#ข้อมูลส่วนบุคคลอ่อนไหว คืออะไร? ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) คือ ข้อมูลที่ระบุตัวบุคคลได้เฉพาะเจาะจงมากขึ้น มีความละเอียดอ่อนสูง และเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม
ข้อมูลสุขภาพ ถือเป็นข้อมูลส่วนบุคคลอ่อนไหว ตามมาตรา 26 ซึ่งองค์กรจะต้องให้ความระมัดระวังเป็นอย่างยิ่ง ต้องมีการดำเนินการที่มีความละเอียดรอบคอบ และเป็นไปตามที่ PDPA กำหนด หากบุคคล หรือนิติบุคคลนำไปเปิดเผยอาจนำไปสู่การละเมิดร้ายแรงทั้งด้านร่างกาย และจิตใจ ดังนั้น หากจะนำข้อมูลผู้ป่วยไปเก็บรวบรวม หรือประมวลผลจะต้องดำเนินการตาม ‘ฐานความยินยอม ’ (Consent) ผู้ควบคุมข้อมูลจะต้องขอความยินยอมอย่างชัดแจ้งจากเจ้าของข้อมูล ให้ยอมรับหรืออนุญาตให้มีการประมวลผลข้อมูลส่วนบุคคลนั้นๆ โดยเจ้าของข้อมูลสามารถเลือกที่จะให้การปฏิเสธการประมวลผลได้ เนื่องจากข้อมูลสุขภาพไม่อาจจะใช้ฐานสัญญาแบบทั่วไปได้ (พิจารณาตามกรณี ซึ่งอาจมีฐานทางกฎหมายอื่นๆ ในการประมวลผลข้อมูลสุขภาพอีก)
โดยมาตรา 26 ของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ระบุไว้ว่า ห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่จะมีเหตุอื่นที่ได้รับอนุญาตตามกฎหมาย อาทิ
• ขอความยินยอมโดยชัดแจ้ง จากเจ้าของข้อมูลส่วนบุคคล
• ไม่ต้องขอความยินยอม กรณีเพื่อป้องกันอันตรายต่อชีวิต ร่ายกาย หรือสุขภาพของบุคคล
• ไม่ต้องขอความยินยอม กรณีเป็นการจำเป็นในการปฎิบัติตามกฎหมายเพื่อบรรลุวัตถุประสงค์ (มาตรา 26 วรรค 5)
นอกจากข้อมูลส่วนบุคคลแล้ว กฎหมาย PDPA ยังให้ความคุ้มครองครอบคลุมไปถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ด้วย หากเจ้าของข้อมูลส่วนบุคคลพบว่าถูกละเมิดสิทธิ ข้อมูลส่วนบุคคลถูกนำไปใช้ผิดวัตถุประสงค์ตามที่แจ้งไว้ เจ้าของข้อมูลส่วนบุคคลมีสิทธิฟ้องร้องเรียกค่าสินไหมทดแทนได้ และผู้กระทำผิดจะได้รับโทษตามที่ระบุไว้ในกฎหมาย
ข้อมูลรั่วไหล สร้างความเสียหายต่อองค์กรมากกว่าที่คิด!
องค์กรที่มีการเก็บรวบรวมข้อมูลทางการแพทย์หรือสุขภาพ ไม่ใช่เพียงแต่โรงพยาบาล คลินิก สถานพยาบาล เท่านั้น! ที่ต้องใส่ใจและให้ความสำคัญ หน่วยงาน บริษัท หรือธุรกิจ ที่มีการเก็บประวัติการตรวจสุขภาพทั้งของพนักงานและผู้สมัครงาน จะต้องมีการขั้นตอนการดำเนินการ และระมัดระวังในการเก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหวนี้เช่นกัน
หากเกิดข้อมูลรั่วไหล หรือไม่ปฏิบัติตามที่กฎหมายกำหนด นอกจากบทลงโทษทางแพ่งแล้ว ยังเสี่ยงต่อบทลงโทษทางอาญา และโทษทางปกครอง ที่มีโทษปรับสูงสุดถึง 5 ล้านบาท
