[กฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA] ฐานการประมวลผลข้อมูลเพื่อประโยชน์โดยชอบด้วยกฎหมายตาม PDPA คืออะไร?? ก่อนอื่น จะต้องทำความเข้าใจก่อนว่า "ฐานการประมวลผลข้อมูล" คืออะไร?

สำรวจ
ลงทุน
คำถาม

มีบัญชีอยู่แล้ว?หรือ

•

21 ก.ย. 2020 เวลา 13:23 • ธุรกิจ

ฐานการประมวลผลข้อมูลเพื่อประโยชน์โดยชอบด้วยกฎหมายตาม PDPA คืออะไร??

ก่อนอื่น จะต้องทำความเข้าใจก่อนว่า "ฐานการประมวลผลข้อมูล" คืออะไร?

กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ได้วางหลักการคุ้มครองข้อมูลส่วนบุคคลไว้ว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะทำไม่ได้ ยกเว้น จะได้รับความยินยอมจากเจ้าของข้อมูล หรือเข้าข้อยกเว้นตามที่ PDPA กำหนด

ความยินยอมรวมถึงข้อยกเว้นที่ว่านี่แหละ คือ ฐานการประมวลผลข้อมูล....

1 ในฐานการประมวลผลข้อมูลที่มีความยืดหยุ่นที่สุด ก็คือ ฐานเพื่อประโยชน์โดยชอบด้วยกฎหมาย

ทั้งนี้ เนื่องจากเป็นฐานการประมวลผลที่ครอบคลุมผลประโยชน์ของผู้ควบคุมข้อมูลส่วนบุคคลเอง รวมถึงบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล อีกทั้งยังใช้เพื่อประโยชน์เชิงพาณิชย์รวมถึงประโยชน์ด้านอื่นๆ อีกด้วยตราบเท่าที่เป็นผลประโยชน์โดยชอบด้วยกฎหมาย

อย่างไรก็ดี PDPA เพียงแต่กำหนดว่าผู้ควบคุมข้อมูลส่วนบุคคลสามารถอ้างอิงฐานการประมวลผลข้อมูลฐานนี้ได้หากกิจกรรมการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล บุคคลหรือนิติบุคคลอื่นเท่านั้น แต่ไม่ได้มีคำอธิบายเพิ่มเติมว่า ในการจะพิจารณาว่าอะไรคือผลประโยชน์โดยชอบด้วยกฎหมายจะต้องใช้หลักเกณฑ์ใดในการพิจารณา โดยตั้งแต่ PDPA ประกาศออกมา ได้มีความพยายามที่จะหาความชัดเจนสำหรับประเด็นปัญหานี้ ซึ่งทางกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมได้มีการประชาสัมพันธ์ว่า ในการพิจารณาประเด็นนี้ ให้อ้างอิงหลักการพิจารณาของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ GDPR เป็นแนวทาง ทั้งนี้ เนื่องจาก PDPA ของไทยได้รับแนวคิดและหลักการคุ้มครองข้อมูลส่วนบุคคลมาจาก GDPR ค่อนข้างมาก และ GDPR เองได้มีฐานการประมวลผลข้อมูลที่เรียกว่า Legitimate Interests หรือฐานผลประโยชน์โดยชอบธรรมอยู่

ซึ่งตามแนวทางของ GDPR นั้น ในการจะพิจารณาว่ากิจกรรมการประมวลผลข้อมูลที่จะกระทำเป็นประโยชน์โดยชอบธรรมหรือไม่ ให้ทำการประเมินโดยการตอบคำถาม 3 ข้อดังต่อไปนี้ (Three-part test) หากผ่านการประเมินนี้แล้ว ก็จะสามารถอ้างอิงฐานผลประโยชน์โดยชอบธรรมได้

1. วัตถุประสงค์การประมวลผลข้อมูลเป็นไปเพื่อประโยชน์ของผู้ควบคุมข้อมูลส่วนบุคคล บุคคลหรือนิติบุคคลอื่นหรือไม่ และไม่ขัดต่อกฎหมายใช่หรือไม่

2. การประมวลผลข้อมูลดังกล่าวมีความจำเป็นหรือไม่ กล่าวคือ ไม่สามารถใช้วิธีการอื่นได้แล้วใช่หรือไม่

3. การประมวลผลข้อมูลดังกล่าวมีความเหมาะสมหรือไม่ โดยพิจารณาว่าผลประโยชน์ของเจ้าของข้อมูลส่วนบุคคลจะต้องสำคัญกว่าผลประโยชน์โดยชอบธรรมที่ถูกกล่าวอ้าง และเจ้าของข้อมูลส่วนบุคคลสามารถคาดหมายได้ว่าข้อมูลส่วนบุคคลของตนเองจะถูกประมวลผลดังกล่าว

