7 Lawful Basis for Processing พื้นฐานทางกฎหมายสำหรับการประมวลผล

1. ฐานความยินยอม (Consent)
กรณีที่เจ้าของข้อมูลสมัครใจ ยินยอมให้ผู้ควบคุมข้อมูลประมวลผลได้ โดยหากต้องการใช้ความยินยอมเป็นฐาน
ในการประมวลผล ผู้ควบคุมข้อมูลจะต้องขอความยินยอมจากเจ้าของข้อมูลให้ยอมรับหรืออนุญาตให้มีการประมวลผล
ข้อมูลส่วนบุคคลนั้นๆ โดยต้องเป็นสถานการณ์ที่เจ้าของข้อมูลสามารถเลือกที่จะปฏิเสธได้ และหากเจ้าของข้อมูลเลือกที่จะ
ปฏิเสธผู้ควบคุมข้อมูลก็ไม่สามารถประมวลผลข้อมูลได้

2. ฐานพันธะสัญญา (Contract)
กรณีที่การประมวลผลข้อมูลจำเป็นต่อการให้บริการตามสัญญาที่ตกลงกันไว้ระหว่างผู้ควบคุมข้อมูลและเจ้าของข้อมูล
หรือเมื่อจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลเพื่อปฏิบัติตามคำขอของเจ้าของข้อมูลก่อนที่จะเข้าสู่การทำสัญญา
หากใช้สัญญาดังกล่าวเป็นฐานในการประมวลผลแล้วก็ไม่ต้องขอความยินยอมเพิ่มเติม ฐานนี้ใช้ได้กับข้อมูลส่วนบุคคล
ทั่วไปเท่านั้น ไม่สามารถใช้กับข้อมูลอ่อนไหว (sensitive data) ได้

3. ฐานหน้าที่ผูกมัดตามกฎหมาย (Legal Obligation)
กรณีการประมวลผลข้อมูลจำเป็นต่อการปฏิบัติหน้าที่ที่ผู้ควบคุมข้อมูลนั้นมีตามที่กฎหมายกำหนด ผู้ควบคุมข้อมูล จะต้อง
ระบุได้อย่างชัดเจนว่ากำลังปฏิบัติหน้าที่ตามบทบัญญัติใดของกฎหมาย หรือทำตามคำสั่งของหน่วยงานใดของรัฐที่มีอำนาจ

4. ฐานประโยชน์ที่สำคัญแห่งชีวิต (Vital Interests)
กรณีที่การประมวลผลข้อมูลมีความจำเป็นต่อการปกป้องประโยชน์สำคัญของเจ้าของข้อมูลหรือบุคคลอื่น เช่น ป้องกันอันตราย
ร้ายแรงอันอาจเกิดต่อสุขภาพและชีวิตด้วยการประมวลผลข้อมูลสุขภาพหรือข้อมูลอ่อนไหว (sensitive data) ผู้ประกอบการ
จะสามารถใช้ฐานนี้ในการประมวลผลได้เฉพาะในกรณีที่เจ้าของข้อมูลอยู่ในสภาวะที่ไม่สามารถให้ความยินยอมได้ และไม่มีวิธี
อื่นที่สามารถปกป้องชีวิตบุคคลอื่นโดยไม่ต้องประมวลผลข้อมูลนี้แล้ว

5. ฐานภารกิจของรัฐ (Public Interest)
กรณีที่การประมวลผลข้อมูลจำเป็นต่อการดำเนินงานตามภารกิจของรัฐเพื่อประโยชน์สาธารณะที่กำหนดไว้ตามกฎหมาย
ผู้ที่จะประมวลผลข้อมูลตามฐานนี้ได้มักเป็นเจ้าหน้าที่หรือองค์กรของรัฐ ที่ปฏิบัติภารกิจตามกฎหมาย รวมถึงหน่วยงานเอกชน
ที่ปฏิบัติหน้าที่ในการใช้อำนาจที่รัฐได้มอบหมายให้เพื่อผลประโยชน์สาธารณะตามกฎหมาย โดยอำนาจหน้าที่อันเป็นที่มา
ของภารกิจจะต้องมีความชัดเจนโดยสามารถอ้างอิงถึงกฎหมายที่ให้อำนาจได้อย่างเฉพาะเจาะจง

6. ฐานประโยชน์อันชอบธรรม (Legitimate Interests)
ผู้ประกอบการอาจประมวลผลข้อมูลส่วนบุคคลในกรณีที่จำเป็นต่อการดำเนินการเพื่อประโยชน์อันชอบธรรมของผู้ควบคุม
ข้อมูลและบุคคลอื่น โดยไม่เกินขอบเขตที่เจ้าของข้อมูลสามารถคาดหมายได้อย่างสมเหตุสมผล เช่น การป้องกัน
อาชญากรรมและการฉ้อโกง การส่งต่อในเครือบริษัทเพื่อการบริหารจัดการภายในองค์กรที่ไม่รวมการส่งไปต่างประเทศ
การรักษาความปลอดภัยของระบบและเครือข่าย การช่วยเหลือเจ้าหน้าที่รัฐในการปฏิบัติภารกิจในลักษณะที่ไม่ขัดกับหน้าที่
ในการรักษาความลับ การปฏิบัติตามกฎหมายของต่างประเทศที่จำเป็น เป็นต้น

7. ฐานจดหมายเหตุ/วิจัย/สถิติ (Archives/Research/Statistic)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดฐานในการประมวลผลข้อมูลหนึ่งที่แตกต่างไปจากกฎหมายของ
ประเทศอื่นรวมถึง GDPR คือการจัดทำเอกสารประวัติศาสตร์จดหมายเหตุ และการศึกษาวิจัยและสถิต ดังนั้นใน GDPR
จึงกำหนดให้ต้องอ้างฐานใดฐานหนึ่งใน 6 ฐานที่กล่าวมาก่อนหน้านี้ประกอบด้วยเสมอ