EP.2 หลักการเก็บรวบรวมข้อมูลส่วนบุคคล-กฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA

Ep.2 หลักการเก็บรวบรวมข้อมูลส่วนบุคคล

.

มาทำความรู้จักกับ 7 หลักการในการเก็บรวบรวมข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 24 กำหนดเหตุที่สามารถทำได้โดยชอบด้วยกฎหมาย ดังนี้

.

1. ได้รับความยินยอมจากเจ้าของข้อมูล (Consent)

2. จำเป็นต่อการทำตามสัญญา (Contract)

3. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพ (Vital Interest)

4. เป็นการทำหน้าที่ตามกฎหมายเพื่อประโยชน์สาธารณะหรือการใช้อำนาจรัฐ (Public Task)

5. จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest)

6. เป็นการปฏิบัติตามกฎหมาย (Legal Obligations)

7. เกี่ยวกับการจัดทำเอกสารประวัติศาตร์ วิจัย หรือสถิติ (Scientific / Historical Research)

.

หากเป็นการเก็บรวบรวมข้อมูลตามวัตถุประสงค์ดังกล่าวแม้เพียงเหตุใดเหตุหนึ่งการเก็บรวบรวมข้อมูลนั้นก็จะชอบตามกฎหมาย PDPA

.

ดังนั้น จึงไม่จำเป็นว่าจะต้องขอความยินยอมในทุกกรณีเสมอไป

Ep.2.1 Vital Interest กรณีป้องกันหรือระงับอันตรายต่อชีวิตร่างกาย หรือสุขภาพ

.

กรณีเป็นการเก็บรวบรวม ใช้ เปิดเผย “ข้อมูลส่วนบุคคล (Personal Data)” โดยมีวัตถุประสงค์เพื่อป้องกันหรือระงับอันตรายรักษาชีวิต ร่างกายหรือสุขภาพเจ้าของข้อมูลส่วนบุคคลรวมถึงเพื่อประโยชน์สาธารณะสามารถทำได้โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (ตาม มาตรา 24(2))

ตัวอย่าง เก็บข้อมูลชื่อ เบอร์โทรศัพท์ผู้เข้าออกอาคาร เพื่อป้องกันการแพร่กระจายของสถานการณ์โรคระบาดแต่ยังคงต้องมีมาตรการรักษาความปลอดภัยสำหรับข้อมูลส่วนบุคคลนั้นด้วย

.

หากเป็น “ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data)” เช่น ข้อมูลสุขภาพ ความพิการ ข้อมูลพันธุกรรม/ชีวภาพ นอกจากเพื่อวัตถุประสงค์ดังกล่าวแล้วยังต้องเป็นกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ด้วย (ตาม มาตรา 26(1)) ตัวอย่าง โรงพยาบาลเปิดเผยประวัติสุขภาพของผู้ประสบอุบัติเหตุที่กำลังหมดสติเพื่อให้ได้รับการรักษาอย่างเร่งด่วน

Ep.2.2 สัญญา Contract

.

กรณีเป็นการเก็บรวบรวม ใช้ เปิดเผย “ข้อมูลส่วนบุคคล (Personal Data)” ที่จำเป็นเพื่อปฏิบัติตามคำขอของเจ้าของข้อมูลส่วนบุคคล เพื่อเข้าทำสัญญาหรือจำเป็นเพื่อปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคล

.

เจ้าของข้อมูลส่วนบุคคลจำเป็นต้องให้ข้อมูลส่วนบุคคลของตนและผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องใช้ข้อมูลนั้นให้สามารถดำเนินการตามสัญญาต่อไปได้ดังนั้น เมื่อเข้าหลักการเก็บรวบรวมข้อมูล เพื่อปฏิบัติตามสัญญานี้แล้วจึงไม่ต้องขอความยินยอมเพิ่มเติมอีก (มาตรา 24(3))

.

หลักการเรื่องสัญญานี้ยังไม่เพียงพอตามกฎหมายที่จะนำไปเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลอ่อนไหวตามมาตรา 26 จึงอาจต้องขอความยินยอมชัดแจ้ง เว้นแต่เป็นกรณีสัญญาให้บริการทางการแพทย์

ที่เข้าเงื่อนไขตามกฎหมาย ตามมาตรา 26(5)(ก) หรือกรณีตามข้อยกเว้นอื่นที่ไม่ต้องขอความยินยอม

ตามมาตรา 26

.

ตัวอย่าง

- การประมวลผลข้อมูลผู้สมัครบัตรเครดิตว่าจะอนุมัติบัตรเครดิตหรือไม่

- การประมวลผลที่อยู่ลูกค้าเพื่อจัดส่งสินค้า

- การประมวลผลบัญชีธนาคารลูกจ้างเพื่อจ่ายค่าจ้าง

Ep.2.3 ภารกิจของรัฐ Public Task

.

กรณีเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ “จำเป็น” ต่อการดำเนินภารกิจของรัฐ เพื่อประโยชน์สาธารณะ โดยมีกฎหมายกำหนดหรือให้อำนาจไว้เฉพาะเจาะจงผู้ควบคุมข้อมูลส่วนบุคคลในกรณีนี้จึงเป็นองค์กรของรัฐหรือหน่วยงานที่ใช้อำนาจรัฐการประมวลผลข้อมูลนั้นจึงไม่ต้องขอความยินยอม (มาตรา 24(4)) เช่น การเก็บรวบรวมข้อมูลของสำนักงานสถิติแห่งชาติ

.

ทั้งนี้การประมวลผลข้อมูลส่วนบุคคลตามหลักการนี้ยังคงต้องคำนึงถึงความจำเป็น หลักความโปร่งใส

และหลักการความปลอดภัยของข้อมูลผู้ควบคุมข้อมูลส่วนบุคคลยังคงมีหน้าที่ในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลนั้น

.

Ep.2.4 “หน้าที่ตามกฎหมาย Legal Obligations”

.

กรณีเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจำเป็นต่อการปฏิบัติหน้าที่ตามกฎหมายกำหนดไม่ว่าจะเป็นตามบทบัญญัติแห่งกฎหมายหรือตามคำสั่งของหน่วยงานรัฐที่มีอำนาจหากผู้ควบคุมข้อมูลส่วนบุคคลสามารถอธิบายการปฏิบัติตามหน้าที่นั้นได้อย่างชัดเจนว่าปฏิบัติหน้าที่ตามบทบัญญัติใดหรือปฏิบัติตามคำสั่งของหน่วยงานใดของรัฐการประมวลผลเพื่อการดังกล่าวไม่ต้องขอความยินยอมอีก (มาตรา 24(6))

.

อย่างไรก็ตาม แม้ผู้ควบคุมจะประมวลผลตามกฎหมายผู้ควบคุมยังคงมีหน้าที่จัดทำบันทึกรายการกิจกรรม (Record of Processing Activities: ROP)

.

ตัวอย่าง

-เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเงินเดือนลูกจ้างเพื่อคำนวณจ่ายค่าประกันสังคมส่งให้กับสำนักงานประกันสังคม

Ep.2.5 “ประโยชน์อันชอบธรรม Legitimate Interest”

.

การประมวลผลข้อมูลที่จำเป็นเพื่อประโยชน์อันชอบธรรมของผู้ควบคุมข้อมูลหรือบุคคลอื่นสาระสำคัญคือประโยชน์อันชอบธรรมนั้น ‘ต้องไม่เกินไปกว่าความคาดหมายของเจ้าของข้อมูล’ เช่น การติด CCTV หน้าประตูทางเข้าบริษัทย่อมคาดหมายได้ว่าเป็นไปเพื่อการรักษาความปลอดภัย ผู้ควบคุมข้อมูลสามารถทำให้เจ้าของข้อมูลมีความคาดหมายที่ถูกต้องเพิ่มเติมได้โดยการแปะป้าย “ CCTV กำลังทำงาน ”

.

ผู้ควบคุมข้อมูลส่วนบุคคลต้องใช้ดุลยพินิจชั่งน้ำหนักระหว่างประโยชน์อันชอบธรรมไม่ให้ขัดกับสิทธิและประโยชน์เจ้าของข้อมูลส่วนบุคคล ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลต้องระบุได้ว่าอะไรคือประโยชน์อันชอบธรรมที่จะได้รับและความจำเป็นในการประมวลผลข้อมูลทั้งยังมีหน้าที่ปกป้องสิทธิเสรีภาพและประโยชน์ของเจ้าของข้อมูลส่วนบุคคลให้สมดุลกับประโยชน์อันชอบธรรมที่จะได้รับด้วย (มาตรา 24(5))

.

ตัวอย่างคือ หากติดกล้อง CCTV ในสถานที่ เช่น ภายในห้องน้ำ นอกจากเกินกว่าที่บุคคลทั่วไปจะคาดหมายได้แล้ว ยังก้าวล่วงความเป็นส่วนตัวและสร้างความเสี่ยงต่อเจ้าของข้อมูลมากเกินสมควร กรณีนี้ก็จะไม่สามารถอ้างประโยชน์อันชอบธรรมได้

.

นอกจากนี้ ในการปกป้องสิทธิเสรีภาพและประโยชน์ของเจ้าของข้อมูลผู้ควบคุมข้อมูลควรจะมีระบบรักษาความปลอดภัยในการใช้ข้อมูลจากกล้องให้อยู่ในขอบเขตที่เหมาะสมไม่เปิดเผยให้ผู้อื่นเข้าถึงได้โดยง่าย ก็จะเป็นมาตรการที่ช่วยคุ้มครองเจ้าของข้อมูลได้อีกทางหนึ่ง (Safeguard)

Ep 2.6 “ความยินยอม Consent”

