ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ทั้งทางตรงหรือทางอ้อม แต่จะไม่นับรวมข้อมูลของผู้ที่เสียชีวิตไปแล้ว

ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ-นามสกุล หรือชื่อเล่น / เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต (การเก็บเป็นภาพสำเนาบัตรประชาชนหรือสำเนาบัตรอื่นๆที่มีข้อมูลส่วนบุคคลที่กล่าวมาย่อมสามารถใช้ระบุตัวบุคคลได้โดยตัวมันเอง จึงถือเป็นข้อมูลส่วนบุคคล) / ที่อยู่, อีเมล์, เลขโทรศัพท์ / ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address, MAC address, Cookie ID / ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์, โฉนดที่ดิน / ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิดและสถานที่เกิด, เชื้อชาติ,สัญชาติ, น้ำหนัก, ส่วนสูง, ข้อมูลตำแหน่งที่อยู่ (location), ข้อมูลการแพทย์, ข้อมูลการศึกษา, ข้อมูลทางการเงิน, ข้อมูลการจ้างงาน / ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิล์ม แม้ไม่สามารถระบุไปถึงตัวบุคคลได้ แต่หากใช้ร่วมกับระบบดัชนีข้อมูลอีกระบบหนึ่งก็จะสามารถระบุไปถึงตัวบุคคลได้ / ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง / ข้อมูลบันทึกต่าง ๆ ที่ใช้ติดตามตรวจสอบกิจกรรมต่าง ๆ ของบุคคล เช่น log file / ข้อมูลที่สามารถใช้ในการค้นหาข้อมูลส่วนบุคคลอื่นในอินเทอร์เน็ต

นอกจากนี้ยังมีข้อมูลส่วนบุคคลอีกประเภท ที่ พ.ร.บ. ฉบับนี้ให้ความสำคัญและมีบทลงโทษที่รุนแรงด้วยกรณีเกิดการรั่วไหลสู่สาธารณะ คือ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ได้แก่ ข้อมูล เชื้อชาติ, เผ่าพันธุ์, ความคิดเห็นทางการเมือง, ความเชื่อในลัทธิ ศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต, ข้อมูลสหภาพแรงงาน, ข้อมูลพันธุกรรม, ข้อมูลชีวภาพ, ข้อมูลทางชีวมิติ (Biometric) เช่น รูปภาพใบหน้า, ลายนิ้วมือ, ฟิล์มเอกซเรย์, ข้อมูลสแกนม่านตา, ข้อมูลอัตลักษณ์เสียง, ข้อมูลพันธุกรรม เป็นต้น และข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด

เหตุที่ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เป็นข้อมูลที่มีบทลงโทษที่รุนแรงกว่าข้อมูลส่วนบุคคลทั่วไป (Personal Data) เพราะหากข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนมีการรั่วไหลไปสู่สาธารณะแล้ว จะเกิดผลเสียที่ร้ายแรงกับผู้เป็นเจ้าของข้อมูลส่วนบุคคล(Data Subject)ได้มากกว่าข้อมูลส่วนบุคคลอื่นๆ มีผลต่อสิทธิเสรีภาพของบุคคล เช่น สิทธิเสรีภาพในความคิด ความเชื่อทางศาสนา การแสดงออก การชุมนุม สิทธิในชีวิตร่างกาย การอยู่อาศัย การไม่ถูกเลือกปฏิบัติ ซึ่งอาจจะก่อให้เกิดการแทรกแซงซึ่งสิทธิเสรีภาพและการเลือกปฏิบัติต่อการใช้สิทธิเสรีภาพของบุคคลได้มากกว่าข้อมูลส่วนบุคคลทั่วไป ยกตัวอย่างเช่น ข้อมูลพฤติกรรมทางเพศ เชื่อชาติ ศาสนา ประวัติอาชญากรรม ถ้ารั่วไหลไปแล้ว ข้อมูลเหล่านี้จะนำมาสู่ความเป็นอคติและจะมีผลกระทบต่อชีวิตส่วนบุคคลได้มากกว่าข้อมูลทั่วไปเป็นอย่างมาก

ผู้ควบคุมข้อมูลส่วนบุคคล จะสามารถรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ก็ต่อเมื่อ?

