ฐานทางกฎหมายที่กำหนดไว้ตามกฎหมาย PDPA
ทำไมต้องมี “ฐานทางกฎหมาย” ก่อนใช้ข้อมูลส่วนบุคคล?
เวลาที่องค์กรจะเก็บหรือใช้ข้อมูลส่วนตัวของใครสักคน ไม่ว่าจะเป็นชื่อ เบอร์โทร หรือข้อมูลทางสุขภาพ กฎหมายบังคับว่าต้องมีเหตุผลหรือ “ฐานทางกฎหมาย” ที่ชัดเจน ไม่ใช่จะใช้ข้อมูลได้ตามใจชอบ
ฐานทางกฎหมายที่กำหนดไว้ตามกฎหมาย PDPA
กฎหมายกำหนดไว้อย่างชัดเจนว่าการประมวลผลข้อมูลสามารถทำได้เฉพาะเมื่อมีเหตุผลทางกฎหมายอย่างใดอย่างหนึ่งจากทั้งหมด 7 ข้อดังนี้
- ความยินยอม (Consent)
ความหมาย: ได้รับการยินยอมจากเจ้าของข้อมูล
ใช้เมื่อ: ไม่สามารถใช้ฐานอื่นได้ หรือข้อมูลมีความอ่อนไหว
ตัวอย่าง: ขอความยินยอมเพื่อใช้ข้อมูลสุขภาพ ส่งข้อมูลไปยังพันธมิตรเพื่อทำการตลาด - สัญญา (Contractual Obligation)
ความหมาย: เพื่อปฏิบัติตามสัญญาที่ทำไว้กับเจ้าของข้อมูล
ใช้เมื่อ: จำเป็นต้องใช้ข้อมูลเพื่อให้บริการ
ตัวอย่าง: ประเมินความเสี่ยงก่อนออกกรมธรรม์, ประมวลผลการเคลม - ตามกฎหมาย (Legal Obligation)
ความหมาย: เพื่อปฏิบัติตามข้อกำหนดทางกฎหมาย
ใช้เมื่อ: มีกฎหมายบังคับให้ต้องทำ
ตัวอย่าง: ส่งข้อมูลให้ คปภ., สรรพากร, ปปง., บันทึกข้อมูลธุรกรรม - ประโยชน์ต่อชีวิต (Vital Interest)
ความหมาย: เพื่อปกป้องชีวิตหรือสุขภาพในกรณีฉุกเฉิน
ใช้เมื่อ: ไม่สามารถขอความยินยอมได้ทันที
ตัวอย่าง: ส่งข้อมูลให้แพทย์กรณีฉุกเฉินของผู้เอาประกัน - ภารกิจสาธารณะ (Public Task)
ความหมาย: ใช้ในการปฏิบัติภารกิจเพื่อสาธารณะประโยชน์
ใช้เมื่อ: เป็นภารกิจที่กำหนดไว้ชัดเจนโดยกฎหมาย
ตัวอย่าง: ส่งข้อมูลสนับสนุนโครงการรัฐ เช่น ประกันสุขภาพถ้วนหน้า - ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest)
ความหมาย: มีเหตุผลชอบธรรมที่สมดุลกับสิทธิของเจ้าของข้อมูล
ใช้เมื่อ: มีผลประโยชน์โดยชอบ ไม่ละเมิดสิทธิ
ตัวอย่าง: การติดตามบันทึกการบริการลูกค้า, การตลาดภายใน - วิจัย/สถิติ/ประวัติศาสตร์
ความหมาย: เพื่อการศึกษา วิจัย หรือจัดทำสถิติ
ใช้เมื่อ: ต้องใช้ข้อมูลในลักษณะไม่ระบุตัวตน และไม่กระทบสิทธิ
ตัวอย่าง: วิเคราะห์พฤติกรรมการเคลมเพื่อปรับปรุงการออกแบบผลิตภัณฑ์ประกัน
การเลือกฐานกฎหมายให้เหมาะกับแต่ละสถานการณ์เป็นเรื่องสำคัญ ถ้าเลือกผิด อาจมีความเสี่ยงทางกฎหมาย หรือโดนร้องเรียนได้
FSO ในฐานะผู้ประมวลผลข้อมูล ควรร่วมมือกับฝ่ายกฎหมายหรือ DPO เพื่อมั่นใจว่าการเก็บและใช้ข้อมูลเป็นไปตามกฎหมาย