กฎหมาย PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เริ่ม 1 มิ.ย. 65 กสทช.กำชับผู้ให้ปฏิบัติตามเคร่งครัด

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ซึ่งย่อมาจากคำว่า Personal Data Protection Act B.E. 2562 (2019) ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 หลังจากที่ถูกเลื่อนออกมาให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้

PDPA  ย่อมาจาก คำว่า Personal Data Protection Act B.E. 2562 (2019) กฎหมายว่าด้วยการให้สิทธิกับเจ้าของข้อมูลส่วนบุคคล การสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้อย่างถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต

โดยหลักเกณฑ์หลักๆ คือ ต้องขอความยินยอมจาก “เจ้าของข้อมูล” ก่อนการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลเสมอ

เนื่องจากเป็นกฎหมายใหม่ก่อนมีผลบังคับใช้ เรามาทำความรู้จักเกี่ยวกับกฎหมายฉบับใหม่นี้กัน ดังนี้

1. “ข้อมูลส่วนบุคคล” คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมแต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมเฉพาะ (มาตรา 6)

ข้อมูลแบบไหนที่ถือเป็น “ข้อมูลส่วนบุคคล”

สำหรับ ข้อมูลส่วนบุคคล ตาม PDPA หมายถึงข้อมูลที่เกี่ยวกับบุคคลที่ทำให้ระบุตัวบุคคลได้ ทั้งทางตรงและทางอ้อม เช่น

• เลขประจำตัวประชาชน ชื่อ-นามสกุล
• ที่อยู่
• เบอร์โทรศัพท์
• อีเมล
• ข้อมูลทางการเงิน
• เชื้อชาติ
• ศาสนาหรือปรัชญา
• พฤติกรรมทางเพศ
• ประวัติอาชญากรรม
• ข้อมูลสุขภาพ

ทั้งนี้ ข้อมูลผู้ถึงแก่กรรม ข้อมูลนิติบุคคล ไม่เป็นข้อมูลส่วนบุคคลตามกฎหมายนี้

2. “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคล ที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมหรือ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเอาไว้ก่อนหรือในขณะ

เก็บรวบรวม (ห้ามใช้นอกเหนือวัถตุประสงค์) (มาตรา 21 )

3. “เจ้าของข้อมูลส่วนบุคคล” มีสิทธิต่าง  ๆ ดังนี้

• สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้ (มาตรา 19 วรรคห้า)
• สิทธิได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice) (มาตรา 23)
• สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล (มาตรา 30)
• สิทธิขอให้โอนข้อมูลส่วนบุคคล (มาตรา 31)
• สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล (มาตรา 32)
• สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (มาตรา 34)
• สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล (มาตรา 34)
• สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล (มาตรา 35)

ซึ่งกฎหมาย PDPA ให้กับการประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย ไม่ว่าจะมีสัญชาติใดก็ตาม (มาตรา 5)

และในกรณีที่เหตุการละเมิด “ข้อมูลส่วนบุคคล” มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของ “เจ้าของข้อมูลส่วนบุคคล” กฎหมายกำหนดให้ “ผู้ควบคุมข้อมูลส่วนบุคคล” มีหน้าที่ แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า (มาตรา 37)

PDPA มีประโยชน์อะไรบ้าง ?

ระดับประชาชน

– รับทราบวัตถุประสงค์ของการจัดเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลอย่างแจ้งชัด

– ขอให้ลบ ทําลาย หรือขอให้ระงับการใช้ข้อมูลส่วนบุคคลได้

– สามารถร้องเรียนและขอให้ชดใช้ค่าสินไหมทดแทน หากมีการใช้ข้อมูลฯนอกเหนือจากวัตถุประสงค์ที่แจ้งไว้แต่แรก

– ลดความเดือดร้อนรําคาญ หรือความเสียหายอันเกิดจากการละเมิดข้อมูลส่วนบุคคล

ระดับหน่วยงานรัฐและเอกชน

– ยกระดับความเชื่อมั่นในมาตรฐานการจัดเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล ในระดับนานาชาติ

– มีขอบเขตในการจัดเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลที่ชัดเจน

– มีการดําเนินการเกี่ยวกับข้อมูลส่วนบุคคลมีความโปร่งใส รับผิดชอบต่อสังคม ตรวจสอบได้

ระดับประเทศ

– มีมาตรการในการกํากับดูแลการคุ้มครองข้อมูลส่วนบุคคล ส่งเสริมภาพลักษณ์ที่ดีของประเทศ

– มีเครื่องมือในการกํากับการดําเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคล

– สามารถตรวจสอบการดําเนินงานภาครัฐและภาคธุรกิจ เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลให้มีความถูกต้องเหมาะสม

ธุรกิจต่างๆ จะอยู่ฐานะของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งจำเป็นต้องปฏิบัติตามเงื่อนไขในการจัดการข้อมูลส่วนบุคคลของลูกค้าที่มีอยู่ให้ไม่ละเมิดสิทธิของลูกค้า และได้รับความยินยอมตามกฎหมายก่อน

ขอความยินยอมจากเจ้าของข้อมูลหรือลูกค้า ต้องทำอย่างไร ?

– ต้องได้รับความยินยอมก่อน หรือขณะเก็บข้อมูลส่วนบุคคล

– ต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำผ่านระบบอิเล็กทรอนิกส์

– ต้องแจ้งวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

– ต้องแยกส่วน ใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวง

– มีความเป็นอิสระในการให้ความยินยอม

– ถอนความยินยอมเมื่อใดก็ได้ เว้นแต่มีข้อจำกัดสิทธิ

ฝ่าฝืน PDPA มีบทลงโทษ อย่างไร ?

โทษทางแพ่ง

ค่าสินไหมทดแทนจากความเสียหายที่ได้รับจริง และศาลสั่งลงโทษเพิ่มขึ้นได้ไม่เกิน 2 เท่าของสินไหมทดแทน

โทษทางปกครอง

– ไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ไม่ให้เจ้าขอข้อมูลเข้าถึงตามสิทธิ ฯลฯ ปรับไม่เกิน 1 ล้านบาท

– เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ปรับไม่เกิน 3 ล้านบาท

– เก็บรวบรวม ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลอ่อนไหว โดยไม่ชอบด้วยกฎหมาย ปรับไม่เกิน 5 ล้านบาท

โทษอาญา

– ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสีย ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท

– เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น จำคุก ไม่เกิน 1 ปี หรือปรับไม่เกิน  1 ล้านบาท

– ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ ตาม พ.ร.บ. นี้ ห้ามนำไปเผยแพร่แก่ผู้อื่น (เว้นแต่มีอำนาจหน้าที่ตามกฎหมาย) จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท

ทั้งนี้ในกรณีที่ผู้กระทำความผิด เป็นนิติบุคคล หากกรรมการผู้จัดการ หรือบุคคลที่ได้รับผิดชอบ สั่งการหรือกระทำหรือละเว้นไม่สั่งการหรือไม่กระทำ จนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ต้องรับโทษในคดีอาญานั้นไว้ด้วย

ติดตามเพจเพื่อรับข่าวสารไอที ทันเทคโนโลยี ได้ที่ เพจ : https://web.facebook.com/iTEPiT

ที่มา: bangkokbiznews.com , easypdpa.com , thansettakij.com , สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล