“PDPA” หรือ “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562” เริ่มใช้ 1 มิ.ย. 65

174

1 มิ.ย. 65 เริ่มใช้ “PDPA” หรือ “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562” ซึ่งจะเป็นจุดเริ่มต้นสำคัญที่ผู้ประกอบหรือบุคคลทั่วไป ต้องให้ความสำคับกับการบริหารจัดการ “ข้อมูลส่วนบุคคล” ของ “ลูกค้า” อย่างรอบคอบ ไม่ว่าจะเป็นกระบวนการรวบรวม จัดเก็บ ใช้ หรือเปิดเผยข้อมูล เพื่อไม่ให้กระทบต่อสิทธิส่วนบุคคลของลูกค้าตามกฎหมายฉบับนี้ พวกแชร์ไปเสียดสี แชร์ไปด่า เพจทั้งหลายระวังโดนฟ้อง รวมถึงพวกที่หมั่นไส้ที่เขาโพสต์ โพสต์ไม่ถูกใจ แชร์ไปด่าไปเสียดสีบนเพจตัวเอง

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

PDPA คืออะไร ?

PDPA (Personal Data Protection Act) หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีขึ้นเพื่อให้เอกชนและรัฐที่เก็บรวมรวม ใช้ เปิดเผย และ/หรือ โอนข้อมูลส่วนบุคคลในราชอาณาจักรไทย ให้เป็นไปตามมาตรการปกป้องข้อมูลของผู้อื่นจากการถูกละเมิดสิทธิส่วนตัว โดยต้องขอ “ความยินยอม” จากเจ้าของข้อมูล ก่อนการเก็บ รวบรวม ใช้ หรือเปิดเผย

และมีผลใช้บังคับ กรณีผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประเมินผลข้อมูลส่วนบุคคลที่อยู่นอกราชอาณาจักร หากมีกิจกรรม ดังนี้

  • เสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลส่วนบุคคล ที่อยู่ในราชอาณาจักร ไม่ว่าจะมีการชำระเงินหรือไม่ก็ตาม
  • เฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักร

ส่วนบุคคลทั่วไป

  • ชื่อ-นามสกุล 
  • เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน
  • เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่ 
  • ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์
  • ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน
  • วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง
  • ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password,  Cookies IP address,  GPS Location

ถ้าข้อมูลไหนที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้ เช่น ข้อมูลบริษัท จะไม่ถือว่า เป็นไม่ใช่ข้อมูลส่วนบุคคล และไม่อยู่ภายใต้บังคับตาม​ PDPA เลย  

นอกจากเราจะต้องรู้จักกับข้อมูลส่วนบุคคลทั่วไปแล้ว เรายังต้องรู้จักและระมัดระวังการใช้ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่มีความละเอียดอ่อนและอาจส่งผลกระทบต่อเจ้าของข้อมูล ทั้งในแง่ของการทำงาน สังคม และชีวิตความเป็นอยู่ โดยเฉพาะอาจนำไปสู่การเลือกปฏิบัติได้ PDPA จึงกำหนดโทษที่หนักขึ้นหากใช้ข้อมูลนั้นไม่ถูกต้อง ซึ่งอาจรวมถึงโทษอาญา ที่กรรมการต้องติดคุก 

ข้อมูลส่วนบุคคลที่มีความอ่อนไหว คือข้อมูลดังต่อไปนี้ 

  • เชื้อชาติ เผ่าพันธุ์ 
  • ความคิดเห็นทางการเมือง 
  • ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
  • พฤติกรรมทางเพศ
  • ประวัติอาชญากรรม 
  • ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
  • ข้อมูลสหภาพแรงงาน
  • ข้อมูลพันธุกรรม
  • ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้บริษัท พนักงาน หรือผู้ที่เกี่ยวข้องตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัยมากขึ้น ซึ่งถ้าบริษัทเก็บรวบรวมข้อมูลทันที โดยไม่ได้มีการชี้แจงรายละเอียดเกี่ยวกับการเก็บข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้งาน และ/หรือรวมถึงไม่ได้มีการขอความยินยอมก่อนสำหรับการประมวลผลข้อมูลส่วนบุคคลที่ต้องมีการขอความยินยอม จะกลายเป็นการกรณีที่บริษัทไม่ปฏิบัติให้ถูกต้องตาม PDPA และอาจมีความผิดได้

ธุรกิจเกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างไร ?

PDPA กล่าวถึงผู้ที่มีส่วนเกี่ยวข้องกับ “ข้อมูลส่วนบุคคล” ตามกฎหมายไว้ 3 กลุ่ม ได้แก่

กลุ่มแรกคือ ​”เจ้าของข้อมูลส่วนบุคคล”

กลุ่มที่สองคือ “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมหรือ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

กลุ่มที่สามคือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

ณ ที่นี้ ธุรกิจต่างๆ จะอยู่ฐานะของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งจำเป็นต้องปฏิบัติตามเงื่อนไขในการจัดการข้อมูลส่วนบุคคลของลูกค้าที่มีอยู่ให้ไม่ละเมิดสิทธิของลูกค้า และได้รับความยินยอมตามกฎหมายก่อน

ขอความยินยอมจากเจ้าของข้อมูลหรือลูกค้า ต้องทำอย่างไร ?

  • ต้องได้รับความยินยอมก่อน หรือขณะเก็บข้อมูลส่วนบุคคล
  • ต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำผ่านระบบอิเล็กทรอนิกส์
  • ต้องแจ้งวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • ต้องแยกส่วน ใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวง
  • มีความเป็นอิสระในการให้ความยินยอม
  • ถอนความยินยอมเมื่อใดก็ได้ เว้นแต่มีข้อจำกัดสิทธิ ฝ่าฝืน PDPA มีบทลงโทษ อย่างไร ?
    รับผิดทางแพ่ง

ค่าสินไหมทดแทนจากความเสียหายที่ได้รับจริง และศาลสั่งลงโทษเพิ่มขึ้นได้ไม่เกิน 2 เท่าของสินไหมทดแทน

โทษทางปกครอง

  • ไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ไม่ให้เจ้าขอข้อมูลเข้าถึงตามสิทธิ ฯลฯ ปรับไม่เกิน 1 ล้านบาท
  • เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ปรับไม่เกิน 3 ล้านบาท
  • เก็บรวบรวม ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลอ่อนไหว โดยไม่ชอบด้วยกฎหมาย ปรับไม่เกิน 5 ล้านบาท

โทษอาญา

  • ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสีย ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท
  • เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น จำคุก ไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท
  • ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ ตาม พ.ร.บ. นี้ ห้ามนำไปเผยแพร่แก่ผู้อื่น (เว้นแต่มีอำนาจหน้าที่ตามกฎหมาย) จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท

ทั้งนี้ในกรณีที่ผู้กระทำความผิด เป็นนิติบุคคล หากกรรมการผู้จัดการ หรือบุคคลที่ได้รับผิดชอบ สั่งการหรือกระทำหรือละเว้นไม่สั่งการหรือไม่กระทำ จนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ต้องรับโทษในคดีอาญานั้นไว้ด้วย

อ่านข้อมูลฉบับเต็มได้ที่: สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล, ธปท.
https://www.facebook.com/pdpc.th

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 1
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 3
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 4
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 5
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 6
10 เรื่องที่ประชาชนต้องรู้เกี่ยวกับ PDPA