เมื่อการทำงานกับเทคโนโลยีที่เปลี่ยนไปโดยใช้ข้อมูลจำนวนมหาศาลเป็นเสมือนทรัพยากรพื้นฐานที่สำคัญขององค์กร สิ่งที่เลี่ยงไม่ได้ที่มากับการใช้ข้อมูลก็คือ ความรับผิดชอบที่ต้องเพิ่มมากขึ้นกับข้อมูล เพราะธุรกิจนั้นนำข้อมูลของลูกค้ามาใช้เพื่อกิจกรรมทางธุรกิจ บางครั้งความสมดุลในการนำมาใช้กับเรื่องความเป็นส่วนตัว จึงเป็นสิ่งที่ต้องคำนึงถึง เพราะถือเป็นเรื่องสำคัญทางกฎหมายในเรื่อง สิทธิความเป็นส่วนตัวในเรื่องต่าง ๆ ซึ่งมีองค์ประกอบและเกี่ยวพันกันทั้งในทางสังคม กฎหมาย จริยธรรม สิทธิความเป็นส่วนตัวทางด้านข้อมูลจึงเป็นเรื่องที่ทุกฝ่ายให้ความสนใจเป็นอย่างมาก 

ประเทศไทยได้ประกาศใช้ พระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒  ไปเมื่อวันที่ 24 พฤษภาคม พ.ศ. 2562 ซึ่งมีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 แล้วในบางส่วน ซึ่งวันที่ 27 พฤษภาคม 2563 เป็นวันที่ พ.ร.บ.นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ ในหมายเหตุได้ให้เหตุผลไว้ดังนี้ 

“เหตุผลในการประกาศใช้พระราชบัญญัติฉบับนี้ คือ เนื่องจากปัจจุบันมีการล่วงละเมิด สิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจานวนมากจนสร้างความเดือดร้อนรำคาญหรือความเสียหาย ให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของเทคโนโลยีทาให้การเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดดังกล่าว ทาได้โดยง่าย สะดวก และรวดเร็ว ก่อให้เกิด ความเสียหายต่อเศรษฐกิจโดยรวม สมควรกำหนดให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เป็นการทั่วไปขึ้น เพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกากับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูล ส่วนบุคคลที่เป็นหลักการทั่วไป จึงจาเป็นต้องตราพระราชบัญญัตินี้” พระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒  

เห็นได้ชัดว่ารัฐบาลให้ความสำคัญกับเรื่องข้อมูล การเติบโตของเทคโนโลยี การแข่งขันทางธุรกิจ ที่มีแนวโน้มที่จะนำข้อมูลไปใช้ในแง่มุมต่าง ๆ เป็นอย่างมาก ประกอบกับความก้าวหน้าย่อมเป็นที่มาของการรวบรวมข้อมูลได้ปริมาณมหาศาล การป้องกัน กำกับดูแลเรื่องข้อมูลนี้ จึงถือเป็นเรื่องที่ทุก ๆ ฝ่ายในสังคมต้องให้ความสนใจ โดยไม่จำกัดอยู่เฉพาะในแวดวงธุรกิจเท่านั้น ก่อนอื่นเราจะต้องทำความเข้าใจกับคำว่าข้อมูลส่วนบุคคลก่อนว่าหมายถึงอะไร 

ตามมาตรา 6 ใน พระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒

ได้ให้นิยามความหมายของข้อมูลส่วนบุคคล และบุคคลที่เกี่ยวข้องไว้ดังนี้

“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทาให้สามารถระบุตัวบุคคลนั้นได้

ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ

เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคาสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดาเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

ดังนั้นองค์ประกอบของบุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลจึงมีสามองค์ประกอบหลักคือ

เจ้าของข้อมูลส่วนบุคคล (Data Subject)

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller),

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) 

โดยมีกิจกรรมเรียกว่า กิจกรรมการประมวลผลข้อมูล (Data Processing)

ดังนั้น SMEs จึงอาจจะอยู่ในฐานะใด ฐานะหนึ่งของบุคคลที่เกี่ยวข้อง จึงมีความจำเป็นอย่างยิ่งที่จะต้องศึกษา หรือทำความเข้าใจพื้นฐานที่เกี่ยวข้องกับ พระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ให้สามารถดำเนินธุรกิจ และสามารถจัดการกับข้อมูลได้อย่างถูกต้องตามกฎหมาย