ในการจะอ้างอิงฐานเพื่อประโยชน์โดยชอบด้วยกฎหมายนั้น ตัวบทกฎหมายรวมถึงสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลไม่ได้กำหนดรายละเอียดอื่นใดเพิ่มเติมเกี่ยวกับการพิจารณาอ้างอิงฐานการประมวลผลนี้ ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องทำการประเมินตาม Three-part test ข้างต้นด้วยตนเอง และเก็บบันทึกผลการประเมินไว้เพื่อเป็นหลักฐานสำหรับการตรวจสอบจากหน่วยงานกำกับดูแล จึงมีความจำเป็นและสำคัญอย่างยิ่งสำหรับผู้ควบคุมข้อมูลส่วนบุคคลที่ประสงค์จะอ้างอิงฐานการประมวลผลฐานนี้ที่จะต้องตรวจสอบอย่างละเอียดถี่ถ้วนว่ากิจกรรมการประมวลผลของตนเองเข้าหลักเกณฑ์เป็นผลประโยชน์โดยชอบด้วยกฎหมายตาม PDPA หรือไม่

ตัวอย่างการประมวลผลข้อมูลส่วนบุคคลที่อ้างอิงฐานเพื่อประโยชน์โดยชอบด้วยกฎหมาย เช่น กรณีธนาคารพาณิชย์ใช้ข้อมูลหมายเลขโทรศัพท์ของลูกค้าเงินฝากเพื่อติดต่อเสนอขายผลิตภัณฑ์เงินฝากประเภทดอกเบี้ยสูงแก่ลูกค้า หากพิจารณาดูแล้วจะเห็นว่า การติดต่อเพื่อเสนอขายผลิตภัณฑ์ประเภทใหม่ให้แก่ลูกค้า ไม่ถือเป็นส่วนหนึ่งของการปฏิบัติตามสัญญาฝากเงินที่ลูกค้ามีกับธนาคารแต่อย่างใด จึงไม่สามารถอ้างอิงฐานการปฏิบัติตามสัญญา แต่สามารถอ้างอิงฐานเพื่อประโยชน์โดยชอบด้วยกฎหมายได้ โดยธนาคารซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลจะต้องทำการประเมินตนเอง (Three-part test) ตามที่อธิบายข้างต้น ซึ่งกรณีนี้อาจประเมินได้ดังนี้

--> ผลการประเมิน: การติดต่อเสนอขายผลิตภัณฑ์เป็นไปเพื่อประโยชน์ของธนาคารซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคล และไม่ขัดต่อกฎหมาย

--> ผลการประเมิน: ในการเสนอขายผลิตภัณฑ์ของธนาคารให้แก่ลูกค้า หากธนาคารไม่มีวิธีการอื่นแล้ว การโทรศัพท์ติดต่อนี้ก็ถือว่าเป็นไปเท่าที่จำเป็น

3. การประมวลผลข้อมูลดังกล่าวมีความเหมาะสมหรือไม่ ลูกค้าสามารถคาดหมายได้หรือไม่

--> ผลการประเมิน: โดยปกติแล้ว ลูกค้าของธนาคารย่อมมีความคาดหมายได้ว่าจะได้รับการติดต่อจากธนาคารเพื่อเสนอขายผลิตภัณฑ์ใหม่ๆ หากในการติดต่อลูกค้า ธนาคารดำเนินการโดยไม่รุกล้ำความเป็นส่วนตัวของลูกค้าจนเกินไป เช่น ติดต่อนอกเวลาทำการ ก็อาจจะประเมินได้ว่ามีความเหมาะสม

ดังนี้ หากหน่วยงานของใครที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล อยากจะอ้างอิงฐานการประมวลผลข้อมูลฐานนี้ อย่าลืมทำ Three-part test กันด้วยนะคะ

Ruler Consulting: certified data protection officer ผู้เชี่ยวชาญกฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA

- บริการให้คำปรึกษากฎหมาย PDPA

- บริการช่วย implement PDPA

- บริการจัดอบรมและทำ workshop PDPA

- บริการทำหน้าที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (outsourced data protection officer: outsourced DPO)

ดูบริการและติดต่อเราได้ที่

Website: https://www.dporuler.com

Facebook Page: https://www.facebook.com/Dporuler

LinkedIn: https://www.linkedin.com/company/ruler-consulting-co-ltd

Tel: 0-2016-2850

Email: contact@dporuler.com

โฆษณา

ดาวน์โหลดแอปพลิเคชัน

ดาวน์โหลดแอปพลิเคชัน