บุคคลธรรมดา หรือนิติบุคคล (บริษัท ห้างร้าน มูลนิธิ สมาคม หน่วยงาน องค์กร ร้านค้า หรืออื่นใดก็ตาม) หากมีการเก็บรวบรวมข้อมูลส่วนบุคคลไว้ หรือมีการนำข้อมูลส่วนบุคคลไปใช้ หรือนำไปเปิดเผยไม่ว่าจะวัตถุประสงค์ใดก็ตาม จำเป็นต้องได้รับ คำยินยอม (Consent) จากเจ้าของข้อมูลด้วย เว้นแต่จะเป็นไปตามข้อยกเว้นที่ พ.ร.บ.กำหนดไว้ โดยมีข้อยกเว้นดังต่อไปนี้

• จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ ที่เกี่ยวข้องกับ การศึกษาวิจัยหรือการจัดทำสถิติ
• เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
• จำเป็นเพื่อปฏิบัติตามสัญญากับเจ้าของข้อมูล เช่น การซื้อขายของออนไลน์ ต้องใช้ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล
• จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
• จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น
• เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล เช่น ส่งข้อมูลพนักงานให้กรมสรรพากรเรื่องภาษี เป็นต้น

• เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
• การดำเนินกิจกรรมที่ชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของ มูลนิธิ สมาคม องค์กรไม่แสวงหากำไร เช่น เรื่องศาสนาหรือความคิดเห็นทางการเมือง ซึ่งจำเป็นต้องเปิดเผยให้ทราบก่อนเข้าองค์กรนั้น ๆ เป็นต้น
• เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล เช่น บุคคลสาธารณะที่มีข้อมูลที่เปิดเผยต่อสาธารณะอยู่แล้วในความยินยอมของเจ้าของข้อมูล
• เป็นการจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย เช่น เก็บลายนิ้วมือของผู้ที่บุกรุกเพื่อนำไปใช้ในชั้นศาล เป็นต้น
• เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ เกี่ยวกับ เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ เช่น การเก็บข้อมูลสุขภาพของพนักงานซึ่งเป็นข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) องค์กรมักใช้ข้อนี้ในการอ้างสิทธิที่จำเป็นต้องเก็บข้อมูลนี้ไว้ เป็นต้น / ประโยชน์ด้านสาธารณะสุข, การคุ้มครองแรงงาน, การประกันสังคม, หลักประกันสุขภาพแห่งชาติ / การศึกษาวิจัยทางวิทยาศาสตร์, ประวัติศาสตร์, สถิติ, หรือประโยชน์สาธารณะอื่น / ประโยชน์สาธารณะที่สำคัญ

จะเห็นได้ว่า PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีหัวใจสำคัญก็เพื่อต้องการรักษาสิทธิที่พึงมีแก่เจ้าของข้อมูล ว่าข้อมูล ส่วนตัวของเราจะปลอดภัย นำไปใช้อย่างถูกต้องเหมาะสมตามความต้องการและยินยอมของเจ้าของข้อมูลอย่างแท้จริง อย่างไรก็ตามผู้เป็นเจ้าของข้อมูลก็ควรพิจารณาอย่างรอบคอบเช่นกันว่าการให้ข้อมูลส่วนบุคคลในแต่ละครั้ง เป็นไปเพื่อวัตถุประสงค์อะไร? ข้อมูลที่ให้ไปมีเพียงพอกับวัตถุประสงค์นั้นแล้วหรือยัง? หากมองว่ามีการให้ข้อมูลส่วนบุคคลนั้นไม่เกี่ยวข้องกับวัตถุประสงค์ของการขอข้อมูล เราก็สามารถปฏิเสธการให้ข้อมูลนั้นได้ เพื่อเป็นการป้องกันการนำข้อมูลไปใช้ในทางที่ผิดหรือหาผลประโยชน์จากข้อมูลส่วนบุคคลของเราก็เป็นได้

สำหรับในส่วนผู้เก็บข้อมูลนั้น นับว่าได้รับผลกระทบโดยตรงเป็นอย่างมากกับ PDPA ที่จะต้องปฏิบัติตาม ผู้ควบคุมข้อมูลส่วนบุคคลจึงต้องมีการกำหนดนโยบายความปลอดภัยของข้อมูลส่วนบุคคลภายในองค์กรและให้ความรู้แก่บุคคลากรในองค์กร, รู้ขอบเขตการเก็บรวบรวม การใช้ การเผยแพร่ข้อมูลส่วนบุคคล, มีระบบการจัดเก็บข้อมูลส่วนบุคคลที่ปลอดภัย, มีการจำกัดการเข้าถึงข้อมูลส่วนบุคคล, มีการบันทึกกิจกรรมการใช้ข้อมูลส่วนบุคคล สิ่งเหล่านี้ล้วนจำเป็นอย่างยิ่งที่ผู้ควบคุมข้อมูลจะต้องปฏิบัติตามเพื่อให้สอดคล้องกับ PDPA ต่อไป มาถึงตรงนี้ผู้อ่านก็พอจะทราบแล้วว่า PDPA คืออะไร และเกี่ยวข้องกับเราอย่างไร

ที่มา : t-reg แพลตฟอร์ม ตัวช่วยบริหารจัดการโครงการ PDPA