• ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest)

กรณีที่การประมวลผลข้อมูลมีความจำเป็นต่อการปกป้องประโยชน์สำคัญของเจ้าของข้อมูล อย่างเช่นเพื่อปกป้องอันตรายร้ายแรงที่อาจเกิดขึ้นกับสุขภาพหรือชีวิตของเจ้าของข้อมูล ผู้ควบคุมข้อมูลสามารถใช้ฐานนี้เพื่อประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับสุขภาพ หรือข้อมูลอ่อนไหวอื่น ๆ ได้ (เฉพาะเมื่อเจ้าของข้อมูลอยู่ในสภาวะไม่สามารถให้ความยินยอม)

• ฐานสัญญา (Contract)

สัญญาคือการตกลงแลกเปลี่ยนกันทั้งสองฝ่าย ซึ่งเราสามารถประมวลผลข้อมูลได้ในกรณีที่มีความจำเป็นต่อการให้บริการตามสัญญาที่ตกลงกันไว้ระหว่างผู้ควบคุมข้อมูลและเจ้าของข้อมูลส่วนบุคคล เช่น การประมวลผลข้อมูลธุรกรรมของบุคคลเพื่อคำนวณดอกเบี้ยของธนาคาร หรือการประมวลผลชื่อและที่อยู่ของบุคคลเพื่อดำเนินการจัดส่งสินค้าของบริษัทขนส่ง โดยฐานนี้จะสามารถใช้ได้กับการประมวลผลข้อมูลส่วนบุคคลทั่วไปเท่านั้น (ไม่สามารถใช้กับการประมวลผล Sensitive Data ได้) และจำกัดการประมวลผลเฉพาะข้อมูลของเจ้าของข้อมูลส่วนบุคคลที่เป็นคู่สัญญา

• ฐานภารกิจสาธารณะ/อำนาจรัฐ (Public Task / Official Authority)

ผู้ที่สามารถใช้ฐานนี้ในการประมวลผลข้อมูลได้มักเป็นเจ้าหน้าที่หรือองค์กรของรัฐ ในกรณีที่การประมวลผลนั้น ๆ จำเป็นต่อการดำเนินงานตามภารกิจของรัฐเพื่อประโยชน์สาธารณะตามที่กำหนดไว้ในกฎหมาย

• ฐานประโยชน์อันชอบธรรมด้วยกฎหมาย (Legitimate Interest)

ผู้ประกอบการสามารถประมวลผลข้อมูลส่วนบุคคลได้ในกรณีที่จำเป็นต่อการดำเนินการเพื่อประโยชน์อันชอบธรรมของผู้ควบคุมข้อมูลและบุคคลอื่นอย่างสมเหตุสมผล เช่น การบันทึกวงจรปิดเพื่อป้องกันอาชญากรรม การประมวลข้อมูลเพื่อรักษาความปลอดภัยของระบบและเครือข่าย หรือการส่งต่อข้อมูลในเครือบริษัทเพื่อการบริหารจัดการและประโยชน์ของพนักงาน เป็นต้น

• ฐานการปฎิบัติ/หน้าที่ตามกฎหมาย (Legal Obligation)

ผู้ควบคุมข้อมูลสามารถประมวลผลข้อมูลส่วนบุคคลของผู้อื่นได้ในกรณีที่พิสูจน์ได้ว่ามีความจำเป็นต่อการปฏิบัติตามหน้าที่ตามกฎหมาย โดยต้องสามารถระบุได้อย่างชัดเจนว่ากำลังปฏิบัติหน้าที่ตามบทบัญญัติใดของกฎหมาย หรือกระทำตามคำสั่งของหน่วยงานใดของรัฐที่มีอำนาจตามกฎหมาย เช่น การประมวลผลข้อมูลตามคำสั่งศาล การเปิดเผยข้อมูลทางการเงินของลูกจ้างต่อกรมสรรพากร หรือการเก็บข้อมูลการจราจรของผู้ให้บริการเครือข่ายโทรศัพท์เคลื่อนที่ตามที่ถูกกำหนดในพระราชบัญญัติคอมพิวเตอร์ เป็นต้น

• ฐานความยินยอม (Consent)

ความยินยอมสามารถใช้เป็นฐานการประมวลผลได้เฉพาะในกรณีที่เจ้าของข้อมูลได้สมัครใจ “เลือก” ยินยอมให้ผู้ควบคุมข้อมูลประมวลผลข้อมูลได้ โดยผู้ควบคุมข้อมูลจะต้องดำเนินการขอความยินยอมจากเจ้าของข้อมูลเสียก่อน ด้วยการจัดทำแบบฟอร์มขอความยินยอมเป็นหนังสือหรือทำผ่านระบบอิเล็กทรอนิกส์ในลักษณะที่ชัดแจ้ง แยกส่วนจากข้อความอื่น รูปแบบเข้าถึงและเข้าใจได้ง่าย และเป็นภาษาที่อ่านง่ายไม่หลอกลวง

การทำการตลาดแบบตรง การทำระบบสมาชิกสะสมแต้ม และการโฆษณาออนไลน์ตามพฤติกรรมของผู้ใช้งาน จะต้องใช้ฐานความยินยอมเป็นหลักในการประมวลผลข้อมูล

• ฐานจดหมายเหตุ/วิจัย/สถิติ (Historical Document, Research, or Statistics)

ฐานการประมวลผลข้อมูลที่มีเพิ่มอยู่ใน PDPA โดยผู้ควบคุมข้อมูลสามารถนำเอาข้อมูลส่วนบุคคลของเจ้าของข้อมูลมาประมวลผลได้บนพื้นฐานของการทำบันทึกจดหมายเหตุ วิจัย หรือสถิติต่าง ๆ อย่างไรก็ตามมีเงื่อนไขสำคัญคือต้องมีมาตรการปกป้องคุ้มครองข้อมูลนั้นอย่างเหมาะสม สอดคล้องกับหลักการพื้นฐานของการคุ้มครองข้อมูลส่วนบุคคล หรืออย่างน้อยเป็นไปตามที่คณะกรรมการประกาศกำหนด (ซึ่งยังคงต้องรอประกาศออกมาอย่างเป็นทางการ)

ส่วนใน GDPR กำหนดให้ การนำข้อมูลส่วนบุคคลไปประมวลผลเพื่อการศึกษาวิจัยและสถิติ จะต้องอ้างฐานใดฐานหนึ่งใน 6 ฐานการประมวลผลข้อมูลที่กล่าวมาข้างต้นประกอบด้วยเสมอ