จำเป็น หรือ เกินจำเป็น ในการเก็บรวบรวมข้อมูลส่วนบุคคลไม่ให้ผิดกฎหมาย PDPA ทำอย่างไรถึงจะถูกต้อง

คอนเทนต์นี้ได้มาจาก Facebook live ของอาจารย์กฤษฎ์ อุทัยรัตน์ ผมเห็นว่าน่าสนใจมาก และเป็นประเด็นที่เข้าใจคลาดเคลื่อนมากมาย อาจารย์กฤษฎ์เล่าไว้น่าสนใจว่า… การเก็บรวบรวมข้อมูลส่วนบุคคล “ตามจำเป็น หรือเกินจำเป็น” ดูกันอย่างไร ไม่โดนปรับ 3 ล้านบาท เป็นเรื่องเบสิก ต่อให้เข้า ฐ ทั้ง 7 ได้ถูกก็ตาม (7 Lawful Basis) ก็อย่าชะล่าใจ ไหลลื่นมั่วไปเรื่อย (กฎหมาย PDPA อ่านแยกท่อน แยกมาตราไม่ได้ มันมีความเป็น Lagal 40% Management System 50% Thai Style 10% ยิ่งต้องระวัง ผนวกความเป็นสากลที่ไทยนำมาจากค่าย ISO GDPR อีกล่ะ เรื่องนี้อาจารย์พูดบ่อยๆ) เพราะในการเก็บรวบรวมข้อมูลส่วนบุคคล ย่อมหนีไม่พ้นมาตรานี้

อยากให้นึกถึง “โอเอซิส” (Oasis) หรือบริเวณที่เป็นแหล่งน้ำอันอุดมสมบูรณ์กลางทะเลทราย เราเคยสงสัยกันไหมว่าโอเอซิสเกิดขึ้นได้อย่างไร มีความสำคัญอย่างไร พบเจอที่ไหนได้บ้าง 

โอเอซิส เป็นพื้นที่เขียวขจีอันอุดมสมบูรณ์ หรือแหล่งน้ำชุ่มชื้นในเขตพื้นที่ทะเลทราย หรือพื้นที่แห้งแล้งต่างๆ บนโลก มีพืชพรรณไม้ต่างๆ ที่ไม่ใช่สังคมพืชพรรณทะเลทรายขึ้นอยู่โดยรอบ โอเอซิสแต่ละแห่งมีความแตกต่างกัน ส่วนใหญ่เกิดขึ้นเองตามธรรมชาติ และมีบางส่วนที่คนสร้างขึ้นมา ซึ่งในธรรมชาตินั้นโอเอซิสเกิดจากแหล่งน้ำที่อยู่ใต้พื้นดินหรือน้ำบาดาล แม้ว่าทะเลทรายจะแห้งแล้ง แต่ถ้าฝนตก น้ำฝนจะไหลซึมผ่านพื้นทรายลงไปกักเก็บไว้ในชั้นหินใต้ดิน ก่อให้เกิดแหล่งน้ำบาดาลใต้ทะเลทรายขึ้น 

ปกติแหล่งน้ำบาดาลในทะเลทรายจะอยู่ลึกลงไปหลาย 10 เมตร ดังนั้น พื้นที่ที่จะเป็นโอเอซิสได้ต้องมีภูมิศาสตร์เหมาะสม นั่นคือ พื้นผิวต้องอยู่ในระดับต่ำ ใกล้ระดับน้ำบาดาล เพื่อที่น้ำบาดาลมีแรงดันมากพอจะแทรกซึมและดันขึ้นมาบนพื้นผิว และท่วมเอ่อจนเกิดเป็นแหล่งน้ำธรรมชาติในทะเลทราย ทั้งนี้ ต้องอาศัยแรงลมพัดกัดกร่อนพื้นผิวทรายให้ลึกและบางลงร่วมด้วย และเมื่อมีแหล่งน้ำบนพื้นทะเลทรายเกิดขึ้น สัตว์ทั้งหลายก็จะมาหาประโยชน์ ขณะเดียวกันสัตว์เหล่านั้นก็อาจนำพาเมล็ดพันธุ์พืชติดตัวมาในรูปแบบของการถ่ายอุจจาระทิ้งไว้บริเวณรอบแหล่งน้ำ เมื่อเมล็ดพืชได้รับความชื้นจากน้ำ ก็งอกเป็นต้นไม้จนกลายเป็นโอเอซิสในที่สุด

