ชนิดข้อมูลใดเก็บข้อมูลด้านการเงิน

นาย วันพิชิต ชินตระกูลชัย​

Chief Technology Officer (CTO)
Ragnar Corporation

แบ่งปันบทความดีๆ

เนื้อหาในบทความ

          ในกฎหมาย PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (กำหนดการเลื่อนบังคับใช้ ในวันที่ 1 มิถุนายน 2565) มีหลายต่อหลายท่านต่างมีคำถามเดียวกันเมื่อได้ยินชื่อพระราชบัญญัตินี้เป็นครั้งแรกว่า ข้อมูลส่วนบุคคลคืออะไร?  แล้วข้อมูลส่วนบุคคลมีอะไรบ้าง? บทความนี้จะพาทุกท่านรับทราบถึงรายละเอียดดังกล่าว เพื่อสร้างความเข้าใจในขั้นพื้นฐานต่อกฎหมายพระราชบัญญัติฉบับนี้ให้มากยิ่งขึ้น

ข้อมูลส่วนบุคคลแบ่งออกเป็น 2 ประเภท ได้แก่

          1.ข้อมูลส่วนบุคคล (Personal Data)
                    อาจจะได้ยินเรียกกันว่า ข้อมูลส่วนบุคคลทั่วไป / ข้อมูลส่วนบุคคลปกติ / ข้อมูลส่วนบุคคลพื้นฐาน
          2.ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data)
                    อาจจะได้ยินเรียกกันว่า ข้อมูลส่วนบุคคลที่ละเอียดอ่อน

ข้อมูลส่วนบุคคล Personal Data คืออะไร?

          ข้อมูลส่วนบุคคล (Personal Data) คือ ข้อมูลใด ๆ ที่สามารถระบุตัวบุคคลนั้นได้ (ระบุไปถึงเจ้าของข้อมูล) ไม่ว่าจะเป็นทางตรงหรือทางอ้อมก็ตาม แต่จะไม่รวมไปถึงข้อมูลของผู้ที่เสียชีวิตแล้ว หรือ ข้อมูลของนิติบุคคล เช่น บริษัท มูลนิธิ สมาคม องค์กร

ตัวอย่าง ข้อมูลส่วนบุคคล (Personal Data) มีอะไรบ้าง

1. ชื่อ-นามสกุล หรือชื่อเล่น
2. เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต (การเก็บเป็นภาพสำเนาบัตรประชาชนหรือสำเนาบัตรอื่น ๆ ที่มีข้อมูลส่วนบุคคลที่กล่าวมาย่อมสามารถใช้ระบุตัวบุคคลได้โดยตัวมันเอง จึงถือเป็นข้อมูลส่วนบุคคล)
3. ที่อยู่, อีเมล์, เลขโทรศัพท์
4. ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address, MAC address, Cookie ID
5. ข้อมูลทางชีวมิติ (Biometric) เช่น รูปภาพใบหน้า, ลายนิ้วมือ, ฟิล์มเอกซเรย์, ข้อมูลสแกนม่านตา, ข้อมูลอัตลักษณ์เสียง, ข้อมูลพันธุกรรม
6. ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์, โฉนดที่ดิน
7. ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิดและสถานที่เกิด, เชื้อชาติ,สัญชาติ, น้ำหนัก, ส่วนสูง, ข้อมูลตำแหน่งที่อยู่ (location), ข้อมูลการแพทย์, ข้อมูลการศึกษา, ข้อมูลทางการเงิน, ข้อมูลการจ้างงาน
8. ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิล์ม แม้ไม่สามารถระบุไปถึงตัวบุคคลได้ แต่หากใช้ร่วมกับระบบดัชนีข้อมูลอีกระบบหนึ่งก็จะสามารถระบุไปถึงตัวบุคคลได้ ดังนั้น
9. ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง
10. ข้อมูลบันทึกต่าง ๆ ที่ใช้ติดตามตรวจสอบกิจกรรมต่าง ๆ ของบุคคล เช่น log file
11. ข้อมูลที่สามารถใช้ในการค้นหาข้อมูลส่วนบุคคลอื่นในอินเทอร์เน็ต

ตัวอย่าง ข้อมูลที่ไม่เป็นข้อมูลส่วนบุคคล มีอะไรบ้าง

1. เลขทะเบียนบริษัท
2. ข้อมูลสำหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล เช่น หมายเลขโทรศัพท์ หรือแฟกซ์ที่ทำงาน, ที่อยู่สำนักงาน, อีเมล์ที่ใช้ในการทำงาน, อีเมล์ของบริษัท เช่น [email protected] เป็นต้น
3. ข้อมูลนิรนาม (Anonymous Data) หรือข้อมูลแฝง (Pseudonymous Data) หมายถึงข้อมูลหรือชุดข้อมูลที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีการทางเทคนิค
4. ข้อมูลผู้ตาย

ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) คืออะไร?

          ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) คือ ข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม จึงจำเป็นต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ

ตัวอย่าง ข้อมูลส่วนบุคคลที่ข้อมูลอ่อนไหว มีอะไรบ้าง

1. เชื้อชาติ
2. เผ่าพันธุ์
3. ความคิดเห็นทางการเมือง
4. ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
5. พฤติกรรมทางเพศ
6. ประวัติอาชญากรรม
7. ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต
8. ข้อมูลสหภาพแรงงาน
9. ข้อมูลพันธุกรรม
10. ข้อมูลชีวภาพ
11. ข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด

โดย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล  มีสาระสำคัญอย่างหนึ่งที่ได้ระบุไว้ในมาตราที่ 19 ใจความว่า

ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติ แห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้

          หากจะขยายความให้ง่ายต่อความเข้าใจมากยิ่งขึ้น จะกล่าวได้ว่า ไม่ว่าจะเป็นบุคคลธรรมดาทั่วไป หรือเป็นบริษัท ห้างร้าน มูลนิธิ สมาคม หน่วยงาน องค์กร ร้านค้า หรืออื่นใดก็ตาม  หากมีการเก็บข้อมูลส่วนบุคคลไว้  หรือมีการนำข้อมูลส่วนบุคคลไปใช้ หรือนำไปเปิดเผยไม่ว่าจะวัตถุประสงค์ใดก็ตาม จำเป็นต้องได้รับคำยินยอม(Consent) จากเจ้าของข้อมูลด้วย เว้นแต่จะเป็นไปตามข้อยกเว้นใน พ.ร.บ.ที่ได้กำหนดไว้เท่านั้น ซึ่งได้ระบุรายละเอียดไว้ในมาตรา 24, 26, 27  โดยสรุปข้อยกเว้นไว้ดังต่อไปนี้

ข้อยกเว้นที่ไม่จำเป็นต้องขอคำยินยอม(Consent) สำหรับข้อมูลส่วนบุคคลทั่วไป(Personal Data)

• จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ ที่เกี่ยวข้องกับ การศึกษาวิจัยหรือการจัดทำสถิติ
• เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
• จำเป็นเพื่อปฏิบัติตามสัญญากับเจ้าของข้อมูล เช่น การซื้อขายของออนไลน์ ต้องใช้ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล
• จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
• จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น
• เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล เช่น ส่งข้อมูลพนักงานให้กรมสรรพากรเรื่องภาษี เป็นต้น

ข้อยกเว้นที่ไม่จำเป็นต้องขอคำยินยอม(Consent) สำหรับข้อมูลส่วนบุคคลที่อ่อนไหว(Sensitive Personal Data)

• เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
• การดำเนินกิจกรรมที่ชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของ มูลนิธิ สมาคม องค์กรไม่แสวงหากำไร เช่น เรื่องศาสนาหรือความคิดเห็นทางการเมื่อง ซึ่งจำเป็นต้องเปิดเผยให้ทราบก่อนเข้าองค์กรนั้น ๆ เป็นต้น
• เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล เช่น บุคคลสาธารณะที่มีข้อมูลที่เปิดเผยต่อสาธารณะอยู่แล้วในความยินยอมของเจ้าของข้อมูล
• เป็นการจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย เช่น เก็บลายนิ้วมือของผู้ที่บุกรุกเพื่อนำไปใช้ในชั้นศาล เป็นต้น
• เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ เกี่ยวกับ
  – เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ เช่น การเก็บข้อมูลสุขภาพของพนักงานซึ่งเป็นข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) องค์กรมักใช้ข้อนี้ในการอ้างสิทธิที่จำเป็นต้องเก็บข้อมูลนี้ไว้ เป็นต้น
  – ประโยชน์ด้านสาธารณะสุข, การคุ้มครองแรงงาน, การประกันสังคม, หลักประกันสุขภาพแห่งชาติ
  – การศึกษาวิจัยทางวิทยาศาสตร์, ประวัติศาสตร์, สถิติ, หรือประโยชน์สาธารณะอื่น
  – ประโยชน์สาธารณะที่สำคัญ

          หากท่านใดมีโอกาสได้อ่านเนื้อหา พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) ฉบับเต็มแล้ว จะสังเกตได้ว่ากฎหมายฉบับนี้ได้ให้ความสำคัญต่อการจัดการและให้ความคุ้มครองกับ ข้อมูลส่วนบุคคลที่อ่อนไหว(Sensitive Personal Data) เป็นพิเศษ มากกว่าข้อมูลส่วนบุคคลทั่วไป(Personal Data)อาจด้วยเหตุผลที่ว่า หากข้อมูลส่วนบุคคลที่อ่อนไหวมีการรั่วไหลต่อสาธารณชนไปแล้ว ย่อมจะส่งผลต่อสิทธิเสรีภาพของบุคคลได้มากกว่า  เช่น สิทธิเสรีภาพในความคิด ความเชื่อทางศาสนา การแสดงออก การชุมนุม สิทธิในชีวิตร่างกาย การอยู่อาศัย การไม่ถูกเลือกปฏิบัติ ซึ่งอาจจะก่อให้เกิดการแทรกแซงซึ่งสิทธิเสรีภาพและการเลือกปฏิบัติต่อการใช้สิทธิเสรีภาพของบุคคลได้มากกว่าข้อมูลส่วนบุคคลทั่วไป ดังนั้นบทลงโทษต่อผู้ละเมิดอันเกี่ยวเนื่องกับข้อมูลส่วนบุคคลที่อ่อนไหวจึงมีบทลงโทษที่สูงกว่าตามไปด้วย

บทลงโทษใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ได้แก่

• โทษทางแพ่ง โทษทางแพ่งกำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด และอาจจะต้องจ่ายบวกเพิ่มอีกเป็นค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่าของค่าเสียหายจริง ตัวอย่าง หากศาลตัดสินว่าให้ผู้ควบคุมข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคล เป็นจำนวน 1 แสนบาท ศาลอาจมีคำสั่งกำหนดค่าสินไหมเพื่อการลงโทษเพิ่มอีก 2 เท่าของค่าเสียหายจริง เท่ากับว่าจะต้องจ่ายเป็นค่าปรับทั้งหมด เป็นจำนวนเงิน 3 แสนบาท
• โทษทางอาญา โทษทางอาญาจะมีทั้งโทษจำคุกและโทษปรับ โดยมี โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ โดยโทษสูงสุดดังกล่าวจะเกิดจากการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศ ประเภทข้อมูลส่วนบุคคลที่อ่อนไหว(Sensitive Personal Data) ส่วนกรณีหากผู้กระทำความผิด คือ บริษัท(นิติบุคคล) ก็อาจจะสงสัยว่าใครจะเป็นผู้ถูกจำคุก เพราะบริษัทติดคุกไม่ได้ ในส่วนตรงนี้ก็อาจจะตกมาที่ ผู้บริหาร, กรรมการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของบริษัทนั้น ๆ ที่จะต้องได้รับการลงโทษจำคุกแทน
• โทษทางปกครอง โทษปรับ มีตั้งแต่ 1 ล้านบาทจนถึงสูงสุดไม่เกิน 5 ล้านบาท ซึ่งโทษปรับสูงสุด 5 ล้านบาท จะเป็นกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลส่วนบุคคลที่อ่อนไหว(Sensitive Personal Data) ซึ่งโทษทางปกครองนี้จะแยกต่างหากกับการชดใช้ค่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทางอาญาด้วย

สรุป

          ในกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) สามารถแบ่งข้อมูลส่วนบุคคลเป็น 2 ประเภท ได้แก่ 1. ข้อมูลส่วนบุคคลทั่วไป(Personal Data) คือ ข้อมูลที่สามารถระบุไปถึงตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อม และ 2.ข้อมูลส่วนบุคคลที่ละเอียดอ่อน(Sensitive Personal Data) คือ ข้อมูลที่ต้องให้ความระมัดระวังเป็นพิเศษต่อการเก็บรวบรวม ใช้ หรือประมวลผล  โดยกฎหมายฉบับนี้ได้ให้ความสำคัญต่อการจัดการและคุ้มครองต่อข้อมูลที่อ่อนไหวที่มากกว่าข้อมูลส่วนบุคคลทั่วไป ซึ่งโทษในกฎหมายฉบับนี้มีทั้ง โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง

ข้อมูลอ้างอิงจาก
          พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
          แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล โดยศูนย์วิจัยกฎหมายและการพัฒนาคณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย หน้า 28-29

แบ่งปันบทความดีๆ