]

t-reg PDPA Platform

Consent

หน้าตาของ consent เป็นอย่างไร?

เนื้อหาในบทความ

การขอความยินยอม หรือ Consent เป็นอีกหนึ่งหลักการหลักของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล  ที่สำคัญมาก ๆ  มีไว้เพื่อขอความยินยอมจากเจ้าของข้อมูลเพื่อประมวลผลข้อมูลส่วนบุคคลซึ่งอาจดูเหมือนว่าจะทำง่าย แต่จริง ๆ แล้วมีรายละเอียดที่ซับซ้อน

ในบทความนี้เรามาดูรายละเอียดกันว่าหนังสือขอความยินยอม คืออะไร มีบทบาทอย่างไร และรายละเอียดมีอะไรบ้างที่ต้องปฏิบัติตาม

หนังสือขอความยินยอม คืออะไร

หนังสือขอความยินยอมคือข้อตกลงระหว่างเจ้าของข้อมูล (Data Subject) และองค์กร (Data Collector) เพื่อขออนุญาตการเก็บ และประมวลผลข้อมูลส่วนบุคคล ซึ่งใจความของ หนังสือขอความยินยอมจะต้องมีความชัดเจน ไม่คลุมเครือ และสามารถปฏิเสธได้ 

หากยังไม่รู้ว่าองค์กรของตัวเองเข้าข่ายกฎหมาย PDPA หรือไม่ สามารถอ่านได้จากบทความนี้ : ใครต้องทำ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล นะ?

ดังนั้น Consent จะมีบทบาทหน้าที่ที่สำคัญซึ่งจะช่วยให้องค์กรสร้างความน่าเชื่อถือต่อเจ้าของข้อมูลส่วนบุคคล (ลูกค้า) และสามารถดำเนินธุรกิจต่อไปได้นั่นเองครับ

เนื้อหาของ Consent มีอะไรบ้าง

  1. ชื่อองค์กรที่ต้องการขอความยินยอมในการประมวลผลข้อมูล
  2. วัตถุประสงค์ในการประมวลผลข้อมูล
  3. ประเภทของข้อมูลส่วนบุคคลที่จะดำเนินการ
  4. ระยะเวลาในการเก็บข้อมูลส่วนบุคคล
  5. Contact หรือช่องทางการเพิกถอนความยินยอม (ตัวอย่างเช่นลิงก์ยกเลิกการสมัครที่ท้ายอีเมล)
Consent2

Concept ที่สำคัญในการออกแบบหนังสือขอความยินยอมให้มีความน่าเชื่อถือ

Concept ที่สำคัญในการทำหนังสือขอความยินยอมให้มีความน่าเชื่อถือ ในตัวกฎหมายระบุไว้ดังนี้

1. มีความอิสระ

การขอความยินยอม จะต้องมีความอิสระในการที่เจ้าของข้อมูลส่วนบุคคลสามารถยินยอม หรือไม่ยินยอมก็ได้ ที่สำคัญจะต้องแยกแยะกันระหว่างเงื่อนไขการใช้บริการ กับการประมวลผลให้ชัดเจน และคุณต้องได้รับความยินยอมแยกต่างหากสำหรับการดำเนินการประมวลผลข้อมูลแต่ละครั้ง ที่จุดประสงค์แตกต่างกัน

ยกตัวอย่างเช่น หากคุณต้องการที่อยู่อีเมลของพวกเขาเพื่อวัตถุประสงค์ทางการตลาด จะต้องให้รายละเอียดที่ว่าจุดประสงค์ทางการตลาดประกอบไปด้วยอะไรบ้าง เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถเลือกได้อย่างอิสระว่าจะยินยอมให้เก็บข้อมูล และประมวลผลในด้านไหนของวัตถุประสงค์ทางการตลาด

2. ระบุเฉพาะเจาะจง

รายละเอียดในการยินยอมขอข้อมูลส่วนบุคคล จะต้องมีความชัดเจนว่าในแต่ละประเภทของข้อมูลส่วนบุคคลจะเอาไปใช้ทำอะไร เก็บไว้ที่ไหนบ้าง หากว่ารายละเอียดของ Form มีแต่ใช้ช่องทำเครื่องหมายคำยินยอมเพียงช่องเดียวในตอนท้ายเพียงอย่างเดียว ซึ่งจริง ๆ แล้วมันยังไม่เพียงพอที่จะ Comply เพราะฉะนั้นคุณต้องอธิบายกรณีการใช้ข้อมูลแต่ละกรณีแยกกันเพื่อเปิดโอกาสให้เจ้าของข้อมูลยินยอมให้แต่ละกิจกรรมเป็นรายบุคคล

