การคุ้มครองข้อมูลส่วนบุคคลที่กิจการต้องรู้

ข่าวสารในปัจจุบัน มีเรื่องการขโมยข้อมูลส่วนบุคคลของลูกค้า หรือ ข้อมูลส่วนตัวของคนไข้ ออกมาเป็นระยะ ทั้งในต่างประเทศและประเทศไทย และหลายธุรกิจ ตั้งแต่ การท้องเที่ยว โรงพยาบาล ขายปลีก โรงพยาบาล หรือแม้แต่หน่วยงานรัฐ ดังนั้นการดูแลและจัดการข้อมูลส่วนบุคคลจึงมีบทบาทมากยิ่งขึ้น

ในวันที่ 28 พฤษภาคม 2561 (2018) สหภาพยุโรป ได้มีข้อกำหนดให้มีการบังคับใช้กฎหมาย เพื่อการคลุมครองข้อมูลส่วนบุคคลในชื่อว่า General Data Protection Regulation หรือ GDPR เพื่อให้องค์กรทั้งภาครัฐและเอกชน ที่ได้มีการบันทึกข้อมูลส่วนบุคคลของ คนยุโรป ต้องดำเนินการกฎหมายดังกล่าว

ในวัน 27 พฤษภาคม 2562 (2019) ประเทศไทยของเราก็มีการประกาศ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (Personal Data Protection Act หรือ PDPA) เพื่อการป้องกันและดูแลข้อมูลส่วนบุคคลของคนไทย แต่ด้วยสถานการณ์ด้านโรคระบาด จึงได้มีการยกเว้นการบังคับใช้ บางมาตราออกไปก่อน โดย ณ วันที่บทความนี้ ได้ประกาศ เลื่อนการบังคับใช้ เป็น วันที่ 1 มิถุนายน 2565 (2022) 

บทความนี้ขอแนะนำข้อมูลเบื้องต้นสำหรับ กฎหมาย นี้ เพื่อการเตรียมตัว และการดำเนินเพื่อการดูแลข้อมูลของลูกค้าหรือคนไข้ ของกิจการ ซึ่งถือเป็น ตอนที่ 1 ในเรื่องของความหมาย และ กิจการที่ต้องเกี่ยวข้อง

“ข้อมูลส่วนบุคคล” (Personal Data) หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุ ตัวบุคคล (Data Subject) นั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

“บุคคล” หมายความว่า บุคคลธรรมดา ไม่รวม นิติบุคคล

 

ตัวอย่างข้อมูลส่วนบุคคลจึงประกอบด้วย

1. ชื่อ-นามสกุล หรือชื่อเล่น
2. เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผูเสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต (การเก็บเปนภาพสำเนา บัตรประชาชนหรือสำเนาบัตรอื่นๆที่มีขอมูลสวนบุคคลที่กล่าวมาย่อมสามารถใชระบุ ตัวบุคคลได้โดยตัวมันเอง จึงถือเป็นขอมูลส๋วนบุคคล) 
3. ที่อยู๋, อีเมล์, เลขโทรศัพท์ 
4. ข้อมูลอุปกรณ์หรือเครื่องมือ เชน IP address, MAC address, Cookie ID 
5. ข้อมูลทางชีวมิติ(Biometric) เช่น รูปภาพใบหน้า, ลายนิ้วมือ, ฟิล์มเอกซเรย์, ข้อมูล สแกนม่านตา, ข้อมูลอัตลักษณเสียง, ข้อมูลพันธุกรรม 
6. ข้อมูลระบุทรัพยสินของบุคคล เช่น ทะเบียนรถยนต์, โฉนดที่ดิน
7. ข้อมูลที่สามารถเชื่อมโยงไปยังขอมูลข้างต้นได้ เช่น วันเกิดและสถานที่เกิด, เชื้อชาติ, สัญชาติ, น้ำหนัก, ส่วนสูง, ข้อมูลตำแหน่งที่อยู (location), ข้อมูลการแพทย์, ข้อมูล การศึกษา, ข้อมูลทางการเงิน, ข้อมูลการจ้างงาน 
8. ข้อมูลหมายเลขอ้างอิงที่เก็บไวในไมโครฟิล์ม แม้ไมสามารถระบุไปถึงตัวบุคคลได้ แต่ หากใช้รวมกับระบบดัชนีขอมูลอีกระบบหนึ่งก็จะสามารถระบุไปถึงตัวบุคคลได ดังนั้น ข้อมูลในไมโครฟิล์มจึงเป็นขอมูลสวนบุคคล
9. ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง 
10. ข้อมูลบันทึกต่างๆที่ใช้ติดตามตรวจสอบกิจกรรมต่างๆของบุคคล เช่น log file 
11. ข้อมูลที่สามารถใช้ในการค้นหาข้อมูลสวนบุคคลอื่นในอินเทอรเน็ต

