ข้อมูลส่วนบุคคลคืออะไร สำคัญแค่ไหน

11 Feb 2021

เมื่อการทำงานกับเทคโนโลยีที่เปลี่ยนไปโดยใช้ข้อมูลจำนวนมหาศาลเป็นเสมือนทรัพยากรพื้นฐานที่สำคัญขององค์กร สิ่งที่เลี่ยงไม่ได้ที่มากับการใช้ข้อมูลก็คือ ความรับผิดชอบที่ต้องเพิ่มมากขึ้นกับข้อมูล เพราะธุรกิจนั้นนำข้อมูลของลูกค้ามาใช้เพื่อกิจกรรมทางธุรกิจ บางครั้งความสมดุลในการนำมาใช้กับเรื่องความเป็นส่วนตัว จึงเป็นสิ่งที่ต้องคำนึงถึง เพราะถือเป็นเรื่องสำคัญทางกฎหมายในเรื่อง สิทธิความเป็นส่วนตัวในเรื่องต่างๆ ซึ่งมีองค์ประกอบและเกี่ยวพันกันทั้งในทางสังคม กฎหมาย จริยธรรม สิทธิความเป็นส่วนตัวทางด้านข้อมูลจึงเป็นเรื่องที่ทุกฝ่ายให้ความสนใจเป็นอย่างมาก ประเทศไทยได้ประกาศใช้ พระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ไปเมื่อวันที่ 24 พฤษภาคม พ.ศ.2562 ซึ่งมีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 แล้วในบางส่วน ซึ่งวันที่ 27 พฤษภาคม 2563 เป็นวันที่ พ.ร.บ.นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ ในหมายเหตุได้ให้เหตุผลไว้ดังนี้

“เหตุผลในการประกาศใช้พระราชบัญญัติฉบับนี้ คือ เนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมากจนสร้างความเดือดร้อนรำคาญหรือความเสียหาย ให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดดังกล่าว ทำได้โดยง่าย สะดวก และรวดเร็ว ก่อให้เกิด ความเสียหายต่อเศรษฐกิจโดยรวม สมควรกำหนดให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เป็นการทั่วไปขึ้น เพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกากับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูล ส่วนบุคคลที่เป็นหลักการทั่วไป จึงจำเป็นต้องตราพระราชบัญญัตินี้” บัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ เห็นได้ชัดว่ารัฐบาลให้ความสำคัญกับเรื่องข้อมูล การเติบโตของเทคโนโลยี การแข่งขันทางธุรกิจ ที่มีแนวโน้มที่จะนำข้อมูลไปใช้ในแง่มุมต่างๆ เป็นอย่างมาก ประกอบกับความก้าวหน้าย่อมเป็นที่มาของการรวบรวมข้อมูลได้ปริมาณมหาศาล การป้องกัน กำกับดูแลเรื่องข้อมูลนี้ จึงถือเป็นเรื่องที่ทุกๆ ฝ่ายในสังคมต้องให้ความสนใจ โดยไม่จำกัดอยู่เฉพาะในแวดวงธุรกิจเท่านั้น ก่อนอื่นเราจะต้องทำความเข้าใจกับคำว่าข้อมูลส่วนบุคคลก่อนว่าหมายถึงอะไร

ตามมาตรา 6 ใน พระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
ได้ให้นิยามความหมายของข้อมูลส่วนบุคคลและบุคคลที่เกี่ยวข้องไว้ดังนี้
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทาให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

ดังนั้นองค์ประกอบของบุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลจึงมีสามองค์ประกอบหลักคือ
เจ้าของข้อมูลส่วนบุคคล (Data Subject), ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller),
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) โดยมีกิจกรรมเรียกว่า กิจกรรมการประมวลผลข้อมูล (Data Processing)

ดังนั้น SMEs จึงอาจจะอยู่ในฐานะใด ฐานะหนึ่งของบุคคลที่เกี่ยวข้อง จึงมีความจำเป็นอย่างยิ่งที่จะต้องศึกษา หรือทำความเข้าใจพื้นฐานที่เกี่ยวข้องกับ พระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ให้สามารถดำเนินธุรกิจและสามารถจัดการกับข้อมูลได้อย่างถูกต้องตามกฎหมาย

