พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีขอบข่ายของกฎหมายเพื่อคุ้มครองการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของประชาชนคนไทย ซึ่งถ้าหากเราไม่ดำเนินการตามกฎหมายและเกิดกรณีการละเมิดข้อมูลส่วนบุคคลขึ้น อาจทำให้คุณเสียค่าปรับสูงสุดถึง 5 ล้านบาท (เฉพาะโทษทางปกครอง และยังไม่นับรวมโทษอื่นอีก) ดังนั้น บริษัท หน่วยงานและองค์กรต่าง ๆ หรือแม้แต่ผู้ประกอบการรายย่อยต้องระวัง!
แล้วคุณจะทำอย่างไรไม่ให้เข้าข่ายมีความผิดกันนะ? PDPC มีคำตอบครับ
กฎหมายคุ้มครองข้อมูลส่วนบุคคลทั้ง 2 ฉบับ คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลของไทย (PDPA) และกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) กำหนดให้ “การประมวลผลข้อมูล” หมายถึง การดำเนินการใด ๆ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล สามารถปฏิบัติได้อย่างถูกต้องตามกฎหมาย หากคุณดำเนินการภายใต้ฐานทางกฎหมายที่เหมาะสม
ข้อควรสังเกต: GDPR ระบุฐานของการประมวลผลข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมายเอาไว้ 6 ฐาน ส่วน PDPA ได้ปรับปรุงฐานของการประมวลผลข้อมูลเพิ่มเติมขึ้นมาอีก 1 ฐาน คือ ฐานจดหมายเหตุ/วิจัย/สถิติ เพื่อให้สอดคล้องกับบริบทของประเทศไทย รวมเป็นทั้งหมด 7 ฐานด้วยกัน มีรายละเอียดดังนี้
7 ฐานการ ประมวลผลข้อมูล ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
- ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest)
กรณีที่การประมวลผลข้อมูลมีความจำเป็นต่อการปกป้องประโยชน์สำคัญของเจ้าของข้อมูล อย่างเช่นเพื่อปกป้องอันตรายร้ายแรงที่อาจเกิดขึ้นกับสุขภาพหรือชีวิตของเจ้าของข้อมูล ผู้ควบคุมข้อมูลสามารถใช้ฐานนี้เพื่อประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับสุขภาพ หรือข้อมูลอ่อนไหวอื่น ๆ ได้ (เฉพาะเมื่อเจ้าของข้อมูลอยู่ในสภาวะไม่สามารถให้ความยินยอม)
- ฐานสัญญา (Contract)
สัญญาคือการตกลงแลกเปลี่ยนกันทั้งสองฝ่าย ซึ่งเราสามารถประมวลผลข้อมูลได้ในกรณีที่มีความจำเป็นต่อการให้บริการตามสัญญาที่ตกลงกันไว้ระหว่างผู้ควบคุมข้อมูลและเจ้าของข้อมูลส่วนบุคคล เช่น การประมวลผลข้อมูลธุรกรรมของบุคคลเพื่อคำนวณดอกเบี้ยของธนาคาร หรือการประมวลผลชื่อและที่อยู่ของบุคคลเพื่อดำเนินการจัดส่งสินค้าของบริษัทขนส่ง โดยฐานนี้จะสามารถใช้ได้กับการประมวลผลข้อมูลส่วนบุคคลทั่วไปเท่านั้น (ไม่สามารถใช้กับการประมวลผล Sensitive Data ได้) และจำกัดการประมวลผลเฉพาะข้อมูลของเจ้าของข้อมูลส่วนบุคคลที่เป็นคู่สัญญา
- ฐานภารกิจสาธารณะ/อำนาจรัฐ (Public Task / Official Authority)
