สรุปกฎหมาย PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่ต้องรู้ให้ชัดๆ
มาทำความเข้าใจกันหน่อยว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ กฎหมาย PDPA มีรายละเอียดอะไรที่น่าสนใจกับพวกเรากันบ้าง
ทุกวันนี้พวกเราเกือบทุกคนทำงานผ่านระบบดิจิทัล ผ่านระบบเครือข่ายออนไลน์ จนกลายเป็นส่วนหนึ่งในชีวิตการทำงานไปถึงการใช้ชีวิตปกติไปแล้ว แน่นอนว่าต้องมีการนำเข้าข้อมูลส่วนบุคคล เช่น ชื่อ นามสกุล เบอร์ติดต่อ ที่อยู่ ฯลฯ
แน่นอนว่าหากข้อมูลเหล่านี้ถูกนำไปใช้โดยที่เราไม่ยินยอม ก็คงไม่ดีและอาจจะเกิดความเสียหายได้ รัฐจึงต้องมี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ กฎหมาย PDPA ที่จะเริ่มบังคับใช้ตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป
ในเมื่อจะเริ่มประกาศใช้ตั้งแต่วันที่ 1 มิถุนายน 2565 นี้แล้ว เราก็ควรรู้จักไว้สักหน่อยว่า กฎหมาย PDPA มีอะไรที่สำคัญบ้าง โดยจะเน้นไปที่ผู้ใช้งานทั่วไป ไม่ใช่ในระดับองค์กร
กฎหมาย PDPA คืออะไร ย่อมาจากอะไร
PDPA ย่อมาจาก Personal Data Protection Act เป็นกฎหมายว่าด้วยการให้สิทธิกับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต
โดยกฎหมาย PDPA Thailand (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ได้ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และปัจจุบันถูกเลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565
สรุปคือ กฎหมาย PDPA มีขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ และ/หรือได้รับความยินยอมจากเราในฐานะเจ้าของข้อมูลก่อน ไม่เช่นนั้นบริษัทหรือบุคคลที่เอาไปใช้งานจะมีความผิด
ข้อมูลส่วนบุคคลหลักๆ มีอะไรบ้าง
ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ทั้งทางตรงหรือทางอ้อม แต่จะไม่นับรวมข้อมูลของผู้ที่เสียชีวิตไปแล้ว
1. ข้อมูลส่วนบุคคล (Personal Data) ได้แก่
- ชื่อ-นามสกุล
- เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่
- เบอร์โทรศัพท์ อีเมลส่วนตัว
- ที่อยู่ปัจจุบัน
- ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์
- ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน
- ข้อมูลที่เชื่อมโยงไปหาบุคคลได้ เช่น วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง
- ข้อมูลอื่นๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น username / password, Cookies IP address, GPS Location
2. ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data)
- เชื้อชาติ
- เผ่าพันธุ์
- ความคิดเห็นทางการเมือง
- ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต
- ข้อมูลสหภาพแรงงาน
- ข้อมูลพันธุกรรม
- ข้อมูลชีวภาพ
ใครที่เกี่ยวข้องกับข้อมูลส่วนบุคคลบ้าง
- เจ้าของข้อมูลส่วนบุคคล (Data Subject)
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ คน บริษัท หรือนิติบุคคล องค์กรต่างๆ ที่มีอำนาจตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เสมือนผู้ดูแลระบบ มีหน้าที่เก็บรวบรวม และนำข้อมูลส่วนบุคคลที่ขอความยินยอมแล้วไปใช้
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ คน บริษัท หรือนิติบุคคล องค์กรต่างๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง
เราในฐานะเจ้าของข้อมูลส่วนบุคคลหรือ Data Subject ได้สิทธิอะไรบ้าง
- สิทธิได้รับการแจ้งให้ทราบ ก่อนที่จะถูกเก็บข้อมูลต้องมีการแจ้งให้ทราบ ว่าเก็บอะไรบ้าง ไปทำอะไรบ้าง เก็บนานแค่ไหน
- สิทธิขอเข้าถึงข้อมูลส่วนบุคคล โดยการข้อเข้าถึงนี้ต้องไม่ผิดต้องหลักกฏหมายหรือส่งผลกระทบต่อสิทธิและเสรีภาพของคนอื่น
- สิทธิคัดค้านหรือใช้ข้อมูล
- สิทธิขอให้ลบหรือทำลายข้อมูลส่วนบุคคล
- สิทธิในการขอให้ระงับการใช้ข้อมูล
- สิทธิในการเพิกถอนความยินยอม
- สิทธิในการแก้ไขข้อมูลส่วนบุคคล
- สิทธิในการร้องเรียน
มีโทษอะไรบ้าง หากไม่ปฏิบัติตาม PDPA
- โทษอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
- โทษแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่าของค่าเสียหายจริง
- โทษปกครอง: โทษปรับไม่เกิน 1, 3 และ 5 ล้านบาท
สำหรับองค์กรหรือบริษัท ก็ต้องจัดทำ Privacy Policy ให้เจ้าของข้อมูลทราบว่าจะใช้ข้อมูลไปทำอะไรบ้าง แจ้งนโยบายความเป็นส่วนตัวให้แก่พนักงาน และหากจะนำข้อมูลไปใช้ก็ต้องทำตาม PDPA อย่างเคร่งครัด ปัจจุบันมีหลายบริษัทที่ช่วยจัดทำเกี่ยวกับ PDPA สามารถใช้บริการได้ตามที่บริษัทสนใจ ส่วนเราทุกคนควรรู้สิทธิเพื่อที่จะป้องกันตัวเอง