โอเอซิส จึงถือได้ว่าเป็นความอยู่รอดและความหวังของสิ่งมีชีวิตในดินแดนที่แห้งแล้งและกันดาร อาจารย์ใช้แทน “ความจำเป็น” ครับ เพราะเป็นแหล่งรวบรวมความหลากหลายของสิ่งมีชีวิต แม้แต่มนุษย์ก็ยังสามารถตั้งถิ่นฐานอยู่อาศัยบริเวณโอเอซิสได้ ถ้าหากมีขนาดใหญ่เพียงพอ เช่น อัวกาชินาโอเอซิส ประเทศเปรู หรือซีวาโอเอซิส ประเทศอียิปต์ ที่เปิดให้นักท่องเที่ยวแวะเวียนไปเยี่ยมชมความงามตามธรรมชาติ และทำกิจกรรมภายในโอเอซิส ไม่ว่าจะเป็นปั่นจักรยาน ล่องเรือชมวิว เล่นแซนด์บอร์ดในทะเลทราย ชมพระอาทิตย์ขึ้น-พระอาทิตย์ตกลับขอบทะเลทราย และลงว่ายน้ำในแหล่งน้ำพุธรรมชาติภายในโอเอซิส เป็นต้น ส่วนตำแหน่งที่ตั้งของโอเอซิสนั้นมีความสำคัญอย่างมากในการค้าขาย หรือการขนส่งผ่านทะเลทราย โดยการขนส่งจำเป็นที่จะต้องแวะพักยังโอเอซิสต่างๆ เพื่อสะสมน้ำและอาหารในการเดินทางต่อๆ ไป หากทะเลทรายแห้งแล้งไร้แหล่งน้ำ หมดความจำเป็น เราอาจตายกลางทะเลทรายได้เช่นกัน 

ในทางกลับกัน หากเป็นทะเลมากกว่าทรายอย่างกับเกาะ มันก็ “เกินความจำเป็น” เหมือนคนติดเกาะ “ฉันต้องมีชีวิตอยู่ต่อไป แม้ไม่มีเหตุผลที่จะหวัง ฉันก็ต้องรักษาลมหายใจไว้ เพราะพรุ่งนี้พระอาทิตย์จะขึ้นใหม่ ใครจะรู้ว่ากระแสน้ำพัดพาอะไรมา สายลมแห่งโชคชะตาจะพัดพาเราไปในทิศทางไหน” ชัค โนแลน จากหนังดังเรื่อง Cast Away ถ้าเรากำลังรู้สึกเหงา เศร้า เบื่อ เซ็ง หดหู่ ไม่รู้จะทำอะไร หรือกำลังรู้สึกท้อแท้ สิ้นหวังกับชีวิต ในช่วงที่หลายคนต้องพยายาม “เก็บตัว” อยู่บ้าน ตามหลักการ Self-Quarantine เพื่อลดความเสี่ยงในการแพร่และติดเชื้อโควิด-19 ให้ได้มากที่สุด นั่นแหละ มันเกินความจำเป็นมากไป จนอยากปลดแอก พระเอกของเรื่อง คือ ชัค อุตส่าห์อดทนอยู่กลางทะเล กัดฟันปล่อยมือจากวิลสัน (ลูกวอลเลย์บอล) เพื่อนเพียงหนึ่งเดียว เอาชนะคลื่นลม รอดชีวิตจนมีคนมาพบ และพาเขากลับไปสู่ “โลก” ที่เคยอยู่อีกครั้ง เพียงแต่ไม่มีสิ่งใดรอเขาอีกต่อไป และกลับมาพบความจริงว่า คนรักของเขาแต่งงานมีครอบครัวใหม่ เพราะทุกคนคิดว่าเขาตายจากโลกนี้ไปแล้ว แม้ว่าทั้งเขาและเธอจะยังมีความรู้สึกคิดถึงกันอยู่ แต่ชัคก็รู้ดีว่าพวกเขาไม่สามารถอยู่ด้วยกันได้อีกต่อไป “ฉันไม่ควรกลับมาจากเกาะร้าง ฉันน่าจะตายคนเดียวลำพังอยู่ที่นั่น แต่ฉันก็กลับมาที่นี่ แล้วฉันก็เสียเธอไปอีกครั้ง ฉันเศร้าเมื่อไม่มีเธอ และฉันรู้ว่าฉันต้องทำอะไรตอนนี้ คือ ฉันต้องมีชีวิตอยู่ต่อไป เพราะพรุ่งนี้พระอาทิตย์จะขึ้นใหม่ ใครจะรู้ว่ากระแสน้ำพัดพาอะไรมา สายลมแห่งโชคชะตาจะพัดพาเราไปในทิศทางไหน” ในช่วงเวลาที่เลวร้าย สถานการณ์ที่ยากลำบาก เราอาจต้องสูญเสียงาน สูญเสียความรัก สูญเสียโอกาสที่ควรได้ สูญเสียอีกหลายอย่างแบบไม่มีวันกลับจากการ “เกินความจำเป็น” ที่ทะเลมากกว่าทราย อย่าไปมองประเด็นอื่นล่ะ “ความจำเป็น” จึงเป็นปรัชญาสำคัญที่มาพร้อมกับ “ความจำกัด” ของมันคู่กันครับ

