Blog > เคลียร์ชัดเรื่อง consent ตาม PDPA เคลียร์ชัดเรื่อง consent ตาม PDPA 6 days ago Share ชื่อ-สกุล ที่อยู่ เลขบัตรประชาชน เบอร์โทรศัพท์ อีเมล ประวัติทางการเงิน ประวัติอาชญากรรม ลายนิ้วมือ ล้วนเป็นสิ่งที่ใช้บ่งบอกตัวบุคคลหรือตัวเจ้าของข้อมูลเหล่านี้ อาจจะเรียกง่ายๆ ว่าเป็นข้อมูลส่วนบุคคล ซึ่งเจ้าของข้อมูลส่วนบุคคลก็มีสิทธิในข้อมูลของตนเอง โดยกฎหมายก็ให้ความคุ้มครองสิทธินี้ไว้ด้วย ประเภทของข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคล แบ่งออกเป็น 2 ประเภท ดังนี้ ข้อมูลส่วนบุคคลทั่วไป (Personal Data) คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม ทั้งข้อมูลในรูปแบบออนไลน์หรือออฟไลน์ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล เลขบัตรประชาชน เลขที่บัญชีธนาคาร ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) เป็นข้อมูลที่เฉพาะเจาะจงของตัวบุคคล มีความละเอียดอ่อนสูง เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นในทำนองเดียวกัน การขอ Consent ตามฐานกฎหมาย (Lawful basis) 1. การใช้ฐานการประมวลผลข้อมูลส่วนบุคคลทั่วไป พิจารณาได้จากรูปแบบการดำเนินการ และวัตถุประสงค์การใช้ เก็บรวบรวมหรือเปิดเผยข้อมูลนั้น ซึ่งในแต่ละชุดข้อมูลก็มีรายละเอียดที่แตกต่างกัน ทั้งนี้ โดยหลักการตามกฎหมาย PDPA ระบุว่าให้ใช้ฐานความยินยอม (Consent) เป็นฐานหลักในการประมวลผลข้อมูล เนื่องจากเปิดโอกาสให้เจ้าของข้อมูลส่วนบุคคลสามารถเลือกจัดการข้อมูลของตนเองได้เต็มที่ ในทางปฏิบัติแล้วผู้ควบคุมข้อมูลส่วนบุคคลอาจไม่สามารถใช้ฐานความยินยอม (Consent) กับการขอใช้หรือเก็บรวบรวมกับข้อมูลทุกประเภทได้ ซึ่งองค์กรแต่ละประเภทย่อมมีความจำเป็นในการอ้างอิงฐานตามกฎหมายแตกต่างกันไปตามลักษณะของธุรกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล โดยกฎหมาย PDPA ยังมีวิธีการประมวลผลตามฐานกฎหมายอื่นที่สามารถปรับใช้ตามบริบทและวัตถุประสงค์ ได้แก่ ฐานสัญญา (Contract), ฐานหน้าที่ตามกฎหมาย (Legal Obligation), ฐานประโยชน์สำคัญต่อชีวิต (Vital Intertest), ฐานภารกิจของรัฐ (Public Task), ฐานประโยชน์อันชอบธรรม (Legitimate Interest), ฐานจดหมายเหตุ วิจัย สถิติ (Scientific or Research) หากวัตถุประสงค์การใช้ เก็บรวบรวมหรือเปิดเผยข้อมูลเข้าตามฐานการประมวลผล 5 ฐานนี้ ผู้ควบคุมข้อมูลส่วนบุคคลก็ไม่ต้องขอความยินยอม (Consent) จากเจ้าของข้อมูลอีก ฐานการประมวลผลข้อมูลตามกฎหมาย (Lawful Basis) ของข้อมูลส่วนบุคคลทั่วไปที่ไม่ต้องขอความยินยอม (consent) มีดังนี้ ฐานสัญญา (Contract) จะใช้ได้กับข้อมูลส่วนบุคคลทั่วไปเท่านั้น ฐานนี้เป็นการปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลกับเจ้าของข้อมูลส่วนบุคคล สัญญาตามฐานนี้จะทำเป็นลายลักษณ์อักษรหรือไม่เป็นลายลักษณ์อักษรก็ได้ ตัวอย่างเช่น สัญญาเปิดบัญชีธนาคารและการให้บริการกับลูกค้าของธนาคาร การสมัครสมาชิกฟิตเนสและการให้บริการด้านการออกกำลังกายกับสมาชิกฟิตเนส