fbpx

OpenPDPA

องค์กรคุณมีการเก็บข้อมูลส่วนบุคคลในลักษณะผิดต่อกฎหมาย PDPA แบบนี้หรือไม่

กฎหมาย PDPA Thailand ข้อมูล
นาย วันพิชิต ชินตระกูลชัย​

นาย วันพิชิต ชินตระกูลชัย​

Chief Technology Officer (CTO)
Ragnar Corporation

แบ่งปันบทความดีๆ

เนื้อหาในบทความ

PDPA ย่อมาจาก Personal Data Protection Act. หรือถ้าแปลเป็นไทยจะเรียกว่าพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 หน้าที่ก็ตามชื่อคือ ปกป้อง คุ้มครองข้อมูลส่วนบุคคลของคนไทย ซึ่งองค์กร หรือสถานประกอบการใดก็ตามที่ครอบครองข้อมูลส่วนบุคคลของผู้อื่นในทุก ๆ บทบาท เช่น ลูกค้า พนักงาน หรือใครก็ตาม องค์กร หรือสถานประกอบการนั้น ๆ ต้องดูแลจัดการข้อมูลส่วนบุคคลที่เก็บไว้ให้ปลอดภัย

ซึ่ง พ.ร.บ. จะเริ่มบังคับใช้ในปี 2565 นี้แล้ว แต่หลายองค์กรอาจยังไม่เข้าใจว่าการเก็บข้อมูลส่วนบุคคลของ พนักงาน หรือผู้ใช้บริการต้องปฏิบัติอย่างไร แล้วเก็บข้อมูลได้มากแค่ไหนถึงไม่ผิดกฎหมาย วันนี้เรามีคำตอบให้คุณ

การเก็บรวบรวมข้อมูลส่วนบุคคลตาม PDPA

PDPA เป็นกฎหมายที่คำนึงถึงข้อมูลส่วนบุคคลเป็นสำคัญ เนื่องจากข้อมูลส่วนบุคคลสามารถระบุตัวตนของเจ้าของข้อมูลได้อย่างชัดเจน ซึ่งหากข้อมูลส่วนบุคคลนั้นตกไปอยู่ในมือของผู้ไม่ประสงค์ดี ข้อมูลดังกล่าว อาจถูกนำไปสวมรอยตัวตนสร้างความเสียหายต่อเจ้าของข้อมูลได้ กฎหมายจึงอนุญาตให้เจ้าของข้อมูลมี สิทธิตัดสินใจในการให้ความยินยอม หรือไม่ให้ความยินยอม กรณีองค์กร หรือสถานประกอบการต้องการ จัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล เพื่อนำไปใช้ในการดำเนินงาน หรือให้บริการ

กฎหมาย PDPA จึงมีการกำหนดข้อปฏิบัติในการเก็บรวบรวมข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคล อย่างเราต้องปฏิบัติตาม โดยมีสาระสำคัญ 2 ข้อหลัก ๆ ดังนี้

PDPA ต้องทำอะไรบ้าง

ต้องขอความยินยอมก่อนเก็บรวบรวมข้อมูลส่วนบุคคล

” มาตรา 24 ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคล
โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล “

นั่นหมายความว่าผู้ควบคุมข้อมูลส่วนบุคคลต้องขอความยินยอม และได้รับความยินยอมจากลูกค้า พนักงาน หรือบุคคลใดก็ตามก่อนทำการจัดเก็บข้อมูลส่วนบุคคลทุกครั้ง โดยต้องขอความยินยอมในรูปแบบเอกสาร หรือระบบอิเล็กทรอนิกส์ แต่ทั้งนี้การขอความยินยอมก่อนเก็บรวบรวมข้อมูลส่วนบุคคล ก็มีข้อยกเว้น ที่ไม่จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลได้ในบางกรณี ดังต่อไปนี้

– เพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ หรือทำสถิติวิจัยต่าง ๆ
– เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ
– เพื่อปฏิบัติตามสัญญาหรือดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคล
– เพื่อปฏิบัติหน้าที่ดำเนินเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล
– เพื่อปฏิบัติตามข้อกฎหมาย

ข้อมูลละเอียดอ่อน Sensitive Personal Data

ห้ามเก็บข้อมูลละเอียดอ่อนโดยไม่ได้รับความยินยอม

” มาตรา 26 ห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา ปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลใน ทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของ ข้อมูลส่วนบุคคล ” 

ข้อมูลที่ระบุในข้างต้นนี้ คือข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data  ) สามารถส่ง กระทบร้ายแรงต่อความเป็นส่วนตัว และชีวิตของเจ้าของข้อมูลได้ แต่ขณะเดียวกัน ข้อมูลละเอียดอ่อน เหล่านี้ก็มีความสำคัญ และจำเป็นต่อการดำเนินงาน หรือการประมวลผลต่าง ๆ กฎหมายจึงมีการระบุให้ องค์กร หรือผู้ควบคุมข้อมูลส่วนบุคคลต้องขอความยินยอมจากเจ้าของข้อมูล โดยชัดแจ้งก่อนจัดเก็บข้อมูล ทุกครั้ง ยกเว้นในกรณีดังต่อไปนี้ที่ไม่จำเป็นต้องขอความยินยอมก่อนได้

