t-reg PDPA Platform

ข้อมูลส่วนบุคคล คืออะไร, และมีอะไรบ้างที่องค์กรจะต้องรู้!

ข้อมูลส่วนบุคคล

​ข้อมูลส่วนบุคคล คือ ข้อมูลที่สามารถติดต่อไปยังบุคคลนั้นได้ ไม่ว่าจะเป็นทางตรงหรือทางอ้อม เช่น

  1. ชื่อ (Name)​
  2. เลขที่บัญชีธนาคาร (Bank Account)
  3. ที่อยู่ (Location)​
  4. บัตรประชาชน (Citizen ID)​
  5. บัตรเครดิต (Credit Card Number)​
  6. เบอร์โทรศัพท์ (Phone number)​

“ซึ่งเราจะนิยามคำว่า ข้อมูลส่วนบุคคลได้ยังไง ที่สอดคล้องกับ กฎหมาย PDPA ซึ่งในบางชนิดก็จะขึ้นอยู่กับบริบทของข้อมูลด้วย”

ตัวอย่าง: timeline covid ซึ่ง ถ้าเรามองแค่ตัวพิกัด latitude หรือ longitude ตามแผนที่ เราอาจจะพบว่าจะไม่ใช่ข้อมูลส่วนบุคคลเพราะมันเป็นแค่ข้อมูลที่บอกตำแหน่ง แต่ถ้าเป็นที่อยู่ ตั้งแต่ 8.00 โมงเช้า จนถึง 5 โมงเย็น ของคนๆนึงตลอด 1 สัปดาห์ เราก็จะเห็นแล้วใช่ไหมครับว่าเราสามารถนำข้อมูลมาเรียงต่อกันเป็นข้อมูลส่วนบุคคลของคนๆนั้นได้ ว่า เขาไปไหน ทำอะไรที่ไหนบ้าง ​ซึ่งสามารถระบุตัวตนคนที่มีกิจวัตรประจำวันของเขาได้นั้นเอง

ตัวอย่าง: เรามีที่อยู่ของคนอื่นที่มีสมาชิกครอบครัว 10 คน แต่ถ้าที่อยู่ที่เรามีนั้นมีบริบทของข้อมูลเพิ่มเติม เช่น เพศ น้ำหนัก ส่วนสูง เราก็อาจจะพอระบุตัวตนได้ว่า ข้อมูลชุดนี้หมายถึงใคร เพราะว่าคนในบ้านนี้อาจจะมีคนที่มี น้ำหนัก ส่วนสูง อยู่แค่คนเดียวในบ้านก็ได้​

​เพราะฉะนั้น เวลาเราจะนิยามข้อมูลว่า เป็นข้อมูลส่วนบุคคลหรือไม่ อาจจะต้องดูบริบทแวดล้อมของข้อมูลด้วย ว่าสามารถติดตามไปยัง เจ้าของข้อมูล (data subject) ได้หรือป่าว​

ข้อมูลส่วนบุคคล ที่มีความอ่อนไหว (Sensitive Data) คือ, มีอะไรบ้าง?

  1. ข้อมูลลายนิ้วมือหรือข้อมูลใบหน้า (Biometric data)​
  2. ​ศาสนา (Religious)​
  3. ​ข้อมูลสุขภาพ (Health)​
  4. ​รสนิยมทางเพศ (Sexual orientation)​
  5. ​ความคิดเห็นทางการเมือง (Political opinions)​
  6. ​ข้อมูลทางพันธุกรรม (Genetic data)​

“ซึ่งผมจะนิยามอกมาเป็น 2 แบบ สำหรับข้อมูลอ่อนไหว”