ตัวอย่างข้อมูลที่เป็นข้อมูลส่วนบุคคล*
(1) ชื่อ-นามสกุล หรือชื่อเล่น
(2) เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต (การเก็บเป็นภาพสำเนา บัตรประชาชนหรือสำเนาบัตรอื่นๆ ที่มีข้อมูลส่วนบุคคลที่กล่าวมาย่อมสามารถใช้ระบุ ตัวบุคคลได้โดยตัวมันเอง จึงถือเป็นข้อมูลส่วนบุคคล)
(3) ที่อยู่, อีเมล์, เลขโทรศัพท์
(4) ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address, MAC address, Cookie ID
(5) ข้อมูลทางชีวมิติ (Biometric) เช่น รูปภาพใบหน้า, ลายนิ้วมือ, ฟิล์มเอกซเรย์, ข้อมูลสแกนม่านตา,ข้อมูลอัตลักษณ์เสียง,ข้อมูลพันธุกรรม
(6) ข้อมูลระบุทรัพย์สินของ บุคคล เช่น ทะเบียนรถยนต์, โฉนดที่ดิน
(7) ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิดและสถานที่เกิด, เชื้อชาติ,
สัญชาติ, น้ำหนัก, ส่วนสูง, ข้อมูลตำแหน่งที่อยู่ (location), ข้อมูลการแพทย์, ข้อมูล
การศึกษา, ข้อมูลทางการเงิน, ข้อมูลการจ้างงาน
(8) ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิล์ม แม้ ไม่สามารถระบุไปถึงตัวบุคคลได้ แต่หากใช้ร่วมกับระบบดัชนีข้อมูลอีกระบบหนึ่งก็จะสามารถระบุไปถึงตัวบุคคลได้ ดังนั้น ข้อมูลในไมโครฟิล์มจึงเป็นข้อมูลส่วนบุคคล
(9) ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง
(10) ข้อมูลบันทึกต่างๆ ที่ใช้ติดตามตรวจสอบกิจกรรมต่างๆ ของบุคคล เช่น log file
(11) ข้อมูลที่สามารถใช้ในการค้นหาข้อมูลส่วนบุคคลอื่นในอินเทอร์เน็ต

ตัวอย่างข้อมูลที่ไม่เป็นข้อมูลส่วนบุคคล*
(1) เลขทะเบียนบริษัท
(2) ข้อมูลสาหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคลเช่นหมายเลขโทรศัพท์หรือ แฟกซ์ที่ทำงาน, ที่อยู่สำนักงาน, อีเมล์ที่ใช้ในการทำงาน, อีเมล์ของบริษัท เช่น info@companay.com เป็นต้น
(3) ข้อมูลนิรนาม (Anonymous Data) หรือข้อมูลแฝง (Pseudonymous Data) หมายถึงข้อมูลหรือชุดข้อมูลที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีการทางเทคนิค
(4) ข้อมูลผู้ตาย

ข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว*
(1) เชื้อชาติ
(2) เผ่าพันธุ์
(3) ความคิดเห็นทางการเมือง
(4) ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
(5) พฤติกรรมทางเพศ
(6) ประวัติอาชญากรรม
(7) ข้อมูลสุขภาพความพิการหรือข้อมูลสุขภาพจิต
(8) ข้อมูลสหภาพแรงงาน
(9) ข้อมูลพันธุกรรม
(10) ข้อมูลชีวภาพ
(11) ข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด

จะเห็นได้ว่าข้อมูลส่วนบุคคลนั้นมีทั้งแบบทั่วไป และข้อมูลอ่อนไหว รวมถึงข้อมูลบางชนิดก็ไม่ได้ถูกระบุว่าเป็นข้อมูลส่วนบุคคลซึ่ง หน่วยงานหรือองค์กรทั้งหลายจึงไม่ต้องขอความยินยอมเพื่อที่จะเก็บ รวบรวม ใช้ หรือเปิดเผย ข้อมูลสำหรับการติดต่อทางธุรกิจ และไม่ต้องปฏิบัติตามแนวปฏิบัตินี้ในส่วนที่เกี่ยวข้องกับ ข้อมูลสำหรับ การติดต่อทางธุรกิจ และข้อมูลอ่อนไหวนั้นหมายถึง
“[Sensitive Personal Data] ข้อมูลอ่อนไหวเป็นข้อมูลส่วนบุคคล ที่เป็นเรื่องส่วนตัวโดยแท้ ของบุคคลแต่มีความละเอียดอ่อน
และสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม จึงจำเป็นต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ”*
เราจึงควรใส่ใจและแยกจำแนกข้อมูลต่างๆ ออกให้ชัดเจน ตามแผนการทำผังการไหลเวียนของข้อมูลดังที่ได้นำเสนอไปแล้วนั้น เพื่อจะได้ทราบและสามารถแยกวิธีจัดการกับข้อมูลแต่ละชนิดให้ถูกต้องตามหลักกฎหมาย รวมถึงสามารถนำมาใช้ประโยชน์ได้อย่างเต็มที่

