หน้าหลัก

ข้อหารือที่ 8/2566 — บริษัท ฆ. (บริหารอาคารชุด)

3 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

  1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 — มาตรา 24, มาตรา 26, มาตรา 40 (1) และ มาตรา 40 วรรคสาม

ข้อหารือ

บริษัท ฆ. มีวัตถุประสงค์ในกิจการบริการงานบริหารอาคาร และรับจ้างอื่น ๆ ซึ่งต้องมีการเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวข้อง จึงหารือเกี่ยวกับกิจกรรมของบริษัทฯ ที่เกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมีประเด็นดังนี้

  1. กรณีบริษัทฯ มีการซื้อขายสินค้าและบริการกันระหว่างคู่สัญญาที่มีทั้งที่เป็นบุคคลธรรมดาและนิติบุคคล แต่บริษัทฯ ต้องติดต่อประสานงานกับบุคคลธรรมดา ที่เป็นลูกจ้างหรือตัวแทนของคู่สัญญา บริษัทฯ จึงมีชื่อ หมายเลขโทรศัพท์ และข้อมูลอื่น ๆ ที่เป็นข้อมูลส่วนบุคคลของบุคคลดังกล่าว บริษัทฯ ต้องขอความยินยอมจากตัวแทนของคู่สัญญาหรือไม่ เนื่องจากข้อยกเว้นตาม มาตรา 24 (3) เจ้าของข้อมูลส่วนบุคคลต้องเป็นคู่สัญญากับผู้ควบคุมข้อมูลส่วนบุคคล
  2. กรณีที่บริษัทฯ รับจ้างเป็นผู้จัดการนิติบุคคลอาคารชุด/หมู่บ้านจัดสรร หรือกรณีบริษัทฯ ไม่ได้เป็นผู้จัดการนิติบุคคลฯ แต่รับจ้างบริหารอาคาร/หมู่บ้าน บริษัทฯ มีความจำเป็นต้องเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของลูกบ้าน/ผู้พักอาศัย เพื่อการออกใบแจ้งหนี้ การรักษาความปลอดภัย การระบุข้อมูลส่วนบุคคลในสติ๊กเกอร์จอดรถ การทำทะเบียนผู้พักอาศัย และการให้บริการอื่น ๆ บริษัทฯ ต้องขอความยินยอมจากลูกบ้าน/ผู้พักอาศัยทั้งหมดหรือไม่ หรือเข้าข้อยกเว้นตามอนุมาตราใด

ความเห็น

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คำแนะนำหน่วยงานของรัฐเพื่อรองรับการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้พิจารณาข้อหารือแล้ว เห็นว่า

ประเด็นหารือที่ 1 การพิจารณาฐานทางกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลในกรณีที่หารือ แยกได้เป็น 2 กรณี กล่าวคือ

กรณีที่ 1 ในกรณีที่คู่ค้าหรือคู่สัญญาเป็นบุคคลธรรมดาที่เป็นเจ้าของข้อมูลส่วนบุคคล บริษัทฯ อาจใช้ฐาน "การปฏิบัติตามสัญญา" ในกรณีที่เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้นตาม มาตรา 24 (3) แห่ง PDPA ซึ่งรวมถึงการเก็บรวบรวมข้อมูลส่วนบุคคลก่อนที่จะมีการทำสัญญาซื้อขายสินค้าและบริการระหว่างกันเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลดังกล่าวได้ โดยไม่จำต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