10 เรื่องที่ประชาชนต้องรู้เกี่ยวกับ PDPA
- "ข้อมูลส่วนบุคคล" คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมแต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมเฉพาะ เช่น ชื่อ ที่อยู่ หมายเลขประจำตัว ข้อมูลสุขภาพ ฯลฯ (มาตรา 6)
- "ผู้ควบคุมข้อมูลส่วนบุคคล" ต้องเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเอาไว้ก่อหรือในขณะเก็บรวบรวม (ห้ามใช้นอกเหนือวัถตุประสงค์) (มาตรา 21)
- "ผู้ควบคุมข้อมูลส่วนบุคคล" ต้องเก็บรวบรวมข้อมูลส่วนบุคคลของเราเท่าที่จำเป็น ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย (มาตรา 22) ใช้ข้อมูลของเราให้น้อยที่สุด
- ความยินยอม เป็นฐานการประมวลผลฐานหนึ่งเท่านั้น "ผู้ควบคุมข้อมูลส่วนบุคคล" มีหน้าที่ในการกำหนดฐานการประมวลผลให้สอดคล้องกับลักษณะการประมวลผลและความสัมพันธ์ระหว่าง "ผู้ควบคุมข้อมูล" กับ "เจ้าของข้อมูลส่วนบุคคล" (ตามมาตร 24 หรือ มาตรา 26)
- ในการขอความยินยอม "ผู้ควบคุมข้อมูลส่วนบุคคล" จะต้องคำนึงอย่างที่สุดในความเป็นอิสระของ "เจ้าของข้อมูลส่วนบุคคล" (ต้องไม่มีสภาพบังคับในการให้/ไม่ให้) (มาตรา 19 วรรคสี่)
- "เจ้าของข้อมูลส่วนบุคคล" มีสิทธิต่างๆ ดังนี้
- สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้ (มาตรา 19 วรรคห้า)
- สิทธิได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice) (มาตรา 23)
- สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล (มาตรา 30)
- สิทธิขอให้โอนข้อมูลส่วนบุคคล (มาตรา 31)
- สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล (มาตรา 32)
- สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (มาตรา 34)
- สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล (มาตรา 34)
- สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล (มาตรา 35) - กฎหมาย PDPA ให้กับการประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย ไม่ว่าจะมีสัญชาติใดก็ตาม (มาตรา 5)
- ในกรณีที่เหตุการละเมิด "ข้อมูลส่วนบุคคล" มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของ "เจ้าของข้อมูลส่วนบุคคล" กฎหมายกำหนดให้ "ผู้ควบคุมข้อมูลส่วนบุคคล" มีหน้าที่ แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า (มาตรา 37 (4))
- "ผู้ควบคุมข้อมูลส่วนบุคคล" มีหน้าที่จัดทำบันทึกรายการกิจกรรม เพื่อให้สำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้
- "เจ้าของข้อมูลส่วนบุคคล" มีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่มีการฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA หรือ ประกาศฯ ที่ออกตาม PDPA ทั้งนี้ กระบวนการร้องเรียนเป็นไปตามระเบียบที่คณะกรรมการฯ ประกาศกำหนด (มาตรา 73)
4 เรื่องไม่จริงเกี่ยวกับ PDPA
- การถ่ายรูป-ถ่ายคลิป ติดภาพคนอื่นโดยเจ้าตัวไม่ยินยอมจะผิด PDPA
ตอบ กรณีการถ่ายรูป-ถ่ายคลิปโดยติดบุคคลอื่น โดยผู้ถ่ายรูป-ถ่ายคลิปไม่เจตนา และการถ่ายรูปถ่ายคลิปดังกล่าวไม่ได้ก่อให้เกิดความเสียหายกับผู้ถูกถ่าย สามารถทำได้ หากเป็นการใช้เพื่อวัตถุประสงค์ส่วนตัว - ถ้านำคลิปหรือรูปถ่ายที่ติดคนอื่นไปโพสต์ในโซเชียลมีเดียโดยบุคคลอื่นไม่ยินยอมจะผิด PDPA
ตอบ สามารถโพสต์ได้ หากใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้แสวงหากำไรทางการค้าและไม่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล - ติดกล้องวงจรปิดแล้วไม่มีป้ายแจ้งเตือนผิด PDPA
ตอบ การติดกล้องวงจรปิดภายในบ้าน ไม่จำเป็นต้องมีป้ายแจ้งเตือน หากเพื่อป้องกันอาชญากรรม และรักษาความปลอดภัยกับตัวเจ้าของบ้าน - เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้
ตอบ ไม่จำเป็นต้องขอความยินยอม หากการใช้ข้อมูลดังกล่าว
(1) เป็นการทำตามสัญญา
(2) เป็นการใช้ที่มีกฎหมายให้อำนาจ
(3) เป็นการใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล
(4) เป็นการใช้เพื่อการค้นคว้าวิจัยทางสถิติ
(5) เป็นการใช้เพื่อประโยชน์สาธารณะ
(6) เป็นการใช้เพื่อปกป้องผลประโยชน์ หรือสิทธิของตนเอง
ทั้งนี้ หลักการข้างต้น อาจเปลี่ยนแปลงตามข้อเท็จจริงที่เกิดขึ้นเป็นกรณีๆ ไป
PDPA = พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
มาตรา 4 (1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บข้อมูลเพื่อประโยชน์ส่วนตน หรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น