แนะ 7 ฐานทางกฎหมาย ประมวลผลข้อมูล “ผ่านฉลุย” ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

ฐาน ประมวลผลข้อมูล 01

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีขอบข่ายของกฎหมายเพื่อคุ้มครองการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของประชาชนคนไทย ซึ่งถ้าหากเราไม่ดำเนินการตามกฎหมายและเกิดกรณีการละเมิดข้อมูลส่วนบุคคลขึ้น อาจทำให้คุณเสียค่าปรับสูงสุดถึง 5 ล้านบาท (เฉพาะโทษทางปกครอง และยังไม่นับรวมโทษอื่นอีก) ดังนั้น บริษัท หน่วยงานและองค์กรต่าง ๆ หรือแม้แต่ผู้ประกอบการรายย่อยต้องระวัง!

แล้วคุณจะทำอย่างไรไม่ให้เข้าข่ายมีความผิดกันนะ? PDPC มีคำตอบครับ

กฎหมายคุ้มครองข้อมูลส่วนบุคคลทั้ง 2 ฉบับ คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลของไทย (PDPA) และกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) กำหนดให้ “การประมวลผลข้อมูล” หมายถึง การดำเนินการใด ๆ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล สามารถปฏิบัติได้อย่างถูกต้องตามกฎหมาย หากคุณดำเนินการภายใต้ฐานทางกฎหมายที่เหมาะสม

ข้อควรสังเกต: GDPR ระบุฐานของการประมวลผลข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมายเอาไว้ 6 ฐาน ส่วน PDPA ได้ปรับปรุงฐานของการประมวลผลข้อมูลเพิ่มเติมขึ้นมาอีก 1 ฐาน คือ ฐานจดหมายเหตุ/วิจัย/สถิติ เพื่อให้สอดคล้องกับบริบทของประเทศไทย รวมเป็นทั้งหมด 7 ฐานด้วยกัน มีรายละเอียดดังนี้

ฐาน ประมวลผลข้อมูล 02

7 ฐานการ ประมวลผลข้อมูล ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

  • ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest)

กรณีที่การประมวลผลข้อมูลมีความจำเป็นต่อการปกป้องประโยชน์สำคัญของเจ้าของข้อมูล อย่างเช่นเพื่อปกป้องอันตรายร้ายแรงที่อาจเกิดขึ้นกับสุขภาพหรือชีวิตของเจ้าของข้อมูล ผู้ควบคุมข้อมูลสามารถใช้ฐานนี้เพื่อประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับสุขภาพ หรือข้อมูลอ่อนไหวอื่น ๆ ได้ (เฉพาะเมื่อเจ้าของข้อมูลอยู่ในสภาพวะไม่สามารถให้ความยินยอม)

  • ฐานสัญญา (Contract)

สัญญาคือการตกลงแลกเปลี่ยนกันทั้งสองฝ่าย ซึ่งเราสามารถประมวลผลข้อมูลได้ในกรณีที่มีความจำเป็นต่อการให้บริการตามสัญญาที่ตกลงกันไว้ระหว่างผู้ควบคุมข้อมูลและเจ้าของข้อมูลส่วนบุคคล เช่น การประมวลผลข้อมูลธุรกรรมของบุคคลเพื่อคำนวณดอกเบี้ยของธนาคาร หรือการประมวลผลชื่อและที่อยู่ของบุคคลเพื่อดำเนินการจัดส่งสินค้าของบริษัทขนส่ง โดยฐานนี้จะสามารถใช้ได้กับการประมวลผลข้อมูลส่วนบุคคลทั่วไปเท่านั้น (ไม่สามารถใช้กับการประมวลผล Sensitive Data ได้) และจำกัดการประมวลผลเฉพาะข้อมูลของเจ้าของข้อมูลส่วนบุคคลที่เป็นคู่สัญญา

  • ฐานภารกิจสาธารณะ/อำนาจรัฐ (Public Task / Official Authority)

ผู้ที่สามารถใช้ฐานนี้ในการประมวลผลข้อมูลได้มักเป็นเจ้าหน้าที่หรือองค์กรของรัฐ ในกรณีที่การประมวลผลนั้น ๆ จำเป็นต่อการดำเนินงานตามภารกิจของรัฐเพื่อประโยชน์สาธารณะตามที่กำหนดไว้ในกฎหมาย