ตัวอย่างข้อมูลที่ไม่ถือเป็นข้อมูลส่วนบุคคล

1. เลขทะเบียนบริษัท 
2. ข้อมูลสำหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล เช่น หมายเลขโทรศัพทหรือ แฟกซที่ทำงาน, ที่อยู่สำนักงาน, อีเมลที่ใช้ในการทำงาน, อีเมลของบริษัท เช่น info@companay.com เป็นตน 
3. ข้อมูลนิรนาม (Anonymous Data) หรือข้อมูลแฝง (Pseudonymous Data) หมายถึง ข้อมูลหรือชุดข้อมูลที่ถูกทำให้ไมสามารถระบุตัวบุคคลได้อีกโดยวิธีการทางเทคนิค 
4. ข้อมูลผู้ตาย

นอกจากข้อมูลส่วนบุคคลโดยทั่วไป ข้อมูลที่ต้องให้ความสำคัญยิ่ง คือ ข้อมูลอ่อนไหว (Sensitive Data) เป็นข้อมูลส่วนบุคคลที่เป้นเรื่องส่วนตัวโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและส่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอยางไม่เป็นธรรม จึงจำเป็นต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ

ตัวอย่างข้อมูลอ่อนไหว

1. เชื้อชาติ 
2. เผ่าพันธุ์ 
3. ความคิดเห็นทางการเมือง 
4. ความเชื่อในลัทธิ ศาสนาหรือปรัชญา 
5. พฤติกรรมทางเพศ 
6. ประวัติอาชญากรรม 
7. ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต 
8. ข้อมูลสหภาพแรงงาน 
9. ข้อมูลพันธุกรรม 
10. ข้อมูลชีวภาพ 

---

หน่วยงานที่เกี่ยวข้อง สำหรับ การคุ้มครองข้อมูลส่วนบุคคลนั้น สามารถแยกได้ดังนี้

“ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งก็คือ บริษัทหรือหน่วยงานที่ทำหน้าที่ในการเก็บข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล 

หากเป็นบริษัท หรือ กิจการที่ดำเนินเอง โดยไม่ได้ใช้กิจการหรือหน่วยงานอื่นมาร่วมในการเก็บข้อมูลแล้ว ผู้ควบคุมข้อมูล และ ผู้ประมวลผลข้อมูล จะเป็นคนเดี่ยวกัน

แต่หากกิจการนำข้อมูลส่วนบุคคลไปให้บริษัก หรือ หน่วยงานอื่นในการดำเนินการ ผู้ที่รับข้อมูลนั้นก็จะเป็นผู้ประมวลผลข้อมูล ซึ่งต้องดำเนินการตามคำสั่งของ บริษัท ที่เป็นผู้ควบคุมข้อมูล อย่างเคร่งครัด เช่น การส่งข้อมูล ฟิล์มเอกซ์เรย์ ให้บริษัทหรือบุคคลช่วยในการแปลผล หากบริษัทหรือหน่วยงานนั้น นำข้อมูลรั่วออกไป ผู้ควบคุมข้อมูล ต้องรับผิดชอบต่อเจ้าของข้อมูล แต่หากสามารถเรียกร้องต้อง บริษัทหรือหน่วยงานที่ทำข้อมูลรั่วออกไปได้

——-
ข้อมูลอ้างอิง:

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 : http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF

Thailand Data Protection Guidelines 3.0 : https://www.law.chula.ac.th/wp-content/uploads/2020/12/TDPG3.0-C5-20201208.pdf