อย่างที่มีคนถามว่า “การที่ รปภ.ขอใบขับขี่คนขับแท็กซี่เวลาเข้าหมู่บ้าน หรือทางอาคารขอบัตรประชาชนเราก่อนเข้าไปในอาคาร” จะอ้าง ฐ ประโยชน์อันชอบธรรม (LEGITIMATE INTERESTs : Li) ได้ก็ตาม และแม้ไม่ต้องขอความยินยอมหรือใช้ ฐ ความยินยอม (CONSENT : Cs) ก็ต้องเช็กหลักการว่าด้วย SER < Safeguard | Expectation | Risk > เป็นการเพิ่มเติมด้วย ฉะนั้น รปภ. หรือเจ้าหน้าที่อาคารจะคิดว่ากูมีสิทธิเหนือ DS นั้น ก็ไม่ได้ 100% 

ช้าก่อน ถ้า รปภ. หรือเจ้าหน้าที่อาคารเอาใบขับขี่ เอาบัตรประชาชนไปได้ ต้องตั้งคำถามย้อนให้คิดถึงวัตถุประสงค์ (Purpose) ก่อนว่า จริงๆ คืออะไรกันแน่ เพราะมันสำคัญ อย่ามองแต่สิทธิอันชอบธรรมฝ่ายเดียวของ Data Controller เท่านั้น ต้องให้สมเหตุสมผลอย่างสมดุลด้วย

