การขอ Consent จำเป็นแค่ไหน...แค่ Privacy notice เพียงพอแล้วหรือยัง 🤔

การขอ Consent จำเป็นแค่ไหน...แค่ Privacy notice เพียงพอแล้วหรือยัง 🤔

ในการปรับปรุงการดำเนินงานขององค์กรให้สอดคล้องกับกฎหมาย PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นเรื่องใหม่ที่ท้าทายองค์กรทั่วประเทศไม่ว่าจะเป็นองค์กรขนาดใหญ่อย่างศิริราชฯ หรือบริษัทเล็ก ๆ ก็ตาม

เพราะหนึ่งในสิ่งทำให้ผู้ปฏิบัติงานตัดสินใจลำบาก คือ

หน่วยงานหรือองค์กรของเราควรจะขออนุญาตเจ้าของข้อมูลส่วนบุคคลก่อนที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทุกครั้งเลยหรือไม่ (Consent) หรือเพียงแค่แจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบว่าเราจะนำข้อมูลไปใช้ทำอะไร (Privacy Notice) ก็เพียงพอแล้ว?

ก่อนอื่น.. มาทำความเข้าใจบทบาทในเรื่องนี้กันให้ชัดเจนก่อนจะลงลึกไปยังการใช้งาน Privacy Notice และ Consent กันค่ะ ยกตัวอย่างของโรงพยาบาลศิริราช เมื่อพิจารณาบทบาทระหว่างคนไข้กับโรงพยาบาล คนไข้ที่มาเข้ารับบริการ จะมีบทบาทเป็น 'เจ้าของข้อมูลส่วนบุคคล (Data Subject)' ส่วนโรงพยาบาลที่เก็บข้อมูลการรักษาของคนไข้เอาไว้ ถือว่าเป็น 'ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)' ทั้งสองฝ่ายต่างก็มีสิทธิในข้อมูลนี้ตามขอบเขตที่กฎหมายบังคับไว้

องค์กรในฐานะที่เป็น 'ผู้ควบคุมข้อมูลส่วนบุคคล' นั้น ...สิ่งสำคัญประการหนึ่ง นั่นคือ “การแจ้งประกาศความเป็นส่วนตัว” ให้เจ้าของข้อมูลส่วนบุคคล ได้ทราบถึงวัตถุประสงค์ และวิธีการที่องค์กรจัดการกับข้อมูลส่วนบุคคลของเจ้าของข้อมูลนั้น ในทุกกรณี แต่สำหรับ "การขอความยินยอม (Consent)" ในการประมวลผลข้อมูลนั้น องค์กรจะต้องพิจารณาอย่างถี่ถ้วน ว่ากิจกรรมใดต้องขอความยินยอม หรือกิจกรรมใดที่มีฐานทางกฎหมายเข้ามารองรับวัตถุประสงค์ของกิจกรรมดังกล่าวโดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลอีก

วันนี้เราจึงขอพาผู้อ่านมาทำความรู้จัก ประกาศแจ้งความเป็นส่วนตัว (Privacy Notice) และ ฐานความยินยอม (Consent) เพื่อให้เราค่อย ๆ ทำความเข้าใจความแตกต่างของทั้งสองอย่างนี้ และมีกรณีตัวอย่างคร่าว ๆ ที่ทางศิริราชฯ ใช้ Privacy Notice เพียงอย่างเดียวก็เพียงพอ หรือกรณีใดที่เราต้องใช้ทั้ง Privacy Notice และ Consent

ประกาศแจ้งความเป็นส่วนตัว (Privacy Notice)

ตามมาตรา 23 พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 การประกาศแจ้งความเป็นส่วนตัว หมายถึง การแจ้งแก่เจ้าของข้อมูลส่วนบุคคลก่อน หรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล โดยแจ้งให้ทราบถึงรายละเอียดต่าง ๆ เกี่ยวกับภาพรวมในการประมวลข้อมูลส่วนบุคคลของตน ซึ่งเป็นหนึ่งในหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล โดยจะต้องแจ้งแก่เจ้าของข้อมูลส่วนบุคคลทุกกรณี (ไม่ว่าจะมีกิจกรรมการประมวลผลฐานกฎหมายใดก็ตาม)

และกฎหมายยังระบุว่าการประกาศแจ้งความเป็นส่วนตัว (Privacy Notice) ต้องมีรายละเอียดดังต่อไปนี้

Checklist การประกาศแจ้งความเป็นส่วนตัว (Privacy notice)

  1. วัตถุประสงค์และฐานทางกฎหมายในการเก็บรวบรวม ใช้ หรือเปิดเผย (“ประมวลผล”) ข้อมูลส่วนบุคคล
  2. ผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล กรณีที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมาย หรือสัญญา หรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทำสัญญา
  3. ประเภทข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
  4. ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล
  5. ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจถูกเปิดเผย รวมถึงกรณีที่ข้อมูลส่วนบุคคลอาจถูกเปิดเผยไปยังต่างประเทศ (ถ้ามี)
  6. วิธีการติดต่อผู้ควบคุมข้อมูลส่วนบุคคล
  7. วิธีการติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลและตัวแทน (Data Protection Officer) (ถ้ามี)
  8. สิทธิของเจ้าของข้อมูลส่วนบุคคลตาม PDPA

