ฐานในการประมวลผล

นิยาม

ฐานในการประมวลผล คือเหตุผลทางกฎหมายที่อนุญาตให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล — ผู้ควบคุมต้องระบุได้ชัดเจนว่าการประมวลผลแต่ละครั้งอยู่บนฐานใด มิฉะนั้นถือว่าเป็นการประมวลผลที่ไม่ชอบด้วยกฎหมาย

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลกำหนดฐาน 2 ชุด สำหรับข้อมูลต่างประเภท:

• ข้อมูลทั่วไป (มาตรา 24) — 7 ฐาน (ความยินยอม + 6 ข้อยกเว้น)
• ข้อมูลอ่อนไหว (มาตรา 26) — 6 ฐาน (ความยินยอมโดยชัดแจ้ง + 5 ข้อยกเว้น) — เข้มกว่าฐานทั่วไป

ตัวอย่าง

7 ฐานในการเก็บข้อมูลทั่วไปตาม มาตรา 24

หมายเหตุ: "ความยินยอม" เป็นฐานหลักตาม มาตรา 19 — มาตรา 24 กำหนด 6 ข้อยกเว้นที่อนุญาตเก็บโดยไม่ต้องขอความยินยอม

1. ความยินยอม — เจ้าของข้อมูลให้ความยินยอมตาม มาตรา 19
   • ตัวอย่าง: การลงทะเบียนใช้แอปพลิเคชันที่ผู้ใช้กดยินยอมหลังอ่านวัตถุประสงค์
2. เอกสารประวัติศาสตร์ จดหมายเหตุ ศึกษาวิจัย หรือสถิติเพื่อประโยชน์สาธารณะ (มาตรา 24 (1))
   • ตัวอย่าง: หอจดหมายเหตุที่เก็บข้อมูลบุคคลสำคัญในประวัติศาสตร์ + การวิจัยทางสาธารณสุข
3. ป้องกันอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (มาตรา 24 (2))
   • ตัวอย่าง: การส่งข้อมูลผู้ป่วยหมดสติให้โรงพยาบาลในกรณีฉุกเฉิน
4. การปฏิบัติตามสัญญา (มาตรา 24 (3))
   • ตัวอย่าง: การเก็บที่อยู่ของลูกค้าเพื่อจัดส่งสินค้าตามคำสั่งซื้อ + การเก็บข้อมูลพนักงานเพื่อทำสัญญาจ้างงาน
5. ภารกิจประโยชน์สาธารณะ/อำนาจรัฐ (มาตรา 24 (4))
   • ตัวอย่าง: การเก็บข้อมูลของประชาชนโดยหน่วยงานราชการเพื่อให้บริการสวัสดิการรัฐ
6. ประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุม (มาตรา 24 (5))
   • ตัวอย่าง: การเก็บข้อมูลความปลอดภัยของระบบ (บันทึกระบบ) เพื่อป้องกันการโจรกรรมข้อมูล + การวิเคราะห์พฤติกรรมลูกค้าเพื่อพัฒนาบริการ
   • ข้อจำกัด: ฐานนี้ใช้ไม่ได้ถ้าประโยชน์ของผู้ควบคุมมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานของเจ้าของข้อมูล
7. การปฏิบัติตามกฎหมาย (มาตรา 24 (6))
   • ตัวอย่าง: การเก็บข้อมูลผู้รับเงินเดือนเพื่อรายงานภาษีตามประมวลรัษฎากร + การเก็บบันทึกการทำธุรกรรมตาม พ.ร.บ. ป้องกันและปราบปรามการฟอกเงิน

6 ฐานในการเก็บข้อมูลอ่อนไหวตาม มาตรา 26

หลักการ: ห้ามเก็บข้อมูลอ่อนไหวเว้นแต่ได้รับความยินยอมโดยชัดแจ้ง หรือเข้า 5 ข้อยกเว้น

1. ความยินยอมโดยชัดแจ้ง — ฐานหลักตาม มาตรา 26 วรรคหนึ่ง
   • ตัวอย่าง: การขอเก็บข้อมูลสุขภาพของผู้สมัครประกัน ที่แยกแบบฟอร์มจากสัญญาประกันทั่วไป
2. ป้องกันอันตรายชีวิต/ร่างกาย/สุขภาพ ที่เจ้าของให้ความยินยอมไม่ได้ (มาตรา 26 (1))
   • ตัวอย่าง: การส่งประวัติแพ้ยาของผู้ป่วยหมดสติให้โรงพยาบาล
3. กิจกรรมขององค์กรไม่แสวงหากำไรด้านศาสนา/การเมือง/สหภาพแรงงาน (มาตรา 26 (2))
   • ตัวอย่าง: มูลนิธิทางศาสนาเก็บข้อมูลการเข้าร่วมพิธีของสมาชิก (ไม่เปิดเผยภายนอก)
4. ข้อมูลที่เจ้าของเปิดเผยต่อสาธารณะโดยชัดแจ้ง (มาตรา 26 (3))
   • ตัวอย่าง: การเก็บข้อมูลความคิดเห็นทางการเมืองที่นักการเมืองประกาศต่อสาธารณะเอง
5. การก่อตั้ง ใช้ ต่อสู้สิทธิเรียกร้องตามกฎหมาย (มาตรา 26 (4))
   • ตัวอย่าง: การเก็บประวัติการรักษาพยาบาลเพื่อฟ้องคดีค่าสินไหมทดแทน
6. ภารกิจตามกฎหมายด้านการแพทย์/สาธารณสุข/แรงงาน/วิจัย/ประโยชน์สาธารณะ (มาตรา 26 (5))
   • ตัวอย่าง: โรงพยาบาลรัฐที่เก็บข้อมูลสุขภาพเพื่อบริหารระบบหลักประกันสุขภาพแห่งชาติ

