คณะกรรมการคุ้มครองข้อมูลแห่งสหภาพยุโรป (EDPB) เผยแพร่ร่างคู่มือแนวปฏิบัติเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลโดยยึดฐานประโยชน์โดยชอบด้วยกฎหมายภายใต้ GDPR เพื่อประชาพิจารณ์ โดยร่างคู่มือฯ ที่มีมติเห็นชอบเมื่อวันที่ 8 ตุลาคม 2024 ฉบับนี้ระบุถึงหลักเกณฑ์ที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องบรรลุเพื่อประมวลผลข้อมูลอย่างถูกต้องตามกฎหมาย GDPR มาตรา 6(1)(f) ไว้อย่างละเอียด โดยมีเงื่อนไข 3 ข้อ ดังนี้
การแสวงหาประโยชน์โดยชอบด้วยกฎหมาย
ประโยชน์ดังกล่าวจะต้องมีลักษณะที่ถูกต้องตามกฎหมาย ชัดเจน และเป็นปัจจุบัน เช่น เพื่อการป้องกันการฉ้อโกง การรักษาความปลอดภัย เป็นต้น ซึ่งรายการประโยชน์นั้นอาจไม่ได้ถูกระบุอย่างเป็นลายลักษณ์อักษรอยู่ในตัวบทกฎหมาย
ความจำเป็นของการประมวลผล
การประมวลผลโดยประโยชน์อันชอบธรรมที่แสวงหาจะต้องมีความจำเป็นอย่างยิ่งเพื่อทำตามวัตถุประสงค์ในการประมวลผล และจะต้องประเมินว่าไม่มีวิธีการอื่น ๆ ที่ล่วงล้ำต่อความเป็นส่วนตัวน้อยกว่าที่สามารถกระทำแทนได้
การถ่วงดุล
การถ่วงดุลจะต้องมีขึ้นระหว่างประโยชน์อันชอบธรรมของผู้ควบคุมข้อมูลส่วนบุคคล และสิทธิขั้นพื้นฐานและเสรีภาพ ตลอดจนประโยชน์ของเจ้าของข้อมูลส่วนบุคคล คู่มือแนะแนวปฏิบัติไว้ว่าควรมีการร่างแผนผังของสิทธิ/เสรีภาพออกมาอย่างชัดเจน สิทธิหรือผลประโยชน์ของเจ้าของข้อมูลที่อาจได้รับผลกระทบ และผลกระทบที่อาจเกิดขึ้น โดยมีรายการปัจจัยจำเป็นที่เกี่ยวข้องแนบมาด้วย
คณะกรรมการคุ้มครองข้อมูลแห่งสหภาพยุโรป (EDPB) ยังให้ข้อเสนอแนะอย่างละเอียดและตัวอย่างการประยุกต์ใช้กฎหมาย GDPR มาตรา 6(1)(f) ในบริบทต่าง ๆ เช่น
การประมวลผลข้อมูลของเด็ก: ประโยชน์ของเด็กมักมีน้ำหนักมากกว่าประโยชน์ของผู้ควบคุมข้อมูลส่วนบุคคล ปกติแล้วการทำ Profiling และการโฆษณาแบบระบุตัวตนจะไม่สอดคล้องกับความพยายามในการคุ้มครองเด็ก
การประมวลผลเพื่อป้องกันการฉ้อโกง: จะต้องจำเป็นอย่างยิ่งและสอดคล้องกับหลักการ Data Minimization ผู้ควบคุมข้อมูลควรระบุการฉ้อโกงเฉพาะที่ต้องการป้องกันและข้อมูลที่จำเป็นสำหรับวัตถุประสงค์นั้น
การประมวลผลเพื่อการตลาดทางตรง: แม้การตลาดทางตรงสามารถใช้ฐานประโยชน์โดยชอบด้วยกฎหมายได้ แต่ความถูกต้องตามกฎหมายและความคาดหวังในการถูกใช้ข้อมูลของเจ้าของข้อมูลส่วนบุคคลจะต้องถูกนำมาพิจารณาด้วย ในมุมของความถูกต้องตามกฎหมายของการตลาดทางตรงจะได้รับผลกระทบจากกฎหมายอื่นของสหภาพยุโรปและกฎหมายของแต่ละชาติ เช่น กรณีที่ ePrivacy Directive กำหนดให้ต้องขอความยินยอมแล้วจะไม่สามารถใช้ฐานประโยชน์โดยชอบด้วยกฎหมาย (GDPR) ในการประมวลผลข้อมูลได้
การประมวลผลเพื่อบริหารจัดการภายใน: ผู้ควบคุมข้อมูลที่เป็นส่วนหนึ่งของกลุ่มองค์กรอาจส่งผ่านข้อมูลส่วนบุคคลภายในกลุ่มโดยใช้ฐานประโยชน์โดยชอบด้วยกฎหมายได้ อย่างไรก็ตาม EDPB ยังแนะนำให้พิจารณาใช้ฐานการประมวลผลอื่น
การประมวลผลเพื่อความมั่นคงปลอดภัยเครือข่ายและข้อมูล: การประมวลผลในลักษณะนี้จะต้องทดสอบว่าตรงตามหลักเงื่อนไขความจำเป็นและการถ่วงดุลด้วย EDPB เตือนว่าการโซลูชั่นด้านความปลอดภัยบางอย่างอาจนำไปสู่การวิเคราะห์ข้อมูลเนื้อหาการสื่อสารและ Meta Data ในวงกว้าง (และรุกล้ำ) ซึ่งมีผลกระทบอย่างมากต่อผลการทดสอบการถ่วงดุล
การเปิดเผยข้อมูลตามคำขอของหน่วยงานประเทศที่สาม: ผู้ควบคุมข้อมูลอาจมีประโยชน์โดยชอบด้วยกฎหมายในการปฏิบัติตามคำขอเช่นนี้ หากผู้ควบคุมอยู่ภายใต้กฎหมายของประเทศที่สามและการไม่ปฏิบัติตามจะส่งผลให้มีการคว่ำบาตร อย่างไรก็ตาม จำเป็นจะต้องมีการทดสอบการถ่วงดุลก่อนเปิดเผยข้อมูล
*ฐานประโยชน์โดยชอบด้วยกฎหมาย เรียกอีกชื่อหนึ่งว่า “ฐานประโยชน์อันชอบธรรม”
