คณะกรรมการคุ้มครองข้อมูลแห่งสหภาพยุโรป (EDPB) เผยแพร่ร่างคู่มือแนวปฏิบัติเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลโดยยึดฐานประโยชน์โดยชอบด้วยกฎหมายภายใต้ GDPR เพื่อประชาพิจารณ์ โดยร่างคู่มือฯ ที่มีมติเห็นชอบเมื่อวันที่ 8 ตุลาคม 2024 ฉบับนี้ระบุถึงหลักเกณฑ์ที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องบรรลุเพื่อประมวลผลข้อมูลอย่างถูกต้องตามกฎหมาย GDPR มาตรา 6(1)(f) ไว้อย่างละเอียด โดยมีเงื่อนไข 3 ข้อ ดังนี้

• การแสวงหาประโยชน์โดยชอบด้วยกฎหมาย

ประโยชน์ดังกล่าวจะต้องมีลักษณะที่ถูกต้องตามกฎหมาย ชัดเจน และเป็นปัจจุบัน เช่น เพื่อการป้องกันการฉ้อโกง การรักษาความปลอดภัย เป็นต้น ซึ่งรายการประโยชน์นั้นอาจไม่ได้ถูกระบุอย่างเป็นลายลักษณ์อักษรอยู่ในตัวบทกฎหมาย

• ความจำเป็นของการประมวลผล

การประมวลผลโดยประโยชน์อันชอบธรรมที่แสวงหาจะต้องมีความจำเป็นอย่างยิ่งเพื่อทำตามวัตถุประสงค์ในการประมวลผล และจะต้องประเมินว่าไม่มีวิธีการอื่น ๆ ที่ล่วงล้ำต่อความเป็นส่วนตัวน้อยกว่าที่สามารถกระทำแทนได้

• การถ่วงดุล

การถ่วงดุลจะต้องมีขึ้นระหว่างประโยชน์อันชอบธรรมของผู้ควบคุมข้อมูลส่วนบุคคล และสิทธิขั้นพื้นฐานและเสรีภาพ ตลอดจนประโยชน์ของเจ้าของข้อมูลส่วนบุคคล คู่มือแนะแนวปฏิบัติไว้ว่าควรมีการร่างแผนผังของสิทธิ/เสรีภาพออกมาอย่างชัดเจน สิทธิหรือผลประโยชน์ของเจ้าของข้อมูลที่อาจได้รับผลกระทบ และผลกระทบที่อาจเกิดขึ้น โดยมีรายการปัจจัยจำเป็นที่เกี่ยวข้องแนบมาด้วย

คณะกรรมการคุ้มครองข้อมูลแห่งสหภาพยุโรป (EDPB) ยังให้ข้อเสนอแนะอย่างละเอียดและตัวอย่างการประยุกต์ใช้กฎหมาย GDPR มาตรา 6(1)(f) ในบริบทต่าง ๆ เช่น

• การประมวลผลข้อมูลของเด็ก: ประโยชน์ของเด็กมักมีน้ำหนักมากกว่าประโยชน์ของผู้ควบคุมข้อมูลส่วนบุคคล ปกติแล้วการทำ Profiling และการโฆษณาแบบระบุตัวตนจะไม่สอดคล้องกับความพยายามในการคุ้มครองเด็ก

• การประมวลผลเพื่อป้องกันการฉ้อโกง: จะต้องจำเป็นอย่างยิ่งและสอดคล้องกับหลักการ Data Minimization ผู้ควบคุมข้อมูลควรระบุการฉ้อโกงเฉพาะที่ต้องการป้องกันและข้อมูลที่จำเป็นสำหรับวัตถุประสงค์นั้น

• การประมวลผลเพื่อการตลาดทางตรง: แม้การตลาดทางตรงสามารถใช้ฐานประโยชน์โดยชอบด้วยกฎหมายได้ แต่ความถูกต้องตามกฎหมายและความคาดหวังในการถูกใช้ข้อมูลของเจ้าของข้อมูลส่วนบุคคลจะต้องถูกนำมาพิจารณาด้วย ในมุมของความถูกต้องตามกฎหมายของการตลาดทางตรงจะได้รับผลกระทบจากกฎหมายอื่นของสหภาพยุโรปและกฎหมายของแต่ละชาติ เช่น กรณีที่ ePrivacy Directive กำหนดให้ต้องขอความยินยอมแล้วจะไม่สามารถใช้ฐานประโยชน์โดยชอบด้วยกฎหมาย (GDPR) ในการประมวลผลข้อมูลได้

• การประมวลผลเพื่อบริหารจัดการภายใน: ผู้ควบคุมข้อมูลที่เป็นส่วนหนึ่งของกลุ่มองค์กรอาจส่งผ่านข้อมูลส่วนบุคคลภายในกลุ่มโดยใช้ฐานประโยชน์โดยชอบด้วยกฎหมายได้ อย่างไรก็ตาม EDPB ยังแนะนำให้พิจารณาใช้ฐานการประมวลผลอื่น

• การประมวลผลเพื่อความมั่นคงปลอดภัยเครือข่ายและข้อมูล: การประมวลผลในลักษณะนี้จะต้องทดสอบว่าตรงตามหลักเงื่อนไขความจำเป็นและการถ่วงดุลด้วย EDPB เตือนว่าการโซลูชั่นด้านความปลอดภัยบางอย่างอาจนำไปสู่การวิเคราะห์ข้อมูลเนื้อหาการสื่อสารและ Meta Data ในวงกว้าง (และรุกล้ำ) ซึ่งมีผลกระทบอย่างมากต่อผลการทดสอบการถ่วงดุล

• การเปิดเผยข้อมูลตามคำขอของหน่วยงานประเทศที่สาม: ผู้ควบคุมข้อมูลอาจมีประโยชน์โดยชอบด้วยกฎหมายในการปฏิบัติตามคำขอเช่นนี้ หากผู้ควบคุมอยู่ภายใต้กฎหมายของประเทศที่สามและการไม่ปฏิบัติตามจะส่งผลให้มีการคว่ำบาตร อย่างไรก็ตาม จำเป็นจะต้องมีการทดสอบการถ่วงดุลก่อนเปิดเผยข้อมูล

*ฐานประโยชน์โดยชอบด้วยกฎหมาย เรียกอีกชื่อหนึ่งว่า “ฐานประโยชน์อันชอบธรรม” 

ร่างคู่มือฯ เน้นให้บันทึกการประเมินผลของการใช้ฐานประโยชน์โดยชอบด้วยกฎหมาย เพื่อเป็นส่วนหนึ่งในการปฏิบัติตามข้อกำหนดความรับผิดชอบ (Accountability) ภายใต้กฎหมาย GDPR

ร่างคู่มือแนวปฏิบัติเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลโดยยึดฐานประโยชน์โดยชอบด้วยกฎหมายภายใต้ GDPR คลิก!
และข่าวประชาสัมพันธ์ (Press Release) จากเว็บไซต์ EDPB เกี่ยวกับร่างคู่มือฯ คลิก!

ที่มาของเนื้อหาข่าว:

https://www.aoshearman.com/en/insights/ao-shearman-on-data/the-european-data-protection-board-publishes-draft-guidelines-on-legitimate-interest-under-gdpr