7 ฐานทางกฎหมายประมวลผลข้อมูล

7 ฐานทางกฎหมายประมวลผลข้อมลู

• Article
พระราชบัญญัติค้มุ ครองขอ้ มลู สว่ นบุคคล พ.ศ.2562 มขี อบขา่ ยของกฎหมายเพ่ือคุ้มครองการเก็บรวบรวม ใช้ และ
เปิดเผยข้อมูลส่วนบุคคลของประชาชนคนไทย ซึ่งถ้าหากเราไม่ดำเนินการตามกฎหมายและเกิดกรณีการละเมิด
ข้อมูลส่วนบุคคลขึ้น อาจทำให้คุณเสยี คา่ ปรบั สูงสุดถึง 5 ล้านบาท (เฉพาะโทษทางปกครอง และยังไม่นับรวมโทษ
อน่ื อีก) ดังนน้ั บริษัท หน่วยงานและองคก์ รต่าง ๆ หรือแมแ้ ตผ่ ้ปู ระกอบการรายยอ่ ยต้องระวัง!
แล้วคุณจะทำอยา่ งไรไม่ให้เข้าข่ายมีความผิดกันนะ? PDPC มคี ำตอบครบั
กฎหมายคุ้มครองขอ้ มูลส่วนบุคคลทั้ง 2 ฉบับ คือ พ.ร.บ.คุ้มครองข้อมลู ส่วนบุคคลของไทย (PDPA) และกฎหมาย
คุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) กำหนดให้ “การประมวลผลขอ้ มูล” หมายถึง การดำเนินการ
ใด ๆ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลสว่ นบุคคล สามารถปฏิบัติได้อย่างถูกต้องตามกฎหมาย หาก
คณุ ดำเนนิ การภายใต้ฐานทางกฎหมายทเี่ หมาะสม
ข้อควรสังเกต: GDPR ระบุฐานของการประมวลผลข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมายเอาไว้ 6 ฐาน ส่วน
PDPA ได้ปรับปรุงฐานของการประมวลผลข้อมูลเพิ่มเติมขึน้ มาอีก 1 ฐาน คือ ฐานจดหมายเหตุ/วจิ ัย/สถิติ เพื่อให้
สอดคลอ้ งกับบรบิ ทของประเทศไทย รวมเปน็ ทัง้ หมด 7 ฐานด้วยกัน มีรายละเอยี ดดงั นี้

2

7 ฐานการ ประมวลผลขอ้ มลู ตามกฎหมายคุม้ ครองขอ้ มูลส่วนบุคคล
• ฐานประโยชนส์ ำคัญตอ่ ชวี ติ (Vital Interest)

กรณีที่การประมวลผลข้อมูลมคี วามจำเป็นตอ่ การปกป้องประโยชน์สำคัญของเจ้าของข้อมูล อย่างเช่นเพื่อปกป้อง
อันตรายร้ายแรงที่อาจเกิดขึ้นกับสุขภาพหรือชีวิตของเจ้าของข้อมูล ผู้ควบคุมข้อมูลสามารถใช้ฐานนี้เพ่ือ
ประมวลผลข้อมูลสว่ นบคุ คลเก่ียวกับสขุ ภาพ หรือขอ้ มูลอ่อนไหวอนื่ ๆ ได้ (เฉพาะเมอื่ เจา้ ของขอ้ มูลอยู่ในสภาวะไม่
สามารถให้ความยินยอม)

3

• ฐานสัญญา (Contract)

สัญญาคือการตกลงแลกเปลี่ยนกันทั้งสองฝ่าย ซึ่งเราสามารถประมวลผลข้อมูลได้ในกรณีที่มีความจำเป็นต่อการ
ให้บริการตามสัญญาทีต่ กลงกันไว้ระหว่างผู้ควบคุมข้อมูลและเจ้าของข้อมูลสว่ นบุคคล เช่น การประมวลผลข้อมลู
ธุรกรรมของบุคคลเพื่อคำนวณดอกเบี้ยของธนาคาร หรือการประมวลผลชื่อและที่อยู่ของบุคคลเพื่อดำเนินการ
จัดส่งสินค้าของบริษัทขนส่ง โดยฐานนี้จะสามารถใช้ได้กับการประมวลผลข้อมูลส่วนบุคคลทั่วไปเท่านั้น (ไม่
สามารถใช้กับการประมวลผล Sensitive Data ได้) และจำกัดการประมวลผลเฉพาะข้อมูลของเจ้าของข้อมูลส่วน
บคุ คลทเ่ี ปน็ คสู่ ญั ญา

