เคยสงสัยกันหรือไม่ว่า ข้อมูลการแพ้อาหาร (Food Allergy) เป็นข้อมูลส่วนบุคคลประเภทข้อมูลอ่อนไหว (Sensitive Data) หรือไม่ และหากเป็นข้อมูลอ่อนไหว จะต้องดำเนินการอย่างไรให้ถูกต้องตาม PDPA และที่สำคัญที่สุด ต้องขอความยินยอมก่อนเก็บเสมอไปใช่หรือไม่
ด้วยการรับประทานอาหารเป็นสิ่งธรรมดาสามัญในชีวิตประจำวันของทุกคน โดยเฉพาะในยุคปัจจุบัน ที่การเดินเข้าร้านอาหารนั้นง่ายกว่าการทำอาหารรับประทานเอง ผู้ประกอบการด้านอาหารและเครื่องดื่มที่ห่วงใยความปลอดภัยของลูกค้าจึงหลีกเลี่ยงการเข้าถึง ‘ข้อมูลการแพ้อาหาร’ ได้ยาก และหากจะต้องขอความยินยอมจากลูกค้าก่อนทุกครั้ง แน่นอนว่าลูกค้าผู้เป็นเจ้าของข้อมูลส่วนบุคคลอาจเกิดอาการเหนื่อยหน่ายในการให้ความยินยอม หรือ consent fatigue ซึ่งนำไปสู่ประสบการณ์ทางการบริการที่ไม่ดี และการเลือกจะปฏิเสธไม่ให้ความยินยอมในการเก็บรวบรวมข้อมูลใด ๆ เลย สุดท้ายแล้วย่อมส่งผลกระทบต่อการทำธุรกิจของผู้ควบคุมข้อมูลทั้งหลายในที่สุด
อาการแพ้อาหาร (Food Allergy) เป็นกลไกของระบบภูมิคุ้มกันอย่างหนึ่งของร่างกายมนุษย์ที่จะสร้างภูมิต้านทานชนิดอี (Immunoglobin E: IgE) หลังจากที่ได้รับประทานอาหารที่แพ้เข้าไปในครั้งแรก ซึ่งต่อไปหากมีการรับประทานอาหารชนิดนั้นอีกครั้ง อาหารจะกระตุ้นให้ร่างกายมีการหลั่งสารเคมีที่ทำให้เกิดอาการแพ้ออกมา และก่อให้เกิดอาการทางร่างกายตามระดับความรุนแรงของการแพ้ เช่น อารการคันคอ ปาก หรือจมูก อาการหนังตาบวม หรือหายใจไม่ออก เป็นต้น ซึ่งการวินิจฉัยอาการแพ้อาหารสามารถตรวจสอบได้หลายวิธีโดยวิธีทางการแพทย์
จากความหมายและวิธีการวินิจฉัยจะเห็นได้ว่า อาการแพ้อาหารเป็นโรคประจำตัว (Medical Condition) อย่างหนึ่ง อีกทั้งเป็นโรคประจำตัวที่พบได้ทั่วไป จากการศึกษาทางสถิติ ในสหรัฐอเมริกามีผู้ป่วยมากกว่า 33 ล้านคนจากจำนวนประชากรประมาณ 340 ล้านคน ซึ่งหมายความว่า ในประชากรทุก ๆ 10 คนจะมีผู้แพ้อาหารประมาณ 1 คน ทำให้ข้อมูลการแพ้อาหารที่ต้องเก็บนั้นมีปริมาณมาก และหากยิ่งเป็นข้อมูลอ่อนไหวที่กฎหมายต้องการคุ้มครองเป็นพิเศษ เงื่อนไขในการดูแลรักษาทั้ง ‘ความเป็นส่วนตัว’ และ ‘ความปลอดภัย’ ย่อมมากยิ่งขึ้น
อาการแพ้อาหารเป็น ‘ข้อมูลส่วนบุคคลอ่อนไหว’ หรือไม่
เมื่อข้อมูลการแพ้อาหารจัดเป็นโรคประจำตัว (Medical Condition) จึงอาจถูกตีความได้ว่าเป็น “ข้อมูลสุขภาพ” ซึ่งจัดเป็นข้อมูลส่วนบุคคลอ่อนไหวประเภทหนึ่งตามมาตรา 26 ของ PDPA แต่เนื่องจากปัจจุบันยังไม่มีกฎหมายลำดับรองของประเทศไทย หรือแนวทางการตีความขอบเขตของคำว่า “ข้อมูลสุขภาพ” จึงอาจอาศัยกฎหมายของต่างประเทศเข้ามาเทียบเคียง ซึ่งพบว่ามีการให้ความหมายไว้โดยกว้าง หมายรวมทั้งข้อมูลส่วนบุคคลที่เกี่ยวข้องกับสุขภาพกายหรือสุขภาพจิตของบุคคลธรรมดา และยังรวมถึงการให้บริการทางสุขภาพซึ่งเปิดเผยข้อมูลสถานะทางสุขภาพของเจ้าของข้อมูลด้วย ทั้งในในอดีต ปัจจุบัน หรืออนาคตก็ตาม อีกทั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของสหราชอาณาจักร (Information Commissioner’s Office: ICO) ยังได้ขยายความว่าข้อมูลสุขภาพนั้นไม่เพียงแต่ครอบคลุมรายละเอียดเฉพาะเกี่ยวกับโรค การทดสอบ หรือการรักษา แต่รวมถึงข้อมูลที่เกี่ยวข้องใดที่เปิดเผยเกี่ยวกับสุขภาพของเจ้าของข้อมูล เช่น ข้อมูลเกี่ยวกับการบาดเจ็บ ความพิการ หรือความเสี่ยงต่อโรค ความคิดเห็นของแพทย์ การรักษาทางคลินิก ข้อมูลการตรวจสุขภาพ ผลการทดสอบ ข้อมูลจากอุปกรณ์ทางการแพทย์ หรือข้อมูลจากตัวติดตามสุขภาพ (fitness tracker) การนัดหมายของแพทย์ เป็นต้น
เห็นได้เลยว่าการจะโต้แย้งว่า “ข้อมูลการแพ้อาหาร” ไม่ใช่ข้อมูลสุขภาพซึ่งเป็นข้อมูลส่วนบุคคลอ่อนไหวคงเป็นไปได้ยาก และไม่อาจปฏิเสธได้ว่าเมื่อเป็นข้อมูลส่วนบุคคลอ่อนไหว หรือข้อมูลตามมาตรา 26 ของ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลย่อมมีหน้าที่เพิ่มขึ้นตามกฎหมายก่อนที่จะเก็บรวบรวม ใช้ บันทึก เปิดเผยข้อมูลดังกล่าว โดยขั้นตอนในการคุ้มครองข้อมูลการแพ้อาหารให้ถูกต้องตาม PDPA มีดังนี้
1. จัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล หรือ RoPA ของกิจกรรมที่เกี่ยวข้องกับ “ข้อมูลการแพ้อาหาร” เพื่อจะได้พิจารณาฐานการประมวลผลข้อมูล (Legal Basis) ว่าจำเป็นต้องขอความยินยอมหรือไม่
กรณีที่ไม่ต้องขอความยินยอม : อาจเป็นกรณีเข้าข้อยกเว้นตามกฎหมาย เช่น กรณีที่จำเป็นเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าด้วยเหตุใดก็ตาม ตามมาตรา 26(1) หรือฐานการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการวินิจฉัยโรคทางการแพทย์การให้บริการด้านสุขภาพ การรักษาทางการแพทย์ และการจัดการด้านสุขภาพ ตามมาตรา 26(5)(ก)
กรณีที่จำเป็นต้องขอความยินยอม : เมื่ออ้างฐานความยินยอม องค์กรจะต้องจัดทำแบบฟอร์มขอความยินยอม ซึ่งควรจัดทำในรูปแบบที่ถูกต้องตามเงื่อนไขของกฎหมาย “ชัดเจน เข้าใจง่าย และแยกส่วนจากข้อตกลงอื่นๆ” และควรทำในรูปแบบที่สะดวกต่อการให้ความยินยอม และการบริหารจัดการบันทึกคำขอความยินยอม และการเพิกถอนความยินยอมด้วย
2. แจ้งประกาศความเป็นส่วนตัว โดยครอบคลุมถึงการเก็บ บันทึก ใช้ เปิดเผย “ข้อมูลการแพ้อาหาร” รวมถึงสิทธิของเจ้าของข้อมูลส่วนบุคคล และช่องทางการติดต่อองค์กรผู้ควบคุมข้อมูลส่วนบุคคล
3. หากมีการบันทึกจัดเก็บข้อมูลการแพ้อาหาร องค์กรควรเลือกใช้มาตรการคุ้มครองข้อมูลที่รัดกุม กำหนดสิทธิการเข้าถึงข้อมูลดังกล่าวเฉพาะผู้ที่จำเป็น และเลือกใช้เครื่องมือรักษาความปลอดภัยให้เหมาะสมกับรูปแบบการบันทึกข้อมูล
4. วิธีการอื่นๆ ที่อาจทำได้แทนการเก็บ บันทึก หรือใช้ “ข้อมูลการแพ้อาหาร” เพื่อจะได้ไม่ต้องอ้างฐานความยินยอม
4.1. การแจ้งว่าอาหารที่ให้บริการนั้นมีส่วนผสมของสิ่งใดบ้าง หรืออาจมีสารก่อภูมิแพ้ชนิดใดบ้าง โดยหากผู้โดยสารมีอาการแพ้อาหารบางชนิด แนะนำให้ปรึกษากับแพทย์และติดต่อองค์กรมาก่อนเข้าใช้บริการ ซึ่งในบางธุรกิจ เช่น ธุรกิจสายการบินมีการอนุญาตให้ผู้โดยสารที่มีอาการแพ้อาหารสามารถเตรียมอาหารมาทานเองได้ หรือกำหนดให้เฉพาะผู้โดยสารที่มีอาการแพ้อาหารรุนแรงต้องกรอกเอกสารทางการแพทย์ตามที่สนามบินกำหนด (ซึ่งกรณีนี้จะช่วยลดจำนวนของความยินยอมและปริมาณข้อมูลส่วนบุคคลอ่อนไหวที่องค์กรต้องดูแลลงได้)
4.2. การกำหนดรายการอาหารที่หลากหลาย และใช้วิธีการแจ้งล่วงหน้าว่าอาหารรายการใดมีส่วนประกอบจากอาหารชนิดใดบ้าง โดยเฉพาะอย่างยิ่ง อาหารที่กระตุ้นให้เกิดอาการภูมิแพ้ได้ง่าย เช่น ถั่ว เพื่อให้ผู้ป่วยสามารถเลือกทานอาหารที่ไม่ก่อให้เกิดอาการแพ้โดยที่ไม่ต้องเปิดเผยข้อมูลการแพ้อาหารของตนเอง
จะเห็นได้ว่า หากองค์กรจำเป็นต้องเก็บ บันทึก ใช้ ส่งต่อ “ข้อมูลการแพ้อาหาร” PDPA ไม่ได้ห้ามไม่ให้องค์กรดำเนินการดังกล่าว เพียงแต่ต้องทำหน้าที่ตามกฎหมายให้ครบถ้วน และดูแลความปลอดภัยของข้อมูลอย่างระมัดระวัง ทั้งนี้ หากองค์กรสามารถเลือกใช้วิธีการอื่นใดเพื่อลดการเข้าถึงข้อมูลการแพ้อาหารได้ ก็จะช่วยลดความเสี่ยงทางเหตุละเมิดขององค์กรไปได้เช่นกัน และหากมีข้อสงสัยเพิ่มเติมเกี่ยวกับการเก็บข้อมูลการแพ้อาหาร หรือข้อมูลสุขภาพ เอเทนติค คอนซัลติ้ง ยินดีให้คำปรึกษาและแนะนำวิธีการที่จะช่วยให้องค์กรของคุณทำงานได้อย่างมีประสิทธิภาพและถูกต้องตามกฎหมาย PDPA ยกระดับภาพลักษณ์ที่ดีขององค์กรด้วยความใส่ใจในความเป็นส่วนตัวของลูกค้า
