]

t-reg PDPA Platform

ข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคล คืออะไร, และมีอะไรบ้างที่องค์กรจะต้องรู้!

เนื้อหาในบทความ

  1. ชื่อ (Name)​
  2. เลขที่บัญชีธนาคาร (Bank Account)
  3. ที่อยู่ (Location)​
  4. บัตรประชาชน (Citizen ID)​
  5. บัตรเครดิต (Credit Card Number)​
  6. เบอร์โทรศัพท์ (Phone number)​

“ซึ่งเราจะนิยามคำว่า ข้อมูลส่วนบุคคลได้ยังไง ที่สอดคล้องกับ กฎหมาย PDPA ซึ่งในบางชนิดก็จะขึ้นอยู่กับบริบทของข้อมูลด้วย”

ตัวอย่าง: timeline covid ซึ่ง ถ้าเรามองแค่ตัวพิกัด latitude หรือ longitude ตามแผนที่ เราอาจจะพบว่าจะไม่ใช่ข้อมูลส่วนบุคคลเพราะมันเป็นแค่ข้อมูลที่บอกตำแหน่ง แต่ถ้าเป็นที่อยู่ ตั้งแต่ 8.00 โมงเช้า จนถึง 5 โมงเย็น ของคนๆนึงตลอด 1 สัปดาห์ เราก็จะเห็นแล้วใช่ไหมครับว่าเราสามารถนำข้อมูลมาเรียงต่อกันเป็นข้อมูลส่วนบุคคลของคนๆนั้นได้ ว่า เขาไปไหน ทำอะไรที่ไหนบ้าง ​ซึ่งสามารถระบุตัวตนคนที่มีกิจวัตรประจำวันของเขาได้นั้นเอง

ตัวอย่าง: เรามีที่อยู่ของคนอื่นที่มีสมาชิกครอบครัว 10 คน แต่ถ้าที่อยู่ที่เรามีนั้นมีบริบทของข้อมูลเพิ่มเติม เช่น เพศ น้ำหนัก ส่วนสูง เราก็อาจจะพอระบุตัวตนได้ว่า ข้อมูลชุดนี้หมายถึงใคร เพราะว่าคนในบ้านนี้อาจจะมีคนที่มี น้ำหนัก ส่วนสูง อยู่แค่คนเดียวในบ้านก็ได้​

​เพราะฉะนั้น เวลาเราจะนิยามข้อมูลว่า เป็นข้อมูลส่วนบุคคลหรือไม่ อาจจะต้องดูบริบทแวดล้อมของข้อมูลด้วย ว่าสามารถติดตามไปยัง เจ้าของข้อมูล (data subject) ได้หรือป่าว​

ข้อมูลส่วนบุคคล ที่มีความอ่อนไหว (Sensitive Data) คือ, มีอะไรบ้าง?

  1. ข้อมูลลายนิ้วมือหรือข้อมูลใบหน้า (Biometric data)​
  2. ​ศาสนา (Religious)​
  3. ​ข้อมูลสุขภาพ (Health)​
  4. ​รสนิยมทางเพศ (Sexual orientation)​
  5. ​ความคิดเห็นทางการเมือง (Political opinions)​
  6. ​ข้อมูลทางพันธุกรรม (Genetic data)​

“ซึ่งผมจะนิยามออกมาเป็น 2 แบบ สำหรับข้อมูลอ่อนไหว”

  1. เป็นข้อมูลที่เปลี่ยนยาก หรือ เปลี่ยนไม่ได้ เช่น ข้อมูลลายนิ้วมือ (Biometric data) หรือ ข้อมูลใบหน้า (Face Recognized) ที่เราใช้ในการปลดล็อค smartphone เนี่ยแหละครับ ​
    ตัวอย่าง: ผมเก็บข้อมูลลายนิ้วมือไว้กับบริษัทในการ scan ทำธุรกรรมต่าง ๆ โดยใช้นิ้วโป้งขวา แต่ปรากฏว่าบริษัทนั้นทำข้อมูลของผมรั่วไหลออกไปในโลกออนไลน์หรือสาธารณะ แปลว่า ในชีวิตผมต่อไปจะไม่สามารถใช้นิ้วโป้งขวาในการยืนยันตัวตนหรือทำธุรกรรมในโลกออนไลน์ได้อีกเลย ผมอาจจะต้องใช้ลายนิ้วมืออื่นแทน เพราะผมไม่สามารถเปลี่ยนลายนิ้วมือตัวเองได้นั่นเอง​ ​
  2. เป็นข้อมูลที่จะทำให้เกิดอคติในสังคม ​ซึ่งจะเป็นข้อมูลที่จะทำให้เกิดความลำเอียง (bias) อาจจะทำให้เจ้าของข้อมูลนั้นสูญเสียโอกาสในการดำเนินชีวิตไป​ เช่น​ ​ความคิดเห็นทางการเมือง, รสนิยมทางเพศ, ศาสนา
    ตัวอย่าง:ผมอาจจะไปสมัครงานกับบริษัทที่มีความซีเรียสกับศาสนาที่นับถือ หรือ เรื่องของพฤติกรรมทางเพศบางอย่างที่พอเวลาข้อมูลของเราหลุดไปแล้ว จะทำให้เจ้าของข้อมูลเกิดความขัดแย้งกับคนอื่น ๆในสังคมได้​

ข้อมูลส่วนบุคคล กับ ข้อมูลส่วนบุคคลที่มีความอ่อนไหวต่างกันอย่างไร?

