PDPA (Personal Data Protection Act, B.E. 2562 (2019)) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยวันที่ 1 มิถุนายน 2565 เป็นวันที่ พ.ร.บ. PDPA นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ Show
ข้อมูลส่วนบุคคล คือข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม โดยข้อมูลของผู้ถึงแก่กรรม และข้อมูลนิติบุคคล ไม่ถือเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ. PDPA คุ้มครองข้อมูลส่วนบุคคลนี้ ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ - นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน นอกจากนี้ยังรวมถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ด้วย เช่น ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้แก่
บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
การเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล สามารถทำได้ในกรณีต่อไปนี้
การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (Cross-border Personal Data Transfer) ประเทศปลายทางหรือองค์การระหว่างประเทศ ที่รับข้อมูลส่วนบุคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล (PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ที่เพียงพอ เว้นแต่จะได้รับความยินยอมจากเจ้าของข้อมูล หรือเป็นการปฏิบัติตามกฎหมาย/สัญญา หรือเพื่อประโยชน์สาธารณะเป็นสำคัญเท่านั้น บทลงโทษหากไม่ปฏิบัติตาม PDPA เพื่อให้ข้อมูลส่วนบุคคล หรือ (PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ถูกนำไปใช้ในทางที่เหมาะสมและเป็นประโยชน์มากกว่าโทษ การให้ข้อมูลแต่ละครั้งจึงต้องพิจารณาอย่างรอบคอบก่อนให้ข้อมูล เช่นการให้ข้อมูลเพื่อจัดส่งสินค้า หากมีการขอข้อมูลที่ไม่เกี่ยวกับการจัดส่ง เจ้าของข้อมูลก็มีสิทธิปฏิเสธการให้ข้อมูลนั้น และในส่วนของผู้เก็บข้อมูล ก็ต้องรู้ขอบเขตในการเข้าถึงข้อมูลส่วนบุคคล มีระบบในการควบคุม/ยืนยันตัวตนในการเข้าถึงข้อมูล และจำเป็นต้องมีการกำหนดนโยบายองค์กรเพื่อให้บุคคลที่เกี่ยวข้องปฏิบัติตาม เพราะหากไม่ทำตาม PDPA อาจได้รับโทษดังนี้ เชื่อว่าธุรกิจตื่นตัวกับ “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” หรือ Personal Data Protection Act (PDPA) A.D. 2019 ที่จะมีผลบังคับใช้ในปี 2021 กับพอสมควร เพราะโทษของการฝ่าฝืนหรือไม่ปฏิบัติตามนั้น อาจถูกปรับตั้งแต่ 5 แสนถึง 3 ล้านบาท ถูกจำคุก หรือทั้งจำทั้งปรับ แล้วแต่มาตราที่มีการฝ่าฝืนหรือไม่ทำตาม นี่ยังไม่พูดถึงค่าสินไหมทดแทนที่เจ้าของข้อมูลส่วนตัวสามารถเรียกได้ตามที่ศาลเห็นสมควรด้วยนะ ส่วนฝ่ายเจ้าของข้อมูลส่วนบุคคล แน่นอนว่าอาจเป็นผู้เสียหายได้ หลักๆคือถ้าข้อมูลส่วนตัวถูกผู้ควบคุมหรือประมวลผลข้อมูลส่วนตัว เอาไปใช้ หรือเปิดเผยโดยผิดวัตถุประสงค์ หรือไม่ได้รับความยินยอม เจ้าของข้อมูลส่วนตัวย่อมได้รับความเสียหาย (แต่แน่นอนว่ามีข้อยกเว้นที่ผู้ควบคุมหรือประมวลข้อมูลไม่ต้องรับผิดเช่นกัน) จริงๆ พรบ.นี้มีรายละเอียดให้คุยอีกเยอะ และ พรบ.นี้ก็ไม่ใช่กฎหมายเดียวที่เอาไว้คุ้มครองข้อมูลส่วนตัว กฎหมายนี้ระบุชัดเจนถึงสิทธิของเจ้าของข้อมูลส่วนตัว เช่นผู้บริโภคสินค้าหรือบริการ แม่แต่คนเล่นอินเตอร์เน็ตเข้าเว็บไซต์ หน้าที่ของผู้ควบคุมข้อมูลส่วนตัวและหน้าที่ผู้ประมวลผลข้อมูลส่วนตัว เช่นเจ้าของเว็บไซต์ที่มีการติดตามพฤติกรรมของคนเข้าเว็บไซต์ของตัวเอง ระวางโทษต่างๆถ้าฝ่าฝืนหรือไม่ทำตาม รวมถึงฝ่ายต่างๆที่เกี่ยวข้องกับ พรบ.นี้ แต่ก่อนอื่นเราต้องรู้ก่อนว่าอะไรคือข้อมูลส่วนบุคคลตามกฎหมายที่ว่ากันก่อน ข้อมูลส่วนบุคคลคืออะไร? มีอะไรบ้างที่เป็นข้อมูลส่วนบุคคล?ตาม PDPA 2019 ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ และนี่คือตัวอย่างของข้อมูลที่เป็นข้อมูลส่วนบุคคล
ข้อมูลแบบไหนที่ไม่ใช่ข้อมูลส่วนบุคคล?ข้อมูลส่วนบุคคลเป็นข้อมูลที่สามารถระบุตัวบุคคลได้ ถ้าข้อมูลนั้นใช้ระบุตัวบุคคลไม่ได้ ก็ไม่ใช่ข้อมูลส่วนบุคคลตาม พรบ.นี้ เช่น
ข้อมูลส่วนบุคคลขึ้นอยู่กับเราเจ้าของข้อมูลเป็นหลักข้อมูลต่อไปนี้ ถ้าสามารถบอกอ้อมๆได้ว่าเป็นตัวเรา ก็ถือว่าเป็นข้อมูลส่วนตัวตามกฎหมาย PDPA 2019 ได้เหมือนกัน เช่น
อ่านถึงตรงนี้ อยากให้รู้ว่ากฎหมาย PDPA 2019 คุ้มครองข้อมูลของบุคคลที่ยังมีชีวิตอยู่เท่านั้น ถ้าเป็นข้อมูลคนที่เสียชีวิตแล้ว กฎหมายนี้ไม่คุ้มครองนะ ต้องไปดูกฎหมายอื่น ส่วนข้อมูลส่วนบุคคลตามกฎหมายนี้ คนหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูล (Data Controller) ก็ต้องมีหน้าที่ปฏิบัตตามกฎหมายนี้ต่อไป แหล่งอ้างอิงส่วนหนึ่งจาก: หนังสือเรื่อง การคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection) โดย ดร. สุพิศ ปราณีตพลกรัง หน้า 27 – 30 |