ข้อมูลส่วนบุคคล คืออะไร, และมีอะไรบ้างที่องค์กรจะต้องรู้!

1. ชื่อ (Name)​
2. เลขที่บัญชีธนาคาร (Bank Account)
3. ที่อยู่ (Location)​
4. บัตรประชาชน (Citizen ID)​
5. บัตรเครดิต (Credit Card Number)​
6. เบอร์โทรศัพท์ (Phone number)​

“ซึ่งเราจะนิยามคำว่า ข้อมูลส่วนบุคคลได้ยังไง ที่สอดคล้องกับ กฎหมาย PDPA ซึ่งในบางชนิดก็จะขึ้นอยู่กับบริบทของข้อมูลด้วย”

ตัวอย่าง: timeline covid ซึ่ง ถ้าเรามองแค่ตัวพิกัด latitude หรือ longitude ตามแผนที่ เราอาจจะพบว่าจะไม่ใช่ข้อมูลส่วนบุคคลเพราะมันเป็นแค่ข้อมูลที่บอกตำแหน่ง แต่ถ้าเป็นที่อยู่ ตั้งแต่ 8.00 โมงเช้า จนถึง 5 โมงเย็น ของคนๆนึงตลอด 1 สัปดาห์ เราก็จะเห็นแล้วใช่ไหมครับว่าเราสามารถนำข้อมูลมาเรียงต่อกันเป็นข้อมูลส่วนบุคคลของคนๆนั้นได้ ว่า เขาไปไหน ทำอะไรที่ไหนบ้าง ​ซึ่งสามารถระบุตัวตนคนที่มีกิจวัตรประจำวันของเขาได้นั้นเอง

ตัวอย่าง: เรามีที่อยู่ของคนอื่นที่มีสมาชิกครอบครัว 10 คน แต่ถ้าที่อยู่ที่เรามีนั้นมีบริบทของข้อมูลเพิ่มเติม เช่น เพศ น้ำหนัก ส่วนสูง เราก็อาจจะพอระบุตัวตนได้ว่า ข้อมูลชุดนี้หมายถึงใคร เพราะว่าคนในบ้านนี้อาจจะมีคนที่มี น้ำหนัก ส่วนสูง อยู่แค่คนเดียวในบ้านก็ได้​

​เพราะฉะนั้น เวลาเราจะนิยามข้อมูลว่า เป็นข้อมูลส่วนบุคคลหรือไม่ อาจจะต้องดูบริบทแวดล้อมของข้อมูลด้วย ว่าสามารถติดตามไปยัง เจ้าของข้อมูล (data subject) ได้หรือป่าว​

ข้อมูลส่วนบุคคล ที่มีความอ่อนไหว (Sensitive Data) คือ, มีอะไรบ้าง?

1. ข้อมูลลายนิ้วมือหรือข้อมูลใบหน้า (Biometric data)​
2. ​ศาสนา (Religious)​
3. ​ข้อมูลสุขภาพ (Health)​
4. ​รสนิยมทางเพศ (Sexual orientation)​
5. ​ความคิดเห็นทางการเมือง (Political opinions)​
6. ​ข้อมูลทางพันธุกรรม (Genetic data)​

“ซึ่งผมจะนิยามออกมาเป็น 2 แบบ สำหรับข้อมูลอ่อนไหว”

1. เป็นข้อมูลที่เปลี่ยนยาก หรือ เปลี่ยนไม่ได้ เช่น ข้อมูลลายนิ้วมือ (Biometric data) หรือ ข้อมูลใบหน้า (Face Recognized) ที่เราใช้ในการปลดล็อค smartphone เนี่ยแหละครับ ​
   ตัวอย่าง: ผมเก็บข้อมูลลายนิ้วมือไว้กับบริษัทในการ scan ทำธุรกรรมต่าง ๆ โดยใช้นิ้วโป้งขวา แต่ปรากฏว่าบริษัทนั้นทำข้อมูลของผมรั่วไหลออกไปในโลกออนไลน์หรือสาธารณะ แปลว่า ในชีวิตผมต่อไปจะไม่สามารถใช้นิ้วโป้งขวาในการยืนยันตัวตนหรือทำธุรกรรมในโลกออนไลน์ได้อีกเลย ผมอาจจะต้องใช้ลายนิ้วมืออื่นแทน เพราะผมไม่สามารถเปลี่ยนลายนิ้วมือตัวเองได้นั่นเอง​ ​
2. เป็นข้อมูลที่จะทำให้เกิดอคติในสังคม ​ซึ่งจะเป็นข้อมูลที่จะทำให้เกิดความลำเอียง (bias) อาจจะทำให้เจ้าของข้อมูลนั้นสูญเสียโอกาสในการดำเนินชีวิตไป​ เช่น​ ​ความคิดเห็นทางการเมือง, รสนิยมทางเพศ, ศาสนา
   ตัวอย่าง:ผมอาจจะไปสมัครงานกับบริษัทที่มีความซีเรียสกับศาสนาที่นับถือ หรือ เรื่องของพฤติกรรมทางเพศบางอย่างที่พอเวลาข้อมูลของเราหลุดไปแล้ว จะทำให้เจ้าของข้อมูลเกิดความขัดแย้งกับคนอื่น ๆในสังคมได้​

ข้อมูลส่วนบุคคล กับ ข้อมูลส่วนบุคคลที่มีความอ่อนไหวต่างกันอย่างไร?

สิ่งที่เหมือนกัน: องค์กร (ผู้ควบคุมข้อมูล)จะต้องมีการขอ  ความยินยอม (consent) และ วัตถุประสงค์กับเจ้าของข้อมูลให้ชัดเจนก่อนที่จะนำข้อมูลที่ได้มาไปใช้ หรือ เปิดเผย และเจ้าของข้อมูลมีสิทธิในการขอ แก้ไข, เปลี่ยนแปลง, ลบ ได้ทุกเมื่อ

สิ่งที่ต่างกัน: ข้อยกเว้นทางกฎหมายกับโทษที่จะได้รับนั้นแตกต่างกันซึ่งข้อมูลอ่อนไหวนั้นจะยกเว้นได้ยากกว่าและมีโทษที่หนักกว่ามากกว่าข้อมูลส่วนบุคคลที่ไม่มีความอ่อนไหว

คำแนะนำสำหรับองค์กรที่เก็บข้อมูลส่วนบุคคลอ่อนไหว

สำหรับองค์กรที่มีการเก็บข้อมูลส่วนบุคคลหรือข้อมูลอ่อนไหว เราต้องมาดูด้วยว่า เราเก็บข้อมูลอะไรมากกว่ากัน ถ้าเป็นข้อมูลอ่อนไหว จำเป็นหรือไม่ในการเก็บ ส่วนตัวผมมองว่า ถ้าข้อมูลนั้นไม่จำเป็น ผมก็แนะนำให้ตัดออกหรือว่าลบทิ้งจากฐานข้อมูลไปเพื่อลดความเสี่ยงในการเก็บข้อมูลขององค์กร ยิ่งไปกว่านั้นการทำบันทึกกิจกรรมข้อมูลส่วนบุคคล (ROPA) ก็สำคัญ ว่า เราขอความยินยอม และ วัตถุระสงค์กับเจ้าของข้อมูลหรือยัง เพราะเวลา audit มาตรวจ จะเริ่มจากการดู (ROPA) นั่นเองครับ