ในบรรดาข้อมูลส่วนบุคคล "ข้อมูลประวัติอาชญากรรม" ถูกจัดอยู่ในกลุ่ม ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ซึ่งตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ได้กำหนดมาตรการและข้อจำกัดในการเก็บรวบรวม ใช้ และเปิดเผยไว้เข้มงวดเป็นพิเศษ เพื่อรักษาความเป็นส่วนตัวและความมั่นคงปลอดภัยของเจ้าของข้อมูล
ข้อมูลประวัติอาชญากรรม คืออะไร? 
     ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม หมายถึง ข้อมูลเกี่ยวกับการสืบสวนสอบสวน การกระทำความผิดอาญา หรือการดำเนินคดีอาญา รวมถึงการมีคำพิพากษา หรือการรับโทษทางอาญา ที่เป็นข้อมูลที่ได้รับการรับรองโดยหน่วยงานของรัฐที่มีอำนาจตามกฎหมาย โดยสามารถนำไปสู่การระบุตัวบุคคลที่เคยก่ออาชญากรรม ทั้งนี้ไม่ว่าการดำเนินการนั้นสิ้นสุดแล้วหรืออยู่ระหว่างการดำเนินคดี

ผู้มีสิทธิ์เก็บรวบรวมข้อมูล ต้องเป็น "หน่วยงานที่มีอำนาจ" เท่านั้น

PDPA กำหนดให้ ผู้ควบคุมข้อมูลส่วนบุคคลของหน่วยงานที่มีอำนาจตามกฎหมาย ที่จะสามารถเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมได้ ต้องอยู่ภายใต้หลักเกณฑ์ที่จำกัดมาก เพื่อควบคุมการนำข้อมูลไปใช้ในทางที่ไม่เหมาะสม ซึ่งต้องอาศัยฐานทางกฎหมายเพียง 2 กรณี ดังนี้

1. กฎหมายเฉพาะกำหนดให้ต้องเก็บรวบรวม

• เป็นการดำเนินการที่จำเป็นตามกฎหมาย เพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการตรวจสอบประวัติอาชญากรรม หรือตรวจสอบคุณสมบัติที่ต้องห้ามตามที่กฎหมายกำหนด
• ตัวอย่าง: กฎหมายที่กำหนดให้หน่วยงานรัฐต้องตรวจสอบประวัติเพื่อคัดเลือกผู้สมัครที่เข้าคุณสมบัติ

2. ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล สำหรับกรณีที่เป็นไปเพื่อวัตถุประสงค์เป็นการเฉพาะ เช่น.....

• เป็นการเก็บรวบรวมข้อมูลเพื่อวัตถุประสงค์ในการพิจารณาบุคคลเข้าทำงาน ตรวจสอบคุณสมบัติ ลักษณะต้องห้าม หรือพิจารณาความเหมาะสมของบุคคลเพื่อดำรงตำแหน่ง โดยที่ ไม่มีกฎหมายเฉพาะกำหนด ให้ต้องดำเนินการโดยตรง
• ในกรณีนี้ องค์กรต้องได้รับ "ความยินยอมโดยชัดแจ้ง" (Explicit Consent) ซึ่งมีความเข้มงวดกว่าการยินยอมทั่วไป

มาตรการควบคุม: ระยะเวลาการเก็บรักษาที่จำกัด
หัวใจสำคัญในการจัดการข้อมูลอ่อนไหวนี้คือการควบคุมความเสี่ยง หากองค์กรเก็บข้อมูลที่ไม่จำเป็นไว้นานเกินไป จะเพิ่มความเสี่ยงต่อการรั่วไหลและการถูกโจรกรรมข้อมูล ดังนั้น PDPA จึงกำหนดข้อจำกัดที่ชัดเจน

• ห้ามเก็บเกิน 6 เดือน  เมื่อการดำเนินการที่เกี่ยวข้องกับข้อมูลประวัติอาชญากรรมเสร็จสิ้นลงแล้ว ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวบรวมข้อมูลต่อไปได้อีกไม่เกิน 6 เดือน

ข้อยกเว้นที่สามารถเก็บเกิน 6 เดือนได้ มีเพียง 3 กรณีเท่านั้น ที่องค์กรสามารถเก็บข้อมูลประวัติอาชญากรรมไว้เกิน 6 เดือนได้

1. มีกฎหมายเฉพาะกำหนดให้สามารถเก็บได้ เช่น กฎหมายเกี่ยวกับทะเบียนประวัติ
2. มีฐานทางกฎหมายอื่นให้สามารถเก็บได้ ตามมาตรา 26 แห่ง PDPA (เช่น เป็นการจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย)
3. ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลอย่างเป็นลายลักษณ์อักษร ให้เก็บไว้เกินกำหนด

การทำลายข้อมูล: เมื่อพ้นระยะเวลา 6 เดือนแล้ว ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการ ลบ ทำลาย หรือทำให้ข้อมูลดังกล่าวกลายเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล ที่เป็นเจ้าของข้อมูลส่วนบุคคลได้อีกต่อไป เพื่อลดภาระความเสี่ยงจากการเก็บรักษาข้อมูลที่ไม่จำเป็น

การกำหนดข้อจำกัดและเงื่อนไขที่เข้มงวดนี้ เป็นการตอกย้ำถึงเจตนารมณ์ของ PDPA ในการคุ้มครองข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ และบังคับให้หน่วยงานต่าง ๆ ต้องมีมาตรการรักษาความมั่นคงปลอดภัยในการจัดการข้อมูล (Data Security) อย่างจริงจังและรอบคอบที่สุด

ที่มา : สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล