ในยุคที่โลกออนไลน์เข้ามาเป็นหนึ่งในเป็นการสื่อสารหลัก ข้อมูลส่วนตัวต่างๆ มักอยู่ในโลกออนไลน์ แม้จะง่ายต่อการจับเก็บข้อมูล แต่ก็อาจมีผู้ไม่ประสงค์ดีนำข้อมูลของเราไปในทางที่เสียหายได้ จึงมี PDPA ที่เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อป้องกันการละเมิดสิทธิ และเพื่อความปลอดภัยให้กับเจ้าของข้อมูล
บทความนี้จะพาไปทำความรู้จักว่า PDPA คืออะไร มีองค์ประกอบหรือรายละเอียดใดบ้าง เกี่ยวข้องกับทุกคนและสำคัญอย่างไร ไปดูกันเลย
Table of Contents
ทำความรู้จักกฎหมาย PDPA คืออะไร
PDPA ย่อมาจาก Personal Data Protection Act เป็นพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล แล้วพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล คืออะไร พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล คือ กฎหมายเกี่ยวกับการป้องกันการละเมิดข้อมูลส่วนบุคคล เพื่อคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ ข้อมูลทางการเงิน หรือข้อมูลส่วนบุคคลอื่นๆ ที่สามารถระบุถึงตัวตนได้ โดยจะคุ้มครองไม่ให้ข้อมูลเหล่านี้ถูกจัดเก็บ หรือถูกนำไปใช้ โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลก่อน เป็นกฎหมายถูกบังคับใช้เต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565
กฎหมาย PDPA เป็นกฎหมายที่ถูกถอดแบบมาจาก กฎหมายคุ้มครองข้อมูลส่วนบุคคล ของสหภาพยุโรป ที่เรียกว่า กฎหมาย GDPR (General Data Protection Regulation) วัตถุประสงค์หลักของกฎหมาย เพื่อป้องกันผู้ไม่ประสงค์ดี นำข้อมูลส่วนบุคคลไปใช้เพื่อข่มขู่ หรือใช้เพื่อหวังผลประโยชน์จากเจ้าของข้อมูล
ข้อมูลส่วนบุคคลคืออะไร
ข้อมูลส่วนบุคคล หมายถึง ข้อมูลที่ระบุตัวตนของเจ้าของข้อมูล ไม่ว่าจะเป็นข้อมูลทางตรง หรือข้อมูลทางอ้อมแต่จะมีการยกเว้นข้อมูลของผู้ที่เสียชีวิต ที่จะไม่ถูกนับรวม
ตัวอย่างข้อมูลส่วนบุคคล เช่น
- ชื่อ-นามสกุล วันเดือนปีเกิด และน้ำหนักส่วนสูง
- เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่ เลขบัตรประกันสังคม และเลขประจำตัวผู้เสียภาษี
- ข้อมูลบัญชีทางการเงิน เช่น บัญชีธนาคาร หรือ เลขบัตรเครดิต
- ข้อมูลการแพทย์ และข้อมูลการศึกษา
- ข้อมูลจากทรัพย์สินที่มี เช่น ทะเบียนรถยนต์ หรือ โฉนดที่ดิน
- ข้อมูลบนอินเทอร์เน็ต เช่น Username Password IP address หรือโลเคชันการเข้าใช้งาน
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน หมายถึง ข้อมูลเกี่ยวกับตัวบุคคลเช่นเดียวกัน แต่ข้อมูลจะมีความเฉพาะเจาะจงมากขึ้น มีความละเอียดอ่อนมากกว่าข้อมูลส่วนบุคคลทั่วไป จึงทำให้บทลงโทษของ PDPA เกี่ยวกับ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน มีบทลงโทษที่รุนแรงกว่าข้อมูลส่วนบุคคล เพราะหากข้อมูลเกิดการรั่วไหลออกสู่สาธารณะ ก็จะส่งผลกระทบต่อเจ้าของข้อมูล ในเรื่องของการใช้ชีวิตในสังคม และการทำงาน