กรณีที่ 2 การที่บริษัทฯ เก็บรายชื่อ หมายเลขโทรศัพท์ และข้อมูลส่วนบุคคลอื่นที่เกี่ยวข้องของลูกจ้างหรือตัวแทนของนิติบุคคลที่เป็นคู่สัญญาเพื่อการติดต่อประสานงาน จัดส่งใบเสนอราคาและเอกสารต่าง ๆ ตามคำขอของลูกจ้างหรือตัวแทนของนิติบุคคลนั้น — ในกรณีดังกล่าว บุคคลดังกล่าวข้างต้นไม่ใช่คู่สัญญาของบริษัทฯ บริษัทฯ จึงไม่สามารถอ้างฐาน "การปฏิบัติตามสัญญา" ในการเก็บรวบรวมข้อมูลส่วนบุคคลได้ ในกรณีนี้บริษัทฯ อาจพิจารณาใช้ฐานทางกฎหมายตาม มาตรา 24 (5) ในกรณีที่เป็นการจำเป็น "เพื่อประโยชน์โดยชอบด้วยกฎหมาย" ของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งประโยชน์ดังกล่าวมีความสำคัญไม่น้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล โดยผู้ควบคุมข้อมูลส่วนบุคคลพึงตระหนักว่าการดำเนินการดังกล่าวควรใช้ความระมัดระวัง เพื่อคุ้มครองประโยชน์และป้องกันผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลโดยตรง และหลีกเลี่ยงการใช้ข้อมูลเกินความคาดหวังปกติในบริบทของการติดต่อทางธุรกิจ

อนึ่ง ในกรณีที่บริษัทฯ เก็บรวมรวบข้อมูลส่วนบุคคลตาม มาตรา 26 อันได้แก่ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน บริษัทฯ ต้องพิจารณาว่ามีฐานทางกฎหมายตาม มาตรา 26 เพิ่มเติมด้วย

ประเด็นหารือที่ 2 กรณีที่บริษัทฯ รับจ้างเป็นผู้จัดการนิติบุคคลอาคารชุด/นิติบุคคลหมู่บ้านจัดสรร หรือได้รับจ้างบริหารอาคารชุด/หมู่บ้านจัดสรร มีการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้พักอาศัย เพื่อการออกใบแจ้งหนี้ การรักษาความปลอดภัย การระบุข้อมูลในสติ๊กเกอร์จอดรถ การทำทะเบียนผู้พักอาศัย และการให้บริการอื่น ๆ ซึ่งการดำเนินการดังกล่าวของบริษัทฯ เป็นการดำเนินการในฐานะผู้รับจ้างซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล (นิติบุคคลอาคารชุด/นิติบุคคลหมู่บ้านจัดสรร) ในกรณีนี้ บริษัทฯ ไม่ใช่บุคคลธรรมดาหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล บริษัทฯ จึงไม่มีฐานะเป็น "ผู้ควบคุมข้อมูลส่วนบุคคล" แต่มีฐานะเป็น "ผู้ประมวลผลข้อมูลส่วนบุคคล" ตาม PDPA

ตาม PDPA ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องมีฐานทางกฎหมายตามที่กำหนดไว้ใน มาตรา 24 หรือ มาตรา 26 แล้วแต่กรณี หน้าที่ในการเก็บรวบรวมข้อมูลส่วนบุคคลที่มีฐานทางกฎหมายดังกล่าวเป็นหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล ไม่ใช่หน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล บริษัทฯ จึงไม่จำเป็นต้องได้รับความยินยอมหรือมีฐานทางกฎหมายตาม มาตรา 24 หรือ มาตรา 26 แต่หน้าที่ดังกล่าวเป็นของนิติบุคคลอาคารชุด/นิติบุคคลหมู่บ้านจัดสรรที่ต้องเก็บรวบรวมข้อมูลส่วนบุคคลมาโดยชอบด้วยกฎหมาย

สำหรับกรณีที่บริษัทฯ ได้มีนิติสัมพันธ์เป็นผู้รับจ้าง (outsource) บริษัทฯ จึงมีฐานะเป็นเพียงผู้ประมวลผลข้อมูลส่วนบุคคล และมีหน้าที่ต้องดำเนินการตามคำสั่งที่ได้รับจากนิติบุคคลอาคารชุด/นิติบุคคลหมู่บ้านจัดสรรในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตาม มาตรา 40 (1) ตลอดจนมีหน้าที่อื่นตามที่ PDPA กำหนดให้เป็นหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล นอกจากนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลระหว่างกันเพื่อควบคุมการดำเนินงานตามสัญญาที่เป็นหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามที่กำหนดไว้ใน PDPA ตามนัย มาตรา 40 วรรคสามด้วย

เอกสารต้นฉบับ