# การขอ Consent จำเป็นแค่ไหน...แค่ Privacy notice เพียงพอแล้วหรือยัง 🤔

ในการปรับปรุงการดำเนินงานขององค์กรให้สอดคล้องกับกฎหมาย PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นเรื่องใหม่ที่ท้าทายองค์กรทั่วประเทศไม่ว่าจะเป็นองค์กรขนาดใหญ่อย่างศิริราชฯ หรือบริษัทเล็ก ๆ ก็ตาม

เพราะหนึ่งในสิ่งทำให้ผู้ปฏิบัติงานตัดสินใจลำบาก คือ 
> หน่วยงานหรือองค์กรของเราควรจะขออนุญาตเจ้าของข้อมูลส่วนบุคคลก่อนที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทุกครั้งเลยหรือไม่ (Consent) หรือเพียงแค่แจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบว่าเราจะนำข้อมูลไปใช้ทำอะไร (Privacy Notice) ก็เพียงพอแล้ว? 

ก่อนอื่น.. มาทำความเข้าใจบทบาทในเรื่องนี้กันให้ชัดเจนก่อนจะลงลึกไปยังการใช้งาน Privacy Notice และ Consent กันค่ะ ยกตัวอย่างของโรงพยาบาลศิริราช เมื่อพิจารณาบทบาทระหว่างคนไข้กับโรงพยาบาล คนไข้ที่มาเข้ารับบริการ จะมีบทบาทเป็น 'เจ้าของข้อมูลส่วนบุคคล (Data Subject)' ส่วนโรงพยาบาลที่เก็บข้อมูลการรักษาของคนไข้เอาไว้ ถือว่าเป็น 'ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)' ทั้งสองฝ่ายต่างก็มีสิทธิในข้อมูลนี้ตามขอบเขตที่กฎหมายบังคับไว้

องค์กรในฐานะที่เป็น 'ผู้ควบคุมข้อมูลส่วนบุคคล' นั้น ...สิ่งสำคัญประการหนึ่ง นั่นคือ “การแจ้งประกาศความเป็นส่วนตัว” ให้เจ้าของข้อมูลส่วนบุคคล ได้ทราบถึงวัตถุประสงค์ และวิธีการที่องค์กรจัดการกับข้อมูลส่วนบุคคลของเจ้าของข้อมูลนั้น *ในทุกกรณี* แต่สำหรับ "การขอความยินยอม (Consent)" ในการประมวลผลข้อมูลนั้น **องค์กรจะต้องพิจารณาอย่างถี่ถ้วน** ว่ากิจกรรมใดต้องขอความยินยอม หรือกิจกรรมใดที่มีฐานทางกฎหมายเข้ามารองรับวัตถุประสงค์ของกิจกรรมดังกล่าวโดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลอีก

วันนี้เราจึงขอพาผู้อ่านมาทำความรู้จัก **ประกาศแจ้งความเป็นส่วนตัว (Privacy Notice) ** และ **ฐานความยินยอม (Consent)** เพื่อให้เราค่อย ๆ ทำความเข้าใจความแตกต่างของทั้งสองอย่างนี้ และมีกรณีตัวอย่างคร่าว ๆ ที่ทางศิริราชฯ ใช้ Privacy Notice เพียงอย่างเดียวก็เพียงพอ หรือกรณีใดที่เราต้องใช้ทั้ง Privacy Notice และ Consent
 
## ประกาศแจ้งความเป็นส่วนตัว (Privacy Notice)  
ตาม[มาตรา 23 พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562](https://pdpa.sidata.plus/?stackedPages=%2Farticle-23) การประกาศแจ้งความเป็นส่วนตัว หมายถึง การแจ้งแก่เจ้าของข้อมูลส่วนบุคคลก่อน หรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล โดยแจ้งให้ทราบถึงรายละเอียดต่าง ๆ เกี่ยวกับภาพรวมในการประมวลข้อมูลส่วนบุคคลของตน ซึ่งเป็นหนึ่งในหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล **โดยจะต้องแจ้งแก่เจ้าของข้อมูลส่วนบุคคลทุกกรณี (ไม่ว่าจะมีกิจกรรมการประมวลผลฐานกฎหมายใดก็ตาม)**

