รู้หรือไม่? อีเมลแบบไหนส่งให้ลูกค้าได้ ไม่ละเมิดข้อมูลส่วนบุคคล (PDPA)

ถือเป็นเรื่องใกล้ตัว เมื่อ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ถูกบังคับใช้ เพราะสำหรับบุคคลทั่วไปแล้วเป็นไปได้ยากที่จะล่วงรู้ว่าข้อมูลของตนเองนั้นถูกนำไปใช้อะไรบ้าง ทั้งที่ให้ไว้กับหน่วยงานรัฐและเอกชน และบางคนกว่าจะรู้ตัวว่าถูกละเมิดข้อมูลส่วนบุคคลจนสร้างความเสียหายก็เมื่อสายไปเสียแล้ว ซึ่งนอกจากข้อมูลสำคัญๆ ที่สามารถสร้างความเสียหายได้แล้ว ยังมีข้อมูลที่หลายคนมองข้ามอย่างจดหมายอิเล็กทรอนิกส์ หรืออีเมล ที่มีโอกาสสร้างความเดือดร้อนให้แก่เจ้าของได้เช่นกัน

ข้อมูลส่วนบุคคลคืออะไร?

ข้อมูลส่วนบุคคล เป็นข้อมูลต่างๆ ที่สามารถใช้ระบุถึงบุคคลที่เป็นเจ้าของข้อมูลได้ ไม่ว่าจะเป็นข้อมูลที่ระบุได้ทางตรง หรือทางอ้อม (ข้อมูลทางอ้อม เมื่อถูกนำไปใช้ประกอบกับข้อมูลอื่นแล้วระบุได้ถึงตัวบุคคล)

ตัวอย่างข้อมูลที่เป็นข้อมูลส่วนบุคคล

• ชื่อ-นามสกุล หรือชื่อเล่น

• เลขประจำตัวประชาชน เลขหนังสือเดินทาง เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี เลขบัญชีธนาคาร เลขบัตรเครดิต (การเก็บเป็นภาพสำเนาบัตรประชาชนหรือสำเนาบัตรอื่นๆ ที่มีข้อมูลส่วนบุคคลที่กล่าวมาย่อมสามารถใช้ระบุตัวบุคคลได้โดยตัวมันเอง จึงถือเป็นข้อมูลส่วนบุคคล)

• ที่อยู่ อีเมล เบอร์โทรศัพท์

• ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address, MAC address, Cookie ID

• ข้อมูลทางชีวมิติ (Biometric) เช่น รูปภาพใบหน้า ลายนิ้วมือ ฟิล์มเอกซเรย์ ข้อมูลสแกนม่านตา ข้อมูลอัตลักษณ์เสียง ข้อมูลพันธุกรรม

• ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์ โฉนดที่ดิน

• ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิดและสถานที่เกิด เชื้อชาติ สัญชาติ น้ำหนัก ส่วนสูง ข้อมูลตำแหน่งที่อยู่ (location) ข้อมูลการแพทย์ ข้อมูลการศึกษา ข้อมูลทางการเงิน ข้อมูลการจ้างงาน

• ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิล์ม แม้ไม่สามารถระบุไปถึงตัวบุคคลได้ แต่หากใช้ร่วมกับระบบดัชนีข้อมูลอีกระบบหนึ่งก็จะสามารถระบุไปถึงตัวบุคคลได้ ดังนั้นข้อมูลในไมโครฟิล์มจึงเป็นข้อมูลส่วนบุคคล

• ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง

• ข้อมูลบันทึกต่างๆ ที่ใช้ติดตามตรวจสอบกิจกรรมต่างๆ ของบุคคล เช่น log file

• ข้อมูลที่สามารถใช้ในการค้นหาข้อมูลส่วนบุคคลอื่นในอินเทอร์เน็ต

ตัวอย่างข้อมูลที่ไม่เป็นข้อมูลส่วนบุคคล

• เลขทะเบียนบริษัท

• ข้อมูลสำหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล เช่น หมายเลขโทรศัพท์ หรือแฟกซ์ที่ทำงาน ที่อยู่สำนักงาน อีเมลที่ใช้ในการทำงาน อีเมลของบริษัท

• ข้อมูลนิรนาม (Anonymous Data) หรือข้อมูลแฝง (Pseudonymous Data) หมายถึง ข้อมูลหรือชุดข้อมูลที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีการทางเทคนิค

• ข้อมูลผู้ตาย

จากตัวอย่างของข้อมูลที่ถือเป็นข้อมูลส่วนบุคคล “อีเมล” ถูกกำหนดไว้ในส่วนนั้นด้วย และถือเป็นส่วนสำคัญของข้อมูลส่วนบุคคลที่มีโอกาสถูกใช้ประโยชน์มากที่สุด ทั้งที่บางคนอาจมองข้ามมากที่สุดเช่นกัน

การส่งอีเมลที่ไม่ถือเป็นการส่งข้อมูลที่ละเมิดข้อมูลส่วนบุคคล

• ส่งโดยไม่มีวัตถุประสงค์ในเชิงพาณิชย์

• เพื่อดำเนินการอย่างใดๆ ที่เกี่ยวข้องกับการทำนิติกรรมสัญญา ที่คู่สัญญาได้ตกลงกันแล้ว

• ส่งโดยหน่วยงานใดหน่วยงานหนึ่ง ที่บังคับใช้กฎหมายเพื่อแจ้งให้ทราบถึงข้อกำหนด กฎหมาย คำสั่ง หรือนิติกรรมทางปกครอง

• ส่งโดยสถาบันการศึกษา หรือหน่วยงาน หรือองค์กรการกุศล ที่เจ้าของข้อมูลให้อีเมลไว้เพื่อรับข่าวสารโดยตรง

• การส่งที่ไม่มีลักษณะผิดกฎหมาย ไม่ละเมิดสิทธิส่วนบุคคล

• การส่งโดยเว็บไซต์ e-commerce ที่เก็บรวบรวมข้อมูลลูกค้า แล้วส่งต่อข้อมูลให้ร้านค้าจัดส่งสินค้าและส่งใบเสร็จตามสัญญาซื้อขายสินค้าให้ทางอีเมล

ลักษณะอีเมลที่สามารถส่งให้ลูกค้าได้

• ระบุวิธีการให้ผู้รับข้อมูลสามารถยกเลิก หรือปฏิเสธการรับข้อมูลได้โดยง่าย โดยวิธีการยกเลิกหรือปฏิเสธการรับข้อมูลมีดังนี้

– ต้องมีข้อมูลให้ผู้รับข้อมูลสามารถแจ้งกลับเพื่อยกเลิกหรือปฏิเสธได้โดยง่าย เช่น ต้องระบุที่อยู่อีเมล เบอร์โทรศัพท์ โทรสาร เพื่อให้ผู้ส่งข้อมูลระงับการส่งข้อมูล

– มีช่องทางหรือลิงก์ URL ที่ผู้รับอีเมลสามารถยกเลิกหรือปฏิเสธการรับข้อมูลได้ด้วยตัวเองได้โดยเร็ว

• ต้องดำเนินการยกเลิกการส่งข้อมูลไปยังผู้รับข้อมูลทันที หลังจากที่ผู้รับข้อมูลได้ยกเลิกหรือปฏิเสธการรับข้อมูล

• ไม่มีการเรียกร้องให้ชำระเงิน ในการทำคำสั่งดังกล่าว หรือขอข้อมูลเพิ่มเติม หรือ ดำเนินการใดๆ เพื่อผลประโยชน์ในเชิงพาณิชย์ในแบบฟอร์มเพื่อยกเลิกหรือปฏิเสธการรับข้อมูล เช่น การคลิก เพื่อเข้าสู่เว็บไซต์หรือช่องทางอื่นใดของผู้ให้บริการหรือขายสินค้าหรือบริการเพิ่มเติม

• ผู้ส่งข้อมูลจะต้องมีมาตรการหรือช่องทางในการยกเลิก หรือปฏิเสธการรับข้อมูลให้แก่ผู้ใช้บริการ ทั้งนี้จะต้องแจ้งรายละเอียดมาตรการหรือช่องทางการยกเลิกหรือปฏิเสธการรับข้อมูล และช่องทางดังกล่าวจะต้องเข้าใจและเข้าถึงได้โดยง่าย

ข้อมูลส่วนบุคคลในรูปแบบของอีเมลถือเป็นข้อมูลสำคัญอย่างหนึ่งที่สามารถใช้ยืนยันตัวตนได้ หากถูกนำไปใช้ในเชิงพานิชย์ หรือถูกละเมิดโดยเจ้าของข้อมูลไม่ได้อนุญาต ผู้นำไปใช้งานก็มีถือว่าเข้าข่ายทำผิดกฎหมายข้อมูลส่วนบุคคลได้ ดังนั้นก่อนใช้ข้อมูลอีเมลผู้อื่นกระทำการใดๆ ควรศึกษารายละเอียดต่างๆ อย่างรอบด้าน และนำไปใช้อย่างระมัดระวังมากที่สุด เพื่อป้องกันผลเชิงลบที่จะตามมาภายหลัง