ข้อมูลอ่อนไหว
สารบัญในมาตรานี้
นิยาม
ข้อมูลอ่อนไหว คือข้อมูลส่วนบุคคลประเภทพิเศษที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลกำหนดให้มีมาตรการคุ้มครองเข้มกว่าข้อมูลทั่วไป โดยห้ามเก็บรวบรวมเว้นแต่จะได้รับ ความยินยอมโดยชัดแจ้ง จากเจ้าของข้อมูล หรือเข้าข้อยกเว้นตามที่กฎหมายกำหนด
นิยามและรายการประเภทของข้อมูลอ่อนไหวกำหนดไว้ใน มาตรา 26 วรรคหนึ่ง
ตัวอย่าง
ประเภทของข้อมูลอ่อนไหวตามที่ระบุชัดใน มาตรา 26:
- เชื้อชาติ เผ่าพันธุ์ — ข้อมูลเกี่ยวกับชาติพันธุ์หรือต้นกำเนิด
- ความคิดเห็นทางการเมือง — เช่น การสังกัดพรรค การลงคะแนนเสียง
- ความเชื่อในลัทธิ ศาสนา หรือปรัชญา — เช่น การนับถือศาสนา ความเชื่อทางจิตวิญญาณ
- พฤติกรรมทางเพศ — รสนิยมทางเพศ อัตลักษณ์ทางเพศ
- ประวัติอาชญากรรม — ประวัติการกระทำผิด การถูกฟ้องร้อง
- ข้อมูลสุขภาพ — ผลตรวจ ประวัติการรักษา การวินิจฉัยโรค
- ความพิการ — ลักษณะ ระดับ และสาเหตุของความพิการ
- ข้อมูลสหภาพแรงงาน — การเป็นสมาชิกหรือกิจกรรมในสหภาพ
- ข้อมูลพันธุกรรม — ผลตรวจสารพันธุกรรม ข้อมูลทางพันธุศาสตร์
- ข้อมูลชีวภาพ — ข้อมูลที่ใช้ยืนยันตัวตนจากลักษณะทางกายภาพหรือพฤติกรรม เช่น ภาพจำลองใบหน้า ภาพจำลองม่านตา ลายนิ้วมือ
- ข้อมูลอื่นใด ที่คณะกรรมการประกาศกำหนดเพิ่มเติม
มาตราที่เกี่ยวข้อง
ฐานในการประมวลผล (หลักการห้าม + ข้อยกเว้น):
- มาตรา 26 — ⭐ มาตราหลัก: นิยามและรายการประเภทของข้อมูลอ่อนไหว + หลักการห้ามเก็บ + ข้อยกเว้น 5 ข้อ + บทบัญญัติพิเศษเรื่องประวัติอาชญากรรม
- มาตรา 24 — ฐานเก็บรวบรวมข้อมูลทั่วไป (เปรียบเทียบ — มาตรา 26 เป็นกฎเฉพาะที่เข้มกว่า)
- มาตรา 25 — กรณีพิเศษของผู้เยาว์/คนไร้ความสามารถ — กลไกการขอความยินยอมต่างจากผู้บรรลุนิติภาวะ
การใช้ การเปิดเผย และการส่งต่างประเทศ:
- มาตรา 27 — การใช้และการเปิดเผยข้อมูลอ่อนไหว ต้องเป็นไปตามวัตถุประสงค์ที่แจ้งไว้
- มาตรา 28 — การส่งข้อมูลไปต่างประเทศ — ข้อมูลอ่อนไหวมีกฎเฉพาะตามที่ มาตรา 84 อ้างถึง
สิทธิของเจ้าของข้อมูล (มีบทบัญญัติพิเศษเกี่ยวกับข้อมูลอ่อนไหว):
- มาตรา 33 — สิทธิให้ลบ — ข้อยกเว้นกรณีข้อมูลอ่อนไหวเพื่อเวชศาสตร์ป้องกัน อาชีวอนามัย หรือการวิจัย (มาตรา 26 (5) (ก)/(ข))
