มาตรา 24
สารบัญในมาตรานี้
ตัวบท
มาตรา 24 ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่
(1) เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ตามที่คณะกรรมการประกาศกำหนด
(2) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
(3) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
(4) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
(5) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
(6) เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
สรุป
มาตรานี้คือ หัวใจของฐานทางกฎหมายในการเก็บรวบรวมข้อมูล กำหนดว่าโดยหลักการแล้ว ผู้ควบคุมข้อมูลต้องได้รับ ความยินยอม จากเจ้าของข้อมูลก่อนเก็บรวบรวม — แต่มีข้อยกเว้น 6 ข้อที่อนุญาตให้เก็บได้โดยไม่ต้องขอความยินยอม
องค์ประกอบสำคัญ
- หลักการพื้นฐาน: ห้ามเก็บข้อมูลโดยไม่ได้รับความยินยอม
- 6 ข้อยกเว้น (ฐานทางกฎหมาย):
- วิจัย/สถิติ/จดหมายเหตุ — ต้องมีมาตรการปกป้องตามที่คณะกรรมการกำหนด
- ประโยชน์อันสำคัญยิ่ง — ป้องกันอันตรายต่อชีวิต/ร่างกาย/สุขภาพ
- สัญญา — จำเป็นเพื่อปฏิบัติตามสัญญา หรือก่อนเข้าทำสัญญา
- ภารกิจสาธารณะ — ปฏิบัติหน้าที่เพื่อประโยชน์สาธารณะ หรือใช้อำนาจรัฐ
- ประโยชน์โดยชอบด้วยกฎหมาย — ของผู้ควบคุมหรือบุคคลที่สาม โดยมีการชั่งน้ำหนักกับสิทธิของเจ้าของข้อมูล
- การปฏิบัติตามกฎหมาย — ผู้ควบคุมต้องปฏิบัติตามกฎหมาย
- ความสำคัญ: ฐานเหล่านี้เป็น "หลักทั่วไป" สำหรับข้อมูลทั่วไป — ข้อมูลอ่อนไหวมีกฎเข้มกว่าตาม มาตรา 26
มาตราที่อ้างอิง
มาตรานี้ไม่ได้อ้างอิงมาตราอื่นในตัวบท แต่ถูกอ้างอิงจากหลายมาตรา (อ้างกลับ):
- มาตรา 23 — แจ้งวัตถุประสงค์ตามฐานใน (1)-(6)
- มาตรา 26 — ฐานสำหรับข้อมูลอ่อนไหว (เป็นข้อยกเว้นเฉพาะ ต่างจากมาตราทั่วไปนี้)
- มาตรา 27 — ฐานในการใช้/เปิดเผย อ้างกลับมาที่มาตรานี้
หมายเหตุ
- เทียบ GDPR: สอดคล้องกับ Article 6 ของ GDPR (ความชอบด้วยกฎหมายของการประมวลผล) — ทั้ง 6 ข้อใน PDPA สอดคล้องกับ 6 ฐานทางกฎหมายของ GDPR
- การเทียบฐาน:
- PDPA (1) = GDPR Art. 6(1)(e) + Art. 89 (วิจัย)
- PDPA (2) = GDPR Art. 6(1)(d) (ประโยชน์อันสำคัญยิ่ง)
- PDPA (3) = GDPR Art. 6(1)(b) (สัญญา)
- PDPA (4) = GDPR Art. 6(1)(e) (ภารกิจสาธารณะ)
- PDPA (5) = GDPR Art. 6(1)(f) (ประโยชน์โดยชอบด้วยกฎหมาย)
- PDPA (6) = GDPR Art. 6(1)(c) (การปฏิบัติตามกฎหมาย)
- ข้อ (5) ประโยชน์โดยชอบด้วยกฎหมาย: เป็นฐานที่ใช้บ่อยในภาคธุรกิจ แต่ต้องทำ การชั่งน้ำหนัก เปรียบเทียบประโยชน์กับสิทธิของเจ้าของข้อมูล
- ความยินยอมเป็น "ฐานที่ 7": หากไม่เข้าข้อยกเว้นใดเลย ผู้ควบคุมต้องขอความยินยอมตาม มาตรา 19