Consent คือ พื้นฐานของกฎหมาย GDPR กฎหมาย PDPA และกฎหมายคุ้มครองข้อมูลอื่น ๆ ซึ่งดูเป็นเรื่องที่ไม่ซับซ้อนเท่ากับขั้นตอนอื่น ๆ ตามข้อบังคับของกฎหมาย GDPR ทว่าความง่ายของ Consent ทำให้หลายครั้ง เรื่องนี้ก็กลายเป็นเรื่องที่หลายบริษัทมองข้าม และเริ่มกลายเป็นจุดอ่อนของหลายๆ บริษัท ไม่เว้นแม้แต่บริษัทเทคโนโลยีขนาดใหญ่อย่าง Amazon H&M หรือ Marriott ต่างก็ตกหลุมพรางของ Consent จนทำให้ถูกฟ้องร้อง ถูกสั่งปรับและทำให้สูญเสียรายได้ และสูญเสียความน่าเชื่อถือไปอย่างมหาศาล
ในบทความนี้เราจะหยิบยกกรณีของ Google LLC บริษัทเทคโนโลยีชื่อดัง ซึ่งถือว่าเป็นบริษัทแรกที่ถูก GDPR สั่งปรับด้วยจำนวนเงินมูลค่ามหาศาล เนื่องจากการละเมิดการขอความยินยอม บทความนี้เราจะมาทำความเข้าใจเรื่อง Consent หรือ การยื่นขอความยินยอม ได้กลายมาเป็นสาเหตุของการฟ้องร้องบริษัทใหญ่ระดับโลกได้อย่างไร Consent สำคัญแค่ไหนกับการทำธุรกิจ องค์กรไทยควรจัดการ Consent อย่างไร เรารวบรวมไว้ในบทความนี้แล้ว
Step One: Consent คืออะไร
ก่อนจะทำความเข้าใจกรณีการฟ้องร้องระหว่าง หน่วยงานคุ้มครองข้อมูลของฝรั่งเศส (CNIL) และ Google LLC ในบทความนี้ สิ่งที่เราอยากให้ท่านทราบก็คือ กฎหมาย GDPR กฎหมาย PDPA และ Consent
กฎหมายตัวแรกคือ GDPR หรือ General Data Protection Regulation หรือที่รู้จักในชื่อ กฏหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป อีกหนึ่งกฎหมายที่จะถูกกล่าวถึงเป็นอันดับสองรองจาก GDPR คือ กฎหมาย PDPA (Personal Data Protection Act) หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นกฎหมายของประเทศไทย
เข้าใจความเหมือนและความแตกต่างระหว่าง GDPR และ PDPA ได้ที่นี่
ความหมายของ Consent ในกฎหมาย GDPR ของสหภาพยุโรป และ Consent ในกฎหมาย PDPA ของไทย มีความแตกต่างกันน้อยมาก เรียกว่าแทบจะเป็นฝาแฝดกันเลยทีเดียว ซึ่งเป็นเพราะกฎหมาย GDPR เป็นกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ที่มีประกาศใช้เป็นฉบับแรก ๆ ต่อมากฎหมายอื่นๆ ก็ทยอยถือกำเนิดขึ้นจากการใช้กฎหมาย GDPR ของสหภาพยุโรปเป็นแม่แบบ และใช้เป็นหลักการอ้างอิงในการร่างกฎหมายท้องถิ่นในหลายๆ ประเทศ
ความคล้ายคลึงกันของนิยามเรื่อง Consent ในกฎหมาย GDPR และ PDPA ใจความของ Consent ในกฎหมาย GDPR คือความยินยอมให้ทำการประมวลผลข้อมูลส่วนบุคคล ทั้งการเก็บ-ใช้- ถ่ายโอน หากองค์กร เว็บไซต์ หรือแอปลิเคชันต้องการเก็บ-ใช้- ถ่ายโอน ข้อมูลส่วนบุคคลจะต้องมีการยื่นขอคำยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนเสมอ
