PDPA (Personal Data Protection Act, B.E. 2562 (2019)) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยวันที่ 1 มิถุนายน 2565 เป็นวันที่ พ.ร.บ. PDPA นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ
เหตุผลในการประกาศใช้ PDPA เนื่องมาจากเทคโนโลยีก้าวหน้าขึ้น ช่องทางสื่อสารต่างๆ มีหลากหลายขึ้น ทำให้การละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลทำได้ง่ายขึ้น และหลายครั้งก็นำมาซึ่งความเดือดร้อนรำคาญหรือสร้างความเสียหายให้แก่เจ้าของข้อมูล ตลอดจนสามารถส่งผลต่อเศรษฐกิจโดยรวมของประเทศได้ด้วย จึงต้องมีกฎหมาย PDPA ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลขึ้นเพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่รวมถึงการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขึ้น
ข้อมูลส่วนบุคคล
คือข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม โดยข้อมูลของผู้ถึงแก่กรรม และข้อมูลนิติบุคคล ไม่ถือเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ. PDPA คุ้มครองข้อมูลส่วนบุคคลนี้
ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ - นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน นอกจากนี้ยังรวมถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ด้วย เช่น ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น
สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้แก่
- สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)
- สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
- สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
- สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
- สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure (also known as right to be forgotten)
- สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
- สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)
ดูรายละเอียดในแต่ละประเด็นได้ที่: PDPA ในฐานะเจ้าของข้อมูล เรามีสิทธิทำอะไรได้บ้าง?
บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
- เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลระบุไปถึง
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
การเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล สามารถทำได้ในกรณีต่อไปนี้
- ได้รับความยินยอมจากเจ้าของข้อมูส่วนบุคคล
- จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ การศึกษาวิจัยหรือการจัดทำสถิติ
- ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
- จำเป็นเพื่อปฏิบัติกฎหมาย หรือสัญญา
- จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น
- จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (Cross-border Personal Data Transfer)
ประเทศปลายทางหรือองค์การระหว่างประเทศ ที่รับข้อมูลส่วนบุคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล (PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ที่เพียงพอ เว้นแต่จะได้รับความยินยอมจากเจ้าของข้อมูล หรือเป็นการปฏิบัติตามกฎหมาย/สัญญา หรือเพื่อประโยชน์สาธารณะเป็นสำคัญเท่านั้น
บทลงโทษหากไม่ปฏิบัติตาม PDPA
เพื่อให้ข้อมูลส่วนบุคคล หรือ (PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ถูกนำไปใช้ในทางที่เหมาะสมและเป็นประโยชน์มากกว่าโทษ การให้ข้อมูลแต่ละครั้งจึงต้องพิจารณาอย่างรอบคอบก่อนให้ข้อมูล เช่นการให้ข้อมูลเพื่อจัดส่งสินค้า หากมีการขอข้อมูลที่ไม่เกี่ยวกับการจัดส่ง เจ้าของข้อมูลก็มีสิทธิปฏิเสธการให้ข้อมูลนั้น และในส่วนของผู้เก็บข้อมูล ก็ต้องรู้ขอบเขตในการเข้าถึงข้อมูลส่วนบุคคล มีระบบในการควบคุม/ยืนยันตัวตนในการเข้าถึงข้อมูล และจำเป็นต้องมีการกำหนดนโยบายองค์กรเพื่อให้บุคคลที่เกี่ยวข้องปฏิบัติตาม เพราะหากไม่ทำตาม PDPA อาจได้รับโทษดังนี้
เชื่อว่าธุรกิจตื่นตัวกับ “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” หรือ Personal Data Protection Act (PDPA) A.D. 2019 ที่จะมีผลบังคับใช้ในปี 2021 กับพอสมควร เพราะโทษของการฝ่าฝืนหรือไม่ปฏิบัติตามนั้น อาจถูกปรับตั้งแต่ 5 แสนถึง 3 ล้านบาท ถูกจำคุก หรือทั้งจำทั้งปรับ แล้วแต่มาตราที่มีการฝ่าฝืนหรือไม่ทำตาม
นี่ยังไม่พูดถึงค่าสินไหมทดแทนที่เจ้าของข้อมูลส่วนตัวสามารถเรียกได้ตามที่ศาลเห็นสมควรด้วยนะ
ส่วนฝ่ายเจ้าของข้อมูลส่วนบุคคล แน่นอนว่าอาจเป็นผู้เสียหายได้ หลักๆคือถ้าข้อมูลส่วนตัวถูกผู้ควบคุมหรือประมวลผลข้อมูลส่วนตัว เอาไปใช้ หรือเปิดเผยโดยผิดวัตถุประสงค์ หรือไม่ได้รับความยินยอม เจ้าของข้อมูลส่วนตัวย่อมได้รับความเสียหาย (แต่แน่นอนว่ามีข้อยกเว้นที่ผู้ควบคุมหรือประมวลข้อมูลไม่ต้องรับผิดเช่นกัน)
จริงๆ พรบ.นี้มีรายละเอียดให้คุยอีกเยอะ และ พรบ.นี้ก็ไม่ใช่กฎหมายเดียวที่เอาไว้คุ้มครองข้อมูลส่วนตัว กฎหมายนี้ระบุชัดเจนถึงสิทธิของเจ้าของข้อมูลส่วนตัว เช่นผู้บริโภคสินค้าหรือบริการ แม่แต่คนเล่นอินเตอร์เน็ตเข้าเว็บไซต์ หน้าที่ของผู้ควบคุมข้อมูลส่วนตัวและหน้าที่ผู้ประมวลผลข้อมูลส่วนตัว เช่นเจ้าของเว็บไซต์ที่มีการติดตามพฤติกรรมของคนเข้าเว็บไซต์ของตัวเอง ระวางโทษต่างๆถ้าฝ่าฝืนหรือไม่ทำตาม รวมถึงฝ่ายต่างๆที่เกี่ยวข้องกับ พรบ.นี้
แต่ก่อนอื่นเราต้องรู้ก่อนว่าอะไรคือข้อมูลส่วนบุคคลตามกฎหมายที่ว่ากันก่อน
ข้อมูลส่วนบุคคลคืออะไร? มีอะไรบ้างที่เป็นข้อมูลส่วนบุคคล?