เอาล่ะ คำตอบคือ “ใช่” อ้าง ฐ ประโยชน์อันชอบธรรม (LEGITIMATE INTERESTs : Li) ได้ โดยที่วัตถุประสงค์ ก็เพื่อจะให้สิทธิคนขับแท็กซี่ผ่านด่านเข้าไปในหมู่บ้าน (ไปส่ง หรือรับผู้โดยสาร) หรือตัวอาคารชั้นใน (ไปพบ ไปติดต่อบุคคลใดๆ) ได้ไง ก็ถูก ไม่ได้เถียง ซึ่ง DC ก็มักแฝงด้วยความกังวล (ตรงนี้ล่ะ สิทธิอันชอบธรรมของ DC เกิดขึ้นตรงนี้) เพราะเป็นสิทธิของหมู่บ้านและอาคารในเชิงป้องกันไว้ก่อนเกิดเหตุไม่คาดฝัน ซึ่งนั่นก็ถูกอีก เพื่อป้องกันกรณีที่คนขับแท็กซี่ หรือแขกผู้มาติดต่อไปทำอะไรมิดีมิร้าย เลยเถิดนอกเหนือไปจากวัตถุประสงค์อันพึงคาดหมายได้ คือ แค่การรับ-ส่งผู้โดยสาร หรือพบปะติดต่อคนในอาคารตามที่แจ้งไว้หรือนัดไว้ เมื่อเสร็จธุระก็ต้องกลับออกไป แต่หาก DS ไปทำผิดกฎหมายแล้วมีปัญหาตามมาในภายหลัง เนื่องจากตัว Data Subject เอง ทาง DC ก็จะได้มีข้อมูลไว้แจ้งเบาะแส รายงานต่อเจ้าหน้าที่ตำรวจ ฝ่ายปกครอง หรือบุคคลที่มีอำนาจเกี่ยวข้องต่อไปได้ นั่นถือเป็นสิทธิอันชอบธรรมถ้า DC มีนโยบายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและรักษาความมั่นคงปลอดภัยที่ดีพอ *สิทธิของ DC อันชอบธรรมนั้น พึงคาดหมายได้โดยวิญญูชนและตรรกะที่ยอมรับได้โดยชอบด้วยกฎหมาย* ไม่กระทบสิทธิเสรีภาพ ไม่ทำให้เกิดความเสี่ยงภัยต่อ DS อันนั้นถือว่าเป็นสิทธิอันชอบธรรมของ DC ได้โดยไม่ต้องขอความยินยอมจาก DS

แต่ข้อมูลส่วนบุคคลที่ “จำเป็น” คืออะไรภายใต้วัตถุประสงค์ที่ว่านั้น จริงๆ แล้วเราแค่อยากรู้ว่าคนขับแท็กซี่ดังกล่าว ชื่อและนามสกุลอะไร หน้าตาตรงปก ตรงบัตร ตรงใบขับขี่ไหม ใช่ตัวจริงแน่นะ ดังนั้น หากไตร่ตรองดีๆ อย่างมีสติ เราจะคัดกรองด้วยเหตุผล ไม่ใช้อารมณ์ได้ว่า DC จำเป็นต้องเอาทั้งใบขับขี่ไหมครับ? แล้วที่กรมการขนส่งทางบกให้ติดหน้ารถตรงกระจกซ้ายมือ ก็ถือว่าเพียงพอในการชี้บ่งทวนสอบเอามาจดไว้ หรือเอาใบขับขี่มาบันทึกแค่ชื่อและนามสกุล แล้วมองหน้าคนขับให้เปิดแมสก์ออกด้วย แค่นี้ถือว่าเก็บรวบรวมข้อมูลส่วนบุคคลตามความ “จำเป็น ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล” แล้วนะครับ จะไปยึดใบขับขี่ทำไม จงคืนให้เขาไป จะเก็บรวบรวมไว้เป็นภาระหรือไง 

เอาล่ะ ต่อให้บอกว่าไม่เป็นภาระ เพราะดูแลด้าน Information Security ได้ แล้วมันจำเป็นไหมครับ แค่รู้ชื่อ นามสกุล จดบันทึกให้ตรง บอกตำรวจเมื่อมีการกระทำผิด บอกรูปพรรณสัณฐานได้ เขาค้นหาในระบบได้หมด เท่านี้ถือว่าเก็บรวบรวมข้อมูลส่วนบุคคลที่ชอบด้วยกฎหมายแล้ว ส่วนบัตรประชาชนก็เหมือนกันครับ จงคืนเขาไป แค่จดชื่อ นามสกุล ดูหน้าค่าตาว่าใช่คนคนเดียวกันไหม ก็เพียงพอแล้วเหมือนกัน อย่าอ้างสิทธิอันชอบธรรมจนเปรอะ แลดูเลอะเทอะ แม้จะถูกฐานกฎหมาย แต่ก็เสี่ยงที่จะเรียกมาเก็บจนเกินความจำเป็นไปหน่อย และบางหมู่บ้านตรงป้อมยาม หรืออาคารบางแห่งก็มีกล้องวงจรปิดส่องทั้งใบหน้า ก็ยิ่งไม่สมควรยึดบัตรใดๆ ของเจ้าของข้อมูลส่วนบุคคลทั้งนั้น ที่เกริ่นมานี้หมายถึงหลักการนำเข้าข้อมูลส่วนบุคคลให้น้อยที่สุดเท่าที่จะทำได้ ความเสี่ยงของ “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ Data Controller จะได้ลดลง หรือไม่มีไงล่ะ 