1.png ภาพที่ 1 แสดงตัวอย่างประกาศแจ้งความเป็นส่วนตัว (Privacy notice)

ตามมาตรา 19 พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 การขอความยินยอมในการประมวลผลข้อมูล จะนำมาใช้ต่อเมื่อ ผู้ควบคุมข้อมูลส่วนบุคคลไม่สามารถหาฐานทางกฎหมายอื่นใดตามพระราชบัญญัติฯ มารองรับกิจกรรมประมวลผลข้อมูลส่วนบุคคลนั้นได้อีก

ผู้ควบคุมข้อมูลส่วนบุคคล จึงต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ในการประมวลผลข้อมูล

ดังนั้น "การขอความยินยอม" จึงเป็นฐานกฎหมายทางเลือกสุดท้ายที่ผู้ควบคุมข้อมูลส่วนบุคคลจะหยิบมาใช้

ซึ่ง “ฐานความยินยอม” ในการประมวลผลข้อมูลส่วนบุคคลนั้น จะแตกต่างกับ “การยินยอม” ก่อนเข้ารับหัตถการ การผ่าตัด หรือยอมเข้าเป็นอาสาสมัครหรือผู้เข้าร่วมวิจัยในโครงการวิจัย เป็นต้น

และตามกฎหมายแล้วฐานความยินยอม (Consent) ต้องมีเงื่อนไขหรือองค์ประกอบในการขอความยินยอม ดังต่อไปนี้

  1. ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะประมวลผลข้อมูลส่วนบุคคล เว้นแต่มีบทกฎหมายอื่นที่บัญญัติให้กระทำได้
  2. ต้องให้ความยินยอมโดยชัดแจ้ง (Clear affirmative action) อาจทำเป็นกระดาษ หรือทำโดยผ่านระบบอิเล็กทรอนิกส์ หรือวิธีการอื่น ๆ เช่น ขอความยินยอมผ่านทางโทรศัพท์ แต่แนะนำให้ใช้วิธีที่มีหลักฐานเป็นลายลักษณ์อักษร เพื่อง่ายต่อการตรวจสอบ
  3. ต้องแจ้งวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลไว้ในการขอความยินยอม
  4. ต้องให้อิสระ (Freely given) แก่เจ้าของข้อมูลส่วนบุคคลในการให้ หรือไม่ให้ความยินยอม
  5. การขอความยินยอมต้อง แยกต่างหาก จากเงื่อนไขในการให้บริการ
  6. ต้องแยกส่วนการขอความยินยอมออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ ใช้ภาษาที่อ่านง่าย และไม่หลอกลวง หรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์การประมวลผลข้อมูล
  7. ต้องให้เจ้าของข้อมูลส่วนบุคคลสามารถถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม และผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งแก่เจ้าของข้อมูลส่วนบุคคลให้ทราบถึงผลกระทบจากการถอนความยินยอมดังกล่าวด้วย
  8. ใช้เป็นทางเลือกสุดท้ายเมื่อไม่สามารถหาฐานทางกฎหมายอื่นใดมารองรับการประมวลผลข้อมูลนั้นได้

2.png ภาพที่ 2 แสดงตัวอย่างแบบฟอร์มขอความยินยอม (Consent Form)

1.png ภาพที่ 3 แสดงความแตกต่างในการใช้งาน Privacy Notice และ Consent

2.jpeg ภาพที่ 4 แสดงตัวอย่างการใช้งาน Privacy notice และ Consent

โดยสรุป สิ่งที่องค์กรต่าง ๆ ในฐานะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดทำขึ้น สำหรับทุกกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล นั่นคือ “การแจ้งประกาศความเป็นส่วนตัว” ให้เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงวัตถุประสงค์และวิธีการที่องค์กรต่าง ๆ จัดการกับข้อมูลของเรา แต่ "การขอความยินยอม" ในการประมวลผลข้อมูลนั้น องค์กรจะต้องพิจารณาให้ได้ว่า กิจกรรมนั้น ๆ มีฐานทางกฎหมายเข้ามารองรับวัตถุประสงค์ของกิจกรรมดังกล่าวได้โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลอีกหรือไม่ หากไม่มีฐานกฎหมายใดรองรับในกิจกรรมนั้น จึงจำเป็นอย่างยิ่งที่ผู้ควบคุมข้อมูลส่วนบุคคล ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

ท้ายที่สุดนี้ ทีม Data Governance ของ SiData+ ได้ขับเคลื่อนโครงการคุ้มครองข้อมูลส่วนบุคคล ภายในคณะแพทยศาสตร์ศิริราชพยาบาล เช่น การทำ Privacy notice ให้กับผู้ที่เกี่ยวข้อง และการเปิดให้มีกระบวนการและเอกสารขอใช้สิทธิ ที่เกี่ยวข้องกับจัดการคำร้องขอในการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) โดยสามารถเข้ามาศึกษาได้ที่ si.mahidol.ac.th/data/en/privacy

ผู้เขียน

ปิย์ญาพร กิวสันเที๊ยะ, นิติกร

วิศรุต โพธิ์ศรี, CIPP/E

บรรณาธิการ

ศศินิภา อุทัยสอาด

ตรวจทาน

ณัฐวุฒิ อดุลยานุโกศล, CIPM

ศศินา เถียรพรมราช