ข้อมูลส่วนบุคคล คืออะไร

 


ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA : Personal Data Protection Act) “ข้อมูลส่วนบุคคล” หมายถึงข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

ข้อมูลส่วนบุคคล (Personal Data)

ข้อมูลส่วนบุคคลทั่วไป เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล เป็นต้น ซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลทั่วไปจะต้องเก็บเท่าที่จำเป็น และต้องได้รับความยินยอมจากเจ้าของข้อมูล เว้นแต่เข้าข้อยกเว้นตามกฎหมาย

ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data)

เช่น เชื้อชาติ ศาสนา ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ลายนิ้วมือ เป็นต้น ซึ่งมีการควบคุมเข้มงวดกว่าข้อมูลทั่วไป พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล มีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกละเมิดสิทธิความเป็นส่วนตัว ไม่ให้มีการนำข้อมูลไปใช้โดยไม่ได้รับความยินยอม หรือนำไปใช้ในทางมิชอบ โดยกำหนดให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูล และต้องเป็นไปตามวัตถุประสงค์ที่แจ้งไว้กับเจ้าของข้อมูลเท่านั้น

หากต้องการทำความเข้าใจเพิ่มเติมเกี่ยวกับ กฎหมาย PDPA สามารถอ่าน สรุป PDPA ได้ที่  PDPA คืออะไร

ข้อมูลส่วนบุคคล ที่มีความอ่อนไหว (Sensitive Data) คืออะไร มีอะไรบ้าง?

  1. ข้อมูลลายนิ้วมือหรือข้อมูลใบหน้า (Biometric data)
  2. ศาสนา (Religious)
  3. ข้อมูลสุขภาพ (Health)
  4. รสนิยมทางเพศ (Sexual orientation)
  5. ความคิดเห็นทางการเมือง (Political opinions)
  6. ข้อมูลพันธุกรรม (Genetic data)

“ซึ่งผมจะนิยามออกมาเป็น 2 แบบ สำหรับข้อมูลอ่อนไหว”

  1. เป็นข้อมูลที่เปลี่ยนยาก หรือ เปลี่ยนไม่ได้ เช่น ข้อมูลลายนิ้วมือ (Biometric data) หรือ ข้อมูลใบหน้า (Face Recognized) ที่เราใช้ในการปลดล็อค smartphone เนี่ยแหละครับ
    ตัวอย่าง: ผมเก็บข้อมูลลายนิ้วมือไว้กับบริษัทในการ scan ทำธุรกรรมต่าง ๆ โดยใช้นิ้วโป้งขวา แต่ปรากฏว่าบริษัทนั้นทำข้อมูลของผมรั่วไหลออกไปในโลกออนไลน์หรือสาธารณะ แปลว่า ในชีวิตผมต่อไปจะไม่สามารถใช้นิ้วโป้งขวาในการยืนยันตัวตนหรือทำธุรกรรมในโลกออนไลน์ได้อีกเลย ผมอาจจะต้องใช้ลายนิ้วมืออื่นแทน เพราะผมไม่สามารถเปลี่ยนลายนิ้วมือตัวเองได้นั่นเอง
  2. เป็นข้อมูลที่จะทำให้เกิดอคติในสังคม ซึ่งจะเป็นข้อมูลที่จะทำให้เกิดความลำเอียง (bias) อาจจะทำให้เจ้าของข้อมูลนั้นสูญเสียโอกาสในการดำเนินชีวิตไป เช่น ความคิดเห็นทางการเมือง, รสนิยมทางเพศ, ศาสนา
    ตัวอย่าง: ผมอาจจะไปสมัครงานกับบริษัทที่มีความซีเรียสกับศาสนาที่นับถือ หรือ เรื่องของพฤติกรรมทางเพศบางอย่างที่พอเวลาข้อมูลของเราหลุดไปแล้ว จะทำให้เจ้าของข้อมูลเกิดความขัดแย้งกับคนอื่น ๆในสังคมได้

ข้อมูลส่วนบุคคล กับ ข้อมูลส่วนบุคคลที่มีความอ่อนไหวต่างกันอย่างไร?

สิ่งที่เหมือนกัน: องค์กร (ผู้ควบคุมข้อมูล หรือ Data Controller ) จะต้องมีการขอ ความยินยอม (consent) และ วัตถุประสงค์กับเจ้าของข้อมูลให้ชัดเจนก่อนที่จะนำข้อมูลที่ได้มาไปใช้ หรือ เปิดเผย และเจ้าของข้อมูลมีสิทธิในการขอ แก้ไข, เปลี่ยนแปลง, ลบ ได้ทุกเมื่อ

สิ่งที่ต่างกัน: ข้อยกเว้นทางกฎหมายกับโทษที่จะได้รับนั้นแตกต่างกันซึ่งข้อมูลอ่อนไหวนั้นจะยกเว้นได้ยากกว่าและมีโทษที่หนักกว่ามากกว่า ข้อมูลส่วนบุคคล ที่ไม่มีความอ่อนไหว



04.08.68

สิทธิของเจ้าของข้อมูลส่วนบุคคลตามที่กฎหมายได้กำหนดไว้มีอะไรบ้าง


1.สิทธิในการเพิกถอนความยินยอม

          ในกรณีที่ทางองค์กรมีการขอความยินยอมจากเจ้าของข้อมูล ตัวเจ้าของข้อมูลก็จะมีสิทธิในการเพิกถอนความยินยอมได้เช่นเดียวกัน และทั้งองค์กรจะต้องปฏิบัติตามสิ่งที่เจ้าของข้อมูลนั้นร้องขอมา เพราะฉะนั้นการอ้างอิงฐานการขอความยินยอมในการใช้ข้อมูล จึงควรเป็นฐานสุดท้ายที่จะนำมาใช้อ้างอิง

