]

t-reg PDPA Platform

Consent

หน้าตาของ consent เป็นอย่างไร?

เนื้อหาในบทความ

การขอความยินยอม หรือ Consent เป็นอีกหนึ่งหลักการหลักของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล  ที่สำคัญมาก ๆ  มีไว้เพื่อขอความยินยอมจากเจ้าของข้อมูลเพื่อประมวลผลข้อมูลส่วนบุคคลซึ่งอาจดูเหมือนว่าจะทำง่าย แต่จริง ๆ แล้วมีรายละเอียดที่ซับซ้อน

ในบทความนี้เรามาดูรายละเอียดกันว่าหนังสือขอความยินยอม คืออะไร มีบทบาทอย่างไร และรายละเอียดมีอะไรบ้างที่ต้องปฏิบัติตาม

หนังสือขอความยินยอม คืออะไร

หนังสือขอความยินยอมคือข้อตกลงระหว่างเจ้าของข้อมูล (Data Subject) และองค์กร (Data Collector) เพื่อขออนุญาตการเก็บ และประมวลผลข้อมูลส่วนบุคคล ซึ่งใจความของ หนังสือขอความยินยอมจะต้องมีความชัดเจน ไม่คลุมเครือ และสามารถปฏิเสธได้ 

หากยังไม่รู้ว่าองค์กรของตัวเองเข้าข่ายกฎหมาย PDPA หรือไม่ สามารถอ่านได้จากบทความนี้ : ใครต้องทำ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล นะ?

ดังนั้น Consent จะมีบทบาทหน้าที่ที่สำคัญซึ่งจะช่วยให้องค์กรสร้างความน่าเชื่อถือต่อเจ้าของข้อมูลส่วนบุคคล (ลูกค้า) และสามารถดำเนินธุรกิจต่อไปได้นั่นเองครับ

เนื้อหาของ Consent มีอะไรบ้าง

  1. ชื่อองค์กรที่ต้องการขอความยินยอมในการประมวลผลข้อมูล
  2. วัตถุประสงค์ในการประมวลผลข้อมูล
  3. ประเภทของข้อมูลส่วนบุคคลที่จะดำเนินการ
  4. ระยะเวลาในการเก็บข้อมูลส่วนบุคคล
  5. Contact หรือช่องทางการเพิกถอนความยินยอม (ตัวอย่างเช่นลิงก์ยกเลิกการสมัครที่ท้ายอีเมล)
Consent2

Concept ที่สำคัญในการออกแบบหนังสือขอความยินยอมให้มีความน่าเชื่อถือ

Concept ที่สำคัญในการทำหนังสือขอความยินยอมให้มีความน่าเชื่อถือ ในตัวกฎหมายระบุไว้ดังนี้

1. มีความอิสระ

การขอความยินยอม จะต้องมีความอิสระในการที่เจ้าของข้อมูลส่วนบุคคลสามารถยินยอม หรือไม่ยินยอมก็ได้ ที่สำคัญจะต้องแยกแยะกันระหว่างเงื่อนไขการใช้บริการ กับการประมวลผลให้ชัดเจน และคุณต้องได้รับความยินยอมแยกต่างหากสำหรับการดำเนินการประมวลผลข้อมูลแต่ละครั้ง ที่จุดประสงค์แตกต่างกัน

ยกตัวอย่างเช่น หากคุณต้องการที่อยู่อีเมลของพวกเขาเพื่อวัตถุประสงค์ทางการตลาด จะต้องให้รายละเอียดที่ว่าจุดประสงค์ทางการตลาดประกอบไปด้วยอะไรบ้าง เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถเลือกได้อย่างอิสระว่าจะยินยอมให้เก็บข้อมูล และประมวลผลในด้านไหนของวัตถุประสงค์ทางการตลาด

