Now!
Solution ด้านการคุ้มครองข้อมูลส่วนบุคคลที่ตอบโจทย์ SMEs ได้ทุกคำถาม

ฐานหน้าที่ตามกฎหมาย (Legal Obligation)

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

ฐานหน้าที่ตามกฎหมาย (Legal Obligation)

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

กิจกรรมที่เกี่ยวกับข้อมูลส่วนบุคคลภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA มีอยู่ 3 กิจกรรมหลักๆ คือ การเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล ซึ่งหลักการคุ้มครองข้อมูลส่วนบุคคลของ PDPA คือ บริษัทหรืององค์กรจะไม่สามารถประมวนผลใดๆก็ตามได้ เว้นแต่ เจ้าของข้อมูลส่วนบุคคลจะได้ให้ความยินยอม ทั้งนี้ เว้นแต่ข้อยกเว้นตาม PDPA หรือกฎหมายอื่นจะกำหนดให้ทำได้

หมายความว่า โดยหลักคือ จะทำกิจกรรมการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลได้ต่อเมื่อ 1. ได้รับฐานความยินยอม หรือ 2. เข้าข้อยกเว้นตามกฎหมายจากฐานอื่นๆ (หรือเรียกอีกอย่างหนึ่งว่าฐานการประมวลผลข้อมูล หรือ Lawful Basis )

ฐานการประมวลผลข้อมูลตามกฎหมาย (Lawful Basis) ของข้อมูลส่วนบุคคลทั่วไปที่ไม่ต้องขอความยินยอม (consent) มีดังนี้

  • สัญญา (Contract) ฐานนี้เป็นการปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลฯกับเจ้าของข้อมูลส่วนบุคคล ทั้งนี้สามารถทำเป็นลายลักษณ์อักษรหรือไม่เป็นลายลักษณ์อักษรก็ได้ ตัวอย่างเช่น การสมัครสมาชิกฟิตเนสและการให้บริการด้านการออกกำลังกายกับสมาชิกฟิตเนส  เก็บรวบรวมที่อยู่จัดส่งของผู้ซื้อให้กับร้านค้าเพื่อส่งสินค้า **ใช้ได้กับข้อมูลส่วนบุคคลทั่วไปเท่านั้น
  • หน้าที่ตามกฎหมาย (Legal Obligation) เป็นฐานที่กฎหมายกำหนดไห้ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตามกฎหมาย ตัวอย่างเช่น การให้ข้อมูลกับหน่วยงานหรือพนักงานเจ้าหน้าที่ของรัฐซึ่งมีอำนาจตามกฎหมาย การที่บริษัทประกันขอสำเนาบัตรประชาชนเพื่อพิสูจน์ตัวตนของผู้ใช้บริการตามกฎหมาย
  • ภารกิจของรัฐ (Public Task) เป็นฐานการใช้อำนาจรัฐเพื่อปฏิบัติหน้าที่ตามที่ได้รับมอบหมาย ผู้ควบคุมข้อมูลส่วนบุคคล  โดยในฐานนี้มักเป็นเจ้าหน้าที่ของรัฐ หรือหน่วยงานเอกชนที่มีอำนาจตามที่กำหนดไว้ในกฎหมาย เช่น ตำรวจ
  • ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest) องค์กรสามารถใช้ฐานนี้ในการประมวลผลข้อมูลสุขภาพที่เป็นข้อมูลอ่อนไหว (sensitive data) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย สุขภาพ ซึ่งจะใช้ฐานนี้ได้เฉพาะในกรณีที่เจ้าของข้อมูลอยู่ในสภาวะที่ไม่สามารถให้ความยินยอมได้ ตัวอย่างเช่น สาธารณสุขจังหวัดขอเก็บข้อมูลของประชาชนในพื้นที่เพื่อเฝ้าระวังป้องกันโรคระบาด 
  • เป็นประโยชน์อันชอบธรรม (Legitimate Interest) เป็นการดำเนินการที่จำเป็นเพื่อประโยชน์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือบุคคลภายนอก แต่การดำเนินการนั้นจะต้องไม่ละเมิดสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล ตัวอย่างเช่น การบันทึกภาพกล้องวงจรปิดในสถานที่สาธารณะ
  • วิจัย สถิติ (Scientific or Research) ฐานนี้ต้องอ้างอิงฐานตามกฎหมาย ประกอบด้วยว่าจะขอจัดเก็บข้อมูลเพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ วิจัย สถิติ ตามวัตถุประสงค์หลักใด เช่น ขอเก็บตามฐานภารกิจของรัฐ (Public Task) ฐานการปฏิบัติตามกฎหมาย (Legal Obligation) 

ในบทความนี้จะอธิบายถึง part ของฐานหน้าที่ตามกฎหมาย (Legal Obligation) กันแล้วนะครับ หรือท่านสามารถอ่าน ฐานประโยชน์อันชอบธรรม (Legitimate interest) ได้ที่นี่ คลิก !  หรือ7 ฐานทางกฎหมายอย่างละเอียด ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล คลิก!

ฐานหน้าที่ตามกฎหมาย (Legal Obligation)

มาตรา 24 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดหลักการประมวลผลข้อมูลส่วนบุคคล หรือที่เรียกว่า Lawful basis อันเป็นเหตุที่สามารถทำได้โดยชอบด้วยกฎหมาย ดังนี้

‘ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (อนุมาตรา 6)’

ข้อยกเว้นในวงเล็บ 6 หรืออนุมาตรา 6 เป็นฐานกฎหมายที่เรียกว่า ฐานหน้าที่ตามกฎหมาย (Legal Obligation) ซึ่ง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้ระบุว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจำเป็นต่อการปฏิบัติหน้าที่ตามกฎหมายกำหนดไม่ว่าจะเป็นตามบทบัญญัติแห่งกฎหมาย หรือตามคำสั่งของหน่วยงานรัฐที่มีอำนาจ หากผู้ควบคุมข้อมูลส่วนบุคคลสามารถอธิบายการปฏิบัติตามหน้าที่นั้นได้อย่างชัดเจนว่าปฏิบัติหน้าที่ตามบทบัญญัติใดหรือ ปฏิบัติตามคำสั่งของหน่วยงานใดของรัฐ การประมวลผลเพื่อการดังกล่าว ‘ก็ไม่ต้องขอความยินยอม’

ตัวอย่างเช่น บริษัทมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเงินเดือนของพนักงานเพื่อคำนวณจ่ายค่าประกันสังคมส่งให้กับสำนักงานประกันสังคม 

ฐานหน้าที่ตามกฎหมาย

Share :

บทความที่เกี่ยวข้อง

Copyright © 2022 Digital Business Consult, All Rights Reserved.

ลงทะเบียน

เข้าสู่ระบบ