Ep.2 หลักการเก็บรวบรวมข้อมูลส่วนบุคคล
.
มาทำความรู้จักกับ 7 หลักการในการเก็บรวบรวมข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 24 กำหนดเหตุที่สามารถทำได้โดยชอบด้วยกฎหมาย ดังนี้
.
1. ได้รับความยินยอมจากเจ้าของข้อมูล (Consent)
2. จำเป็นต่อการทำตามสัญญา (Contract)
3. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพ (Vital Interest)
4. เป็นการทำหน้าที่ตามกฎหมายเพื่อประโยชน์สาธารณะหรือการใช้อำนาจรัฐ (Public Task)
5. จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest)
6. เป็นการปฏิบัติตามกฎหมาย (Legal Obligations)
7. เกี่ยวกับการจัดทำเอกสารประวัติศาตร์ วิจัย หรือสถิติ (Scientific / Historical Research)
.
หากเป็นการเก็บรวบรวมข้อมูลตามวัตถุประสงค์ดังกล่าวแม้เพียงเหตุใดเหตุหนึ่งการเก็บรวบรวมข้อมูลนั้นก็จะชอบตามกฎหมาย PDPA
.
ดังนั้น จึงไม่จำเป็นว่าจะต้องขอความยินยอมในทุกกรณีเสมอไป
Ep.2.1 Vital Interest กรณีป้องกันหรือระงับอันตรายต่อชีวิตร่างกาย หรือสุขภาพ
.
กรณีเป็นการเก็บรวบรวม ใช้ เปิดเผย “ข้อมูลส่วนบุคคล (Personal Data)” โดยมีวัตถุประสงค์เพื่อป้องกันหรือระงับอันตรายรักษาชีวิต ร่างกายหรือสุขภาพเจ้าของข้อมูลส่วนบุคคลรวมถึงเพื่อประโยชน์สาธารณะสามารถทำได้โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (ตาม มาตรา 24(2))
ตัวอย่าง เก็บข้อมูลชื่อ เบอร์โทรศัพท์ผู้เข้าออกอาคาร เพื่อป้องกันการแพร่กระจายของสถานการณ์โรคระบาดแต่ยังคงต้องมีมาตรการรักษาความปลอดภัยสำหรับข้อมูลส่วนบุคคลนั้นด้วย
.
หากเป็น “ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data)” เช่น ข้อมูลสุขภาพ ความพิการ ข้อมูลพันธุกรรม/ชีวภาพ นอกจากเพื่อวัตถุประสงค์ดังกล่าวแล้วยังต้องเป็นกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ด้วย (ตาม มาตรา 26(1)) ตัวอย่าง โรงพยาบาลเปิดเผยประวัติสุขภาพของผู้ประสบอุบัติเหตุที่กำลังหมดสติเพื่อให้ได้รับการรักษาอย่างเร่งด่วน
Ep.2.2 สัญญา Contract
.
กรณีเป็นการเก็บรวบรวม ใช้ เปิดเผย “ข้อมูลส่วนบุคคล (Personal Data)” ที่จำเป็นเพื่อปฏิบัติตามคำขอของเจ้าของข้อมูลส่วนบุคคล เพื่อเข้าทำสัญญาหรือจำเป็นเพื่อปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคล
.
เจ้าของข้อมูลส่วนบุคคลจำเป็นต้องให้ข้อมูลส่วนบุคคลของตนและผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องใช้ข้อมูลนั้นให้สามารถดำเนินการตามสัญญาต่อไปได้ดังนั้น เมื่อเข้าหลักการเก็บรวบรวมข้อมูล เพื่อปฏิบัติตามสัญญานี้แล้วจึงไม่ต้องขอความยินยอมเพิ่มเติมอีก (มาตรา 24(3))
.
หลักการเรื่องสัญญานี้ยังไม่เพียงพอตามกฎหมายที่จะนำไปเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลอ่อนไหวตามมาตรา 26 จึงอาจต้องขอความยินยอมชัดแจ้ง เว้นแต่เป็นกรณีสัญญาให้บริการทางการแพทย์
ที่เข้าเงื่อนไขตามกฎหมาย ตามมาตรา 26(5)(ก) หรือกรณีตามข้อยกเว้นอื่นที่ไม่ต้องขอความยินยอม
ตามมาตรา 26
.
ตัวอย่าง
- การประมวลผลข้อมูลผู้สมัครบัตรเครดิตว่าจะอนุมัติบัตรเครดิตหรือไม่
- การประมวลผลที่อยู่ลูกค้าเพื่อจัดส่งสินค้า
- การประมวลผลบัญชีธนาคารลูกจ้างเพื่อจ่ายค่าจ้าง
Ep.2.3 ภารกิจของรัฐ Public Task
.
กรณีเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ “จำเป็น” ต่อการดำเนินภารกิจของรัฐ เพื่อประโยชน์สาธารณะ โดยมีกฎหมายกำหนดหรือให้อำนาจไว้เฉพาะเจาะจงผู้ควบคุมข้อมูลส่วนบุคคลในกรณีนี้จึงเป็นองค์กรของรัฐหรือหน่วยงานที่ใช้อำนาจรัฐการประมวลผลข้อมูลนั้นจึงไม่ต้องขอความยินยอม (มาตรา 24(4)) เช่น การเก็บรวบรวมข้อมูลของสำนักงานสถิติแห่งชาติ
.
ทั้งนี้การประมวลผลข้อมูลส่วนบุคคลตามหลักการนี้ยังคงต้องคำนึงถึงความจำเป็น หลักความโปร่งใส
และหลักการความปลอดภัยของข้อมูลผู้ควบคุมข้อมูลส่วนบุคคลยังคงมีหน้าที่ในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลนั้น
.
Ep.2.4 “หน้าที่ตามกฎหมาย Legal Obligations”
.
กรณีเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจำเป็นต่อการปฏิบัติหน้าที่ตามกฎหมายกำหนดไม่ว่าจะเป็นตามบทบัญญัติแห่งกฎหมายหรือตามคำสั่งของหน่วยงานรัฐที่มีอำนาจหากผู้ควบคุมข้อมูลส่วนบุคคลสามารถอธิบายการปฏิบัติตามหน้าที่นั้นได้อย่างชัดเจนว่าปฏิบัติหน้าที่ตามบทบัญญัติใดหรือปฏิบัติตามคำสั่งของหน่วยงานใดของรัฐการประมวลผลเพื่อการดังกล่าวไม่ต้องขอความยินยอมอีก (มาตรา 24(6))
.
อย่างไรก็ตาม แม้ผู้ควบคุมจะประมวลผลตามกฎหมายผู้ควบคุมยังคงมีหน้าที่จัดทำบันทึกรายการกิจกรรม (Record of Processing Activities: ROP)
.
ตัวอย่าง
-เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเงินเดือนลูกจ้างเพื่อคำนวณจ่ายค่าประกันสังคมส่งให้กับสำนักงานประกันสังคม
Ep.2.5 “ประโยชน์อันชอบธรรม Legitimate Interest”
.
การประมวลผลข้อมูลที่จำเป็นเพื่อประโยชน์อันชอบธรรมของผู้ควบคุมข้อมูลหรือบุคคลอื่นสาระสำคัญคือประโยชน์อันชอบธรรมนั้น ‘ต้องไม่เกินไปกว่าความคาดหมายของเจ้าของข้อมูล’ เช่น การติด CCTV หน้าประตูทางเข้าบริษัทย่อมคาดหมายได้ว่าเป็นไปเพื่อการรักษาความปลอดภัย ผู้ควบคุมข้อมูลสามารถทำให้เจ้าของข้อมูลมีความคาดหมายที่ถูกต้องเพิ่มเติมได้โดยการแปะป้าย “ CCTV กำลังทำงาน ”
.
ผู้ควบคุมข้อมูลส่วนบุคคลต้องใช้ดุลยพินิจชั่งน้ำหนักระหว่างประโยชน์อันชอบธรรมไม่ให้ขัดกับสิทธิและประโยชน์เจ้าของข้อมูลส่วนบุคคล ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลต้องระบุได้ว่าอะไรคือประโยชน์อันชอบธรรมที่จะได้รับและความจำเป็นในการประมวลผลข้อมูลทั้งยังมีหน้าที่ปกป้องสิทธิเสรีภาพและประโยชน์ของเจ้าของข้อมูลส่วนบุคคลให้สมดุลกับประโยชน์อันชอบธรรมที่จะได้รับด้วย (มาตรา 24(5))
.
ตัวอย่างคือ หากติดกล้อง CCTV ในสถานที่ เช่น ภายในห้องน้ำ นอกจากเกินกว่าที่บุคคลทั่วไปจะคาดหมายได้แล้ว ยังก้าวล่วงความเป็นส่วนตัวและสร้างความเสี่ยงต่อเจ้าของข้อมูลมากเกินสมควร กรณีนี้ก็จะไม่สามารถอ้างประโยชน์อันชอบธรรมได้
.