• ฐานภารกจิ สาธารณะ/อำนาจรัฐ (Public Task / Official Authority)

ผู้ทีส่ ามารถใช้ฐานน้ีในการประมวลผลข้อมูลได้มักเป็นเจ้าหน้าท่ีหรือองค์กรของรัฐ ในกรณีทีก่ ารประมวลผลนั้น ๆ
จำเป็นต่อการดำเนนิ งานตามภารกจิ ของรฐั เพอื่ ประโยชนส์ าธารณะตามที่กำหนดไว้ในกฎหมาย

• ฐานประโยชน์อนั ชอบธรรมดว้ ยกฎหมาย (Legitimate Interest)

ผู้ประกอบการสามารถประมวลผลข้อมูลส่วนบุคคลได้ในกรณีที่จำเป็นต่อการดำเนินการเพื่อประโยชน์อันชอบ
ธรรมของผู้ควบคุมข้อมูลและบุคคลอื่นอย่างสมเหตุสมผล เช่น การบันทึกวงจรปิดเพื่อป้องกันอาชญากรรม การ
ประมวลขอ้ มลู เพ่ือรักษาความปลอดภัยของระบบและเครือขา่ ย หรือการสง่ ตอ่ ข้อมลู ในเครือบริษัทเพื่อการบริหาร
จัดการและประโยชนข์ องพนักงาน เป็นต้น

• ฐานการปฎบิ ตั ิ/หน้าทีต่ ามกฎหมาย (Legal Obligation)

ผู้ควบคุมข้อมูลสามารถประมวลผลข้อมูลส่วนบุคคลของผู้อื่นได้ในกรณีที่พิสูจน์ได้ว่ามีความจำเป็นต่อการปฏิบัติ
ตามหน้าที่ตามกฎหมาย โดยต้องสามารถระบุได้อย่างชัดเจนว่ากำลังปฏิบัติหน้าที่ตามบทบัญญัติใดของกฎหมาย
หรือกระทำตามคำสั่งของหน่วยงานใดของรัฐที่มีอำนาจตามกฎหมาย เช่น การประมวลผลข้อมูลตามคำสั่งศาล
การเปิดเผยข้อมูลทางการเงินของลูกจ้างต่อกรมสรรพากร หรือการเก็บข้อมูลการจราจรของผู้ให้บริการเครือข่าย
โทรศัพทเ์ คลอื่ นทตี่ ามท่ีถกู กำหนดในพระราชบญั ญัติคอมพวิ เตอร์ เปน็ ต้น

• ฐานความยินยอม (Consent)

ความยินยอมสามารถใช้เป็นฐานการประมวลผลได้เฉพาะในกรณีที่เจา้ ของข้อมูลได้สมัครใจ “เลือก” ยินยอมให้ผู้
ควบคุมขอ้ มูลประมวลผลขอ้ มลู ได้ โดยผู้ควบคมุ ข้อมลู จะต้องดำเนินการขอความยินยอมจากเจ้าของข้อมลู เสียก่อน

4

ด้วยการจัดทำแบบฟอร์มขอความยินยอมเป็นหนังสือหรือทำผ่านระบบอิเล็กทรอนิกส์ในลักษณะที่ชัดแจ้ง แยก
ส่วนจากข้อความอื่น รปู แบบเขา้ ถึงและเขา้ ใจได้ง่าย และเป็นภาษาท่ีอ่านงา่ ยไมห่ ลอกลวง

การทำการตลาดแบบตรง การทำระบบสมาชิกสะสมแต้ม และการโฆษณาออนไลน์ตามพฤติกรรมของผู้ใช้งาน
จะต้องใชฐ้ านความยินยอมเปน็ หลกั ในการประมวลผลขอ้ มูล

• ฐานจดหมายเหตุ/วจิ ยั /สถิติ (Historical Document, Research, or Statistics)

ฐานการประมวลผลข้อมูลที่มีเพิ่มอยู่ใน PDPA โดยผู้ควบคุมข้อมูลสามารถนำเอาข้อมูลส่วนบุคคลของเจ้าของ
ข้อมูลมาประมวลผลได้บนพื้นฐานของการทำบันทึกจดหมายเหตุ วิจัย หรือสถิติต่าง ๆ อย่างไรก็ตามมีเงื่อนไข
สำคัญคือต้องมีมาตรการปกป้องคุ้มครองข้อมูลน้ันอย่างเหมาะสม สอดคล้องกับหลักการพื้นฐานของการคุ้มครอง
ข้อมลู ส่วนบุคคล หรอื อยา่ งนอ้ ยเป็นไปตามที่คณะกรรมการประกาศกำหนด (ซง่ึ ยังคงตอ้ งรอประกาศออกมาอย่าง
เปน็ ทางการ)

ส่วนใน GDPR กำหนดให้ การนำข้อมลู ส่วนบคุ คลไปประมวลผลเพ่ือการศึกษาวิจยั และสถิติ จะต้องอา้ งฐานใดฐาน
หนึง่ ใน 6 ฐานการประมวลผลข้อมูลทก่ี ลา่ วมาขา้ งต้นประกอบด้วยเสมอ

ฐานความยินยอมควรเปน็ ทางเลอื กสดุ ท้าย!