ผู้ที่สามารถใช้ฐานนี้ในการประมวลผลข้อมูลได้มักเป็นเจ้าหน้าที่หรือองค์กรของรัฐ ในกรณีที่การประมวลผลนั้น ๆ จำเป็นต่อการดำเนินงานตามภารกิจของรัฐเพื่อประโยชน์สาธารณะตามที่กำหนดไว้ในกฎหมาย
- ฐานประโยชน์อันชอบธรรมด้วยกฎหมาย (Legitimate Interest)
ผู้ประกอบการสามารถประมวลผลข้อมูลส่วนบุคคลได้ในกรณีที่จำเป็นต่อการดำเนินการเพื่อประโยชน์อันชอบธรรมของผู้ควบคุมข้อมูลและบุคคลอื่นอย่างสมเหตุสมผล เช่น การบันทึกวงจรปิดเพื่อป้องกันอาชญากรรม การประมวลข้อมูลเพื่อรักษาความปลอดภัยของระบบและเครือข่าย หรือการส่งต่อข้อมูลในเครือบริษัทเพื่อการบริหารจัดการและประโยชน์ของพนักงาน เป็นต้น
- ฐานการปฎิบัติ/หน้าที่ตามกฎหมาย (Legal Obligation)
ผู้ควบคุมข้อมูลสามารถประมวลผลข้อมูลส่วนบุคคลของผู้อื่นได้ในกรณีที่พิสูจน์ได้ว่ามีความจำเป็นต่อการปฏิบัติตามหน้าที่ตามกฎหมาย โดยต้องสามารถระบุได้อย่างชัดเจนว่ากำลังปฏิบัติหน้าที่ตามบทบัญญัติใดของกฎหมาย หรือกระทำตามคำสั่งของหน่วยงานใดของรัฐที่มีอำนาจตามกฎหมาย เช่น การประมวลผลข้อมูลตามคำสั่งศาล การเปิดเผยข้อมูลทางการเงินของลูกจ้างต่อกรมสรรพากร หรือการเก็บข้อมูลการจราจรของผู้ให้บริการเครือข่ายโทรศัพท์เคลื่อนที่ตามที่ถูกกำหนดในพระราชบัญญัติคอมพิวเตอร์ เป็นต้น
- ฐานความยินยอม (Consent)
ความยินยอมสามารถใช้เป็นฐานการประมวลผลได้เฉพาะในกรณีที่เจ้าของข้อมูลได้สมัครใจ “เลือก” ยินยอมให้ผู้ควบคุมข้อมูลประมวลผลข้อมูลได้ โดยผู้ควบคุมข้อมูลจะต้องดำเนินการขอความยินยอมจากเจ้าของข้อมูลเสียก่อน ด้วยการจัดทำแบบฟอร์มขอความยินยอมเป็นหนังสือหรือทำผ่านระบบอิเล็กทรอนิกส์ในลักษณะที่ชัดแจ้ง แยกส่วนจากข้อความอื่น รูปแบบเข้าถึงและเข้าใจได้ง่าย และเป็นภาษาที่อ่านง่ายไม่หลอกลวง
การทำการตลาดแบบตรง การทำระบบสมาชิกสะสมแต้ม และการโฆษณาออนไลน์ตามพฤติกรรมของผู้ใช้งาน จะต้องใช้ฐานความยินยอมเป็นหลักในการประมวลผลข้อมูล
- ฐานจดหมายเหตุ/วิจัย/สถิติ (Historical Document, Research, or Statistics)
ฐานการประมวลผลข้อมูลที่มีเพิ่มอยู่ใน PDPA โดยผู้ควบคุมข้อมูลสามารถนำเอาข้อมูลส่วนบุคคลของเจ้าของข้อมูลมาประมวลผลได้บนพื้นฐานของการทำบันทึกจดหมายเหตุ วิจัย หรือสถิติต่าง ๆ อย่างไรก็ตามมีเงื่อนไขสำคัญคือต้องมีมาตรการปกป้องคุ้มครองข้อมูลนั้นอย่างเหมาะสม สอดคล้องกับหลักการพื้นฐานของการคุ้มครองข้อมูลส่วนบุคคล หรืออย่างน้อยเป็นไปตามที่คณะกรรมการประกาศกำหนด (ซึ่งยังคงต้องรอประกาศออกมาอย่างเป็นทางการ)
ส่วนใน GDPR กำหนดให้ การนำข้อมูลส่วนบุคคลไปประมวลผลเพื่อการศึกษาวิจัยและสถิติ จะต้องอ้างฐานใดฐานหนึ่งใน 6 ฐานการประมวลผลข้อมูลที่กล่าวมาข้างต้นประกอบด้วยเสมอ
ฐานความยินยอมควรเป็นทางเลือกสุดท้าย!
