Now!
Solution ด้านการคุ้มครองข้อมูลส่วนบุคคลที่ตอบโจทย์ SMEs ได้ทุกคำถาม

‘ธุรกิจสูงวัย’ จะจัดการอย่างไร? ไม่ให้ละเมิดข้อมูลลูกค้าตามกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

‘ธุรกิจสูงวัย’ จะจัดการอย่างไร? ไม่ให้ละเมิดข้อมูลลูกค้าตามกฎหมาย PDPA

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

หลายประเทศทั่วโลกกำลังก้าวสู่สังคมผู้สูงอายุ (Aging Society) และจากข้อมูลในปีที่ผ่านมาระบุว่าประเทศไทยมีปริมาณผู้สูงอายุ (ตั้งแต่ 60 ปีขึ้นไป) ประมาณร้อยละ 14 ของปริมาณประชากรทั้งประเทศ นั่นหมายความว่าไทยก็เป็นหนึ่งในประเทศที่ก้าวสู่สังคมสูงอายุเช่นกัน ด้วยเหตุนี้ ธุรกิจที่เกี่ยวข้องกับการให้บริการผู้สูงอายุจึงเกิดขึ้นตามดีมานด์ที่เพิ่มขึ้น อาทิ ด้านการดูแลรักษาพยาบาล การแพทย์ บ้านพักคนชรา บริการด้านความงาม ท่องเที่ยว อสังหาริมทรัพย์ อาหารฟังก์ชัน (Functional Food) ตลอดจนสินค้าอุปโภค-บริโภคต่างๆ ซึ่งเป็นธุรกิจกระแสแรง และมีธุรกิจใหม่ผุดขึ้นราวดอกเห็ดสอดรับเมกะเทรนด์โลก

ขณะที่การบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA มีผลต่อธุรกิจอย่างมากรวมถึงผู้ประกอบการที่ดำเนินธุรกิจที่เกี่ยวข้องกับผู้สูงอายุจะต้องมีมาตรการและความพร้อมสำหรับรับมือ ‘กฎหมายใหม่’ ที่ค่อนข้างจะอ่อนไหวและสุ่มเสี่ยงการละเมิดได้ง่ายมาก หากไม่ระวัง ! โดยมี 3 ประเด็นหลักๆ ที่ผู้ประกอบการควรให้ความสำคัญ ดังนี้