จากข้างต้นจะเห็นได้ว่า ไม่ได้มีเพียงแค่การขอความยินยอมเท่านั้นที่จะช่วยให้คุณสามารถประมวลผลข้อมูลส่วน
บุคคลได้อย่างถูกต้องตามกฎหมาย เพียงแค่ฐานความยินยอมเป็นฐานการประมวลผลข้อมูลที่ได้รบั การพูดถึงมาก
ท่สี ุดในวงการการตลาดแบบดั้งเดิมและการตลาดออนไลน์ซึ่งมีการใชป้ ระโยชน์จากข้อมลู ของลูกค้าเป็นสำคญั

การขอความยินยอมใช้เป็นฐานเพื่ออ้างอิงการประมวลผลข้อมูลที่ไม่มั่นคงที่สุดจากบรรดาฐานการประมวลผล
ทั้งหมด เนื่องจากหากเจ้าข้อมลู ไม่ยินยอมคุณก็ไม่มสี ทิ ธิใ์ นการประมวลผลข้อมูล แถมเจ้าของข้อมูลยังสามารถขอ
ถอนความยินยอมเมื่อไหร่กไ็ ด้เช่นกนั

ดังนั้น ลองสำรวจให้แน่ใจดูก่อนว่า ลักษณะของการประมวลผลข้อมูลของคุณ ไม่ว่าจะในฐานะผู้ควบคุมข้อมูลท่ี
เปน็ บุคคลธรรมดาหรือนติ ิบคุ คล สามารถเข้าขา่ ยของการดำเนินการตามฐานทางกฎหมายอ่นื ๆ ไดห้ รือไม่ กอ่ นจะ
ไล่สำรวจไปจนถงึ ฐานความยินยอม โดยการขอความยินยอมเพ่ือประมวลผลข้อมลู (ส่วนบุคคล) ควรเป็นทางเลือก
สดุ ท้ายท่ีคณุ เลอื ก

5

เลอื กและระบฐุ านการ ประมวลผลขอ้ มลู ให้ชดั เจน

ผู้ควบคุมข้อมูลจะต้องระบุฐานในการประมวลผลข้อมูลก่อนการเก็บรวบรวมข้อมูลส่วนบุคคล (อ้างอิงจาก ICDL
Workforce Data Protection Syllabus 1.0) และต้องแจ้งวัตถุประสงค์ของการประมวลผลข้อมูลนั้นให้เจ้าของ
ข้อมูลทราบ เพอื่ ใหเ้ จ้าของขอ้ มลู ทราบถงึ สิทธิของตนเอง เนื่องจากเจา้ ของข้อมูลสว่ นบุคคลจะมีสิทธิท่ีแตกต่างกัน
ออกไปตามฐานการประมวลผลที่ระบุ เช่น กรณีข้อมูลส่วนบุคคลถูกประมวลผลบนฐานภารกิจสาธารณะ/อำนาจ
รัฐ เจ้าของข้อมูลส่วนบุคคลไม่อาจขอลบข้อมูลของตนเองได้ แต่ในทางกลับกัน เจ้าของข้อมูลเลือกที่จะขอลบ
ข้อมูลของตนจากบริษัทที่เก็บข้อมูลบนฐานความยินยอมได้ เป็นต้น นอกจากนั้น การระบุฐานในการประมวลผล
ขอ้ มลู ยงั เปน็ ประโยชนใ์ นการอ้างอิง เมือ่ ถกู ตรวจสอบจากสำนักงานคณะกรรมการคุ้มครองข้องมูลส่วนบุคคลหรือ
หน่วยงานท่เี กย่ี วข้องอีกด้วยครบั

เพียงเลือกฐานการประมวลผลข้อมูลฐานใดฐานหนึง่ และดำเนินการตามมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่าง
เครง่ ครัด กจ็ ะช่วยให้คณุ สามารถประมวลผลข้อมลู ไดอ้ ย่าง “ผา่ นฉลยุ ” ภายใต้ พ.ร.บ.ค้มุ ครองข้อมูลส่วนบคุ คล