กฎหมายคุ้มครองข้อมูลส่วนบุคคล
ข้อมูลอ่อนไหว (Sensitive Personal Data)
Sensitive Personal Data
Sensitive personal data is a special category under PDPA — health, religion, criminal record, biometrics — requiring explicit consent and stronger safeguards.
ทำไมข้อมูลอ่อนไหวต้องระวังเป็นพิเศษ
ข้อมูลอ่อนไหวเป็นข้อมูลที่หากรั่วไหลอาจกระทบสิทธิเสรีภาพของบุคคลอย่างร้ายแรง PDPA จึงกำหนดเงื่อนไขการเก็บและใช้เข้มกว่าข้อมูลทั่วไป และโทษปรับก็สูงกว่า
แนวทางสำหรับ SME
- จัดทำรายการว่าเก็บข้อมูลอ่อนไหวประเภทใดและที่ไหนบ้าง
- ขอความยินยอมแบบชัดแจ้งและแยกจากความยินยอมทั่วไป
- จำกัดสิทธิ์การเข้าถึงและเข้ารหัสข้อมูลเสมอ
ทำไมบริษัทประกันถึงถามเรื่องนี้
ข้อมูลอ่อนไหวหากรั่วไหลก่อให้เกิดค่าปรับและความเสียหายสูงกว่าข้อมูลทั่วไปมาก บริษัทประกันจึงประเมินว่าองค์กรจัดเก็บข้อมูลประเภทนี้หรือไม่ และมีมาตรการคุ้มครองที่เข้มเพียงพอไหม ธุรกิจที่ถือข้อมูลอ่อนไหว (เช่น คลินิก) มักถูกพิจารณาความเสี่ยงและเบี้ยที่สูงขึ้น
เช็คตัวเอง
องค์กรของคุณรู้หรือไม่ว่าเก็บข้อมูลอ่อนไหวประเภทใดบ้าง และมีการขอความยินยอมชัดแจ้งพร้อมมาตรการคุ้มครองที่เข้มกว่าข้อมูลทั่วไปแล้วหรือยัง?
ทำแบบประเมินความพร้อม 18 ข้อคำถามที่พบบ่อย
ข้อมูลอ่อนไหวมีอะไรบ้าง
ตาม PDPA มาตรา 26 ครอบคลุมเชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ และข้อมูลสหภาพแรงงาน
ข้อมูลสุขภาพลูกค้าถือเป็นข้อมูลอ่อนไหวไหม
ใช่ ข้อมูลสุขภาพเป็นข้อมูลอ่อนไหวโดยตรง ธุรกิจอย่างคลินิก สปา หรือฟิตเนสที่เก็บข้อมูลนี้ต้องระวังเป็นพิเศษและขอความยินยอมชัดแจ้ง
เก็บข้อมูลอ่อนไหวต้องทำอะไรเพิ่ม
ต้องมีฐานทางกฎหมายที่เข้มกว่า (มักเป็นความยินยอมชัดแจ้ง) จำกัดผู้เข้าถึง เข้ารหัสข้อมูล และกำหนดระยะเวลาเก็บที่ชัดเจน