#สรุปให้ PDPA 7 ฐาน: ใช้ข้อมูลเราได้…ตอนไหนบ้าง? (ฉบับเข้าใจง่าย) … ภายใต้กฎหมาย PDPA การเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล สามารถทำได้ โดยไม่ต้องขอความยินยอม หากเข้าข่าย “ฐานทางกฎหมาย” ที่กฎหมายรองรับ 7 กรณีหลัก ดังนี้
1. ฐานพันธสัญญา (Contract) — “เพื่อทำตามข้อตกลง”
ใช้เมื่อเราไปรับบริการหรือซื้อของ แล้วเขาต้องใช้ข้อมูลเราเพื่อให้งานสำเร็จ ตัวอย่างเช่น แอปฯ สั่งอาหารใช้เบอร์โทรศัพท์เพื่อให้ไรเดอร์ติดต่อเราได้ หรือ ธนาคารใช้ข้อมูลเราเพื่อพิจารณาอนุมัติเงินกู้ตามที่เรายื่นขอ
2. ฐานหน้าที่ตามกฎหมาย (Legal Obligation) — “เพราะกฎหมายสั่งให้ทำ”
องค์กรต้องทำตามกฎหมายที่บังคับไว้ ไม่สามารถเลี่ยงได้ ตัวอย่างเช่น นายจ้างส่งข้อมูลเงินเดือนพนักงานให้กรมสรรพากรเพื่อเสียภาษี หรือ โรงพยาบาลรายงานโรคติดต่ออันตรายให้กระทรวงสาธารณสุขทราบตามกฎหมาย
3. ฐานประโยชน์สำคัญแห่งชีวิต (Vital Interests) — “นาทีชีวิต”
ใช้ในกรณีฉุกเฉินเพื่อรักษาชีวิต ร่างกาย หรือสุขภาพ เมื่อเจ้าของข้อมูลไม่สามารถตัดสินใจได้เอง ตัวอย่างเช่น เราประสบอุบัติเหตุหมดสติ กู้ภัยหรือโรงพยาบาลสามารถค้นประวัติการแพ้ยาหรือกรุ๊ปเลือดจากฐานข้อมูลเพื่อเร่งช่วยชีวิตได้ทันทีโดยไม่ต้องรอขออนุญาต
4. ฐานภารกิจของรัฐ (Public Interest) — “เพื่อส่วนรวม”
ใช้เมื่อหน่วยงานรัฐต้องทำหน้าที่เพื่อประโยชน์ของประชาชนทุกคน ตัวอย่างเช่น รัฐบาลใช้ข้อมูลเราเพื่อจัดสรรเงินสวัสดิการแห่งรัฐ หรือ การที่ กกต. ประกาศรายชื่อผู้มีสิทธิเลือกตั้งเพื่อให้ตรวจสอบความถูกต้อง
5. ฐานประโยชน์อันชอบธรรม (Legitimate Interests) — “สมเหตุสมผล”
เป็นกรณีที่องค์กรมีเหตุผลจำเป็นในการใช้ข้อมูล แต่ต้องไม่ละเมิดสิทธิเราเกินไป ตัวอย่างเช่น ห้างสรรพสินค้าติดกล้อง CCTV เพื่อความปลอดภัยและป้องกันขโมย หรือ การที่บริษัทบันทึกข้อมูลเพื่อป้องกันการทุจริตภายใน
6. ฐานจดหมายเหตุ / วิจัย / สถิติ (Archives / Research / Statistic) — “เพื่อประวัติศาสตร์และวิชาการ”
ใช้เพื่อทำสถิติหรืองานวิจัยที่เป็นประโยชน์ต่อสังคมในระยะยาว ตัวอย่างเช่น การทำสำมะโนประชากรเพื่อดูสถิติประชากร หรือ นักวิจัยเก็บข้อมูลพฤติกรรมการใช้รถใช้ถนนเพื่อนำไปปรับปรุงความปลอดภัยทางการจราจร
7. ฐานความยินยอม (Consent) — “ขออนุญาตก่อนนะ!”
หากไม่เข้าข่าย 6 ข้อข้างต้น องค์กร “ต้อง” ขอความยินยอมจากเราก่อนเสมอ ตัวอย่างเช่น การส่งข่าวสารโปรโมชันสินค้าที่เราอาจสนใจ หรือ การนำข้อมูลส่วนตัวเราไปวิเคราะห์เพื่อเสนอสิทธิพิเศษเฉพาะตัวที่คุณไม่ได้ร้องขอ
เรื่องต้องรู้สำหรับทุกคน
แม้จะ “ไม่ต้องขอความยินยอม” แต่ผู้ประมวลผลข้อมูล ยังต้องเคารพหลักความจำเป็น และ ไม่ละเมิดสิทธิของเจ้าของข้อมูล เกินขอบเขตที่กฎหมายอนุญาต
สำหรับเจ้าของข้อมูลส่วนบุคคล “หากเขาขอ Consent เรามีสิทธิที่จะไม่ให้ก็ได้” และถ้าเคยให้ ความยินยอมไปแล้ว เราสามารถ “ถอนความยินยอม” เมื่อไหร่ก็ได้ตามต้องการ
ข้อควรระวัง! โพสต์ส่วนตัวไม่ผิด PDPA หากเราโพสต์รูปเพื่อนหรือข้อมูลคนอื่นเพื่อประโยชน์ส่วนตัว (ไม่ใช่ธุรกิจ) จะเข้าข่าย ข้อยกเว้นมาตรา 4(1) แต่ต้องระวังอย่าให้เป็นการ “หมิ่นประมาท”
ขอความยินยอมอย่างไรให้ถูกต้องตาม PDPA? ปรึกษาเรื่อง PDPA ครบวงจร ทดลองใช้งานโปรแกรม wisework คลิก m.me/107476081792900
PDPA จะไม่ใช่เรื่องยุ่งยากอีกต่อไป #ปรึกษาเรา ทักเลย!