ส่วนคำว่า “การประมวลผลข้อมูลส่วนบุคคล” (Personal Data Processing) นั้น หมายถึง การดำเนินการหรือชุดการดำเนินการซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ด้วยระบบอัตโนมัติหรือไม่ก็ได้ เช่น การเก็บรวบรวม การบันทึก การจัดระเบียบ การจัดโครงสร้าง การจัดเก็บ การปรับปรุง การใช้ การเปิดเผย การทำให้สามารถเข้าถึงได้ การยับยั้ง หรือการลบหรือทำลายข้อมูลส่วนบุคคล เป็นต้น (คำว่า “เป็นต้น” ยังมีอีกมากมายในการดำเนินการ ต้องไปอ่าน GDPR มาตรา 4 (2) นิยามไว้หนักแน่นดี) กรุณากลับไปทบทวนศัพท์ที่เกี่ยวข้องกับ PDPA ได้ที่ “อภิธานศัพท์ – พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” ด้วยก็ดี ซึ่งก็ลอกมาจาก GDPR ลองดูเปรียบเทียบข้างล่างนี้ครับ

แม้ PDPA ไม่มีไว้ในนิยาม แต่ความเป็น MS (Management System) ต้องไปดูความเป็นสากลด้วย จึงสอดคล้องชัดเจนกับ GDPR มาตรา 4 (2) “การประมวลผล” หมายถึง ปฏิบัติการใดๆ หรือชุดของปฏิบัติการใดๆ ที่ดำเนินการกับข้อมูลส่วนบุคคล หรือชุดของข้อมูลส่วนบุคคล ไม่ว่าจะด้วยวิธีการอัตโนมัติหรือไม่ก็ตาม เช่น การเก็บรวบรวม การบันทึก การจัดระบบ การวางโครงสร้าง การเก็บรักษา การปรับใช้หรือการแปรสภาพ การค้นคืน การสืบค้นข้อมูลเพิ่มเติม การใช้ประโยชน์ การเปิดเผยโดยการส่งต่อ เผยแพร่ หรือวิธีอื่นใดอันทำให้เข้าถึงได้ การจัดเรียงหรือรวมเข้าด้วยกัน การจำกัดการเข้าถึง การลบหรือทำลาย” ซึ่งแปลมาจากต้นฉบับ ได้แก่ 

GDPR Article 4 (2) “processing” means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction ; 

Ref. REGULATIONS REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL

of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) 

ลองมาดูเปรียบเทียบกับมาตรฐานระหว่างประเทศ ว่าด้วยการมาตรฐานอันเป็นสากลระดับโลกกัน ISO / IEC 29100 : 2011 (EN) เทคโนโลยีสารสนเทศ - เทคนิคการรักษาความมั่นคงปลอดภัย - กรอบความเป็นส่วนตัว

ข้อ 2.23 “การประมวลผลของ PII” – การดำเนินการ หรือชุดของการดำเนินการที่ดำเนินการกับข้อมูลส่วนบุคคล ที่สามารถระบุตัวตนได้ (PII) 

บันทึก 1 : ตัวอย่างของการดำเนินการประมวลผลของ PII รวมถึงแต่ไม่จำกัดเพียงการรวบรวม การจัดเก็บ การเปลี่ยนแปลง การสืบค้นกลับ การปรึกษา การเปิดเผย การทำให้ไม่เปิดเผยชื่อ การระบุนามแฝง การเผยแพร่ หรือการทำให้พร้อมใช้งาน การลบหรือการทำลาย PII