ตัวอย่างข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน เช่น
- เชื้อชาติ หรือ เผ่าพันธุ์
- ความเชื่อทางศาสนา
- ความคิดเห็นทางการเมือง
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลสุขภาพ เช่น ข้อมูลสุขภาพจิต ข้อมูลพันธุกรรม
- ข้อมูลทางชีวมิติ (Biometric) ที่เป็นข้อมูลอัตลักษณ์ของบุคคล เช่น ลายนิ้วมือ ภาพใบหน้า ข้อมูลอัตลักษณ์เสียง เป็นต้น
ความสำคัญของ PDPA
ความสำคัญของกฎหมาย PDPA คืออะไร ความสำคัญของ PDPA คือ การทำให้เจ้าของมีสิทธิในข้อมูลส่วนตัวที่ถูกจัดเก็บ เพื่อสร้างความปลอดภัยและเป็นส่วนตัวให้แก่เจ้าของข้อมูล โดยเจ้าของข้อมูล มีสิทธิสำคัญ ในการรับทราบและยินยอมให้มีการเก็บข้อมูลส่วนตัว สิทธิในการเข้าถึงข้อมูลส่วนตัวของตน และสิทธิในการคัดค้าน ลบ หรือทำลายข้อมูลส่วนตัว เพื่อป้องกันการนำข้อมูลเหล่านั้นไปใช้
ใครบ้างที่เกี่ยวข้องหรืออยู่ภายใต้ PDPA
เมื่อเข้าใจความหมายของ pdpa ว่าคืออะไร ก็มาถึงการทำความรู้จักบุคคลที่เกี่ยวข้องกับ PDPA กันบ้าง ซึ่งหลักๆ แล้วจะมี 4 บุคคลที่เกี่ยวข้องกับ PDPA ดังนี้
1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)
เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ ตัวเราเองที่เป็นเจ้าของข้อมูลนั้นๆ ภายใต้กฎหมาย PDPA เจ้าของข้อมูลจะได้รับการปกป้องและมีสิทธิเข้าถึงได้ตามกฎหมาย และหากใครนำข้อมูลไปเผยแพร่ต่อ โดยที่ไม่ได้รับความยินยอมจากเจ้าของข้อมูล ก็จะมีบทลงโทษ PDPA ตามขั้นตอนกฎหมาย
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ คน บริษัท หรือองค์กรต่างๆ ที่มีอำนาจหน้าที่ในการตัดสินใจ เกี่ยวกับรวบรวมข้อมูล ใช้ข้อมูล หรือประมวลผลข้อมูลเพื่ออะไร สำหรับผู้ควบคุมข้อมูลส่วนบุคคล และภายใต้ PDPA จะมีหน้าที่หลัก และสิ่งที่ต้องทำคืออะไรบ้าง คำตอบคือ มีหน้าที่หลักในการปฏิบัติตามกฎและมีหน้าที่ในการรับผิดชอบข้อมูลส่วนบุคคล
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ คน บริษัท หรือองค์กรต่างๆ มีหน้าที่เก็บรวบรวม ใช้ข้อมูล เปิดเผยข้อมูล รวมถึงประมวลผลข้อมูลส่วนบุคคล จะทำภายใต้คำสั่งหรือทำในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) และหากผู้ประมวลผลข้อมูลส่วนบุคคลไม่ทำตามหรือมีการละเมิด ก็จะมีบทลงโทษทางกฎหมาย PDPA ด้วยเช่นกัน
4. คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Committee)
คณะกรรมการตามหลัก PDPA คืออะไร คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Committee) คือ คณะกรรมจากภาครัฐที่ถูกแต่งตั้งขึ้น มีหน้าที่ดูแล ออกหลักเกณฑ์ รับเรื่องร้องเรียน พร้อมทั้งช่วยส่งเสริม สนับสนุน พัฒนาทั้งภาครัฐและเอกชน ด้านการคุ้มครองข้อมูลส่วนบุคคล
สิทธิที่เจ้าของข้อมูลส่วนบุคคลได้รับ
