ถอดประเด็นสำคัญจากเสวนา PDPA Guru: Legitimate Interest

(22 มกราคม 2568) โดย ดร.อุดมธิปก ไพรเกษตร, อาจารย์ สุกฤษ โกยอัครเดช, และอาจารย์ วิวัฒน์ กอสัมพันธ์ 

เกริ่นนำและหลักการสำคัญ

ฐานประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) เป็นฐานกฎหมายที่มีความยืดหยุ่นสูงในการประมวลผลข้อมูลส่วนบุคคล แต่การใช้งานต้องอาศัยการตีความและดุลยพินิจอย่างรอบคอบ โดยองค์กรต้องพิจารณาอย่างสมดุลระหว่างประโยชน์ขององค์กรและสิทธิของเจ้าของข้อมูลส่วนบุคคล เพื่อป้องกันความเสี่ยงในการถูกฟ้องร้องหรือรับผิดในภายหลัง

ก่อนเลือกประมวลผลด้วยฐาน Legitimate Interest องค์กรควรตรวจสอบ/ทดสอบใน 3 ประเด็น คือ

• การตรวจสอบวัตถุประสงค์ (Purpose Test) ต้องชัดเจน ถูกกฎหมาย และต้องถูกระบุไว้ชัดเจนว่าจะใช้ในการทำอะไรบ้าง

• การตรวจสอบความจำเป็นต่อองค์กร (Necessity Test) เช่น มีทางเลือกอื่นไหม ถ้ามีหนทางอื่นที่คุกคามน้อยกว่าก็อาจจะไม่มีความจำเป็น

• การตรวจสอบความสมดุลแห่งสิทธิ (Balancing Test) คืออยู่ในความคาดหมายของลูกค้า และผลประโยชน์ของลูกค้า

5 ประเด็นพลาดบ่อยเกี่ยวกับฐานประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) ตามกฎหมาย PDPA

1. ฐานประโยชน์โดยชอบด้วยกฎหมาย (LI) ต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนหรือร่วมด้วยเสมอ?

• • ไม่จริง การใช้ฐานประโยชน์โดยชอบด้วยกฎหมายไม่ต้องพึ่งความยินยอมเพราะ 2 ฐานนี้ ไม่มีความเกี่ยวข้องกัน 

2. ฐานประโยชน์โดยชอบด้วยกฎหมาย (LI) สามารถใช้กับการเก็บข้อมูลอะไรก็ได้?

• • ไม่ได้ ฐานประโยชน์โดยชอบด้วยกฎหมายใช้กับข้อมูลส่วนบุคคลทั่วไปเท่านั้น ใช้กับข้อมูลส่วนบุคคลลักษณะพิเศษไม่ได้ ซึ่งจะต้องไปเลือกใช้ฐานความยินยอม

3. ฐานประโยชน์โดยชอบด้วยกฎหมาย (LI) ใช้ได้เฉพาะกับบริษัทเอกชน ส่วนหน่วยงานราชการ องค์กรไม่แสวงหาผลกำไร หรือแม้แต่บุคคลธรรมดา ไม่มีสิทธิใช้ ?

• • ไม่จริง ฐานนี้ไม่ได้จำกัดการใช้ หน่วยงานรัฐหรือหน่วยงานอื่นที่เกี่ยวข้องสามารถใช้ได้ เพียงแต่หน่วยงานรัฐมีฐานอำนาจรัฐรองรับอยู่แล้ว ม.24(4) จึงอาจจะไม่จำเป็นต้องใช้ฐานนี้ 

4.ไม่จำเป็นต้องแจ้งเจ้าของข้อมูลเมื่อใช้ฐานประโยชน์โดยชอบด้วยกฎหมาย (LI)

• • จำเป็นต้องแจ้งและทำเอกสารประกาศความเป็นส่วนตัว เพราะกฎหมายกำหนดให้ทำ

5. ฐานประโยชน์โดยชอบด้วยกฎหมาย (LI) เป็นพื้นฐานเริ่มต้นสำหรับการตลาด

• • จริงในบางกรณีแต่ไม่เสมอไป กรณีโดยทั่วไปควรใช้ฐานความยินยอม

Q&A จากห้องเสวนา

1. การขอตรวจสารเสพติดรายครั้ง/ปีละครั้ง สามารถใช้ฐานประโยชน์โดยชอบด้วยกฎหมาย (LI) เพียงอย่างเดียวหรือใช้ฐานทางกฎหมายอื่นนอกเหนือจากการขอความยินยอมได้หรือไม่?

• • ต้องไปดูกฎหมาย (อื่น) ที่ใช้เป็นพื้นฐาน หากกฎหมายมีการบังคับให้ตรวจจะสามารทำได้โดยไม่ต้องใช้ฐานยินยอม หรือมีเจ้าหน้าที่ตำรวจมาขอตรวจสอบก็สามารถทำได้ทันทีโดยไม่ต้องใช้ฐานยินยอมเช่นกันเพราะเป็นอำนาจหน้าที่ แต่หากเป็นการตรวจเองภายในต้องมีการขอความยินยอมเท่านั้น

2. งานจัดซื้อควรใช้ฐานทางกฎหมายใด ระหว่างฐานประโยชน์โดยชอบด้วยกฎหมาย (LI) หรือฐานสัญญา

• • เรื่องนี้ต้องดูจากกิจกรรมการจัดซื้อ เพราะแต่ละขั้นตอนอาจใช้คนละฐานกัน ดังนั้นควรดูเป็นรายกิจกรรมเพื่อนำไปพิจารณา

• • เช่น การเชิญจัดซื้อและมีการเทียบคู่ค้าก่อนหน้าการทำสัญญา สามารถใช้ฐานประโยชน์โดยชอบด้วยกฎหมาย (LI) ได้ เพราะผู้ที่ยื่นเทียบทุกรายคาดหมายได้อยู่แล้วว่าจะมีการนำข้อมูล (ซึ่งจำเป็นต้องมีข้อมูลส่วนบุคคลประกอบ) มาเปรียบเทียบ

3. โปรโมชันของบริษัทให้สินเชื่อ/ให้บริการเช่า-ซื้อรถแท็กซี่บางแห่ง หากผู้ขอสินเชื่อให้ใบรับรองแพทย์มาด้วยจะได้รับสิทธิพิเศษเพิ่มคะแนนเครดิต แต่ไม่มีเอกสารการขอความยินยอมใด ๆ เพราะผู้ขอสินเชื่อก็ได้รับผลประโยชน์ด้วย เคสแบบนี้ใช้ฐานประโยชน์โดยชอบด้วยกฎหมาย (LI) อย่างเดียวได้ไหม

• • ฐานประโยชน์โดยชอบด้วยกฎหมาย (LI) เพียงฐานเดียวไม่สามารถใช้กับข้อมูลสุขภาพ (ใบรับรองแพทย์) ซึ่งเป็นข้อมูลส่วนบุคคลลักษณะพิเศษได้ จำเป็นต้องขอความยินยอม

สรุปการเสวนา

การใช้ฐานประโยชน์โดยชอบด้วยกฎหมายจะต้องพิจารณาถึงความสมดุลระหว่างประโยชน์ขององค์กรและสิทธิของเจ้าของข้อมูลส่วนบุคคลเป็นสำคัญ สามารถใช้ได้โดยควรดำเนินการให้ครบถ้วนและสอดคล้องตามกฎหมาย PDPA

• ไม่มั่นใจทำ PDPA อย่างไร ทำยังไม่ครบ คลิก > บริการ DPO Plus

• อบรมเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) คลิก > หลักสูตร DPO in Action