และกฎหมายยังระบุว่าการประกาศแจ้งความเป็นส่วนตัว (Privacy Notice) ต้องมีรายละเอียดดังต่อไปนี้ 
### Checklist การประกาศแจ้งความเป็นส่วนตัว (Privacy notice)
1. วัตถุประสงค์และฐานทางกฎหมายในการเก็บรวบรวม ใช้ หรือเปิดเผย (“ประมวลผล”) ข้อมูลส่วนบุคคล 
2. ผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล กรณีที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมาย หรือสัญญา หรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้าทำสัญญา  
3. ประเภทข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม 
4. ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล
5. ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจถูกเปิดเผย รวมถึงกรณีที่ข้อมูลส่วนบุคคลอาจถูกเปิดเผยไปยังต่างประเทศ (ถ้ามี)
6. วิธีการติดต่อผู้ควบคุมข้อมูลส่วนบุคคล 
7. วิธีการติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลและตัวแทน (Data Protection Officer) (ถ้ามี) 
8. สิทธิของเจ้าของข้อมูลส่วนบุคคลตาม PDPA 

![1.png](https://cdn.hashnode.com/res/hashnode/image/upload/v1663561958369/VDrUngBl9.png align="left")
ภาพที่ 1 แสดงตัวอย่างประกาศแจ้งความเป็นส่วนตัว (Privacy notice)

## แล้วฐานความยินยอม (Consent) ให้ประมวลผลข้อมูล คืออะไร?  
ตาม[มาตรา 19 พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562](https://pdpa.sidata.plus/?stackedPages=%2Farticle-19) 
การขอความยินยอมในการประมวลผลข้อมูล จะนำมาใช้ต่อเมื่อ ผู้ควบคุมข้อมูลส่วนบุคคลไม่สามารถหาฐานทางกฎหมายอื่นใดตามพระราชบัญญัติฯ มารองรับกิจกรรมประมวลผลข้อมูลส่วนบุคคลนั้นได้อีก

ผู้ควบคุมข้อมูลส่วนบุคคล จึงต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ในการประมวลผลข้อมูล
## ดังนั้น "การขอความยินยอม" จึงเป็นฐานกฎหมายทางเลือกสุดท้ายที่ผู้ควบคุมข้อมูลส่วนบุคคลจะหยิบมาใช้ 

ซึ่ง “ฐานความยินยอม” ในการประมวลผลข้อมูลส่วนบุคคลนั้น จะแตกต่างกับ “การยินยอม” ก่อนเข้ารับหัตถการ การผ่าตัด หรือยอมเข้าเป็นอาสาสมัครหรือผู้เข้าร่วมวิจัยในโครงการวิจัย เป็นต้น

