การประมวลผลข้อมูลส่วนบุคคลบนฐานเพื่อประโยชน์โดยชอบด้วยกฎหมาย

Legitimate interests จะเป็นฐานที่เหมาะสมต่อการนำข้อมูลส่วนบุคคลของผู้อื่นมาประมวลผล โดยกิจกรรมการประมวลผลนั้นเป็นกิจกรรมที่เจ้าของข้อมูลส่วนบุคคลมีความคาดหวังอย่างสมเหตุสมผลว่าจะดำเนินการเช่นนั้น

CAP & CORP FORUM

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 ได้กำหนดฐานความชอบด้วยกฎหมาย (lawful basis) ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (“ประมวลผลข้อมูลส่วนบุคคล”) ของบุคคลอื่นไว้ 7 ฐานด้วยกัน และตามกฎหมายการที่บุคคลหรือองค์กรใดองค์กรหนึ่งจะดำเนินการประมวลผลข้อมูลส่วนบุคคลของผู้อื่นได้นั้น ต้องมีฐานความชอบด้วยกฎหมายในการประมวลผลข้อมูลส่วนบุคคลฐานใดฐานหนึ่งตามที่พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนด

ในบทความนี้ผู้เขียนจะขอนำฐานความชอบด้วยกฎหมาย “ฐานเพื่อประโยชน์โดยชอบด้วยกฎหมาย” หรือ “legitimate interests” ซึ่งถือว่าเป็นฐานหนึ่งในบรรดา 7 ฐานในการประมวลผลข้อมูลส่วนบุคคลที่ค่อนข้างยืดหยุ่น สามารถนำไปปรับใช้ได้ในประเภทกิจกรรมการประมวลผลข้อมูลที่หลากหลาย แต่ในขณะเดียวกันก็มีความซับซ้อนในการตีความและมีความเสี่ยงสูงต่อการที่จะทำให้การประมวลผลข้อมูลส่วนบุคคลในกิจกรรมนั้น ๆ เป็นการประมวลผลข้อมูลส่วนบุคคลที่ละเมิดต่อกฎหมายและสิทธิของเจ้าของข้อมูลส่วนบุคคลเช่นกัน โดย “ฐานเพื่อประโยชน์โดยชอบด้วยกฎหมาย” บัญญัติไว้ในในพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 24 (5) ดังนี้

เป็นความจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

จากบทบัญญัติข้างต้น ในทางปฏิบัติปัญหาจึงมีอยู่ว่า การประมวลผลกรณีใดจึงจะถือได้ว่ามีความจำเป็น และกรณีใดบ้างที่จะอ้างได้ว่าความจำเป็นนั้นมีประโยชน์ที่สำคัญ​กว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ซึ่งต้องการการชั่งประโยชน์และวิเคราะห์การขัดกันแห่งสิทธิ

เมื่อใดบ้างที่จะสามารถอ้างฐานเพื่อประโยชน์โดยชอบด้วยกฎหมาย

Legitimate interests จะเป็นฐานที่เหมาะสมต่อการนำข้อมูลส่วนบุคคลของผู้อื่นมาประมวลผล โดยกิจกรรมการประมวลผลนั้นเป็นกิจกรรมที่เจ้าของข้อมูลส่วนบุคคลมีความคาดหวังอย่างสมเหตุสมผลว่าจะดำเนินการเช่นนั้น และการประมวลผลดังกล่าวมีผลกระทบต่อความเป็นส่วนตัวเพียงเล็กน้อย ตัวอย่างเช่นบริษัทอาจมีการถ่ายภาพของพนักงานในขณะทำกิจกรรม CSR ร่วมกันและนำมาใช้ในการประชาสัมพันธ์ให้บุคคลทั่วไปได้ทราบถึงการดำเนินกิจกรรมในองค์กรเป็นต้น ทั้งนี้ในการอ้างฐานความชอบด้วยกฎหมายดังกล่าวกิจกรรมประมวลผลนั้น ๆ จำต้องใช้ข้อมูลส่วนบุคคลอย่างได้สัดส่วน (proportionate) และไม่เป็นการขัดกับสิ่งที่บุคคลทั่วไปพึงจะเล็งเห็น หรือคาดหวังได้ หรือหากทราบถึงการประมวลผลดังกล่าว บุคคลทั่วไปมีแนวโน้มที่จะไม่ปฏิเสธหรือมีข้อโต้แย้งต่อการดำเนินการประมวลผลในกิจกรรมนั้น ๆ