ตาม PDPA 2019 ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
และนี่คือตัวอย่างของข้อมูลที่เป็นข้อมูลส่วนบุคคล
- ชื่อ นามสกุล ชื่อเล่น
- เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต (การเก็บเป็นภาพสำเนาบัตรประชาชนหรือสำเนาบัตรอื่นๆที่ที่ข้อมูลส่วนบุคคล)
- ที่อยู่ อีเมล์ โทรศัพท์
- ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP Address, MAC Address, Cookie ID
- ข้อมูลทางชีวมิติ (Bio-metric) ไม่ว่าจะเป็นรูปภาพใบหน้า ลายนิ้วมือ ฟิลม์เอ็กซ์เรย์ ข้อมูลสแกนม่านตา ข้อมูลอัตลักษณ์เสียง ข้อมูลพันธุกรรม
- ข้อมูลระบุทรัพย์สินของบุคคล เช่นทะเบียนรถ โฉนดที่ดิน
- ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิด สถานที่เกิด เชื้อชาติ สัญชาติ น้ำหนัก ส่วนสูง ข้อมูลตำแหน่งที่อยู่ ข้อมูลการแพทย์ ข้อมูลการศึกษา ข้อมูลทางการเงิน ข้อมูลการจ้างงาน
- ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิลม์
- ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง
- ข้อมูลบันทึกต่างๆที่ใช้ติดตามสตรวจสอบกิจกรรมต่างๆของบุคคล เช่น Log Files
- ข้อมูลมที่ใช้ค้นหาข้อมูลส่วนบุคคลอื่นในอินเตอร์เน็ต
ข้อมูลแบบไหนที่ไม่ใช่ข้อมูลส่วนบุคคล?
ข้อมูลส่วนบุคคลเป็นข้อมูลที่สามารถระบุตัวบุคคลได้ ถ้าข้อมูลนั้นใช้ระบุตัวบุคคลไม่ได้ ก็ไม่ใช่ข้อมูลส่วนบุคคลตาม พรบ.นี้ เช่น
- เลขทะเบียบบริษัท
- ข้อมูลสำหรับการติดต่อทางธุรกิจที่ไม่ได้ระบุถึงตัวบุคคล เช่น หมายเลขโทรศัพท์ แฟกซ์ที่ทำงาน ที่อยู่สำนักงาน อีเมลที่ใช้ทำงาน อีเมล์บริษัท เช่น info@company.com
- ข้อมูลนิรนาม ข้อมูลแฝง ข้อมูลที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีทางเทคนิค
- ข้อมูลผู้ตาย
- ข้อมูลนิติบุคคล
ข้อมูลส่วนบุคคลขึ้นอยู่กับเราเจ้าของข้อมูลเป็นหลัก
ข้อมูลต่อไปนี้ ถ้าสามารถบอกอ้อมๆได้ว่าเป็นตัวเรา ก็ถือว่าเป็นข้อมูลส่วนตัวตามกฎหมาย PDPA 2019 ได้เหมือนกัน เช่น
- ชาติพันธุ์ เผ่าพันธุ์
- เพศ
- กลุ่ม สังกัด กลุ่มประชากร
- ครอบครัว ญาติมิตร
- ลักษณะทางกายภาพ
- ความรู้ ความเชื่อ
- ข้อมูล หรือสิ่งอ้างอิง การตั้งค่าอ้างอิง (Preference)
- ทรัพย์สิน กรรมสิทธ์ในทรัพย์สิน
- สุขภาพร่างกาย จิตใจ
- สถานะทางการเงิน
- อาชีพ
- พฆติกรรมส่วนบุคคล
- กิจกรรม การสมาคม
- กีฬา นันทนาการ
- บุคลิกภาพ
- สมาชิกกลุ่ม ชมรม กิจกรรม
อ่านถึงตรงนี้ อยากให้รู้ว่ากฎหมาย PDPA 2019 คุ้มครองข้อมูลของบุคคลที่ยังมีชีวิตอยู่เท่านั้น ถ้าเป็นข้อมูลคนที่เสียชีวิตแล้ว กฎหมายนี้ไม่คุ้มครองนะ ต้องไปดูกฎหมายอื่น ส่วนข้อมูลส่วนบุคคลตามกฎหมายนี้ คนหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูล (Data Controller) ก็ต้องมีหน้าที่ปฏิบัตตามกฎหมายนี้ต่อไป
แหล่งอ้างอิงส่วนหนึ่งจาก: หนังสือเรื่อง การคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection) โดย ดร. สุพิศ ปราณีตพลกรัง หน้า 27 – 30