ในยุคที่ข้อมูลส่วนบุคคลกลายเป็นทรัพยากรสำคัญของทุกองค์กร คำถามที่เกิดขึ้นกับองค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลคือ “องค์กรจะใช้ฐานทางกฎหมายอะไรในการเก็บรวบรวมข้อมูลส่วนบุคคล?” หลายครั้งคำตอบที่มักถูกหยิบมาใช้ก่อนใครคือ “ความยินยอม” (Consent) เพราะดูเหมือนจะปลอดภัยที่สุด แต่ในความเป็นจริงแล้ว “ความยินยอม” ไม่ได้เหมาะกับทุกสถานการณ์ และอาจกลายเป็นภาระหากใช้ผิดบริบท

กฎหมาย PDPA ของไทยเปิดทางให้ผู้ควบคุมข้อมูลส่วนบุคคลเลือกใช้ฐานทางกฎหมายอื่นได้ตามความเหมาะสมของกิจกรรม เช่น หากเป็นการดำเนินการตามสัญญาระหว่างองค์กรกับเจ้าของข้อมูลส่วนบุคคล การส่งสินค้า การให้บริการหลังการขาย หรือการรับสมัครพนักงาน ฐาน “การจำเป็นเพื่อการปฏิบัติตามสัญญา” (Contract) ก็เพียงพอและชัดเจนโดยไม่ต้องขอความยินยอม

ในอีกมุมหนึ่ง หากผู้ควบคุมข้อมูลส่วนบุคคลมีเหตุผลในการใช้ข้อมูลที่ไม่เกี่ยวข้องโดยตรงกับสัญญา แต่ก็ไม่ใช่เรื่องที่กระทบสิทธิของเจ้าของข้อมูลอย่างรุนแรง เช่น การรักษาความปลอดภัยของระบบ การป้องกันการทุจริต หรือการวิเคราะห์พฤติกรรมผู้ใช้งานเพื่อปรับปรุงบริการ ฐาน “ประโยชน์โดยชอบธรรม” (Legitimate interests) อาจเป็นทางเลือกที่เหมาะสมกว่า

แต่การใช้ฐาน Legitimate interests ต้องไม่ใช่การเดาสุ่ม เพราะกฎหมายกำหนดให้เราต้องทำ “Balancing Test” หรือการชั่งน้ำหนักอย่างรอบคอบระหว่าง “ประโยชน์ที่องค์กรจะได้รับ” กับ “สิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล” หากผลการประเมินชี้ว่าการประมวลผลดังกล่าวจะส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลมากเกินไป องค์กรก็ไม่ควรใช้ฐานนี้ และควรมองหาฐานทางกฎหมายอื่นแทน (ศึกษาฐานทางกฎหมายอื่น ๆ เพิ่มเติมได้ตามมาตรา 24 ของ PDPA)

แนวปฏิบัติที่ดีในปัจจุบันคือการจัดทำแบบฟอร์ม Balancing Test ล่วงหน้า เพื่อใช้วิเคราะห์ในแต่ละกรณีอย่างเป็นระบบและโปร่งใส พร้อมเก็บเป็นหลักฐานหากเกิดข้อโต้แย้งภายหลัง สิ่งนี้แสดงถึงความรับผิดชอบ และช่วยเสริมสร้างความเชื่อมั่นให้แก่เจ้าของข้อมูลส่วนบุคคล

สุดท้ายนี้ ฐานทางกฎหมายไม่ใช่เพียงกลไกให้ “ทำได้ตามกฎหมาย” แต่เป็นเครื่องมือที่สะท้อนถึงแนวทางการทำงานอย่างมีจริยธรรม หากเลือกฐานได้เหมาะสมกับกิจกรรมและบริบท ก็เท่ากับวางรากฐานที่มั่นคงให้กับการคุ้มครองข้อมูลขององค์กร

“การเลือกฐานทางกฎหมายไม่ใช่เรื่องของความสะดวก แต่คือเรื่องของความรับผิดชอบ ยิ่งเราเข้าใจเจตนารมณ์ของกฎหมายมากเท่าไร ความไว้วางใจจากเจ้าของข้อมูลส่วนบุคคลก็ยิ่งมีค่ามากขึ้นเท่านั้น”