องค์กรต้องรู้ Legitimate Interest Assessment กับการคุ้มครองข้อมูลส่วนบุคคล: แนวทางการประเมินการใช้ฐานเพื่อประโยชน์โดยชอบด้วยกฎหมาย
Legitimate Interest Assessment (LIA) คือกระบวนการประเมินเพื่อให้แน่ใจว่าการใช้ข้อมูลส่วนบุคคลโดยอ้างอิงจาก “ผลประโยชน์ที่ชอบด้วยกฎหมาย” นั้นเป็นไปอย่างถูกต้องตามหลักความคุ้มครองข้อมูลส่วนบุคคล (เช่น กฎ GDPR ของสหภาพยุโรป) โดย LIA ช่วยให้องค์กรตรวจสอบว่าการใช้ข้อมูลนั้นสมเหตุสมผลและไม่ได้ละเมิดสิทธิความเป็นส่วนตัวของเจ้าของข้อมูล
แนวทางในการประเมินการใช้ฐานเพื่อประโยชน์โดยชอบด้วยกฎหมาย ตามมาตรา 24 (5) ( Legitimate Interest Assessment : LIA )
เป็นหลักการที่ผู้ควบคุมข้อมูลส่วนบุคคลอาจนำมาใช้เพื่อประเมินว่ากระทำโดยเหมาะสมและได้สัดส่วนการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยใช้ฐานการจำเป็นเพื่อประโชยน์โดยชอบด้วยกฎหมาย โดยต้องผ่านเงื่อไข 3 ประการดังนี้
1. การตรวจสอบวัตถุประสงค์ ( Purpose test )
– องค์กรสามารถระบุประโชยน์ที่ชอบด้วยกฎหมายได้หรือไม่
2. การตรวจสอบความจำเป็น ( Necessity test )
– องค์กรมีความจำเป็น ต้องเก็บรวบรวมข้อมูลส่วนบุคคล เพื่อให้บรรลุวัตถุประสงค์ตามข้อ 1 และไม่สามารถใช้วิธีการอื่นได้
3. การตรวจสอบความสมดุลแห่งสิทธิ ( Balancing test )
– สิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล มีน้อยกว่าประโยชน์โดยชอบด้วยกฎหมายขององค์กรหรือไม่
**หากผู้ควบคุมข้อมูลส่วนบุคคลสามารถตรวจสอบตามหลักเกณฑ์ทั้ง 3 ข้อได้ จึงสามารถเก็บรวบรวมข้อมูลส่วนบุคคล โดยใช้ฐานประโยชน์โดยชอบด้วยกฎหมาย ตามมาตรา 24 (5) ได้
LIA สำคัญอย่างไร เกี่ยวข้องอย่างไรกับ PDPA?
หลักการประมวลผลข้อมูล: LIA สอดคล้องกับหลักการประมวลผลข้อมูลตามมาตรา 6 ของ PDPA ซึ่งระบุว่าการประมวลผลข้อมูลส่วนบุคคลจะต้องเป็นไปโดยชอบด้วยกฎหมาย โดยหนึ่งในเหตุผลที่ชอบด้วยกฎหมายคือเพื่อผลประโยชน์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลหรือของบุคคลที่สาม
หลักการจำกัดวัตถุประสงค์: การระบุผลประโยชน์ที่ชอบด้วยกฎหมายจะต้องสอดคล้องกับหลักการจำกัดวัตถุประสงค์ในการประมวลผลข้อมูล คือ การเก็บรวบรวมข้อมูลเพื่อวัตถุประสงค์ที่เฉพาะเจาะจงและชัดแจ้ง
การประเมินผลกระทบ: LIA มีความเกี่ยวข้องกับการประเมินผลกระทบต่อการคุ้มครองข้อมูลส่วนบุคคล (DPIA) ซึ่งเป็นขั้นตอนที่องค์กรต้องดำเนินการในกรณีที่กิจกรรมการประมวลผลข้อมูลมีความเสี่ยงสูงต่อสิทธิและเสรีภาพของบุคคลธรรมดา
ขั้นตอนการดำเนินการ LIA ตาม PDPA
ระบุกิจกรรมการประมวลผลข้อมูล: กำหนดขอบเขตของกิจกรรมที่ต้องการประเมิน LIA เช่น การวิเคราะห์พฤติกรรมลูกค้า การตลาดที่ตรงเป้าหมาย
ระบุข้อมูลส่วนบุคคลที่เกี่ยวข้อง: บ่งชี้ประเภทของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับกิจกรรมนั้น ๆ
ประเมินความจำเป็น: พิจารณาว่าการใช้ข้อมูลส่วนบุคคลนั้นจำเป็นต่อการบรรลุวัตถุประสงค์ของกิจกรรมหรือไม่ มีทางเลือกอื่นที่น้อยกว่าในการบรรลุวัตถุประสงค์เดียวกันหรือไม่
ประเมินผลกระทบ: ประเมินผลกระทบที่อาจเกิดขึ้นต่อสิทธิและเสรีภาพของเจ้าของข้อมูล เช่น ผลกระทบต่อความเป็นส่วนตัว ความอับอาย หรือการเลือกปฏิบัติ
ชั่งน้ำหนักผลประโยชน์: ชั่งน้ำหนักระหว่างผลประโยชน์ที่องค์กรจะได้รับจากการประมวลผลข้อมูลกับผลกระทบที่อาจเกิดขึ้นต่อเจ้าของข้อมูล
ดำเนินมาตรการลดความเสี่ยง: หากพบว่ามีความเสี่ยงสูง ควรดำเนินมาตรการเพื่อลดความเสี่ยง เช่น การเข้ารหัสข้อมูล การจำกัดการเข้าถึงข้อมูล การทำลายข้อมูลเมื่อไม่จำเป็นต้องใช้งานอีกต่อไป
บันทึกหลักฐาน: บันทึกหลักฐานการประเมิน LIA เพื่อใช้ในการตรวจสอบและพิสูจน์ได้ในภายหลัง
ระวัง แม้ว่าจะอ้างถึงผลประโยชน์ที่ชอบด้วยกฎหมาย แต่ในบางกรณีก็อาจต้องขอความยินยอมจากเจ้าของข้อมูลเพิ่มเติม และองค์กรควรมีการทบทวนและปรับปรุง LIA เป็นระยะ
LIA เป็นเครื่องมือสำคัญที่ช่วยให้องค์กรสามารถประเมินและจัดการความเสี่ยงที่เกี่ยวข้องกับการใช้ข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพ การปฏิบัติตามหลักการ LIA ไม่เพียงแต่ช่วยให้องค์กรปฏิบัติตามกฎหมาย PDPA เท่านั้น แต่ยังช่วยสร้างน่าเชื่อถือและภาพลักษณ์ให้กับองค์กรอีกด้วย
