Consent Management (ระบบบริหารจัดการข้อมูลส่วนบุคคล) คืออะไรในกฎหมาย PDPA

สำหรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่จะบังคับใช้ เร็ว ๆ นี้ สิ่งนึงที่ทำให้องค์กรหรือหน่วยงานต่าง ๆ เริ่มจัดทำคงหนีไม่พ้นเรื่องของ Consent หรือ ความยินยอม ที่ได้ระบุไว้ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA มาตรา 19 ความว่า

“ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น  เว้นแต่บทบัญญัติ แห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้”

ซึ่งพอจะสรุปได้ว่าเมื่อองค์กรหรือหน่วยงานต้องการที่จะใช้ข้อมูลส่วนบุคคลของผู้อื่นก็ต้องขออนุญาตก่อนจากเจ้าของข้อมูลส่วนบุคคลก่อน แต่ก่อนอื่นที่จะลงมือดำเนินการจัดการความยินยอม ต้องเข้าใจและแยกแยะให้ได้ก่อนว่า ข้อมูลส่วนบุคคล คืออะไร? มีประเภทของมันหรือไม่?

---

ข้อมูลส่วนบุคคลคืออะไร มีกี่ประเภท แบบไหนเรียกว่าเป็นข้อมูลส่วนบุคคล ? 

ตามกฎหมาย PDPA แล้ว ข้อมูลส่วนบุคคล คือ ชื่อ ที่อยู่ เบอร์โทร หรือแม้กระทั่งวันเกิดของบุคคลหนึ่ง ๆ ซึ่งให้ความหมายในทางกฎหมายว่า ข้อมูลส่วนบุคคล คือข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าจะทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ โดยข้อมูลส่วนบุคคลนี้มีประเภทด้วย เราสามารถแบ่งประเภทของข้อมูลส่วนบุคคลได้ดังนี้

1. ข้อมูลส่วนบุคคลทั่วไป เป็นข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม อาทิเช่น ชื่อนามสกุล เลขบัตรประจำตัวประชาชน เลขใบขับขี่ หรือในทะเบียนผู้ถือหุ้น เป็นต้น
2. เป็นข้อมูลส่วนบุคคลอ่อนไหว เป็นข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา ปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ หรือถ้าพูดง่าย ๆ คือ เป็นข้อมูลส่วนบุคคลซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลโดยตรง หากรั่วไหล หรือเปิดเผยอาจจะทำให้ผู้อื่นเกิดความเสียหาย ทั้งเสียหายในเรื่องของเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอายนั่นเอง

ในเมื่อเราเข้าใจแล้วว่า “ข้อมูลส่วนบุคคล” สำคัญอย่างไร หากหลุดรั่วออกไปจะเกิดความเสียหายขนาดไหน ตอนนี้ก็ได้เวลาที่จะต้องมาดูกันว่าเราควรทำอย่างไรที่จะขอข้อมูลส่วนบุคคลนี้ได้อย่างถูกต้องตามหลัก PDPA

---

การขอความยินยอม (Consent) ให้ถูกต้องตามหลัก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA)

ตามกฎหมาย ได้ระบุไว้ว่า

“ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลและพูดให้ชัดคือองค์กรห้ามใช้ข้อมูลเราหรือเปิดเผยข้อมูลโดยไม่ได้รับความยินยอมจากลูกค้าหรือเจ้าของข้อมูลก่อน”

การขอความยินยอมให้ถูกต้องตามหลัก พ.ร.บ. เราต้องขอความยินยอมโดยวิธีที่ชัดเจน อาจจะแจ้งเป็นหนังสือ หรือทำโดยผ่านระบบอิเล็กทรอนิกส์ก็ได้ เว้นแต่โดยสภาพที่ไม่อาจจะขอความยินยอมโดยวิธีการดังกล่าวได้ โดยเงื่อนไขของการเตรียมในขอความยินยอมจะมีดังนี้

1. ต้องแจ้งวัตถุประสงค์ก่อนว่าวัตถุประสงค์ของการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลคืออะไร
2. ต้องขอความยินยอม โดยต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจนแบบมีข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ง่ายว่า เรามีการขอความยินยอมใช้ข้อมูลของคุณ 
3. ไม่ใช้คำกำกวม หรือคำที่ดูเป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์แล้วหลงเชื่อว่าคงไม่มีผลกระทบอะไรกับตัวเขา 