ใจความของ Consent ในกฎหมาย PDPA คือ การขออนุญาตหรือขอคำยินยอมในการเก็บ รวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลจากเจ้าของข้อมูล เพื่อนำข้อมูลส่วนบุคคลนั้นๆ ไปประมวลผล หรือนำไปเปิดเผยไม่ว่าวัตถุประสงค์ใดก็ตาม
อ่านเพิ่มเติมเกี่ยวกับ Consent
การขอ Consent คือด่านปราการแรก ที่ทุกองค์กรต้องดำเนินการหากมีความต้องการที่จะเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล โดยมีฐานการขอความยินยอมหรือขอ Consent จากเจ้าของข้อมูล คือ
ต้องขอความยินยอมก่อนที่จะมีการประมวลผลข้อมูล ต้องมีการขอและต้องได้รับการยินยอมก่อนการเก็บรวบรวม ใช้ หรือเผยแพร่เสมอ
ความยินยอมต้องไม่เป็นเงื่อนไขในการให้บริการ ความยินยอมจะไม่เท่ากับการปฏิบัติตามสัญญาหรือปฎิบัติข้อกำหนดในการใช้บริการ
ความยินยอมต้องอยู่แยกส่วนกับเงื่อนไขการใช้บริการ การขอความยินยอมจะต้องไม่แสร้งว่าเป็นส่วนหนึ่งของสัญญา หรือไม่เป็นข้อบังคับว่าหากไม่ให้ความยินยอมแล้วจะไม่ได้รับสินค้าหรือบริการ
องค์กร หรือ ผู้ควบคุมข้อมูลต้องชี้แจงประโยชน์ที่จะเกิดขึ้นแก่ตนและเจ้าของข้อมูลส่วนบุคคล หากได้รับความยินยอม เช่น ประสบการณ์ในการใช้บริการที่สะดวกมากขึ้น ลดขั้นตอนในการตรวจสอบตัวตน ฯลฯ
วัตถุประสงค์ของการประมวลผลข้อมูลต้องเฉพาะเจาะจง ไม่สามารถแต่งเติมวัตถุประสงค์ใหม่เองได้โดยไม่ได้รับความยินยอม
จำเป็นต้องออกแบบช่องทางเพื่อรองรับ สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right) เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะปฎิเสธการให้ความยินยอม เพิกถอนความยินยอม การขอความยินยอมและการถอนความยินยอมจะต้องได้รับความสะดวกเทียบเท่ากัน
เนื้อหาของการขอความยินยอมต้องชัดเจน ไม่คลุมเครือ ชัดเจนและเข้าใจง่าย เนื้อหาจะต้องประกอบด้วย
วัตถุประสงค์ของการประมวลผล
ประเภทข้อมูลที่จะถูกเก็บรวบรวมและใช้
วิธีการประมวลผลข้อมูล
การเปิดเผยข้อมูลต่อบุคคลอื่น
ระยะเวลาในการจัดเก็บ
วิธีการถอนความยินยอม
สิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคล
Consent, Consent Form, Consent Management
เมื่อการขอ Consent กลายเป็น First Priority ที่องค์กรต้องดำเนินการ สิ่งที่ต้องมีคือ Consent Form ซึ่งทำหน้าที่เป็น Channel ที่องค์กรใช้สำหรับยื่นขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เป็นช่องทางที่แจ้งรายละเอียดเกี่ยวกับ เนื้อหาของการขอความยินยอม ครอบคลุมเรื่อง วัตถุประสงค์ของการประมวลผล, ประเภทข้อมูลที่จะถูกก็บรวบรวมและใช้, วิธีการประมวลผลข้อมูล, การเปิดเผยข้อมูลต่อบุคคลอื่น, ระยะเวลาในการจัดเก็บ, วิธีการถอนความยินยอม รวมถึงช่องทางสำหรับถอนความยินยอม ซึ่ง Consent Form จะอยู่ในรูปเอกสาร หรือระบบอิเล็กทรอนิกส์ เช่น Google Form ก็ได้
