ข้อมูลส่วนบุคคล คืออะไร
ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA : Personal Data Protection Act)
“ข้อมูลส่วนบุคคล” หมายถึงข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้
ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
ข้อมูลส่วนบุคคล (Personal Data)
ข้อมูลส่วนบุคคลทั่วไป เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล เป็นต้น
ซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลทั่วไปจะต้องเก็บเท่าที่จำเป็น และต้องได้รับความยินยอม
จากเจ้าของข้อมูล เว้นแต่เข้าข้อยกเว้นตามกฎหมาย
ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data)
เช่น เชื้อชาติ ศาสนา ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ลายนิ้วมือ เป็นต้น
ซึ่งมีการควบคุมเข้มงวดกว่าข้อมูลทั่วไป พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล มีวัตถุประสงค์
เพื่อคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกละเมิดสิทธิความเป็นส่วนตัว ไม่ให้มีการนำข้อมูลไปใช้
โดยไม่ได้รับความยินยอม หรือนำไปใช้ในทางมิชอบ โดยกำหนดให้การเก็บรวบรวม ใช้ หรือ
เปิดเผยข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูล และต้องเป็นไปตามวัตถุประสงค์ที่แจ้งไว้
กับเจ้าของข้อมูลเท่านั้น หากต้องการทำความเข้าใจเพิ่มเติมเกี่ยวกับ กฎหมาย PDPA
สามารถอ่าน สรุป PDPA ได้ที่ PDPA คืออะไร
ข้อมูลส่วนบุคคล ที่มีความอ่อนไหว (Sensitive Data) คืออะไร มีอะไรบ้าง?
- ข้อมูลลายนิ้วมือหรือข้อมูลใบหน้า (Biometric data)
- ศาสนา (Religious)
- ข้อมูลสุขภาพ (Health)
- รสนิยมทางเพศ (Sexual orientation)
- ความคิดเห็นทางการเมือง (Political opinions)
- ข้อมูลพันธุกรรม (Genetic data)
“ซึ่งผมจะนิยามออกมาเป็น 2 แบบ สำหรับข้อมูลอ่อนไหว”
**เป็นข้อมูลที่เปลี่ยนยาก หรือ เปลี่ยนไม่ได้ เช่น ข้อมูลลายนิ้วมือ (Biometric data) หรือ
ตัวอย่าง: ผมเก็บข้อมูลลายนิ้วมือไว้กับบริษัทในการ scan ทำธุรกรรมต่าง ๆ โดยใช้นิ้วโป้งขวา
แต่ปรากฏว่าบริษัทนั้นทำข้อมูลของผมรั่วไหลออกไปในโลกออนไลน์หรือสาธารณะ
แปลว่า ในชีวิตผมต่อไปจะไม่สามารถใช้นิ้วโป้งขวาในการยืนยันตัวตนหรือทำธุรกรรมในโลกออนไลน์ได้อีกเลย
ผมอาจจะต้องใช้ลายนิ้วมืออื่นแทน เพราะผมไม่สามารถเปลี่ยนลายนิ้วมือตัวเองได้นั่นเอง
ข้อมูลใบหน้า (Face Recognized) ที่เราใช้ในการปลดล็อค smartphone เนี่ยแหละครับ
**เป็นข้อมูลที่จะทำให้เกิดอคติในสังคม ซึ่งจะเป็นข้อมูลที่จะทำให้เกิดความลำเอียง (bias)
ตัวอย่าง: ผมอาจจะไปสมัครงานกับบริษัทที่มีความซีเรียสกับศาสนาที่นับถือ หรือ
เรื่องของพฤติกรรมทางเพศบางอย่างที่พอเวลาข้อมูลของเราหลุดไปแล้ว
จะทำให้เจ้าของข้อมูลเกิดความขัดแย้งกับคนอื่น ๆในสังคมได้
อาจจะทำให้เจ้าของข้อมูลนั้นสูญเสียโอกาสในการดำเนินชีวิตไป
เช่น ความคิดเห็นทางการเมือง, รสนิยมทางเพศ, ศาสนา
ข้อมูลส่วนบุคคล กับ ข้อมูลส่วนบุคคลที่มีความอ่อนไหวต่างกันอย่างไร?
