การขอความยินยอม หรือ Consent เป็นอีกหนึ่งหลักการหลักของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่สำคัญมาก ๆ มีไว้เพื่อขอความยินยอมจากเจ้าของข้อมูลเพื่อประมวลผลข้อมูลส่วนบุคคลซึ่งอาจดูเหมือนว่าจะทำง่าย แต่จริง ๆ แล้วมีรายละเอียดที่ซับซ้อน
ในบทความนี้เรามาดูรายละเอียดกันว่าหนังสือขอความยินยอม คืออะไร มีบทบาทอย่างไร และรายละเอียดมีอะไรบ้างที่ต้องปฏิบัติตาม
หนังสือขอความยินยอม คืออะไร
หนังสือขอความยินยอมคือข้อตกลงระหว่างเจ้าของข้อมูล (Data Subject) และองค์กร (Data Collector) เพื่อขออนุญาตการเก็บ และประมวลผลข้อมูลส่วนบุคคล ซึ่งใจความของ หนังสือขอความยินยอมจะต้องมีความชัดเจน ไม่คลุมเครือ และสามารถปฏิเสธได้
หากยังไม่รู้ว่าองค์กรของตัวเองเข้าข่ายกฎหมาย PDPA หรือไม่ สามารถอ่านได้จากบทความนี้ : ใครต้องทำ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล นะ?
ดังนั้น Consent จะมีบทบาทหน้าที่ที่สำคัญซึ่งจะช่วยให้องค์กรสร้างความน่าเชื่อถือต่อเจ้าของข้อมูลส่วนบุคคล (ลูกค้า) และสามารถดำเนินธุรกิจต่อไปได้นั่นเองครับ
เนื้อหาของ Consent มีอะไรบ้าง
- ชื่อองค์กรที่ต้องการขอความยินยอมในการประมวลผลข้อมูล
- วัตถุประสงค์ในการประมวลผลข้อมูล
- ประเภทของข้อมูลส่วนบุคคลที่จะดำเนินการ
- ระยะเวลาในการเก็บข้อมูลส่วนบุคคล
- Contact หรือช่องทางการเพิกถอนความยินยอม (ตัวอย่างเช่นลิงก์ยกเลิกการสมัครที่ท้ายอีเมล)
Concept ที่สำคัญในการออกแบบหนังสือขอความยินยอมให้มีความน่าเชื่อถือ
Concept ที่สำคัญในการทำหนังสือขอความยินยอมให้มีความน่าเชื่อถือ ในตัวกฎหมายระบุไว้ดังนี้
1. มีความอิสระ
การขอความยินยอม จะต้องมีความอิสระในการที่เจ้าของข้อมูลส่วนบุคคลสามารถยินยอม หรือไม่ยินยอมก็ได้ ที่สำคัญจะต้องแยกแยะกันระหว่างเงื่อนไขการใช้บริการ กับการประมวลผลให้ชัดเจน และคุณต้องได้รับความยินยอมแยกต่างหากสำหรับการดำเนินการประมวลผลข้อมูลแต่ละครั้ง ที่จุดประสงค์แตกต่างกัน
ยกตัวอย่างเช่น หากคุณต้องการที่อยู่อีเมลของพวกเขาเพื่อวัตถุประสงค์ทางการตลาด จะต้องให้รายละเอียดที่ว่าจุดประสงค์ทางการตลาดประกอบไปด้วยอะไรบ้าง เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถเลือกได้อย่างอิสระว่าจะยินยอมให้เก็บข้อมูล และประมวลผลในด้านไหนของวัตถุประสงค์ทางการตลาด
2. ระบุเฉพาะเจาะจง
รายละเอียดในการยินยอมขอข้อมูลส่วนบุคคล จะต้องมีความชัดเจนว่าในแต่ละประเภทของข้อมูลส่วนบุคคลจะเอาไปใช้ทำอะไร เก็บไว้ที่ไหนบ้าง หากว่ารายละเอียดของ Form มีแต่ใช้ช่องทำเครื่องหมายคำยินยอมเพียงช่องเดียวในตอนท้ายเพียงอย่างเดียว ซึ่งจริง ๆ แล้วมันยังไม่เพียงพอที่จะ Comply เพราะฉะนั้นคุณต้องอธิบายกรณีการใช้ข้อมูลแต่ละกรณีแยกกันเพื่อเปิดโอกาสให้เจ้าของข้อมูลยินยอมให้แต่ละกิจกรรมเป็นรายบุคคล
3. Identity ขององค์กรที่ชัดเจน
หากองค์กรจะขอความยินยอมในการเก็บข้อมูลส่วนบุคคล ข้อมูลที่เกี่ยวกับองค์กรจะต้องมีความชัดเจนไม่งั้นเจ้าของข้อมูลก็จะไม่รู้ว่าเขาฝากข้อมูลไว้กับใคร และนอกจากนี้ภาษาที่ใช้ในหนังสือขอความยินยอม ควรเป็นภาษาที่เข้าใจง่ายนั่นหมายความว่าไม่มีศัพท์ทางเทคนิคหรือทางกฎหมาย ทุกคนที่เข้าถึงบริการของคุณควรเข้าใจสิ่งที่คุณขอให้พวกเขายอมรับ
สรุปแล้วข้อกำหนดการยินยอมของ PDPA นั้นค่อนข้างเข้าใจง่าย แต่อาจนำไปใช้ได้ยาก คุณอาจจะเจออุปสรรคทางเทคนิคหรือปัญหา ดังนั้นในกรณีที่มีผู้ยินยอมให้ประมวลผลข้อมูลส่วนบุคคลของพวกเขาคุณสามารถประมวลผลข้อมูลตามวัตถุประสงค์ที่ได้รับความยินยอมเท่านั้นเพื่อลดปัญหาในการปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