3. Identity ขององค์กรที่ชัดเจน

หากองค์กรจะขอความยินยอมในการเก็บข้อมูลส่วนบุคคล ข้อมูลที่เกี่ยวกับองค์กรจะต้องมีความชัดเจนไม่งั้นเจ้าของข้อมูลก็จะไม่รู้ว่าเขาฝากข้อมูลไว้กับใคร และนอกจากนี้ภาษาที่ใช้ในหนังสือขอความยินยอม ควรเป็นภาษาที่เข้าใจง่ายนั่นหมายความว่าไม่มีศัพท์ทางเทคนิคหรือทางกฎหมาย ทุกคนที่เข้าถึงบริการของคุณควรเข้าใจสิ่งที่คุณขอให้พวกเขายอมรับ

สรุปแล้วข้อกำหนดการยินยอมของ PDPA นั้นค่อนข้างเข้าใจง่าย แต่อาจนำไปใช้ได้ยาก คุณอาจจะเจออุปสรรคทางเทคนิคหรือปัญหา ดังนั้นในกรณีที่มีผู้ยินยอมให้ประมวลผลข้อมูลส่วนบุคคลของพวกเขาคุณสามารถประมวลผลข้อมูลตามวัตถุประสงค์ที่ได้รับความยินยอมเท่านั้นเพื่อลดปัญหาในการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

Ref : https://gdpr.eu/gdpr-consent-requirements/

FREE EVENT

ร่วมฟังแนวทางการยกระดับการบริหารจัดการข้อมูลส่วนบุคคลสำหรับองค์กรที่มี Data Subject จำนวนมาก เพื่อเพิ่มความน่าเชื่อถือให้กับองค์กร ด้วยไกด์ไลน์การทำ ROPA ที่เป็นหัวใจสำคัญในการสำเร็จกระบวนการ PDPA ควบคู่กับ Digital Transformation และแบ่งปันข้อมูลเชิงลึก โดยผู้เชี่ยวชาญที่มีประสบการณ์ให้คำปรึกษาด้านกระบวนการ PDPA สำเร็จแล้วกว่า 60 องค์กร และได้รับ Certificate จากสถาบันดิจิตัล (DCT) และมาตรฐานสากล ICDL หลักสูตร Personal Data Protection

RELATED POST
digital transformation roadmap
t-reg knowledge

Digital Transformation Roadmap แผนสำคัญที่องค์กรต้องรู้ก่อนทำ Digital Transformation

จากบทความก่อนหน้าที่พูดถึงเทรนด์ PDPA Thailand พร้อมความเคลื่อนไหวที่เกิดขึ้นในแวดวงธุรกิจ และทำความเข้าใจเรื่อง Digital Transformation ในเบื้องต้น

อ่านต่อ »
understand PDPA in 5 Min
t-reg knowledge

เข้าใจ PDPA ใน 5 นาที : สรุปทุกอย่างที่องค์กรจำเป็นต้องรู้

PDPA : Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล บังคับใช้อย่างจริงจังในวันที่ 1 มิถุนายน พ.ศ. 2564 ที่จะถึงนี้ เราขอสรุปแบบเข้าได้ง่ายๆ ใน 5 นาที

อ่านต่อ »
PDPA ต้องเก็บ Log
t-reg knowledge

PDPA ต้องเก็บ Log Fle ด้วยหรอ?

หลาย ๆ ท่านอาจจะบอกว่าที่ต้องเก็บ Log นั่นมัน พ.ร.บ. คอมพิวเตอร์ต่างหาก ไม่ใช่ PDPA ซะหน่อย ?
นั่นก็ถูกครึ่งนึงครับที่ว่ากฎหมายที่กำหนดให้เราเก็บ Log จริง ๆ นั่นคือ

อ่านต่อ »
audit
t-reg knowledge

เริ่ม Audit อย่างมีประสิทธิภาพ เข้มข้น ครอบคลุมทุกส่วนงาน สำเร็จการ Audit ใน 26 วันกับ t-reg

การทำ Audit ในองค์กรเป็นกิจกรรมที่ไม่ได้เกิดขึ้นบ่อยครั้ง ทว่าทุกครั้งที่มีการตรวจสอบการดำเนินการในองค์กร มักชี้ให้เห็นถึงจุดบอด จุดอ่อน และความผิดพลาดของกระบวนการบางขั้นตอนในองค์กรได้เป็นอย่างดี ขณะเดียวกันการละเลยการตรวจสอบเป็นเวลานาน

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่