ในกรณีที่มีความจำเป็นที่จะต้องเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม ก็สามารถอ้างฐานความชอบด้วยกฎหมายฐานนี้ได้เช่นกัน หากพิจารณาแล้วเห็นถึงความจำเป็นว่าบุคคลที่เป็นผู้รับโอนข้อมูลส่วนบุคคลนั้น ๆ ไปแล้วมีเหตุผลเพียงพอว่าทำไมถึงต้องการข้อมูลส่วนบุคคลนั้น และจะนำข้อมูลส่วนบุคคลที่ได้ไปใช้เพื่ออะไร อย่างไรก็ตามการนำข้อมูลส่วนบุคคลที่ได้จากการเปิดเผยโดยอาศัยฐานเพื่อประโยชน์โดยชอบด้วยกฎหมายไปประมวลผลต่อ ไม่ได้หมายความว่าผู้ที่นำข้อมูลส่วนบุคคลที่ได้รับไปประมวลผลต่อจะสามารถประมวลผลข้อมูลที่ได้ด้วยฐานความชอบด้วยกฎหมายเดียวกัน ดังนั้นจึงมีความจำเป็นอย่างยิ่งที่ผู้ที่ได้รับข้อมูลไปใช้ในการประมวลผลต้องทบทวนอีกครั้งว่าตนมีฐานความชอบด้วยกฎหมายใดเพื่อการประมวลผลข้อมูลนั้น ๆ หรือไม่

สำหรับกรณีที่ผู้ควบคุมข้อมูลเป็นหน่วยงานของรัฐที่ประมวลผลข้อมูลส่วนบุคคลโดยอาศัยฐาน “ภารกิจหน้าที่ของรัฐ” ​(public task) ก็อาจนำฐานความชอบด้วยกฎหมายฐานนี้มาใช้ในการประมวลผลข้อมูลส่วนบุคคลได้เช่นกันในบางกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่อาจอยู่นอกขอบเขตของฐานภารกิจของรัฐ​ได้

หลักในการประเมินความได้สัดส่วนของการใช้ฐานเพื่อประโยชน์โดยชอบด้วยกฎหมาย

UK Information Commissioner’s Office (ICO) ได้เสนอแนวทางในการประเมินการนำฐานดังกล่าวมาใช้ในการประมวลผล หรือ Legitimate Interest Assessment (LIA) เพื่อช่วยให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถประเมินว่าการประมวลผลข้อมูลส่วนบุคคลของตนโดยอาศัยฐานเพื่อประโยชน์โดยชอบด้วยกฎหมายนั้นเป็นไปอย่างถูกต้องและได้สัดส่วนหรือไม่ โดยอาจแยกพิจารณาเป็น 3 องค์ประกอบหลัก (three-part-test) ได้แก่ (1) การตรวจสอบวัตถุประสงค์ (purpose test) (2) การตรวจสอบความจำเป็น (necessity test) และ (3) การตรวจสอบความสมดุลแห่งสิทธิ (balancing test) โดยมีรายละเอียด ดังนี้

1.การระบุประโยชน์โดยชอบด้วยกฎหมาย (Purpose test)

  1. ทำไมถึงต้องการประมวลผลข้อมูลส่วนบุคคลนี้และเพื่อบรรลุวัตถุประสงค์อะไร
  2. จะได้ประโยชน์อะไรจากการประมวลผลข้อมูลส่วนบุคคลนี้
  3. การประมวลผลข้อมูลส่วนบุคคลนี้จะก่อให้เกิดประโยชน์แก่บุคคลอื่น ๆ เพิ่มขึ้นหรือไม่
  4. ประโยชน์ที่ได้รับจากการประมวลผลข้อมูลส่วนบุคคลนั้นสำคัญอย่างไร
  5. อะไรคือผลกระทบต่อการที่จะไม่ดำเนินกิจกรรมการประมวลผลข้อมูลส่วนบุคคลนี้
  6. มีความเป็นไปได้ที่จะใช้ข้อมูลส่วนบุคคลในทางที่ขัดต่อกฎหมายหรือจริยธรรมไม่ว่าในทางตรงหรือทางอ้อมหรือไม่

