การขอความยินยอม หรือ Consent เป็นอีกหนึ่งหลักการหลักของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act) ที่สำคัญมาก ๆ มีไว้เพื่อขอความยินยอมจากเจ้าของข้อมูลเพื่อประมวลผลข้อมูลส่วนบุคคลซึ่งอาจดูเหมือนว่าจะทำง่าย แต่จริง ๆ แล้วมีรายละเอียดที่ซับซ้อน
ในบทความนี้เรามาดูรายละเอียดกันว่า หนังสือขอความยินยอม คืออะไร มีบทบาทอย่างไร และรายละเอียดมีอะไรบ้างที่ต้องปฏิบัติตาม
การขอ Consent คืออะไร
Consent ในกฎหมาย PDPA คือ การขออนุญาตหรือขอคำยินยอมในการเก็บ รวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลจากเจ้าของข้อมูล เพื่อนำข้อมูลส่วนบุคคลนั้นๆ ไปประมวลผล หรือนำไปเปิดเผยไม่ว่าวัตถุประสงค์ใดก็ตาม ซึ่งการขอ Consent คือ ด่านปราการแรก ที่ทุกองค์กรต้องดำเนินการหากมีความต้องการที่จะเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล โดยมีฐานการขอความยินยอมหรือขอ Consent จากเจ้าของข้อมูล
Consent, Consent Form, Consent Management
เมื่อการขอ Consent กลายเป็น First Priority ที่องค์กรต้องดำเนินการ สิ่งที่ต้องมีคือ Consent Form ซึ่งทำหน้าที่เป็น Channel ที่องค์กรใช้สำหรับยื่นขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เป็นช่องทางที่แจ้งรายละเอียด ได้แก่ เนื้อหาของการขอความยินยอม ครอบคลุมเรื่อง วัตถุประสงค์ของการประมวลผล, ประเภทข้อมูลที่จะถูกก็บรวบรวมและใช้, วิธีการประมวลผลข้อมูล, การเปิดเผยข้อมูลต่อบุคคลอื่น, ระยะเวลาในการจัดเก็บ, วิธีการถอนความยินยอม รวมถึงช่องทางสำหรับถอนความยินยอม ซึ่ง Consent Form จะอยู่ในรูปเอกสาร หรือรูปแบบ Digital เช่น Google Form ก็ได้
เมื่อมีความต้องการที่จะขอ Consent และมี Consent Form หรือช่องทางสำหรับขอ Consent แล้ว สิ่งที่จำเป็นต้องมีอีกคือ Consent Management หรือระบบที่ดูแล จัดการเกี่ยวกับ Consent ทั้งหมด Consent Management จะเป็นช่องทางรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right)
เนื้อหาถัดไปเราจะพาไปเจาะลึกรายละเอียดของ Consent Form หรือ หนังสือขอความยินยอม ให้มากยิ่งขึ้น
หนังสือขอความยินยอม คืออะไร
หนังสือขอความยินยอม คือ ข้อตกลงระหว่างเจ้าของข้อมูล (Data Subject) และองค์กร (Data Collector) เพื่อขออนุญาตการเก็บ และประมวลผลข้อมูลส่วนบุคคล ซึ่งใจความของ หนังสือขอความยินยอมจะต้องมีความชัดเจน ไม่คลุมเครือ และสามารถปฏิเสธได้
หากยังไม่รู้ว่าองค์กรของตัวเองเข้าข่ายกฎหมาย PDPA หรือไม่ สามารถอ่านได้จากบทความนี้ : ใครต้องทำ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล นะ?