ISO/IEC 29100 : 2011 (en) Information technology – Security techniques – Privacy framework

2.23 “processing of PII” – operation or set of operations performed upon personally identifiable information (PII) 

Note 1 to entry : Examples of processing operations of PII include, but are not limited to, the collection, storage, alteration, retrieval, consultation, disclosure, anonymization, pseudonymization, dissemination or otherwise making available, deletion or destruction of PII 

ข้อ 2.9 ข้อมูลที่สามารถระบุไปถึงตัวบุคคล (PII) - ข้อมูลใดๆ ที่ (a) สามารถใช้เพื่อระบุหลักการของ PII ที่เกี่ยวข้องกับข้อมูลดังกล่าว หรือ (b) เป็น หรืออาจเชื่อมโยงโดยตรง หรือโดยอ้อมกับหลักการของ PII

บันทึก ในการพิจารณาว่าสามารถระบุหลักการของ PII ได้หรือไม่ ควรพิจารณาวิธีการทั้งหมดที่ผู้มีส่วนได้ส่วนเสียด้านความเป็นส่วนตัว ที่ถือข้อมูลหรือบุคคลอื่นใดใช้อย่างเหมาะสมเพื่อระบุตัวตนบุคคลนั้น

2.9 personally identifiable information PII – any information that (a) can be used to identify the PII principal to whom such information relates, or (b) is or might be directly or indirectly linked to a PII principal 

NOTE To determine whether a PII principal is identifiable, account should be taken of all the means which can reasonably be used by the privacy stakeholder holding the data, or by any other party, to identify that natural person. 

ฉะนั้น จะเห็นได้ว่าต้องตีความอย่างสากลในบริบทที่ประเทศไทยบัญญัติไว้กว้างๆ แถมไม่ยอมนิยามเอาไว้ด้วยว่า... ไม่ใช่แค่ กร.ช.ป. (เก็บรวบรวม ใช้ เปิดเผย) อันเป็นเพียงหัวเชื้อของการประมวลผลตามบทบัญญัติส่วนใหญ่ที่กระจายตามแต่ละมาตราเท่านั้น แต่มันยังแยกแตกแขนงออกเป็นรากฝอยอีกเยอะเลยครับ เมื่อจับหลักของทั้ง 2 ค่าย ไม่ว่าจะเป็น GDPR และ ISO ก็ตาม ก็ไม่ต่างกันครับ ไปด้วยกัน ไม่ขัดแย้งกันด้วย ส่วนจะเขียนมากน้อยอย่างไร นั่นเป็นสไตล์ของ MS 

มาดูตามโจทย์ข้างต้นกันต่อครับ การที่ รปภ. หรือเจ้าหน้าที่อาคาร มีการดำเนินการกระทำต่อบัตรประจำตัวประชาชนหรือใบขับขี่ ไม่ว่าจะโดยการจดชื่อ นามสกุลคนขับรถ คนที่เข้ามาในอาคารสถานที่ การใช้กล้องวงจรปิดส่องและบันทึก การถ่ายรูปไว้ การสแกนอัตลักษณ์ การสอบถามชื่อ นามสกุล การขอบัตรประชาชน ใบขับขี่ (DS ให้แล้ว DC รับไป) การยึดบัตรประชาชน ยึดใบขับขี่ไว้ ไม่ว่าจะชั่วคราวหรือค้างคืน แล้วไปคืนเอาตอนออกหรือกลับ หรือจะเอามาดูแล้วคืนเดี๋ยวนั้นเลย ไม่ว่าจะจดหรือไม่จด มันถือว่าใช่หมด เป็น Processing แล้วครับ เพราะมันมีการกระทำกับส่วนหนึ่งส่วนใดของข้อมูลส่วนบุคคลแล้ว การดำเนินการดังกล่าวกับข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ ยิ่งชัดเจน ซึ่งไม่ว่าจะด้วยวิธีการอัตโนมัติหรือไม่ก็ตาม ฉะนั้น ที่ไม่ใช่วิธีการอัตโนมัติก็อาจทำได้ด้วยการใช้ประสาทสัมผัส ไม่ว่าจะเป็นการเห็น การได้ยิน การลิ้มรส การได้กลิ่น การถูก (จับ) ต้องสัมผัส ที่เรารู้จักกันดีว่าเป็นประสาทสัมผัสทั้ง 5 สภาวะแบบ MoT หรือ Moment of Truth ซึ่งเป็นช่วงที่ต้องเผชิญกับความจริงของการนำข้อมูลส่วนบุคคลไปดำเนินการ และมันเกิดขึ้นแล้วนั่นเอง ไม่ว่าจะใช้คนทำ (manual) หรือ automatic ก็ได้หมดครับ 

