลส่วนบุคคลของตนเองเพื่อวัตถุประสงค์ใด

การกำหนดว่า “หากข้าพเจ้าไม่ตกลงยอมรับข้อกำหนดและเงื่อนไขนี้ ผู้ให้บริการสงวนสิทธิไม่ให้บริการแก่ข้าพเจ้าได้”  มีผลเท่ากับเป็นการบังคับว่าเจ้าของข้อมูลส่วนบุคคลจะต้องให้ความยินยอม มิฉะนั้นจะไม่สามารถใช้บริการได้

จากตัวอย่าง จะเห็นได้ว่า ข้อความขอความยินยอมมีความคลุมเครือว่าจะเป็นการขอความยินยอมหรือจะเป็นเพียงการแจ้งให้ลูกค้าทราบ และวัตถุประสงค์ของการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลก็มีขอบเขตที่กว้างมาก ไม่เฉพาะเจาะจง เหมือนเปิดโอกาสให้ผู้ให้บริการจะเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคของลูกค้ายังไงก็ได้ ซึ่งการนำเอาความยินยอมที่ควรจะเป็นทางเลือกของเจ้าของข้อมูลส่วนบุคคลมารวมอยู่ในเงื่อนไขการใช้บริการที่มีสภาพบังคับนั้น มีค่าเท่ากับเป็นการบังคับให้เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมเท่านั้น

เมื่อ PDPA มีผลบังคับใช้แล้ว ความยินยอมตามตัวอย่างข้างต้นจะถือเสมือนว่าผู้ให้บริการไม่ได้รับความยินยอมเลย และไม่มีผลผูกพันเจ้าของข้อมูลแต่อย่างใด

ดังนี้ หากคุณกำลังอยู่ในขั้นตอนการ implement PDPA ให้กับธุรกิจของคุณให้เป็นไปตามกฎหมาย การขอความยินยอมจึงเป็นเรื่องที่สำคัญมากและไม่ควรมองข้ามเลยทีเดียว

คุณสามารถดาวน์โหลด ตัวอย่างแบบฟอร์มขอความยินยอม (PDPA consent form) ทั้งภาษาไทยและภาษาอังกฤษ ได้ที่นี่

Languages »