  • ฐานประโยชน์อันชอบธรรมด้วยกฎหมาย (Legitimate Interest)

ผู้ประกอบการสามารถประมวลผลข้อมูลส่วนบุคคลได้ในกรณีที่จำเป็นต่อการดำเนินการเพื่อประโยชน์อันชอบธรรมของผู้ควบคุมข้อมูลและบุคคลอื่นอย่างสมเหตุสมผล เช่น การบันทึกวงจรปิดเพื่อป้องกันอาชญากรรม การประมวลข้อมูลเพื่อรักษาความปลอดภัยของระบบและเครือข่าย หรือการส่งต่อข้อมูลในเครือบริษัทเพื่อการบริหารจัดการและประโยชน์ของพนักงาน เป็นต้น

  • ฐานการปฎิบัติ/หน้าที่ตามกฎหมาย (Legal Obligation)

ผู้ควบคุมข้อมูล (มักเป็นองค์กรเอกชน) สามารถประมวลผลข้อมูลส่วนบุคคลของผู้อื่นได้ในกรณีที่พิสูจน์ได้ว่ามีความจำเป็นต่อการปฏิบัติตามหน้าที่ตามกฎหมาย โดยต้องสามารถระบุได้อย่างชัดเจนว่ากำลังปฏิบัติหน้าที่ตามบทบัญญัติใดของกฎหมาย หรือกระทำตามคำสั่งของหน่วยงานใดของรัฐที่มีอำนาจตามกฎหมาย เช่น การประมวลผลข้อมูลตามคำสั่งศาล การเปิดเผยข้อมูลทางการเงินของลูกจ้างต่อกรมสรรพากร หรือการเก็บข้อมูลการจราจรของผู้ให้บริการเครือข่ายโทรศัพท์เคลื่อนที่ตามที่ถูกกำหนดในพระราชบัญญัติคอมพิวเตอร์ เป็นต้น

  • ฐานความยินยอม (Consent)

ความยินยอมสามารถใช้เป็นฐานการประมวลผลได้เฉพาะในกรณีที่เจ้าของข้อมูลได้สมัครใจ “เลือก” ยินยอมให้ผู้ควบคุมข้อมูลประมวลผลข้อมูลได้ โดยผู้ควบคุมข้อมูลจะต้องดำเนินการขอความยินยอมจากเจ้าของข้อมูลเสียก่อน ด้วยการจัดทำแบบฟอร์มขอความยินยอมเป็นหนังสือหรือทำผ่านระบบอิเล็กทรอนิกส์ในลักษณะที่ชัดแจ้ง แยกส่วนจากข้อความอื่น รูปแบบเข้าถึงและเข้าใจได้ง่าย และเป็นภาษาที่อ่านง่ายไม่หลอกลวง

การทำการตลาดแบบตรง การทำระบบสมาชิกสะสมแต้ม และการโฆษณาออนไลน์ตามพฤติกรรมของผู้ใช้งาน จะต้องใช้ฐานความยินยอมเป็นหลักในการประมวลผลข้อมูล

  • ฐานจดหมายเหตุ/วิจัย/สถิติ (Historical Document, Research, or Statistics)

ฐานการประมวลผลข้อมูลที่มีเพิ่มอยู่ใน PDPA โดยผู้ควบคุมข้อมูลสามารถนำเอาข้อมูลส่วนบุคคลของเจ้าของข้อมูลมาประมวลผลได้บนพื้นฐานของการทำบันทึกจดหมายเหตุ วิจัย หรือสถิติต่าง ๆ อย่างไรก็ตามมีเงื่อนไขสำคัญคือต้องมีมาตรการปกป้องคุ้มครองข้อมูลนั้นอย่างเหมาะสม สอดคล้องกับหลักการพื้นฐานของการคุ้มครองข้อมูลส่วนบุคคล หรืออย่างน้อยเป็นไปตามที่คณะกรรมการประกาศกำหนด (ซึ่งยังคงต้องรอประกาศออกมาอย่างเป็นทางการ)

ส่วนใน GDPR กำหนดให้ การนำข้อมูลส่วนบุคคลไปประมวลผลเพื่อการศึกษาวิจัยและสถิติ จะต้องอ้างฐานใดฐานหนึ่งใน 6 ฐานการประมวลผลข้อมูลที่กล่าวมาข้างต้นประกอบด้วยเสมอ

ฐานความยินยอมควรเป็นทางเลือกสุดท้าย!

