ประกาศ คณะกรรมการว่าด้วยสัญญาฯ: ปัญหาในทางปฏิบัติที่ขัดกับ PDPA

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ในส่วนของหน้าที่ของผู้ควบคุมข้อมูลเพิ่งจะเริ่มบังคับใช้อย่างเต็มรูปแบบ ตั้งแต่วันที่ 1 มิถุนายน 2565 โดยพระราชบัญญัติฉบับนี้เป็นกฎหมายที่สร้างมาตรฐานในการปกป้องคุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องกับหลักการสากลและมีแนวปฏิบัติเทียบเคียงกับกฎหมาย General Data Protection Regulation (GDPR) ของสหภาพยุโรป

ซึ่งมีหลักการสำคัญประการหนึ่ง คือ การที่ผู้ใดจะจัดเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้จะต้องสามารถอ้างฐานการประมวลผล (lawful basis) ข้อใดข้อหนึ่งได้ตามมาตรา 24 ประกอบมาตรา 27 ได้แก่ (1) เพื่อจัดทำจดหมายเหตุ การวิจัย หรือสถิติ (2) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต (3) เพื่อปฏิบัติตามสัญญา (4) เพื่อประโยชน์สาธารณะ (5) เพื่อประโยชน์โดยชอบด้วยกฎหมาย และ (6) เพื่อการปฏิบัติตามกฎหมาย

ซึ่งในกรณีดังกล่าวผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลสามารถดำเนินการได้โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน แต่หากไม่สามารถอ้างฐานใดฐานหนึ่งเหล่านี้ได้จะต้องขอความยิมยอม (Consent) จากเจ้าของข้อมูล (Data Subject) เสียก่อน โดยความยินยอมสามารถทำเป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ก็ได้ หรืออาจทำในรูปแบบอื่น เช่น การให้ความยินยอมด้วยวาจา เป็นต้น

เห็นได้ว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้นไม่ได้มุ่งเน้นเฉพาะด้านการคุ้มครองความเป็นส่วนตัวเท่านั้น แต่ยังคำนึงถึงว่าข้อมูลส่วนบุคคลนั้นจะต้องถูกใช้ประโยชน์ได้อีกด้วย (ตามมาตรฐานและแนวปฏิบัติว่าด้วยความมั่นคงปลอดภัยของข้อมูลตามที่กฎหมายกำหนด)

เพราะหากเน้นแต่การคุ้มครองและขอความเห็นชอบไปเสียทุกกรณี ก็จะเป็นอุปสรรคขัดขวางไม่ให้ข้อมูลถูกนำไปใช้ประโยชน์ได้โดยชอบ

อย่างไรก็ตาม เมื่อต้นเดือนธันวาคม 2565 “คณะกรรมการว่าด้วยสัญญา” ตามพระราชบัญญัติคุ้มครองผู้บริโภค พ.ศ. 2522 ได้ออกประกาศคณะกรรมการว่าด้วยสัญญา เรื่อง ให้ธุรกิจการให้กู้ยืมเงินเพื่อผู้บริโภคเป็นธุรกิจที่ควบคุมสัญญา พ.ศ. 2565 ซึ่งในข้อ 4.1 (7) และ 4.2 (8) ได้กำหนดเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลไว้

โดยมีสาระสำคัญว่า “ในกรณีที่ผู้ให้กู้มีการจัดเก็บข้อมูลส่วนบุคคลของผู้กู้ไว้ หากผู้ให้กู้จะนำข้อมูลนั้นไปเปิดเผยให้บุคคลที่สาม ผู้ให้กู้จะกระทำได้ต่อเมื่อได้รับความยินยอมเป็นหนังสือจากผู้กู้ก่อน เป็นกรณีรายครั้งไป โดยผู้กู้มีสิทธิจะให้ความยินยอมหรือไม่ก็ได้ และหากให้ความยินยอมไปแล้วผู้กู้มีสิทธิถอนความยินยอมดังกล่าวเมื่อใดก็ได้ ทั้งนี้ เป็นไปตามเงื่อนไขที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด”

จะเห็นได้ว่าประกาศฉบับนี้กำหนดให้นำหลักความยินยอมมาเป็นเงื่อนไขสำคัญของสัญญากู้ยืมเงินเพื่อผู้บริโภค และไม่สอดคล้องกับหลักการของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในประเด็นต่อไปนี้

(1) โดยปกติแล้วภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 การเปิดเผยข้อมูลให้กับบุคคลที่ 3 กรณีของการกู้เงิน สามารถอ้างฐานการประมวลผลคือการปฏิบัติตามสัญญากู้ได้อยู่แล้ว ในกรณีที่เป็นการปฏิบัติตามพันธกรณีของสัญญา หรือสามารถอ้างฐานการปฏิบัติตามกฎหมายในการส่งหรือเปิดเผยข้อมูลให้หน่วยงานรัฐที่ทำหน้าที่ตรวจสอบดูแลการดำเนินการต่างๆ ของผู้ให้กู้ ได้โดยไม่ต้องขอความยินยอมจากผู้กู้แต่อย่างใด

(2) การกำหนดให้การขอความยินยอมต้องทำเป็นหนังสือเท่านั้นไม่สอดคล้องกับมาตรา 19 วรรคสอง ที่กำหนดให้การขอความยินยอมสามารถทำในรูปแบบอื่นๆ นอกจากการเป็นหนังสือได้ เช่น การกรอกแบบฟอร์มอิเล็กทรอนิกส์ การส่งเอกสารอิเล็กทรอนิกส์ที่สแกนจากต้นฉบับ การใช้ลายมือชื่ออิเล็กทรอนิกส์ รวมถึงการให้ความยินยอมทางวาจาหรือทางโทรศัพท์

