posttoday

พรบ.คุ้มครองข้อมูลส่วนบุคคลกับผลกระทบโดยตรงต่องานวิ่ง

01 มีนาคม 2563

โดย ดิลก ถือกล้า

การจัดงานวิ่งในปัจจุบันโดยเฉพาะงานที่ได้มาตรฐานสูง จะมีการใช้เทคโนโลยีและระบบดิจิทัลเข้ามาช่วยในแทบทุกขั้นตอนของกิจกรรม ตั้งแต่การรับสมัคร การแจ้งผล การติดตาม การจับเวลาระหว่างการวิ่ง การบันทึกผล รวมทั้งกิจกรรมหลังการแข่งขันที่บรรดานักวิ่งทั้งหลายชอบกันมากคือ การจำหน่ายรูปภาพนักวิ่งด้วยการอัพโหลดรูปเข้าระบบฐานข้อมูล แล้วให้นักวิ่งใช้การค้นหารูปภาพด้วยระบบการค้นหาจากใบหน้าหรือเบอร์วิ่งที่เรียกว่า BIB ซึ่งบรรดากิจกรรมที่ผมกล่าวไปข้างต้น ล้วนแล้วแต่ต้องใช้ข้อมูลส่วนบุคคลของนักวิ่งผู้เข้าร่วมงาน

อย่างไรก็ดี ในช่วงที่ผ่านมาจนถึง ณ เวลานี้ การที่ผู้จัดงานวิ่งจะขอเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลเหล่านี้ยังไม่เป็นประเด็นมากนัก แต่หลังวันที่ 28 พฤษภาคม 2563 ซึ่งเป็นวันที่ พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 เริ่มมีผลบังคับใช้ การจะใช้ข้อมูลส่วนบุคคลเพื่อการจัดกิจกรรมงานวิ่ง จะไม่ใช่เรื่องที่ทำได้โดยง่ายอีกต่อไป

ในฐานะที่ผมเป็นคนที่สนใจงานวิ่ง และเข้าร่วมงานวิ่งในระยะฮาล์ฟมาราธอนอยู่เป็นระยะ จึงขอนำเสนอเรื่องนี้ให้กับผู้ที่อยู่ในวงการจัดงานวิ่งและนักวิ่งทั้งหลาย ได้รับทราบและตระหนักถึงผลกระทบของจดหมายฉบับนี้ เพื่อให้สามารถเตรียมการและรับมือได้อย่างถูกต้อง เพราะกฎหมายฉบับนี้ มีโทษทั้งทางแพ่งและทางอาญา เป็นความเสี่ยงที่จะต้องระมัดระวัง

ข้อมูลส่วนบุคคลคืออะไรข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถ “ระบุตัวบุคคล”นั้นได้ ไม่ว่า “ทางตรง”หรือ “ทางอ้อม” แต่ไม่รวมถึงข้อมูลของผู้ที่เสียชีวิตไปแล้ว ซึ่งข้อมูลส่วนบุคคลจะแยกเป็นสองกลุ่มคือกลุ่มแรก ข้อมูลส่วนบุคคลทั่วไป เช่น บัตรประชาชน เบอร์โทรศัพท์ วันเดือนปีเกิด ตำแหน่งที่อยู่ เป็นต้น กับ กลุ่มที่สอง ข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่น ม่านตา ลายนิ้วมือ เชื้อชาติ DNA ข้อมูลสุขภาพ เป็นต้น ที่เรียกว่า ข้อมูลอ่อนไหวเพราะเป็นข้อมูลที่ทำให้เกิดการเลือกปฏิบัติ เกิดการแสวงหาผลประโยชน์ที่ไม่ชอบได้ ซึ่งกฎหมายบอกว่า การจะเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเหล่านี้ จะต้องได้รับความยินยอมจากเจ้าของข้อมูล

ข้อมูลส่วนบุคคลอะไรที่ถูกเก็บรบรวม ใช้และเปิดเผยในงานวิ่งในงานวิ่งจะมีการเก็บ ใช้ เปิดเผย และประมวลผลข้อมูลส่วนบุคคล อยู่ในกิจกรรมต่างๆเหล่านี้

1. ข้อมูลส่วนบุคคลในการกรอกสมัครงานวิ่ง เป็นข้อมูลที่นักวิ่งต้องกรอกในการสมัครที่เห็นกันมากก็คือ

  • ชื่อ-นามสกุล หรือชื่อเล่น
  • เพศ ชาย/หญิง อายุ
  • เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรเครดิต
  • ที่อยู่, อีเมล์, เลขโทรศัพท์
  • กรุ๊ปเลือด โรคประจำตัว
  • คู่สมรส ญาติพี่น้อง ที่เป็นผู้ที่จะรับแจ้งกรณีฉุกเฉิ

