“วันที่ 1 มิถุนายน 2565 กฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA จะมีการบังคับใช้อย่างเต็มรูปแบบ”
- ชื่อ (Name)
- เลขที่บัญชีธนาคาร (Bank Account)
- ที่อยู่ (Location)
- บัตรประชาชน (Citizen ID)
- บัตรเครดิต (Credit Card Number)
- เบอร์โทรศัพท์ (Phone number)
“ซึ่งเราจะนิยามคำว่า ข้อมูลส่วนบุคคล ได้ยังไง ที่สอดคล้องกับ กฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ซึ่งในบางชนิดก็จะขึ้นอยู่กับบริบทของข้อมูลด้วย”
ตัวอย่าง: timeline covid ซึ่ง ถ้าเรามองแค่ตัวพิกัด latitude หรือ longitude ตามแผนที่ เราอาจจะพบว่าจะไม่ใช่ข้อมูลส่วนบุคคลเพราะมันเป็นแค่ข้อมูลที่บอกตำแหน่ง แต่ถ้าเป็นที่อยู่ ตั้งแต่ 8.00 โมงเช้า จนถึง 5 โมงเย็น ของคนๆนึงตลอด 1 สัปดาห์ เราก็จะเห็นแล้วใช่ไหมครับว่าเราสามารถนำข้อมูลมาเรียงต่อกันเป็น ข้อมูลส่วนบุคคล ของคนๆนั้นได้ ว่า เขาไปไหน ทำอะไรที่ไหนบ้าง ซึ่งสามารถระบุตัวตนคนที่มีกิจวัตรประจำวันของเขาได้นั้นเอง
ตัวอย่าง: เรามีที่อยู่ของคนอื่นที่มีสมาชิกครอบครัว 10 คน แต่ถ้าที่อยู่ที่เรามีนั้นมีบริบทของข้อมูลเพิ่มเติม เช่น เพศ น้ำหนัก ส่วนสูง เป็นต้น เราก็อาจจะพอระบุตัวตนได้ว่า ข้อมูลชุดนี้หมายถึงใคร เพราะว่าคนในบ้านนี้อาจจะมีคนที่มี น้ำหนัก ส่วนสูง อยู่แค่คนเดียวในบ้านก็ได้
เพราะฉะนั้น เวลาเราจะนิยามข้อมูลว่า เป็น ข้อมูลส่วนบุคคล หรือไม่ อาจจะต้องดูบริบทแวดล้อมของข้อมูลด้วย ว่าสามารถติดตามไปยัง เจ้าของข้อมูล (data subject) ได้หรือป่าว
ในบทความนี้เราจะพาทุกท่านมาทำความเข้าใจในเรื่องของ “ข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลอ่อนไหว” กันอย่างละเอียด พร้อมให้คำแนะนำสำหรับองค์กรที่ต้องมีการเก็บข้อมูลส่วนบุคคลอ่อนไหว
ข้อมูลส่วนบุคคล คืออะไร แบ่งออกเป็น 2 ประเภท ได้แก่
ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA : Personal Data Protection Act) “ข้อมูลส่วนบุคคล” หมายถึงข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
ข้อมูลส่วนบุคคล (Personal Data)
ข้อมูลส่วนบุคคลทั่วไป เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล เป็นต้น ซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลทั่วไปจะต้องเก็บเท่าที่จำเป็น และต้องได้รับความยินยอมจากเจ้าของข้อมูล เว้นแต่เข้าข้อยกเว้นตามกฎหมาย
ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data)
เช่น เชื้อชาติ ศาสนา ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ลายนิ้วมือ เป็นต้น ซึ่งมีการควบคุมเข้มงวดกว่าข้อมูลทั่วไป พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล มีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกละเมิดสิทธิความเป็นส่วนตัว ไม่ให้มีการนำข้อมูลไปใช้โดยไม่ได้รับความยินยอม หรือนำไปใช้ในทางมิชอบ โดยกำหนดให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูล และต้องเป็นไปตามวัตถุประสงค์ที่แจ้งไว้กับเจ้าของข้อมูลเท่านั้น
หากต้องการทำความเข้าใจเพิ่มเติมเกี่ยวกับ กฎหมาย PDPA สามารถอ่าน สรุป PDPA ได้ที่ PDPA คืออะไร
ข้อมูลส่วนบุคคล ที่มีความอ่อนไหว (Sensitive Data) คืออะไร มีอะไรบ้าง?
- ข้อมูลลายนิ้วมือหรือข้อมูลใบหน้า (Biometric data)
- ศาสนา (Religious)
- ข้อมูลสุขภาพ (Health)
- รสนิยมทางเพศ (Sexual orientation)
- ความคิดเห็นทางการเมือง (Political opinions)
- ข้อมูลพันธุกรรม (Genetic data)
“ซึ่งผมจะนิยามออกมาเป็น 2 แบบ สำหรับข้อมูลอ่อนไหว”
- เป็นข้อมูลที่เปลี่ยนยาก หรือ เปลี่ยนไม่ได้ เช่น ข้อมูลลายนิ้วมือ (Biometric data) หรือ ข้อมูลใบหน้า (Face Recognized) ที่เราใช้ในการปลดล็อค smartphone เนี่ยแหละครับ
ตัวอย่าง: ผมเก็บข้อมูลลายนิ้วมือไว้กับบริษัทในการ scan ทำธุรกรรมต่าง ๆ โดยใช้นิ้วโป้งขวา แต่ปรากฏว่าบริษัทนั้นทำข้อมูลของผมรั่วไหลออกไปในโลกออนไลน์หรือสาธารณะ แปลว่า ในชีวิตผมต่อไปจะไม่สามารถใช้นิ้วโป้งขวาในการยืนยันตัวตนหรือทำธุรกรรมในโลกออนไลน์ได้อีกเลย ผมอาจจะต้องใช้ลายนิ้วมืออื่นแทน เพราะผมไม่สามารถเปลี่ยนลายนิ้วมือตัวเองได้นั่นเอง - เป็นข้อมูลที่จะทำให้เกิดอคติในสังคม ซึ่งจะเป็นข้อมูลที่จะทำให้เกิดความลำเอียง (bias) อาจจะทำให้เจ้าของข้อมูลนั้นสูญเสียโอกาสในการดำเนินชีวิตไป เช่น ความคิดเห็นทางการเมือง, รสนิยมทางเพศ, ศาสนา
ตัวอย่าง: ผมอาจจะไปสมัครงานกับบริษัทที่มีความซีเรียสกับศาสนาที่นับถือ หรือ เรื่องของพฤติกรรมทางเพศบางอย่างที่พอเวลาข้อมูลของเราหลุดไปแล้ว จะทำให้เจ้าของข้อมูลเกิดความขัดแย้งกับคนอื่น ๆในสังคมได้
ข้อมูลส่วนบุคคล กับ ข้อมูลส่วนบุคคลที่มีความอ่อนไหวต่างกันอย่างไร?
สิ่งที่เหมือนกัน: องค์กร (ผู้ควบคุมข้อมูล หรือ Data Controller ) จะต้องมีการขอ ความยินยอม (consent) และ วัตถุประสงค์กับเจ้าของข้อมูลให้ชัดเจนก่อนที่จะนำข้อมูลที่ได้มาไปใช้ หรือ เปิดเผย และเจ้าของข้อมูลมีสิทธิในการขอ แก้ไข, เปลี่ยนแปลง, ลบ ได้ทุกเมื่อ
สิ่งที่ต่างกัน: ข้อยกเว้นทางกฎหมายกับโทษที่จะได้รับนั้นแตกต่างกันซึ่งข้อมูลอ่อนไหวนั้นจะยกเว้นได้ยากกว่าและมีโทษที่หนักกว่ามากกว่า ข้อมูลส่วนบุคคล ที่ไม่มีความอ่อนไหว
องค์กรจะต้องทำอย่างไรเพื่อปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
เพื่อให้องค์กรปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) องค์กรควรดำเนินการ ดังนี้:
1.ตั้งคณะทำงาน Data Protection เพื่อจัดการข้อมูลให้ถูกต้องตามกฎหมาย
2.จำแนกประเภทข้อมูลส่วนบุคคล (Data Classification) ว่าเป็นข้อมูลส่วนบุคคลทั่วไป หรือข้อมูลส่วนบุคคลที่มีความอ่อนไหว
3.จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) เพื่อแจ้งรายละเอียดการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
4.แจ้งนโยบายความเป็นส่วนตัว (Privacy Notice) ให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
5.บันทึกกิจกรรมการประมวลผลข้อมูล (ROPA) เพื่อเป็นหลักฐานการปฏิบัติตามกฎหมาย
6.ปรับปรุงสัญญากับพนักงาน คู่ค้า ลูกค้า ให้สอดคล้องกับ PDPA
7.ขอความยินยอมจากเจ้าของข้อมูลในการเก็บ ใช้ เปิดเผยข้อมูล โดยต้องแยกออกจากส่วนอื่นอย่างชัดเจน และเจ้าของข้อมูลสามารถถอนความยินยอมได้
8.จัดให้มีระบบจัดการคำขอใช้สิทธิของเจ้าของข้อมูล (Data Subject Rights) เช่น สิทธิขอเข้าถึง แก้ไข ลบ คัดค้าน ระงับการใช้ข้อมูล เป็นต้น
