กิจกรรมที่เกี่ยวกับข้อมูลส่วนบุคคลภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA มีอยู่ 3 กิจกรรมหลักๆ คือ การเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล ซึ่งหลักการคุ้มครองข้อมูลส่วนบุคคลของ PDPA คือ บริษัทหรืององค์กรจะไม่สามารถประมวนผลใดๆก็ตามได้ เว้นแต่ เจ้าของข้อมูลส่วนบุคคลจะได้ให้ความยินยอม ทั้งนี้ เว้นแต่ข้อยกเว้นตาม PDPA หรือกฎหมายอื่นจะกำหนดให้ทำได้
หมายความว่า โดยหลักคือ จะทำกิจกรรมการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลได้ต่อเมื่อ 1. ได้รับฐานความยินยอม หรือ 2. เข้าข้อยกเว้นตามกฎหมายจากฐานอื่นๆ (หรือเรียกอีกอย่างหนึ่งว่าฐานการประมวลผลข้อมูล หรือ Lawful Basis )
ฐานการประมวลผลข้อมูลตามกฎหมาย (Lawful Basis) ของข้อมูลส่วนบุคคลทั่วไปที่ไม่ต้องขอความยินยอม (consent) มีดังนี้
- สัญญา (Contract) ฐานนี้เป็นการปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลฯกับเจ้าของข้อมูลส่วนบุคคล ทั้งนี้สามารถทำเป็นลายลักษณ์อักษรหรือไม่เป็นลายลักษณ์อักษรก็ได้ ตัวอย่างเช่น การสมัครสมาชิกฟิตเนสและการให้บริการด้านการออกกำลังกายกับสมาชิกฟิตเนส เก็บรวบรวมที่อยู่จัดส่งของผู้ซื้อให้กับร้านค้าเพื่อส่งสินค้า **ใช้ได้กับข้อมูลส่วนบุคคลทั่วไปเท่านั้น
- หน้าที่ตามกฎหมาย (Legal Obligation) เป็นฐานที่กฎหมายกำหนดไห้ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตามกฎหมาย ตัวอย่างเช่น การให้ข้อมูลกับหน่วยงานหรือพนักงานเจ้าหน้าที่ของรัฐซึ่งมีอำนาจตามกฎหมาย การที่บริษัทประกันขอสำเนาบัตรประชาชนเพื่อพิสูจน์ตัวตนของผู้ใช้บริการตามกฎหมาย
- ภารกิจของรัฐ (Public Task) เป็นฐานการใช้อำนาจรัฐเพื่อปฏิบัติหน้าที่ตามที่ได้รับมอบหมาย ผู้ควบคุมข้อมูลส่วนบุคคล โดยในฐานนี้มักเป็นเจ้าหน้าที่ของรัฐ หรือหน่วยงานเอกชนที่มีอำนาจตามที่กำหนดไว้ในกฎหมาย เช่น ตำรวจ
- ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest) องค์กรสามารถใช้ฐานนี้ในการประมวลผลข้อมูลสุขภาพที่เป็นข้อมูลอ่อนไหว (sensitive data) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย สุขภาพ ซึ่งจะใช้ฐานนี้ได้เฉพาะในกรณีที่เจ้าของข้อมูลอยู่ในสภาวะที่ไม่สามารถให้ความยินยอมได้ ตัวอย่างเช่น สาธารณสุขจังหวัดขอเก็บข้อมูลของประชาชนในพื้นที่เพื่อเฝ้าระวังป้องกันโรคระบาด
- เป็นประโยชน์อันชอบธรรม (Legitimate Interest) เป็นการดำเนินการที่จำเป็นเพื่อประโยชน์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือบุคคลภายนอก แต่การดำเนินการนั้นจะต้องไม่ละเมิดสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล ตัวอย่างเช่น การบันทึกภาพกล้องวงจรปิดในสถานที่สาธารณะ
- วิจัย สถิติ (Scientific or Research) ฐานนี้ต้องอ้างอิงฐานตามกฎหมาย ประกอบด้วยว่าจะขอจัดเก็บข้อมูลเพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ วิจัย สถิติ ตามวัตถุประสงค์หลักใด เช่น ขอเก็บตามฐานภารกิจของรัฐ (Public Task) ฐานการปฏิบัติตามกฎหมาย (Legal Obligation)
ในบทความนี้จะอธิบายถึง part ของฐานหน้าที่ตามกฎหมาย (Legal Obligation) กันแล้วนะครับ หรือท่านสามารถอ่าน ฐานประโยชน์อันชอบธรรม (Legitimate interest) ได้ที่นี่ คลิก ! หรือ7 ฐานทางกฎหมายอย่างละเอียด ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล คลิก!
ฐานหน้าที่ตามกฎหมาย (Legal Obligation)
มาตรา 24 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดหลักการประมวลผลข้อมูลส่วนบุคคล หรือที่เรียกว่า Lawful basis อันเป็นเหตุที่สามารถทำได้โดยชอบด้วยกฎหมาย ดังนี้
‘ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (อนุมาตรา 6)’
ข้อยกเว้นในวงเล็บ 6 หรืออนุมาตรา 6 เป็นฐานกฎหมายที่เรียกว่า ฐานหน้าที่ตามกฎหมาย (Legal Obligation) ซึ่ง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้ระบุว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจำเป็นต่อการปฏิบัติหน้าที่ตามกฎหมายกำหนดไม่ว่าจะเป็นตามบทบัญญัติแห่งกฎหมาย หรือตามคำสั่งของหน่วยงานรัฐที่มีอำนาจ หากผู้ควบคุมข้อมูลส่วนบุคคลสามารถอธิบายการปฏิบัติตามหน้าที่นั้นได้อย่างชัดเจนว่าปฏิบัติหน้าที่ตามบทบัญญัติใดหรือ ปฏิบัติตามคำสั่งของหน่วยงานใดของรัฐ การประมวลผลเพื่อการดังกล่าว ‘ก็ไม่ต้องขอความยินยอม’
ตัวอย่างเช่น บริษัทมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเงินเดือนของพนักงานเพื่อคำนวณจ่ายค่าประกันสังคมส่งให้กับสำนักงานประกันสังคม