บางกรณีพิเศษที่ควรระวังหากขอข้อมูลส่วนบุคคลจากบุคคลกลุ่มนี้

• กรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์จะแบ่งเป็น 2 กรณีด้วยกัน ได้แก่
  – ในกรณีที่การให้ความยินยอมของผู้เยาว์ไม่ใช่การใด ๆ ซึ่งผู้เยาว์อาจให้ความยินยอม ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย
  – ผู้เยาว์ที่มีอายุไม่เกิน 10 ปี ให้ขอความยินยอมจากผู้ปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
• กรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถ การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าว ให้ขอความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ
• กรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าว ให้ขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ

---

ขอความยินยอมแล้วต้องมีช่องทางให้เจ้าของข้อมูลเรียกใช้สิทธิ์ด้วย

ตัวกฎหมายได้ระบุไว้ว่า ถ้าเราได้ขอความยินยอมจาก Data Subject มาแล้ว เราก็ต้องมีช่องทางให้เขาได้เรียกใช้สิทธิ์ด้วย ซึ่งสิทธิ์นั้นอาจจะเป็นการเพิกถอนหรือการใช้สิทธิ์ของตัวเองในการขอเข้าถึงหรือแก้ไขด้วย การเรียกใช้สิทธิ์นี้ต้องให้เจ้าของข้อมูลสามารถทำได้ตลอดเวลา โดยต้องมีขั้นตอนที่เข้าใจง่าย ไม่ซับซ้อน ไม่ยากกว่าตอนที่เราไปขอความยินยอม Data Subject เลย

ถ้าเป็นเรื่องของการขอความยินยอมจากเจ้าของข้อมูลแล้ว นอกจากที่องค์กรที่ใช้ข้อมูลนี้จะต้องแจกแจงถึงวัตถุประสงค์ในการขอแล้ว ก็จะต้องแจกแจงถึงวิธีการถอนความยินยอมให้แก่เจ้าของข้อมูล เพื่อให้เจ้าของข้อมูลทราบด้วยว่าเขามีสิทธิ์ในข้อมูลของตัวเอง โดยสิทธิ์ของเจ้าของข้อมูลมีดังนี้

1. เจ้าของข้อมูลส่วนบุคคลมีสิทธิ์ขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตัวเองซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล
2. สามารถเพิกถอนได้ตลอดเวลา โดยขั้นตอนต้องเข้าใจง่าย ไม่ยากไปกว่าขั้นตอนการขอความยินยอม
3. เมื่อองค์กรได้รับคำขอการเพิกถอนแล้วต้องแจ้งผลกระทบต่อ Data Subject เพราะเมื่อถอนความยินยอมจะส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใดเรื่องหนึ่ง ก็ต้องแจ้งถึงผลกระทบนั้นก่อนในการถอนคำยินยอม อธิบายง่าย ๆ คือเราต้องแจ้งลูกค้าด้วยว่าถ้าเขาถอนคำยินยอม ผลกระทบที่จะเกิดขึ้นแก่ตัวเองแต่ คือจะเสียผลประโยชน์หรือส่งผลกระทบอย่างไรบ้าง

---

ถ้าองค์กรมี Consent จำนวนมากต้องจัดการอย่างไร ?

มาถึงหัวข้อสำคัญสำหรับองค์กรที่มีการไหลเข้า-ออกของข้อมูลจำนวนมาก ในบางองค์กรหรือหน่วยงานมีปริมาณลูกค้าที่จำเป็นต้องขอ Consent เป็นจำนวนมากในแต่ละวัน นั่นทำให้คุณต้องเตรียมระบบที่จะรองรับ Consent ในปริมาณมหาศาล โดยระบบดังกล่าวต้องเปิดให้ผู้ที่เกี่ยวข้องเข้าถึงตัว Consent นั้นได้ตลอดเวลา เพราะว่าเจ้าของข้อมูลมีในโอกาสในการขอแจ้งสิทธิ์ตลอดเวลาเช่นกัน เราจำเป็นต้องมี Record หรือประวัติการให้ความยินยอม ที่สามารถเข้าถึงได้ตลอดเวลา

เหตุผลนึงก็คือกรณีที่เจ้าของข้อมูล อาจมีการขอแก้ไขข้อมูลที่เคยให้คำยินยอมเข้ามา เราต้องมีระบบรองรับสำหรับตรวจสอบว่า Data Subject ได้ให้ Consent ไว้ในวัตถุประสงค์อะไรบ้าง ให้ไว้กี่ Consent ด้วยกัน

