จากการเติบโตของระบบสารสนเทศ และสังคมออนไลน์ในปัจจุบัน
ส่งผลให้หน่วยงาน องค์กร บริษัทหรือแม้แต่บุคคลทั่วไปสามารถขอและเก็บรวบรวมข้อมูลส่วนบุคคลได้ง่ายมากขึ้น เมื่อการเก็บข้อมูลสามารถทำได้ง่ายขึ้นองค์กรต่างๆ จึงเริ่มหันมาเก็บข้อมูลส่วนบุคคลของลูกค้าด้วยตนเองจนทำให้เกิดเป็นยุค Data first ยิ่งเก็บข้อมูลส่วนตัวของลูกค้าได้มากเท่าไหร่ ยิ่งช่วยเพิ่มโอกาสทางธุรกิจได้มากเท่านั้น
ซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลขององค์กรนั้น ไม่ใช่เพียงการเก็บข้อมูลของลูกค้าเพียงอย่างเดียว แต่รวมถึงการเก็บข้อมูลส่วนบุคคลของพนักงานด้วยเช่นกัน
โดยการเก็บรวบรวมข้อมูลส่วนบุคคลตามหลักกฎหมาย PDPA ส่วนใหญ่แล้วจะต้องมีการขอความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคลก่อนเก็บข้อมูลหรือนำไปใช้ และในบางกรณีอาจไม่จำเป็นต้องขอความยินยอม ซึ่งจะขึ้นอยู่กับประเภทของข้อมูลที่มีอยู่ 2 ประเภท คือ
- ข้อมูลส่วนบุคคลทั่วไป(Personal Data)
- ข้อมูลส่วนบุคคลที่มีความอ่อนไหว(Sensitive Personal Data)
และนอกจากนี้ยังขึ้นอยู่กับวัตถุประสงค์ของการนำข้อมูลส่วนบุคคลไปใช้อีกด้วย
มีข้อมูลอะไรบ้าง? ที่เป็นข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคล (Personal Data) ตาม พรบ.คุ้มครองข้อมูลส่วนบุคคล คือ ข้อมูลที่เกี่ยวกับบุคคล สามารถระบุตัวตนของบุคคลนั้นได้ว่าใครคือผู้เป็นเจ้าของข้อมูล ไม่ว่าจะทางตรง หรือทางอ้อม เช่น
- ชื่อ, อายุ, เบอร์โทรศัพท์, ที่อยู่, อาชีพ, เลขประจำตัวประชาชนและเลขบัญชีธนาคาร
- ลายนิ้วมือ, ข้อมูลด้านสุขภาพ, เชื้อชาติ, ความเห็นทางการเมือง, ความเชื่อ, ศาสนา, พฤติกรรมทางเพศและประวัติอาชญากรรม เป็นต้น
แล้วข้อมูลแบบไหนบ้างที่ไม่ใช่ข้อมูลส่วนบุคคล ตามหลัก พรบ.คุ้มครองข้อมูลส่วนบุคคลแล้ว ถ้าข้อมูลเหล่านั้นใช้ระบุตัวตนของบุคคลไม่ได้ ก็ไม่ใช่ข้อมูลส่วนบุคคลตาม พรบ.นี้ เช่น
- ข้อมูลนิติบุคคล
- ข้อมูลผู้ถึงแก่กรรม
- นามแฝง
- และข้อมูลที่ถูกทำให้ไม่สามารถระบุตัวตนได้ เป็นต้น
ข้อมูลส่วนบุคคลสามารถถูกนำไปใช้ทำอะไรได้บ้าง ?
จะเห็นได้ว่าการเก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้า เป็นสิ่งที่ทุกหน่วยงานกำลังให้ความสำคัญเป็นอย่างมาก เพราะข้อมูลส่วนบุคคลเหล่านี้สามารถนำไปใช้ประโยชน์ได้หลากหลายรูปแบบ เช่น
- การนำไปวิเคราะห์เพื่อวางแผนการตลาด
- การทำให้เสื่อมเสียชื่อเสียง
- การนำไปใช้ในทางที่ผิดกฎหมาย ปลอมแปลงตัวตนเพื่อหลอกลวงผู้อื่น
- การโดนโจรกรรมทางการเงิน
- การนำข้อมูลไปขายต่อ
- การถูกสอดแนม เป็นต้น
สรุป
เนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลเป็นจำนวนมาก จนสร้างความเสียหาย พร้อมทั้งความก้าวหน้าของระบบสารสนเทศที่ทำให้การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลสามารถทำได้โดยง่าย
เพื่อให้มั่นใจว่าข้อมูลของผู้ใช้งานเหล่านี้จะไม่หลุดออกไป หรือถูกละเมิดโดยนำไปใช้อย่างไม่ได้รับความยินยอม กฎหมาย PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คือมาตรการที่ออกมาเพื่อคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้งานและกำหนดบทลงโทษให้กับหน่วยงานที่ไม่ปฏิบัติตามข้อบังคับ หรือละเมิดความเป็นส่วนตัวของข้อมูลส่วนบุคคล
ที่มา: Asia Data Destruction