ดังนั้น Consent จะมีบทบาทหน้าที่ที่สำคัญซึ่งจะช่วยให้องค์กรสร้างความน่าเชื่อถือต่อเจ้าของข้อมูลส่วนบุคคล (ลูกค้า) และสามารถดำเนินธุรกิจต่อไปได้นั่นเองครับ
เนื้อหาของ Consent มีอะไรบ้าง
- ชื่อองค์กรที่ต้องการขอความยินยอมในการประมวลผลข้อมูล
- วัตถุประสงค์ในการประมวลผลข้อมูล
- ประเภทของข้อมูลส่วนบุคคลที่จะดำเนินการ
- ระยะเวลาในการเก็บข้อมูลส่วนบุคคล
- Contact หรือช่องทางการเพิกถอนความยินยอม (ตัวอย่างเช่น ลิงก์ยกเลิกการสมัครที่ท้ายอีเมล)
Concept สำคัญในการออกแบบหนังสือขอความยินยอมให้มีความน่าเชื่อถือ
Concept ที่สำคัญในการทำหนังสือขอความยินยอมให้มีความน่าเชื่อถือ ในตัวกฎหมายระบุไว้ดังนี้
1. มีความอิสระ
การขอความยินยอม จะต้องมีความอิสระในการที่เจ้าของข้อมูลส่วนบุคคลสามารถยินยอม หรือไม่ยินยอมก็ได้ ที่สำคัญจะต้องแยกแยะกันระหว่างเงื่อนไข การใช้บริการ กับการประมวลผลให้ชัดเจน และคุณต้องได้รับความยินยอมแยกต่างหากสำหรับการดำเนินการประมวลผลข้อมูลแต่ละครั้ง ที่จุดประสงค์แตกต่างกัน
ยกตัวอย่างเช่น หากคุณต้องการที่อยู่อีเมลของพวกเขาเพื่อวัตถุประสงค์ทางการตลาด จะต้องให้รายละเอียดที่ว่าจุดประสงค์ทางการตลาดประกอบไปด้วยอะไรบ้าง เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถเลือกได้อย่างอิสระว่าจะยินยอมให้เก็บข้อมูล และประมวลผลในด้านไหนของวัตถุประสงค์ทางการตลาด เป็นต้น
2. ระบุเฉพาะเจาะจง
รายละเอียดในการยินยอมขอข้อมูลส่วนบุคคล จะต้องมีความชัดเจนว่าในแต่ละประเภทของข้อมูลส่วนบุคคลจะเอาไปใช้ทำอะไร เก็บไว้ที่ไหนบ้าง หากว่ารายละเอียดของ Form มีแต่ใช้ช่องทำเครื่องหมายคำยินยอมเพียงช่องเดียวในตอนท้ายเพียงอย่างเดียว ซึ่งจริง ๆ แล้วมันยังไม่เพียงพอที่จะ Comply เพราะฉะนั้นคุณต้องอธิบายกรณีการใช้ข้อมูลแต่ละกรณีแยกกันเพื่อเปิดโอกาสให้เจ้าของข้อมูลยินยอมให้แต่ละกิจกรรมเป็นรายบุคคล
3. Identity ขององค์กรที่ชัดเจน
หากองค์กรจะขอความยินยอมในการเก็บข้อมูลส่วนบุคคล ข้อมูลที่เกี่ยวกับองค์กรจะต้องมีความชัดเจน ไม่อย่างนั้นแล้ว เจ้าของข้อมูลก็จะไม่รู้ว่าเขาฝากข้อมูลไว้กับใคร และนอกจากนี้ภาษาที่ใช้ในหนังสือขอความยินยอม ควร ใช้ภาษาที่เข้าใจง่าย นั่นหมายความว่าไม่มีศัพท์ทางเทคนิคหรือทางกฎหมาย ทุกคนที่เข้าถึงบริการของคุณควรเข้าใจสิ่งที่คุณขอให้พวกเขายอมรับ
Cookie Consent
Cookie Consent ยังไม่ได้กำหนดไว้ในกฏหมาย PDPA ของไทยว่าต้องควบคุมและต้องจัดทำขึ้น แต่สำหรับ กฎหมาย GDPR มีการบังคับใช้ให้มีการติดตั้ง Cookie Consent บนเว็บไซต์ ดังนั้นเมื่อใดที่เจ้าของเว็บไซต์จะเก็บ Cookie จำเป็นต้องบอกผู้ใช้งาน และต้องขอ ความยินยอม จากเจ้าของข้อมูล ด้วยเหตุนี้เมื่อเข้าใช้งานหน้าเว็บไซต์ เราจึงพบเห็นหน้าต่างคุกกี้ปรากฎขึ้นมาบนหน้าจอ เพื่อให้กดยอมรับ ปฏิเสธ หรือเลือกยอมรับ Cookie ตามความสมัครใจ
