มาตรา 22
สารบัญในมาตรานี้
ตัวบท
มาตรา 22 การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
สรุป
มาตรานี้คือ หลักความจำเป็น — เปิดส่วนที่ 2 (การเก็บรวบรวมข้อมูลส่วนบุคคล) ของหมวด 2: ผู้ควบคุมข้อมูลเก็บรวบรวมได้ "เท่าที่จำเป็น" ภายใต้ "วัตถุประสงค์อันชอบด้วยกฎหมาย" เท่านั้น — ไม่เก็บเกินกว่าที่จำเป็นและไม่เก็บเพื่อวัตถุประสงค์ที่ขัดกฎหมาย
องค์ประกอบสำคัญ
- เกณฑ์ที่ 1 — เท่าที่จำเป็น: ปริมาณ ประเภท และรายละเอียดของข้อมูลที่เก็บ ต้องไม่เกินกว่าที่จำเป็นต่อการบรรลุวัตถุประสงค์ — ห้ามเก็บข้อมูล "เผื่อไว้" หรือ "เก็บไว้ก่อนเพราะอาจมีประโยชน์"
- เกณฑ์ที่ 2 — วัตถุประสงค์อันชอบด้วยกฎหมาย: วัตถุประสงค์ของการเก็บต้องไม่ขัดกฎหมาย — ต้องเข้าฐานทางกฎหมายตาม มาตรา 24 หรือมีความยินยอมตาม มาตรา 19
- ขอบเขตของมาตรานี้: ใช้กับการ "เก็บรวบรวม" — การ "ใช้" และ "เปิดเผย" มีกฎเพิ่มเติมในมาตราต่อ ๆ ไป (โดยเฉพาะส่วนที่ 3 ของหมวด 2)
มาตราที่อ้างอิง
ตัวบทมาตรานี้ไม่ได้อ้างอิงมาตราอื่นโดยตรง แต่เชื่อมโยงกับ:
- มาตรา 19 — หลักความยินยอมที่ต้องมีก่อนเก็บ (เว้นแต่เข้าข้อยกเว้น)
- มาตรา 24 — ฐานทางกฎหมาย 6 ข้อยกเว้นที่ไม่ต้องขอความยินยอม
หมายเหตุ
- เปิดส่วนที่ 2 ของหมวด 2: ส่วนที่ 2 ครอบคลุมมาตรานี้ถึง มาตรา 26 — เน้นกฎเฉพาะของการ "เก็บรวบรวม" (ก่อนการใช้/เปิดเผยที่อยู่ในส่วนที่ 3)
- หลักการเก็บข้อมูลเท่าที่จำเป็น เป็นหลักการพื้นฐานสากลของการคุ้มครองข้อมูล — ป้องกันการสะสมข้อมูลส่วนเกินที่ไม่จำเป็น ลดผลกระทบเมื่อเกิดเหตุละเมิด
- "อันชอบด้วยกฎหมาย": ครอบคลุม 2 มิติ — (ก) ฐานในการประมวลผลที่ถูกต้องตาม มาตรา 24 หรือ มาตรา 19 (ข) วัตถุประสงค์ที่ไม่ขัดกฎหมายอื่น (เช่น ไม่เก็บข้อมูลเพื่อใช้ในการกระทำผิด)
- การปฏิบัติจริง: ผู้ควบคุมข้อมูลควรกำหนดวัตถุประสงค์ของการเก็บไว้ล่วงหน้า แล้วเก็บเฉพาะข้อมูลที่จำเป็นต่อวัตถุประสงค์นั้น — ใช้หลัก "เก็บน้อย ใช้น้อย" เป็นแนวคิดในการออกแบบกระบวนการ