และตามกฎหมายแล้วฐานความยินยอม (Consent) ต้องมีเงื่อนไขหรือองค์ประกอบในการขอความยินยอม ดังต่อไปนี้
### Checklist ฐานความยินยอม (Consent)   
1. ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะประมวลผลข้อมูลส่วนบุคคล เว้นแต่มีบทกฎหมายอื่นที่บัญญัติให้กระทำได้ 
2. ต้องให้ความยินยอมโดยชัดแจ้ง (Clear affirmative action) อาจทำเป็นกระดาษ หรือทำโดยผ่านระบบอิเล็กทรอนิกส์ หรือวิธีการอื่น ๆ เช่น ขอความยินยอมผ่านทางโทรศัพท์ แต่แนะนำให้ใช้วิธีที่มีหลักฐานเป็นลายลักษณ์อักษร เพื่อง่ายต่อการตรวจสอบ 
3. ต้องแจ้งวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลไว้ในการขอความยินยอม
4. ต้องให้อิสระ (Freely given) แก่เจ้าของข้อมูลส่วนบุคคลในการให้ หรือไม่ให้ความยินยอม 
5. การขอความยินยอมต้อง ***แยกต่างหาก*** จากเงื่อนไขในการให้บริการ 
6. ต้องแยกส่วนการขอความยินยอมออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ ใช้ภาษาที่อ่านง่าย และไม่หลอกลวง หรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์การประมวลผลข้อมูล 
7. ต้องให้เจ้าของข้อมูลส่วนบุคคลสามารถถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม และผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งแก่เจ้าของข้อมูลส่วนบุคคลให้ทราบถึงผลกระทบจากการถอนความยินยอมดังกล่าวด้วย
8. ใช้เป็นทางเลือกสุดท้ายเมื่อไม่สามารถหาฐานทางกฎหมายอื่นใดมารองรับการประมวลผลข้อมูลนั้นได้

![2.png](https://cdn.hashnode.com/res/hashnode/image/upload/v1663561987455/iLJKyMcZP.png align="left")
ภาพที่ 2 แสดงตัวอย่างแบบฟอร์มขอความยินยอม (Consent Form)

## สรุปความแตกต่างในการใช้งาน Privacy Notice และ Consent
![1.png](https://cdn.hashnode.com/res/hashnode/image/upload/v1662948866971/2b44acTAI.png align="center")
ภาพที่ 3 แสดงความแตกต่างในการใช้งาน Privacy Notice และ Consent

## ตัวอย่างการใช้งาน Privacy notice VS Consent 
![2.jpeg](https://cdn.hashnode.com/res/hashnode/image/upload/v1662949035033/eKeg-72C_.jpeg align="center")
ภาพที่ 4 แสดงตัวอย่างการใช้งาน Privacy notice และ Consent 

**โดยสรุป** สิ่งที่องค์กรต่าง ๆ ในฐานะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดทำขึ้น สำหรับทุกกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล นั่นคือ **“การแจ้งประกาศความเป็นส่วนตัว”** ให้เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงวัตถุประสงค์และวิธีการที่องค์กรต่าง ๆ จัดการกับข้อมูลของเรา แต่ **"การขอความยินยอม" **ในการประมวลผลข้อมูลนั้น องค์กรจะต้องพิจารณาให้ได้ว่า กิจกรรมนั้น ๆ มีฐานทางกฎหมายเข้ามารองรับวัตถุประสงค์ของกิจกรรมดังกล่าวได้โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลอีกหรือไม่ ***หากไม่มีฐานกฎหมายใดรองรับในกิจกรรมนั้น จึงจำเป็นอย่างยิ่งที่ผู้ควบคุมข้อมูลส่วนบุคคล ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล***

**ท้ายที่สุดนี้** ทีม Data Governance ของ SiData+ ได้ขับเคลื่อนโครงการคุ้มครองข้อมูลส่วนบุคคล ภายในคณะแพทยศาสตร์ศิริราชพยาบาล เช่น การทำ Privacy notice ให้กับผู้ที่เกี่ยวข้อง และการเปิดให้มีกระบวนการและเอกสารขอใช้สิทธิ ที่เกี่ยวข้องกับจัดการคำร้องขอในการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) โดยสามารถเข้ามาศึกษาได้ที่ si.mahidol.ac.th/data/en/privacy 

**ผู้เขียน **

ปิย์ญาพร กิวสันเที๊ยะ, นิติกร

วิศรุต โพธิ์ศรี, CIPP/E
 
**บรรณาธิการ **

ศศินิภา อุทัยสอาด 

**ตรวจทาน**

ณัฐวุฒิ อดุลยานุโกศล, CIPM

ศศินา เถียรพรมราช
 