สิ่งที่เหมือนกัน: องค์กร (ผู้ควบคุมข้อมูล หรือ Data Controller ) จะต้องมีการขอ ความยินยอม (consent)
และ วัตถุประสงค์กับเจ้าของข้อมูลให้ชัดเจนก่อนที่จะนำข้อมูลที่ได้มาไปใช้ หรือ เปิดเผย
และเจ้าของข้อมูลมีสิทธิในการขอ แก้ไข, เปลี่ยนแปลง, ลบ ได้ทุกเมื่อ
สิ่งที่ต่างกัน: ข้อยกเว้นทางกฎหมายกับโทษที่จะได้รับนั้นแตกต่างกันซึ่งข้อมูลอ่อนไหวนั้น
จะยกเว้นได้ยากกว่าและมีโทษที่หนักกว่ามากกว่า ข้อมูลส่วนบุคคล ที่ไม่มีความอ่อนไหว
04.08.68
สิทธิของเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายได้กำหนดไว้มีอะไรบ้าง
1.สิทธิในการเพิกถอนความยินยอม
ในกรณีที่ทางองค์กรมีการขอความยินยอมจากเจ้าของข้อมูล ตัวเจ้าของข้อมูลก็จะมีสิทธิในการเพิกถอนความยินยอมได้เช่นเดียวกัน และทั้งองค์กรจะต้องปฏิบัติตามสิ่งที่เจ้าของข้อมูลนั้นร้องขอมา เพราะฉะนั้นการอ้างอิงฐานการขอความยินยอมในการใช้ข้อมูล จึงควรเป็นฐานสุดท้ายที่จะนำมาใช้อ้างอิง
2.สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล
เจ้าของข้อมูลมีสิทธิขอเข้าถึงข้อมูลที่เกี่ยวกับตนเองหรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลของตน แต่ก็สามารถปฏิเสธได้เมื่อการปฏิเสธนั้นเป็นไปตามคำสั่งศาลหรือกฎหมายหรือเป็นการขอที่เข้าข่ายอาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของผู้อื่น
3.สิทธิในการขอแก้ไขข้อมูลส่วนบุคคล
เจ้าของข้อมูลสามารถใช้สิทธิในการร้องขอให้แก้ไขข้อมูลส่วนบุคคลให้ถูกต้องหรือเป็นปัจจุบันสมบูรณ์และเพื่อไม่ให้ก่อให้เกิดความเข้าใจผิด ซึ่งการแก้ไขข้อมูลเพื่อเหตุผลดังกล่าวสามารถทำได้แม้เจ้าของข้อมูลจะไม่ได้ร้องขอ
4.สิทธิในการขอให้ลบหรือทำลายข้อมูล
เจ้าของข้อมูลสามารถใช้สิทธิในการร้องขอให้ลบหรือทำลายข้อมูลของตนเองได้ เมื่อมีการร้องขอมา ทางองค์กรจะต้องปฏิบัติตามโดยการลบข้อมูลหรือทำลายข้อมูล ตามที่เจ้าของข้อมูลได้มีการร้องขอมา องค์กรสามารถปฏิเสธที่จะปฏิบัติตามคำร้องขอได้ถ้าเกิดว่าการร้องขอดังกล่าวขัดกับกฎหมายหรือฐานกฎหมายที่ใช้อ้างอิง เช่น ฐานเพื่อการดำเนินภารกิจของรัฐ หรือเป็นข้อมูลอ่อนไหวที่ใช้ฐานเพื่อประโยชน์ทางการแพทย์หรือสาธารณสุข เป็นต้น
5.สิทธิในการขอโอนย้ายข้อมูลส่วนบุคคล
เจ้าของข้อมูลสามารถใช้สิทธิในการขอโอนย้ายข้อมูลส่วนบุคคลของตนไปยังหน่วยงานหรือองค์กรอื่นแต่มีเงื่อนไขว่าจะต้องเป็นข้อมูลที่รับจากเจ้าของข้อมูลโดยตรงและเป็นข้อมูลที่ได้รับความยินยอมจากเจ้าของข้อมูลหรือเป็นไปตามสัญญาระหว่างเจ้าของข้อมูลกับผู้ควบคุมข้อมูลเท่านั้น
6.สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล
เจ้าของข้อมูลสามารถใช้สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลของตนเองได้ก็ต่อเมื่อข้อมูลนั้นเป็นการเก็บรวบรวมจากฐานภารกิจของรัฐหรือฐาน เพื่อประโยชน์โดยชอบด้วยกฎหมาย หรือฐานการเก็บรวบรวมเพื่อการตลาด หรือเพื่อการศึกษาทางวิทยาศาสตร์ประวัติศาสตร์หรือสถิติเท่านั้น แต่ทางองค์กรสามารถปฏิเสธที่จะปฏิบัติตามคำร้องขอของเจ้าของข้อมูลได้แต่จำเป็นจะต้องบันทึกเหตุผลที่ปฏิเสธเพื่อจัดเก็บเป็นหลักฐานเอาไว้ด้วย
7. สิทธิในการขอระงับการประมวลผลข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการระงับการประมวลผลข้อมูลส่วนบุคคลเอาไว้เป็นระยะเวลาชั่วคราว โดยส่วนมากแล้วเหตุผลของการระงับการประมวลผลก็มาจากข้อมูลส่วนบุคคลนั้นยังไม่ถูกต้อง หรือยังมีความผิดพลาดหรือมีข้อแก้ไข หรืออยู่ในระหว่างรอการตรวจสอบความถูกต้อง หรือการประมวลผลข้อมูลส่วนบุคคลนั้นเป็นไปโดยมิชอบด้วยกฎหมาย
ในกรณีที่ทางองค์กรจะปฏิเสธที่จะปฏิบัติตามคำร้องของเจ้าของข้อมูลจำเป็นจะต้องมีการแจ้งถึงเหตุผลในการปฏิเสธและบันทึกข้อมูลและเหตุผลในการปฏิเสธเอาไว้ด้วย
สรุป
จะเห็นได้ว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล(PDPA) ฉบับนี้ ถูกสร้างมาเพื่อให้สิทธิ์กับเจ้าของข้อมูลเพิ่มมากขึ้น เพราะเนื่องจากว่าที่ผ่านมาเจ้าของข้อมูลนั้นแทบจะไม่มีสิทธิ์ในการรับรู้ถึงการใช้ข้อมูลของตนเองทำให้เกิดการใช้ข้อมูลที่ไม่ถูกต้องหรือไม่เป็นไปตามที่เจ้าของข้อมูลนั้นต้องการ
สุดท้ายนี้ ผู้ที่มีข้อมูลของผู้อื่นหรือเป็นผู้ควบคุมข้อมูล จึงจำเป็นจะต้องมีช่องทางการใช้สิทธิ์ให้กับเจ้าของข้อมูลด้วย ไม่อย่างนั้นแล้วเจ้าของข้อมูลอาจจะทำการฟ้องร้องทางองค์กรทำให้เกิดความเสื่อมเสียทั้งทางด้านทรัพยากรและชื่อเสียงได้
ที่มา:https://openpdpa.org/datasubject/