การปฏิบัติตามสัญญาซื้อขายโดยเว็บไซต์ E-commerce เก็บรวบรวมที่อยู่จัดส่งของผู้ซื้อให้กับร้านค้าเพื่อส่งสินค้า ฐานหน้าที่ตามกฎหมาย (Legal Obligation) เป็นสิ่งที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตามกฎหมาย เนื่องจากเป็นเรื่องที่กฎหมายกำหนดไว้ชัดเจนว่าต้องปฏิบัติตาม เช่น การให้สิทธิลูกจ้างลาป่วยหรือลาพักผ่อนตามกฎหมายแรงงาน การให้ข้อมูลกับหน่วยงานหรือพนักงานเจ้าหน้าที่ของรัฐซึ่งมีอำนาจตามกฎหมาย การการที่ธนาคารขอสำเนาบัตรประชาชนเพื่อพิสูจน์ตัวตนของผู้ใช้บริการตามกฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงิน ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest) โดยจะสามารถใช้ฐานนี้ในการประมวลผลข้อมูลสุขภาพที่เป็นข้อมูลอ่อนไหว (Censitive data) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย สุขภาพ ซึ่งจะใช้ฐานนี้ได้เฉพาะในกรณีที่เจ้าของข้อมูลอยู่ในสภาวะที่ไม่สามารถให้ความยินยอมได้ ตัวอย่างเช่น แพทย์ขอใช้ประวัติการรักษาของเจ้าของข้อมูลจากโรงพยาบาลเพื่อทำการรักษาเจ้าของข้อมูลซึ่งเป็นผู้ป่วย สาธารณสุขจังหวัดขอเก็บข้อมูลการติดเชื้อของประชาชนในพื้นที่เพื่อเฝ้าระวังป้องกันโรคระบาด ฐานภารกิจของรัฐ (Public Task) เป็นการใช้อำนาจรัฐเพื่อปฏิบัติหน้าที่ตามที่ได้รับมอบหมาย ผู้ควบคุมข้อมูลส่วนบุคคลในฐานนี้มักเป็นพนักงานเจ้าหน้าที่ของรัฐหรือหน่วยงานเอกชนที่มีอำนาจตามที่กำหนดไว้ในกฎหมาย เช่น ตำรวจมีอำนาจในการปรับ จับกุมหรือขอข้อมูลที่เกี่ยวข้องกับคดีตามกฎหมายอาญา โรงเรียนสอนขับรถยนต์ที่กรมการขนส่งทางบกได้ให้อำนาจให้บริการสอบใบอนุญาตขับขี่รถยนต์ ฐานประโยชน์อันชอบธรรม (Legitimate Interest) เป็นการดำเนินการที่จำเป็นเพื่อประโยชน์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือบุคคลภายนอก แต่การดำเนินการนั้นจะต้องไม่ละเมิดสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล และเจ้าของข้อมูลก็คาดหมายได้ว่าจะมีการดำเนินการนี้ ตัวอย่างเช่น การประเมินการขึ้นเงินเดือนพนักงาน การรวบรวมสถิติโดยไม่ใช้ข้อมูลที่บ่งชี้ตัวตนของเจ้าของข้อมูล การบันทึกภาพกล้องวงจรปิดในสถานที่สาธารณะ ฐานจดหมายเหตุ วิจัย สถิติ (Scientific or Research) การปฏิบัติตามฐานนี้อาจต้องอ้างอิงฐานตามกฎหมายอื่นประกอบด้วยว่าจะขอจัดเก็บข้อมูลเพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ วิจัย สถิติ ตามวัตถุประสงค์หลักใด เช่น ขอเก็บตามฐานภารกิจของรัฐ (Public Task) ฐานการปฏิบัติตามกฎหมาย (Legal Obligation) หรืออาจต้องอาศัยการตัดสินใจตามฐานความยินยอม (Consent) กับเจ้าของข้อมูล เมื่อพิจารณาตามฐานการประมวลผลข้อมูลส่วนบุคคลของข้อมูลทั่วไปแล้ว หากวัตถุประสงค์การใช้ เก็บรวบรวมหรือเปิดเผยข้อมูลไม่เข้าฐานใดตามที่กล่าวไว้ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องใช้ฐานความยินยอม (Consent) โดยต้องขอให้ชัดเจนว่าขอข้อมูลไปเพื่ออะไร