2.ข้อมูลส่วนบุคคลระหว่างการวิ่ง จะมีการเก็บข้อมูลส่วนบุคคลดังนี้

  • จะเป็นกรณีที่งานนั้นใช้ชิปไทม์ (Ship Time) เวลานักวิ่งผ่านจุดการจับเวลาจะเป็นการเก็บข้อมูลส่วนบุคคลที่อยู่ในข้อข้างต้น รวมทั
  • ข้อมูลตำแหน่ง Location ว่านักวิ่งไปถึงไหนแล้ว
  • รูปถ่ายของนักวิ่งที่ตากล้องระดมถ่ายกันในจุดต่างๆ
  • ภาพเบอร์วิ่งหรือ BIB ที่ปรากฎในรูปภาพถ่าย
  • การบันทึกผลลงเข้าระบบโดยมีบริษัทที่รับทำข้อมูลจะเป็นผู้ประมวลผลแล้วเก็บไว้เพื่อเรียกดูผลการแข่งขัน                           

3. ข้อมูลส่วนบุคคลภายหลังการวิ่ง

  • ข้อมูลสุขภาพหากนักวิ่งวิ่งมาถึงเส้นชัยแล้วมีอาการบาดเจ็บหรือไม่สบายต้องพบทีมแพทย์ของงาน
  • รูปถ่ายของนักวิ่งที่นำไปเก็บไว้ในฐานข้อมูลงานวิ่ง
  • รูปถ่ายนักวิ่งที่โดดเด่น สวย หล่อ ที่งานวิ่งบางงานได้นำไปขึ้นหน้าเพจเพื่อดึงดูดคน
  • ข้อมูลสถิติการวิ่งรายบุคคลที่ถูกถ่ายโอนออกมาจากข้อมูลที่ได้จากชิปไทม์

ประเด็นกฏหมายของพรบ.คุ้มครองข้อมูลส่วนบุคคลที่กระทบกับการจัดงานวิ่ง ประเด็นทางกฎหมายของพรบ.คุ้มครองข้อมูลส่วนบุคคลที่กระทบกับงานวิ่งนั้น เดี่ยวกับการจัดงานวิ่งเพราะได้มีการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลผ่านกิจกรรมข้างต้น โดยผลกระทบทางกฎหมายที่จะเกิดขึ้นกับการจัดงานวิ่งที่ผมขอยกตัวอย่างบางประเด็นที่เห็นได้ชัดเจนดังนี้

1. ผู้จัดงานวิ่งในทางกฎหมายเมื่อเป็นผู้จัดกิจกรรมข้างต้นจะถูกเรียกว่าเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” เพราะเป็นผู้มีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

2. บริษัทที่รับจัดทำการเก็บข้อมูล ประมวลผลการวิ่ง เว็บไซด์ที่รับเป็นคนเก็บฐานข้อมูลหรือเป็นถังเก็บรูปภาพนักวิ่ง ในทางกฎหมายเรียกว่า “ผู้ประมวลผลข้อมูลส่วนบุคคล” เพราะทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้จัดงานวิ่งที่เป็น “ผู้ควบคุมข้อมูลส่วนบุคคล”และทั้งสองฝ่ายจะต้องมีสัญญาต่อกัน

3. กฎหมายระบุว่าทั้งผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลส่วนบุคคลจะต้องดูแลควบคุมข้อมูลเป็นอย่างดี ไม่ให้เกิดการสูญหายหรือรั่วไหลไป

4. การเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลจะต้องมีการขอความยินยอม ซึ่งการยินยอมจะต้องเกิด “ก่อน” หรือ “ขณะ”ที่เก็บรวบรวม ใช้ หรือเปิดเผยก็ได้

5. การขอความยินยอมจะต้องระบุวัตถุประสงค์ของการรวบรวม การใช้ การเปิดเผยข้อมูลว่าขอไปเพื่อวัตถุประสงค์อะไร มีการเขียนแยกส่วนจากข้อความอื่น ใช้ภาษาที่อ่านง่าย ไม่ทำให้เข้าใจผิด หรือไม่หลอกลวง

6. และเมื่อได้ข้อมูลว่าแล้ว ก็จะต้องดำเนินการตามวัตถุประสงค์ที่แจ้งไว้โดยเคร่งครัด

7. เจ้าของข้อมูลส่วนบุคคลที่ได้ให้ยินยอมให้ข้อมูลกับผู้จัดงานวิ่งสามารถขอยินยอมว่า โดยจะถอนเมื่อไหร่ก็ได้ และต้องสามารถถอนได้โดยง่าย อย่างไรก็ตาม การถอนไม่กระทบสิ่งที่ได้ทำไปแล้ว

ผู้จัดงานวิ่งควรต้องดำเนินการอย่างไรหากจะเตรียมการเพื่อป้องกันประเด็นทางกฎหมายข้างต้น ผู้จัดงานวิ่งควรเตรียมการดังนี้

