ข้อหารือที่ 4/2566 — ธนาคาร ข. (ถอนความยินยอม)
สารบัญในมาตรานี้
ข้อกฎหมาย
- พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 — มาตรา 19 วรรคห้า และวรรคหก
ข้อหารือ
ธนาคาร ข. ขอหารือเกี่ยวกับการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เกี่ยวกับการถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลจากลูกค้าผ่านเครื่อง SUMO เครื่อง Virtual Teller Machine (VTM) และผ่านระบบ Mobile Banking ซึ่งลูกค้าสามารถเปลี่ยนแปลงความยินยอมจาก "ยินยอม" เป็น "ไม่ยินยอม" ด้วยตนเอง ถือเป็นการถอนความยินยอมได้หรือไม่ หรือต้องมีช่องทางหรือเมนูให้ลูกค้าเพิกถอนความยินยอมเพิ่มเติมหรือไม่
ความเห็น
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คำแนะนำหน่วยงานของรัฐเพื่อรองรับการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้พิจารณาข้อหารือแล้ว เห็นว่า
-
มาตรา 19 วรรคห้าและวรรคหก แห่ง PDPA ได้กำหนดว่าเจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้ โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบตามที่กำหนดไว้ในหมวดนี้ ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอมนั้น
-
กรณีนี้หากธนาคาร ข. ได้แจ้งในประกาศความเป็นส่วนตัว (Privacy Notice) ให้เจ้าของข้อมูลส่วนบุคคลทราบอย่างชัดแจ้งว่าการที่ลูกค้าผู้ใช้บริการได้กดปุ่ม "ไม่ยินยอม" ผ่านระบบ SUMO (เครื่อง Virtual Teller Machine (VTM)) และผ่านระบบ Mobile Banking ซึ่งเป็นการกดปุ่มหลังจากที่ทำการกดปุ่มให้ความยินยอมมาแล้ว ให้ถือว่าเป็นการถอนความยินยอมจากการให้บริการ แม้กระบวนการถอนความยินยอมไม่ได้จัดทำเป็นกรณีเฉพาะก็ถือเป็นการถอนความยินยอมตามกฎหมายแล้ว ทั้งนี้ ธนาคารฯ ควรจัดให้มีระบบตรวจสอบย้อนกลับ (trace back) ของการให้ความยินยอมและการถอนความยินยอม และควรแจ้งผลหรือแสดงสถานะการถอนความยินยอมให้เจ้าของข้อมูลส่วนบุคคลทราบด้วย