2.การประมวลนั้นมีความจำเป็นต่อการบรรลุประโยชน์ดังกล่าว (Necessity test)

  1. กิจกรรมการประมวลผลข้อมูลส่วนบุคคลนี้สามารถทำให้บรรลุประโยชน์และวัตถุประสงค์ตามข้อ 1. หรือไม่
  2. กิจกรรมการประมวลผลข้อมูลส่วนบุคคลนี้เป็นกิจกรรมที่ถูกออกแบบอย่างสมเหตุสมผลและเหมาะสมแล้วหรือไม่
  3. มีกิจกรรมการประมวลผลข้อมูลส่วนบุคคลในรูปแบบอื่นที่ให้ผลลัพธ์เช่นเดียวกันแต่กระทบหรือรบกวนต่อสิทธิของเจ้าของข้อมูลส่วนบุคคลน้อยกว่านี้หรือไม่

3.ความสมดุลและได้สัดส่วนกับผลประโยชน์และเสรีภาพของบุคคล (Balancing test)

  1. รูปแบบความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับเจ้าของข้อมูลส่วนบุคคลอยู่ในรูปแบบใด เช่นนายจ้าง-ลูกจ้าง หรือ คู่สัญญา ฯลฯ
  2. ข้อมูลส่วนบุคคลที่ใช้มีข้อมูลใดเป็นข้อมูลอ่อนไหว (sensitive data) หรือข้อมูลของผู้เยาว์ หรือไม่
  3. การใช้ข้อมูลในลักษณะที่ดำเนินการเป็นที่คาดเห็นหรือเข้าใจได้ของบุคคลทั่วไปหรือไม่
  4. ผู้ควบคุมข้อมูลส่วนบุคคลสามารถชี้แจงรายละเอียดการประมวลผลต่อเจ้าของข้อมูลส่วนบุคคลหรือไม่
  5. กิจกรรมประมวลผลข้อมูลส่วนบุคคลนั้น ๆ มีโอกาสถูกมองว่าเป็นการละเมิดสิทธิหรือก้าวล่วงสิทธิของบุคคลหรืออาจถูกต่อต้านหรือคัดค้านจากบุคคลทั่วไปหรือไม่
  6. ผลกระทบที่อาจเกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคลมีอะไรบ้าง
  7. ผลกระทบที่คาดว่าร้ายแรงที่สุดที่อาจเกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคลคืออะไร
  8. มีการเตรียมมาตรการเพื่อจำกัดหรือลดผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลอย่างไร
  9. มีช่องทางให้เจ้าของข้อมูลส่วนบุคคลสามารถดำเนินการขอใช้สิทธิของตนตามกฎหมายในฐานะของเจ้าของข้อมูลส่วนบุคคลได้หรือไม่

ผู้เขียนหวังว่า Legitimate Interest Assessment ข้างต้น น่าจะพอเป็นแนวทางในการปรับใช้ฐานเพื่อประโยชน์โดยชอบด้วยกฎหมายในการประมวลผลข้อมูลส่วนบุคคลได้ในระดับหนึ่ง และสุดท้ายต้องไม่ลืมด้วยว่าแต่ละฐานที่ใช้ในการประมวลผลข้อมูลก็อาจจะตามมาด้วยสิทธิและหน้าที่ของเจ้าของข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลที่แตกต่างกัน อาทิ ในกรณีนี้เจ้าของข้อมูลส่วนบุคคลไม่อาจใช้สิทธิเพิกถอนความยินยอมได้ เป็นต้น

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Max Planck Institute Luxembourg

ชิโนภาส อุดมผล

Optimum Solution Defined (OSD)