ข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลที่มีความอ่อนไหวคืออะไรและเกี่ยวข้องกับใครบ้าง
ปัจจุบันข้อมูลสารสนเทศนั้นมีความสำคัญและมีความต้องการใช้งานมากขึ้น ทำให้มีการเก็บรวบรวมข้อมูลประเภทต่างๆ รวมถึงข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลที่มีความอ่อนไหว ทำให้องค์กรจำเป็นต้องรู้ว่าข้อมูลที่เก็บอยู่นั้นมีความสำคัญและจัดเป็นข้อมูลประเภทใด ดังนั้นสิ่งที่องค์กรต้องเรียนรู้คือข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลที่มีความอ่อนไหว มีลักษณะเป็นเช่นไรและมีความแตกต่างกันอย่างไร
ข้อมูลส่วนบุคคล (Personal Data) คือข้อมูลต่าง ๆ ที่สามารถทำให้ระบุตัวบุคคล ๆ หนึ่งได้ ไม่ว่าทางตรงหรือทางอ้อม ดังนั้น “ข้อมูลส่วนบุคคล” จึงเป็น “ข้อมูล” ทั้งหมดที่สามารถใช้ระบุถึงบุคคลที่เป็น “เจ้าของข้อมูล” ได้แก่ ชื่อ-นามสกุล เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต, ที่อยู่, อีเมล, หมายเลขโทรศัพท์ ตัวอย่างเช่น นายเชื้อชาติ รักไทยเป็นต้น ซึ่งหากเป็นชื่อหรือนามสกุลหรือส่วนใดส่วนหนึ่งอย่างเดียวที่ไม่สามารถระบุตัวตนของบุคคลได้ จะไม่นับเป็นข้อมูลส่วนบุคคล โดยตามข้อกำหนดของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลระบุไว้ว่าข้อมูลส่วนบุคคลที่กำหนดจะ “ไม่รวมถึงข้อมูลของผู้ที่ถึงแก่กรรมและข้อมูลนิติบุคคล” นอกเหนือจากข้อมูลที่สามารถระบุตัวตนของบุคคลทางตรงได้แล้วยังมีข้อมูลอื่น ๆ ที่สามารถระบุตัวตนบุคคลทางอ้อมเพิ่มเติมได้ เช่น IP address, ข้อมูลการใช้งาน Internet, Cookie ID, รูปภาพใบหน้า, ลายนิ้วมือ, ม่านตา, ข้อมูลการแพทย์, ข้อมูลการศึกษา, ข้อมูลทางการเงิน, ข้อมูลการจ้างงาน เป็นต้น แม้ว่าข้อมูลดังกว่าวไม่สามารถระบุไปถึงตัวบุคคลได้ทันที แต่หากมีการนำไปใช้งานร่วมกับข้อมูลอื่น ๆ อาจจะสามารถระบุไปถึงตัวบุคคลได้
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) คือข้อมูลลักษณะหรือพฤติกรรมส่วนตัวของบุคคล ที่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม จึงจำเป็นต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ ยกตัวอย่างเช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกัน ซึ่งการเก็บรวบรวมข้อมูลที่มีความอ่อนไหวเหล่านี้ จะต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล
อย่างไรก็ตาม “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 24 กำหนดเหตุที่สามารถทำได้โดยชอบด้วยกฎหมาย” ได้บัญญัติข้อยกเว้นของการเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวดังกล่าวโดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูล ในกรณีดังต่อไปนี้
- ได้รับความยินยอมจากเจ้าของข้อมูล (Consent)
- จำเป็นต่อการทำตามสัญญา (Contract)
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพ (Vital Interest)
- เป็นการทำหน้าที่ตามกฎหมายเพื่อประโยชน์สาธารณะหรือการใช้อำนาจรัฐ (Public Task)
- จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest)
- เป็นการปฏิบัติตามกฎหมาย (Legal Obligations)
- เกี่ยวกับการจัดทำเอกสารประวัติศาตร์ วิจัย หรือสถิติ (Scientific / Historical Research)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลยังมีการระบุเกี่ยวกับบุคคลที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลออกเป็น 4 ประเภท ดังนี้
- เจ้าของข้อมูลส่วนบุคคล (Data Subject)
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
- เจ้าหน้าคุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
โดยแต่ละประเภทมีคำจำกัดความ บทบาทและหน้าที่ ดังต่อไปนี้
- เจ้าของข้อมูลส่วนบุคคล (Data Subject) บุคคลที่ข้อมูลสวนบุคคลนั้นระบุไปถึงหรือเป็นเจ้าของข้อมูลหรือเป็นผู้อนุญาตให้บุคคลอื่น ๆ ใช้ข้อมูลส่วนบุคคลได้
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) บุคคลหรือนิติบุคคลซึ่งมีหน้าที่ กำหนดวิธีการ มาตรการ การตรวจสอบ ลบและทำลาย ด้านความมั่นคงปลอดภัยต่าง ๆ ในการประมวลผลข้อมูลให้กับผู้ประมวลผลข้อมูล เพื่อป้องกันข้อมูลสูญหาย เข้าถึง ใช้งาน เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจและความยินยอม ซึ่งรวมถึงการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง นับตั้งแต่ทราบเหตุกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคล หากเป็นเหตุการณ์ที่มีความเสี่ยงสูงต่อเจ้าของข้อมูลส่วนบุคคล
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) บุคคลหรือนิติบุคคลที่เป็นผู้ดำเนินการประมวลผลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล เกี่ยวกับการเก็บรวบรวม ใช้งาน หรือเปิดเผยข้อมูล รวมถึงจัดทำและจัดเก็บบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล เว้นแต่คำสั่งที่ได้รับขัดต่อข้อกำหนดของพระราชบัญญัติข้อมูลคุ้มครองส่วนบุคคล
- เจ้าหน้าคุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) บุคคลหรือนิติบุคคลที่มีบทบาทและหน้าที่ ในการให้คำแนะนำ ตรวจสอบและรักษาความลับในการดำเนินการต่าง ๆ ในด้านการจัดเก็บรวบรวม ใช้งาน ประมวลผลและเผยแพร่ข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมถึงมีหน้าที่ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่เกิดปัญหาการละเมิดการใช้งานข้อมูลส่วนบุคคลขึ้น
ซึ่งบทความนี้เป็นการแนะนำให้องค์กรเข้าใจเกี่ยวกับข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลที่มีความอ่อนไหว รวมถึงประเภทของบุคคลหรือนิติบุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เพื่อที่องค์กรจะได้เตรียมนโยบายหรือแนวทางปฏิบัติให้เหมาะสำหรับการใช้ข้อมูลส่วนบุคคล ซึ่งจะรวมไปถึงการจัดเก็บ รวมรวบ ใช้งาน ประมวลผล และเผยแพร่ข้อมูลส่วนบุคคล โดยองค์กรต้องมีการกำหนดหน้าที่ความรับผิดชอบให้กับบุคลากรในองค์กรได้อย่างถูกต้องและมีประสิทธิภาพ เพื่อช่วยบริหารจัดการและป้องกันภัยคุกคามทั้งจากภายในและภายนอกหรือบุคคลที่ไม่สิทธิ์ สามารถเข้าถึงข้อมูลส่วนบุคคลได้
