สรุปกฎหมาย PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่ต้องรู้ให้ชัดๆ

มาทำความเข้าใจกันหน่อยว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ กฎหมาย PDPA มีรายละเอียดอะไรที่น่าสนใจกับพวกเรากันบ้าง

ทุกวันนี้พวกเราเกือบทุกคนทำงานผ่านระบบดิจิทัล ผ่านระบบเครือข่ายออนไลน์ จนกลายเป็นส่วนหนึ่งในชีวิตการทำงานไปถึงการใช้ชีวิตปกติไปแล้ว แน่นอนว่าต้องมีการนำเข้าข้อมูลส่วนบุคคล เช่น ชื่อ นามสกุล เบอร์ติดต่อ ที่อยู่ ฯลฯ

แน่นอนว่าหากข้อมูลเหล่านี้ถูกนำไปใช้โดยที่เราไม่ยินยอม ก็คงไม่ดีและอาจจะเกิดความเสียหายได้ รัฐจึงต้องมี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ กฎหมาย PDPA ที่จะเริ่มบังคับใช้ตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป

ในเมื่อจะเริ่มประกาศใช้ตั้งแต่วันที่ 1 มิถุนายน 2565 นี้แล้ว เราก็ควรรู้จักไว้สักหน่อยว่า กฎหมาย PDPA มีอะไรที่สำคัญบ้าง โดยจะเน้นไปที่ผู้ใช้งานทั่วไป ไม่ใช่ในระดับองค์กร

กฎหมาย PDPA คืออะไร ย่อมาจากอะไร

PDPA ย่อมาจาก Personal Data Protection Act เป็นกฎหมายว่าด้วยการให้สิทธิกับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต

โดยกฎหมาย PDPA Thailand (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ได้ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และปัจจุบันถูกเลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565

สรุปคือ กฎหมาย PDPA มีขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ และ/หรือได้รับความยินยอมจากเราในฐานะเจ้าของข้อมูลก่อน ไม่เช่นนั้นบริษัทหรือบุคคลที่เอาไปใช้งานจะมีความผิด

ข้อมูลส่วนบุคคลหลักๆ มีอะไรบ้าง

ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ทั้งทางตรงหรือทางอ้อม แต่จะไม่นับรวมข้อมูลของผู้ที่เสียชีวิตไปแล้ว

1. ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ 

• ชื่อ-นามสกุล 
• เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่ 
• เบอร์โทรศัพท์ อีเมลส่วนตัว 
• ที่อยู่ปัจจุบัน
• ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์
• ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน
• ข้อมูลที่เชื่อมโยงไปหาบุคคลได้ เช่น วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง
• ข้อมูลอื่นๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น username / password, Cookies IP address, GPS Location

2. ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data)

• เชื้อชาติ
• เผ่าพันธุ์
• ความคิดเห็นทางการเมือง 
• ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
• พฤติกรรมทางเพศ 
• ประวัติอาชญากรรม
• ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต 
• ข้อมูลสหภาพแรงงาน
• ข้อมูลพันธุกรรม
• ข้อมูลชีวภาพ

ใครที่เกี่ยวข้องกับข้อมูลส่วนบุคคลบ้าง

• เจ้าของข้อมูลส่วนบุคคล (Data Subject)
  
  
• ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ คน บริษัท หรือนิติบุคคล องค์กรต่างๆ  ที่มีอำนาจตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เสมือนผู้ดูแลระบบ มีหน้าที่เก็บรวบรวม และนำข้อมูลส่วนบุคคลที่ขอความยินยอมแล้วไปใช้ 
  
  
• ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ คน บริษัท หรือนิติบุคคล องค์กรต่างๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง

เราในฐานะเจ้าของข้อมูลส่วนบุคคลหรือ Data Subject ได้สิทธิอะไรบ้าง

• สิทธิได้รับการแจ้งให้ทราบ ก่อนที่จะถูกเก็บข้อมูลต้องมีการแจ้งให้ทราบ ว่าเก็บอะไรบ้าง ไปทำอะไรบ้าง เก็บนานแค่ไหน 
• สิทธิขอเข้าถึงข้อมูลส่วนบุคคล โดยการข้อเข้าถึงนี้ต้องไม่ผิดต้องหลักกฏหมายหรือส่งผลกระทบต่อสิทธิและเสรีภาพของคนอื่น
• สิทธิคัดค้านหรือใช้ข้อมูล
• สิทธิขอให้ลบหรือทำลายข้อมูลส่วนบุคคล
• สิทธิในการขอให้ระงับการใช้ข้อมูล 
• สิทธิในการเพิกถอนความยินยอม
• สิทธิในการแก้ไขข้อมูลส่วนบุคคล 
• สิทธิในการร้องเรียน

มีโทษอะไรบ้าง หากไม่ปฏิบัติตาม PDPA

• โทษอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
  
  
• โทษแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่าของค่าเสียหายจริง
  
  
• โทษปกครอง: โทษปรับไม่เกิน 1, 3 และ 5 ล้านบาท

สำหรับองค์กรหรือบริษัท ก็ต้องจัดทำ Privacy Policy ให้เจ้าของข้อมูลทราบว่าจะใช้ข้อมูลไปทำอะไรบ้าง แจ้งนโยบายความเป็นส่วนตัวให้แก่พนักงาน และหากจะนำข้อมูลไปใช้ก็ต้องทำตาม PDPA อย่างเคร่งครัด ปัจจุบันมีหลายบริษัทที่ช่วยจัดทำเกี่ยวกับ PDPA สามารถใช้บริการได้ตามที่บริษัทสนใจ ส่วนเราทุกคนควรรู้สิทธิเพื่อที่จะป้องกันตัวเอง

