fbpx

t-reg PDPA Platform

Consent Management ระบบบริหารจัดการข้อมูลส่วนบุคคล

Consent Management (ระบบบริหารจัดการข้อมูลส่วนบุคคล) คืออะไรในกฎหมาย PDPA

Share on facebook
Share on twitter
Share on linkedin
Share on facebook
Share on twitter
Share on linkedin

เนื้อหาในบทความ

สำหรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่จะบังคับใช้ เร็ว ๆ นี้ สิ่งนึงที่ทำให้องค์กรหรือหน่วยงานต่าง ๆ เริ่มจัดทำคงหนีไม่พ้นเรื่องของ Consent หรือ ความยินยอม ที่ได้ระบุไว้ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA มาตรา 19 ความว่า

“ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น  เว้นแต่บทบัญญัติ แห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้”

ซึ่งพอจะสรุปได้ว่าเมื่อองค์กรหรือหน่วยงานต้องการที่จะใช้ข้อมูลส่วนบุคคลของผู้อื่นก็ต้องขออนุญาตก่อนจากเจ้าของข้อมูลส่วนบุคคลก่อน แต่ก่อนอื่นที่จะลงมือดำเนินการจัดการความยินยอม ต้องเข้าใจและแยกแยะให้ได้ก่อนว่า ข้อมูลส่วนบุคค คืออะไร? มีประเภทของมันหรือไม่?


ข้อมูลส่วนบุคคลคืออะไร มีกี่ประเภท แบบไหนเรียกว่าเป็นข้อมูลส่วนบุคคล ? 

ตามกฎหมาย PDPA แล้ว ข้อมูลส่วนบุคคล คือ ชื่อ ที่อยู่ เบอร์โทร หรือแม้กระทั่งวันเกิดของบุคคลหนึ่ง ๆ ซึ่งให้ความหมายในทางกฎหมายว่า ข้อมูลส่วนบุคคล คือข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าจะทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ โดยข้อมูลส่วนบุคคลนี้มีประเภทด้วย เราสามารถแบ่งประเภทของข้อมูลส่วนบุคคลได้ดังนี้

  1. ข้อมูลส่วนบุคคลทั่วไป เป็นข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม อาทิเช่น ชื่อนามสกุล เลขบัตรประจำตัวประชาชน เลขใบขับขี่ หรือในทะเบียนผู้ถือหุ้น เป็นต้น
  2. เป็นข้อมูลส่วนบุคคลอ่อนไหว เป็นข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา ปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ หรือถ้าพูดง่าย ๆ คือ เป็นข้อมูลส่วนบุคคลซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลโดยตรง หากรั่วไหล หรือเปิดเผยอาจจะทำให้ผู้อื่นเกิดความเสียหาย ทั้งเสียหายในเรื่องของเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอายนั่นเอง

ในเมื่อเราเข้าใจแล้วว่า “ข้อมูลส่วนบุคคล” สำคัญอย่างไร หากหลุดรั่วออกไปจะเกิดความเสียหายขนาดไหน ตอนนี้ก็ได้เวลาที่จะต้องมาดูกันว่าเราควรทำอย่างไรที่จะขอข้อมูลส่วนบุคคลนี้ได้อย่างถูกต้องตามหลัก PDPA


การขอความยินยอม (Consent) ให้ถูกต้องตามหลัก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA)

ตามกฎหมาย ได้ระบุไว้ว่า

“ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลและพูดให้ชัดคือองค์กรห้ามใช้ข้อมูลเราหรือเปิดเผยข้อมูลโดยไม่ได้รับความยินยอมจากลูกค้าหรือเจ้าของข้อมูลก่อน”

การขอความยินยอมให้ถูกต้องตามหลัก พ.ร.บ. เราต้องขอความยินยอมโดยวิธีที่ชัดเจน อาจจะแจ้งเป็นหนังสือ หรือทำโดยผ่านระบบอิเล็กทรอนิกส์ก็ได้ เว้นแต่โดยสภาพที่ไม่อาจจะขอความยินยอมโดยวิธีการดังกล่าวได้ โดยเงื่อนไขของการเตรียมในขอความยินยอมจะมีดังนี้

  1. ต้องแจ้งวัตถุประสงค์ก่อนว่าวัตถุประสงค์ของการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลคืออะไร
  2. ต้องขอความยินยอม โดยต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจนแบบมีข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ง่ายว่า เรามีการขอความยินยอมใช้ข้อมูลของคุณ 
  3. ไม่ใช้คำกำกวม หรือคำที่ดูเป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์แล้วหลงเชื่อว่าคงไม่มีผลกระทบอะไรกับตัวเขา 