สำหรับองค์กรที่มีการเก็บข้อมูลผู้ใช้งานบนหน้าเว็บไซต์ เพื่อวัตถุประสงค์ทางการตลาด (Marketing) จำเป็นอย่างยิ่งที่ต้องใส่ใจดำเนินการเรื่อง การจัดการ Cookie Consent เพราะ Cookie ที่รวบรวมพฤติกรรมการใช้งาน IP Address หรือข้อมูลอื่นๆ ของผู้ใช้งาน ถือเป็น Personal Data ประเภทหนึ่งที่อยู่ภายใต้การคุ้มครองของกฎหมาย แม้จะไม่สามารถระบุข้อมูลสำคัญของเจ้าของข้อมูลได้ชัดเจนมากนัก แต่การเก็บรวบรวม Cookie ของบุคคลหนึ่งไว้อย่างสม่ำเสมอ หรือนำข้อมูลจาก Cookie ไปใช้ประมวลผล ก็ถือเป็นกิจกรรมที่ต้องพึงระวัง ดังนั้นการดำเนินการเกี่ยวกับ Cookie Consent ให้สอดคล้องกับ GDPR และ PDPA จะช่วยให้เว็บไซต์น่าเชื่อถือมากขึ้น
Consent สำคัญต่อองค์กรอย่างไร
หากองค์กรของท่านยังต้องพึ่งพาข้อมูล (Data) เพื่อใช้เป็นแหล่งพลังงานในการขับเคลื่อนองค์กร ใช้เป็นข้อมูลในการพัฒนาผลิตภัณฑ์และบริการ สิ่งที่ต้องให้ความสำคัญเป็นอันดับแรกคือ Consent เพราะก่อนที่จะได้ Data จะต้องเกิดจากการรวบรวมข้อมูล การรวบรวมข้อมูลจะทำได้ก็ต่อเมื่อได้รับความยินยอม ดังนั้นความยินยอมจึงเป็นเรื่องพื้นฐาน ที่องค์กรจะต้องมีกลยุทธ์และวิธีการจัดการที่ดีพอ แล้วจึงดำเนินการส่วนอื่นๆ เพิ่มเติม เช่น การประกาศความเป็นส่วนตัว (Privacy Notice) หมายถึง คำประกาศถึงเจ้าของข้อมูลที่กล่าวถึงวิธีการจัดเก็บ ประมวลผล รักษา และทำลายข้อมูลส่วนบุคคล ซึ่งในบางครั้งก็สามารถเรียกอีกชื่อนึงว่า “นโยบายความเป็นส่วนตัว (Privacy Policy)” หรือ นโยบายการประมวลผลข้อมูลส่วนบุคคล และมี ระบบ Consent Management เป็นหนึ่งในการดำเนินการที่องค์กรต้องมีด้วย
นอกจากนี้องค์กรยังต้องไม่ลืมการทำ DPIA ควบคู่ไปด้วย เพื่อเป็นการประเมินผลกระทบและบรรเทาความเสี่ยง ด้านการคุ้มครองข้อมูลส่วนบุคคลให้อยู่ในระดับที่ยอมรับได้ รวมถึงช่วยให้สามารถออกแบบแผนเพื่อป้องกันและรับมือการละเมิดข้อมูล หรือเหตุข้อมูลรั่วไหลที่มาจากกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่สุ่มเสี่ยงได้
อ่านเพิ่มเติม เรื่อง DPIA ได้ที่ ทำความรู้จัก DPIA (Data Protection Impact Assessment) สำคัญต่อองค์กรอย่างไร? ควรริเริ่มและดำเนินการอย่างไรให้สำเร็จ
สรุปแล้วการขอ Consent ยากแค่ไหน ตาม PDPA
สรุปแล้วข้อกำหนดการยินยอมของ PDPA นั้นค่อนข้างเข้าใจง่าย แต่อาจนำไปใช้ได้ยาก คุณอาจจะเจออุปสรรคทางเทคนิคหรือปัญหา ดังนั้นในกรณีที่มีผู้ยินยอมให้ประมวลผลข้อมูลส่วนบุคคลของพวกเขาคุณสามารถประมวลผลข้อมูลตามวัตถุประสงค์ที่ได้รับความยินยอมเท่านั้นเพื่อลดปัญหาในการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
อ้างอิงเนื้อหาจาก https://gdpr.eu/gdpr-consent-requirements/
ติดตามเนื้อหาใหม่ ๆ ได้ที่ Facebook Fanpage: PDPA Platform By t-reg
หากมีข้อสงสัยเพิ่มเติมเกี่ยวกับการใช้งาน หรือสนใจใช้บริการของ t-reg
โทร 089-698-2591
รับชมบริการของเราได้ที่ t-reg.co