จากข้างต้นจะเห็นได้ว่า ไม่ได้มีเพียงแค่การขอความยินยอมเท่านั้นที่จะช่วยให้คุณสามารถประมวลผลข้อมูลส่วนบุคคลได้อย่างถูกต้องตามกฎหมาย เพียงแค่ฐานความยินยอมเป็นฐานการประมวลผลข้อมูลที่ได้รับการพูดถึงมากที่สุดในวงการการตลาดแบบดั้งเดิมและการตลาดออนไลน์ซึ่งมีการใช้ประโยชน์จากข้อมูลของลูกค้าเป็นสำคัญ

การขอความยินยอมใช้เป็นฐานเพื่ออ้างอิงการประมวลผลข้อมูลที่ไม่มั่นคงที่สุดจากบรรดาฐานการประมวลผลทั้งหมด เนื่องจากหากเจ้าข้อมูลไม่ยินยอมคุณก็ไม่มีสิทธิ์ในการประมวลผลข้อมูล แถมเจ้าของข้อมูลยังสามารถขอถอนความยินยอมเมื่อไหร่ก็ได้เช่นกัน

ดังนั้น ลองสำรวจให้แน่ใจดูก่อนว่า ลักษณะของการประมวลผลข้อมูลของคุณ ไม่ว่าจะในฐานะผู้ควบคุมข้อมูลที่เป็นบุคคลธรรมดาหรือนิติบุคคล สามารถเข้าข่ายของการดำเนินการตามฐานทางกฎหมายอื่น ๆ ได้หรือไม่ ก่อนจะไล่สำรวจไปจนถึงฐานความยินยอม โดยการขอความยินยอมเพื่อประมวลผลข้อมูล (ส่วนบุคคล) ควรเป็นทางเลือกสุดท้ายที่คุณเลือก

เลือกและระบุฐานการ ประมวลผลข้อมูล ให้ชัดเจน

ผู้ควบคุมข้อมูลจะต้องระบุฐานในการประมวลผลข้อมูลก่อนการเก็บรวบรวมข้อมูลส่วนบุคคล (อ้างอิงจาก ICDL Workforce Data Protection Syllabus 1.0) และต้องแจ้งวัตถุประสงค์ของการประมวลผลข้อมูลนั้นให้เจ้าของข้อมูลทราบ เพื่อให้เจ้าของข้อมูลทราบถึงสิทธิของตนเอง เนื่องจากเจ้าของข้อมูลส่วนบุคคลจะมีสิทธิที่แตกต่างกันออกไปตามฐานการประมวลผลที่ระบุ เช่น กรณีข้อมูลส่วนบุคคลถูกประมวลผลบนฐานภารกิจสาธารณะ/อำนาจรัฐ เจ้าของข้อมูลส่วนบุคคลไม่อาจขอลบข้อมูลของตนเองได้ แต่ในทางกลับกัน เจ้าของข้อมูลเลือกที่จะขอลบข้อมูลของตนจากบริษัทที่เก็บข้อมูลบนฐานความยินยอมได้ เป็นต้น นอกจากนั้น การระบุฐานในการประมวลผลข้อมูลยังเป็นประโยชน์ในการอ้างอิง เมื่อถูกตรวจสอบจากสำนักงานคณะกรรมการคุ้มครองข้องมูลส่วนบุคคลหรือหน่วยงานที่เกี่ยวข้องอีกด้วยครับ

เพียงเลือกฐานการประมวลผลข้อมูลฐานใดฐานหนึ่ง และดำเนินการตามมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด ก็จะช่วยให้คุณสามารถประมวลผลข้อมูลได้อย่าง “ผ่านฉลุย” ภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

ฐาน ประมวลผลข้อมูล 03

สนใจเรียนรู้เกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) และแนวทางปฎิบัติตามกฎหมาย ต้องหลักสูตร PDPC – Personal Data Protection Certificate หรือสามารถสอบถามรายละเอียดได้ที่ Facebook PDPA ICDLTHAILAND

X