ตัวอย่างข้อมูลที่เป็นข้อมูลส่วนบุคคล*

1) ชื่อ-นามสกุล หรือชื่อเล่น

(2) เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจาตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต (การเก็บเป็นภาพสาเนา บัตรประชาชนหรือสาเนาบัตรอื่น ๆ ที่มีข้อมูลส่วนบุคคลที่กล่าวมาย่อมสามารถใช้ระบุ ตัวบุคคลได้โดยตัวมันเอง จึงถือเป็นข้อมูลส่วนบุคคล)

(3) ที่อยู่, อีเมล์, เลขโทรศัพท์

(4) ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address, MAC address, Cookie ID

(5) ข้อมูลทางชีวมิติ (Biometric) เช่น รูปภาพใบหน้า, ลายนิ้วมือ, ฟิล์มเอกซเรย์, ข้อมูล

สแกนม่านตา,ข้อมูลอัตลักษณ์เสียง,ข้อมูลพันธุกรรม

(6) ข้อมูลระบุทรัพย์สินของ บุคคล เช่น ทะเบียนรถยนต์, โฉนดที่ดิน

(7) ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิดและสถานที่เกิด, เชื้อชาติ,

สัญชาติ, น้าหนัก, ส่วนสูง, ข้อมูลตำแหน่งที่อยู่ (location), ข้อมูลการแพทย์, ข้อมูล

การศึกษา, ข้อมูลทางการเงิน, ข้อมูลการจ้างงาน

(8) ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิล์ม แม้ ไม่สามารถระบุไปถึงตัวบุคคลได้ แต่

หากใช้ร่วมกับระบบดัชนีข้อมูลอีกระบบหนึ่งก็จะสามารถระบุไปถึงตัวบุคคลได้ ดังนั้น

ข้อมูลในไมโครฟิล์มจึงเป็นข้อมูลส่วนบุคคล

(9) ข้อมูลการประเมินผลการทางานหรือความเห็นของนายจ้างต่อการทางานของลูกจ้าง

(10) ข้อมูลบันทึกต่าง ๆ ที่ใช้ติดตามตรวจสอบกิจกรรมต่าง ๆ ของบุคคล เช่น log file

(11) ข้อมูลที่สามารถใช้ในการค้นหาข้อมูลส่วนบุคคลอื่นในอินเทอร์เน็ต

ตัวอย่างข้อมูลที่ไม่เป็นข้อมูลส่วนบุคคล*

(1)เลขทะเบียนบริษัท

(2)ข้อมูลสาหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคลเช่นหมายเลขโทรศัพท์หรือ แฟกซ์ที่ทำงาน, ที่อยู่สำนักงาน, อีเมล์ที่ใช้ในการทำงาน, อีเมล์ของบริษัท เช่น info@companay.com เป็นต้น

(3) ข้อมูลนิรนาม (Anonymous Data) หรือข้อมูลแฝง (Pseudonymous Data) หมายถึง ข้อมูลหรือชุดข้อมูลที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีการทางเทคนิค

(4)ข้อมูลผู้ตาย

ข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว*

(1) เชื้อชาติ

(2) เผ่าพันธุ์

(3) ความคิดเห็นทางการเมือง

(4) ความเชื่อในลัทธิ ศาสนาหรือปรัชญา

(5) พฤติกรรมทางเพศ

(6) ประวัติอาชญากรรม

(7)ข้อมูลสุขภาพความพิการหรือข้อมูลสุขภาพจิต

(8) ข้อมูลสหภาพแรงงาน

(9) ข้อมูลพันธุกรรม

(10) ข้อมูลชีวภาพ

(11) ข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทานองเดียวกันตามที่คณะกรรมการประกาศกำหนด

จะเห็นได้ว่าข้อมูลส่วนบุคคลนั้นมีทั้งแบบทั่วไป และข้อมูลอ่อนไหว รวมถึงข้อมูลบางชนิดก็ไม่ได้ถูกระบุว่าเป็นข้อมูลส่วนบุคคลซึ่ง หน่วยงานหรือองค์กรทั้งหลายจึงไม่ต้องขอความยินยอมเพื่อที่จะเก็บ รวบรวม ใช้ หรือเปิดเผย ข้อมูลสาหรับการติดต่อทางธุรกิจ และไม่ต้องปฏิบัติตามแนวปฏิบัตินี้ในส่วนที่เกี่ยวข้องกับ ข้อมูลสำหรับ การติดต่อทางธุรกิจ และข้อมูลอ่อนไหวนั้นหมายถึง

“[Sensitive Personal Data] ข้อมูลอ่อนไหวเป็นข้อมูลส่วนบุคคล ที่เป็นเรื่องส่วนตัวโดยแท้ ของบุคคลแต่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็น ธรรม จึงจำเป็นต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ”*