จากข้างต้นจะเห็นได้ว่า ไม่ได้มีเพียงแค่การขอความยินยอมเท่านั้นที่จะช่วยให้คุณสามารถประมวลผลข้อมูลส่วนบุคคลได้อย่างถูกต้องตามกฎหมาย เพียงแค่ฐานความยินยอมเป็นฐานการประมวลผลข้อมูลที่ได้รับการพูดถึงมากที่สุดในวงการการตลาดแบบดั้งเดิมและการตลาดออนไลน์ซึ่งมีการใช้ประโยชน์จากข้อมูลของลูกค้าเป็นสำคัญ
การขอความยินยอมใช้เป็นฐานเพื่ออ้างอิงการประมวลผลข้อมูลที่ไม่มั่นคงที่สุดจากบรรดาฐานการประมวลผลทั้งหมด เนื่องจากหากเจ้าข้อมูลไม่ยินยอมคุณก็ไม่มีสิทธิ์ในการประมวลผลข้อมูล แถมเจ้าของข้อมูลยังสามารถขอถอนความยินยอมเมื่อไหร่ก็ได้เช่นกัน
ดังนั้น ลองสำรวจให้แน่ใจดูก่อนว่า ลักษณะของการประมวลผลข้อมูลของคุณ ไม่ว่าจะในฐานะผู้ควบคุมข้อมูลที่เป็นบุคคลธรรมดาหรือนิติบุคคล สามารถเข้าข่ายของการดำเนินการตามฐานทางกฎหมายอื่น ๆ ได้หรือไม่ ก่อนจะไล่สำรวจไปจนถึงฐานความยินยอม โดยการขอความยินยอมเพื่อประมวลผลข้อมูล (ส่วนบุคคล) ควรเป็นทางเลือกสุดท้ายที่คุณเลือก
เลือกและระบุฐานการ ประมวลผลข้อมูล ให้ชัดเจน
ผู้ควบคุมข้อมูลจะต้องระบุฐานในการประมวลผลข้อมูลก่อนการเก็บรวบรวมข้อมูลส่วนบุคคล (อ้างอิงจาก ICDL Workforce Data Protection Syllabus 1.0) และต้องแจ้งวัตถุประสงค์ของการประมวลผลข้อมูลนั้นให้เจ้าของข้อมูลทราบ เพื่อให้เจ้าของข้อมูลทราบถึงสิทธิของตนเอง เนื่องจากเจ้าของข้อมูลส่วนบุคคลจะมีสิทธิที่แตกต่างกันออกไปตามฐานการประมวลผลที่ระบุ เช่น กรณีข้อมูลส่วนบุคคลถูกประมวลผลบนฐานภารกิจสาธารณะ/อำนาจรัฐ เจ้าของข้อมูลส่วนบุคคลไม่อาจขอลบข้อมูลของตนเองได้ แต่ในทางกลับกัน เจ้าของข้อมูลเลือกที่จะขอลบข้อมูลของตนจากบริษัทที่เก็บข้อมูลบนฐานความยินยอมได้ เป็นต้น นอกจากนั้น การระบุฐานในการประมวลผลข้อมูลยังเป็นประโยชน์ในการอ้างอิง เมื่อถูกตรวจสอบจากสำนักงานคณะกรรมการคุ้มครองข้องมูลส่วนบุคคลหรือหน่วยงานที่เกี่ยวข้องอีกด้วยครับ
เพียงเลือกฐานการประมวลผลข้อมูลฐานใดฐานหนึ่ง และดำเนินการตามมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด ก็จะช่วยให้คุณสามารถประมวลผลข้อมูลได้อย่าง “ผ่านฉลุย” ภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
สนใจเรียนรู้เกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) และแนวทางปฎิบัติตามกฎหมาย ต้องหลักสูตร PDPC – Personal Data Protection Certificate หรือสามารถสอบถามรายละเอียดได้ที่ Facebook PDPA ICDLTHAILAND
หากผู้บริหารองค์กรหรือผู้ที่ได้รับมอบหมายให้รับผิดชอบเกี่ยวกับด้านการคุ้มครองข้อมูลส่วนบุคคลขององค์กรท่านใด ได้อ่านบทความข้างต้น แล้วยังมีความสับสนว่าองค์กรสามารถปรับประยุกต์ใช้ฐานทางกฎหมายใดในการประมวลผลข้อมูลส่วนบุคคลได้บ้าง รู้ได้อย่างไรว่าคุณควรเลือกใช้ฐานการประมวลผลไหน และมีแนวทางการคุ้มครองข้อมูลส่วนบุคคลในภาพรวมอย่างไร บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด (Digital Business Consult: DBC) ยินดีรับให้คำปรึกษา พร้อมบริการอบรมแบบ In-house Training ภายในองค์กรและอบรมออนไลน์หลักสูตร Personal Data Protection Certificate ครบวงจร เพื่อเป็น Solution ให้กับองค์กรที่ต้องการดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย (PDPA)
Our Consultation Service <<< คลิกเพื่อศึกษารายละเอียดบริการที่ปรึกษาด้าน PDPA
PDPA Thailand <<< หรือคลิกเพื่อสอบถามข้อมูลผ่านทาง Facebook Messenger