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะให้การคุ้มครองและสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมถึงข้อบังคับที่ต้องทำตามอย่างเคร่งครัด หากองค์กรหรือบุคคลใดไม่ทำตาม ก็จะมีบทลงโทษกฎหมายของ PDPA แต่ในส่วนนี้จะมาพูดถึงสิทธิที่เจ้าของข้อมูลส่วนบุคคลได้รับ ซึ่งมีสิทธิต่างๆ มีดังนี้
สิทธิในการได้รับการแจ้งให้ทราบ
ผู้ควบคุมข้อมูลส่วนบุคคล ต้องแจ้งข้อมูล ให้เจ้าของข้อมูลส่วนบุคคล หรือ ตัวเราเอง ได้รู้ก่อนหรือขณะเก็บรวบรวมข้อมูล เช่น การสมัครใช้ผลิตภัณฑ์ การสมัครใช้บริการต่างๆ เปิดบัญชี การทำบัตรเครดิต เป็นต้น และการแจ้งให้ทราบตาม PDPA คือการแจ้งข้อมูลอะไร คือ การแจ้งการเก็บข้อมูลส่วนบุคคล ว่าเก็บข้อมูลอะไรบ้าง วัตถุประสงค์ของการเก็บเพื่ออะไร วิธีเก็บข้อมูล รวมถึงหากต้องการเปลี่ยนแปลง แก้ไข ยกเลิก จะสามารถทำอย่างไรได้บ้าง
สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคล หรือ ตัวเราเอง มีสิทธิเข้าถึงและขอสำเนาข้อมูลของตัวเราเองได้ และในกรณีการเก็บข้อมูลส่วนบุคคล โดยไม่ได้ยินยอม ก็สามารถขอให้เปิดเผยถึงที่มาของข้อมูลส่วนบุคคลได้ ข้อบังคับในการยื่นคำร้อง ตามกฎหมาย PDPA ต้องทำตามข้อบังคับอะไรบ้าง ในการยื่นจะต้อง ไม่ขัดต่อกฎหมาย คำสั่งศาล หรือผลกระทบที่จะเกิดความเสียหายให้กับบุคคลอื่น ซึ่งหากเป็นไปตามข้อตกลง เจ้าของข้อมูลส่วนบุคคล จะได้รับสิทธิภายใน 30 วัน
สิทธิในการคัดค้านการรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคล หรือ ตัวเราเอง มีสิทธิการขอคัดค้าน การรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล ส่วนการยื่นคัดค้านตามข้อตกลง PDPA ต้องทำอะไรบ้าง ก็สามารถยื่นคัดค้านได้ทุกเมื่อ แต่มีข้อแม้ การยื่นคำค้านต้องไม่ขัดต่อสิทธิการเรียกร้องตามกฎหมาย
สิทธิในการขอให้ลบหรือทำลาย
กรณีผู้ควบคุมข้อมูลส่วนบุคคล ได้มีการเปิดเผยข้อมูลส่วนบุคคลของเราต่อสาธารณะ เจ้าของข้อมูลสามารถแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคล ลบ ทำลาย หรือทำให้ข้อมูลนั้นไม่สามารถระบุตัวจนได้ โดยผู้ควบคุมข้อมูลส่วนบุคคลจะเป็นผู้รับผิดชอบทั้งหมด และหากผู้ควบคุมข้อมูล ไม่ได้ลบหรือทำลายตามที่ร้องขอ ก็อาจจะมีโทษตามกฎหมาย PDPA ด้วยเช่นกัน
สิทธิในการเพิกถอนความยินยอม
หากเจ้าของข้อมูลเคยให้ความยินยอมการใช้ข้อมูล และภายหลังต้องการยกเลิกความยินยอม ก็สามารถยกเลิกความยินยอมได้ทุกเมื่อ ในส่วนของขั้นตอนการยกเลิกนั้นจะเหมือนกับตอนที่ให้ความยินยอมใช้ข้อมูล ซึ่งกฎหมาย PDPA เกี่ยวกับการยกเลิก ต้องทำตามข้อปฏิบัติอะไรบ้าง คือการยกเลิก จะต้องไม่ขัดต่อข้อจำกัดของสิทธิ ในการถอนความยินยอมทางกฎหมาย หรือสัญญาที่เป็นประโยชน์ต่อเจ้าของข้อมูลส่วนบุคคล
สิทธิในการขอให้ระงับการใช้ข้อมูล