เราจึงควรใส่ใจและแยกจำแนกข้อมูลต่าง ๆ ออกให้ชัดเจน ตามแผนการทำผังการไหลเวียนของข้อมูลดังที่ได้นำเสนอไปแล้วนั้น เพื่อจะได้ทราบและสามารถแยกวิธีจัดการกับข้อมูลแต่ละชนิดให้ถูกต้องตามหลักกฎหมาย รวมถึงสามารถนำมาใช้ประโยชน์ได้อย่างเต็มที

เมื่อเราพอจะเข้าใจหรือทราบความหมายของ ข้อมูลส่วนบุคคลแล้ว กระบวนการจัดการข้อมูลของเราจึงต้องให้ความระมัดระวังเป็นพิเศษกับข้อมูลเหล่านี้ ซึ่ง SMEs ควรจะเริ่มจากการทำการสำรวจ ข้อมูลภายในธุรกิจที่นำมาใช้ว่ามีข้อมูลใดที่เข้าข่าย ข้อมูลส่วนบุคคลหรือไม่ จึงนั้นจึงได้เริ่มกระบวนการจัดการ ซึ่งอาจจะปรึกษากับผู้เชี่ยวชาญต่อไป ในกรณีที่ข้อมูลขนาด และปริมาณมาก หรือมีข้อมูลอ่อนไหว ที่นำไปใช้ในธุรกิจของตน หรือแม้กระทั่งหากมีการโอนย้ายข้อมูลไปต่างประเทศ ที่สำคัญหากมีการทำธุรกิจกับต่างประเทศโดยเฉพาะสหภาพยุโรป ซึ่งมีความเข้มข้นในเรื่องข้อมูลส่วนบุคคลเป็นอย่างมาก SMEs ก็จำเป็นจะต้องเข้าใจเรื่องกฎหมายด้านข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ GDPR ซึ่งจะต้องปฎิบัติตามแนวกฎหมายเป็นหลัก เพราะ ทั้งกฎหมายของไทย และยุโรป มีการลงโทษ ทั้งทางแพ่ง อาญา และโทษทางการปกครอง ที่มีจำนวนค่าปรับค่อนข้างสูง กฎหมายระบุโทษค่าปรับไว้สูงสุดที่ 5 ล้านบาท แต่ทั้งนี้ทั้งนั้นก็ขึ้นอยู่กับปัจจัยหลายอย่าง ๆ หลาย ๆ ด้านที่จะถูกนำมาใช้ในการตัดสินคดีความ หากมีการละเมิดข้อมูลส่วนบุคคล หรือมีการรั่วไหลของข้อมูลจนทำให้เกิดความเสียหาย

ดังนั้น  SMEs จึงควรให้ความสนใจ และเตรียมตัวแต่เนิ่น ๆ ที่จะรับมือกับเรื่องนี้ ซึ่งถือว่าเป็นองค์ประกอบอีกเรื่องใน BIG DATA  ที่เราต้องเตรียมตัวนอกเหนือไปจากเรื่องเทคโนโลยี เรื่องการวิเคราะห์ เรื่องธุรกิจ เพราะหากเราไม่มีวิธีจัดการกับข้อมูลส่วนบุคลที่ถูกต้องเหมาะสมตามกฎหมาย นั่นย่อมหมายถึงความเสียหายกับธุรกิจที่จะเกิดขึ้น ทั้งในแง่ค่าปรับ และด้านชื่อเสียงทางธุรกิจ ความเชื่อมั่น เชื่อใจที่ลูกค้ามีให้จะเสียหายจนประเมินค่าไม่ได้  จน SMEs สูญเสียความสามารถในการแข่งขัน และร้ายแรงจนถึงอาจจะต้องออกจากตลาดไปเลยก็เป็นได้ 

เรื่องสำคัญที่สุดอย่างหนึ่งในการทำธุรกิจก็คือการศึกษาสภาพแวดล้อมในสมรภูมิตลาด ใครที่เตรียมตัวแต่เนิ่น ๆ เพื่อรับมือกับปัญหาต่าง ๆ ย่อมสามารถสร้างความยั่งยืนให้กับธุรกิจของตนได้หนือกว่าคู่แข่ง  เรื่องข้อมูลส่วนบุคคลจึงสำคัญไม่แพ้เรื่องใดเลย ในวงจรของ BIG DATA

*คำอธิบายจาก แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมลูส่วนบุคคล ของ ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย