“ความยินยอม” ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

เพื่อให้ “ผู้ควบคุมข้อมูลส่วนบุคคล” ใช้เป็นเครื่องมือในการบรรลุวัตถุประสงค์การใช้ข้อมูลส่วนบุคคล ทั้งข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลตามมาตรา 26 อาทิ เชื้อชาติ ศาสนา ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ และข้อมูลชีวภาพ เป็นต้น

ก่อนที่จะใช้ความยินยอมเป็นฐานการประมวลผลข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ตรวจสอบก่อนว่าความยินยอมเป็นฐานทางกฎหมายที่สอดคล้องกับกิจกรรมการประมวลผล ลักษณะการประมวลผล และกฎหมายอื่น ๆ ที่เกี่ยวข้องหรือไม่

เนื่องจากตามมาตรา 19 วรรคท้ายกำหนดว่า การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่ไม่เป็นไปตามที่กำหนดไว้ในหมวดนี้ (หมวด 2 มาตรา 19-29 ) ไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคคลและไม่ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทำการประมวลผลข้อมูลส่วนบุคคลได้ 

เมื่อพิจารณาแล้วว่าความยินยอมเป็นฐานทางกฎหมายที่เหมาะสม ถูกต้อง จึงพิจารณาเงื่อนไขของการจัดทำความยินยอมที่ชอบด้วยกฎหมายตามที่กำหนดไว้ในมาตรา 19 ดังนี้

1) ต้องได้รับความยินยอมเมื่อใด: ต้องได้มาก่อนหรือในขณะที่จะ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยจะขอความยินยอมทีหลัง หรือขอย้อนหลังไม่ได้

2) รูปแบบการขอความยินยอม: ต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้

3) ขอจากใคร: ในการขอความยินยอมต้องขอจากเจ้าของข้อมูลส่วนบุคคลเท่านั้น หากแต่เป็นกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรส หรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้วตามประมวลกฎหมายแพ่งและพาณิชย์

การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าวต้องปฏิบัติตามเงื่อนไขในมาตรา 20 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ได้แก่ ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือต้องขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ ทั้งนี้ตามเงื่อนไขที่กฎหมายกำหนด

4) การแจ้งวัตถุประสงค์: ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล และการแจ้งนั้นต้องไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว 

5) แบบของการขอความยินยอม: การขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย

6) ความเป็นอิสระในการให้ความยินยอม: ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุด
ในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม (freely given)  โดยในการเข้าทำสัญญาซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อประมวลผลข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ

7) การถอนความยินยอม: เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล

ในการใช้ “ความยินยอม” นั้น องค์กรต้องปฏิบัติตามเงื่อนไขทั้ง 7 ประการข้างต้น อย่างเคร่งครัด จึงจะเป็นความยินยอมที่ชอบด้วยกฎหมาย ซึ่งหลักการขอความยินยอมตามมาตรา 19 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ เป็นบทบัญญัติที่สอดคล้องกับเงื่อนไขการขอความยินยอมตามกฎหมายคุ้มครองข้อมูล

ส่วนบุคคลของสหภาพยุโรปหรือ GDPR มาตรา 7 โดย EDPB Guidelines 05/2020 on consent under Regulation 2016/679 ได้ให้ข้อแนะนำไว้ว่าความยินยอมจะเป็นฐานทางกฎหมายที่เหมาะสมได้ก็ต่อเมื่อเจ้าของข้อมูลส่วนบุคคลได้รับการเสนอการควบคุม (control) และเสนอทางเลือกที่แท้จริง (genuine choice) เกี่ยวกับการยอมรับหรือปฏิเสธข้อกำหนดที่เสนอหรือปฏิเสธได้โดยไม่มีความเสียหาย (หรือได้รับผลกระทบเชิงลบ) และความยินยอมเป็น “การตัดสินใจที่ย้อนกลับได้” (reversible decision)

โดยในส่วนหน่วยงานของรัฐ Information Commissioner’s Office (ประเทศอังกฤษ) และ European Data Protection Board ให้ข้อแนะนำว่าหน่วยงานของรัฐอาจมีข้อจำกัดในการใช้ฐานความยินยอมในการประมวลผล

เนื่องจากการมีอำนาจรัฐมีการใช้อำนาจทางปกครองเพื่อการจัดทำบริการสาธารณะ ความยินยอมที่เป็นอิสระจึงอาจเกิดขึ้นได้ยาก หรือในกรณีของความสัมพันธ์ระหว่างนายจ้าง-ลูกจ้างที่นายจ้างมีสถานะทางเศรษฐกิจหรืออำนาจต่อรองที่สูงกว่าลูกจ้าง การขอความยินยอมก็อาจทำได้ยากที่จะให้มีความเป็นอิสระอย่างแท้จริงเช่นกัน

ความยินยอมเป็นหนึ่งในหลาย ๆ ฐานที่กฎหมายกำหนดไว้ เพื่อให้การประมวลผลข้อมูลส่วนบุคคลเป็นธรรมและโปร่งใสต่อเจ้าของข้อมูลส่วนบุคคล โดยการให้องค์กรต่าง ๆ ที่จะประมวลผลข้อมูลส่วนบุคคลต้องพิจารณาและพิสูจน์ได้ว่ามีฐานทางกฎหมาย (ข้อกล่าวอ้างว่ามีสิทธิประการใดประการหนึ่งในการนำข้อมูลส่วนบุคคลไปใช้)

โดยต้องแจ้งในประกาศนโยบายความเป็นส่วนตัว (Privacy Notice) และควรบันทึกไว้ในบันทึกรายการกิจกรรมการประมวลผลด้วย (Record of Processing Activities: ROPA) เพื่อประโยชน์ในการทบทวนตรวจสอบทั้งจากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล.