พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
นิยาม ขอบเขต และประเภทของข้อมูลส่วนบุคคลของการรถไฟแห่งประเทศไทย
นิยาม ขอบเขต และประเภทของข้อมูลส่วนบุคคลของการรถไฟแห่งประเทศไทย
1. นิยามข้อมูลส่วนบุคคลของการรถไฟฯ
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลใดๆ ระบุไปถึง “เจ้าของข้อมูล” (Data Subject) ได้ไม่ว่าทางตรงหรือทางอ้อม โดยไม่รวมถึงข้อมูลของผู้ที่ถึงแก่กรรม
ความสามารถในการระบุไปถึงเจ้าของข้อมูลส่วนบุคคลมีอย่างน้อย 3 ลักษณะ คือ
• การแยกแยะ (Distinguishability) หมายถึง การที่ข้อมูลสามารถระบุแยกแยะตัวบุคคลออกจากกันได้ เช่น ชื่อนามสกุล หรือเลขประจำตัวประชาชน แต่ข้อมูลคะแนนเครดิตเพียงอย่างเดียวไม่สามารถใช้แยกแยะบุคคลได้
• การติดตาม (Traceability) หมายถึง การที่ข้อมูลสามารถถูกใช้ในการติดตามพฤติกรรมหรือกิจกรรมที่บุคคลนั้นทำได้ เช่น log file
• การเชื่อมโยง (Linkability) หมายถึง การที่ข้อมูลสามารถถูกใช้เชื่อมโยงกันเพื่อระบุไปถึงตัวบุคคลได้โดยแบ่งออกเป็น 2 กรณี
o ข้อมูลที่ถูกเชื่อมโยงแล้ว (linked) เป็นกรณีหากมีข้อมูลที่เกี่ยวข้องกับข้อมูลที่เมื่อใช้ด้วยกันแล้วสามารถระบุถึงตัวบุคคล เช่น ชุดข้อมูล 2 ชุด แต่ละชุดมีข้อมูลแยกกัน แต่หากมีบุคคลที่สามารถเขาถึงข้อมูลทั้ง 2 ชุดนั้นได้ ก็จะสามารถเชื่อมโยงและระบุไปถึงตัวบุคคลได้
o ข้อมูลที่อาจถูกเชื่อมโยง (linkable) เป็นกรณีหากมีชุดข้อมูลที่หากใช้ร่วมกันกับข้อมูลอื่นแล้วก็จะสามารถระบุตัวบุคคลได้ แต่โดยที่ข้อมูลอื่นที่จะนำมาใช้ร่วมกันไม่อยู่ในระบบหรืออยู่ในอินเทอร์เน็ตหรืออยู่ในที่อื่นใด
“ข้อมูลส่วนบุคคล” จึงเป็น “ข้อมูล” ทั้งหลายที่สามารถใช้ระบุถึงบุคคลที่เป็น “เจ้าของข้อมูล” ได้
• แม้ว่าข้อมูลที่อยู่ในรูปแบบกระดาษหรือในรูปแบบอื่น ๆ แต่ได้มีไว้เพื่อจะนำไปใช้ประมวลผลต่อไป
• แม้ว่าตัวข้อมูลที่มีอยู่นั้นจะไม่สามารถใช้ระบุถึงบุคคลได้ แต่หากใช้ร่วมกันกับข้อมูลหรือสารสนเทศอื่นๆ ประกอบกันแล้ว ก็จะสามารถระบุถึงตัวบุคคลได้ โดยไม่จำเป็นว่าข้อมูลหรือสารสนเทศอื่นนั้นได้มีอยู่ด้วยกัน โดยไม่ขึ้นอยู่กับว่าข้อมูลนั้นจะเป็นจริงหรือเป็นเท็จ
ตัวอย่างของข้อมูลส่วนบุคคล ได้แก่
(1) ชื่อ-นามสกุล หรือชื่อเล่น
(2) เลขประจำตัวประชาชน เลขหนังสือเดินทาง เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต (การเก็บเป็นภาพสำเนาบัตรประชาชนหรือสำเนาบัตรอื่น ๆ ที่มีข้อมูลส่วนบุคคลที่กล่าวมาย่อมสามารถใช้ระบุตัวบุคคลได้โดยตัวเอง จึงถือเป็นข้อมูลส่วนบุคคล)
(3) ที่อยู่ อีเมลส่วนตัว หมายเลขโทรศัพท์
(4) ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address, MAC address, Cookie ID
(5) ข้อมูลทางชีวมิติ (Biometric) เช่น รูปภาพใบหน้า ลายนิ้วมือ ฟิล์มเอกซเรย์ ข้อมูลสแกนม่านตา ข้อมูลอัตลักษณ์เสียง ข้อมูลพันธุกรรม
(6) ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์ โฉนดที่ดิน
(7) ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิดและสถานที่เกิด เชื้อชาติ สัญชาติ น้ำหนัก ส่วนสูง ข้อมูลตำแหน่งที่อยู่ (Location) ข้อมูลการแพทย์ ข้อมูลการศึกษา ข้อมูลทางการเงิน ข้อมูลการจ้างงาน
(8) ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง
(9) ข้อมูลบันทึกต่างๆ ที่ใช้ติดตามตรวจสอบกิจกรรมตางๆของบุคคล เช่น log file
