]

t-reg PDPA Platform

ข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคล คืออะไร, และมีอะไรบ้างที่องค์กรจะต้องรู้!

เนื้อหาในบทความ

  1. ชื่อ (Name)​
  2. เลขที่บัญชีธนาคาร (Bank Account)
  3. ที่อยู่ (Location)​
  4. บัตรประชาชน (Citizen ID)​
  5. บัตรเครดิต (Credit Card Number)​
  6. เบอร์โทรศัพท์ (Phone number)​

“ซึ่งเราจะนิยามคำว่า ข้อมูลส่วนบุคคลได้ยังไง ที่สอดคล้องกับ กฎหมาย PDPA ซึ่งในบางชนิดก็จะขึ้นอยู่กับบริบทของข้อมูลด้วย”

ตัวอย่าง: timeline covid ซึ่ง ถ้าเรามองแค่ตัวพิกัด latitude หรือ longitude ตามแผนที่ เราอาจจะพบว่าจะไม่ใช่ข้อมูลส่วนบุคคลเพราะมันเป็นแค่ข้อมูลที่บอกตำแหน่ง แต่ถ้าเป็นที่อยู่ ตั้งแต่ 8.00 โมงเช้า จนถึง 5 โมงเย็น ของคนๆนึงตลอด 1 สัปดาห์ เราก็จะเห็นแล้วใช่ไหมครับว่าเราสามารถนำข้อมูลมาเรียงต่อกันเป็นข้อมูลส่วนบุคคลของคนๆนั้นได้ ว่า เขาไปไหน ทำอะไรที่ไหนบ้าง ​ซึ่งสามารถระบุตัวตนคนที่มีกิจวัตรประจำวันของเขาได้นั้นเอง

ตัวอย่าง: เรามีที่อยู่ของคนอื่นที่มีสมาชิกครอบครัว 10 คน แต่ถ้าที่อยู่ที่เรามีนั้นมีบริบทของข้อมูลเพิ่มเติม เช่น เพศ น้ำหนัก ส่วนสูง เราก็อาจจะพอระบุตัวตนได้ว่า ข้อมูลชุดนี้หมายถึงใคร เพราะว่าคนในบ้านนี้อาจจะมีคนที่มี น้ำหนัก ส่วนสูง อยู่แค่คนเดียวในบ้านก็ได้​

​เพราะฉะนั้น เวลาเราจะนิยามข้อมูลว่า เป็นข้อมูลส่วนบุคคลหรือไม่ อาจจะต้องดูบริบทแวดล้อมของข้อมูลด้วย ว่าสามารถติดตามไปยัง เจ้าของข้อมูล (data subject) ได้หรือป่าว​

ข้อมูลส่วนบุคคล ที่มีความอ่อนไหว (Sensitive Data) คือ, มีอะไรบ้าง?

  1. ข้อมูลลายนิ้วมือหรือข้อมูลใบหน้า (Biometric data)​
  2. ​ศาสนา (Religious)​
  3. ​ข้อมูลสุขภาพ (Health)​
  4. ​รสนิยมทางเพศ (Sexual orientation)​
  5. ​ความคิดเห็นทางการเมือง (Political opinions)​
  6. ​ข้อมูลทางพันธุกรรม (Genetic data)​

“ซึ่งผมจะนิยามออกมาเป็น 2 แบบ สำหรับข้อมูลอ่อนไหว”

  1. เป็นข้อมูลที่เปลี่ยนยาก หรือ เปลี่ยนไม่ได้ เช่น ข้อมูลลายนิ้วมือ (Biometric data) หรือ ข้อมูลใบหน้า (Face Recognized) ที่เราใช้ในการปลดล็อค smartphone เนี่ยแหละครับ ​
    ตัวอย่าง: ผมเก็บข้อมูลลายนิ้วมือไว้กับบริษัทในการ scan ทำธุรกรรมต่าง ๆ โดยใช้นิ้วโป้งขวา แต่ปรากฏว่าบริษัทนั้นทำข้อมูลของผมรั่วไหลออกไปในโลกออนไลน์หรือสาธารณะ แปลว่า ในชีวิตผมต่อไปจะไม่สามารถใช้นิ้วโป้งขวาในการยืนยันตัวตนหรือทำธุรกรรมในโลกออนไลน์ได้อีกเลย ผมอาจจะต้องใช้ลายนิ้วมืออื่นแทน เพราะผมไม่สามารถเปลี่ยนลายนิ้วมือตัวเองได้นั่นเอง​ ​
  2. เป็นข้อมูลที่จะทำให้เกิดอคติในสังคม ​ซึ่งจะเป็นข้อมูลที่จะทำให้เกิดความลำเอียง (bias) อาจจะทำให้เจ้าของข้อมูลนั้นสูญเสียโอกาสในการดำเนินชีวิตไป​ เช่น​ ​ความคิดเห็นทางการเมือง, รสนิยมทางเพศ, ศาสนา
    ตัวอย่าง:ผมอาจจะไปสมัครงานกับบริษัทที่มีความซีเรียสกับศาสนาที่นับถือ หรือ เรื่องของพฤติกรรมทางเพศบางอย่างที่พอเวลาข้อมูลของเราหลุดไปแล้ว จะทำให้เจ้าของข้อมูลเกิดความขัดแย้งกับคนอื่น ๆในสังคมได้​

ข้อมูลส่วนบุคคล กับ ข้อมูลส่วนบุคคลที่มีความอ่อนไหวต่างกันอย่างไร?

