Knowledge Sharing ชุมชนแห่งการเรียนรู้...
Sensitive Data คืออะไร จัดการอย่างไรไม่ให้ผิดหลัก PDPA 75
ในปัจจุบัน เรื่องข้อมูลส่วนตัว หรือ Personal Data ถือเป็นเรื่องสำคัญอย่างมาก เพราะทุกวันนี้ผู้คนใช้โทรศัพท์-เครื่องมืออิเล็กทรอนิกส์ในการบันทึกข้อมูลส่วนตัวมากยิ่งขึ้น ไม่ว่าจะเป็น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล อายุ เลขบัญชีธนาคาร หรือแม้กระทั่งรหัสสำหรับเข้าระบบต่าง ๆ ที่เราสามารถทำธุรกรรมผ่านเครื่องมืออิเล็กทรอนิกส์ได้ ซึ่งข้อมูลเหล่านี้เรียกว่า ข้อมูลส่วนบุคคลที่อ่อนไหว) ซึ่งข้อมูลเหล่านี้ได้รับความคุ้มครองจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือที่เราเรียกง่าย ๆ ว่า PDPA
ทำความรู้จัก Sensitive Data คืออะไร ?
ข้อมูลส่วนบุคคลที่อ่อนไหว หรือ Sensitive Personal Data คือ ข้อมูลที่ระบุตัวบุคคลได้เฉพาะเจาะจงมากขึ้น เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (Face ID, ลายนิ้วมือ)
ซึ่งข้อมูลที่พูดถึงเหล่านี้เป็นข้อมูลที่ละเอียดอ่อนสูง ถ้าถูกนำไปใช้โดยไม่ได้รับอนุญาต อาจเป็นอันตรายต่อเจ้าของข้อมูลหรือได้รับการปฏิบัติอย่างไม่เป็นธรรมได้ เพราะฉะนั้นกฎหมาย PDPA จึงเข้ามามีบทบาทเพราะเป็นกฎหมายที่เข้ามาคุ้มครองเรื่องข้อมูลส่วนบุคคลโดยเฉพาะโดยความต่างระหว่างข้อมูลปกติและข้อมูลส่วนบุคคลที่อ่อนไหวมีดังนี้
ความเหมือนของข้อมูลทั่วไปกับข้อมูลส่วนบุคคลที่อ่อนไหว
- ต้องแจ้งวัตถุประสงค์ต่อเจ้าของข้อมูลให้ชัดเจน ก่อนจะนำข้อมูลไปใช้ หรือนำไปจัดเก็บให้ปลอดภัย
- เจ้าของข้อมูลมีสิทธิขอแก้ไขหรือลบข้อมูลนั้นเมื่อไรก็ได้
ความต่างของข้อมูลทั่วไปกับข้อมูลส่วนบุคคลที่อ่อนไหว
- ความคุ้มครองของข้อมูลอ่อนไหวจะเข้มงวดมากกว่า
- ข้อมูลส่วนบุคคลแบบปกติ อาจไม่ต้องขอความยินยอมทุกครั้ง หากเจ้าของข้อมูลคาดเดาได้ว่าข้อมูลจะถูกนำไปใช้ตามวัตถุประสงค์ที่แจ้ง เช่น เมื่อเราเปิดบัญชีธนาคาร พนักงานธนาคารจะให้เรากรอกข้อมูลส่วนตัว เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อาชีพ และแจ้งวัตถุประสงค์ว่าใช้ทำธุรกรรมกับธนาคารเท่านั้น
ข้อควรระวังเกี่ยวกับการจัดเก็บข้อมูล Sensitive Data
สำหรับองค์กร หน่วยงานเอกชน หรือหน่วยงานราชการ ที่มีจำนวนข้อมูลอ่อนไหวจำนวนมาก โดยเฉพาะหน่วยงานที่เกี่ยวกับโรงพยาบาล ฟิตเนส การเงิน หรือฝ่ายบุคคล จะต้องขอความยินยอมจากเจ้าของข้อมูลก่อน เพื่อเป็นการบอกกับเจ้าของข้อมูลว่าจะนำไปใช้ตามวัตถุประสงค์ที่เจ้าของข้อมูลให้ความยินยอมไว้ตั้งแต่แรก
เพราะหากองค์กร หรือหน่วยงานนำข้อมูลเหล่านี้ไปใช้วิเคราะห์ ก็ต้องทำการแจ้งวัตถุประสงค์และประโยชน์ต่อเจ้าของข้อมูล ว่าถ้ายินยอมแล้วจะได้ประโยชน์อย่างไรบ้าง โดยการนำข้อมูลที่นำไปใช้เพื่อวัตถุประสงค์อื่นต้องทำเท่าที่จำเป็น ไม่ใช่นำข้อมูลไปใช้บ่อย ๆ จนทำให้เจ้าของข้อมูลรู้สึกถูกรุกล้ำความเป็นส่วนตัว
รวมถึงองค์กรหรือหน่วยงานจะต้องมีมาตรการรักษาความปลอดภัยและจัดเก็บข้อมูลอย่างเหมาะสม ซึ่งสิ่งที่ตามมาก็คือ เจ้าของข้อมูลจะต้องแสดงความยินดีให้ใช้ข้อมูลได้ง่ายขึ้น และรู้สึกมั่นใจ ไว้วางใจกับองค์กรอีกด้วย
ข้อมูลอ่อนไหวมีอะไรบ้าง ?
- เชื้อชาติ
- เผ่าพันธุ์
- ความคิดเห็นทางการเมือง
- ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต
- ข้อมูลสหภาพแรงงาน
- ข้อมูลพันธุกรรม
- ข้อมูลชีวภาพ
- ข้อมูลทางชีวมิติ (Biometric) เช่น รูปภาพใบหน้า ลายนิ้วมือ ฟิล์มเอกซเรย์ ข้อมูลสแกนม่านตา ข้อมูลอัตลักษณ์เสียง และข้อมูลพันธุกรรม
- ข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด
โดย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีสาระสำคัญอย่างหนึ่งที่ได้ระบุไว้ในมาตราที่ 19 ใจความว่า
“ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติ แห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้”
ทั้งนี้หน่วยงานที่จำเป็นต้องของข้อมูลอ่อนไหวจากเจ้าของข้อมูล ควรจะใช้ข้อมูลอย่างระมัดระวัง และไม่ควรใช้ข้อมูลอ่อนไหวบ่อยจนทำให้เจ้าของข้อมูลรู้สึกไม่มีความเป็นส่วนตัว และอย่างสุดท้ายถือเป็นเรื่องสำคัญคือ ระบบรักษาความปลอดภัยของข้อมูลอ่อนไหว เพราะหากเกิดปัญหาที่ไม่คาดคิดทำให้ข้อมูลอ่อนไหวเหล่านี้รั่วไหลออกไป ถือเป็นปัญหาใหญ่อย่างมาก เพราะฉะนั้นควรเลือกระบบหรือวิธีการเก็บข้อมูลที่ได้มาตรฐาน มีประสิทธิภาพ และต้องมีระบบการรักษาความปลอดภัยที่เชื่อถือได้
มีข้อยกเว้นบางประการ คือ (PDPA, มาตรา 26 )
- เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
- เป็นการดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มขงที่เหมาะสมของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหาผลกำไร
- เป็นการจำเป็นเพื่อการก่อตั้ง ใช้ หรือยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
- เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์