สิ่งที่เหมือนกัน: องค์กร (ผู้ควบคุมข้อมูล)จะต้องมีการขอ  ความยินยอม (consent) และ วัตถุประสงค์กับเจ้าของข้อมูลให้ชัดเจนก่อนที่จะนำข้อมูลที่ได้มาไปใช้ หรือ เปิดเผย และเจ้าของข้อมูลมีสิทธิในการขอ แก้ไข, เปลี่ยนแปลง, ลบ ได้ทุกเมื่อ

สิ่งที่ต่างกัน: ข้อยกเว้นทางกฎหมายกับโทษที่จะได้รับนั้นแตกต่างกันซึ่งข้อมูลอ่อนไหวนั้นจะยกเว้นได้ยากกว่าและมีโทษที่หนักกว่ามากกว่าข้อมูลส่วนบุคคลที่ไม่มีความอ่อนไหว

คำแนะนำสำหรับองค์กรที่เก็บข้อมูลส่วนบุคคลอ่อนไหว

สำหรับองค์กรที่มีการเก็บข้อมูลส่วนบุคคลหรือข้อมูลอ่อนไหว เราต้องมาดูด้วยว่า เราเก็บข้อมูลอะไรมากกว่ากัน ถ้าเป็นข้อมูลอ่อนไหว จำเป็นหรือไม่ในการเก็บ ส่วนตัวผมมองว่า ถ้าข้อมูลนั้นไม่จำเป็น ผมก็แนะนำให้ตัดออกหรือว่าลบทิ้งจากฐานข้อมูลไปเพื่อลดความเสี่ยงในการเก็บข้อมูลขององค์กร ยิ่งไปกว่านั้นการทำบันทึกกิจกรรมข้อมูลส่วนบุคคล (ROPA) ก็สำคัญ ว่า เราขอความยินยอม และ วัตถุระสงค์กับเจ้าของข้อมูลหรือยัง เพราะเวลา audit มาตรวจ จะเริ่มจากการดู (ROPA) นั่นเองครับ

FREE EVENT

ร่วมฟังแนวทางเปลี่ยนความท้าทาย ให้กลายเป็นโอกาส ด้วยไกด์ไลน์การทำโครงการ PDPA ควบคู่กับ Digital Transformation โดย ผู้เชี่ยวชาญด้านเทคโนโลยี และกฎหมาย PDPA จาก t-reg พบกับผู้เชี่ยวชาญของ t-reg PDPA Platform ที่ให้คำปรึกษาพร้อมเทคโนโลยี ในการพาองค์กรชั้นนำของประเทศไทยมามากกว่า 50 องค์กร สำเร็จโครงการ PDPA แบบยั่งยืน

ร่วมฟังแนวทางที่ท่านจะได้รับทราบข้อมูลอัพเดทเกี่ยวกับตัวกฎหมาย และแนวทางการตรวจสอบในเชิง Audit ว่าองค์กรของท่านนั้นยังคงรักษามาตรการการคุ้มครองข้อมูลส่วนบุคคลได้เป็นอย่างดีหรือไม่ กฎหมายที่ออกเพิ่มเติมมาส่งผลต่อท่านอย่างไร และกระบวนการ Audit ที่เข้มข้น

RELATED POST
ข้อมูลส่วนบุคคล ลูกเสือ
t-reg news

ข้อมูลส่วนบุคคล ของลูกเสือยังโดนขโมย

จงเตรียมพร้อม ไม่ได้ใช้เพื่อปฏิญาณในฐานะลูกเสือแค่นั้น แต่ CyberSecurity ก็ใช้ด้วย เพราะล่าสุด ข้อมูลส่วนบุคคล รั่วไหลเกิดกับเหล่า Scout แล้ว

อ่านต่อ »
Consent คือ
Case Study

Lesson Learn จาก Google Consent สำคัญแค่ไหน? ทำไมบริษัทใหญ่ๆ มักตกหลุมพราง Consent

Consent คือ พื้นฐานของกฎหมาย GDPR กฎหมาย PDPA และกฎหมายคุ้มครองข้อมูลอื่น ๆ  ซึ่งดูเป็นเรื่องที่ไม่ซับซ้อนเท่ากับขั้นตอนอื่น

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่