เราต้องขอ Consent เมื่อไหร่ ?

ผู้ประกอบการควรขอความยินยอม (consent) เมื่อไหร่ดี?

เมื่อ PDPA มีผลบังคับใช้ปีหน้า ผู้ประกอบการที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลควรจะขอความยินยอม หรือ consent สำหรับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลประเภทไหนบ้าง? และขอเมื่อไหร่?

PDPA กำหนดว่า การขอความยินยอมจะต้องขอจากเจ้าของข้อมูลส่วนบุคคล ก่อนหรือขณะ ที่ผู้ควบคุมข้อมูลส่วนบุคคลจะทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลนั้น โดยมีเงื่อนไขเป็นไปตามมาตรา 19 ดังนี้

รูปแบบ: เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้

ลักษณะ: ความยินยอมต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน (ไม่รวมอยู่ในเงื่อนไขการใช้บริการ) มีแบบหรือข้อความที่เข้าถึงง่ายและเข้าใจได้ ใช้ภาษาที่อ่านง่าย ไม่หลอกลวงหรือทำให้เจ้าของข้อมูลเข้าใจผิดในวัตถุประสงค์การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ไม่บังคับ

องค์ประกอบ: มีการแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ถึงแม้กฎหมายจะเขียนให้ขอความยินยอมเป็นหลัก เว้นแต่จะเข้าข้อยกเว้น แต่ในทางปฏิบัติแล้ว หลักการขอความยินยอมคือ ขอเท่าที่จำเป็น กล่าวคือ ขอเฉพาะกิจกรรมที่ไม่มีฐานการประมวลผลอื่นที่จะอ้างอิงได้

ทั้งนี้ เนื่องจากเจ้าของข้อมูลส่วนบุคคลมีสิทธิตามกฎหมายที่จะถอนความยินยอมที่ตนเองเคยให้ไว้เมื่อใดก็ได้ หากเจ้าของข้อมูลส่วนบุคคลมาขอถอนความยินยอม ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องดำเนินการให้ในทุกกรณี ต่างจากการขอใช้สิทธิอื่นๆ ตาม PDPA ที่ผู้ควบคุมข้อมูลส่วนบุคคลมีสิทธิปฏิเสธไม่ดำเนินการให้ได้ ดังนั้น หากไม่ดำเนินการถอนความยินยอมให้ตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ ผู้ควบคุมข้อมูลส่วนบุคคลอาจมีความผิดและต้องรับโทษตามกฎหมายได้

นอกจากนี้ หากองค์กรหรือหน่วยงานอ้างอิงฐานความยินยอมเป็นฐานการประมวลผลข้อมูล องค์กรหรือหน่วยงานจะต้องแน่ใจว่า เมื่อเจ้าของข้อมูลส่วนบุคคลมาถอนความยินยอม จะสามารถหยุดการประมวลผลข้อมูลส่วนบุคคล หรือลบข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลนั้นไม่สามารถระบุตัวตนได้อีก (anonymization) แต่หากไม่สามารถทำได้ เนื่องจากองค์กรหรือหน่วยงานจะต้องประมวลผลข้อมูลส่วนบุคคลเพื่อปฏิบัติตามบทบัญญัติของกฎหมาย ดังนี้แล้ว ฐานความยินยอมก็ไม่ใช่ฐานการประมวลผลที่เหมาะสม อีกทั้ง หากเจ้าของข้อมูลมีการถอนความยินยอมแล้ว การจะกลับไปอ้างอิงฐานการประมวลผลอื่นตามกฎหมายก็ไม่เหมาะสมอีกต่อไป

ด้วยเหตุข้างต้น ฐานความยินยอมจึงไม่ควรถูกนำมาใช้สำหรับกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลมีความจำเป็นจะต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจริงๆ ไม่ว่าจะด้วยเหตุที่จำเป็นในการให้บริการ หรือจำเป็นต้องปฏิบัติตามกฎหมายก็ตาม

อีกประเด็นที่น่าสนใจคือ หากผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้ให้บริการ การขอความยินยอมสามารถผูกเป็นเงื่อนไขของการใช้บริการได้หรือไม่ พูดง่ายๆ คือ ต้องให้ความยินยอมก่อน จึงจะใช้บริการได้

คำตอบคือ ไม่ได้

เนื่องจากขัดกับหลักการไม่บังคับตามที่กฎหมายกำหนด หากมีการขอความยินยอมดังกล่าวไป ก็จะไม่ถือว่าเป็นความยินยอมที่เป็นไปตามกฎหมาย ผลคือไม่สามารถบังคับใช้ต่อเจ้าของข้อมูลส่วนบุคคลได้ ดังนั้น ในการขอความยินยอมของผู้ให้บริการนั้น ถึงแม้ลูกค้าซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลจะไม่ให้ความยินยอม ก็จะต้องยังสามารถใช้บริการของผู้ควบคุมข้อมูลส่วนบุคคลได้อยู่นั่นเอง

Cookie	Duration	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.