ความยินยอม

นิยาม

ความยินยอม ตาม มาตรา 19 คือการแสดงเจตนาของเจ้าของข้อมูลส่วนบุคคลให้ผู้ควบคุมข้อมูลทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตน — เป็นฐานหลักในการประมวลผลข้อมูลส่วนบุคคลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (ยกเว้นกรณีที่กฎหมายอนุญาตให้ทำได้โดยไม่ต้องขอความยินยอมตาม มาตรา 24 หรือ มาตรา 26)

องค์ประกอบหลัก 7 ประการของความยินยอมที่ชอบด้วยกฎหมายตาม มาตรา 19:

1. ทำโดยชัดแจ้ง — เป็นหนังสือหรือผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจทำได้
2. แจ้งวัตถุประสงค์ — ผู้ควบคุมต้องแจ้งวัตถุประสงค์ของการเก็บ ใช้ เปิดเผย ไปพร้อมกับการขอความยินยอม
3. แยกส่วนชัดเจน — การขอความยินยอมต้องแยกออกจากข้อความอื่นอย่างชัดเจน
4. ใช้ภาษาที่อ่านง่ายและเข้าใจได้ — ไม่ใช้ศัพท์ซับซ้อนเกินจำเป็น
5. ไม่หลอกลวง — ไม่ทำให้เจ้าของข้อมูลเข้าใจผิดในวัตถุประสงค์
6. คำนึงถึงความเป็นอิสระ — ห้ามผูกเงื่อนไขความยินยอมในการเก็บข้อมูลที่ไม่จำเป็นกับการเข้าทำสัญญา/บริการ
7. ถอนความยินยอมได้ง่าย — เจ้าของข้อมูลสามารถถอนความยินยอมเมื่อใดก็ได้ ในวิธีที่ง่ายเช่นเดียวกับการให้ความยินยอม

ผลของการขอความยินยอมที่ไม่เป็นไปตามหมวดนี้: ไม่มีผลผูกพันเจ้าของข้อมูล และผู้ควบคุมไม่สามารถเก็บ ใช้ เปิดเผยข้อมูลนั้นได้ (ตาม มาตรา 19 วรรคท้าย)

ตัวอย่าง

ความยินยอมที่ "ใช่":

• หน้าจอแสดงรายละเอียดวัตถุประสงค์ + ปุ่ม "ยินยอม" แยกจากปุ่ม "ตกลงเงื่อนไขการใช้บริการ" ของแอปพลิเคชัน
• แบบฟอร์มกระดาษที่มีช่องลายเซ็นแยกสำหรับการให้ความยินยอมเก็บข้อมูล (แยกจากข้อตกลงทั่วไป)
• การโทรหาลูกค้าและบันทึกเสียงคำยินยอมไว้เป็นหลักฐาน (เมื่อช่องทางหนังสือ/อิเล็กทรอนิกส์ไม่อาจทำได้)
• หน้าจอแอปธนาคารที่อธิบายชัดว่า "เก็บข้อมูลเพื่อให้บริการสินเชื่อ" + ปุ่มยินยอมและถอนยินยอมเข้าถึงได้เท่ากัน

ความยินยอมที่ "ไม่ใช่":

• ปุ่ม "ตกลง" รวมที่บอกว่า "ตกลงเงื่อนไขทั้งหมด" รวมเก็บข้อมูลโดยไม่แยกออก (ขัดข้อ 3 และ 6)
• การบังคับให้ติ๊กยินยอมเก็บข้อมูลเพื่อใช้บริการที่ข้อมูลนั้น "ไม่จำเป็น" ต่อบริการ (เช่น บริการดาวน์โหลดเอกสาร แต่บังคับให้ยินยอมเก็บที่อยู่บ้าน) — ขัดข้อ 6
• กล่องที่ติ๊กยินยอมไว้ก่อนแล้ว ให้เจ้าของข้อมูลต้องเอาออก — ไม่เป็นการแสดงเจตนาเชิงรุก
• หน้าจอที่ใช้ภาษาขอความยินยอมซับซ้อนจนผู้ใช้ทั่วไปไม่เข้าใจ — ขัดข้อ 4

กรณีพิเศษ:

