ข้อมูลแบบไหนที่ถือเป็น

เชื่อว่าธุรกิจตื่นตัวกับ “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” หรือ Personal Data Protection Act (PDPA) A.D. 2019 ที่จะมีผลบังคับใช้ในปี 2021 กับพอสมควร เพราะโทษของการฝ่าฝืนหรือไม่ปฏิบัติตามนั้น อาจถูกปรับตั้งแต่ 5 แสนถึง 3 ล้านบาท ถูกจำคุก หรือทั้งจำทั้งปรับ แล้วแต่มาตราที่มีการฝ่าฝืนหรือไม่ทำตาม

นี่ยังไม่พูดถึงค่าสินไหมทดแทนที่เจ้าของข้อมูลส่วนตัวสามารถเรียกได้ตามที่ศาลเห็นสมควรด้วยนะ

ส่วนฝ่ายเจ้าของข้อมูลส่วนบุคคล แน่นอนว่าอาจเป็นผู้เสียหายได้ หลักๆคือถ้าข้อมูลส่วนตัวถูกผู้ควบคุมหรือประมวลผลข้อมูลส่วนตัว เอาไปใช้ หรือเปิดเผยโดยผิดวัตถุประสงค์ หรือไม่ได้รับความยินยอม เจ้าของข้อมูลส่วนตัวย่อมได้รับความเสียหาย (แต่แน่นอนว่ามีข้อยกเว้นที่ผู้ควบคุมหรือประมวลข้อมูลไม่ต้องรับผิดเช่นกัน)

จริงๆ พรบ.นี้มีรายละเอียดให้คุยอีกเยอะ และ พรบ.นี้ก็ไม่ใช่กฎหมายเดียวที่เอาไว้คุ้มครองข้อมูลส่วนตัว กฎหมายนี้ระบุชัดเจนถึงสิทธิของเจ้าของข้อมูลส่วนตัว เช่นผู้บริโภคสินค้าหรือบริการ แม่แต่คนเล่นอินเตอร์เน็ตเข้าเว็บไซต์ หน้าที่ของผู้ควบคุมข้อมูลส่วนตัวและหน้าที่ผู้ประมวลผลข้อมูลส่วนตัว เช่นเจ้าของเว็บไซต์ที่มีการติดตามพฤติกรรมของคนเข้าเว็บไซต์ของตัวเอง ระวางโทษต่างๆถ้าฝ่าฝืนหรือไม่ทำตาม รวมถึงฝ่ายต่างๆที่เกี่ยวข้องกับ พรบ.นี้

แต่ก่อนอื่นเราต้องรู้ก่อนว่าอะไรคือข้อมูลส่วนบุคคลตามกฎหมายที่ว่ากันก่อน

ข้อมูลส่วนบุคคลคืออะไร? มีอะไรบ้างที่เป็นข้อมูลส่วนบุคคล?

ตาม PDPA 2019 ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

และนี่คือตัวอย่างของข้อมูลที่เป็นข้อมูลส่วนบุคคล

1. ชื่อ นามสกุล ชื่อเล่น
2. เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต (การเก็บเป็นภาพสำเนาบัตรประชาชนหรือสำเนาบัตรอื่นๆที่ที่ข้อมูลส่วนบุคคล)
3. ที่อยู่ อีเมล์ โทรศัพท์
4. ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP Address, MAC Address, Cookie ID
5. ข้อมูลทางชีวมิติ (Bio-metric) ไม่ว่าจะเป็นรูปภาพใบหน้า ลายนิ้วมือ ฟิลม์เอ็กซ์เรย์ ข้อมูลสแกนม่านตา ข้อมูลอัตลักษณ์เสียง ข้อมูลพันธุกรรม
6. ข้อมูลระบุทรัพย์สินของบุคคล เช่นทะเบียนรถ โฉนดที่ดิน
7. ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิด สถานที่เกิด เชื้อชาติ สัญชาติ น้ำหนัก ส่วนสูง ข้อมูลตำแหน่งที่อยู่ ข้อมูลการแพทย์ ข้อมูลการศึกษา ข้อมูลทางการเงิน ข้อมูลการจ้างงาน
8. ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิลม์
9. ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง
10. ข้อมูลบันทึกต่างๆที่ใช้ติดตามสตรวจสอบกิจกรรมต่างๆของบุคคล เช่น Log Files
11. ข้อมูลมที่ใช้ค้นหาข้อมูลส่วนบุคคลอื่นในอินเตอร์เน็ต

ข้อมูลแบบไหนที่ไม่ใช่ข้อมูลส่วนบุคคล?

ข้อมูลส่วนบุคคลเป็นข้อมูลที่สามารถระบุตัวบุคคลได้ ถ้าข้อมูลนั้นใช้ระบุตัวบุคคลไม่ได้ ก็ไม่ใช่ข้อมูลส่วนบุคคลตาม พรบ.นี้ เช่น

1. เลขทะเบียบบริษัท
2. ข้อมูลสำหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล เช่น หมายเลขโทรศัพท์ แฟกซ์ที่ทำงาน ที่อยู่สำนักงาน อีเมลที่ใช้ทำงาน อีเมล์บริษัท เช่น
3. ข้อมูลนิรนาม ข้อมูลแฝง ข้อมูลที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีทางเทคนิค
4. ข้อมูลผู้ตาย
5. ข้อมูลนิติบุคคล

ข้อมูลส่วนบุคคลขึ้นอยู่กับเราเจ้าของข้อมูลเป็นหลัก

ข้อมูลต่อไปนี้ ถ้าสามารถบอกอ้อมๆได้ว่าเป็นตัวเรา ก็ถือว่าเป็นข้อมูลส่วนตัวตามกฎหมาย PDPA 2019 ได้เหมือนกัน เช่น

1. ชาติพันธุ์ เผ่าพันธุ์
2. เพศ
3. กลุ่ม สังกัด กลุ่มประชากร
4. ครอบครัว ญาติมิตร
5. ลักษณะทางกายภาพ
6. ความรู้ ความเชื่อ
7. ข้อมูล หรือสิ่งอ้างอิง การตั้งค่าอ้างอิง (Preference)
8. ทรัพย์สิน กรรมสิทธ์ในทรัพย์สิน
9. สุขภาพร่างกาย จิตใจ
10. สถานะทางการเงิน
11. อาชีพ
12. พฆติกรรมส่วนบุคคล
13. กิจกรรม การสมาคม
14. กีฬา นันทนาการ
15. บุคลิกภาพ
16. สมาชิกกลุ่ม ชมรม กิจกรรม

อ่านถึงตรงนี้ อยากให้รู้ว่ากฎหมาย PDPA 2019 คุ้มครองข้อมูลของบุคคลที่ยังมีชีวิตอยู่เท่านั้น ถ้าเป็นข้อมูลคนที่เสียชีวิตแล้ว กฎหมายนี้ไม่คุ้มครองนะ ต้องไปดูกฎหมายอื่น ส่วนข้อมูลส่วนบุคคลตามกฎหมายนี้ คนหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูล (Data Controller) ก็ต้องมีหน้าที่ปฏิบัตตามกฎหมายนี้ต่อไป

แหล่งอ้างอิงส่วนหนึ่งจาก: หนังสือเรื่อง การคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection) โดย ดร. สุพิศ ปราณีตพลกรัง หน้า 27 – 30

• TAGS
• PDPA
• Personal Data Protection Act 2019