องค์กรคุณมีการเก็บข้อมูลส่วนบุคคลในลักษณะผิดต่อกฎหมาย PDPA แบบนี้หรือไม่

PDPA ย่อมาจาก Personal Data Protection Act. หรือถ้าแปลเป็นไทยจะเรียกว่าพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 หน้าที่ก็ตามชื่อคือ ปกป้อง คุ้มครองข้อมูลส่วนบุคคลของคนไทย ซึ่งองค์กร หรือสถานประกอบการใดก็ตามที่ครอบครองข้อมูลส่วนบุคคลของผู้อื่นในทุก ๆ บทบาท เช่น ลูกค้า พนักงาน หรือใครก็ตาม องค์กร หรือสถานประกอบการนั้น ๆ ต้องดูแลจัดการข้อมูลส่วนบุคคลที่เก็บไว้ให้ปลอดภัย

ซึ่ง พ.ร.บ. จะเริ่มบังคับใช้ในปี 2565 นี้แล้ว แต่หลายองค์กรอาจยังไม่เข้าใจว่าการเก็บข้อมูลส่วนบุคคลของ พนักงาน หรือผู้ใช้บริการต้องปฏิบัติอย่างไร แล้วเก็บข้อมูลได้มากแค่ไหนถึงไม่ผิดกฎหมาย วันนี้เรามีคำตอบให้คุณ

การเก็บรวบรวมข้อมูลส่วนบุคคลตาม PDPA

PDPA เป็นกฎหมายที่คำนึงถึงข้อมูลส่วนบุคคลเป็นสำคัญ เนื่องจากข้อมูลส่วนบุคคลสามารถระบุตัวตนของเจ้าของข้อมูลได้อย่างชัดเจน ซึ่งหากข้อมูลส่วนบุคคลนั้นตกไปอยู่ในมือของผู้ไม่ประสงค์ดี ข้อมูลดังกล่าว อาจถูกนำไปสวมรอยตัวตนสร้างความเสียหายต่อเจ้าของข้อมูลได้ กฎหมายจึงอนุญาตให้เจ้าของข้อมูลมี สิทธิตัดสินใจในการให้ความยินยอม หรือไม่ให้ความยินยอม กรณีองค์กร หรือสถานประกอบการต้องการ จัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูล เพื่อนำไปใช้ในการดำเนินงาน หรือให้บริการ

กฎหมาย PDPA จึงมีการกำหนดข้อปฏิบัติในการเก็บรวบรวมข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคล อย่างเราต้องปฏิบัติตาม โดยมีสาระสำคัญ 2 ข้อหลัก ๆ ดังนี้

ต้องขอความยินยอมก่อนเก็บรวบรวมข้อมูลส่วนบุคคล

” มาตรา 24 ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคล
โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล “

นั่นหมายความว่าผู้ควบคุมข้อมูลส่วนบุคคลต้องขอความยินยอม และได้รับความยินยอมจากลูกค้า พนักงาน หรือบุคคลใดก็ตามก่อนทำการจัดเก็บข้อมูลส่วนบุคคลทุกครั้ง โดยต้องขอความยินยอมในรูปแบบเอกสาร หรือระบบอิเล็กทรอนิกส์ แต่ทั้งนี้การขอความยินยอมก่อนเก็บรวบรวมข้อมูลส่วนบุคคล ก็มีข้อยกเว้น ที่ไม่จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลได้ในบางกรณี ดังต่อไปนี้

– เพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ หรือทำสถิติวิจัยต่าง ๆ
– เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ
– เพื่อปฏิบัติตามสัญญาหรือดำเนินการตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคล
– เพื่อปฏิบัติหน้าที่ดำเนินเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล
– เพื่อปฏิบัติตามข้อกฎหมาย

ห้ามเก็บข้อมูลละเอียดอ่อนโดยไม่ได้รับความยินยอม

” มาตรา 26 ห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา ปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลใน ทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของ ข้อมูลส่วนบุคคล ” 

ข้อมูลที่ระบุในข้างต้นนี้ คือข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data  ) สามารถส่ง กระทบร้ายแรงต่อความเป็นส่วนตัว และชีวิตของเจ้าของข้อมูลได้ แต่ขณะเดียวกัน ข้อมูลละเอียดอ่อน เหล่านี้ก็มีความสำคัญ และจำเป็นต่อการดำเนินงาน หรือการประมวลผลต่าง ๆ กฎหมายจึงมีการระบุให้ องค์กร หรือผู้ควบคุมข้อมูลส่วนบุคคลต้องขอความยินยอมจากเจ้าของข้อมูล โดยชัดแจ้งก่อนจัดเก็บข้อมูล ทุกครั้ง ยกเว้นในกรณีดังต่อไปนี้ที่ไม่จำเป็นต้องขอความยินยอมก่อนได้