2.สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล

          เจ้าของข้อมูลมีสิทธิขอเข้าถึงข้อมูลที่เกี่ยวกับตนเองหรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลของตน แต่ก็สามารถปฏิเสธได้เมื่อการปฏิเสธนั้นเป็นไปตามคำสั่งศาลหรือกฎหมายหรือเป็นการขอที่เข้าข่ายอาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของผู้อื่น

3.สิทธิในการขอแก้ไขข้อมูลส่วนบุคคล

          เจ้าของข้อมูลสามารถใช้สิทธิในการร้องขอให้แก้ไขข้อมูลส่วนบุคคลให้ถูกต้องหรือเป็นปัจจุบันสมบูรณ์และเพื่อไม่ให้ก่อให้เกิดความเข้าใจผิด ซึ่งการแก้ไขข้อมูลเพื่อเหตุผลดังกล่าวสามารถทำได้แม้เจ้าของข้อมูลจะไม่ได้ร้องขอ

4.สิทธิในการขอให้ลบหรือทำลายข้อมูล

          เจ้าของข้อมูลสามารถใช้สิทธิในการร้องขอให้ลบหรือทำลายข้อมูลของตนเองได้ เมื่อมีการร้องขอมา ทางองค์กรจะต้องปฏิบัติตามโดยการลบข้อมูลหรือทำลายข้อมูล ตามที่เจ้าของข้อมูลได้มีการร้องขอมา องค์กรสามารถปฏิเสธที่จะปฏิบัติตามคำร้องขอได้ถ้าเกิดว่าการร้องขอดังกล่าวขัดกับกฎหมายหรือฐานกฎหมายที่ใช้อ้างอิง เช่น ฐานเพื่อการดำเนินภารกิจของรัฐ หรือเป็นข้อมูลอ่อนไหวที่ใช้ฐานเพื่อประโยชน์ทางการแพทย์หรือสาธารณสุข เป็นต้น

5.สิทธิในการขอโอนย้ายข้อมูลส่วนบุคคล

          เจ้าของข้อมูลสามารถใช้สิทธิในการขอโอนย้ายข้อมูลส่วนบุคคลของตนไปยังหน่วยงานหรือองค์กรอื่นแต่มีเงื่อนไขว่าจะต้องเป็นข้อมูลที่รับจากเจ้าของข้อมูลโดยตรงและเป็นข้อมูลที่ได้รับความยินยอมจากเจ้าของข้อมูลหรือเป็นไปตามสัญญาระหว่างเจ้าของข้อมูลกับผู้ควบคุมข้อมูลเท่านั้น

6.สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล

          เจ้าของข้อมูลสามารถใช้สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลของตนเองได้ก็ต่อเมื่อข้อมูลนั้นเป็นการเก็บรวบรวมจากฐานภารกิจของรัฐหรือฐาน เพื่อประโยชน์โดยชอบด้วยกฎหมาย หรือฐานการเก็บรวบรวมเพื่อการตลาด หรือเพื่อการศึกษาทางวิทยาศาสตร์ประวัติศาสตร์หรือสถิติเท่านั้น แต่ทางองค์กรสามารถปฏิเสธที่จะปฏิบัติตามคำร้องขอของเจ้าของข้อมูลได้แต่จำเป็นจะต้องบันทึกเหตุผลที่ปฏิเสธเพื่อจัดเก็บเป็นหลักฐานเอาไว้ด้วย

7. สิทธิในการขอระงับการประมวลผลข้อมูลส่วนบุคคล

          เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการระงับการประมวลผลข้อมูลส่วนบุคคลเอาไว้เป็นระยะเวลาชั่วคราว โดยส่วนมากแล้วเหตุผลของการระงับการประมวลผลก็มาจากข้อมูลส่วนบุคคลนั้นยังไม่ถูกต้อง หรือยังมีความผิดพลาดหรือมีข้อแก้ไข หรืออยู่ในระหว่างรอการตรวจสอบความถูกต้อง หรือการประมวลผลข้อมูลส่วนบุคคลนั้นเป็นไปโดยมิชอบด้วยกฎหมาย 

ในกรณีที่ทางองค์กรจะปฏิเสธที่จะปฏิบัติตามคำร้องของเจ้าของข้อมูลจำเป็นจะต้องมีการแจ้งถึงเหตุผลในการปฏิเสธและบันทึกข้อมูลและเหตุผลในการปฏิเสธเอาไว้ด้วย

สรุป

          จะเห็นได้ว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล(PDPA) ฉบับนี้ ถูกสร้างมาเพื่อให้สิทธิ์กับเจ้าของข้อมูลเพิ่มมากขึ้น เพราะเนื่องจากว่าที่ผ่านมาเจ้าของข้อมูลนั้นแทบจะไม่มีสิทธิ์ในการรับรู้ถึงการใช้ข้อมูลของตนเองทำให้เกิดการใช้ข้อมูลที่ไม่ถูกต้องหรือไม่เป็นไปตามที่เจ้าของข้อมูลนั้นต้องการ

          สุดท้ายนี้ ผู้ที่มีข้อมูลของผู้อื่นหรือเป็นผู้ควบคุมข้อมูล จึงจำเป็นจะต้องมีช่องทางการใช้สิทธิ์ให้กับเจ้าของข้อมูลด้วย ไม่อย่างนั้นแล้วเจ้าของข้อมูลอาจจะทำการฟ้องร้องทางองค์กรทำให้เกิดความเสื่อมเสียทั้งทางด้านทรัพยากรและชื่อเสียงได้


https://openpdpa.org/datasubject/

04.08.68