  1. เป็นข้อมูลที่เปลี่ยนยาก หรือ เปลี่ยนไม่ได้ เช่น ข้อมูลลายนิ้วมือ (Biometric data) หรือ ข้อมูลใบหน้า (Face Recognized) ที่เราใช้ในการปลดล็อค smartphone เนี่ยแหละครับ ​
    ตัวอย่าง: ผมเก็บข้อมูลลายนิ้วมือไว้กับบริษัทในการ scan ทำธุรกรรมต่าง ๆ โดยใช้นิ้วโป้งขวา แต่ปรากฏว่าบริษัทนั้นทำข้อมูลของผมรั่วไหลออกไปในโลกออนไลน์หรือสาธารณะ แปลว่า ในชีวิตผมต่อไปจะไม่สามารถใช้นิ้วโป้งขวาในการยืนยันตัวตนหรือทำธุรกรรมในโลกออนไลน์ได้อีกเลย ผมอาจจะต้องใช้ลายนิ้วมืออื่นแทน เพราะผมไม่สามารถเปลี่ยนลายนิ้วมือตัวเองได้นั่นเอง​ ​

  2. เป็นข้อมูลที่จะทำให้เกิดอคติในสังคม ​ซึ่งจะเป็นข้อมูลที่จะทำให้เกิดความลำเอียง (bias) อาจจะทำให้เจ้าของข้อมูลนั้นสูญเสียโอกาสในการดำเนินชีวิตไป​ เช่น​ ​ความคิดเห็นทางการเมือง, รสนิยมทางเพศ, ศาสนา
    ตัวอย่าง:ผมอาจจะไปสมัครงานกับบริษัทที่มีความซีเรียสกับศาสนาที่นับถือ หรือ เรื่องของพฤติกรรมทางเพศบางอย่างที่พอเวลาข้อมูลของเราหลุดไปแล้ว จะทำให้เจ้าของข้อมูลเกิดความขัดแย้งกับคนอื่น ๆในสังคมได้​

ข้อมูลส่วนบุคคล กับ ข้อมูลส่วนบุคคลที่มีความอ่อนไหวต่างกันอย่างไร?

สิ่งที่เหมือนกัน: องค์กร (ผู้ควบคุมข้อมูล)จะต้องมีการขอ  ความยินยอม (consent) และ วัตถุประสงค์กับเจ้าของข้อมูลให้ชัดเจนก่อนที่จะนำข้อมูลที่ได้มาไปใช้ หรือ เปิดเผย และเจ้าของข้อมูลมีสิทธิในการขอ แก้ไข, เปลี่ยนแปลง, ลบ ได้ทุกเมื่อ

สิ่งที่ต่างกัน: ข้อยกเว้นทางกฎหมายกับโทษที่จะได้รับนั้นแตกต่างกันซึ่งข้อมูลอ่อนไหวนั้นจะยกเว้นได้ยากกว่าและมีโทษที่หนักกว่ามากกว่าข้อมูลส่วนบุคคลที่ไม่มีความอ่อนไหว

คำแนะนำสำหรับองค์กรที่เก็บข้อมูลส่วนบุคคลอ่อนไหว

สำหรับองค์กรที่มีการเก็บข้อมูลส่วนบุคคลหรือข้อมูลอ่อนไหว เราต้องมาดูด้วยว่า เราเก็บข้อมูลอะไรมากกว่ากัน ถ้าเป็นข้อมูลอ่อนไหว จำเป็นหรือไม่ในการเก็บ ส่วนตัวผมมองว่า ถ้าข้อมูลนั้นไม่จำเป็น ผมก็แนะนำให้ตัดออกหรือว่าลบทิ้งจากฐานข้อมูลไปเพื่อลดความเสี่ยงในการเก็บข้อมูลขององค์กร ยิ่งไปกว่านั้นการทำบันทึกกิจกรรมข้อมูลส่วนบุคคล (ROPA) ก็สำคัญ ว่า เราขอความยินยอม และ วัตถุระสงค์กับเจ้าของข้อมูลหรือยัง เพราะเวลา audit มาตรวจ จะเริ่มจากการดู (ROPA) นั่นเองครับ

Share this post with your friends

Share on facebook
Share on google
Share on twitter
Share on linkedin

Recent Post