– เพื่อระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ ซึ่งเจ้าของข้อมูลไม่สามารถให้ความยินยอมได้
– เพื่อดำเนินกิจกรรมตามกฎหมายของมูลนิธิ สมาคม หรือองค์กรไม่แสวงหากำไร
– ข้อมูลนั้นเป็นข้อมูลสาธารณะที่เจ้าของข้อมูลเปิดเผยไว้แล้ว
– การก่อตั้ง และการใช้สิทธิเรียกร้องตามกฎหมาย
– การปฏิบัติตามกฎหมายเกี่ยวกับเวชศาสตร์, ประโยชน์สาธารณะด้านสาธารณสุข, การคุ้มครองแรงงาน การประกันสังคม และการศึกษาวิจัยทางวิทยาศาสตร์

องค์กรต้องพิจารณาข้อมูลส่วนบุคคลที่จำเป็นต้องจัดเก็บมากขึ้น

แม้ว่าข้อมูลส่วนบุคคลจะได้รับการคุ้มครองจาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แต่คุณอย่า เพิ่งกังวลไป เพราะคุณยังสามารถจัดเก็บข้อมูลส่วนบุคคลเหล่านี้ได้ตามปกติ หากลักษณะธุรกิจของคุณ มีความจำเป็นใช้งานข้อมูลส่วนบุคคลเหล่านี้ตามกฎหมาย เพียงแต่ต้องขอความยินยอม แจ้งวัตถุประสงค์ การใช้งานให้เจ้าของข้อมูลทราบ รวมไปถึงพิจารณาข้อมูลเพื่อจัดเก็บข้อมูลเท่าที่จำเป็นใช้งานเท่านั้น ยกตัวอย่างเช่น

 การเก็บข้อมูลส่วนบุคคลในฐานะนายจ้างและลูกจ้าง คุณอาจจำเป็นต้องเก็บข้อมูลดังต่อไปนี้

• ชื่อ ที่อยู่ หมายเลขบัตรประชาชนสำหรับยื่นภาษี ส่งประกันสังคม
• หมายเลขบัญชีธนาคารสำหรับจ่ายเงินเดือนและโบนัสพิเศษ
• รูปถ่าย และลายนิ้วมือสำหรับยืนยันตัวตนเข้าพื้นที่การทำงาน

แต่ขณะเดียวกัน ข้อมูลพันธุกรรม พฤติกรรมทางเพศ ความคิดเห็นทางการเมือง อาจไม่มี ความจำเป็นในการประมวลต่าง ๆ เพื่อประเมิณและพัฒนาบุคลากรในองค์กร จึงไม่จำเป็นต้องจัดเก็บนั่นเอง

การเก็บข้อมูลส่วนบุคคลในฐานะธุรกิจกับผู้ใช้บริการ ในการดำเนินงานหรือให้บริการลูกค้า คุณอาจต้องใช้ ข้อมูลชื่อนามสกุล ที่อยู่ เบอร์โทรศัพท์ และหมายเลขบัตรประชาชนเพื่อสมัครสมาชิก ให้บริการหลังการขาย หรือใช้ประมวลผลเพื่อพัฒนาผลิตภัณฑ์และการให้บริการต่อไป ซึ่งข้อมูลเชื้อชาติ ศาสนา ข้อมูลการศึกษา หรือแม้แต่ประวัติอาชาญกรรมไม่ได้มีผลต่อการให้บริการ หรือการวิเคราะห์ใด ๆ จึงไม่จำเป็นต้องจัดเก็บมา

เก็บข้อมูลส่วนบุคคลเกินความจำเป็น มีความเสี่ยงมากกว่าที่คิด

“เก็บข้อมูลส่วนบุคคลมาให้เหลือใช้ ดีกว่าไม่พอใช้” หากคุณกำลังคิดแบบนี้ เราขอคัดค้านความคิดของคุณ เพราะการเก็บข้อมูลส่วนบุคคลมามากเกินความจำเป็นนั้นมีความเสี่ยงมากมาย วันนี้เรามาแตกประเด็นนี้ให้ เห็นภาพกันชัด ๆ มากขึ้น

ยกตัวอย่างเช่น หากองค์กรของคุณ ไม่มีสวัสดิการในการจัดสรรอาหารกลางวัน สถานที่ประกอบศาสนกิจ หรือจัดสรรวันหยุดตามศาสนาให้กับพนักงาน ข้อมูลเกี่ยวกับเชื้อชาติ/ศาสนาก็ไม่ควรเก็บ

 หรือหากองค์กร ไม่ได้มีแผนจัดกิจกรรมเสริมสร้างสุขภาพให้กับพนักงาน ที่จำเป็นต้องขอข้อมูลน้ำหนัก ส่วนสูงของพนักงานเพื่อสำรวจความเสี่ยงด้านสุขภาพ ข้อมูลเกี่ยวกับน้ำหนัก ส่วนสูง หรือความดันต่าง ๆ ของพนักงานก็ไม่ควรเก็บ เพราะหากข้อมูลส่วนบุคคลเหล่านี้รั่วไหลออกไป เจ้าของข้อมูลที่มีความอ่อนไหว อาจได้รับการปฏิบัติอย่างไม่เป็นธรรม

