กฏหมาย PDPA คุ้มครองข้อมูลส่วนบุคคล รวมทุกเรื่องต้องรู้ ในโลกยุคดิจิทัล

ในรอบปี 2565 กฏหมายหนึ่งที่มีความสำคัญและถูกประกาศใช้ คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฏหมาย PDPA โดยมีผลตั้งแต่วันที่ 1 มิถุนายน 2565 ที่ผ่านมา

สำหรับ PDPA ย่อมาจาก Personal Data Protection Act ซึ่งได้ประกาศใน ราชกิจจานุเบกษา ไปเมื่อ 27 พฤษภาคม 2562 เป็นกฎหมายว่าด้วยการให้สิทธิกับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต

การบังคับใช้กฏหมายฉบับดังกล่าว เนื่องจากปัจจุบัน โลกเข้าสู่ยุคดิจิทัล ซึ่งรวมถึงประเทศไทย ส่งผลให้ระบบดิจิทัลหรือระบบเครือข่ายออนไลน์ กลายเป็นส่วนหนึ่งของชีวิตประจำวันของผู้คน และแต่ละช่องทางออนไลน์ เริ่มมีการเก็บข้อมูลส่วนบุคคลก่อนเข้าใช้งาน เช่น ชื่อ นามสกุล, Email, เบอร์โทรศัพท์, ที่อยู่ หรือข้อมูลส่วนตัวอื่น ๆ ตามแต่ที่เจ้าของช่องทางเรียกขอข้อมูล

ดังนั้น PDPA จึงเข้ามามีบทบาทในการคุ้มครอง และให้สิทธิที่เจ้าของข้อมูลส่วนบุคคลควรมีต่อข้อมูลส่วนบุคคลของตัวเอง รวมไปถึงการสร้างมาตรฐานของบุคคลหรือนิติบุคคล ในการเก็บข้อมูล รวบรวมข้อมูล ใช้ข้อมูลส่วนบุคคล หรือเพื่อการเปิดเผยข้อมูลส่วนบุคคลก็ตาม ล้วนแล้วเกี่ยวข้องกับ พ.ร.บ. ฉบับนี้ที่จะต้องปฏิบัติตาม

หากผู้ใดหรือองค์กรใดไม่ปฏิบัติตาม ย่อมมีบทลงโทษตามกฎหมายตามมา ทั้งโทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง

ใครบ้างที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล

1. เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลสามารถระบุไปถึงได้

2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

สิทธิของเจ้าของข้อมูลส่วนบุคคล 

• สิทธิได้รับการแจ้งให้ทราบ ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้ง ให้เจ้าของข้อมูลส่วนบุคคลทราบ ก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล
• สิทธิขอเข้าถึงข้อมูลส่วนบุคคล และขอรับสำเนาข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาของข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอมได้ โดยสิทธินี้จะต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาล หรือส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
• สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ แต่ต้องไม่ขัดด้วยกฎหมายที่สำคัญยิ่งกว่า หรือขัดต่อสิทธิการเรียกร้องตามกฎหมาย
• สิทธิขอให้ลบหรือทำลาย กรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่เปิดเผยต่อสาธารณะ และผู้ควบคุมข้อมูลส่วนบุคคลถูกขอให้ลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลเจ้าของได้ โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องผู้รับผิดชอบดำเนินการทั้งในทางเทคโนโลยีและค่าใช้จ่ายเอง
• สิทธิในการเพิกถอนความยินยอม กรณีเจ้าของข้อมูลเคยให้ความยินยอมในการใช้ข้อมูลไปแล้ว ต่อมาภายหลังต้องการยกเลิกความยินยอมนั้น ก็สามารถทำเมื่อใดก็ได้
• สิทธิขอให้ระงับการใช้ข้อมูล
• สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล ให้มีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิดได้ โดยการแก้ไขนั้นจะต้องเป็นไปด้วยความสุจริต และไม่ขัดต่อหลักกฎหมาย
• สิทธิในการขอให้โอนข้อมูลส่วนบุคคล หรือจะขอให้ส่งไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่นโดยตรงก็สามารถทำได้ หากไม่ติดขัดทางวิธีการและเทคนิค โดยการใช้สิทธินั้นต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิเสรีภาพของบุคคลอื่น

อย่างไรก็ตาม มีข้อยกเว้นสำหรับข้อมูลส่วนบุคคลทั่วไป ดังนี้

• จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ ที่เกี่ยวข้องกับ การศึกษาวิจัยหรือการจัดทำสถิติ
• เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
• จำเป็นเพื่อปฏิบัติตามสัญญากับเจ้าของข้อมูล เช่น การซื้อขายของออนไลน์ ต้องใช้ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล
• จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
• จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย ของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลอื่น
• เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล เช่น ส่งข้อมูลพนักงานให้กรมสรรพากรเรื่องภาษี เป็นต้น

บทลงโทษกรณีไม่ปฏิบัติตาม 

โทษทางแพ่ง

กำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริง ให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหาย จากการละเมิด และอาจจะต้องจ่ายบวกเพิ่มอีกเป็นค่าค่าสินไหมทดแทน เพื่อการลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่าของค่าเสียหายจริง

โทษทางอาญา

มีทั้งโทษจำคุกและโทษปรับ โดยโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ โ

โทษทางปกครอง

โทษปรับ มี ตั้งแต่ 1 ล้านบาทจนถึงสูงสุดไม่เกิน 5 ล้านบาท ซึ่งโทษปรับสูงสุด 5 ล้านบาท จะเป็นกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลที่มีความละเอียดอ่อน

จะเห็นได้ว่า PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีเป้าหมายสำคัญเพื่อต้องการรักษาสิทธิที่พึงมีแก่เจ้าของข้อมูล ว่าข้อมูลส่วนตัวจะปลอดภัย นำไปใช้อย่างถูกต้อง เหมาะสมตามความต้องการ และยินยอมของเจ้าของข้อมูลอย่างแท้จริง

อย่างไรก็ตาม ผู้เป็นเจ้าของข้อมูล ควรพิจารณาอย่างรอบคอบในการให้ข้อมูลส่วนบุคคลในแต่ละครั้ง เพื่อป้องกันการนำข้อมูลไปใช้ในทางที่ผิด หรือหาผลประโยชน์จากข้อมูลส่วนบุคคลของเราก็เป็นได้

อ่านข่าวเพิ่มเติม

• ประกาศแล้ว กม. ลูก PD PA ‘ผ่อนปรนเอสเอ็มอี’ ใครได้สิทธิบ้าง เช็คเลย!!
• ผลจาก ‘กฏหมาย PDPA’ แจ้งเกิด 5 เทรนด์ ‘ความเป็นส่วนตัว’ ที่ส่งผลไปอีกสองปีข้างหน้า
• รวมไว้ที่นี่!! ข้อมูลส่วนบุคคลตาม ‘กฏหมาย PDPA’ แบบไหนเปิดเผยได้

SHARE

• Facebook
• Line

FOLLOW US