ตัวแทนและเจ้าหน้าที่คุ้มครองข้อมูล (DPO):
- มาตรา 38 — ข้อยกเว้นการแต่งตั้งตัวแทน: กิจการเล็กต้อง "ไม่เก็บข้อมูลอ่อนไหว" จึงจะได้รับข้อยกเว้น
- มาตรา 41 — ข้อบังคับแต่งตั้ง DPO: กิจกรรมหลักที่ประมวลผลข้อมูลอ่อนไหวต้องแต่ง DPO เสมอ
บทกำหนดโทษ:
- มาตรา 79 — โทษอาญา: จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ สำหรับการฝ่าฝืน มาตรา 27 หรือไม่ปฏิบัติตาม มาตรา 28 เกี่ยวกับข้อมูลอ่อนไหวที่น่าจะทำให้ผู้อื่นเสียหาย
- มาตรา 84 — โทษทางปกครอง: ปรับไม่เกิน 5 ล้านบาท สำหรับการฝ่าฝืน มาตรา 26/มาตรา 27/มาตรา 28 เกี่ยวกับข้อมูลอ่อนไหว (เพดานสูงสุดในระบบโทษทางปกครอง — เน้นความเข้มของการคุ้มครอง)
- มาตรา 87 — มาตรการบังคับเสริม: ระงับการดำเนินงาน + เปิดเผยรายชื่อต่อสาธารณะ ในกรณีฝ่าฝืนรวมถึงข้อมูลอ่อนไหว
ประกาศที่เกี่ยวข้อง
-
หมายเหตุ
- ความเข้มของความยินยอม: ข้อมูลอ่อนไหวต้องใช้ ความยินยอมโดยชัดแจ้ง ไม่ใช่ความยินยอมทั่วไป — ต้องแยกออกจากความยินยอมเรื่องอื่น ระบุประเภทข้อมูลและวัตถุประสงค์ชัดเจน และมีหลักฐานที่ตรวจสอบได้
- เทียบกับ GDPR Art. 9: มาตรา 26 ของ PDPA สอดคล้องกับ "ข้อมูลประเภทพิเศษ" ใน GDPR Art. 9 โดย PDPA กว้างกว่าในประเด็น:
- ระบุ "ประวัติอาชญากรรม" รวมในมาตราเดียวกัน (GDPR แยกเป็น Art. 10)
- ระบุ "ความพิการ" ชัดเจน (GDPR ไม่ระบุชัด)
- กรณีที่ธุรกิจขนาดเล็กต้องระวัง:
- ภาพถ่ายจับใบหน้าลูกค้าผ่านกล้องวงจรปิดหรือระบบรู้จำใบหน้า → ข้อมูลชีวภาพ
- แบบสมัครงานที่ถามเกี่ยวกับสุขภาพ ศาสนา หรือพฤติกรรมทางเพศ → ข้อมูลอ่อนไหว
- ข้อมูลการเป็นสมาชิกสหภาพแรงงาน → ข้อมูลอ่อนไหว
- 5 ข้อยกเว้นใน มาตรา 26 ที่อนุญาตเก็บข้อมูลอ่อนไหวโดยไม่ต้องขอความยินยอมโดยชัดแจ้ง:
- ป้องกันอันตรายต่อชีวิต/ร่างกาย/สุขภาพ เมื่อเจ้าของให้ความยินยอมไม่ได้
- กิจกรรมขององค์กรไม่แสวงหากำไรเกี่ยวกับศาสนา การเมือง หรือสหภาพแรงงาน (เฉพาะสมาชิก)
- ข้อมูลที่เจ้าของเปิดเผยต่อสาธารณะโดยชัดแจ้ง
- การก่อตั้ง ใช้ หรือต่อสู้สิทธิเรียกร้องตามกฎหมาย
- การปฏิบัติตามกฎหมายในด้านการแพทย์ สาธารณสุข แรงงาน วิจัย หรือประโยชน์สาธารณะที่สำคัญ