เชื่อว่าธุรกิจตื่นตัวกับ “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” หรือ Personal Data Protection Act (PDPA) A.D. 2019 ที่จะมีผลบังคับใช้ในปี 2021 กับพอสมควร เพราะโทษของการฝ่าฝืนหรือไม่ปฏิบัติตามนั้น อาจถูกปรับตั้งแต่ 5 แสนถึง 3 ล้านบาท ถูกจำคุก หรือทั้งจำทั้งปรับ แล้วแต่มาตราที่มีการฝ่าฝืนหรือไม่ทำตาม
นี่ยังไม่พูดถึงค่าสินไหมทดแทนที่เจ้าของข้อมูลส่วนตัวสามารถเรียกได้ตามที่ศาลเห็นสมควรด้วยนะ
ส่วนฝ่ายเจ้าของข้อมูลส่วนบุคคล แน่นอนว่าอาจเป็นผู้เสียหายได้ หลักๆคือถ้าข้อมูลส่วนตัวถูกผู้ควบคุมหรือประมวลผลข้อมูลส่วนตัว เอาไปใช้ หรือเปิดเผยโดยผิดวัตถุประสงค์ หรือไม่ได้รับความยินยอม เจ้าของข้อมูลส่วนตัวย่อมได้รับความเสียหาย (แต่แน่นอนว่ามีข้อยกเว้นที่ผู้ควบคุมหรือประมวลข้อมูลไม่ต้องรับผิดเช่นกัน)
จริงๆ พรบ.นี้มีรายละเอียดให้คุยอีกเยอะ และ พรบ.นี้ก็ไม่ใช่กฎหมายเดียวที่เอาไว้คุ้มครองข้อมูลส่วนตัว กฎหมายนี้ระบุชัดเจนถึงสิทธิของเจ้าของข้อมูลส่วนตัว เช่นผู้บริโภคสินค้าหรือบริการ แม่แต่คนเล่นอินเตอร์เน็ตเข้าเว็บไซต์ หน้าที่ของผู้ควบคุมข้อมูลส่วนตัวและหน้าที่ผู้ประมวลผลข้อมูลส่วนตัว เช่นเจ้าของเว็บไซต์ที่มีการติดตามพฤติกรรมของคนเข้าเว็บไซต์ของตัวเอง ระวางโทษต่างๆถ้าฝ่าฝืนหรือไม่ทำตาม รวมถึงฝ่ายต่างๆที่เกี่ยวข้องกับ พรบ.นี้
แต่ก่อนอื่นเราต้องรู้ก่อนว่าอะไรคือข้อมูลส่วนบุคคลตามกฎหมายที่ว่ากันก่อน
ข้อมูลส่วนบุคคลคืออะไร? มีอะไรบ้างที่เป็นข้อมูลส่วนบุคคล?
ตาม PDPA 2019 ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
และนี่คือตัวอย่างของข้อมูลที่เป็นข้อมูลส่วนบุคคล
- ชื่อ นามสกุล ชื่อเล่น
- เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต (การเก็บเป็นภาพสำเนาบัตรประชาชนหรือสำเนาบัตรอื่นๆที่ที่ข้อมูลส่วนบุคคล)
- ที่อยู่ อีเมล์ โทรศัพท์
- ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP Address, MAC Address, Cookie ID
- ข้อมูลทางชีวมิติ (Bio-metric) ไม่ว่าจะเป็นรูปภาพใบหน้า ลายนิ้วมือ ฟิลม์เอ็กซ์เรย์ ข้อมูลสแกนม่านตา ข้อมูลอัตลักษณ์เสียง ข้อมูลพันธุกรรม
- ข้อมูลระบุทรัพย์สินของบุคคล เช่นทะเบียนรถ โฉนดที่ดิน
- ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิด สถานที่เกิด เชื้อชาติ สัญชาติ น้ำหนัก ส่วนสูง ข้อมูลตำแหน่งที่อยู่ ข้อมูลการแพทย์ ข้อมูลการศึกษา ข้อมูลทางการเงิน ข้อมูลการจ้างงาน
- ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิลม์
- ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง
- ข้อมูลบันทึกต่างๆที่ใช้ติดตามสตรวจสอบกิจกรรมต่างๆของบุคคล เช่น Log Files
- ข้อมูลมที่ใช้ค้นหาข้อมูลส่วนบุคคลอื่นในอินเตอร์เน็ต
ข้อมูลแบบไหนที่ไม่ใช่ข้อมูลส่วนบุคคล?
ข้อมูลส่วนบุคคลเป็นข้อมูลที่สามารถระบุตัวบุคคลได้ ถ้าข้อมูลนั้นใช้ระบุตัวบุคคลไม่ได้ ก็ไม่ใช่ข้อมูลส่วนบุคคลตาม พรบ.นี้ เช่น
- เลขทะเบียบบริษัท
- ข้อมูลสำหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล เช่น หมายเลขโทรศัพท์ แฟกซ์ที่ทำงาน ที่อยู่สำนักงาน อีเมลที่ใช้ทำงาน อีเมล์บริษัท เช่น info@company.com
- ข้อมูลนิรนาม ข้อมูลแฝง ข้อมูลที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีทางเทคนิค
- ข้อมูลผู้ตาย
- ข้อมูลนิติบุคคล
ข้อมูลส่วนบุคคลขึ้นอยู่กับเราเจ้าของข้อมูลเป็นหลัก
ข้อมูลต่อไปนี้ ถ้าสามารถบอกอ้อมๆได้ว่าเป็นตัวเรา ก็ถือว่าเป็นข้อมูลส่วนตัวตามกฎหมาย PDPA 2019 ได้เหมือนกัน เช่น
- ชาติพันธุ์ เผ่าพันธุ์
- เพศ
- กลุ่ม สังกัด กลุ่มประชากร
- ครอบครัว ญาติมิตร
- ลักษณะทางกายภาพ
- ความรู้ ความเชื่อ
- ข้อมูล หรือสิ่งอ้างอิง การตั้งค่าอ้างอิง (Preference)
- ทรัพย์สิน กรรมสิทธ์ในทรัพย์สิน
- สุขภาพร่างกาย จิตใจ
- สถานะทางการเงิน
- อาชีพ
- พฆติกรรมส่วนบุคคล
- กิจกรรม การสมาคม
- กีฬา นันทนาการ
- บุคลิกภาพ
- สมาชิกกลุ่ม ชมรม กิจกรรม
อ่านถึงตรงนี้ อยากให้รู้ว่ากฎหมาย PDPA 2019 คุ้มครองข้อมูลของบุคคลที่ยังมีชีวิตอยู่เท่านั้น ถ้าเป็นข้อมูลคนที่เสียชีวิตแล้ว กฎหมายนี้ไม่คุ้มครองนะ ต้องไปดูกฎหมายอื่น ส่วนข้อมูลส่วนบุคคลตามกฎหมายนี้ คนหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูล (Data Controller) ก็ต้องมีหน้าที่ปฏิบัตตามกฎหมายนี้ต่อไป
แหล่งอ้างอิงส่วนหนึ่งจาก: หนังสือเรื่อง การคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection) โดย ดร. สุพิศ ปราณีตพลกรัง หน้า 27 – 30