(10) ข้อมูลที่สามารถใช้ในการคนหาข้อมูลสวนบุคคลอื่นในอินเทอร์เน็ต
ตัวอย่างข้อมูลที่ไม่เป็นข้อมูลสวนบุคคล เช่น
(1) เลขทะเบียนบริษัท
(2) ข้อมูลสำหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล เช่น หมายเลขโทรศัพท์ หรือหมายเลขโทรสารที่ทำงาน ที่อยู่สำนักงาน อีเมลทีใช้ในการทำงาน อีเมลของหน่วยงาน เช่น info@companay.com เป็นต้น
(3) ข้อมูลนิรนาม (Anonymous Data) หรือข้อมูลแฝง (Pseudonymous Data) หมายถึง ข้อมูลหรือชุดข้อมูลที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีการทางเทคนิค
(4) ข้อมูลผู้เสียชีวิต
ข้อมูลอ่อนไหว (Sensitive Personal Data) เป็นข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม จึงจำเป็นต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ
ข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามมาตรา 26 ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลได้แก่
• เชื้อชาติ
• เผ่าพันธุ์
• ความคิดเห็นทางการเมือง
• ความเชื่อในลัทธิ
• ศาสนาหรือปรัชญา
• ประวัติอาชญากรรม
• ข้อมูลสหภาพแรงงาน
• ข้อมูลชีวภาพ
• ข้อมูลพันธุกรรม
หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด
2. ขอบเขตของข้อมูลส่วนบุคคลของการรถไฟฯ
จากนิยามข้อมูลส่วนบุคคลในหัวข้อ 1 ขอบเขตของข้อมูลส่วนบุคคลตามมาตรา 5 ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดไว้ว่า จะใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่า การเก็บรวบรวม ใช้ หรือเปิดเผยนั้น ได้กระทำในหรือนอกราชอาณาจักรก็ตาม ดังนั้นข้อมูลส่วนบุคคลของผู้ที่อยู่ในประเทศไทยและผู้ที่อาศัยอยู่ต่างประเทศ แต่มาใช้ระบบของการรถไฟฯ ถือว่าเข้าค่ายกฎหมายฉบับนี้
3. ประเภทของข้อมูลส่วนบุคคลของการรถไฟฯ
จากการศึกษาหน้าที่ความรับผิดชอบของฝ่ายงาน เอกสาร และการทำงานของระบบต่าง ๆ ข้อมูลส่วนบุคคลของการรถไฟฯสามารถจำแนกหมวดหมู่ได้ดังต่อไปนี้
|
หมวดหมู่ของข้อมูลส่วนบุคคล
|
คำอธิบาย
|
|---|---|
|
1. ข้อมูลผู้สมัครงาน
|
ข้อมูลผู้สมัครงานที่ได้รับมาจากระบบหรือผู้รับจ้างรับสมัครงานเพื่อใช้ประกอบการพิจารณาคัดเลือก
|
|
2. ข้อมูลพนักงาน
|
ข้อมูลพนักงานประจำ พนักงานชั่วคราว ลูกจ้าง ผู้ฝึกงาน หรือนักเรียนการรถไฟฯ รวมถึงข้อมูลครอบครัวของพนักงานประจำ
|
|
3. ข้อมูลอดีตพนักงาน
|
ข้อมูลของบุคลากรที่เคยเป็นพนักงาน เช่นพนักงานที่พ้นสภาพ หรือ เกษียณอายุ
|
|
4. ข้อมูลคณะกรรมการและผู้ทรงคุณวุฒิ
|
ข้อมูลของคณะกรรมการที่ไม่เป็นพนักงานของการรถไฟฯ แต่มีกิจกรรมที่การรถไฟฯ อาจต้องพิจารณาเก็บหรือเผยแพร่
|
|
5. ข้อมูลผู้เช่า
|
ข้อมูลของผู้เช่าอสังหาริมทรัพย์ของการรถไฟฯ
|
|
6. ข้อมูลผู้โดยสาร
|
ข้อมูลผู้ใช้บริการรถโดยสาร รวมถึงประวัติการใช้บริการ
|
|
7. ข้อมูลผู้ใช้บริการขนส่งสินค้า
|
ข้อมูลผู้ใช้บริการขนส่งสินค้า รวมถึงประวัติการใช้บริการ
|
|
8. ข้อมูลผู้ใช้บริการโรงพยาบาล
|
ข้อมูลผู้ใช้บริการโรงพยาบาลในการตรวจ รักษา หรือการให้บริการอื่น ๆ รวมถึงประวัติการใช้บริการ
|
|
9. ข้อมูลคู่ค้า-ผู้รับจ้าง
|
ข้อมูลคู่ค้า ผู้รับจ้าง ผู้เข้าร่วมการประมูล ที่มีข้อมูลส่วนบุคคล
|
|
10. ข้อมูลผู้เข้าใช้เว็บไซต์
|
ข้อมูลผู้ที่เข้ามาใช้บริการเว็บไซต์ แอปพลิเคชัน หรือระบบดิจิทัลอื่นใดของการรถไฟฯ
|