ให้อิสระกับเจ้าของข้อมูลว่าจะให้หรือไม่ให้ความยินยอม การจัดทำ Consent ให้แยกส่วนการขอความยินยอมออกจากส่วนอื่นให้ชัดเจน และให้แจ้งผลกระทบกับเจ้าของข้อมูลด้วย ถ้าการถอนความยินยอมจะกระทบกับการใช้งานในเรื่องนั้นๆ การขอ Consent มักเป็นการขอความยินยอมเพิ่มเติมจากการใช้ข้อมูลตามฐานการประมวลผลหลัก ตัวอย่างเช่น ขอ Consent ให้ลูกค้ารับข่าวสารหรือโปรโมชั่นของผู้ขายทางอีเมล หรือให้ส่ง Direct Marketing ซึ่งเป็นการขอแยกกับข้อมูลตามฐานสัญญาซึ่งลูกค้าได้ทำสัญญาซื้อขายกับเว็บไซต์ไว้ เนื่องจากการขอ Consent เป็นวิธีการที่ให้ความสมัครใจกับเจ้าของข้อมูลส่วนบุคคล จึงเป็นหน้าที่ขององค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลที่จะต้องปฏิบัติตามวัตถุประสงค์ที่เจ้าของข้อมูลให้ความยินยอมไว้ นอกจากนี้ หากเจ้าของข้อมูลถอนความยินยอมตามฐาน Consent อาจทำให้ต้องหยุดประมวลผลการใช้ข้อมูลนั้นไป จึงนับว่าเป็นความเสี่ยงและเป็นภาระต่อผู้ควบคุมข้อมูลส่วนบุคคลเป็นอย่างยิ่ง ดังนั้น ในทางปฏิบัติ การประมวลผลข้อมูลส่วนบุคคลทั่วไป จึงมักใช้ฐานการประมวลผลอื่นเป็นหลัก และใช้ฐานความยินยอม (Consent) เพิ่มเติม ในกรณีที่องค์กรต้องการใช้ข้อมูลชุดเดียวกัน แต่ใช้เพื่อวัตถุประสงค์อื่น และการขอ Consent ก็จะต้องขอแยกกับการขอใช้ข้อมูลตามวัตถุประสงค์หลักให้ชัดเจน 2. การใช้ฐานการประมวลผลข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) สำหรับการใช้ข้อมูลส่วนบุคคลที่อ่อนไหว เช่น ลายนิ้วมือ ประวัติการรักษา เทคโนโลยีจดจำใบหน้า (Facial Recognition) จะต้องใช้ตามวัตถุประสงค์ที่แจ้งไว้แต่แรกและต้องขอ consent ทุกครั้ง โดยการขอใช้หรือเก็บรวบรวมข้อมูลจะต้องมีความได้สัดส่วนและจำเป็น กล่าวคือ การใช้ข้อมูลส่วนบุคคลที่อ่อนไหว จะใช้ได้ต่อเมื่อไม่สามารถใช้ข้อมูลส่วนบุคคลทั่วไปทดแทนได้ ตัวอย่างเช่น การเก็บข้อมูลลายนิ้วมือของสมาชิกฟิตเนสเพื่อใช้ยืนยันตัวตนสมาชิก อาจเกินความจำเป็นเนื่องจาก ทางฟิตเนสสามารถใช้บัตรสมาชิกในการสแกนเข้าออกฟิตเนสแทนได้ กฎหมาย PDPA ได้ให้ข้อยกเว้นที่ไม่ต้องขอความยินยอม (Consent) ในบางกรณีได้ ตัวอย่างเช่น เมื่อมีเหตุจำเป็นเร่งด่วนเพื่อป้องกันหรือระงับอันตรายต่อชีวิต (Vital interest) ตัวอย่างเช่น เมื่อเจ้าของข้อมูลเกิดเหตุฉุกเฉินไม่รู้สึกตัว เจ้าหน้าที่กู้ชีพสามารถขอข้อมูลสุขภาพกับบุคคลใกล้ชิดได้ หรือโรงพยาบาลสามารถให้ประวัติการรักษากับอีกโรงพยาบาลหนึ่งเพื่อช่วยเหลือผู้ป่วยที่ประสบอุบัติเหตุที่หมดสติได้ การดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากำไร ที่มีวัตถุประสงค์เกี่ยวกับการเมือง ศาสนา ปรัชญา หรือสหภาพแรงงาน ข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล การก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย เพื่อประโยชน์สาธารณะ เช่น การขอข้อมูลสุขภาพและ timeline จากกลุ่มบุคคลเสี่ยงต่อโรคติดต่อหรือโรคระบาด เพื่อป้องกันการติดต่อหรือแพร่เข้ามาในราชอาณาจักร การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย การคุ้มครองผู้ประสบภัยจากรถ เช่น ฝ่าย HR ใช้ใบรับรองแพทย์ของเจ้าของข้อมูลเพื่อเป็นหลักฐานในการเบิกจ่ายค่ารักษาพยาบาลกับประกันสังคม สำหรับการประมวลผลข้อมูลทางออนไลน์ก็เช่นกัน ปัจจุบันก็จะต้องมีการขอ Consent เพื่อขอใช้งานตามวัตถุประสงค์ต่างๆ เช่น การยืนยันตัวบุคคลเมื่อเข้าใช้บริการเว็บไซต์ การขอให้ระบบตรวจสอบ location ของผู้ใช้งาน เพื่อจะได้รับบริการขนส่งที่ใกล้เคียงได้สะดวกขึ้น ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลสามารถขอ PDPA consent ได้ผ่านแบบฟอร์มอิเล็กทรอนิกส์ การขอใช้ Cookie เพื่อเก็บข้อมูลการใช้อินเตอร์เน็ต โดยแจ้งวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลไปด้วยและต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน เข้าถึงได้และเข้าใจได้ ใช้ภาษาที่อ่านง่าย หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล ในการขอความยินยอม (Consent) หลักการขอความยินยอมการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล จะต้องแจ้งรายละเอียดและวัตถุประสงค์ในการรวบรวมข้อมูล การใช้ หรือเผยแพร่ให้เจ้าของข้อมูลทราบก่อนหรือขณะเก็บรวบรวมข้อมูล เจ้าของข้อมูลมีสิทธิที่จะทราบว่าจะจัดเก็บข้อมูลอะไรบ้าง รวมถึงระยะเวลาการจัดเก็บ สถานที่ และวิธีการติดต่อกับผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งเรามักจะเห็นการแจ้งข้อมูลเหล่านี้ตามข้อกำหนดและเงื่อนไขก่อนที่ผู้ใช้งานเว็บไซต์จะสมัครสมาชิก หรือตามแบบฟอร์มก่อนเปิดบัญชีธนาคาร ทำแบบฟอร์มในรูปแบบเอกสารให้กรอกและเซ็นรับทราบยินยอม หรือทำ Consent form ขอใช้ข้อมูลโดยให้กรอกข้อมูลและลงนามผ่านทางระบบอิเล็กทรอนิกส์ แจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเอาไว้อย่างชัดเจนผ่านทางนโยบายความเป็นส่วนตัว Privacy Policy คลิก PDPA Pro เพื่อสร้าง Privacy Policy ที่ได้มาตรฐาน ควรสร้าง Consent form ให้เจ้าของข้อมูลแสดงเจตนายินยอมอย่างชัดเจน เช่น การติ๊กเลือกช่องที่เขียนว่า “ฉันได้อ่านและยอมรับ” ซึ่งเจ้าของข้อมูลก็ได้ยินยอมให้ใช้ข้อมูลและยอมรับนโยบายความเป็นส่วนตัวตามวัตถุประสงค์การใช้ที่แจ้งไว้ แจ้งการขอใช้ Cookie ผ่านทาง Cookie consent ที่แสดงในรูปแบบ pop up ตามหน้าเว็บไซต์ เพื่อเก็บข้อมูลส่วนบุคคล ใช้ภาษาอ่านเข้าใจง่าย ข้อความไม่กำกวม แยกส่วน Privacy Policy และ Consent Form ออกจากข้อความอื่นอย่างชัดเจน ใช้ภาษาที่เข้าใจง่าย อาจแจ้งมาตรการรักษาความปลอดภัยของข้อมูลที่ได้รับความยินยอม เพื่อให้เจ้าของข้อมูลเกิดความไว้วางใจ ให้ความยินยอมได้ง่ายมากขึ้น You may also like Tutorials อะไรคือ Cookies consent ทำไมเจ้าของเว็บไซต์ต้องมี 1 week ago Tutorials จัดกิจกรรมแจกของบน Facebook อย่างไรหลัง PDPA บังคับใช้ 5 days ago Tutorials 5 เรื่องที่ต้องรู้เกี่ยวกับ Email Consent ใน PDPA 5 days ago More posts