7 ฐานการประมวลผลข้อมูล

7 Rules

หลักการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล

ในบทความก่อนหน้านี้เราพูดกันถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว (sensitive personal data) ไป โดยถึงแม้ว่าจะไม่มีการแยกประเภทของข้อมูลส่วนบุคคลอย่างชัดเจนในตัวบทกฎหมาย รวมถึงไม่มีคำนิยามเฉพาะของข้อมูลส่วนบุคคลแต่ละประเภท แต่อาจสรุปได้ว่า PDPA มีการแบ่งประเภทของข้อมูลส่วนบุคคลออกเป็น 2 ประเภท คือ ข้อมูลส่วนบุคคลทั่วไป และข้อมูลส่วนบุคคลที่มีความอ่อนไหว (sensitive personal data)
 
ครั้งนี้เราจะพูดถึงหลักการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลว่ามีหลักการอย่างไร…
 
ก่อนอื่น ต้องทำความเข้าใจก่อนว่า กิจกรรมที่เกี่ยวกับข้อมูลส่วนบุคคลภายใต้ PDPA มีอยู่ 3 กิจกรรมหลักๆ คือ การเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล โดยในบางครั้งก็มีการใช้คำว่า “ประมวลผล” แทนการอ้างอิงกิจกรรมทั้งหมดนี้ในภาพรวม ซึ่งหลักการคุ้มครองข้อมูลส่วนบุคคลของ PDPA คือ กิจกรรมการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใดๆ จะทำไม่ได้ ยกเว้น เจ้าของข้อมูลส่วนบุคคลจะได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น ทั้งนี้ เว้นแต่ข้อยกเว้นตาม PDPA หรือกฎหมายอื่นจะกำหนดให้ทำได้
หมายความว่า โดยหลักคือ จะทำกิจกรรมการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลได้ต่อเมื่อ 1. ได้รับความยินยอม หรือ 2. เข้าข้อยกเว้นตามกฎหมาย (หรือเรียกอีกอย่างหนึ่งว่าฐานการประมวลผลข้อมูล)
 
แล้วอะไรคือข้อยกเว้นตามกฎหมายหรือฐานการประมวลผลข้อมูลที่ว่าล่ะ??
 
ฐานการประมวลผลข้อมูลหรือข้อยกเว้นของการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลทั่วไปมีดังนี้
      1. เพื่อจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ
      2. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต
      3. เพื่อปฏิบัติตามสัญญาที่มีกับเจ้าของข้อมูลส่วนบุคคล
      4. เพื่อประโยชน์สาธารณะ
      5. เพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
      6. เพื่อการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
 
ส่วนฐานการประมวลผลข้อมูลหรือข้อยกเว้นของการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวตาม มีดังนี้
      1. ในกรณีเพื่อรักษาประโยชน์อันจำเป็นต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
      2. ในกรณีเพื่อดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมขององค์กรที่ไม่แสวงหากำไร
      3. ในกรณีที่เป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหวที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลนั้น
      4. ในกรณีที่เป็นการจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
      5. ในกรณีที่มีความจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ทางเวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์
      6. ในกรณีที่จำเป็นในการปฏิบัติตามกฎหมายเพื่อประโยชน์สาธารณะด้านการสาธารณสุข
      7. ในกรณีที่จำเป็นในการปฏิบัติตามกฎหมายเพื่อประโยชน์สาธารณะด้านการคุ้มครองและประกันสังคม
      8. ในกรณีที่จำเป็นในการปฏิบัติตามกฎหมายเพื่อประโยชน์ด้านการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น
      9. ในกรณีที่การเก็บรวบรวมข้อมูลที่มีความอ่อนไหวไม่เข้าข้อยกเว้นตามที่กล่าวมาแล้วกฎหมายยังเปิดช่องให้มีการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์สาธารณะที่มีความสาคัญ
 
จะเห็นได้ว่าข้อยกเว้นในการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหว จะมีความเฉพาะเจาะจงกว่า ดังนั้น การจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวโดยส่วนใหญ่แล้วจะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน ต่างกับข้อมูลส่วนบุคคลทั่วไปที่ข้อยกเว้นจะกำหนดไว้ค่อนข้างกว้าง ผู้ประกอบการหรือองค์กรส่วนใหญ่จะสามารถอ้างอิงข้อยกเว้นในการให้บริการลูกค้าหรือบริหารจัดการพนักงาน รวมไปถึงการดำเนินธุรกิจตามปกติได้ โดยที่ไม่จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล 
Languages »