– เพื่อระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ ซึ่งเจ้าของข้อมูลไม่สามารถให้ความยินยอมได้
– เพื่อดำเนินกิจกรรมตามกฎหมายของมูลนิธิ สมาคม หรือองค์กรไม่แสวงหากำไร
– ข้อมูลนั้นเป็นข้อมูลสาธารณะที่เจ้าของข้อมูลเปิดเผยไว้แล้ว
– การก่อตั้ง และการใช้สิทธิเรียกร้องตามกฎหมาย
– การปฏิบัติตามกฎหมายเกี่ยวกับเวชศาสตร์, ประโยชน์สาธารณะด้านสาธารณสุข, การคุ้มครองแรงงาน การประกันสังคม และการศึกษาวิจัยทางวิทยาศาสตร์

องค์กรต้องพิจารณาข้อมูลส่วนบุคคลที่จำเป็นต้องจัดเก็บมากขึ้น

แม้ว่าข้อมูลส่วนบุคคลจะได้รับการคุ้มครองจาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แต่คุณอย่า เพิ่งกังวลไป เพราะคุณยังสามารถจัดเก็บข้อมูลส่วนบุคคลเหล่านี้ได้ตามปกติ หากลักษณะธุรกิจของคุณ มีความจำเป็นใช้งานข้อมูลส่วนบุคคลเหล่านี้ตามกฎหมาย เพียงแต่ต้องขอความยินยอม แจ้งวัตถุประสงค์ การใช้งานให้เจ้าของข้อมูลทราบ รวมไปถึงพิจารณาข้อมูลเพื่อจัดเก็บข้อมูลเท่าที่จำเป็นใช้งานเท่านั้น ยกตัวอย่างเช่น

 การเก็บข้อมูลส่วนบุคคลในฐานะนายจ้างและลูกจ้าง คุณอาจจำเป็นต้องเก็บข้อมูลดังต่อไปนี้

  • ชื่อ ที่อยู่ หมายเลขบัตรประชาชนสำหรับยื่นภาษี ส่งประกันสังคม
  • หมายเลขบัญชีธนาคารสำหรับจ่ายเงินเดือนและโบนัสพิเศษ
  • รูปถ่าย และลายนิ้วมือสำหรับยืนยันตัวตนเข้าพื้นที่การทำงาน

แต่ขณะเดียวกัน ข้อมูลพันธุกรรม พฤติกรรมทางเพศ ความคิดเห็นทางการเมือง อาจไม่มี ความจำเป็นในการประมวลต่าง ๆ เพื่อประเมิณและพัฒนาบุคลากรในองค์กร จึงไม่จำเป็นต้องจัดเก็บนั่นเอง

การเก็บข้อมูลส่วนบุคคลในฐานะธุรกิจกับผู้ใช้บริการ ในการดำเนินงานหรือให้บริการลูกค้า คุณอาจต้องใช้ ข้อมูลชื่อนามสกุล ที่อยู่ เบอร์โทรศัพท์ และหมายเลขบัตรประชาชนเพื่อสมัครสมาชิก ให้บริการหลังการขาย หรือใช้ประมวลผลเพื่อพัฒนาผลิตภัณฑ์และการให้บริการต่อไป ซึ่งข้อมูลเชื้อชาติ ศาสนา ข้อมูลการศึกษา หรือแม้แต่ประวัติอาชาญกรรมไม่ได้มีผลต่อการให้บริการ หรือการวิเคราะห์ใด ๆ จึงไม่จำเป็นต้องจัดเก็บมา

เก็บข้อมูลส่วนบุคคลเกินความจำเป็น มีความเสี่ยงมากกว่าที่คิด

“เก็บข้อมูลส่วนบุคคลมาให้เหลือใช้ ดีกว่าไม่พอใช้” หากคุณกำลังคิดแบบนี้ เราขอคัดค้านความคิดของคุณ เพราะการเก็บข้อมูลส่วนบุคคลมามากเกินความจำเป็นนั้นมีความเสี่ยงมากมาย วันนี้เรามาแตกประเด็นนี้ให้ เห็นภาพกันชัด ๆ มากขึ้น

ยกตัวอย่างเช่น หากองค์กรของคุณ ไม่มีสวัสดิการในการจัดสรรอาหารกลางวัน สถานที่ประกอบศาสนกิจ หรือจัดสรรวันหยุดตามศาสนาให้กับพนักงาน ข้อมูลเกี่ยวกับเชื้อชาติ/ศาสนาก็ไม่ควรเก็บ

 หรือหากองค์กร ไม่ได้มีแผนจัดกิจกรรมเสริมสร้างสุขภาพให้กับพนักงาน ที่จำเป็นต้องขอข้อมูลน้ำหนัก ส่วนสูงของพนักงานเพื่อสำรวจความเสี่ยงด้านสุขภาพ ข้อมูลเกี่ยวกับน้ำหนัก ส่วนสูง หรือความดันต่าง ๆ ของพนักงานก็ไม่ควรเก็บ เพราะหากข้อมูลส่วนบุคคลเหล่านี้รั่วไหลออกไป เจ้าของข้อมูลที่มีความอ่อนไหว อาจได้รับการปฏิบัติอย่างไม่เป็นธรรม