สิ่งที่เหมือนกัน: องค์กร (ผู้ควบคุมข้อมูล)จะต้องมีการขอ  ความยินยอม (consent) และ วัตถุประสงค์กับเจ้าของข้อมูลให้ชัดเจนก่อนที่จะนำข้อมูลที่ได้มาไปใช้ หรือ เปิดเผย และเจ้าของข้อมูลมีสิทธิในการขอ แก้ไข, เปลี่ยนแปลง, ลบ ได้ทุกเมื่อ

สิ่งที่ต่างกัน: ข้อยกเว้นทางกฎหมายกับโทษที่จะได้รับนั้นแตกต่างกันซึ่งข้อมูลอ่อนไหวนั้นจะยกเว้นได้ยากกว่าและมีโทษที่หนักกว่ามากกว่าข้อมูลส่วนบุคคลที่ไม่มีความอ่อนไหว

คำแนะนำสำหรับองค์กรที่เก็บข้อมูลส่วนบุคคลอ่อนไหว

สำหรับองค์กรที่มีการเก็บข้อมูลส่วนบุคคลหรือข้อมูลอ่อนไหว เราต้องมาดูด้วยว่า เราเก็บข้อมูลอะไรมากกว่ากัน ถ้าเป็นข้อมูลอ่อนไหว จำเป็นหรือไม่ในการเก็บ ส่วนตัวผมมองว่า ถ้าข้อมูลนั้นไม่จำเป็น ผมก็แนะนำให้ตัดออกหรือว่าลบทิ้งจากฐานข้อมูลไปเพื่อลดความเสี่ยงในการเก็บข้อมูลขององค์กร ยิ่งไปกว่านั้นการทำบันทึกกิจกรรมข้อมูลส่วนบุคคล (ROPA) ก็สำคัญ ว่า เราขอความยินยอม และ วัตถุระสงค์กับเจ้าของข้อมูลหรือยัง เพราะเวลา audit มาตรวจ จะเริ่มจากการดู (ROPA) นั่นเองครับ

FREE EVENT

ร่วมฟังแนวทางการยกระดับการบริหารจัดการข้อมูลส่วนบุคคลสำหรับองค์กรที่มี Data Subject จำนวนมาก เพื่อเพิ่มความน่าเชื่อถือให้กับองค์กร ด้วยไกด์ไลน์การทำ ROPA ที่เป็นหัวใจสำคัญในการสำเร็จกระบวนการ PDPA ควบคู่กับ Digital Transformation และแบ่งปันข้อมูลเชิงลึก โดยผู้เชี่ยวชาญที่มีประสบการณ์ให้คำปรึกษาด้านกระบวนการ PDPA สำเร็จแล้วกว่า 60 องค์กร และได้รับ Certificate จากสถาบันดิจิตัล (DCT) และมาตรฐานสากล ICDL หลักสูตร Personal Data Protection

RELATED POST
digital transformation roadmap
t-reg knowledge

Digital Transformation Roadmap แผนสำคัญที่องค์กรต้องรู้ก่อนทำ Digital Transformation

จากบทความก่อนหน้าที่พูดถึงเทรนด์ PDPA Thailand พร้อมความเคลื่อนไหวที่เกิดขึ้นในแวดวงธุรกิจ และทำความเข้าใจเรื่อง Digital Transformation ในเบื้องต้น

อ่านต่อ »
understand PDPA in 5 Min
t-reg knowledge

เข้าใจ PDPA ใน 5 นาที : สรุปทุกอย่างที่องค์กรจำเป็นต้องรู้

PDPA : Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล บังคับใช้อย่างจริงจังในวันที่ 1 มิถุนายน พ.ศ. 2564 ที่จะถึงนี้ เราขอสรุปแบบเข้าได้ง่ายๆ ใน 5 นาที

อ่านต่อ »
PDPA ต้องเก็บ Log
t-reg knowledge

PDPA ต้องเก็บ Log Fle ด้วยหรอ?

หลาย ๆ ท่านอาจจะบอกว่าที่ต้องเก็บ Log นั่นมัน พ.ร.บ. คอมพิวเตอร์ต่างหาก ไม่ใช่ PDPA ซะหน่อย ?
นั่นก็ถูกครึ่งนึงครับที่ว่ากฎหมายที่กำหนดให้เราเก็บ Log จริง ๆ นั่นคือ

อ่านต่อ »
audit
t-reg knowledge

เริ่ม Audit อย่างมีประสิทธิภาพ เข้มข้น ครอบคลุมทุกส่วนงาน สำเร็จการ Audit ใน 26 วันกับ t-reg

การทำ Audit ในองค์กรเป็นกิจกรรมที่ไม่ได้เกิดขึ้นบ่อยครั้ง ทว่าทุกครั้งที่มีการตรวจสอบการดำเนินการในองค์กร มักชี้ให้เห็นถึงจุดบอด จุดอ่อน และความผิดพลาดของกระบวนการบางขั้นตอนในองค์กรได้เป็นอย่างดี ขณะเดียวกันการละเลยการตรวจสอบเป็นเวลานาน

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่