9.แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หากเข้าเกณฑ์ที่กฎหมายกำหนด เช่น เป็นหน่วยงานรัฐ มีการเก็บข้อมูลจำนวนมาก หรือเก็บข้อมูลอ่อนไหว เป็นต้น
ขั้นตอนการเก็บรวบรวม ข้อมูลส่วนบุคคล ตามกฎหมาย PDPA สำหรับองค์กร
1.จัดตั้งคณะทำงานเพื่อจัดการข้อมูลส่วนบุคคล โดยให้ทุกฝ่ายที่เกี่ยวข้องเข้าร่วม เช่น IT, HR, Marketing, Customer Service เป็นต้น
2.จำแนกประเภทข้อมูลส่วนบุคคลที่จะเก็บรวบรวม ว่าเป็นข้อมูลทั่วไปหรือข้อมูลอ่อนไหว
3.กำหนดวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภทให้ชัดเจน
4.ขอความยินยอมจากเจ้าของข้อมูลก่อนหรือขณะเก็บรวบรวมข้อมูล โดยแจ้งวัตถุประสงค์ให้ทราบ ขอเป็นหนังสือหรือผ่านระบบอิเล็กทรอนิกส์ และแยกส่วนจากข้อความอื่นอย่างชัดเจน
5.จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) แจ้งรายละเอียดการเก็บรวบรวม ใช้ เปิดเผยข้อมูล รวมถึงสิทธิของเจ้าของข้อมูล
6.กำหนดระยะเวลาในการเก็บรักษาข้อมูลให้เหมาะสมตามความจำเป็น และทำลายข้อมูลเมื่อพ้นกำหนด
7.จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยโดยมิชอบ
ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งรายละเอียดต่างๆ ให้เจ้าของข้อมูลทราบตามหลักความโปร่งใส และต้องเก็บรวบรวมข้อมูลเท่าที่จำเป็นภายใต้ขอบเขตตามวัตถุประสงค์ที่ได้แจ้งไว้เท่านั้น มิเช่นนั้นอาจมีความผิดตามกฎหมาย PDPA
คำแนะนำสำหรับองค์กรที่เก็บข้อมูลส่วนบุคคลอ่อนไหว
สำหรับองค์กรที่มีการเก็บข้อมูลส่วนบุคคลหรือข้อมูลอ่อนไหว เราต้องมาดูด้วยว่า เราเก็บข้อมูลอะไรมากกว่ากัน ถ้าเป็นข้อมูลอ่อนไหว จำเป็นหรือไม่ในการเก็บ ส่วนตัวผมมองว่า ถ้าข้อมูลนั้นไม่จำเป็น ผมก็แนะนำให้ตัดออกหรือว่าลบทิ้งจากฐานข้อมูลไปเพื่อลดความเสี่ยงในการเก็บข้อมูลขององค์กร ยิ่งไปกว่านั้นการทำบันทึกกิจกรรมข้อมูลส่วนบุคคล (ROPA) ก็สำคัญ ว่า เราขอความยินยอม และ วัตถุระสงค์กับเจ้าของข้อมูลหรือยัง เพราะเวลา audit มาตรวจ จะเริ่มจากการดู ROPA (Records of Processing Activity) นั่นเองครับ
นอกจากนี้ องค์กรต้องหลีกเลี่ยงการกระทำที่ไม่ชอบด้วยกฎหมาย PDPA เช่น เก็บข้อมูลโดยไม่มีฐานทางกฎหมาย, เก็บข้อมูลนานเกินความจำเป็น, นำข้อมูลไปขายต่อ, ใช้ข้อมูลนอกเหนือวัตถุประสงค์ที่แจ้งไว้ ไม่เช่นนั้นอาจมีความผิดและได้รับโทษตามที่กฎหมายกำหนดซึ่งบทลงโทษของ PDPA ก็มีโทษทั้งทางแพ่ง โทษทางอาญา และ โทษทางปกครอง
อ่านรายละเอียดเพิ่มเติมเกี่ยวกับบทลงโทษของ PDPA ได้ ที่นี่
สรุป
โดยสรุปแล้ว ข้อมูลส่วนบุคคล ตามกฎหมาย PDPA แบ่งเป็น 2 ประเภท คือ ข้อมูลส่วนบุคคลทั่วไป และข้อมูลส่วนบุคคลอ่อนไหว ซึ่งข้อมูลอ่อนไหวจะมีความสำคัญและมีผลกระทบต่อเจ้าของข้อมูลมากกว่า เช่น ข้อมูลชีวภาพ ศาสนา สุขภาพ รสนิยมทางเพศ ความคิดเห็นทางการเมือง เป็นต้น ดังนั้น องค์กรที่มีการเก็บข้อมูลส่วนบุคคลโดยเฉพาะข้อมูลอ่อนไหว ต้องปฏิบัติตามขั้นตอนของกฎหมาย PDPA อย่างเคร่งครัด ตั้งแต่การขอความยินยอม กำหนดวัตถุประสงค์ จัดทำนโยบายและมาตรการคุ้มครองข้อมูล ตลอดจนให้สิทธิแก่เจ้าของข้อมูล มิเช่นนั้นอาจมีความผิดและได้รับโทษตามกฎหมาย
ติดตามเนื้อหาใหม่ ๆ ได้ที่ Facebook Fanpage: PDPA Platform By t-reg
หากมีข้อสงสัยเพิ่มเติมเกี่ยวกับการใช้งาน หรือสนใจใช้บริการของ t-reg
โทร 089-698-2591
รับชมบริการของเราได้ที่ t-reg.co