เมื่อเราพอจะเข้าใจหรือทราบความหมายของ ข้อมูลส่วนบุคคลแล้ว กระบวนการจัดการข้อมูลของเราจึงต้องให้ความระมัดระวังเป็นพิเศษกับข้อมูลเหล่านี้ ซึ่ง SMEs ควรจะเริ่มจากนั้นทำการสำรวจ ข้อมูลภายในธุรกิจที่นำมาใช้ว่ามีข้อมูลใดที่เข้าข่าย ข้อมูลส่วนบุคคลหรือไม่ จึงนั้นจึงได้เริ่มกระบวนการจัดการ ซึ่งอาจจะปรึกษากับผู้เชี่ยวชาญต่อไป ในกรณีที่ข้อมูลขนาด และปริมาณมาก หรือมีข้อมูลอ่อนไหว ที่นำไปใช้ในธุรกิจของตน หรือแม้กระทั่งหากมีการโอนย้ายข้อมูลไปต่างประเทศ ที่สำคัญหากมีการทำธุรกิจกับต่างประเทศโดยเฉพาะสหภาพยุโรป ซึ่งมีความเข้มข้นในเรื่องข้อมูลส่วนบุคคลเป็นอย่างมาก SMEs ก็จำเป็นจะต้องเข้าใจเรื่องกฎหมายด้านข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ GDPR ซึ่งจะต้องปฎิบัติตามแนวกฎหมายเป็นหลัก เพราะทั้งกฎหมายของไทย และยุโรป มีการลงโทษ ทั้งทางแพ่ง อาญา และโทษทางการปกครอง ที่มีจำนวนค่าปรับค่อนข้างสูง กฎหมายระบุโทษค่าปรับไว้สูงสุดที่ 5 ล้านบาท แต่ทั้งนี้ทั้งนั้นก็ขึ้นอยู่กับปัจจัยหลายอย่างๆ หลายๆ ด้านที่จะถูกนำมาใช้ในการตัดสินคดีความ หากมีการละเมิดข้อมูลส่วนบุคคล หรือมีการรั่วไหลของข้อมูลจนทำให้เกิดความเสียหาย

ดังนั้น SMEs จึงควรให้ความสนใจ และเตรียมตัวแต่เนิ่น ๆ ที่จะรับมือกับเรื่องนี้ ซึ่งถือว่าเป็นองค์ประกอบอีกเรื่องใน BIG DATA ที่เราต้องเตรียมตัวนอกเหนือไปจากเรื่องเทคโนโลยี เรื่องการวิเคราะห์ เรื่องธุรกิจ เพราะหากเราไม่มีวิธีจัดการกับข้อมูลส่วนบุคคลที่ถูกต้องเหมาะสมตามกฎหมาย นั่นย่อมหมายถึงความเสียหายกับธุรกิจที่จะเกิดขึ้น ทั้งในแง่ค่าปรับ และด้านชื่อเสียงทางธุรกิจ ความเชื่อมั่น เชื่อใจที่ลูกค้ามีให้จะเสียหายจนประเมินค่าไม่ได้ จน SMEs สูญเสียความสามารถในการแข่งขัน และร้ายแรงจนถึงอาจจะต้องออกจากตลาดไปเลยก็เป็นได้

เรื่องสำคัญที่สุดอย่างหนึ่งในการทำธุรกิจก็คือการศึกษาสภาพแวดล้อมในสมรภูมิตลาด ใครที่เตรียมตัวแต่เนิ่นๆ เพื่อรับมือกับปัญหาต่างๆ ย่อมสามารถสร้างความยั่งยืนให้กับธุรกิจของตนได้หนือกว่าคู่แข่ง เรื่องข้อมูลส่วนบุคคลจึงสำคัญไม่แพ้เรื่องใดเลย ในวงจรของ BIG DATA

*คำอธิบายจาก
แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมลูส่วนบุคคล ของ ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย

sheare