หลายประเทศทั่วโลกได้ก้าวเข้าสู่สังคมผู้สูงอายุ (Aging Society) อย่างเต็มรูปแบบ จากข้อมูลสถิติในปีที่ผ่านมาได้ระบุว่า ประเทศไทยมีจำนวนประชากรผู้สูงอายุ ตั้งแต่ 60 ปีขึ้นไป ประมาณร้อยละ 14 ของปริมาณประชากรทั้งประเทศ หมายถึงประเทศไทยคือหนึ่งในประเทศที่ก้าวสู่สังคมสูงอายุเช่นเดียวกัน ทำให้ธุรกิจที่เกี่ยวข้องกับการให้บริการผู้สูงอายุเกิดขึ้นตามความต้องการที่เพิ่มมากขึ้น เช่น ธุรกิจด้านการดูแลรักษาพยาบาล การแพทย์ บ้านพักคนชรา บริการด้านความงาม ท่องเที่ยว อสังหาริมทรัพย์ อาหารฟังก์ชัน (Functional Food) รวมทั้งสินค้าอุปโภคและบริโภค ซึ่งเป็นธุรกิจมาแรง และมีธุรกิจใหม่เกิดขึ้นเพื่อสอดรับกับกระแสเทรนด์โลก

ขณะเดียวกัน การบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA มีผลต่อทุกธุรกิจเป็นอย่างมาก โดยผู้ประกอบการที่ดำเนินธุรกิจที่เกี่ยวข้องกับผู้สูงอายุจะต้องมีมาตรการและความพร้อมสำหรับรับมือ ‘กฎหมายใหม่’ ที่มีความอ่อนไหวและสุ่มเสี่ยงการละเมิดสิทธิได้ง่ายมาก ซึ่งผู้ประกอบการควรให้ความสำคัญกับประเด็นหลัก 3 อย่าง ดังนี้

1. เก็บข้อมูลส่วนบุคคลของผู้สูงอายุ จะต้องขอความยินยอม

การเก็บ รวบรวมใช้ หรือเปิดเผยเพื่อกิจกรรมทางธุรกิจในรูปแบบต่าง ๆ ทั้งปราศจากฐานทางกฎหมายอื่น หรือการนำข้อมูลไปใช้เพื่อประโยชน์ทางการตลาด ไม่ว่าจะเป็นข้อมูลที่สามารถระบุตัวบุคคลได้ทั้งทางตรงและทางอ้อม จะต้อง ‘ขอความยินยอม’ เสียก่อน เช่น ข้อมูลทั่วไปของผู้สูงอายุ ชื่อ-นามสกุล อายุ เบอร์โทร ที่อยู่ วันเกิด เพศ การศึกษา อาชีพ ภาพถ่ายใบหน้า อีเมล เลขบัญชีธนาคาร เป็นต้น

2. เก็บข้อมูลสุขภาพของผู้สูงอายุผิดกฎหมาย PDPA

ข้อมูลสุขภาพ และข้อมูลความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ล้วนเป็นข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) ตามทฤษฎีนั้น กฎหมายไม่อนุญาตให้ใช้ฐานสัญญาในการเก็บรวบรวมข้อมูลสุขภาพ หมายถึงธุรกิจใดก็ไม่สามารถนำเอกสารสัญญาในลักษณะต่าง ๆ มาอ้างอิง เพื่อเก็บข้อมูลส่วนบุคคลอ่อนไหวนี้ได้ แน่นอนว่า ข้อมูลสุขภาพของผู้สูงอายุ ข้อมูลด้านความพิการ ข้อมูลพันธุกรรม และข้อมูลชีวภาพ เช่น สแกนใบหน้า ลายนิ้วมือ เราจึงมักพบเห็นได้ว่าสถานพยาบาลเอกชน คลินิกเฉพาะทางสำหรับผู้สูงอายุ หรือบ้านพักคนชรา จะมีการเก็บบันทึกหรือประมวลผลข้อมูลนี้ โดยในบทบัญญัติของกฎหมายเท่ากับการละเมิด เว้นแต่จะเป็นไปด้วยความยินยอมอย่างชัดแจ้งจากเจ้าของข้อมูล

3. ผู้สูงอายุที่เป็นบุคคลไร้ความสามารถ หรือเสมือนไร้ความสามารถให้ความยินยอมในการเก็บข้อมูลส่วนบุคคลด้วยตนเองไม่ได้

ผู้สูงอายุที่มีความพิการ วิกลจริต ความจำเสื่อม อัมพาต ป่วยรุนแรงที่ไม่สามารถรักษาให้หายขาดได้ หรือทำภารกิจส่วนตัวเองไม่ได้ จะต้องอยู่ในการดูแลของผู้อนุบาล จะให้การยินยอมในการเก็บใช้หรือเปิดเผยข้อมูลส่วนบุคคลด้วยตนเองไม่ได้ และหากธุรกิจมีการเก็บข้อมูลส่วนบุคคลในกรณีดังกล่าว ถือว่าทำผิดกฎหมาย PDPA เว้นแต่จะได้รับความยินยอมจากผู้พิทักษ์หรือผู้อนุบาลที่มีอำนาจกระทำการแทนตามกฎหมาย

 

ธุรกิจจะเก็บหรือประมวลผลข้อมูลผู้สูงอายุได้อย่างไรบ้าง?

