รู้หรือไม่ !? ว่าการเก็บข้อมูลส่วนบุคคลมี หลักการ ในการเก็บข้อมูล
หากองค์กรของท่านพบปัญหาต้องการเก็บรวบรวมข้อมูลส่วนบุคคล แต่ไม่รู้ว่าจะสามารถเก็บไว้ได้หรือไม่ หรือต้องเก็บตามฐานการประมวลผลข้อมูลใด
PDPA Plus ขอแนะนำให้รู้จักกับ 7 ฐานการประมวลผลข้อมูล (Lawful Basis for Processing) หลักการเก็บรวบรวมข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
1. ฐานพันธะสัญญา (Contract)
กรณีที่การประมวลผลข้อมูลจำเป็นต่อการให้บริการตามสัญญาที่ตกลงกันไว้ระหว่างผู้ควบคุมข้อมูลและเจ้าของข้อมูล หากใช้สัญญาดังกล่าวเป็นฐานในการประมวลผลแล้วก็ไม่ต้องขอความยินยอมเพิ่มเติม ฐานนี้ใช้ได้กับข้อมูลส่วนบุคคลทั่วไปเท่านั้น ไม่สามารถใช้กับข้อมูลอ่อนไหว (sensitive data) ได้
2. ฐานหน้าที่ผูกมัดตามกฎหมาย (Legal Obligation)
กรณีการประมวลผลข้อมูลจำเป็นต่อการปฏิบัติหน้าที่ที่ผู้ควบคุมข้อมูลนั้นมีตามที่กฎหมายกำหนด ผู้ควบคุมข้อมูล จะต้องระบุได้อย่างชัดเจนว่ากำลังปฏิบัติหน้าที่ตามบทบัญญัติใดของกฎหมาย หรือทำตามคำสั่งของหน่วยงานใดของรัฐที่มีอำนาจ
3. ฐานประโยชน์ที่สำคัญแห่งชีวิต (Vital Interests)
กรณีที่การประมวลผลข้อมูลมีความจำเป็นต่อการปกป้องประโยชน์สำคัญของเจ้าของข้อมูลหรือบุคคลอื่น เช่น ป้องกันอันตรายร้ายแรงอันอาจเกิดต่อสุขภาพและชีวิตด้วยการประมวลผลข้อมูลสุขภาพหรือข้อมูลอ่อนไหว (sensitive data)
4. ฐานภารกิจของรัฐ (Public Interest)
กรณีที่การประมวลผลข้อมูลจำเป็นต่อการดำเนินงานตามภารกิจของรัฐเพื่อประโยชน์สาธารณะที่กำหนดไว้ตามกฎหมายผู้ที่จะประมวลผลข้อมูลตามฐานนี้ได้มักเป็นเจ้าหน้าที่หรือองค์กรของรัฐ ที่ปฏิบัติภารกิจตามกฎหมาย
5. ฐานประโยชน์อันชอบธรรม (Legitimate Interests)
การประมวลผลข้อมูลส่วนบุคคลในกรณีที่จำเป็นต่อการดำเนินการเพื่อประโยชน์อันชอบธรรมของผู้ควบคุมข้อมูลและบุคคลอื่น โดยไม่เกินขอบเขตที่เจ้าของข้อมูลสามารถคาดหมายได้อย่างสมเหตุสมผล
6. ฐานจดหมายเหตุ/วิจัย/สถิติ (Archives/Research/Statistic)
ผู้ควบคุมข้อมูลสามารถนำเอาข้อมูลส่วนบุคคลมาประมวลผลได้บนพื้นฐานของการทำบันทึกจดหมายเหตุวิจับ หรือสิถิติต่าง ๆ โดยต้องมีมาตรการปกป้องคุ้มครองข้อมูลนั้นอย่างเหมาะสม สอดคล้องกับหลักการพื้นฐานของการคุ้มครองข้อมูลส่วนบุคคล
7. ฐานความยินยอม (Consent)
กรณีที่เจ้าของข้อมูลสมัครใจ ยินยอมให้ผู้ควบคุมข้อมูลประมวลผลได้ โดยหากต้องการใช้ความยินยอมเป็นฐานในการประมวลผล ผู้ควบคุมข้อมูลจะต้องขอความยินยอมจากเจ้าของข้อมูลให้ยอมรับหรืออนุญาตให้มีการประมวลผลข้อมูลส่วนบุคคลนั้น ๆ โดยต้องเป็นสถานการณ์ที่เจ้าของข้อมูลสามารถเลือกที่จะปฏิเสธได้ และหากเจ้าของข้อมูลเลือกที่จะปฏิเสธผู้ควบคุมข้อมูลก็ไม่สามารถประมวลผลข้อมูลได้