•

ขอความยินยอมอย่างไร? ให้ถูกต้องตามกฎหมาย PDPA

•

กรณีมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคล โดยไม่มีฐานการประมวลผลอื่นตามมาตรา 24 ผู้ควบคุมต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนหรือขณะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลนั้นโดยใช้แบบหรือข้อความที่เข้าใจง่าย แยกเป็นสัดส่วน ทำเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้ต้องไม่เป็นการหลอกลวงหรือมีเงื่อนไขแอบแฝงเพื่อประมวลผลข้อมูลที่ไม่จำเป็นหรือไม่เกี่ยวข้อง

•

สำคัญคือ เจ้าของข้อมูลต้องมีอิสระและทำโดยสมัครใจ สามารถเลือกได้ว่าจะให้ความยินยอมหรือปฎิเสธ ทั้งนี้ แม้ให้ความยินยอมไปแล้ว เจ้าของข้อมูลก็สามารถถอนความยินยอมได้ เว้นแต่มีข้อจำกัดตามกฎหมาย โดยการถอนความยินยอมต้องสามารถทำได้ง่าย (เรียกได้ว่าง่ายเหมือนกับตอนให้ความยินยอม)

•

ดังนั้น จึงไม่ควรขอความยินยอมโดยไม่จำเป็นซึ่งจริง ๆ แล้ว การทำกิจกรรมส่วนใหญ่สามารถทำได้

โดยไม่ต้องขอความยินยอม เพราะมีเหตุอื่นให้ใช้ได้ เช่น การปฏิบัติตามสัญญา การปฏิบัติตามกฎหมาย

เพียงแต่ผู้ควบคุมข้อมูลมีหน้าที่ต้องแจ้ง ให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์นั้น

•

ตัวอย่าง

การประมวลผลข้อมูลเพื่อซื้อขายสินค้า สามารถทำได้ตามฐานสัญญาโดยไม่ต้องขอความยินยอม แต่หากเสนอบริการเสริมเพิ่มเติม ที่ไม่เกี่ยวข้องกับสัญญาซื้อขายนั้น ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

•

และการขอความยินยอมจะต้องไม่แสร้งว่าเป็นส่วนหนึ่งของสัญญาหรือเงื่อนไขในการให้บริการหรือทำให้เข้าใจผิดว่าหากไม่ให้ความยินยอมแล้วเจ้าของข้อมูลจะไม่ได้รับบริการนั้น ๆ

•

กรณีผู้ควบคุมมีการประมวลผลข้อมูลส่วนบุคคล หลายอย่างเพื่อวัตถุประสงค์เดียวกัน สามารถรวมอยู่ในความยินยอมครั้งเดียวได้ แต่หากใช้ข้อมูลส่วนบุคคลชุดเดียวกัน เพื่อประมวลผลหลายวัตถุประสงค์

ต้องให้เจ้าของข้อมูลมีทางเลือกได้ว่า ยินยอมสำหรับวัตถุประสงค์ใดบ้าง

•

เนื่องจากแต่ละองค์กรมีรูปแบบและลักษณะที่แตกต่างกัน รูปแบบการขอความยินยอมของแต่ละองค์กร จึงสามารถออกแบบและปรับให้เหมาะสมกับกิจกรรมการประมวลผลของตนได้

•

ย้ำอีกครั้งว่าตามกฎหมาย PDPA ไม่ได้กำหนดให้ต้องขอความยินยอมในทุกกรณี หากวัตถุประสงค์การประมวลผลข้อมูล เข้าหลักการข้ออื่นโดยชอบด้วยกฎหมายแล้ว ก็ไม่ต้องนำเรื่องความยินยอมมาใช้

(แต่ยังมีหน้าที่ในการแจ้งเจ้าของข้อมูลส่วนบุคคลอยู่)

.

ติดตามข้อมูลและความรู้ได้ที่ :-

เพจ : https://www.facebook.com/PDPA.Training

เว็บไซต์ : www.hrconsultant.training

Line@ : https://lin.ee/ZvXLMFE (@hr.training.online)

.

สนใจหลักสูตรอบรมเชิงปฏิบัติการ ทุกหน่วยงาน คลิก🔻

https://www.hrconsultant.training/post/pdpa-for-smes-public-training-2-days

.

สนใจหลักสูตรทำระบบ คลิก🔻

https://www.hrconsultant.training/post/pdpa-inhouse-1-day-online-training-zoom

.

สนใจหลักสูตร PDPA for HR คลิก🔻

https://www.hrconsultant.training/post/pdpa-for-hr-public-online-zoom-google-classroom

.

สนใจหลักสูตร PDPA for IT คลิก🔻

https://www.hrconsultant.training/post/pdpa-for-it

.

ติดต่อเรา

Line@ : https://lin.ee/ZvXLMFE (@hr.training.online)

.

#พรบคุ้มครองข้อมูลส่วนบุคคล #PDPA #PDPAforHR #Training #ฝึกอบรม #TrainingOnline #PDPATraining #ConsentForm #PDPAคืออะไร #PDPAสรุป #PDPAพรบ #PDPAย่อมาจาก #กฎหมายPDPA #PDPAบังคับใช้ #Consentคือ #พรบคุ้มครองข้อมูลส่วนบุคคล2565 #กฎหมาย #ROPA