หลักการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล
ในบทความก่อนหน้านี้เราพูดกันถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว (sensitive personal data) ไป โดยถึงแม้ว่าจะไม่มีการแยกประเภทของข้อมูลส่วนบุคคลอย่างชัดเจนในตัวบทกฎหมาย รวมถึงไม่มีคำนิยามเฉพาะของข้อมูลส่วนบุคคลแต่ละประเภท แต่อาจสรุปได้ว่า PDPA มีการแบ่งประเภทของข้อมูลส่วนบุคคลออกเป็น 2 ประเภท คือ ข้อมูลส่วนบุคคลทั่วไป และข้อมูลส่วนบุคคลที่มีความอ่อนไหว (sensitive personal data)
ครั้งนี้เราจะพูดถึงหลักการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลว่ามีหลักการอย่างไร...
ก่อนอื่น ต้องทำความเข้าใจก่อนว่า กิจกรรมที่เกี่ยวกับข้อมูลส่วนบุคคลภายใต้ PDPA มีอยู่ 3 กิจกรรมหลักๆ คือ การเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล โดยในบางครั้งก็มีการใช้คำว่า “ประมวลผล” แทนการอ้างอิงกิจกรรมทั้งหมดนี้ในภาพรวม ซึ่งหลักการคุ้มครองข้อมูลส่วนบุคคลของ PDPA คือ กิจกรรมการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใดๆ จะทำไม่ได้ ยกเว้น เจ้าของข้อมูลส่วนบุคคลจะได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น ทั้งนี้ เว้นแต่ข้อยกเว้นตาม PDPA หรือกฎหมายอื่นจะกำหนดให้ทำได้
หมายความว่า โดยหลักคือ จะทำกิจกรรมการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลได้ต่อเมื่อ 1. ได้รับความยินยอม หรือ 2. เข้าข้อยกเว้นตามกฎหมาย (หรือเรียกอีกอย่างหนึ่งว่าฐานการประมวลผลข้อมูล)
แล้วอะไรคือข้อยกเว้นตามกฎหมายหรือฐานการประมวลผลข้อมูลที่ว่าล่ะ??
ฐานการประมวลผลข้อมูลหรือข้อยกเว้นของการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลทั่วไปมีดังนี้
1. เพื่อจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ
2. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต
3. เพื่อปฏิบัติตามสัญญาที่มีกับเจ้าของข้อมูลส่วนบุคคล
4. เพื่อประโยชน์สาธารณะ
5. เพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
6. เพื่อการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
ส่วนฐานการประมวลผลข้อมูลหรือข้อยกเว้นของการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวตาม มีดังนี้
1. ในกรณีเพื่อรักษาประโยชน์อันจำเป็นต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
2. ในกรณีเพื่อดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมขององค์กรที่ไม่แสวงหากำไร
3. ในกรณีที่เป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหวที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลนั้น
4. ในกรณีที่เป็นการจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
5. ในกรณีที่มีความจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ทางเวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์
6. ในกรณีที่จำเป็นในการปฏิบัติตามกฎหมายเพื่อประโยชน์สาธารณะด้านการสาธารณสุข
7. ในกรณีที่จำเป็นในการปฏิบัติตามกฎหมายเพื่อประโยชน์สาธารณะด้านการคุ้มครองและประกันสังคม
8. ในกรณีที่จำเป็นในการปฏิบัติตามกฎหมายเพื่อประโยชน์ด้านการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น
9. ในกรณีที่การเก็บรวบรวมข้อมูลที่มีความอ่อนไหวไม่เข้าข้อยกเว้นตามที่กล่าวมาแล้วกฎหมายยังเปิดช่องให้มีการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์สาธารณะที่มีความสาคัญ
จะเห็นได้ว่าข้อยกเว้นในการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหว จะมีความเฉพาะเจาะจงกว่า ดังนั้น การจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวโดยส่วนใหญ่แล้วจะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน ต่างกับข้อมูลส่วนบุคคลทั่วไปที่ข้อยกเว้นจะกำหนดไว้ค่อนข้างกว้าง ผู้ประกอบการหรือองค์กรส่วนใหญ่จะสามารถอ้างอิงข้อยกเว้นในการให้บริการลูกค้าหรือบริหารจัดการพนักงาน รวมไปถึงการดำเนินธุรกิจตามปกติได้ โดยที่ไม่จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (สามารถอ่านหลักการขอความยินยอมได้ในบทความตามลิงค์นี้ค่ะ https://www.blockdit.com/articles/5f213af342517c0cb6bfb122)
Ruler Consulting: certified data protection officer ผู้เชี่ยวชาญกฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA
- บริการให้คำปรึกษากฎหมาย PDPA
- บริการช่วย implement PDPA
- บริการจัดอบรมและทำ workshop PDPA
- บริการทำหน้าที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (outsourced data protection officer: outsourced DPO)
ดูบริการและติดต่อเราได้ที่
Website: https://www.dporuler.com
Facebook Page: https://www.facebook.com/Dporuler
Tel: 0-2016-2850
Email: contact@dporuler.com
- 2
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2025 Blockdit
