Sensitive Data คืออะไร จัดการอย่างไรไม่ให้ผิดหลัก PDPA  76

คำสำคัญ : PDPA  

ในปัจจุบัน เรื่องข้อมูลส่วนตัว หรือ Personal Data ถือเป็นเรื่องสำคัญอย่างมาก เพราะทุกวันนี้ผู้คนใช้โทรศัพท์-เครื่องมืออิเล็กทรอนิกส์ในการบันทึกข้อมูลส่วนตัวมากยิ่งขึ้น ไม่ว่าจะเป็น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล อายุ เลขบัญชีธนาคาร หรือแม้กระทั่งรหัสสำหรับเข้าระบบต่าง ๆ ที่เราสามารถทำธุรกรรมผ่านเครื่องมืออิเล็กทรอนิกส์ได้ ซึ่งข้อมูลเหล่านี้เรียกว่า ข้อมูลส่วนบุคคลที่อ่อนไหว) ซึ่งข้อมูลเหล่านี้ได้รับความคุ้มครองจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.​2562 หรือที่เราเรียกง่าย ๆ ว่า PDPA

 

ทำความรู้จัก Sensitive Data คืออะไร ?

ข้อมูลส่วนบุคคลที่อ่อนไหว หรือ Sensitive Personal Data คือ ข้อมูลที่ระบุตัวบุคคลได้เฉพาะเจาะจงมากขึ้น เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (Face ID, ลายนิ้วมือ)

 

ซึ่งข้อมูลที่พูดถึงเหล่านี้เป็นข้อมูลที่ละเอียดอ่อนสูง ถ้าถูกนำไปใช้โดยไม่ได้รับอนุญาต อาจเป็นอันตรายต่อเจ้าของข้อมูลหรือได้รับการปฏิบัติอย่างไม่เป็นธรรมได้ เพราะฉะนั้นกฎหมาย PDPA จึงเข้ามามีบทบาทเพราะเป็นกฎหมายที่เข้ามาคุ้มครองเรื่องข้อมูลส่วนบุคคลโดยเฉพาะโดยความต่างระหว่างข้อมูลปกติและข้อมูลส่วนบุคคลที่อ่อนไหวมีดังนี้

 

ความเหมือนของข้อมูลทั่วไปกับข้อมูลส่วนบุคคลที่อ่อนไหว

  • ต้องแจ้งวัตถุประสงค์ต่อเจ้าของข้อมูลให้ชัดเจน ก่อนจะนำข้อมูลไปใช้ หรือนำไปจัดเก็บให้ปลอดภัย
  • เจ้าของข้อมูลมีสิทธิขอแก้ไขหรือลบข้อมูลนั้นเมื่อไรก็ได้

 

ความต่างของข้อมูลทั่วไปกับข้อมูลส่วนบุคคลที่อ่อนไหว

  • ความคุ้มครองของข้อมูลอ่อนไหวจะเข้มงวดมากกว่า
  • ข้อมูลส่วนบุคคลแบบปกติ อาจไม่ต้องขอความยินยอมทุกครั้ง หากเจ้าของข้อมูลคาดเดาได้ว่าข้อมูลจะถูกนำไปใช้ตามวัตถุประสงค์ที่แจ้ง เช่น เมื่อเราเปิดบัญชีธนาคาร พนักงานธนาคารจะให้เรากรอกข้อมูลส่วนตัว เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อาชีพ และแจ้งวัตถุประสงค์ว่าใช้ทำธุรกรรมกับธนาคารเท่านั้น

 

ข้อควรระวังเกี่ยวกับการจัดเก็บข้อมูล Sensitive Data

สำหรับองค์กร หน่วยงานเอกชน หรือหน่วยงานราชการ ที่มีจำนวนข้อมูลอ่อนไหวจำนวนมาก โดยเฉพาะหน่วยงานที่เกี่ยวกับโรงพยาบาล ฟิตเนส การเงิน หรือฝ่ายบุคคล จะต้องขอความยินยอมจากเจ้าของข้อมูลก่อน เพื่อเป็นการบอกกับเจ้าของข้อมูลว่าจะนำไปใช้ตามวัตถุประสงค์ที่เจ้าของข้อมูลให้ความยินยอมไว้ตั้งแต่แรก

 

เพราะหากองค์กร หรือหน่วยงานนำข้อมูลเหล่านี้ไปใช้วิเคราะห์ ก็ต้องทำการแจ้งวัตถุประสงค์และประโยชน์ต่อเจ้าของข้อมูล ว่าถ้ายินยอมแล้วจะได้ประโยชน์อย่างไรบ้าง โดยการนำข้อมูลที่นำไปใช้เพื่อวัตถุประสงค์อื่นต้องทำเท่าที่จำเป็น ไม่ใช่นำข้อมูลไปใช้บ่อย ๆ จนทำให้เจ้าของข้อมูลรู้สึกถูกรุกล้ำความเป็นส่วนตัว

 

รวมถึงองค์กรหรือหน่วยงานจะต้องมีมาตรการรักษาความปลอดภัยและจัดเก็บข้อมูลอย่างเหมาะสม ซึ่งสิ่งที่ตามมาก็คือ เจ้าของข้อมูลจะต้องแสดงความยินดีให้ใช้ข้อมูลได้ง่ายขึ้น และรู้สึกมั่นใจ ไว้วางใจกับองค์กรอีกด้วย

 

ข้อมูลอ่อนไหวมีอะไรบ้าง ?

  • เชื้อชาติ
  • เผ่าพันธุ์
  • ความคิดเห็นทางการเมือง
  • ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
  • พฤติกรรมทางเพศ
  • ประวัติอาชญากรรม
  • ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต
  • ข้อมูลสหภาพแรงงาน
  • ข้อมูลพันธุกรรม
  • ข้อมูลชีวภาพ
  • ข้อมูลทางชีวมิติ (Biometric) เช่น รูปภาพใบหน้า ลายนิ้วมือ ฟิล์มเอกซเรย์ ข้อมูลสแกนม่านตา ข้อมูลอัตลักษณ์เสียง และข้อมูลพันธุกรรม
  • ข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด

 

โดย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีสาระสำคัญอย่างหนึ่งที่ได้ระบุไว้ในมาตราที่ 19 ใจความว่า

“ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติ แห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้”

 

ทั้งนี้หน่วยงานที่จำเป็นต้องของข้อมูลอ่อนไหวจากเจ้าของข้อมูล ควรจะใช้ข้อมูลอย่างระมัดระวัง และไม่ควรใช้ข้อมูลอ่อนไหวบ่อยจนทำให้เจ้าของข้อมูลรู้สึกไม่มีความเป็นส่วนตัว และอย่างสุดท้ายถือเป็นเรื่องสำคัญคือ ระบบรักษาความปลอดภัยของข้อมูลอ่อนไหว เพราะหากเกิดปัญหาที่ไม่คาดคิดทำให้ข้อมูลอ่อนไหวเหล่านี้รั่วไหลออกไป ถือเป็นปัญหาใหญ่อย่างมาก เพราะฉะนั้นควรเลือกระบบหรือวิธีการเก็บข้อมูลที่ได้มาตรฐาน มีประสิทธิภาพ และต้องมีระบบการรักษาความปลอดภัยที่เชื่อถือได้

 

มีข้อยกเว้นบางประการ คือ (PDPA, มาตรา 26 )

- เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล

- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

- เป็นการดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มขงที่เหมาะสมของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหาผลกำไร

- เป็นการจำเป็นเพื่อการก่อตั้ง ใช้ หรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย

- เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์


เขียนโดย : น.ส.ศิริเบญจารัตน์   ฮาวต่อมแก้ว สอบถามข้อมูลเพิ่มเติม : siribenjarut.h@mhesi.go.th