เมื่อมีความต้องการที่จะขอ Consent และมี Consent Form หรือช่องทางสำหรับขอ Consent แล้ว สิ่งที่จำเป็นต้องมีอีกคือ Consent Management หรือระบบที่ดูแล จัดการเกี่ยวกับ Consent ทั้งหมด Consent Management จะเป็นช่องทางรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right)
อ่านรายละเอียดเพิ่มเติมเรื่อง Data Subject Right
ตามที่กฎหมาย PDPA ได้ให้สิทธิแก่เจ้าของข้อมูลในการร้องขอให้ผู้ควบคุมข้อมูลดำเนินการตามสิทธิที่ร้องขอ ตามกฎหมายมาตรา 30
สิทธิของเจ้าของข้อมูลมีทั้งหมด 7 ข้อ ดังนี้
หลังจากเข้าใจสาระสำคัญของ Consent แล้ว หัวข้อถัดจากนี้ เราจะเข้าสู่การวิเคราะห์กรณีการฟ้องร้องระหว่าง หน่วยงานคุ้มครองข้อมูลของฝรั่งเศส (CNIL) และ Google LLC
เกิดอะไรขึ้นกับ Google
ในปี 2019 หน่วยงานคุ้มครองข้อมูลของฝรั่งเศส สั่งปรับ Google เป็นเงินจำนวนกว่า 57 ล้านดอลลาร์ (ราว 1,880 ล้านบาท) ฐานกระทำผิดต่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป (GDPR) ใน 2 ประเด็นคือ
กระบวนการขอความยินยอม มีความไม่โปร่งใสเนื่องจาก Google ไม่สามารถชี้แจงรายละเอียด ต่อผู้ใช้ ว่าได้เก็บข้อมูลส่วนบุคคลในรูปแบบใด และนำข้อมูลไปใช้ประโยชน์อย่างไรบ้าง ในขั้นตอนการกำหนดค่าต่างๆบนระบบ Android และการสร้างบัญชี Google
- ทำการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการโฆษณา โดยที่เจ้าของข้อมูลส่วนบุคคลไม่ยินยอม
ที่มาของทั้งสองประเด็นนี้ มาจากการร้องเรียนของ 2 หน่วยงาน คือ
None Of Your Business (NOYB): NOYB ยื่นเรื่องร้องเรียนไปที่ CNIL เมื่อวันที่ 25 พฤษภาคม 2018 โดยอ้างว่าผู้ใช้โทรศัพท์มือถือที่ใช้ระบบปฏิบัติการ Android ของ Google จำเป็นต้องยอมรับนโยบายความเป็นส่วนตัวและข้อกำหนดทั่วไปในการใช้บริการของ Google เพื่อใช้งานโทรศัพท์มือถือ
- La Quadrature du Net (LQDN): LQDN ยื่นคำร้องต่อ CNIL เมื่อวันที่ 28 พฤษภาคม 2018 โดยให้เหตุผลว่า Google ไม่ได้ปฎิบัตตนตามกฎหมายที่ถูกต้องในการประมวลผลข้อมูลส่วนบุคคลของผู้ใช้งานเพื่อวิเคราะห์พฤติกรรมและวัตถุประสงค์ในการโฆษณา
จากการสอบสวนในกรณีนี้ CNIL ได้เสนอแนะให้ Google ดำเนินการแก้ไขอย่างจริงจัง เพราะ Google เคยกระทำผิดเกี่ยวกับข้อมูลส่วนบุคคลมาแล้วถึง 3 ครั้ง ครั้งในช่วงไม่กี่ปีที่ผ่านมา: 2.4 พันล้านยูโร (2.7 พันล้านดอลลาร์) ในปี 2017 ที่เกี่ยวข้องกับการค้นหา, 4.3 พันล้านยูโร (5 พันล้านดอลลาร์) ในปี 2018 ที่เกี่ยวข้องกับระบบ Android และ 1.5 พันล้านยูโร (1.7 พันล้านดอลลาร์) ในปี 2019 ที่เกี่ยวข้องกับ AdSense
Google จัดการเรื่องนี้อย่างไร
หากพิจารณาตามข้อกฎหมาย GDPR กรณีของ Google อาจมีความคล้ายคลึงกับกรณีของ Grindr ที่ได้กระทำผิดในฐานละเมิด ความชอบด้วยกฎหมายของการประมวลผลข้อมูล มาตรา 6 (1) ซึ่งมีใจความว่า การประมวลผลจะชอบด้วยกฎหมาย ก็ต่อเมื่อ ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล การประมวลผลนั้นเป็นไปตามสัญญา การประมวลผลนั้นจำเป็นต่อการคุ้มครองผลประโยชน์ที่เกี่ยวข้องกับชีวิตของเจ้าของข้อมูล หรือผู้อื่น การประมวลนั้นเป็นไปเพื่อประโยชน์ของสาธารณะ ฯลฯ
หลังรับทราบบทลงโทษ ทาง Google ยังไม่ได้ชี้แจงอะไรเพิ่มเติม ในทันที นอกจากออกมาแถลงว่ากำลังพิจารณาว่าจะดำเนินการอย่างไรต่อไป ทาง Google ยืนยันว่าพร้อมจะปรับเปลี่ยนเพื่อให้เป็นไปตามกฎหมาย
ต่อมา เมื่อวันที่ 16 พฤษภาคม 2019 Google ได้ยื่นอุทธรณ์ต่อศาลปกครองสูงสุดของฝรั่งเศส (Conseil d’Etat) ด้วยการอธิบายเหตุผลต่าง ๆ เกี่ยวกับกรณีที่เกิดขึ้น และขอศาลปกครองสูงสุดของฝรั่งเศส ส่งต่อเรื่องนี้ไปยังศาลยุติธรรมแห่งยุโรป เพื่อพิจารณาคดีเบื้องต้นและดำเนินคดีต่อไป ศาลปกครองสูงสุดของฝรั่งเศสปฏิเสธที่จะยื่นอุทธรณ์ดังกล่าวต่อศาลยุติธรรมแห่งยุโรป และในวันที่ 19 มิถุนายน 2020 ศาลได้ตัดสินตามที่ CNIL กำหนดไว้คือปรับ Google เป็นจำนวนเงินมหาศาล คือราวๆ 50 ล้านยูโร ทำให้ Google กลายเป็นบริษัทแรกที่ถูกสั่งปรับ ภายหลังจากการบังคับใช้ GDPR อย่างเป็นทางการในปี 2018
ใส่ใจจัดการ Consent ให้ถูกหลักกฎหมาย ถ้าไม่อยากซ้ำรอย Google
หากองค์กร หรือผู้ควบคุมข้อมูลส่วนบุคคล ต้องการประมวลผลข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการรวบรวม ใช้หรือเผยแพร่ หรือกิจกรรมอื่นใดที่สัมผัสกับกับข้อมูลส่วนบุคคล จำเป็นต้องขอ Consent ก่อนทุกครั้ง เมื่อมีการเก็บรวบรวม Consent ก็จำเป็นต้องมีระบบจัดการ Consent หรือ Consent Management เพื่อให้สามารถเรียกใช้ Consent สะดวกยิ่งขึ้น และรองรับการใช้สิทธิตามกฎหมายของเจ้าของข้อมูลส่วนบุคคลตามที่กล่าวไปข้างต้น
สำหรับบริษัทเทคโนโลยีขนาดใหญ่อย่าง Google LLC ซึ่งมีสำนักงานอยู่ในทวีปต่าง ๆ และมีการจัดเก็บ Consent ของผู้ใช้บริการ รวมถึงข้อมูลส่วนบุคคลของพนักงานภายในบริษัทจำนวนมาก นอกจาก Google LLC แล้ว บริษัทขนาดใหญ่หรือองค์กรอื่นที่มีการเก็บข้อมูลส่วนบุคคลของผู้ใช้งาน จำเป็นอย่างยิ่งที่ต้องมีการทำความเข้าใจเกี่ยวกับการขอความยินยอม หรือ Consent ทั้งที่เป็นนิยามในเชิงกฎหมาย และระบบที่เกี่ยวข้องกับ Consent
จัดการ Consent จำนวนมหาศาลอย่างไรดี?