กฎหมาย PDPA ได้มีข้อยกเว้นให้สถานพยาบาล โรงพยาบาล คลินิก สถานดูแลรับเลี้ยง หรือธุรกิจบริการที่เกี่ยวข้องกับผู้สูงอายุในกิจกรรมต่าง ๆ หากต้องการเก็บข้อมูลส่วนบุคคล ซึ่งตามกฎหมาย PDPA จะต้องขอความยินยอมจากเจ้าของข้อมูล หรือความยินยอมจากผู้พิทักษ์/ผู้ให้การดูแลที่มีอำนาจตามกฎหมาย แต่บางกรณีสามารถเก็บหรือประมวลผลข้อมูลส่วนบุคคลทั่วไป และข้อมูลส่วนบุคคลอ่อนไหวได้ตามกฎหมาย แต่ต้องอยู่บนพื้นฐานของความ ‘จำเป็น’ เช่น

 

1. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของลูกค้า เช่น ประโยชน์ด้านการรักษา หรือการพยาบาลดูแล
2. การปฏิบัติตามสัญญา หรือตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้นในกรณีที่ข้อมูลที่มีการเก็บใช้เป็นข้อมูลบุคคลทั่วไป
3. การปฏิบัติหน้าที่เพื่อประโยชน์โดยชอบของผู้ควบคุมข้อมูลส่วนบุคคล
4. การดำเนินการภายใต้ฐานกฎหมายโดยชอบ หรือกฎหมายอื่น ๆ ให้ทำได้
5. การปฏิบัติตามสิทธิเพื่อดำเนินธุรกรรมต่าง ๆ ตามกฎหมาย เช่น ด้านสวัสดิการ ประกันสังคม
6. เพื่อประโยชน์สาธารณะด้านการสาธารณสุข เช่น การป้องกันโรคระบาด

 

กรณีที่สถานประกอบการต่าง ๆ อาจจะใช้ ‘ฐานประโยชน์โดยชอบ’ ซึ่งเป็นเหตุผลในการดำเนินธุรกิจ โดยการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลผู้สูงอายุ แต่ก็ต้องอยู่บนพื้นฐานของความจำเป็นแล้วแต่กรณี ตามที่ได้ระบุไว้ในข้างต้น

อย่างไรก็ตาม กฎหมาย PDPA แม้จะอนุญาตให้เก็บข้อมูลส่วนบุคคลได้ในกรณีข้างต้น แต่สถานประกอบการต่าง ๆ จะต้องจัดให้มีมาตรการที่เหมาะสม ปลอดภัย เพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคลด้วย

 

หน้าที่ตามกฎหมาย PDPA ของธุรกิจสูงวัย หากมีการเก็บใช้ หรือเปิดเผยข้อมูลลูกค้า

ธุรกิจผู้สูงอายุที่มีการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลลูกค้า มีสถานะเป็น ผู้ควบคุมข้อมูล (Data Controller) ดังนั้นจึงมีหน้าที่ตามกฎหมาย PDPA ในการจัดทำบันทึกรายการข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลและคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ โดยจัดทำเป็นเอกสารหรือข้อมูลอิเล็กทรอนิกส์ ซึ่งจะต้องประกอบด้วยข้อมูล ดังนี้

การทำบันทึกรายการข้อมูลส่วนบุคคลของกฎหมาย PDPA อาจมีข้อยกเว้นมิให้นำมาใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งเป็น ‘กิจการขนาดเล็ก’ ตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด คือมีการเก็บข้อมูลเป็นครั้งคราว และไม่ได้มีการเก็บข้อมูลเป็นจำนวนมากไว้ ซึ่งในนิยามของ ‘ข้อมูลจำนวนมาก’ หมายถึงบุคคลหรือนิติบุคคลที่มีการจัดเก็บข้อมูลบุคคลทั่วไปที่สามารถระบุตัวตนของเจ้าของข้อมูล 50,000 ราย หรือมีข้อมูลอ่อนไหวของเจ้าของข้อมูล 5,000 ราย เว้นแต่การเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล

อย่างไรก็ตาม ข้อบังคับตามกฎหมาย PDPA ธุรกิจด้านผู้สูงอายุ สามารถนำข้อกฎหมายอื่น ๆ มาเทียบเคียง หรืออ้างสิทธิการปฏิบัติโดยชอบได้ เช่น พ.ร.บ.ผู้สูงอายุ พ.ศ.2546, พ.ร.บ.สุขภาพแห่งชาติ พ.ศ.2550, แผนผู้สูงอายุฉบับที่ 2 (2545-2564) เป็นต้น แต่จะต้องเป็นเงื่อนไขหรือการปฏิบัติที่อยู่ภายใต้ข้อกำหนดของกฎหมายเท่านั้น