เจ้าของข้อมูลส่วนบุคคล มีสิทธิขอให้ผู้ควบคุมข้อมูลระงับการใช้ข้อมูล กรณีเปลี่ยนใจไม่ต้องการให้ข้อมูล หรือเปลี่ยนใจยกเลิกการทำลายข้อมูลเมื่อครบกำหนดที่ต้องทำลาย เพราะจำเป็นต้องนำข้อมูลไปใช้ในทางกฎหมาย เช่น การเรียกร้องสิทธิ หากผู้ควบคุมข้อมูลไม่ทำตามสิทธิร้องขอ ก็จะถูกลงโทษตามกฎหมาย PDPA ได้เช่นกัน
สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล
เจ้าของข้อมูลมีสิทธิในการขอแก้ไขข้อมูลของตนเองให้ถูกต้อง และแก้ไขเป็นข้อมูลปัจจุบันได้ เงื่อนไขในการแก้ไขตาม PDPA ต้องแก้ไขอย่างไรหรือทำอะไรบ้าง โดยการแก้ไขจะต้องเต็มไปด้วยความสุจริต ไม่ขัดต่อหลักกฎหมาย และสามารถแก้ไขข้อมูลส่วนตัว เช่น ที่อยู่ เบอร์โทร หรือรหัสผ่าน เป็นต้น
สิทธิในการขอให้โอนข้อมูลส่วนบุคคล
หากต้องการนำข้อมูลที่เคยให้ไว้กับผู้ควบคุมข้อมูลรายแรก โอนไปยังผู้ควบคุมรายอื่น ก็ทำได้ โดยขอให้ผู้ควบคุมรายแรก จัดทำข้อมูลที่เข้าถึงได้ด้วยวิธีการอัตโนมัติ และขอให้ผู้ควบคุมข้อมูล โอนหรือส่งข้อมูลไปยังผู้ควบคุมรายอื่นได้ และการโอนข้อมูลจะต้องไม่ขัดต่อกฎหมาย สัญญา หรือการละเมิดละเมิดสิทธิเสรีภาพของผู้อื่น ซึ่งหากขัดต่อหลักกฎหมาย ก็จะมีโทษตามกฎหมาย PDPA ตามมาเช่นกัน
บทลงโทษของ PDPA
บทลงโทษ PDPA ที่หากเมื่อไม่ปฏิบัติตามจะมีบทลงโทษ ดังนี้
บทลงโทษทางแพ่ง
เกิดจากการทำให้บุคคลเสียหาย จากทั้งความตั้งใจหรือไม่ตั้งใจก็ตาม บทลงโทษ PDPA ทางแพ่ง กำหนดให้ชดใช้ค่าสินไหมทดแทนสูงสุด 2 เท่าของความเสียหายจริง ให้กับเจ้าของข้อมูลหรือบุคคลที่ได้รับความเสียหาย แต่ต้องไม่เกินกว่า 2 เท่าของค่าเสียหายจริง มีอายุความ 3 ปี นับตั้งแต่ที่ผู้เสียหายทราบเรื่อง และ 10 ปีนับตั้งแต่เกิดการละเมิด
บทลงโทษทางอาญา
เกิดจากผู้ควบคุมข้อมูลส่วนบุคคล ใช้ข้อมูล โอนข้อมูลไปต่างประเทศ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน ทำให้บทลงโทษ PDPA ทางอาญา มีโทษจำคุกสูงสุด 1 ปี ปรับไม่เกิน 1 ล้านบาท หรือมีโทษทั้งจำทั้งปรับ อย่างไรก็ตาม บทลงโทษทางอาญาสามารถยอมความได้
บทลงโทษทางปกครอง
โทษทางปกครอง เป็นโทษที่คล้ายกับโทษทางอาญา เช่น การใช้ข้อมูล โอนข้อมูลไปต่างประเทศ การเปิดเผยข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน ซึ่งบทลงโทษ PDPA ทางปกครอง จะมีอัตราโทษปรับสูงสุด ไม่เกิน 5 ล้านบาท และโทษทางปกครอง จะแยกกับการชดใช้ค่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทางอาญา
PDPA กับการทำธุรกิจ ต้องเตรียมตัวอย่างไร
PDPA ทำให้การทำธุรกิจต้องมีรายละเอียดทางกฎหมายเพิ่มมากขึ้นไปอีก เพื่อความเป็นส่วนตัวของเจ้าของข้อมูล แต่ธุรกิจต่างๆ ต้องเตรียมตัวเกี่ยวกับ กฎหมาย PDPA อย่างไรบ้าง ไปดูกัน
ทำเอกสารขอความยินยอม
