มาตรา 27

หมวด 2 ส่วนที่ 3 · 5 แนวคิดที่เกี่ยวข้อง · 5 มาตราอ้างอิง

สารบัญในมาตรานี้

ตัวบท
สรุป
องค์ประกอบสำคัญ
มาตราที่อ้างอิง
หมายเหตุ
แนวคิดที่เกี่ยวข้อง

ตัวบท

มาตรา 27 ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24หรือมาตรา 26

บุคคลหรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคลมาจากการเปิดเผยตามวรรคหนึ่ง จะต้องไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้กับผู้ควบคุมข้อมูลส่วนบุคคลในการขอรับข้อมูลส่วนบุคคลนั้น

ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกการใช้หรือเปิดเผยนั้นไว้ในรายการตามมาตรา 39

สรุป

มาตรานี้ขยายหลักการของ มาตรา 24 (ที่กำกับการ "เก็บรวบรวม") มาที่ขั้น "ใช้หรือเปิดเผย" ข้อมูลส่วนบุคคล โดยห้ามใช้/เปิดเผยโดยไม่ได้รับความยินยอม เว้นแต่เป็นข้อมูลที่เก็บมาได้โดยฐานยกเว้นตาม มาตรา 24 (ข้อมูลทั่วไป) หรือ มาตรา 26 (ข้อมูลอ่อนไหว) — และผู้รับข้อมูลเองก็ผูกพันกับวัตถุประสงค์เดิม

องค์ประกอบสำคัญ

หลักการ (วรรค 1): ห้ามใช้/เปิดเผยข้อมูลโดยไม่ได้รับความยินยอม เว้นแต่ข้อมูลถูกเก็บมาโดยฐานยกเว้นใน มาตรา 24 หรือ มาตรา 26
ข้อจำกัดของผู้รับข้อมูล (วรรค 2): บุคคล/นิติบุคคลที่ได้รับข้อมูลต้อง:
- ไม่ใช้/เปิดเผยเพื่อวัตถุประสงค์อื่น
- ผูกพันตามวัตถุประสงค์ที่แจ้งไว้กับผู้ควบคุมข้อมูลตอนขอข้อมูล
- หลัก จำกัดวัตถุประสงค์ — วัตถุประสงค์ของผู้รับขยายเพิ่มเองไม่ได้
หน้าที่บันทึก (วรรค 3): กรณีใช้/เปิดเผยโดยฐานยกเว้น ผู้ควบคุมต้องบันทึกใน ROPA (รายการกิจกรรมประมวลผลตาม มาตรา 39)

มาตราที่อ้างอิง

มาตรา 24 — ฐานในการเก็บรวบรวมข้อมูลทั่วไป (วรรค 1 อ้างฐานที่อนุญาตให้เก็บโดยไม่ต้องขอความยินยอม → ใช้/เปิดเผยตามฐานเดิม)
มาตรา 26 — ฐานในการเก็บข้อมูลอ่อนไหว (เช่นเดียวกับมาตรา 24 แต่สำหรับข้อมูลอ่อนไหว)
มาตรา 39 — บันทึกรายการกิจกรรมประมวลผล (ROPA)

หมายเหตุ

โครงสร้างของ "วงจรชีวิตข้อมูล" ใน PDPA:
- เก็บรวบรวม: มาตรา 24 (ทั่วไป) + มาตรา 26 (อ่อนไหว)
- ใช้/เปิดเผย: มาตรานี้ — ใช้ฐานที่อ้างถึงตอนเก็บได้
- โอนต่างประเทศ: มาตรา 28 - มาตรา 29
เทียบ GDPR: สอดคล้องกับ Article 5(1)(b) (จำกัดวัตถุประสงค์) + Article 6 (ความชอบด้วยกฎหมายของการประมวลผล)
ข้อสังเกตของ ROPA (วรรค 3):
- บังคับเฉพาะกรณีใช้ฐานยกเว้น (ไม่ขอความยินยอม)
- การใช้ที่มีความยินยอม ก็ควรบันทึก ROPA แต่ไม่ใช่ตามมาตรานี้ (แต่เพราะ มาตรา 39 เอง)
ผู้รับข้อมูลผูกพันการจำกัดวัตถุประสงค์:
- กรณีบริษัทแบ่งข้อมูลให้ผู้ให้บริการภายนอก — ผู้ให้บริการต้องปฏิบัติตามวัตถุประสงค์เดิม
- กรณีถ่ายโอนข้อมูลภายในกลุ่มบริษัท — บริษัทรับยังต้องปฏิบัติตามวัตถุประสงค์เดิม
กรณีธุรกิจขนาดเล็กที่ต้องระวัง:
- การตลาดผ่านอีเมลใช้ข้อมูลลูกค้าที่เก็บมาเพื่อ "การซื้อสินค้า" → เป็นการใช้นอกวัตถุประสงค์
- รายชื่อลูกค้าให้บริษัทในเครือ → บริษัทในเครือต้องไม่ใช้นอกวัตถุประสงค์เดิม