10 เรื่องที่ประชาชนต้องรู้เกี่ยวกับ PDPA

1. "ข้อมูลส่วนบุคคล" คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมแต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมเฉพาะ เช่น ชื่อ ที่อยู่ หมายเลขประจำตัว ข้อมูลสุขภาพ ฯลฯ (มาตรา 6)
   
   
2. "ผู้ควบคุมข้อมูลส่วนบุคคล" ต้องเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเอาไว้ก่อหรือในขณะเก็บรวบรวม (ห้ามใช้นอกเหนือวัถตุประสงค์) (มาตรา 21)
   
   
3. "ผู้ควบคุมข้อมูลส่วนบุคคล" ต้องเก็บรวบรวมข้อมูลส่วนบุคคลของเราเท่าที่จำเป็น ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย (มาตรา 22) ใช้ข้อมูลของเราให้น้อยที่สุด
   
   
4. ความยินยอม เป็นฐานการประมวลผลฐานหนึ่งเท่านั้น "ผู้ควบคุมข้อมูลส่วนบุคคล" มีหน้าที่ในการกำหนดฐานการประมวลผลให้สอดคล้องกับลักษณะการประมวลผลและความสัมพันธ์ระหว่าง "ผู้ควบคุมข้อมูล" กับ "เจ้าของข้อมูลส่วนบุคคล" (ตามมาตร 24 หรือ มาตรา 26)
   
   
5. ในการขอความยินยอม "ผู้ควบคุมข้อมูลส่วนบุคคล" จะต้องคำนึงอย่างที่สุดในความเป็นอิสระของ "เจ้าของข้อมูลส่วนบุคคล" (ต้องไม่มีสภาพบังคับในการให้/ไม่ให้) (มาตรา 19 วรรคสี่)
   
   
6. "เจ้าของข้อมูลส่วนบุคคล" มีสิทธิต่างๆ ดังนี้
    - สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้ (มาตรา 19 วรรคห้า)
    - สิทธิได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice) (มาตรา 23)
    - สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล (มาตรา 30)
    - สิทธิขอให้โอนข้อมูลส่วนบุคคล (มาตรา 31)
    - สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล (มาตรา 32)
    - สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (มาตรา 34)
    - สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล (มาตรา 34)
    - สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล (มาตรา 35)
   
   
7. กฎหมาย PDPA ให้กับการประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย ไม่ว่าจะมีสัญชาติใดก็ตาม (มาตรา 5)
   
   
8. ในกรณีที่เหตุการละเมิด "ข้อมูลส่วนบุคคล" มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของ "เจ้าของข้อมูลส่วนบุคคล" กฎหมายกำหนดให้ "ผู้ควบคุมข้อมูลส่วนบุคคล" มีหน้าที่ แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า (มาตรา 37 (4))
   
   
9. "ผู้ควบคุมข้อมูลส่วนบุคคล" มีหน้าที่จัดทำบันทึกรายการกิจกรรม เพื่อให้สำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้
   
   
10. "เจ้าของข้อมูลส่วนบุคคล" มีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่มีการฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA หรือ ประกาศฯ ที่ออกตาม PDPA ทั้งนี้ กระบวนการร้องเรียนเป็นไปตามระเบียบที่คณะกรรมการฯ ประกาศกำหนด (มาตรา 73)

4 เรื่องไม่จริงเกี่ยวกับ PDPA

1. การถ่ายรูป-ถ่ายคลิป ติดภาพคนอื่นโดยเจ้าตัวไม่ยินยอมจะผิด PDPA
   
   ตอบ กรณีการถ่ายรูป-ถ่ายคลิปโดยติดบุคคลอื่น โดยผู้ถ่ายรูป-ถ่ายคลิปไม่เจตนา และการถ่ายรูปถ่ายคลิปดังกล่าวไม่ได้ก่อให้เกิดความเสียหายกับผู้ถูกถ่าย สามารถทำได้ หากเป็นการใช้เพื่อวัตถุประสงค์ส่วนตัว
   
   
2. ถ้านำคลิปหรือรูปถ่ายที่ติดคนอื่นไปโพสต์ในโซเชียลมีเดียโดยบุคคลอื่นไม่ยินยอมจะผิด PDPA
   
   ตอบ สามารถโพสต์ได้ หากใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้แสวงหากำไรทางการค้าและไม่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล
   
   
3. ติดกล้องวงจรปิดแล้วไม่มีป้ายแจ้งเตือนผิด PDPA
   
   ตอบ การติดกล้องวงจรปิดภายในบ้าน ไม่จำเป็นต้องมีป้ายแจ้งเตือน หากเพื่อป้องกันอาชญากรรม และรักษาความปลอดภัยกับตัวเจ้าของบ้าน
   
   
4. เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้
   
   ตอบ ไม่จำเป็นต้องขอความยินยอม หากการใช้ข้อมูลดังกล่าว

(1) เป็นการทำตามสัญญา

(2) เป็นการใช้ที่มีกฎหมายให้อำนาจ

(3) เป็นการใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล

(4) เป็นการใช้เพื่อการค้นคว้าวิจัยทางสถิติ

(5) เป็นการใช้เพื่อประโยชน์สาธารณะ

(6) เป็นการใช้เพื่อปกป้องผลประโยชน์ หรือสิทธิของตนเอง

ทั้งนี้ หลักการข้างต้น อาจเปลี่ยนแปลงตามข้อเท็จจริงที่เกิดขึ้นเป็นกรณีๆ ไป

PDPA = พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

มาตรา 4 (1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บข้อมูลเพื่อประโยชน์ส่วนตน หรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น