ผิดต่อข้อกำหนดของ PDPA

มาตรา 22 ระบุว่า “การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จำเป็นภายใต้วัตถุประสงค์ อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล” ซึ่งหากมีการตรวจสอบพบว่าผู้ควบคุมข้อมูลส่วนบุคคล ฝ่าฝืน ไม่ปฏิบัติตามต้องรับโทษทางปกครอง สูงสุด 3 ล้านบาท

เสี่ยงต่อการจารกรรมข้อมูล

หากข้อมูลส่วนบุคคลที่คุณเก็บรวบรวมมา ไม่ตรงจุดประสงค์และไม่ถูกนำไปใช้งาน ข้อมูลส่วนบุคคลนั้นอาจ ถูกละเลย ไม่ได้รับการดูแลจัดการที่ถูกต้อง เหมาะสมตามความสำคัญของข้อมูล แล้วหากโชคไม่ดีองค์กร ของคุณถูกอาชาญกรไซเบอร์โจมตีเข้ามาสร้างความเสียหาย ข้อมูลส่วนบุคคลที่ถูกละเลยการดูแล อาจกลายเป็นข้อมูลแรก ๆ ที่ถูกขโมยออกไป

ซึ่งความเสียหายที่ตามมาคือ เจ้าของข้อมูลสามารถร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ทำให้องค์กรของคุณมีความผิดฐานฝ่าฝืน ไม่ปฏิบัติตามข้อกำหนดของกฎหมายในการดูแลจัดการข้อมูล ส่วนบุคคลให้ปลอดภัยตลอดระยะการจัดเก็บ

เก็บข้อมูลส่วนบุคคลมาเท่าที่จำเป็นใช้ ก็ต้องส่งต่อข้อมูลเท่าที่จำเป็นด้วย

การเก็บข้อมูลส่วนบุคคลเท่าที่จำเป็นใช้งาน ถือเป็นเรื่องสำคัญที่คุณไม่ควรมองข้าม แต่ข้อควรระวังอีกอย่าง คือการส่งต่อข้อมูลส่วนบุคคล แม้ว่าเราจะเก็บข้อมูลส่วนบุคคลมาเพียงพอต่อการใช้งานภายในองค์กรแล้ว แต่อาจไม่ใช่ทุกกิจกรรมที่ใช้งานข้อมูลส่วนบุคคลเท่ากัน

ยกตัวอย่างเช่น แผนก A ต้องใช้ข้อมูลพื้นฐานเพื่อทำประวัติพนักงาน ในขณะที่แผนก B ใช้เพียงชื่อนาม สกุล แผนก และรหัสประจำตัวพนักงานเพื่อทำทะเบียนทรัพย์สินว่าพนักงานคนใดดูแลทรัพย์สินสารสนเทศ ใดบ้าง

การส่งต่อข้อมูลส่วนบุคคลเกินความจำเป็นที่แผนกนั้น ๆ ต้องใช้งาน ก็นับว่าเป็นการเก็บข้อมูลส่วนบุคคล ในแต่ละส่วนงานเกินความจำเป็น และอาจไม่ได้รับการดูแลรักษาที่ดีจนนำไปสู่การรั่วไหลได้เช่นกัน

เพราะฉะนั้น นอกจากการเก็บข้อมูลส่วนบุคคลจากเจ้าของข้อมูลเท่าที่จำเป็นใช้งานแล้ว อย่าลืมตรวจสอบและส่งต่อข้อมูลที่จำเป็นต้องใช้งานให้แต่ละส่วนงานเท่าที่จำเป็นใช้งานด้วยนะคะ

     หากผู้บริการองค์กร หรือผู้ที่ได้รับมอบหมายให้รับผิดชอบเกี่ยวกับการดูแลจัดการข้อมูลส่วนบุคคลได้ อ่านบทความเกี่ยวกับความเสี่ยงที่อาจเกิดขึ้นจากการเก็บข้อมูลส่วนบุคคลเกินความจำเป็นนี้ เราหวังว่า คุณจะมองเห็นความสำคัญและความเสี่ยงจากการเก็บรวบรวมข้อมูลส่วนบุคคลมากขึ้น รวมไปถึงมีการพึง ระวังมิให้บุคลากรในองค์กรเก็บรวบรวมข้อมูลส่วนบุคคลที่มากเกินความจำเป็น จนนำไปสู่ความเสียหาย ร้ายแรงที่เราได้กล่าวไปข้างต้นนี้ด้วยนะคะ

Share With Your Friends

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on email
Email

บทความที่เกี่ยวข้อง

แบ่งปันบทความดีๆ

บทความอื่นๆ

สิทธิเจ้าของข้อมูลส่วนบุคคล
Process
สิทธิเจ้าของข้อมูลส่วนบุคคล มีอะไรบ้าง? ถ้าไม่อยากถูกฟ้องต้องมีช่องทางการใช้สิทธิ

กฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ได้กำหนด สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) อะไรบ้าง