  1. เก็บข้อมูลส่วนบุคคลของผู้สูงอายุ ต้องขอความยินยอม : ข้อมูลทั่วไปของผู้สูงอายุ เช่น ชื่อ นามสกุล อายุ เบอร์โทร ที่อยู่ วันเกิด เพศ การศึกษา อาชีพ ภาพถ่ายใบหน้า อีเมล เลขบัญชีธนาคาร ตลอดจนข้อมูลที่สามารถระบุตัวบุคคลไม่ว่าจะทางตรง หรือทางอ้อมจะต้อง ขอความยินยอม’ หากมีการเก็บ รวบรวมใช้ หรือเปิดเผยเพื่อกิจกรรมทางธุรกิจในรูปแบบต่างๆ
  2. เก็บข้อมูลสุขภาพของผู้สูงอายุผิดกฎหมาย PDPA : โดยการเก็บ รวมรวมใช้ หรือเปิดเผย ข้อมูลสุขภาพ’ ซึ่งเป็นข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) รวมถึงการเก็บข้อมูล ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ’ ก็เข้าข่ายข้อมูลส่วนบุคคลอ่อนไหว โดยในทางทฤษฎี กฎหมายไม่อนุญาตให้ใช้ฐานสัญญาในการเก็บรวบรวมข้อมูลสุขภาพ หมายความว่าธุรกิจใดก็ตามไม่สามารถเอาเอกสารสัญญาในลักษณะต่างๆ มาอ้างอิงเพื่อเก็บข้อมูลส่วนบุคคลอ่อนไหวนี้ได้ ซึ่งแน่นอนว่า ข้อมูลสุขภาพของผู้สูงอายุ ข้อมูลด้านความพิการ ข้อมูลพันธุกรรม และข้อมูลชีวภาพ (สแกนใบหน้า ลายนิ้วมือ) ที่เรามักจะเห็นบ่อยครั้งว่า สถานพยาบาลเอกชน คลินิกเฉพาะทางสำหรับผู้สูงอายุ หรือบ้านพักคนชรา จะมีการเก็บหรือประมวลผลข้อมูลนี้ โดยในบทบัญญัติของกฎหมายเท่ากับเป็นการละเมิด เว้นแต่ จะเป็นความยินยอมจากเจ้าของข้อมูล และอยู่บนพื้นฐานของความจำเป็นในการเก็บข้อมูล
  3. ผู้สูงอายุที่เป็นบุคคลไร้ความสามารถ หรือเสมือนไร้ความสามารถให้ความยินยอมในการเก็บข้อมูลส่วนบุคคลด้วยตนเองไม่ได้ : โดยผู้สูงอายุที่มีความพิการ วิกลจริต ความจำเสื่อม อัมพาต ป่วยรุนแรงที่ไม่สามารถรักษาให้หายขาดได้ หรือทำภารกิจส่วนตัวเองไม่ได้ จะต้องอยู่ในการดูแลของผู้อนุบาล จะให้การยินยอมในการเก็บใช้หรือเปิดเผยข้อมูลส่วนบุคคลด้วยตนเองไม่ได้ และหากธุรกิจมีการเก็บข้อมูลส่วนบุคคลในกรณีดังกล่าว ถือว่าทำผิดกฎหมาย PDPA เว้นแต่จะได้รับความยินยอมจากกผู้พิทักษ์ หรือผู้อนุบาลที่มีอำนาจกระทำการแทนตามกฎหมาย

กฎหมาย PDPA มีข้อยกเว้นในการที่สถานพยาบาล โรงพยาบาล คลินิก สถานดูแลรับเลี้ยง หรือธุรกิจบริการที่เกี่ยวข้องกับผู้สูงอายุในกิจกรรมต่างๆ หากจะมีการเก็บข้อมูลส่วนบุคคลซึ่งทางกฎหมายจะต้องขอความยินยอมจากเจ้าของข้อมูลหรือขอความยินยอมจากผู้พิทักษ์/ผู้ให้การดูแลที่มีอำนาจตามกฎหมาย แต่ก็มีบางกรณีสามารถเก็บหรือประมวลผลข้อมูลส่วนบุคคลทั่วไป และข้อมูลส่วนบุคคลอ่อนไหวได้ตามกฎหมาย แต่ต้องอยู่บนพื้นฐานของความ จำเป็น เช่น

  1. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของลูกค้า อาทิ ประโยชน์ด้านการักษา หรือการพยาบาลดูแล
  2. เป็นการปฏิบัติตามสัญญา หรือตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้นในกรณีที่ข้อมูลที่มีการเก็บใช้เป็นข้อมูลบุคคลทั่วไป
  3. เป็นการปฏิบัติหน้าที่เพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล เช่น กรณีสถานพยาบาล โรงพยาบาล บ้านพักคนชรา ฯลฯ
  4. เป็นการดำเนินการภายใต้ฐานกฎหมายโดยชอบ หรือกฎหมายอื่นๆ ให้ทำได้
  5. เป็นการปฏิบัติตามสิทธิเพื่อดำเนินธุรกรรมต่างๆ ตามกฎหมาย เช่น ด้านสวัสดิการ ประกันสังคม หลักประกันสุขภาพแห่งชาติ การเยียวยา การฟ้องร้องคดี การคุ้มครองสิทธิแรงงาน
  6. เพื่อประโยชน์สาธารณะด้านการสาธารณสุข เช่น การป้องกันโรคระบาด

 

ในกรณีที่สถานประกอบการต่างๆ อาจจะใช้ ฐานประโยชน์โดยชอบ ซึ่งเป็นเหตุผลในการดำเนินธุรกิจ โดยการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลผู้สูงอายุ แต่ก็ต้องอยู่บนพื้นฐานของความจำเป็นแล้วแต่กรณี ตามที่ได้ระบุไว้ในข้างต้น