การทำธุรกิจหรือการทำเว็บไซต์ ตามกฎหมาย PDPA ต้องทำอะไรบ้าง อย่างแรก คือ ต้องมีการเก็บข้อมูลส่วนบุคคลของ ลูกค้า พนักงาน หรือผู้เข้าใช้งานเว็บไซต์ โดยการเก็บข้อมูล จะต้องแจ้งต่อเจ้าของข้อมูลผ่านนโยบายความเป็นส่วนตัว (Privacy Policy) บนเว็บไซต์ หรือช่องทางการติดต่ออื่นๆ เพื่อขอความยินยอม (Consent) จากเจ้าของข้อมูล ต้องเป็นข้อความที่อ่านเข้าใจง่าย เนื้อหาชัดเจน เช่น เก็บข้อมูลอะไรบ้าง นำข้อมูลไปใช้ทำอะไร และเจ้าของข้อมูลมีสิทธิอะไรบ้าง โดยกำหนดว่าจะต้องแจ้งในหน้าเว็บไซต์หรือแอปพลิเคชัน ก่อนการลงทะเบียนเข้าใช้งาน
เตรียมเอกสาร ROP
RoP (Record Of Processing) คือบันทึกการประมวลผลข้อมูลส่วนบุคคล ที่ใช้ในองค์กรหรือบริษัท ซึ่งและขั้นตอนการบันทึกตาม PDPA ต้องทำขั้นตอนอะไรบ้าง คือ บันทึกรายละเอียดจากการสำรวจข้อมูล จากแหล่งที่มาข้อมูล วัตถุประสงค์ในการจัดเก็บ กำหนดระยะเวลา และการป้องกันการส่งต่อข้อมูล หรือการเปิดเผยข้อมูลส่วนบุคคล ต้องมีการกำหนดนโยบายการจัดเก็บ ข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว ทั้งในรูปแบบเอกสารและอิเล็กทรอนิกส์
สร้างมาตรการด้านความปลอดภัยของข้อมูล
สิ่งที่สำคัญตามมาตรฐาน PDPA ของธุรกิจหรือการทำเว็บไซต์ ที่ควรต้องทำมีอะไรบ้าง คือ มาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคล เพื่อปกป้องข้อมูลส่วนบุคคล ไม่ให้รั่วไหล หรือถูกละเมิดข้อมูล ซึ่งจะต้องกำหนดแนวทางการป้องกัน เช่น การควบคุมการเข้าถึง การประเมินความปลอดภัย และนโยบายด้านความปลอดภัย และกำหนดระยะเวลาการเก็บข้อมูล
เตรียมเอกสารสำหรับส่งหรือเปิดเผยข้อมูลส่วนบุคคล
การทำธุรกิจจำเป็นต้องมีระบบการยื่นคำร้องของเจ้าของข้อมูลส่วนบุคคล ควรเป็นวิธีที่ง่าย ไม่ซับซ้อน ไม่มีเงื่อนไขในการยื่นคำร้อง สามารถยื่นคำร้องผ่านช่องทางเว็บไซต์ แอปพลิเคชัน หรือการส่งอีเมล หากมีการยื่นคำร้อง และไม่มีการทำเอกสารสำคัญส่งกลับไปให้ผู้ยื่นคำร้อง เจ้าของธุรกิจหรือเจ้าของบริษัท ก็อาจจะมีโทษทาง PDPA
ปฏิบัติตามแนวทางกำกับดูแลข้อมูลส่วนบุคคล
กำหนดให้มีเจ้าหน้าที่ คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) ตามหลัก pdpa หน้าที่หลักของเจ้าหน้าที่ ต้องทำหน้าที่อะไรบ้าง คือ จะมีหน้าที่ให้คำแนะนำ ประสานงาน และตรวจสอบ เพื่อให้แน่ใจว่าองค์กรมีการประมวลผลข้อมูลได้อย่างถูกต้องตามหลักกฎหมาย
สรุป
มาถึงข้อสรุปที่ว่า PDPA คืออะไร แล้วทำไมถึงเกี่ยวข้องกับทุกคนในยุคนี้ เพราะทุกคนก็เป็นเจ้าของข้อมูลส่วนบุคคล ทุกคนก็มีสิทธิที่เจ้าของข้อมูลส่วนบุคคลควรได้รับ เช่น สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล สิทธิที่จะคัดค้าน แก้ไข หรือระงับการใช้ข้อมูล เป็นต้น ซึ่งหากองค์กรหรือบริษัทไม่ทำตาม pdpa จะถือว่าผิดกฎหมายและมีบทลงโทษต่างกันไปตามความผิด การมี pdpa เพื่อให้เจ้าของข้อมูลมีสิทธิในข้อมูล เพื่อให้ส่วนตัว และปลอดภัย