มาตรา 19

หมวด 2 ส่วนที่ 1 · 3 แนวคิดที่เกี่ยวข้อง · 5 มาตราอ้างอิง

สารบัญในมาตรานี้

ตัวบท
สรุป
องค์ประกอบสำคัญ
มาตราที่อ้างอิง
หมายเหตุ
แนวคิดที่เกี่ยวข้อง

ตัวบท

มาตรา 19 ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้

การขอความยินยอมต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้

ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว ทั้งนี้ คณะกรรมการจะให้ผู้ควบคุมข้อมูลส่วนบุคคลขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามแบบและข้อความที่คณะกรรมการประกาศกำหนดก็ได้

ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ ในการเข้าทำสัญญาซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ

เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้ โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบตามที่กำหนดไว้ในหมวดนี้

ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอมนั้น

การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลที่ไม่เป็นไปตามที่กำหนดไว้ในหมวดนี้ ไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคคล และไม่ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้

สรุป

มาตรานี้คือ หลักการความยินยอม — รากฐานของการคุ้มครองข้อมูลส่วนบุคคลตาม พ.ร.บ. นี้: ผู้ควบคุมข้อมูลห้ามเก็บ/ใช้/เปิดเผยข้อมูลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล เว้นแต่กฎหมายบัญญัติให้กระทำได้ — และกำหนดเงื่อนไขการขอความยินยอม รูปแบบ ความเป็นอิสระในการให้ความยินยอม สิทธิถอนความยินยอม รวมถึงผลทางกฎหมายของการขอความยินยอมที่ไม่ถูกต้อง

องค์ประกอบสำคัญ

หลักการพื้นฐาน (วรรค 1): ห้ามเก็บ/ใช้/เปิดเผยข้อมูลโดยไม่มีความยินยอม เว้นแต่ พ.ร.บ. นี้หรือกฎหมายอื่นบัญญัติ
รูปแบบการขอความยินยอม (วรรค 2): ต้องชัดแจ้ง — เป็นหนังสือ หรือทางอิเล็กทรอนิกส์ เว้นแต่สภาพทำไม่ได้
เงื่อนไขการขอความยินยอม (วรรค 3):
- ต้องแจ้งวัตถุประสงค์ของการประมวลผล
- แยกส่วนจากข้อความอื่นอย่างชัดเจน
- แบบเข้าถึงได้ง่าย เข้าใจได้ ใช้ภาษาที่อ่านง่าย
- ไม่หลอกลวงหรือทำให้เข้าใจผิดในวัตถุประสงค์
- คณะกรรมการอาจประกาศกำหนดแบบและข้อความได้
ความเป็นอิสระในการให้ความยินยอม (วรรค 4):
- ผู้ควบคุมต้องคำนึง "อย่างถึงที่สุด" ในความเป็นอิสระของเจ้าของข้อมูล
- ห้ามผูกการให้ความยินยอมเข้ากับการเข้าทำสัญญา/การให้บริการ ที่ไม่จำเป็นหรือไม่เกี่ยวข้องกับสัญญานั้น
สิทธิถอนความยินยอม (วรรค 5):
- ถอนได้เมื่อใดก็ได้ — และต้องถอน "ได้ง่าย" เช่นเดียวกับการให้ความยินยอม
- ข้อจำกัด: เฉพาะที่กฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลกำหนด
- ผลของการถอน: ไม่ย้อนหลัง — ไม่กระทบต่อการประมวลผลที่กระทำไปแล้วโดยชอบ
หน้าที่แจ้งผลกระทบ (วรรค 6): ในกรณีการถอนความยินยอมส่งผลกระทบ ผู้ควบคุมต้องแจ้งให้เจ้าของข้อมูลทราบ
ผลทางกฎหมายของการขอความยินยอมที่ไม่ถูกต้อง (วรรค 7):
- ความยินยอมที่ขอไม่เป็นไปตามหมวดนี้ — ไม่มีผลผูกพัน เจ้าของข้อมูล
- ผู้ควบคุมไม่ได้สิทธิประมวลผล แม้ว่าเจ้าของข้อมูลจะ "ลงนามยินยอม" แล้วก็ตาม

มาตราที่อ้างอิง

ตัวบทมาตรานี้ไม่ได้อ้างอิงมาตราอื่นโดยตรง แต่เป็นรากฐานที่ถูกอ้างอิงจากหลายมาตรา (อ้างกลับ):

มาตรา 20 — ขยายความสำหรับเจ้าของข้อมูลที่เป็นผู้เยาว์/คนไร้ความสามารถ/คนเสมือนไร้ความสามารถ (ใครเป็นผู้ให้ความยินยอมแทน)
มาตรา 23 — ใน (6) แจ้งสิทธิเจ้าของข้อมูลรวมถึงสิทธิถอนความยินยอมตามวรรคห้าของมาตรานี้
มาตรา 24 — ฐานทางกฎหมาย 6 ข้อยกเว้นที่ไม่ต้องขอความยินยอมในการเก็บรวบรวม
มาตรา 25 — การเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรง — อิงหลักความยินยอมของมาตรานี้
มาตรา 26 — ฐานสำหรับข้อมูลอ่อนไหวที่ต้อง "ความยินยอมโดยชัดแจ้ง" (เข้มกว่าความยินยอมทั่วไปในมาตรานี้)

หมายเหตุ

หลักห้ามผูกความยินยอมกับสัญญาที่ไม่เกี่ยวข้อง (วรรค 4): ห้ามผูกความยินยอมเข้ากับการเข้าทำสัญญา/การให้บริการที่ไม่เกี่ยวข้อง — ป้องกันการบังคับให้เจ้าของข้อมูลต้องยอมรับการประมวลผลที่ไม่จำเป็นเพื่อจะได้ใช้บริการ
สิทธิถอนความยินยอมต้อง "ได้ง่ายเช่นเดียวกับการให้" (วรรค 5): หลักความเท่าเทียมระหว่างการให้และการถอน — ถ้าให้ความยินยอมด้วยการคลิก 1 ครั้ง การถอนต้องไม่ยุ่งยากกว่านั้น (ในแนวปฏิบัติคือ ต้องมีช่องทางถอนความยินยอมที่มองเห็นได้และทำได้ทันที)
ผลย้อนหลังของการถอน (วรรค 5): การถอนความยินยอม ไม่ลบล้าง การประมวลผลที่ทำไปแล้ว — ดังนั้นเจ้าของข้อมูลที่ต้องการลบข้อมูลย้อนหลังต้องใช้สิทธิอื่น (เช่น สิทธิขอลบ) แยกต่างหาก
ความสัมพันธ์กับมาตราอื่นในหมวด 2: มาตรานี้เป็น หลักทั่วไป ของการประมวลผลด้วยความยินยอม; มาตรา 20 = ผู้ให้ความยินยอมแทนสำหรับผู้เยาว์/คนไร้ความสามารถ/คนเสมือนไร้ความสามารถ; มาตรา 24 = ฐานข้อยกเว้นที่ไม่ต้องขอความยินยอม; มาตรา 26 = ฐานข้อมูลอ่อนไหวที่เข้มกว่า