บางกรณีพิเศษที่ควรระวังหากขอข้อมูลส่วนบุคคลจากบุคคลกลุ่มนี้

  • กรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์จะแบ่งเป็น 2 กรณีด้วยกัน ได้แก่
    – ในกรณีที่การให้ความยินยอมของผู้เยาว์ไม่ใช่การใด ๆ ซึ่งผู้เยาว์อาจให้ความยินยอม ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย
    – ผู้เยาว์ที่มีอายุไม่เกิน 10 ปี ให้ขอความยินยอมจากผู้ปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
  • กรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถ การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าว ให้ขอความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ
  • กรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าว ให้ขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ

ขอความยินยอมแล้วต้องมีช่องทางให้เจ้าของข้อมูลเรียกใช้สิทธิ์ด้วย

ตัวกฎหมายได้ระบุไว้ว่า ถ้าเราได้ขอความยินยอมจาก Data Subject มาแล้ว เราก็ต้องมีช่องทางให้เขาได้เรียกใช้สิทธิ์ด้วย ซึ่งสิทธิ์นั้นอาจจะเป็นการเพิกถอนหรือการใช้สิทธิ์ของตัวเองในการขอเข้าถึงหรือแก้ไขด้วย การเรียกใช้สิทธิ์นี้ต้องให้เจ้าของข้อมูลสามารถทำได้ตลอดเวลา โดยต้องมีขั้นตอนที่เข้าใจง่าย ไม่ซับซ้อน ไม่ยากกว่าตอนที่เราไปขอความยินยอม Data Subject เลย

ถ้าเป็นเรื่องของการขอความยินยอมจากเจ้าของข้อมูลแล้ว นอกจากที่องค์กรที่ใช้ข้อมูลนี้จะต้องแจกแจงถึงวัตถุประสงค์ในการขอแล้ว ก็จะต้องแจกแจงถึงวิธีการถอนความยินยอมให้แก่เจ้าของข้อมูล เพื่อให้เจ้าของข้อมูลทราบด้วยว่าเขามีสิทธิ์ในข้อมูลของตัวเอง โดยสิทธิ์ของเจ้าของข้อมูลมีดังนี้

  1. เจ้าของข้อมูลส่วนบุคคลมีสิทธิ์ขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตัวเองซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล
  2. สามารถเพิกถอนได้ตลอดเวลา โดยขั้นตอนต้องเข้าใจง่าย ไม่ยากไปกว่าขั้นตอนการขอความยินยอม
  3. เมื่อองค์กรได้รับคำขอการเพิกถอนแล้วต้องแจ้งผลกระทบต่อ Data Subject เพราะเมื่อถอนความยินยอมจะส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใดเรื่องหนึ่ง ก็ต้องแจ้งถึงผลกระทบนั้นก่อนในการถอนคำยินยอม อธิบายง่าย ๆ คือเราต้องแจ้งลูกค้าด้วยว่าถ้าเขาถอนคำยินยอม ผลกระทบที่จะเกิดขึ้นแก่ตัวเองแต่ คือจะเสียผลประโยชน์หรือส่งผลกระทบอย่างไรบ้าง

ถ้าองค์กรมี Consent จำนวนมากต้องจัดการอย่างไร ?

มาถึงหัวข้อสำคัญสำหรับองค์กรที่มีการไหลเข้า-ออกของข้อมูลจำนวนมาก ในบางองค์กรหรือหน่วยงานมีปริมาณลูกค้าที่จำเป็นต้องขอ Consent เป็นจำนวนมากในแต่ละวัน นั่นทำให้คุณต้องเตรียมระบบที่จะรองรับ Consent ในปริมาณมหาศาล โดยระบบดังกล่าวต้องเปิดให้ผู้ที่เกี่ยวข้องเข้าถึงตัว Consent นั้นได้ตลอดเวลา เพราะว่าเจ้าของข้อมูลมีในโอกาสในการขอแจ้งสิทธิ์ตลอดเวลาเช่นกัน เราจำเป็นต้องมี Record หรือประวัติการให้ความยินยอม ที่สามารถเข้าถึงได้ตลอดเวลา

เหตุผลนึงก็คือกรณีที่เจ้าของข้อมูล อาจมีการขอแก้ไขข้อมูลที่เคยให้คำยินยอมเข้ามา เราต้องมีระบบรองรับสำหรับตรวจสอบว่า Data Subject ได้ให้ Consent ไว้ในวัตถุประสงค์อะไรบ้าง ให้ไว้กี่ Consent ด้วยกัน

และอีกหนึ่งเหตุผลที่สำคัญที่เราต้องรู้ว่าลูกค้าได้ให้ Consent ไว้ในวัตถุประสงค์อะไรบ้าง เพื่อที่องค์กรของคุณจะได้แจกแจงและชี้แจงลูกค้าได้ว่า Data Subject เคยให้วัตถุประสงค์อะไรไว้บ้าง หาก Data Subject ถอนความยินยอมวัน จะเสียผลประโยชน์ในวัตถุประสงค์อะไรไปบ้าง และจะเสียการให้บริการจากองค์กร หรือรับโปรโมชันอะไรใหม่ ๆ เป็นต้น โดยสุดท้ายสามารถบอกโดยสรุประหว่างผู้ประมวลผลข้อมูลหรือผู้เก็บข้อมูล หรือองค์กร ระหว่างลูกค้าหรือเจ้าของข้อมูลดังนี้

  1. หากเจ้าของข้อมูลขอสำเนาหรือลูกค้าขอสำเนา เราต้องแจกแจงให้ครบว่าเราเก็บอะไรบ้าง รวมทั้งที่ใช้งานและไม่ได้ใช้งาน 
  2. หากทางลูกค้าหรือเจ้าของข้อมูล ขอแก้ไขข้อมูลหรือลบจะต้องตรวจสอบวัตถุประสงค์ก่อนว่าสามารถดำเนินการได้ทันทีไหม แล้วก็ต้องชี้แจงถึงผลกระทบผม
  3. เราต้องทราบถึงสถานที่เก็บข้อมูลส่วนบุคคลของลูกค้าว่าตั้งแต่รับมา เราได้เก็บที่ไหนบ้างส่งต่อที่ไหนบ้าง แล้วก็ใช้งานที่ไหนบ้าง เผื่อกรณีแก้ไขและลบ เราจะได้ทำถูกต้องและครบถ้วนทุกโปรเซสไม่มีหลงเหลือไว้ เพราะว่ากรณีที่เขาขอแก้ไขหากเราแก้ไม่หมดทุกที่ Process จะกลายเป็นว่าข้อมูลแต่ละที่ก็จะไม่เหมือนกัน และกรณีขอลบสำคัญเลยลูกค้าขอถอนไป แล้วเราถอนไม่ครบทุกโปรเซส อาจทำให้เกิดปัญหาตามมาได้ ทำ
  4. สุดท้ายเราต้องมีการบันทึกการประมวลผลข้อมูลส่วนบุคคล คือเราต้องมีผังการไหลของข้อมูลเลยว่าเรารับมาจากที่ไหนสมมติรับจากเว็บไซต์ใช่ไหมเราก็ต้องบอกว่าเว็บไซต์ไปเก็บที่ไหนแล้วก็ส่งต่อไปให้แผนกไหนใช้งานได้บ้างหรือมีระยะเวลาจัดเก็บหรือทำลายเท่าไหร่คะอันนี้ต้องระบุหมดเลยตั้งแต่ต้นทางถึงปลายทาง

ท้ายที่สุดแล้ว Consent หรือความยินยอมและสิ่งที่สำคัญที่สุดเลยก็คือหนึ่งคือเจ้าของข้อมูลต้องมีอิสระ และทำโดยความสมัครใจต้องมีความชัดเจนชัดแจ้งถึงข้อมูลและวัตถุประสงค์ที่จะถูกนำไปใช้งานรวมถึงมีช่องทางในการเข้าถึงและเพิกถอนความยินยอมให้เจ้าของข้อมูลอีกด้วยซึ่งผมคิดว่าสำหรับใครที่อ่านมาจนถึงตรงนี้แล้ว คงเข้าใจแล้วว่าการจัดการในเรื่อง Consent หรือความยินยอมนั้นมีความยุ่งยากไม่มากก็น้อย ฉะนั้นการที่มีเทคโนโลยี หรือ เครื่องมือเข้ามาช่วยเหลือ จะสามารถจัดการดูแลจัดการความยินยอมให้เป็นระบบได้ง่ายขึ้นตั้งแต่ step การเก็บ Record เลยว่าวันนี้มีลูกค้าให้ความยินยอมกี่คน และก็ให้ในวัตถุประสงค์อะไรบ้างแล้วก็มีช่องทางในการขอใช้สิทธิ์เข้ามาว่าอาจมีลูกค้าได้ให้ขอใช้สิทธิ์เข้ามาแล้วข้อมูลของให้เก็บอยู่ที่ไหนบ้างสุดท้ายแล้วก็จะเป็นการทำ Data Mapping ว่าข้อมูลได้มาแล้วต้นทางมาจากไหนแล้วก็ไปต่อที่ไหนบ้าง

แหล่งการเรียนรู้ PDPA

Openpdpa.org เป็นแหล่งข้อมูลสำหรับองค์กรและบุคคลที่ค้นคว้าเกี่ยวกับกฎหมาย พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) คุณจะได้รับข้อมูลที่ตรงไปตรงมารวมถึงทำอย่างไรให้คุณสามารถทำ PDPA ได้ด้วยตนเอง อีกทั้งยังมีเอกสารที่จำเป็นต่อการทำ PDPA ที่สามารถดาวน์โหลดไปใช้ได้เลย ฟรี!

ส่งต่อบทความดีๆ ได้ที่นี่

Share on facebook
Share on twitter
Share on linkedin