อย่างไรก็ตาม กฎหมาย PDPA แม้จะอนุญาตให้เก็บข้อมูลส่วนบุคคลได้ในกรณีข้างต้น แต่สถานประกอบการต่าง จะต้องจัดให้มีมาตรการที่เหมาะสม ปลอดภัย เพื่อคุ้มครอง สิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคลด้วย  

ทั้งนี้ธุรกิจผู้สูงอายุที่มีการเก็บ รวมรวมใช้ หรือเปิดเผยข้อมูลลูกค้า มีสถานะเป็น ผู้ควบคุมข้อมูล (Data Controller) ดังนั้นจึงมีหน้าที่ตามกฎหมาย PDPA ในการจัดทำบันทึกรายการข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลและคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ โดยจัดทำเป็นเอกสารหรือข้อมูลอิเล็กทรอนิกส์ ซึ่งจะต้องประกอบด้วยข้อมูล ดังนี้

  1. ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
  2. วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท และนำไปใช้ในกิจกรรมใดบ้าง
  3. ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งก็คือข้อมูลของธุรกิจนั้นๆ
  4. ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล ควรมีการระบุให้ชัดเจน
  5. สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล ที่ต้องมีการดำเนินการให้ลูกค้าสามารถเข้าถึงประโยชน์ในด้านการเรียกร้องสิทธิได้โดยง่าย รวมทั้งจัดทำเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้นๆ
  6. การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับการยกเว้นไม่ต้องขอความยินยอม มีการเปิดเผย หรือส่งต่อข้อมูลใดบ้าง
  7. มาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลเพื่อฟ้องกันข้อมูลรั่วไหลหรือละเมิดข้อมูลลูกค้า
  8. ทำบันทึกการปฏิเสธคำขอหรือการคัดค้านในกรณีที่มีการเรียกร้องสิทธิ อาทิ การให้แก้ไข ระงับ ถ่ายโอน หรือลบทำลายข้อมูล

ถึงกระนั้น การทำบันทึกรายการข้อมูลส่วนบุคคล กฎหมาย PDPA อาจยกเว้นมิให้นำมาใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็น ‘กิจการขนาดเล็ก ตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด คือมีการเก็บข้อมูลเป็นครั้งคราว และไม่ได้มีการเก็บข้อมูลเป็นจำนวนมากไว้ ซึ่งในนิยามของ ข้อมูลจำนวนมาก หมายถึง บุคคลหรือนิติบุคคลที่มีการจัดเก็บข้อมูลบุคคลทั่วไปที่สามารถระบุตัวตนของเจ้าของข้อมูล 50,000 ราย หรือมีข้อมูลอ่อนไหว(Sensitive Data)ของเจ้าของข้อมูล 5,000 ราย เว้นแต่ มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพ ของเจ้าของข้อมูลส่วนบุคคล

อย่างไรก็ตาม ข้อบังคับตามกฎหมาย PDPA ธุรกิจด้านผู้สูงอายุ อาจสามารถนำข้อกฎหมายอื่นๆ มาเทียบเคียง หรืออ้างสิทธิการปฏิบัติโดยชอบได้ อาทิ พ.ร.บ.ผู้สูงอายุ พ.ศ.2546 พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550 แผนผู้สูงอายุฉบับที่ 2 (2545-2564) เป็นต้น แต่จะต้องเป็นเงื่อนไขหรือการปฏิบัติที่อยู่ภายใต้ข้อกำหนดของกฎหมายเท่านั้น

Share :

บทความที่เกี่ยวข้อง

การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล  ถือเป็นประเด็นที่ต้องพิจารณาทางกฎหมายหลายประการ โดยมี
Copyright © 2022 Digital Business Consult, All Rights Reserved.

ลงทะเบียน

เข้าสู่ระบบ