2. ระบุเฉพาะเจาะจง

รายละเอียดในการยินยอมขอข้อมูลส่วนบุคคล จะต้องมีความชัดเจนว่าในแต่ละประเภทของข้อมูลส่วนบุคคลจะเอาไปใช้ทำอะไร เก็บไว้ที่ไหนบ้าง หากว่ารายละเอียดของ Form มีแต่ใช้ช่องทำเครื่องหมายคำยินยอมเพียงช่องเดียวในตอนท้ายเพียงอย่างเดียว ซึ่งจริง ๆ แล้วมันยังไม่เพียงพอที่จะ Comply เพราะฉะนั้นคุณต้องอธิบายกรณีการใช้ข้อมูลแต่ละกรณีแยกกันเพื่อเปิดโอกาสให้เจ้าของข้อมูลยินยอมให้แต่ละกิจกรรมเป็นรายบุคคล

3. Identity ขององค์กรที่ชัดเจน

หากองค์กรจะขอความยินยอมในการเก็บข้อมูลส่วนบุคคล ข้อมูลที่เกี่ยวกับองค์กรจะต้องมีความชัดเจนไม่งั้นเจ้าของข้อมูลก็จะไม่รู้ว่าเขาฝากข้อมูลไว้กับใคร และนอกจากนี้ภาษาที่ใช้ในหนังสือขอความยินยอม ควรเป็นภาษาที่เข้าใจง่ายนั่นหมายความว่าไม่มีศัพท์ทางเทคนิคหรือทางกฎหมาย ทุกคนที่เข้าถึงบริการของคุณควรเข้าใจสิ่งที่คุณขอให้พวกเขายอมรับ

สรุปแล้วข้อกำหนดการยินยอมของ PDPA นั้นค่อนข้างเข้าใจง่าย แต่อาจนำไปใช้ได้ยาก คุณอาจจะเจออุปสรรคทางเทคนิคหรือปัญหา ดังนั้นในกรณีที่มีผู้ยินยอมให้ประมวลผลข้อมูลส่วนบุคคลของพวกเขาคุณสามารถประมวลผลข้อมูลตามวัตถุประสงค์ที่ได้รับความยินยอมเท่านั้นเพื่อลดปัญหาในการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

Ref : https://gdpr.eu/gdpr-consent-requirements/

FREE EVENT

ร่วมฟังแนวทางเปลี่ยนความท้าทาย ให้กลายเป็นโอกาส ด้วยไกด์ไลน์การทำโครงการ PDPA ควบคู่กับ Digital Transformation โดย ผู้เชี่ยวชาญด้านเทคโนโลยี และกฎหมาย PDPA จาก t-reg พบกับผู้เชี่ยวชาญของ t-reg PDPA Platform ที่ให้คำปรึกษาพร้อมเทคโนโลยี ในการพาองค์กรชั้นนำของประเทศไทยมามากกว่า 50 องค์กร สำเร็จโครงการ PDPA แบบยั่งยืน

ร่วมฟังแนวทางที่ท่านจะได้รับทราบข้อมูลอัพเดทเกี่ยวกับตัวกฎหมาย และแนวทางการตรวจสอบในเชิง Audit ว่าองค์กรของท่านนั้นยังคงรักษามาตรการการคุ้มครองข้อมูลส่วนบุคคลได้เป็นอย่างดีหรือไม่ กฎหมายที่ออกเพิ่มเติมมาส่งผลต่อท่านอย่างไร และกระบวนการ Audit ที่เข้มข้น

RELATED POST
ข้อมูลส่วนบุคคล ลูกเสือ
t-reg news

ข้อมูลส่วนบุคคล ของลูกเสือยังโดนขโมย

จงเตรียมพร้อม ไม่ได้ใช้เพื่อปฏิญาณในฐานะลูกเสือแค่นั้น แต่ CyberSecurity ก็ใช้ด้วย เพราะล่าสุด ข้อมูลส่วนบุคคล รั่วไหลเกิดกับเหล่า Scout แล้ว

อ่านต่อ »
Consent คือ
Case Study

Lesson Learn จาก Google Consent สำคัญแค่ไหน? ทำไมบริษัทใหญ่ๆ มักตกหลุมพราง Consent

Consent คือ พื้นฐานของกฎหมาย GDPR กฎหมาย PDPA และกฎหมายคุ้มครองข้อมูลอื่น ๆ  ซึ่งดูเป็นเรื่องที่ไม่ซับซ้อนเท่ากับขั้นตอนอื่น

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่