ส่วนอีกเรื่องให้ระวังการไปยึดบัตรประจำตัวประชาชนหรือใบขับขี่ มันมีทั้ง GPD (General Personal Data) และ SPD (Sensitive Personal Data) ปนๆ ในบัตรและใบที่ว่านั้นด้วย อีกอย่าง PDPA มันแยกมาตรา 24 กับ 26 ไว้จะๆ โดย SPD ยังคงถือว่าตัวมันเป็น seb set ของ GPD ด้วย ดูเงื่อนไขกับข้อยกเว้นกันดีๆ ล่ะ ตีความเพี้ยน จุดเปลี่ยนจากถูกเป็นผิดได้เลยทีเดียว

live ของอาจารย์กฤษฎ์คราวนั้น ได้นำเสนอหลักการ Data Minimization Principle ไว้ครับ

มาตรา 22 “การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จำเป็น ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล”

Section 22 “The collection of Personal Data shall be limited to the extent necessary in relation to the lawful purpose of the Data Controller” 

มาตรา 83 “ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืน หรือไม่ปฏิบัติตามมาตรา 22... หรือขอความยินยอมโดยการหลอกลวง หรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์... ต้องระวางโทษปรับทางปกครองไม่เกิน 3 ล้านบาท”

Section 83 “Any Data Controller who violates or fails to comply with …Section 22… or who obtains consent by deceiving or misleading the data subject about the purposes…, shall be punished with an administrative fine not exceeding Baht three million” 

อาจารย์ได้เล่าพร้อมยกตัวอย่างพอให้เห็นภาพ นำไปผูก PDPA Section 22 + 83 เทียบเคียง GDPR article 5 (1)(5) ขอย่อให้จำง่ายๆ ว่า LAR (LIMITED + ADEQUATE + RELEVANT) ซึ่งเอาเข้าจริงๆ จะเรียงตามนี้หรือสลับอะไรขึ้นก่อนก็ได้ทั้งนั้น แค่อยากให้จำกันง่ายๆ ใน live ของอาจารย์กฤษฎ์ จากตัวอย่างที่ยกมาเล่าให้ฟังนั้น สังเกตดีๆ อาจารย์จะตบท้ายชี้ให้ชัดว่า “เพียงพอ (A) เกี่ยวข้อง (R) จำเป็น (L) สำหรับวัตถุประสงค์...”

โดยสรุป การเก็บรวบรวมข้อมูลส่วนบุคคลให้เป็นไปตามจำเป็นนั้น ต้อง…

1. จำกัดเท่าที่จำเป็น (L : LIMITED - ลีม-อิทิด) | เพื่อให้บรรลุวัตถุประสงค์ของการเก็บรวบรวม

2. เพียงพอ (A : ADEQUATE - (แอ-ดิ-ควิเอต-ท)) | ที่จะเอาไปใช้ประมวลผลข้อมูลส่วนบุคคล

3. เกี่ยวข้อง (R : RELEVANT - เรล'ลิเฟวินทฺ) | ต้องสัมพันธ์กับการประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์

หวังว่าพอจะเข้าใจกันนะครับ