มาตราที่เกี่ยวข้อง

ฐานหลัก:

• มาตรา 19 — ความยินยอม: 7 องค์ประกอบ + การถอนความยินยอม (ฐานหลักของข้อมูลทั่วไป)
• มาตรา 24 — ⭐ มาตราหลักของข้อมูลทั่วไป: 6 ฐานที่อนุญาตเก็บโดยไม่ต้องขอความยินยอม
• มาตรา 26 — ⭐ มาตราหลักของข้อมูลอ่อนไหว: หลักการห้ามเก็บ + 5 ข้อยกเว้น + ความยินยอมโดยชัดแจ้ง

ความเกี่ยวเนื่อง:

• มาตรา 22 — หลักการเก็บข้อมูลเท่าที่จำเป็นตามวัตถุประสงค์ — ฐานในการประมวลผลต้องสอดคล้องกับวัตถุประสงค์ที่แจ้งไว้
• มาตรา 27 — การใช้และเปิดเผยข้อมูลต้องอยู่ภายใต้ฐานเดียวกับที่เก็บมา หรือมีฐานใหม่ที่ชอบด้วยกฎหมาย

ประกาศที่เกี่ยวข้อง

-

หมายเหตุ

• ฐาน ≠ การยกเว้น: ความยินยอมเป็นฐานในการประมวลผลข้อมูลเหมือนกับฐานอื่น — แต่ พ.ร.บ. โครงสร้างกฎเป็น "ห้ามเก็บโดยไม่ขอความยินยอม เว้นแต่..." ทำให้ 6 ฐานใน มาตรา 24 ดูเหมือนเป็น "ข้อยกเว้น" ตามไวยากรณ์ของกฎ — แต่ในทางปฏิบัติทั้ง 7 ฐานมีศักดิ์เท่ากัน
• ภาระเลือกฐาน: ผู้ควบคุมข้อมูลต้องเลือกฐานที่ "เหมาะสมที่สุด" สำหรับการประมวลผลแต่ละครั้ง — ไม่ควรพึ่งความยินยอมเป็นค่าเริ่มต้นถ้าฐานอื่นเหมาะสมกว่า (เช่น การเก็บข้อมูลพนักงานเพื่อทำสัญญาจ้างงาน ฐานที่ถูกคือ "ปฏิบัติตามสัญญา" มาตรา 24 (3) ไม่ใช่ความยินยอม)
• ข้อจำกัดของฐาน (5) "ประโยชน์โดยชอบด้วยกฎหมาย": มาตรา 24 (5) มีข้อกำหนดให้ผู้ควบคุมต้องชั่งน้ำหนัก: ประโยชน์ของผู้ควบคุม vs สิทธิขั้นพื้นฐานของเจ้าของข้อมูล — ถ้าสิทธิเจ้าของข้อมูลเข้มกว่า ใช้ฐานนี้ไม่ได้
• เปลี่ยนฐานในระหว่างประมวลผลได้หรือไม่: กรณีที่ผู้ควบคุมจำเป็นต้องเปลี่ยนวัตถุประสงค์หรือฐานในการประมวลผล ต้องแจ้งเจ้าของข้อมูลและอาจต้องขอความยินยอมใหม่ (ตาม มาตรา 22 หลักการเก็บตามวัตถุประสงค์ + มาตรา 23 หน้าที่แจ้ง)
• เทียบกับ GDPR: ฐานใน มาตรา 24 สอดคล้องกับฐานในการประมวลผลตาม GDPR Art. 6 ที่ระบุ 6 ฐาน คือ ความยินยอม / สัญญา / หน้าที่ตามกฎหมาย / ผลประโยชน์สำคัญต่อชีวิต / ภารกิจประโยชน์สาธารณะ / ประโยชน์โดยชอบด้วยกฎหมาย — เกือบสมมาตร 1:1
• ฐานในการประมวลผลข้อมูลอ่อนไหว vs ฐานทั่วไป: มาตรา 26 ไม่ใช่ "เพิ่ม" จากฐานทั่วไป แต่เป็น "เปลี่ยนชุด" ทั้งหมด — ผู้ควบคุมที่ต้องการเก็บข้อมูลอ่อนไหวต้องเข้า 1 ใน 6 ฐานของ มาตรา 26 ไม่ใช่พึ่งฐานใน มาตรา 24