คำสั่งที่ 16/2567 (คณะที่ 2) — ให้แก้ไขระบบ default opt-in (pre-checked tickbox) ของแอปพลิเคชันสะสมคะแนน (ฝ่าฝืนการขอความยินยอมตาม ม.19 · อำนาจ ม.90 · ภายใน 30 วัน)
สารบัญในมาตรานี้
เรื่องร้องเรียน
- ผู้ร้องเรียน: [นาย ก.]
- ผู้ถูกร้องเรียน: [บริษัท A.]
คำร้องเรียนนี้สรุปความได้ว่า ผู้ร้องเรียนได้รับการติดต่อทางโทรศัพท์ โดยอ้างว่าติดต่อจาก [บริษัท B.] เมื่อผู้ร้องเรียนสอบถามได้รับแจ้งว่าเป็นผลจากแอปพลิเคชันที่ดำเนินการโดยผู้ถูกร้องเรียน มีวัตถุประสงค์เพื่อสะสมคะแนนสมาชิกและส่งต่อข้อมูลส่วนบุคคลให้แก่บริษัทพันธมิตร โดยผู้ร้องเรียนเห็นว่ามีลักษณะบังคับให้ยอมรับข้อตกลงเงื่อนไขและนโยบายความเป็นส่วนตัว จึงจะเข้าใช้งานแอปพลิเคชันดังกล่าวได้ และมีข้อความปรากฏในลักษณะเป็นเครื่องหมายถูก (✔) ว่าผู้ร้องเรียนได้ให้ความยินยอมไว้ก่อนแล้ว ทำให้ข้อมูลส่วนบุคคลของผู้ร้องเรียนถูกเปิดเผยไปยังบุคคลอื่นโดยไม่ได้รับความยินยอมและอาจทำให้ได้รับความเสียหาย ต่อมาผู้ถูกร้องเรียนชี้แจงให้ผู้ร้องเรียนทราบเป็นหนังสือถึงการให้ความยินยอมในวัตถุประสงค์เพื่อเปิดเผยข้อมูลส่วนบุคคลไปยังพันธมิตรทางธุรกิจของผู้ถูกร้องเรียนด้วยตัวของผู้ร้องเรียนเองเป็นจำนวนสองครั้ง อีกทั้งผู้ถูกร้องเรียนยังได้ชี้แจงถึงการขอความยินยอมตามวัตถุประสงค์ ซึ่งแยกส่วนและไม่มีลักษณะบังคับในการขอความยินยอมดังกล่าว ซึ่งผู้ร้องเรียนได้ทราบถึงหนังสือชี้แจงของผู้ถูกร้องเรียนแล้ว
คำวินิจฉัย
คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ตรวจสอบข้อเท็จจริงแล้วเห็นว่า การที่แอปพลิเคชันที่ดำเนินการโดยผู้ถูกร้องเรียน มีการตั้งค่า (Default) โดยอัตโนมัติ ให้มีการยินยอมรับข้อตกลงเงื่อนไขการใช้บริการแอปพลิเคชัน โดยการแสดงเครื่องหมายถูก (✔) หรือ Opt-in ในช่องสี่เหลี่ยมเพื่อแสดงว่าผู้ใช้บริการได้ตกลงยอมรับเงื่อนไขการใช้ด้วยวิธีการทางอิเล็กทรอนิกส์สามารถทำได้ อย่างไรก็ตามในส่วนการให้ความยินยอมผ่านสื่ออิเล็กทรอนิกส์ โดยการแสดงเครื่องหมายถูก (✔) หรือ Opt-in เพื่อให้ [บริษัท A.] และพันธมิตรทางธุรกิจ ใช้ข้อมูลส่วนบุคคลได้ แม้มีการแยกส่วนจากการยอมรับข้อตกลงเงื่อนไขการใช้บริการ แต่เมื่อผู้ใช้บริการได้กดยอมรับข้อตกลงเงื่อนไขการใช้แอปพลิเคชันแล้ว ระบบคอมพิวเตอร์ที่ควบคุมแอปพลิเคชัน จะทำการตั้งค่าให้แสดงเครื่องหมายถูก (✔) ในช่องสี่เหลี่ยมเพื่อให้ [บริษัท A.] และพันธมิตรทางธุรกิจนำข้อมูลส่วนบุคคลไปใช้ได้ทันทีโดยอัตโนมัติ แม้ผู้ใช้บริการไม่ได้แสดงเจตนาซึ่งการดำเนินการดังกล่าว แม้เป็นการดำเนินการเพื่อความสะดวก แต่เป็นกรณีที่มีการกำหนดเงื่อนไขในเรื่องการยินยอมไว้ล่วงหน้า อันทำให้ผู้ใช้บริการแอปพลิเคชันอาจเกิดความเข้าใจผิดและดำเนินการให้ความยินยอมโดยไม่ตรงตามความเป็นจริง
คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 เห็นว่ากรณีดังกล่าว จึงอาจถือได้ว่าผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการฝ่าฝืนแนวทางการดำเนินการในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งประกาศโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ตาม มาตรา 19 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงมีคำสั่งให้ผู้ถูกร้องเรียนดำเนินการแก้ไขระบบการตั้งค่าให้ความยินยอมโดยอัตโนมัติดังกล่าว และแยกการแสดงเจตนา (Opt-in) ในการให้ความยินยอมให้ใช้ข้อมูลส่วนบุคคลของผู้ร้องเรียนโดยอิสระออกจากการตกลงใช้ ข้อกำหนดเงื่อนไขในการใช้แอปพลิเคชันให้ชัดเจน นอกจากนี้ ผู้ถูกร้องเรียนต้องดำเนินการให้เจ้าของข้อมูลส่วนบุคคลมีอิสระในการตัดสินใจและดำเนินการให้ความยินยอมด้วยตนเอง ไม่ใช่การให้ความยินยอมล่วงหน้าด้วยสื่ออิเล็กทรอนิกส์ อันก่อให้เกิดความสับสนในการให้ความยินยอมตามที่กฎหมายกำหนด
คำสั่ง
อาศัยอำนาจตามความใน มาตรา 90 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 จึงมีคำสั่งให้ผู้ถูกร้องเรียนแก้ไขวิธีการหรือรูปแบบการขอความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และคำนึงถึงความเป็นอิสระอย่างถึงที่สุดของเจ้าของข้อมูลส่วนบุคคล โดยห้ามมิให้ผู้ถูกร้องเรียนกำหนดการให้ความยินยอมไว้ก่อนล่วงหน้าหรือระบุเครื่องหมายอันแสดงถึงการให้ความยินยอมไว้ก่อนที่เจ้าของข้อมูลส่วนบุคคล ภายใน 30 วัน นับแต่วันที่ได้รับคำสั่ง
สั่ง ณ วันที่ 30 เมษายน พ.ศ. 2567
ประธานกรรมการผู้เชี่ยวชาญ คณะที่ 2