หากองค์กรของท่าน เป็นองค์กรที่มีกิจกรรมเกี่ยวกับ Consent เกิดขึ้นบ่อยครั้ง ไม่ว่าจะเป็นการยื่นขอความยินยอม การเพิกถอนความยินยอม หรือกิจกรรมที่เกี่ยวข้องกับการขอความยินยอม เช่น Cookie Consent สิ่งที่ควรมีเพื่อรองรับ Consent จำนวนมหาศาล คือ Consent Management ที่ง่ายต่อการเข้าถึงจากผู้ที่รับผิดชอบโดยตรง เพื่อรองรับการขอใช้สิทธิของเจ้าของข้อมูล
การใช้สิทธิของเจ้าของข้อมูล อาจมาในรูปของการขอแก้ไขข้อมูลที่เคยให้คำยินยอม ผู้ควบคุมข้อมูลต้องมีระบบรองรับ สำหรับตรวจสอบว่าเจ้าของข้อมูลได้ให้ Consent ไว้ในวัตถุประสงค์อะไรบ้าง หรือให้ Consent แก่องค์กรไว้ทั้งหมดกี่ข้อ การมีข้อมูลที่บ่งบอกว่าเจ้าของข้อมูลได้ให้ Consent อะไรไว้บ้าง จะง่ายต่อการแจ้งการระงับผลประโยชน์หากเจ้าของข้อมูลมีการถอน Consent เป็นต้น นอกจากการจัดการ Consent Management แล้ว สิ่งที่ต้องมีเพิ่มเติม สำหรับองค์กรใหญ่ที่มีการทำการตลาด คือ การจัดการ Cookie Consent
จัดการ Cookie Consent
กฎหมาย GDPR มีการบังคับใช้ให้มีการติดตั้ง Cookie Consent บนเว็บไซต์ ดังนั้นเมื่อใดที่เจ้าของเว็บไซต์จะเก็บ Cookie จำเป็นต้องบอกผู้ใช้งาน และต้องขอความยินยอมจากเจ้าของข้อมูล ด้วยเหตุนี้เมื่อเข้าใช้งานหน้าเว็บไซต์ เราจึงพบเห็นหน้าต่างคุกกี้ปรากฎขึ้นมาบนหน้าจอ เพื่อให้กดยอมรับ ปฏิเสธ หรือเลือกยอมรับ Cookie ตามความสมัครใจ
สำหรับองค์กรที่มีการเก็บข้อมูลผู้ใช้งานบนหน้าเว็บไซต์ เพื่อวัตถุประสงค์ทางการตลาด จำเป็นอย่างยิ่งที่ต้องใส่ใจดำเนินการเรื่อง Cookie Consent เพราะ Cookie ที่รวบรวมพฤติกรรมการใช้งาน IP Address หรือข้อมูลอื่นๆ ของผู้ใช้งาน ถือเป็น Personal Data ประเภทหนึ่งที่อยู่ภายใต้การคุ้มครองของกฎหมาย แม้จะไม่สามารถระบุข้อมูลสำคัญของเจ้าของข้อมูลได้ชัดเจนมากนัก แต่การเก็บรวบรวม Cookie ของบุคคลหนึ่งไว้อย่างสม่ำเสมอ หรือนำข้อมูลจาก Cookie ไปใช้ประมวลผล ก็ถือเป็นกิจกรรมที่ต้องพึงระวัง ดังนั้นการดำเนินการเกี่ยวกับ Cookie Consent ให้สอดคล้องกับ GDPR และ PDPA จะช่วยให้เว็บไซต์น่าเชื่อถือมากขึ้น อีกทั้งช่วยให้กิจกรรมการใช้ข้อมูลเพื่อเป้าหมายทางการตลาด มีฐานอ้างอิงที่น่าเชื่อถือ
จรรยาบรรณในการประมวลผลข้อมูล
จากกรณีที่ GDPR ดำเนินการฟ้องร้ององค์กรขนาดใหญ่ ทั้งกรณีของ Google (2019) ตามมาด้วย Tim – Telecom Italia (2020) H&M (2020) Marriott International Hotels (2020) Grindr (2021) และบริษัทรายใหญ่รายล่าสุดที่ถูกสั่งปรับคือ Amazon รายชื่อบริษัทเหล่านี้ล้วนเคยถูก GDPR สอบสวนและสั่งปรับทั้งสิ้น แม้ฐานความผิดจะไม่เหมือนกัน ทว่าประเด็นหลักที่บริษัทเหล่านี้มักทำผิดพลาด ก็คือ การประมวลผลข้อมูลส่วนบุคคล นอกเหนือขอบเขตวัตถุประสงค์ที่กำหนด ซึ่งตามกฎหมายแล้ว จะกระทำมิได้หากไม่ได้รับความยินยอมจากเจ้าของข้อมูล บทเรียนจากองค์กรเหล่านี้คือเรื่องความบกพร่องทางจรรยาบรรณในการประมวลผลข้อมูลส่วนบุคคล
องค์กรมักตีความ Consent ว่าเป็นการอนุญาตให้สามารถกระทำการใด ๆ กับข้อมูลส่วนบุคคลได้ ซึ่งความเป็นจริงตามหลักการทางกฎหมาย ได้ระบุไว้ชัดเจนว่า ผู้ควบคุมข้อมูลส่วนบุคคล จะดำเนินการรวบรวม ใช้ เผยแพร่ ข้อมูลส่วนบุคคลได้เท่าที่ระบุไว้ในวัตถุประสงค์ ตามที่ปรากฎใน Consent Form เท่านั้น ไม่สามารถดำเนินการตามอำเภอใจ และไม่สามารถดำเนินการเกินขอบเขตที่กำหนดได้ การประมวลผลข้อมูลส่วนบุคคลที่นอกเหนือจากความยินยอม จำเป็นต้องมีการยื่นขอความยินยอมใหม่เสมอ
ด้วยเหตุนี้ องค์กรจะต้องมีความเข้าใจและตระหนักรู้ถึงขอบเขตการประมวลผลข้อมูลส่วนบุคคล ซึ่งสามารถสรุปเป็นจรรยาบรรณได้ตามประเด็นต่อไปนี้
การร่าง Consent Form จะต้องคำนึงถึงความจำเป็นในการใช้ข้อมูล ไม่เก็บรวบรวมข้อมูลเกินความจำเป็น
เมื่อได้รับความยินยอมจากเจ้าของข้อมูล หรือได้รับ Consent มาแล้ว หากต้องการนำข้อมูลไปประมวลผล จะต้องมีจรรยาบรรณในการประมวลผลตามวัตถุประสงค์ที่แจ้งต่อเจ้าของข้อมูล ไม่บิดเบือน ไม่กระทำการนอกเหนือวัตถุประสงค์
ไม่ส่งต่อข้อมูลส่วนบุคคลให้กับบุคคลที่สามโดยปราศจากความยินยอมของเจ้าของข้อมูล
- เมื่อได้รับความยินยอมจากเจ้าของข้อมูล ให้รวบรวมข้อมูลส่วนบุคคลไว้ในฐานข้อมูลขององค์กร จะต้องมีการดูแลและพิทักษ์ความปลอดภัยของข้อมูลนั้นๆ ไม่ให้รั่วไหลหรือเสี่ยงต่อการถูกโจรกรรม
องค์กรจะต้องแจ้งประกาศความเป็นส่วนตัว (Privacy Notice) ต่อเจ้าของข้อมูล เพื่อเป็นหลักประกันว่าข้อมูลที่รวบรวมมานั้น จะอยู่ภายใต้การคุ้มครองขององค์กร เป็นหลักประกันว่าเจ้าของข้อมูล สามารถไว้วางใจองค์กรในขั้นตอนการเก็บ ใช้ เผยแพร่ข้อมูลส่วนบุคคล หรือกิจกรรมอื่นใดที่เกี่ยวข้องได้
เมื่อพ้นระยะเวลาการจัดเก็บข้อมูล ตามที่ได้แจ้งต่อเจ้าของข้อมูลแล้ว จะต้องดำเนินการลบข้อมูลจากฐานข้อมูลขององค์กร ไม่เก็บรักษาต่อ หรือไม่ส่งต่อให้บุคคลที่ 3
- อื่น ๆ ตามบริบทขององค์กร
สรุปความสำคัญของ Consent