• ผู้เยาว์อายุไม่เกิน 10 ปี (มาตรา 25) — ผู้ใช้อำนาจปกครองให้ความยินยอมแทน
• ผู้เยาว์อายุเกิน 10 ปี แต่ไม่บรรลุนิติภาวะ — ความยินยอมต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองในเรื่องที่กฎหมายกำหนด
• คนไร้ความสามารถ/เสมือนไร้ความสามารถ — ผู้อนุบาล/ผู้พิทักษ์ให้ความยินยอมแทน

มาตราที่เกี่ยวข้อง

หลักการและขั้นตอน:

• มาตรา 19 — ⭐ มาตราหลัก: หลักการขอความยินยอม + 7 องค์ประกอบ + การถอนความยินยอม + ผลของการขอที่ไม่ชอบ
• มาตรา 22 — กรอบหลัก: เก็บข้อมูลเท่าที่จำเป็นตามวัตถุประสงค์ที่ชัดแจ้ง (ความยินยอมต้องสอดคล้องกับวัตถุประสงค์นี้)
• มาตรา 25 — กรณีพิเศษ: ผู้เยาว์ คนไร้ความสามารถ เสมือนไร้ความสามารถ — ผู้แทนตามกฎหมายให้ความยินยอม

ความสัมพันธ์กับฐานอื่นในการประมวลผล:

• มาตรา 24 — 6 ฐานที่อนุญาตให้เก็บข้อมูลทั่วไปได้โดยไม่ต้องขอความยินยอม (ความยินยอมเป็นฐานที่ 7 ตามหลัก)
• มาตรา 26 — กฎเฉพาะข้อมูลอ่อนไหว: ต้องใช้ "ความยินยอมโดยชัดแจ้ง" (เข้มกว่าความยินยอมทั่วไป) หรือเข้าข้อยกเว้น 5 ข้อ
• มาตรา 27 — การใช้และเปิดเผยข้อมูลต้องเป็นไปตามวัตถุประสงค์ที่แจ้งไว้ตอนขอความยินยอม

บทเฉพาะกาล:

• มาตรา 95 — ข้อมูลที่เก็บก่อน พ.ร.บ. มีผลใช้บังคับ ผู้ควบคุมต้องจัดให้มีกลไกถอนความยินยอมอย่างง่ายให้เจ้าของข้อมูลที่ไม่ประสงค์ให้ใช้ข้อมูลต่อ

ประกาศที่เกี่ยวข้อง

-

หมายเหตุ

• "ความเป็นอิสระ" คือหัวใจ: มาตรา 19 วรรคสี่ห้ามผูกเงื่อนไขความยินยอมเก็บข้อมูลที่ "ไม่จำเป็น" กับการเข้าทำสัญญา — เป็นกลไกป้องกันการบีบบังคับให้ยินยอม
• การถอนความยินยอม: สิทธิถอนได้เมื่อใดก็ได้และต้องง่ายเท่ากับการให้ความยินยอม — แต่การถอนไม่กระทบสิ่งที่ได้ทำไปแล้วโดยชอบ (ไม่มีผลย้อนหลัง) (มาตรา 19 วรรคห้า)
• ผู้ควบคุมต้องแจ้งผลกระทบ: หากการถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูล (เช่น ไม่สามารถให้บริการบางอย่างต่อ) ต้องแจ้งผลกระทบนั้นให้เจ้าของข้อมูลทราบ (มาตรา 19 วรรคหก)
• เทียบกับ GDPR: สอดคล้องกับหลักความยินยอมตาม GDPR Art. 7 ที่ต้องเป็นการให้โดยอิสระ เจาะจง โดยทราบข้อมูล และไม่กำกวม — ทั้งสองระบบเน้นความเป็นอิสระและความชัดเจน
• ภาระการพิสูจน์: เมื่อมีข้อโต้แย้ง ผู้ควบคุมข้อมูลต้องพิสูจน์ว่าได้รับความยินยอมที่ชอบแล้ว — จึงเป็นเหตุผลที่ต้องเก็บหลักฐาน (วันเวลาการกระทำในระบบ ลายเซ็น บันทึกเสียง ฯลฯ)
• ไม่ใช่ฐานเดียว: ความยินยอมเป็นฐานสำคัญ แต่ไม่ใช่ฐานเดียว — ผู้ควบคุมสามารถพึ่ง 6 ฐานอื่นใน มาตรา 24 (เช่น สัญญา ภารกิจประโยชน์สาธารณะ) โดยไม่ต้องขอความยินยอมในกรณีที่เข้าฐานเหล่านั้น