พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ย่อมาจากคำว่า Personal Data Protection Act B.E. 2562 (2019) จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ หลังจากที่ถูกเลื่อนออกมาเป็นเวลา 1 ปีเต็ม

เนื่องจากเป็นกฎหมายที่มีผลกระทบกับประชาชนเป็นวงกว้างโดยเฉพาะอย่างยิ่งในยุคของการเปลี่ยนผ่านเข้าสู่ดิจิทัล 

ทีมข่าวเนชั่นออนไลน์ ชวนคอข่าวชาวดิจิทัล มาทำความรู้จักกับ PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เพื่อเตรียมความพร้อมในเรื่องนี้กันสักหน่อย       

 

 

กฎหมาย PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ได้ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และปัจจุบันได้ถูกเลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ ซึ่งเป็นกฎหมายว่าด้วย การให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต 

กฎหมายฉบับนี้ เป็นกฎหมายใหม่และเป็นเรื่องใหม่ ที่ประชาชนชาวไทยทุกคนควรทราบ และควรที่จะตระหนักรู้ ถึงสิทธิในข้อมูลส่วนบุคคลของเราโดยเฉพาะอย่างยิ่งองค์กรธุรกิจต่างๆ ที่มีการเก็บข้อมูลส่วนบุคคล ของลูกค้า ผู้ใช้งาน หรือพนักงานในองค์กร

ข้อมูลส่วนบุคคลภายใต้การคุ้มครองของ PDPA มีอะไรบ้าง?

1.ข้อมูลส่วนบุคคลทั่วไป  ได้แก่

-ชื่อ-นามสกุล

-เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน

-เลขบัตรประชาชน

-เลขหนังสือเดินทาง

-เลขใบอนุญาตขับขี่

-ข้อมูลทางการศึกษา

-ข้อมูลทางการเงิน

-ข้อมูลทางการแพทย์

-ทะเบียนรถยนต์

-โฉนดที่ดิน

-ทะเบียนบ้าน

-วันเดือนปีเกิด

-สัญชาติ

-น้ำหนักส่วนสูง

-ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password,  Cookies IP address,  GPS Location

 

2. ข้อมูลส่วนบุคคลที่มีความอ่อนไหว ซึ่งส่วนนี้นต้องระวังการใช้ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่อาจส่งผลกระทบต่อเจ้าของข้อมูล ได้แก่

-เชื้อชาติ เผ่าพันธุ์

-ความคิดเห็นทางการเมือง

-ความเชื่อในลัทธิ ศาสนาหรือปรัชญา

-พฤติกรรมทางเพศ

-ประวัติอาชญากรรม

-ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์

-ข้อมูลสหภาพแรงงาน

-ข้อมูลพันธุกรรม

-ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

 

ผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลภายใต้ PDPA ประกอบด้วย

1.เจ้าของข้อมูลส่วนบุคคล (Data Subject) ซึ่งหมายถึงข้อมูลที่อยู่ในตัวหรือเกี่ยวข้องเชื่อมโยงไปถึงบุคลหนึ่งบุคคลใดที่เป็นของบุคคล คน นั้น

2.ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือคน บริษัทหรือองค์กรต่าง ๆ  ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร  ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน 

3.ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ คน บริษัทหรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง 

พ.ร.บ.ฉบับนี้ ให้ความสำคัญและมีบทลงโทษที่รุนแรงมาก กรณีเกิดการรั่วไหลของ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) สู่สาธารณะ อันได้แก่ ข้อมูล เชื้อชาติ, เผ่าพันธุ์, ความคิดเห็นทางการเมือง, ความเชื่อในลัทธิ ศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต, ข้อมูลสหภาพแรงงาน, ข้อมูลพันธุกรรม, ข้อมูลชีวภาพ, ข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด
 

บทลงโทษหากไม่ปฎิบัติตาม PDPA

- โทษทางอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ

- โทษทางแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า

- โทษทางปกครอง: ปรับไม่เกิน 1หรือ 3 หรือ 5 ล้านบาท

ทั้งนี้ เพจเฟซบุ๊ก PCDC Thailand ได้เผยข้อมูล 4 เรื่องไม่จริงเกี่ยวกับ PDPA ดังนี้ 

1. การถ่ายรูป-ถ่ายคลิป ติดภาพคนอื่นโดยเจ้าตัวไม่ยินยอมจะผิด PDPA
ตอบ กรณีการถ่ายรูป-ถ่ายคลิปโดยติดบุคคลอื่นโดยผู้ถ่ายรูป-ถ่ายคลิปไม่เจตนา และการถ่ายรูปถ่ายคลิปดังกล่าวไม่ได้ก่อให้เกิดความเสียหายกับผู้ถูกถ่าย สามารถทำได้ หากเป็นการใช้เพื่อวัตถุประสงค์ส่วนตัว

2. ถ้านำคลิปหรือรูปถ่ายที่ติดคนอื่นไปโพสต์ในโซเชียลมีเดียโดยบุคคลอื่นไม่ยินยอมจะผิด PDPA 
ตอบ สามารถโพสท์ได้ หากใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้แสวงหากำไรทางการค้าและไม่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล 

3. ติดกล้องวงจรปิดแล้วไม่มีป้ายแจ้งเตือนผิด PDPA 
ตอบ การติดกล้องวงจรปิด ภายในบ้าน ไม่จำเป็นต้องมีป้ายแจ้งเตือน หากเพื่อป้องกันอาชญากรรม และรักษาความปลอดภัยกับตัวเจ้าของบ้าน 

4. เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้ 
ตอบ ไม่จำเป็น ต้องขอความยินยอม หากการใช้ข้อมูลดังกล่าว 
(1) เป็นการทำตามสัญญา 
(2) เป็นการใช้ที่มีกฎหมายให้อำนาจ 
(3) เป็นการใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล 
(4) เป็นการใช้เพื่อการค้นคว้าวิจัยทางสถิติ 
(5) เป็นการใช้เพื่อประโยชน์สาธารณะ
(6) เป็นการใช้เพื่อปกป้องผลประโยชน์ หรือสิทธิของตนเอง 

ทั้งนี้ หลักการข้างต้น อาจเปลี่ยนแปลงตามข้อเท็จจริงที่เกิดขึ้นเป็นกรณีๆไป 

PDPA = พรบ.คุ้มครองข้อมูลส่วนบุคคล

มาตรา 4(1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บข้อมูลเพื่อประโยชน์ส่วนตน หรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น

ขอขอบคุณข้อมูลและภาพจาก PDPC Thailand

ติดตามอ่าน พระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ตรงนี้ คลิก

อ้างอิงข้อมูลจาก : ธปท. / สำนักงานกิจการยุติธรรม