หากองค์กรของท่านยังต้องพึ่งพาข้อมูล (Data) เพื่อใช้เป็นแหล่งพลังงานในการขับเคลื่อนองค์กร ขับเคลื่อนแคมเปญ ใช้เป็นข้อมูลในการพัฒนาผลิตภัณฑ์และบริการ สิ่งที่ต้องให้ความสำคัญเป็นอันดับแรกคือ Consent เพราะก่อนที่จะได้ Data จะต้องเกิดจากการรวบรวมข้อมูล การรวบรวมข้อมูลจะทำได้ก็ต่อเมื่อได้รับความยินยอม ดังนั้นความยินยอมจึงเป็นเรื่องพื้นฐาน ที่องค์กรจะต้องมีกลยุทธ์และวิธีการจัดการที่ดีพอ แล้วจึงดำเนินการส่วนอื่นๆ เพิ่มเติม อาทิ การประกาศความเป็นส่วนตัว (Privacy Notice) อันหมายถึง คำประกาศถึงเจ้าของข้อมูลที่กล่าวถึงวิธีการจัดเก็บ ประมวลผล รักษา และทำลายข้อมูลส่วนบุคคล ซึ่งในบางครั้งก็สามารถเรียกอีกชื่อนึงว่า “นโยบายความเป็นส่วนตัว” หรือ นโยบายการประมวลผลข้อมูลส่วนบุคคล และมีระบบ Consent Management เป็นหนึ่งในการดำเนินการที่องค์กรต้องมีด้วย
หากองค์กรของท่าน ไม่มีความจำเป็นต้องพึ่งพา Data แต่เป็นแพลตฟอร์มให้บริการ ที่มีปริมาณลูกค้าที่จำเป็นต้องขอ Consent เป็นจำนวนมากในแต่ละวัน และมีกิจกรรมที่เกี่ยวข้องกับการขอความยินยอมในการประมวลผลข้อมูลของผู้ใช้งาน จำเป็นต้องให้ความสำคัญกับประกาศความเป็นส่วนตัว (Privacy Notice) และระบบ Consent Management เพื่อรองรับการใช้สิทธิของเจ้าของข้อมูล และจัดการกับ Consent ที่เข้า-ออก ในแต่ละวัน
หากองค์กรของท่าน ไม่ได้มีกิจกรรมที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของผู้ใช้งาน แต่เป็นบริษัทขนาดใหญ่ที่มีพนักงานจำนวนมาก มีการส่งต่อข้อมูลของพนักงานภายในบริษัทให้กับบุคคลที่สาม เช่น หน่วยงานประกันสังคม บริษัทประกัน ฯลฯ มีการเก็บข้อมูลส่วนบุคคลของพนักงานไว้ในฐานข้อมูลขององค์กร เหล่านี้ถือว่าเป็นกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล จำเป็นต้องมีการขอ Consent และ ต้องประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ซึ่งเป็นข้อตกลง หรือคำแถลงการเกี่ยวกับแนวทางการจัดเก็บ รวบรวม และใช้งานข้อมูลส่วนบุคคลคนภายในองค์กร หรือหน่วยงาน
กล่าวโดยสรุป หากองค์กร หรือผู้ควบคุมข้อมูลส่วนบุคคล ต้องการประมวลผลข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการรวบรวม ใช้หรือเผยแพร่ หรือกิจกรรมอื่นใดที่สัมผัสกับข้อมูลส่วนบุคคล จำเป็นต้องขอ Consent ก่อนทุกครั้ง และต้องพึงระลึกไว้เสมอว่า การให้ความยินยอม ไม่เท่ากับ การอนุญาตให้ประมวลผลข้อมูลส่วนบุคคลตามอำเภอใจ การให้ความยินยอม ไม่เท่ากับการอนุญาตให้ดำเนินการใด ๆ นอกเหนือขอบเขตและวัตถุประสงค์
และแม้ว่าจะได้รับความยินยอมในการประมวลผลข้อมูลส่วนบุคคลแล้ว กิจกรรมใดๆ ที่เกิดขึ้นจะต้องคำนึงถึงผลลัพท์จากการกระทำขององค์กร คำนึงถึงชื่อเสียง ความน่าเชื่อถือขององค์กรควบคู่กับการคำนึงถึงจรรยาบรรณในการประมวลผลข้อมูลส่วนบุคคล ทั้งหมดนี้ จะช่วยลดความเสี่ยง ในการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อไม่ให้ซ้ำรอย Google ได้