ผิดต่อข้อกำหนดของ PDPA

มาตรา 22 ระบุว่า “การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จำเป็นภายใต้วัตถุประสงค์ อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล” ซึ่งหากมีการตรวจสอบพบว่าผู้ควบคุมข้อมูลส่วนบุคคล ฝ่าฝืน ไม่ปฏิบัติตามต้องรับโทษทางปกครอง สูงสุด 3 ล้านบาท

เสี่ยงต่อการจารกรรมข้อมูล

หากข้อมูลส่วนบุคคลที่คุณเก็บรวบรวมมา ไม่ตรงจุดประสงค์และไม่ถูกนำไปใช้งาน ข้อมูลส่วนบุคคลนั้นอาจ ถูกละเลย ไม่ได้รับการดูแลจัดการที่ถูกต้อง เหมาะสมตามความสำคัญของข้อมูล แล้วหากโชคไม่ดีองค์กร ของคุณถูกอาชาญกรไซเบอร์โจมตีเข้ามาสร้างความเสียหาย ข้อมูลส่วนบุคคลที่ถูกละเลยการดูแล อาจกลายเป็นข้อมูลแรก ๆ ที่ถูกขโมยออกไป

ซึ่งความเสียหายที่ตามมาคือ เจ้าของข้อมูลสามารถร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ทำให้องค์กรของคุณมีความผิดฐานฝ่าฝืน ไม่ปฏิบัติตามข้อกำหนดของกฎหมายในการดูแลจัดการข้อมูล ส่วนบุคคลให้ปลอดภัยตลอดระยะการจัดเก็บ

เก็บข้อมูลส่วนบุคคลมาเท่าที่จำเป็นใช้ ก็ต้องส่งต่อข้อมูลเท่าที่จำเป็นด้วย

การเก็บข้อมูลส่วนบุคคลเท่าที่จำเป็นใช้งาน ถือเป็นเรื่องสำคัญที่คุณไม่ควรมองข้าม แต่ข้อควรระวังอีกอย่าง คือการส่งต่อข้อมูลส่วนบุคคล แม้ว่าเราจะเก็บข้อมูลส่วนบุคคลมาเพียงพอต่อการใช้งานภายในองค์กรแล้ว แต่อาจไม่ใช่ทุกกิจกรรมที่ใช้งานข้อมูลส่วนบุคคลเท่ากัน

ยกตัวอย่างเช่น แผนก A ต้องใช้ข้อมูลพื้นฐานเพื่อทำประวัติพนักงาน ในขณะที่แผนก B ใช้เพียงชื่อนาม สกุล แผนก และรหัสประจำตัวพนักงานเพื่อทำทะเบียนทรัพย์สินว่าพนักงานคนใดดูแลทรัพย์สินสารสนเทศ ใดบ้าง

การส่งต่อข้อมูลส่วนบุคคลเกินความจำเป็นที่แผนกนั้น ๆ ต้องใช้งาน ก็นับว่าเป็นการเก็บข้อมูลส่วนบุคคล ในแต่ละส่วนงานเกินความจำเป็น และอาจไม่ได้รับการดูแลรักษาที่ดีจนนำไปสู่การรั่วไหลได้เช่นกัน

เพราะฉะนั้น นอกจากการเก็บข้อมูลส่วนบุคคลจากเจ้าของข้อมูลเท่าที่จำเป็นใช้งานแล้ว อย่าลืมตรวจสอบและส่งต่อข้อมูลที่จำเป็นต้องใช้งานให้แต่ละส่วนงานเท่าที่จำเป็นใช้งานด้วยนะคะ

     หากผู้บริการองค์กร หรือผู้ที่ได้รับมอบหมายให้รับผิดชอบเกี่ยวกับการดูแลจัดการข้อมูลส่วนบุคคลได้ อ่านบทความเกี่ยวกับความเสี่ยงที่อาจเกิดขึ้นจากการเก็บข้อมูลส่วนบุคคลเกินความจำเป็นนี้ เราหวังว่า คุณจะมองเห็นความสำคัญและความเสี่ยงจากการเก็บรวบรวมข้อมูลส่วนบุคคลมากขึ้น รวมไปถึงมีการพึง ระวังมิให้บุคลากรในองค์กรเก็บรวบรวมข้อมูลส่วนบุคคลที่มากเกินความจำเป็น จนนำไปสู่ความเสียหาย ร้ายแรงที่เราได้กล่าวไปข้างต้นนี้ด้วยนะคะ

Share With Your Friends

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on email
Email

บทความที่เกี่ยวข้อง