จากเมื่อวันที่ 4 กรกฎาคม 2568 ที่ผ่านมา ทางเว็บไซต์ของ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ซึ่งเป็นแหล่งรวมข้อหารือและคำแนะนำด้านการคุ้มครองข้อมูลส่วนบุคคล (ดูเพิ่มเติมที่: เว็บไซต์ PDPC: ข้อหารือและคำแนะนำ) ได้มีการอัปโหลดไฟล์เนื้อหาเกี่ยวกับการตีความประเด็นสำคัญภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
ทาง PDPA Thailand จึงขอถือโอกาสนำเนื้อหาดังกล่าวมาวิเคราะห์ให้ท่านผู้ที่สนใจด้านการคุ้มครองข้อมูลส่วนบุคคลได้ทำความเข้าใจกันครับ
ประเด็นที่หารือ
กรณีอดีตพนักงานร้องเรียนว่าข้อมูลการสอบสวนทางวินัยของตนถูกเผยแพร่บนอินเทอร์เน็ต และสอบถามว่าข้อมูลดังกล่าวควรถือเป็น “ข้อมูลส่วนบุคคลลักษณะพิเศษ” (Special categories of personal data) ที่ต้องได้รับความคุ้มครองพิเศษหรือไม่
ข้อวินิจฉัยของ PDPC
คณะอนุกรรมการฯ มีความเห็นว่า ข้อมูลทางวินัยไม่ใช่ “ประวัติอาชญากรรม” และไม่เข้าข่ายข้อมูลลักษณะพิเศษอื่น ๆ ตามมาตรา 26 เช่น เชื้อชาติ ความเห็นทางการเมือง หรือสุขภาพ ทั้งยังไม่ถึงขั้นส่งผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลอย่างร้ายแรงพอจะเข้าข่าย “ข้อมูลอื่นใด” ที่ควรกำหนดเพิ่มเติมในมาตรานี้
มุมมองเชิงนโยบาย
PDPA THAILAND มองว่าคำวินิจฉัยนี้สะท้อนถึงความพยายามของ PDPC ในการรักษาสมดุลระหว่างการคุ้มครองสิทธิส่วนบุคคลกับข้อเท็จจริงในทางปฏิบัติขององค์กร โดยระบุว่า แม้ข้อมูลวินัยจะไม่ใช่ข้อมูลส่วนบุคคลลักษณะพิเศษตามมาตรา 26 แต่ก็ยังถือเป็น “ข้อมูลส่วนบุคคล” ที่ต้องได้รับการคุ้มครองภายใต้ PDPA อย่างครบถ้วน
ข้อเสนอแนะเชิงปฏิบัติ
องค์กรควรแยกแยะประเภทข้อมูลให้ชัดเจน เพื่อกำหนดมาตรการคุ้มครองที่เหมาะสม
ต้องมีฐานทางกฎหมายชัดเจนในการประมวลผลข้อมูลวินัย เช่น ผลประโยชน์โดยชอบ (legitimate interest)
แม้ไม่จัดเป็นข้อมูลส่วนบุคคลลักษณะพิเศษ แต่ควรใช้มาตรการรักษาความปลอดภัยอย่างเข้มงวด
เพราะหากมีการละเมิด เจ้าของข้อมูลยังสามารถใช้สิทธิร้องเรียนหรือฟ้องร้องตามกฎหมายได้
สรุป
การตีความของ PDPC ย้ำว่าไม่ใช่ทุกข้อมูลที่ดู “ละเอียดอ่อน” โดยสภาพ (Sensitive by nature) จะเข้าข่ายข้อมูลส่วนบุคคลลักษณะพิเศษตามกฎหมาย แต่นั่นก็ไม่ได้หมายความว่า เราจะละเลยการคุ้มครองข้อมูลเหล่านั้นไปได้ องค์กรจึงต้องบริหารจัดการข้อมูลประวัติโทษทางวินัยของพนักงานด้วยความใส่ใจและรอบคอบ ในสอดคล้องทั้งในมิติเชิงกฎหมายและเชิงจริยธรรม
ข้อเสนอแนะและกรอบคิดใหม่: การจัดการข้อมูลวินัยในองค์กร
จากคำวินิจฉัยนี้ องค์กรและบุคคลทั่วไปที่เกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคลควรทำความเข้าใจดังนี้:
แยกแยะประเภทข้อมูล: องค์กรต้องแยกแยะให้ชัดเจนว่าข้อมูลใดเป็น “ข้อมูลส่วนบุคคลทั่วไป” และข้อมูลใดเป็น “ข้อมูลส่วนบุคคลลักษณะพิเศษ” ตามมาตรา 26 เพื่อให้มั่นใจว่าได้ปฏิบัติตามข้อกำหนดทางกฎหมายที่แตกต่างกันได้อย่างถูกต้อง
ความสำคัญของการรักษาความปลอดภัยและฐานทางกฎหมาย: แม้ข้อมูลวินัยจะไม่ใช่ข้อมูลลักษณะพิเศษตามมาตรา 26 แต่ก็ยังต้องมีมาตรการรักษาความปลอดภัยที่เข้มงวด และต้องมีฐานทางกฎหมายที่ชัดเจนในการเก็บ ใช้ หรือเปิดเผย เช่น เพื่อประโยชน์โดยชอบด้วยกฎหมาย (legitimate interest) หรือเพื่อปฏิบัติตามสัญญา หากมีการนำไปใช้โดยไม่เหมาะสม เจ้าของข้อมูลส่วนบุคคลที่ได้รับผลกระทบยังคงสามารถใช้สิทธิร้องเรียนตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล หรือใช้สิทธิเรียกร้องความรับผิดตามกฎหมายอื่นได้
การพิจารณาเป็นกรณีไป: การตีความนี้ชี้ให้เห็นว่า การจะกำหนดให้ข้อมูลใดเป็นข้อมูลลักษณะพิเศษเพิ่มเติมนั้น PDPC จะพิจารณาอย่างรอบคอบถึงลักษณะของข้อมูลว่า “มีลักษณะที่อาจส่งผลกระทบต่อสิทธิและเสรีภาพของบุคคลในลักษณะร้ายแรง หรือเกินสมควรหรือไม่”