1. การกรอกสมัครเข้าร่วมงานวิ่งจะต้องระบุวัตถุประสงค์ให้ชัดเจนว่า ต้องการข้อมูลอะไรบ้าง และข้อมูลนั้นจะเอาไปทำอะไร จะเก็บไว้ถึงเมื่อไหร่ เก็บอย่างไร และต้องมีช่องที่ให้ผู้สมัครยินยอมอย่างชัดเจน ไม่ใช่เพียงแจ้งว่ารับทราบ

2. หากจะมีการเก็บข้อมูลสถิติผ่านชิบไทม์ ก็จะต้องระบุเช่นกันว่า จะมีการเก็บข้อมูลผ่านชิปไทม์ เพื่อวัตถุประสงค์อะไร จะนำไปใช้ทำอะไร

3. ต้องแจ้งว่า จะมีการถ่ายรูปในระหว่างการวิ่ง แล้วรูปนั้นจะไปปรากฎที่ใด เก็บไว้ที่ใด หากมีใครไม่ยินยอมให้ถ่ายรูป จะนำรูปที่ถ่ายลงนักวิ่งคนนั้นไปเก็บไว้ในฐานข้อมูลให้นักวิ่งมาเลือกรูปไม่ได้ นั่นแปลว่า จะต้องมีขั้นตอนการกรองก่อนเอารูปลงในฐานข้อมูลว่านักวิ่งคนใดไม่ยินยอมให้ถ่ายรูปแล้วนำไปลงในฐานข้อมูล

4. จะต้องทำสัญญาเพื่อควบคุมการรวบรวม การใช้ การเปิดเผล การประมวลผลข้อมูล กับบริษัทที่บริหารเว็บไซด์รับสมัคร บริษัทที่มารับงานเก็บรูปเข้าฐานข้อมูล บริษัทที่มารับทำการประมวลผล เป็นต้น

5. ต้องทำความเข้าใจกับทีมงานให้ถืออย่างเคร่งครัดในทำตามวัตถุประสงค์ที่ได้ระบุไว้ว่า จะข้อมูลส่วนบุคคลที่ได้มาไปทำอะไรบ้าง เพราะหากนำไปทำนอกเหนือวัตถุประสงค์จะเกิดประเด็นทางกฎหมายได้

6. ต้องจัดเตรียมระบบการเก็บข้อมูล การบันทึกรายการรวบรวม ใช้ เปิดเผยข้อมูล เอาไว้ให้ดี เพราะเจ้าของข้อมูลส่วนบุคคลหรือเจ้าหน้าที่สำนักงานคุ้มครองข้อมูลส่วนบุคคลสามารถขอตรวจสอบได้ตลอดเวลา

7. เตรียมขั้นตอน กระบวนการกรณีหากนักวิ่งมาขอให้ผู้จัดงานวิ่งแสดงให้ดูว่าข้อมูลเขาอยู่มี่ไหน หรือขอให้ลบทำลาย

ที่ผมได้ยกตัวอย่างมาข้างต้น เป็นเพียงแนวทางเบื้องต้นที่ผู้จัดงานวิ่งจะต้องเข้าใจและเตรียมการ ซึ่งแน่นอนว่า พรบ.คุ้มครองข้อมูลส่วนบุคคลฉบับนี้มีรายละเอียดที่มากกว่านี้ ที่ผู้จัดงานวิ่งและผู้ที่ทำงานในวงการงานวิ่งควรศึกษาเพิ่มเติมเพื่อจะสามารถเตรียมการได้อย่างครบถ้วนต่อไป เพราะวันที่ 28 พฤษภาคม 2563 ซึ่งเป็นวันที่กฎหมายฉบับบนี้มีผลบังคับใช้ เหลืออีกเพียงไม่กี่วันเท่านั้น

ข่าวล่าสุด

"พลังงาน" สั่งเข้ม! ตรวจสอบปริมาณส่งออกน้ำมัน ทางบก-เรือ พร้อมร่วมมือกองทัพสกัดลักลอบส่งน้ำมันเข้ากัมพูชา

Awakening Bangkok 2025 กลับมาแล้ว! ปลุกรักทั่วพระนครด้วยธีม “LOVEVERCITY”

NITMX พาทีมชนะ Hack to the Max Season 2 บินลัดฟ้าสู่ Singapore FinTech Festival 2025

หุ้นไทยปิดพุ่ง 19.30 จุด แรงซื้อหุ้นใหญ่ รับเคาะวันเลือกตั้งชัดเจน 8 ก.พ.69

SME D Bank จัด 'Culture Day' ขับเคลื่อนวัฒนธรรมองค์กร "ประสานพลัง-พัฒนาเรียนรู้" สู่การเติบโต