และอีกหนึ่งเหตุผลที่สำคัญที่เราต้องรู้ว่าลูกค้าได้ให้ Consent ไว้ในวัตถุประสงค์อะไรบ้าง เพื่อที่องค์กรของคุณจะได้แจกแจงและชี้แจงลูกค้าได้ว่า Data Subject เคยให้วัตถุประสงค์อะไรไว้บ้าง หาก Data Subject ถอนความยินยอมวัน จะเสียผลประโยชน์ในวัตถุประสงค์อะไรไปบ้าง และจะเสียการให้บริการจากองค์กร หรือรับโปรโมชันอะไรใหม่ ๆ เป็นต้น โดยสุดท้ายสามารถบอกโดยสรุประหว่างผู้ประมวลผลข้อมูลหรือผู้เก็บข้อมูล หรือองค์กร ระหว่างลูกค้าหรือเจ้าของข้อมูลดังนี้

1. หากเจ้าของข้อมูลขอสำเนาหรือลูกค้าขอสำเนา เราต้องแจกแจงให้ครบว่าเราเก็บอะไรบ้าง รวมทั้งที่ใช้งานและไม่ได้ใช้งาน 
2. หากทางลูกค้าหรือเจ้าของข้อมูล ขอแก้ไขข้อมูลหรือลบจะต้องตรวจสอบวัตถุประสงค์ก่อนว่าสามารถดำเนินการได้ทันทีไหม แล้วก็ต้องชี้แจงถึงผลกระทบผม
3. เราต้องทราบถึงสถานที่เก็บข้อมูลส่วนบุคคลของลูกค้าว่าตั้งแต่รับมา เราได้เก็บที่ไหนบ้างส่งต่อที่ไหนบ้าง แล้วก็ใช้งานที่ไหนบ้าง เผื่อกรณีแก้ไขและลบ เราจะได้ทำถูกต้องและครบถ้วนทุกโปรเซสไม่มีหลงเหลือไว้ เพราะว่ากรณีที่เขาขอแก้ไขหากเราแก้ไม่หมดทุกที่ Process จะกลายเป็นว่าข้อมูลแต่ละที่ก็จะไม่เหมือนกัน และกรณีขอลบสำคัญเลยลูกค้าขอถอนไป แล้วเราถอนไม่ครบทุกโปรเซส อาจทำให้เกิดปัญหาตามมาได้ ทำ
4. สุดท้ายเราต้องมีการบันทึกการประมวลผลข้อมูลส่วนบุคคล คือเราต้องมีผังการไหลของข้อมูลเลยว่าเรารับมาจากที่ไหนสมมติรับจากเว็บไซต์ใช่ไหมเราก็ต้องบอกว่าเว็บไซต์ไปเก็บที่ไหนแล้วก็ส่งต่อไปให้แผนกไหนใช้งานได้บ้างหรือมีระยะเวลาจัดเก็บหรือทำลายเท่าไหร่คะอันนี้ต้องระบุหมดเลยตั้งแต่ต้นทางถึงปลายทาง

ท้ายที่สุดแล้ว Consent หรือความยินยอมและสิ่งที่สำคัญที่สุดเลยก็คือหนึ่งคือเจ้าของข้อมูลต้องมีอิสระ และทำโดยความสมัครใจต้องมีความชัดเจนชัดแจ้งถึงข้อมูลและวัตถุประสงค์ที่จะถูกนำไปใช้งานรวมถึงมีช่องทางในการเข้าถึงและเพิกถอนความยินยอมให้เจ้าของข้อมูลอีกด้วยซึ่งผมคิดว่าสำหรับใครที่อ่านมาจนถึงตรงนี้แล้ว คงเข้าใจแล้วว่าการจัดการในเรื่อง Consent หรือความยินยอมนั้นมีความยุ่งยากไม่มากก็น้อย ฉะนั้นการที่มีเทคโนโลยี หรือ เครื่องมือเข้ามาช่วยเหลือ จะสามารถจัดการดูแลจัดการความยินยอมให้เป็นระบบได้ง่ายขึ้นตั้งแต่ step การเก็บ Record เลยว่าวันนี้มีลูกค้าให้ความยินยอมกี่คน และก็ให้ในวัตถุประสงค์อะไรบ้างแล้วก็มีช่องทางในการขอใช้สิทธิ์เข้ามาว่าอาจมีลูกค้าได้ให้ขอใช้สิทธิ์เข้ามาแล้วข้อมูลของให้เก็บอยู่ที่ไหนบ้างสุดท้ายแล้วก็จะเป็นการทำ Data Mapping ว่าข้อมูลได้มาแล้วต้นทางมาจากไหนแล้วก็ไปต่อที่ไหนบ้าง