(3) การกำหนดให้ต้องขอความยินยอมเป็นกรณีรายครั้งไปนั้นไม่สอดคล้องกับมาตรา 19 วรรคหนึ่ง ซึ่งกำหนดว่า ผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลจะทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากเจ้าของข้อมูลส่วนบุคคลนั้น ไม่ได้ให้ความยินยอมก่อนหรือในขณะนั้น

ซึ่งเห็นได้ว่ากฎหมายข้อมูลส่วนบุคคลเปิดช่องให้สามารถขอรับความยินยอมได้ทั้งก่อนการดำเนินการ หรือในขณะการดำเนินการได้ และไม่ได้บังคับว่าต้องขอความยินยอมเป็นรายครั้งไป

ผลของประกาศฉบับนี้จะก่อให้เกิดปัญหาในทางปฏิบัติกับผู้ให้กู้ ตัวอย่างเช่น สมมติว่าสถาบันการเงินต้องส่งข้อมูลเกี่ยวกับการกู้เงินของลูกค้าธนาคารให้ ปปง. แต่กลับกลายเป็นว่าต้องมาขอความยินยอมของลูกค้า แทนที่จะสามารถส่งข้อมูลดังกล่าวให้กับ ปปง. ได้เลยตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือหากว่าธนาคารจะไปจ้างบุคคลภายนอกพิมพ์ statement หรือบัตรเครดิตที่มีข้อมูลส่วนบุคคล ธนาคารต้องขอความยินยอมจากลูกค้า แถมต้องขอเป็นรายครั้ง ซึ่งบางกิจกรรมอาจจะต้องกลับไปขอความยินยอมจากลูกค้าทุกเดือนทุกเดือน ซึ่งในทางปฏิบัติมันเป็นไปได้ยากมาก

นอกจากนี้ เรื่องของประกาศของคณะกรรมการว่าด้วยสัญญาที่ให้ขอความยินยอมเป็นรายครั้ง ต่อให้เป็นการที่กฎหมายบังคับให้ขอความยินยอม เช่น การเปิดเผยข้อมูลให้พันธมิตรทางธุรกิจเพื่อวัตถุประสงค์ทางการตลาด ปกติหากธนาคารได้ความยินยอมของลูกค้าแล้ว จะขอเพียงครั้งเดียวจนกว่าลูกค้าจะมาถอนความยินยอมเมื่อใดก็ได้ ซึ่งตรงกับหลักการแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ความยิมยอมขอเพียงครั้งเดียว เพียงแต่ว่าผู้ให้ความยิมยอมคือลูกค้าสามารถถอนเมื่อใดก็ได้ และการถอนความยิมยอมต้องสามารถถอนโดยวิธีที่ง่ายเหมือนตอนให้ แต่ประกาศฉบับนี้เข้มงวดกว่าตรงที่ให้ความยินยอมแล้วใช้ได้ครั้งเดียว ต้องขอใหม่เรื่อย ๆ ส่งผลให้สถาบันการเงินอาจต้องติดต่อลูกค้าทุกเดือน

นอกจากนี้ตามประกาศคณะกรรมการกำหนดให้ต้องขอความยิมยอมเป็นลายลักษณ์อักษรทุกกรณี ซึ่งเป็นไปได้ยากในทางปฏิบัติเพราะปกติการขอความยิมยอมจะทำในวันเดียวกับวันที่ลูกค้าที่เซ็นสัญญากู้ ทำให้ยากมากที่จะมีโอกาสมาให้ความยินยอมเป็นลายลักษณ์อักษรอีกหลักจากนั้น

ด้วยเหตุนี้ ประกาศของคณะกรรมการว่าด้วยสัญญาฯ ฉบับดังกล่าว นอกจากจะไม่สอดคล้องกับหลักการของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งวางหลักการการคุ้มครองข้อมูลส่วนบุคคลที่มีความเป็นสากล ที่นอกจากมุ่งคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลแล้ว ก็ยังให้มีการใช้ประโยชน์จากข้อมูลส่วนบุคคลได้ภายใต้มาตรการรักษาความปลอดภัยของข้อมูลที่เหมาะสม และยังไม่สอดคล้องกับแนวทางปฏิบัติของสถาบันการเงินที่เป็นผู้ให้กู้อีกด้วย

ประกาศฉบับดังกล่าวจึงต้องมีการทบทวนถึงความจำเป็นว่าเหตุใดต้องมีการกำหนดมาตรการในการเปิดเผยข้อมูลส่วนบุคคลของผู้กู้ที่เข้มงวดกว่าสัญญาอื่นหรือกรณีทั่วไป ทั้งๆ ที่มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะอยู่แล้ว หรือว่ามีแนวทางอื่นที่มีความเป็นไปได้ในทางปฏิบัติและเหมาะสมกว่าในการคุ้มครองผู้กู้ โดยที่ไม่เป็นอุปสรรคต่อการปฏิบัติตามสัญญากู้ของสถาบันการเงินหรือการส่งข้อมูลให้หน่วยงานของรัฐที่เกี่ยวข้องตามกฎหมายหรือไม่

บทความโดย สลิลธร ทองมีนสุข อาจารย์ประจำคณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย และนักวิชาการ นโยบายด้านการขนส่งและโลจิสติกส์ ทีดีอาร์ไอ และ ณภัทร ภัทรพิศาล นักวิจัยนโยบายด้านการขนส่งและโลจิสติกส์ ทีดีอาร์ไอ

ผลงานล่าสุดจากทีดีอาร์ไอ