ถอดประเด็นสำคัญจากเสวนา PDPA Guru: Legitimate Interest
(22 มกราคม 2568) โดย ดร.อุดมธิปก ไพรเกษตร, อาจารย์ สุกฤษ โกยอัครเดช, และอาจารย์ วิวัฒน์ กอสัมพันธ์
เกริ่นนำและหลักการสำคัญ
ฐานประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) เป็นฐานกฎหมายที่มีความยืดหยุ่นสูงในการประมวลผลข้อมูลส่วนบุคคล แต่การใช้งานต้องอาศัยการตีความและดุลยพินิจอย่างรอบคอบ โดยองค์กรต้องพิจารณาอย่างสมดุลระหว่างประโยชน์ขององค์กรและสิทธิของเจ้าของข้อมูลส่วนบุคคล เพื่อป้องกันความเสี่ยงในการถูกฟ้องร้องหรือรับผิดในภายหลัง
ก่อนเลือกประมวลผลด้วยฐาน Legitimate Interest องค์กรควรตรวจสอบ/ทดสอบใน 3 ประเด็น คือ
การตรวจสอบวัตถุประสงค์ (Purpose Test) ต้องชัดเจน ถูกกฎหมาย และต้องถูกระบุไว้ชัดเจนว่าจะใช้ในการทำอะไรบ้าง
การตรวจสอบความจำเป็นต่อองค์กร (Necessity Test) เช่น มีทางเลือกอื่นไหม ถ้ามีหนทางอื่นที่คุกคามน้อยกว่าก็อาจจะไม่มีความจำเป็น
การตรวจสอบความสมดุลแห่งสิทธิ (Balancing Test) คืออยู่ในความคาดหมายของลูกค้า และผลประโยชน์ของลูกค้า
5 ประเด็นพลาดบ่อยเกี่ยวกับฐานประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) ตามกฎหมาย PDPA
1. ฐานประโยชน์โดยชอบด้วยกฎหมาย (LI) ต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนหรือร่วมด้วยเสมอ?
ไม่จริง การใช้ฐานประโยชน์โดยชอบด้วยกฎหมายไม่ต้องพึ่งความยินยอมเพราะ 2 ฐานนี้ ไม่มีความเกี่ยวข้องกัน
2. ฐานประโยชน์โดยชอบด้วยกฎหมาย (LI) สามารถใช้กับการเก็บข้อมูลอะไรก็ได้?
ไม่ได้ ฐานประโยชน์โดยชอบด้วยกฎหมายใช้กับข้อมูลส่วนบุคคลทั่วไปเท่านั้น ใช้กับข้อมูลส่วนบุคคลลักษณะพิเศษไม่ได้ ซึ่งจะต้องไปเลือกใช้ฐานความยินยอม
3. ฐานประโยชน์โดยชอบด้วยกฎหมาย (LI) ใช้ได้เฉพาะกับบริษัทเอกชน ส่วนหน่วยงานราชการ องค์กรไม่แสวงหาผลกำไร หรือแม้แต่บุคคลธรรมดา ไม่มีสิทธิใช้ ?
ไม่จริง ฐานนี้ไม่ได้จำกัดการใช้ หน่วยงานรัฐหรือหน่วยงานอื่นที่เกี่ยวข้องสามารถใช้ได้ เพียงแต่หน่วยงานรัฐมีฐานอำนาจรัฐรองรับอยู่แล้ว ม.24(4) จึงอาจจะไม่จำเป็นต้องใช้ฐานนี้
4.ไม่จำเป็นต้องแจ้งเจ้าของข้อมูลเมื่อใช้ฐานประโยชน์โดยชอบด้วยกฎหมาย (LI)
จำเป็นต้องแจ้งและทำเอกสารประกาศความเป็นส่วนตัว เพราะกฎหมายกำหนดให้ทำ
5. ฐานประโยชน์โดยชอบด้วยกฎหมาย (LI) เป็นพื้นฐานเริ่มต้นสำหรับการตลาด
จริงในบางกรณีแต่ไม่เสมอไป กรณีโดยทั่วไปควรใช้ฐานความยินยอม
Q&A จากห้องเสวนา
1. การขอตรวจสารเสพติดรายครั้ง/ปีละครั้ง สามารถใช้ฐานประโยชน์โดยชอบด้วยกฎหมาย (LI) เพียงอย่างเดียวหรือใช้ฐานทางกฎหมายอื่นนอกเหนือจากการขอความยินยอมได้หรือไม่?
ต้องไปดูกฎหมาย (อื่น) ที่ใช้เป็นพื้นฐาน หากกฎหมายมีการบังคับให้ตรวจจะสามารทำได้โดยไม่ต้องใช้ฐานยินยอม หรือมีเจ้าหน้าที่ตำรวจมาขอตรวจสอบก็สามารถทำได้ทันทีโดยไม่ต้องใช้ฐานยินยอมเช่นกันเพราะเป็นอำนาจหน้าที่ แต่หากเป็นการตรวจเองภายในต้องมีการขอความยินยอมเท่านั้น
2. งานจัดซื้อควรใช้ฐานทางกฎหมายใด ระหว่างฐานประโยชน์โดยชอบด้วยกฎหมาย (LI) หรือฐานสัญญา
เรื่องนี้ต้องดูจากกิจกรรมการจัดซื้อ เพราะแต่ละขั้นตอนอาจใช้คนละฐานกัน ดังนั้นควรดูเป็นรายกิจกรรมเพื่อนำไปพิจารณา
เช่น การเชิญจัดซื้อและมีการเทียบคู่ค้าก่อนหน้าการทำสัญญา สามารถใช้ฐานประโยชน์โดยชอบด้วยกฎหมาย (LI) ได้ เพราะผู้ที่ยื่นเทียบทุกรายคาดหมายได้อยู่แล้วว่าจะมีการนำข้อมูล (ซึ่งจำเป็นต้องมีข้อมูลส่วนบุคคลประกอบ) มาเปรียบเทียบ
3. โปรโมชันของบริษัทให้สินเชื่อ/ให้บริการเช่า-ซื้อรถแท็กซี่บางแห่ง หากผู้ขอสินเชื่อให้ใบรับรองแพทย์มาด้วยจะได้รับสิทธิพิเศษเพิ่มคะแนนเครดิต แต่ไม่มีเอกสารการขอความยินยอมใด ๆ เพราะผู้ขอสินเชื่อก็ได้รับผลประโยชน์ด้วย เคสแบบนี้ใช้ฐานประโยชน์โดยชอบด้วยกฎหมาย (LI) อย่างเดียวได้ไหม
ฐานประโยชน์โดยชอบด้วยกฎหมาย (LI) เพียงฐานเดียวไม่สามารถใช้กับข้อมูลสุขภาพ (ใบรับรองแพทย์) ซึ่งเป็นข้อมูลส่วนบุคคลลักษณะพิเศษได้ จำเป็นต้องขอความยินยอม
สรุปการเสวนา
การใช้ฐานประโยชน์โดยชอบด้วยกฎหมายจะต้องพิจารณาถึงความสมดุลระหว่างประโยชน์ขององค์กรและสิทธิของเจ้าของข้อมูลส่วนบุคคลเป็นสำคัญ สามารถใช้ได้โดยควรดำเนินการให้ครบถ้วนและสอดคล้องตามกฎหมาย PDPA
ไม่มั่นใจทำ PDPA อย่างไร ทำยังไม่ครบ คลิก > บริการ DPO Plus
อบรมเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) คลิก > หลักสูตร DPO in Action
