มาตรา 25
สารบัญในมาตรานี้
ตัวบท
มาตรา 25 ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่
(1) ได้แจ้งถึงการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นให้แก่เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า แต่ต้องไม่เกินสามสิบวันนับแต่วันที่เก็บรวบรวมและได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
(2) เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 หรือมาตรา 26
ให้นำบทบัญญัติเกี่ยวกับการแจ้งวัตถุประสงค์ใหม่ตามมาตรา 21 และการแจ้งรายละเอียดตามมาตรา 23 มาใช้บังคับกับการเก็บรวบรวมข้อมูลส่วนบุคคลที่ต้องได้รับความยินยอมตามวรรคหนึ่ง โดยอนุโลม เว้นแต่กรณีดังต่อไปนี้
(1) เจ้าของข้อมูลส่วนบุคคลทราบวัตถุประสงค์ใหม่หรือรายละเอียดนั้นอยู่แล้ว
(2) ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่าการแจ้งวัตถุประสงค์ใหม่หรือรายละเอียดดังกล่าวไม่สามารถทำได้หรือจะเป็นอุปสรรคต่อการใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยเฉพาะอย่างยิ่งเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ ในกรณีนี้ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิ เสรีภาพ และประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
(3) การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลต้องกระทำโดยเร่งด่วนตามที่กฎหมายกำหนด ซึ่งได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
(4) เมื่อผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้ซึ่งล่วงรู้หรือได้มาซึ่งข้อมูลส่วนบุคคลจากหน้าที่หรือจากการประกอบอาชีพหรือวิชาชีพและต้องรักษาวัตถุประสงค์ใหม่หรือรายละเอียดบางประการตามมาตรา 23 ไว้เป็นความลับตามที่กฎหมายกำหนด
การแจ้งรายละเอียดตามวรรคสอง ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบภายในสามสิบวันนับแต่วันที่เก็บรวบรวมตามมาตรานี้ เว้นแต่กรณีที่นำข้อมูลส่วนบุคคลไปใช้เพื่อการติดต่อกับเจ้าของข้อมูลส่วนบุคคลต้องแจ้งในการติดต่อครั้งแรก และกรณีที่จะนำข้อมูลส่วนบุคคลไปเปิดเผย ต้องแจ้งก่อนที่จะนำข้อมูลส่วนบุคคลไปเปิดเผยเป็นครั้งแรก
สรุป
มาตรานี้กำหนด กฎพิเศษสำหรับการเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรง — โดยหลักการห้าม ยกเว้น (1) แจ้งและขอความยินยอมจากเจ้าของข้อมูลภายใน 30 วัน หรือ (2) เข้าฐานข้อยกเว้นตาม มาตรา 24 หรือ มาตรา 26 — และกำหนดเงื่อนไขเพิ่มเติมในการแจ้งรายละเอียด พร้อมข้อยกเว้นการแจ้ง 4 กรณี
องค์ประกอบสำคัญ
- หลักการ (วรรคหนึ่ง): ห้ามเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรง — เช่น ซื้อรายชื่อจากผู้ให้บริการข้อมูล รับมาจากพันธมิตรธุรกิจ หรือดึงจากแหล่งสาธารณะ
- ข้อยกเว้น 2 กรณี (วรรคหนึ่ง (1)-(2)):
- กฎเสริมสำหรับการแจ้งรายละเอียด (วรรคสอง):
- ข้อยกเว้นการแจ้ง 4 กรณี (วรรคสอง (1)-(4)):
- (1) เจ้าของข้อมูลทราบอยู่แล้ว — ไม่ต้องแจ้งซ้ำ
- (2) ทำไม่ได้ในทางปฏิบัติหรือเป็นอุปสรรค — โดยเฉพาะการศึกษาวิจัย/ประวัติศาสตร์/สถิติ ต้องมีมาตรการคุ้มครองทดแทน
- (3) ความเร่งด่วนตามกฎหมาย — มีมาตรการคุ้มครองทดแทน
- (4) หน้าที่รักษาความลับ — ผู้ควบคุมเป็นผู้ที่ต้องรักษาความลับตามวิชาชีพ/หน้าที่
- ระยะเวลาการแจ้งรายละเอียด (วรรคสาม):
- 30 วัน เป็นค่าเริ่มต้น
- ก่อนการติดต่อครั้งแรก หากนำไปใช้ติดต่อ
- ก่อนการเปิดเผยครั้งแรก หากนำไปเปิดเผย
มาตราที่อ้างอิง
- มาตรา 21 — หลักจำกัดวัตถุประสงค์ (ใช้บังคับกับการแจ้งวัตถุประสงค์ใหม่ในการเก็บจากแหล่งอื่น)
- มาตรา 23 — การแจ้งรายละเอียด 6 ข้อ (บังคับใช้โดยอนุโลม)
- มาตรา 24 — ฐานข้อยกเว้นไม่ต้องขอความยินยอม สำหรับข้อมูลทั่วไป
- มาตรา 26 — ฐานข้อยกเว้นไม่ต้องขอความยินยอมโดยชัดแจ้ง สำหรับข้อมูลอ่อนไหว
หมายเหตุ
- กรอบเวลา 30 วัน: เป็นเส้นแบ่งสำคัญในแนวปฏิบัติ — ผู้ควบคุมข้อมูลที่ซื้อรายชื่อหรือรับข้อมูลจากพันธมิตรธุรกิจ ต้องวางกระบวนการแจ้งภายใน 30 วันให้ทันเวลา ไม่งั้นการเก็บไม่ชอบด้วยกฎหมาย
- ข้อยกเว้นการแจ้ง (4) "หน้าที่รักษาความลับ": ครอบคลุมวิชาชีพที่มีหน้าที่รักษาความลับตามกฎหมาย เช่น ทนาย แพทย์ ผู้สอบบัญชี เจ้าหน้าที่รัฐบางประเภท — ในกรณีเหล่านี้ การแจ้งอาจขัดกับหน้าที่รักษาความลับ
- เชื่อมโยงกับการประมวลผลที่ทำต่อ: เมื่อเก็บถูกต้องตามมาตรานี้แล้ว การใช้/เปิดเผยข้อมูลที่เก็บมา ยังต้องเป็นไปตามวัตถุประสงค์ที่แจ้งและฐานทางกฎหมายตามมาตราอื่นในหมวดนี้