หน้าหลัก

ข้อหารือที่ 4/2568 — บริษัท Z (การถอนความยินยอมในแอปพลิเคชัน)

6 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

(ไม่ปรากฏหัวข้อข้อกฎหมายในเอกสารต้นฉบับ — ฐานทางกฎหมายที่อ้างถึงใน "ความเห็น" ประกอบด้วย มาตรา 16 (3), มาตรา 19 วรรคสาม/วรรคสี่/วรรคห้า, มาตรา 20 วรรคหนึ่ง/วรรคสี่, มาตรา 23, มาตรา 30 และ มาตรา 33 แห่ง PDPA + ประมวลกฎหมายแพ่งและพาณิชย์ มาตรา 22/23/24/27 (เกณฑ์ความสามารถของผู้เยาว์))

ข้อหารือ

(ไม่ปรากฏหัวข้อข้อหารือในเอกสารต้นฉบับ — ประเด็นที่หารือคือ แนวทางการดำเนินการเมื่อลูกค้าซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลขอถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลผ่านระบบแอปพลิเคชันของบริษัท Z รวมถึงกรอบระยะเวลาในการดำเนินการ และกรณีที่ผู้ใช้บริการเป็นผู้เยาว์)

ความเห็น

คณะอนุกรรมการตอบข้อหารือและให้คำแนะนำในการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้พิจารณาเรื่องหารือดังกล่าวแล้ว เห็นว่า บริษัท Z ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล มีหน้าที่ดำเนินการให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่ง มาตรา 19 วรรคสี่ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดว่า ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม และ มาตรา 19 วรรคห้า กำหนดให้เจ้าของข้อมูลส่วนบุคคลต้องสามารถถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล นอกจากนี้ แนวทางการดำเนินการในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนดตาม มาตรา 16 (3) กำหนดว่า ผู้ควบคุมข้อมูลส่วนบุคคลต้องแสดงรายละเอียดวิธีการ เงื่อนไข หรือแบบฟอร์มในการถอนความยินยอมให้เด่นชัด (prominent) ในบริเวณที่เห็นได้ชัดเจนในการขอความยินยอมไม่ว่าในรูปแบบหนังสือหรืออิเล็กทรอนิกส์ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลแสดงเจตนาโดยให้ความยินยอมด้วยวิธีการทางอิเล็กทรอนิกส์ เช่น การใช้เมาส์คลิกกดให้ความยินยอม การสไลด์หน้าจอ หรือการวาด key stroke เพื่อให้ความยินยอม การถอนความยินยอมก็ต้องใช้วิธีการแบบเดียวกันหรือระดับเดียวกันได้โดยง่าย หรือเป็นวิธีการอื่นใดที่เจ้าของข้อมูลส่วนบุคคลสามารถเข้าถึงได้โดยง่ายเช่นเดียวกับการขอความยินยอม ทั้งนี้ การถอนความยินยอมจะต้องไม่เป็นการสร้างภาระ ค่าใช้จ่าย หรือขั้นตอนให้กับเจ้าของข้อมูลส่วนบุคคลมากกว่าการให้ความยินยอม และไม่มีผลทำให้การให้บริการด้อยประสิทธิภาพลง หลักการที่กำหนดให้การถอนความยินยอมจะต้องสามารถทำได้ง่ายเช่นเดียวกับการให้ความยินยอม มีขึ้นเพื่อป้องกันมิให้ผู้ควบคุมข้อมูลส่วนบุคคลสร้างอุปสรรค (barrier) ที่ทำให้การถอนความยินยอมมีความยากลำบากหรือต้องใช้ความพยายามมากขึ้นเมื่อเทียบกับการให้ความยินยอม ซึ่งจะเป็นการสร้างภาระแก่เจ้าของข้อมูลส่วนบุคคลอย่างไม่เหมาะสม และอาจสะท้อนเจตนาของผู้ควบคุมข้อมูลส่วนบุคคลที่ไม่ประสงค์จะให้เจ้าของข้อมูลส่วนบุคคลถอนความยินยอม อันจะขัดกับหลักการที่ต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม (“Consent must be freely given.”) ซึ่งรวมถึงสิทธิในการถอนความยินยอมด้วย

ดังนั้น เมื่อเจ้าของข้อมูลส่วนบุคคลขอถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลของตนผ่านทางแอปพลิเคชัน โดยวิธีการที่ง่ายเช่นเดียวกับการให้ความยินยอมแล้ว บริษัท Z ต้องหยุดการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นโดยไม่ชักช้า (without undue delay) หรือโดยเร็วที่สุดเท่าที่จะเป็นไปได้ในทางเทคนิคและทางปฏิบัติ โดยคณะอนุกรรมการตอบข้อหารือฯ มีข้อสังเกตว่า ระยะเวลาในการดำเนินการตามการถอนความยินยอมของเจ้าของข้อมูลส่วนบุคคลนั้น แตกต่างจากระยะเวลาในการตอบสนองต่อคำขอใช้สิทธิอื่น ๆ ของเจ้าของข้อมูลส่วนบุคคล เช่น สิทธิในการขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน (Right of Access) ตาม มาตรา 30 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือสิทธิในการขอให้ดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (Right to Erasure) ตาม มาตรา 33 ซึ่งมีกรอบระยะเวลาในการดำเนินการตอบสนองต่อคำขอใช้สิทธิดังกล่าว 30 วัน หรือมากกว่า แต่สำหรับการถอนความยินยอม การหยุดหรือระงับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะถูกคาดหวังให้เกิดขึ้นเร็วกว่าค่อนข้างมาก เนื่องจากผู้ควบคุมข้อมูลส่วนบุคคลจะไม่มีฐานทางกฎหมาย (lawful basis) ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวอีกต่อไป และมีหน้าที่ในการลบหรือทำลายข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม (เว้นแต่เป็นกรณีที่ได้รับยกเว้นตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด) โดยเฉพาะอย่างยิ่งเมื่อการถอนความยินยอมนั้นกระทำผ่านช่องทางดิจิทัล เช่น ผ่านแอปพลิเคชัน ซึ่งระบบควรถูกออกแบบมาให้รองรับการเปลี่ยนแปลงเงื่อนไขการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามสถานะความยินยอมของผู้ใช้งานได้โดยอัตโนมัติในทันที บริษัท Z จึงควรออกแบบระบบให้รองรับการถอนความยินยอมที่มีผลโดยอัตโนมัติเมื่อผู้ใช้งานกดปุ่มหรือแสดงเจตนาถอนความยินยอมในแอปพลิเคชัน ประกอบกับระบบดังกล่าวควรสามารถปรับปรุงสถานะและหยุดการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวข้องได้ทันทีหากทำได้ พร้อมทั้งแจ้งยืนยันการถอนความยินยอมเพื่อให้เจ้าของข้อมูลส่วนบุคคลมั่นใจว่าการดำเนินการเสร็จสมบูรณ์แล้ว

อย่างไรก็ตาม ในกรณีที่ระบบไม่สามารถดำเนินการให้การถอนความยินยอมมีผลได้โดยอัตโนมัติในทันทีด้วยเหตุผลทางเทคนิคหรือทางปฏิบัติที่มิอาจหลีกเลี่ยงได้ บริษัท Z ควรแจ้งเงื่อนไขและระยะเวลาที่เหมาะสมในการดำเนินการจนกว่าการถอนความยินยอมจะมีผลให้เจ้าของข้อมูลส่วนบุคคลทราบโดยชัดแจ้งในขั้นตอนการถอนความยินยอม ซึ่งการกำหนดระยะเวลาดังกล่าวจะต้องคำนึงถึงหลักความเป็นธรรมและความโปร่งใส และไม่ควรใช้ระยะเวลานานกว่าขั้นตอนที่บริษัทใช้เพื่อทำให้การให้ความยินยอมมีผลใช้บังคับ นอกจากนี้ บริษัท Z ควรระบุระยะเวลาโดยสังเขปในการดำเนินการตามการถอนความยินยอมให้ผู้ใช้บริการซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลทราบ เป็นข้อมูลประกอบในการแจ้งรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล (privacy notice) ตาม มาตรา 23 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และในการแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในขั้นตอนการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ตาม มาตรา 19 วรรคสามด้วย เพื่อความเป็นธรรมและความโปร่งใสแก่เจ้าของข้อมูลส่วนบุคคล เนื่องจากข้อมูลดังกล่าวอาจมีความสำคัญกับการตัดสินใจให้ความยินยอมหรือการใช้สิทธิอื่นของเจ้าของข้อมูลส่วนบุคคล บริษัท Z จึงควรพิจารณากำหนดระยะเวลาที่เหมาะสมจากกระบวนการดำเนินการตามระบบที่เกี่ยวข้องโดยระบุระยะเวลาที่คาดหมายว่าจะดำเนินการให้การถอนความยินยอมมีผลเสร็จสมบูรณ์ตามกระบวนการได้ และอาจพิจารณาระบุระยะเวลาที่เร็วที่สุดและล่าช้าที่สุดที่อาจเป็นไปได้ในการดำเนินการดังกล่าวด้วยก็ได้ โดยระยะเวลาดังกล่าวจะต้องสะท้อนการดำเนินการที่ไม่ชักช้า (without undue delay) และมีความรวดเร็วตามสมควรด้วย

ในกรณีที่ผู้ใช้บริการเป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรสหรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้วตามมาตรา 27 แห่งประมวลกฎหมายแพ่งและพาณิชย์ บริษัท Z จะต้องพิจารณาว่า กรณีดังกล่าวเป็นกรณีที่ผู้เยาว์อาจให้ความยินยอมโดยลำพังได้ตามที่บัญญัติไว้ในมาตรา 22 มาตรา 23 หรือมาตรา 24 แห่งประมวลกฎหมายแพ่งและพาณิชย์หรือไม่ หรือเป็นกรณีที่ผู้เยาว์ไม่อาจให้ความยินยอมโดยลำพังได้และจะต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย หรือเป็นกรณีที่ผู้เยาว์มีอายุไม่เกิน 10 ปี ซึ่งจะต้องขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์แทน ตามนัย มาตรา 20 วรรคหนึ่ง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เนื่องจาก มาตรา 20 วรรคสี่ กำหนดให้นำเงื่อนไขการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรสหรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้ว มาใช้บังคับกับการถอนความยินยอมของเจ้าของข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์โดยอนุโลม ดังนั้น ในการขอความยินยอมและการถอนความยินยอมของผู้ใช้บริการซึ่งเป็นผู้เยาว์ ผู้ควบคุมข้อมูลส่วนบุคคลควรคำนึงถึงความเหมาะสมด้านวุฒิภาวะของผู้เยาว์ในการตัดสินใจเกี่ยวกับผลิตภัณฑ์หรือบริการดังกล่าว ประกอบกับผลกระทบจากการตัดสินใจนั้น โดยพิจารณาดำเนินการเกี่ยวกับการขอความยินยอม หรือการถอนความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ให้เหมาะสมและเป็นไปตาม มาตรา 20 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ด้วย

เอกสารต้นฉบับ