นอกจากนี้ ในการปกป้องสิทธิเสรีภาพและประโยชน์ของเจ้าของข้อมูลผู้ควบคุมข้อมูลควรจะมีระบบรักษาความปลอดภัยในการใช้ข้อมูลจากกล้องให้อยู่ในขอบเขตที่เหมาะสมไม่เปิดเผยให้ผู้อื่นเข้าถึงได้โดยง่าย ก็จะเป็นมาตรการที่ช่วยคุ้มครองเจ้าของข้อมูลได้อีกทางหนึ่ง (Safeguard)
Ep 2.6 “ความยินยอม Consent”
•
ขอความยินยอมอย่างไร? ให้ถูกต้องตามกฎหมาย PDPA
•
กรณีมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคล โดยไม่มีฐานการประมวลผลอื่นตามมาตรา 24 ผู้ควบคุมต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนหรือขณะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลนั้นโดยใช้แบบหรือข้อความที่เข้าใจง่าย แยกเป็นสัดส่วน ทำเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้ต้องไม่เป็นการหลอกลวงหรือมีเงื่อนไขแอบแฝงเพื่อประมวลผลข้อมูลที่ไม่จำเป็นหรือไม่เกี่ยวข้อง
•
สำคัญคือ เจ้าของข้อมูลต้องมีอิสระและทำโดยสมัครใจ สามารถเลือกได้ว่าจะให้ความยินยอมหรือปฎิเสธ ทั้งนี้ แม้ให้ความยินยอมไปแล้ว เจ้าของข้อมูลก็สามารถถอนความยินยอมได้ เว้นแต่มีข้อจำกัดตามกฎหมาย โดยการถอนความยินยอมต้องสามารถทำได้ง่าย (เรียกได้ว่าง่ายเหมือนกับตอนให้ความยินยอม)
•
ดังนั้น จึงไม่ควรขอความยินยอมโดยไม่จำเป็นซึ่งจริง ๆ แล้ว การทำกิจกรรมส่วนใหญ่สามารถทำได้
โดยไม่ต้องขอความยินยอม เพราะมีเหตุอื่นให้ใช้ได้ เช่น การปฏิบัติตามสัญญา การปฏิบัติตามกฎหมาย
เพียงแต่ผู้ควบคุมข้อมูลมีหน้าที่ต้องแจ้ง ให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์นั้น
•
ตัวอย่าง
การประมวลผลข้อมูลเพื่อซื้อขายสินค้า สามารถทำได้ตามฐานสัญญาโดยไม่ต้องขอความยินยอม แต่หากเสนอบริการเสริมเพิ่มเติม ที่ไม่เกี่ยวข้องกับสัญญาซื้อขายนั้น ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
•
และการขอความยินยอมจะต้องไม่แสร้งว่าเป็นส่วนหนึ่งของสัญญาหรือเงื่อนไขในการให้บริการหรือทำให้เข้าใจผิดว่าหากไม่ให้ความยินยอมแล้วเจ้าของข้อมูลจะไม่ได้รับบริการนั้น ๆ
•
กรณีผู้ควบคุมมีการประมวลผลข้อมูลส่วนบุคคล หลายอย่างเพื่อวัตถุประสงค์เดียวกัน สามารถรวมอยู่ในความยินยอมครั้งเดียวได้ แต่หากใช้ข้อมูลส่วนบุคคลชุดเดียวกัน เพื่อประมวลผลหลายวัตถุประสงค์
ต้องให้เจ้าของข้อมูลมีทางเลือกได้ว่า ยินยอมสำหรับวัตถุประสงค์ใดบ้าง
•
เนื่องจากแต่ละองค์กรมีรูปแบบและลักษณะที่แตกต่างกัน รูปแบบการขอความยินยอมของแต่ละองค์กร จึงสามารถออกแบบและปรับให้เหมาะสมกับกิจกรรมการประมวลผลของตนได้
•
ย้ำอีกครั้งว่าตามกฎหมาย PDPA ไม่ได้กำหนดให้ต้องขอความยินยอมในทุกกรณี หากวัตถุประสงค์การประมวลผลข้อมูล เข้าหลักการข้ออื่นโดยชอบด้วยกฎหมายแล้ว ก็ไม่ต้องนำเรื่องความยินยอมมาใช้
(แต่ยังมีหน้าที่ในการแจ้งเจ้าของข้อมูลส่วนบุคคลอยู่)
.
ติดตามข้อมูลและความรู้ได้ที่ :-
เว็บไซต์ : www.hrconsultant.training
Line@ : https://lin.ee/ZvXLMFE (@hr.training.online)
.
สนใจหลักสูตรอบรมเชิงปฏิบัติการ ทุกหน่วยงาน คลิก🔻
.
สนใจหลักสูตรทำระบบ คลิก🔻
.
สนใจหลักสูตร PDPA for HR คลิก🔻
.
สนใจหลักสูตร PDPA for IT คลิก🔻
.
ติดต่อเรา
Line@ : https://lin.ee/ZvXLMFE (@hr.training.online)
.
#พรบคุ้มครองข้อมูลส่วนบุคคล #PDPA #PDPAforHR #Training #ฝึกอบรม #TrainingOnline #PDPATraining #ConsentForm #PDPAคืออะไร #PDPAสรุป #PDPAพรบ #PDPAย่อมาจาก #กฎหมายPDPA #PDPAบังคับใช้ #Consentคือ #พรบคุ้มครองข้อมูลส่วนบุคคล2565 #กฎหมาย #ROPA
Comments