ปัญหาที่เกิดขึ้นจากการประมวลผลข้อมูลส่วนบุคคล ทำให้เกิดการละเมิดการใช้งานข้อมูลต่อเจ้าของข้อมูลส่วนบุคคลมากมายก่อนที่กฎหมายจะมีการบังคับใช้งาน ดังนั้นสิ่งที่ทุกคนต้องทราบคือการได้มาซึ่งข้อมูลส่วนบุคคลนั้นจะมาจากช่องทางใดได้บ้างตามที่ทางพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลกำหนดมา และหลักการที่จะได้มาซึ่งข้อมูลส่วนบุคลนั้น มีหลักการอย่างไรและแต่ในละหลักการนั้นมีเงื่อนไขและองค์ประกอบอะไรบ้าง
ตามข้อกำหนดทางกฎหมายของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ Thailand PDPA นั้นได้มีการกำหนด 7 หลักการสำหรับการเก็บรวบรวม ใช้งาน หรือเปิดเผยข้อมูลบุคคล ที่สามารถกระทำได้โดยชอบด้วยกฎหมาย หรือก็คือ ฐานการประมวลผลที่ชอบธรรม (Lawfulness of Processing) ตามมาตราที่ 24 ดังนี้
- ฐานความยินยอม (Consent)
- ฐานสัญญา (Contract)
- ฐานประโยชน์สำคัญต่อชีวิต (Vital Intertest)
- ฐานภารกิจของรัฐ (Public Task)
- ฐานประโยชน์อันชอบธรรม (Legitimate Interest)
- ฐานหน้าที่ตามกฎหมาย (Legal Obligation)
- ฐานจดหมายเหตุ วิจัย สถิติ (Scientific or Research)
กิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลภายใต้ข้อกำหนดของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลที่กำลังจะมีผลบังคับเต็มรูปแบบนั้นมีอยู่ 3 กิจกรรมหลัก ๆ นั่นคือ 1.การเก็บรวบรวม 2. การใช้งาน หรือ 3. การเปิดเผยข้อมูล ดังนั้นหากข้อมูลส่วนบุคคลมีการกระทำอย่างใดอย่างหนึ่งในกิจกรรมนี้ จำเป็นต้องอ้างว่าข้อมูลส่วนบุคคลที่ได้มานั้น ได้มาจาก ฐานการประมวลผลที่ชอบธรรม ข้อใด โดยแต่ละข้อมีรายละเอียดดังต่อไปนี้
1. ฐานความยินยอม (Consent) ผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นจะต้องขอ และได้รับความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคลก่อน โดยจะต้องแจ้งวัตถุประสงค์ให้กับเจ้าของข้อมูลส่วนบุคคลอย่างชัดเจน ไม่คลุมเครือ และใช้ภาษาที่เข้าใจได้ง่าย และนอกจากนี้ ผู้ควบคุมข้อมูลส่วนบุคคลยังต้องให้อิสระกับเจ้าของข้อมูลส่วนบุคคลว่าจะยินยอมหรือไม่ (Freely Given) โดยต้องเปิดโอกาสให้เจ้าของข้อมูลบุคคลนั้นสามารถถอนความยินยอมในภายหลังได้ตลอดเวลา
— ตัวอย่างเช่น การขอความยินยอมให้ลูกค้ารับข่าวสาร การบริการเพิ่มเติมทางอีเมลหรือช่องทางใด ๆ ซึ่งไม่ได้เกี่ยวข้องกับสัญญาที่ทำอยู่ จะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
อย่างไรก็ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลได้กำหนดข้อยกเว้นไว้ เมื่อมีความจำเป็นจะต้องเก็บรวบรวม ใช้งาน หรือเปิดเผยข้อมูล สามารถยกเว้นการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลได้ นั่นคือ 6 หลักการนอกจากฐานความยินยอม ตามฐานการประมวลผลที่ชอบธรรม (Lawfulness of Processing) ตามมาตราที่ 24 ซึ่งสามารถอธิบายหลักการเบื้องต้นได้ ดังต่อไปนี้
2. ฐานสัญญา (Contract) เจ้าของข้อมูลส่วนบุคคลจำเป็นต้องให้ข้อมูลส่วนบุคคลของตนที่จำเป็นต่อการเก็บรวบรวม ใช้งาน หรือเปิดเผยข้อมูล เพื่อปฏิบัติภายใต้ขอบเขตสัญญาที่ตกลงกันและจำกัดเฉพาะข้อมูลส่วนบุคคลของคู่สัญญาเท่านั้น สามารถทำได้โดยไม่ต้องขอความยินยอม นอกจากนี้จะต้องใช้กับข้อมูลส่วนบุคคลเท่านั้น ข้อมูลอ่อนไหว เช่น ศาสนา เชื้อชาติ จะไม่ได้สามารถใช้ฐานสัญญาได้
— ตัวอย่างเช่น ผู้สมัครบัตรเครดิตให้ข้อมูลเงินเดือนของตนกับธนาคาร เพื่อพิจารณาอนุมัติบัตรเครดิต
3. ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest) หากวัตถุประสงค์ในการเก็บรวบรวม ใช้งาน หรือเปิดเผยข้อมูลส่วนบุคคล ในกรณีนี้เป็นไปเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย และสุขภาพของเจ้าของข้อมูลส่วนบุคคลแล้ว สามารถทำได้โดยไม่ต้องขอความยินยอม นอกจากนี้จะต้องใช้กับข้อมูลส่วนบุคคลเท่านั้น สำหรับข้อมูลอ่อนไหว เช่น ข้อมูลสุขภาพ ข้อมูลพิการ ข้อมูลพันธุกรรม จะใช้ได้ในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้
— ตัวอย่างเช่น ห้างสรรพสินค้าเก็บข้อมูลชื่อ เบอร์โทรศัพท์ และเวลาเข้าออก เพื่อป้องกันการแพร่ระบาดของโรคโควิด 19 หรือ โรงพยาบาลเปิดเผยประวัติการรักษาของผู้ประสบอุบัติเหตุที่หมดสติเพื่อให้ได้รับการรักษาอย่างเร่งด่วน
4. ฐานภารกิจของรัฐ (Public Task) หากวัตถุประสงค์ในการเก็บรวบรวม ใช้งาน หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อการดำเนินการเพื่อสาธารณะประโยชน์ หรือการปฏิบัติหน้าที่โดยมีกฎหมายกำหนด หรือได้รับอำนาจรัฐ ผู้ที่จะประมวลผลข้อมูลตามฐานนี้ได้มักเป็นเจ้าหน้าที่ของรัฐ องค์กรของรัฐ หรือหน่วยงานเอกชนที่ปฏิบัติหน้าที่โดยใช้อำนาจรัฐ จะสามารถทำได้โดยไม่ต้องขอความยินยอม
— ตัวอย่างเช่น หน่วยงานปราบปรามการฟอกเงินนำข้อมูลธุรกรรมไปประมวลผล เพื่อนำไปตรวจสอบรายการที่น่าสงสัย หรือการประกาศจัดเก็บข้อมูลส่วนบุคคลในระหว่างสภาวะโรคระบาดที่เกิดขึ้นอย่าง Covid-19 ของภาครัฐตามอำนาจและกฎหมายด้านสาธารณะสุข
5. ฐานประโยชน์อันชอบธรรม (Legitimate Interest) การเก็บรวบรวม ใช้งาน หรือเปิดเผยข้อมูลส่วนบุคคลที่จำเป็นเพื่อประโยชน์อันชอบธรรมของผู้ควบคุมข้อมูลหรือบุคคลอื่น สามารถกระทำได้ โดยไม่เกินขอบเขตที่เจ้าของข้อมูลส่วนบุคคลสามารถคาดเดาได้ อย่างไรก็ตาม ผู้ควบคุมข้อมูลจะต้องพิจารณาระหว่างประโยชน์อันชอบธรรมกับสิทธิและประโยชน์ของเจ้าของข้อมูลส่วนบุคคลนั้นด้วย
— ตัวอย่างเช่น โรงเรียนติดกล้อง CCTV ที่อาคารเรียน สามารถคาดเดาได้ว่า การกระทำนี้เป็นไปเพื่อรักษาความปลอดภัยเท่านั้น แต่จะไม่สามารถติดในห้องน้ำได้ เนื่องจากเป็นการละเมิดสิทธิ และอาจส่งผลกระทบทางลบต่อเจ้าของข้อมูลบุคคลได้
6. ฐานหน้าที่ตามกฎหมาย (Legal Obligations) หากวัตถุประสงค์ในการเก็บรวบรวม ใช้งาน หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อปฏิบัติหน้าที่ตามกฎหมาย หรือหน้าที่ตามคำสั่งของหน่วยงานรัฐ โดยจะต้องอธิบายได้ว่าการปฏิบัติหน้าที่นั้น ทำตามบทบัญญัติใด หรือทำตามคำสั่งของหน่วยงานใดของรัฐ จะสามารถทำได้โดยไม่ต้องขอความยินยอม
— ตัวอย่างเช่น ร้านอาหารเก็บรวบรวมข้อมูลจราจรทางคอมพิวเตอร์ไว้ 90 วัน ตามกำหนดของ พ.ร.บ.ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ พ.ศ.2560 มาตรา 26
7. ฐานจดหมายเหตุ วิจัย สถิติ (Scientific / Historical Research) ในฐานจดหมายเหตุ วิจัย สถิติ (Scientific or Research) นี้จะแตกต่างไปจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลประเทศอื่น ๆ มีวัตถุประสงค์ในการเก็บรวบรวม ใช้งาน หรือเปิดเผยข้อมูลส่วนบุคคล ที่เกี่ยวข้องกับการจัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือการศึกษาวิจัยสถิติ
— ตัวอย่างเช่น มหาวิทยาลัยเก็บข้อมูลชื่อ โรงเรียน และคะแนนที่ใช้สอบเข้า เพื่อจัดทำเป็นสถิตินักศึกษาเข้าใหม่ประจำปี
ดังนั้นเพื่อให้การประมวลผลข้อมูลส่วนบุคคลถูกต้องตามหลักกฎหมาย องค์กรควรทำการศึกษาข้อมูลและข้อกำหนดให้เข้าใจก่อนที่จะดำเนินการใด ๆ เพื่อป้องกันการละเมิดต่อข้อมูลส่วนบุคคลต่อเจ้าของข้อมูลที่อาจเกิดขึ้นได้ตลอดเวลา รวมถึงการใช้สิทธิของเจ้าของข้อมูลเองก็ตาม ดังนั้นการศึกษาข้อกำหนดให้เข้าใจสามารถช่วยป้องกันการถูกฟ้องร้องและบทลงโทษ รวมถึงค่าปรับที่อาจจะเกิดขึ้นได้ในอนาคตอีกด้วย
