PDPA กฎหมายฉบับสำคัญที่เริ่มบังคับใช้อย่างเต็มแบบรูปแบบเมื่อวันที่ 1 มิ.ย. 2565 แต่หลายคนยังเกิดความกังวลและสงสัยว่า PDPA ต้องทําอะไรบ้าง หากทำผิดกฎแล้วจะมีบทลงโทษอย่างไร ไทยรัฐออนไลน์สรุป PDPA เรื่องที่ควรรู้ ฉบับสั้นๆ เข้าใจง่ายมาฝาก
PDPA คืออะไร
PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล PDPA ย่อมาจาก Personal Data Protection Act ประกาศไว้ในราชกิจจานุเบกษา ตั้งแต่วันที่ 27 พฤษภาคม พ.ศ. 2562 ต่อมา PDPA บังคับใช้อย่างเต็มรูปแบบในวันที่ 1 มิถุนายน พ.ศ. 2565
กฎหมาย PDPA ถอดแบบมาจากกฎหมาย GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป เพื่อให้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในไทยเป็นไปตามมาตรฐานสากล ให้ภาครัฐ เอกชน ทั้งนิติบุคคลและบุคคลธรรมดา รวบรวม ใช้งาน หรือเปิดเผยข้อมูลอย่างถูกต้อง โปร่งใส เป็นการป้องกันและลดปัญหาการละเมิดข้อมูลส่วนบุคคล โดยที่ไม่ได้รับความยินยอมหรือแจ้งให้เจ้าของข้อมูลทราบมาก่อน
กฎหมาย PDPA คุ้มครองอะไรบ้าง
หลายคนอาจเกิดความสงสัยข้อมูลส่วนบุคคล PDPA มีอะไรบ้าง คุ้มครองอะไร คำตอบคือ กฎหมาย PDPA คุ้มครองข้อมูลส่วนบุคคล ที่เป็นข้อมูลพื้นฐานที่บ่งบอกถึงเจ้าของข้อมูลนั้นๆ ทั้งทางตรงและทางอ้อม ยกตัวอย่างเช่น
- ชื่อ-นามสกุล
- อีเมล
- เบอร์โทรศัพท์มือถือ
- ที่อยู่
- น้ำหนัก-ส่วนสูง
- เลขหนังสือเดินทาง (Passport)
- เลขใบอนุญาตขับขี่
- เลขบัตรประกันสังคม
- เลขประจำตัวประชาชน
- เลขบัญชีธนาคาร
- ทะเบียนรถ
- รหัสผ่าน
- ลายนิ้วมือ
- รูปภาพ
- ใบขับขี่
- ทะเบียนบ้าน
- Username
- IP address
- ตำแหน่ง GPS
...
นอกจากนี้ยังมีข้อมูลส่วนตัวที่มีความละเอียดอ่อน อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ที่จะต้องรวบรวม ใช้ และเปิดเผยอย่างระมัดระวัง เนื่องจากอาจส่งผลกระทบต่อเจ้าของข้อมูลในหลายๆ ด้าน ดังนี้
- ความคิดเห็นทางการเมือง
- ความเชื่อในลัทธิ
- ศาสนา
- เชื้อชาติ
- เผ่าพันธุ์
- พฤติกรรมทางเพศ
- ความพิการ
- ประวัติอาชญากรรม
- ข้อมูลสุขภาพ
- ข้อมูลพันธุกรรม
- ข้อมูลสหภาพแรงงาน
- ข้อมูลชีวภาพ เช่น ลายนิ้วมือหรือข้อมูลม่านตา
กฎหมาย PDPA ฉบับเต็ม เจ้าของข้อมูลมีสิทธิอะไรบ้าง
ตามกฎหมาย PDPA กำหนด เจ้าของข้อมูลมีสิทธิเกี่ยวกับข้อมูลส่วนบุคคลของตัวเอง ดังนี้
- สิทธิในการได้รับการแจ้งให้ทราบ
- สิทธิในการเข้าถึงข้อมูล
- สิทธิในการขอให้โอนข้อมูล
- สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
- สิทธิในการลบหรือขอให้ทำลายข้อมูลส่วนบุคคล
- สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
- สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล
กฎหมาย PDPA ต้องทําอะไรบ้าง
ในเบื้องต้น สำหรับองค์กรหรือเจ้าของกิจการที่ต้องรวบรวมข้อมูลส่วนบุคคลของลูกค้า แนะนำให้ปฏิบัติตามข้อแนะนำ ดังนี้
1. สร้างนโยบายความเป็นส่วนตัว เพื่อชี้แจงรายละเอียดและขอรับความยินยอมในการเก็บข้อมูลส่วนบุคคลในเบื้องต้น
2. ระบุวัตถุประสงค์ของการใช้ข้อมูลอย่างชัดเจน
3. การใช้งานข้อมูลส่วนบุคคล จะต้องใช้งานโดยผ่านการยินยอมจากเจ้าของ และไม่เปิดเผยข้อมูลยังสาธารณะ
4. จัดเก็บข้อมูลด้วยระบบมาตรฐาน เพื่อป้องกันข้อมูลรั่วไหลสู่ภายนอก
5. กรณีที่จะต้องจัดส่งข้อมูลหรือย้ายข้อมูลให้กับองค์กรอื่นจะต้องดำเนินการตามกฎหมาย PDPA ฉบับเต็ม
PDPA ต้องใช้เอกสารอะไรบ้าง
องค์กร เจ้าของกิจการ ทั้งภาครัฐและเอกชนที่จะต้อง แนะนำให้เตรียมเอกสารเบื้องต้น เช่น เอกสารนโยบายความเป็นส่วนตัว, เอกสารนโยบายความเป็นส่วนตัวฝ่ายบุคคล, เอกสารการเข้าชมเว็บไซต์, สัญญาประมวลผลข้อมูลส่วนบุคคลระหว่างกัน
อย่างไรก็ดี ในแต่ละบริษัทหรือองค์กรเอกสารอาจจะต้องเตรียมเอกสารสำคัญอื่นๆ เพิ่มเติม แนะนำให้ศึกษาเกี่ยวกับ พ.ร.บ. PDPA ในธุรกิจหรือองค์กรของตนเองอย่างละเอียด เพื่อให้เป็นไปตามแนวทางที่กฎหมายกำหนด
...
PDPA สําคัญอย่างไร
PDPA เป็นกฎหมายให้ความสำคัญเรื่องสิทธิและข้อมูลส่วนบุคคล ดังนั้น เจ้าของข้อมูลจึงมีสิทธิที่จะเก็บข้อมูลส่วนบุคคล ยินยอมหรือปฏิเสธการให้ข้อมูลกับผู้อื่น รวมถึงแม้ว่าจะเก็บข้อมูลไปแล้ว ก็ยังมีสิทธิที่จะปฏิเสธการเก็บข้อมูลก่อนหน้า และขอให้ทำลายข้อมูลส่วนบุคคลได้
กฎหมาย PDPA มีผลบังคับใช้กับเจ้าของข้อมูลและผู้นำข้อมูลไปใช้ทุกคน ไม่ว่าจะเป็นภาครัฐหรือเอกชน ดังนั้น เหล่าผู้ประกอบการ เจ้าของธุรกิจ องค์กรต่างๆ หรือแม้กระทั่งบุคคลทั่วไป จึงจำเป็นจะต้องหาความหมาย ตระหนักถึงความสำคัญเพื่อให้สอดคล้องกับ พ.ร.บ. PDPA ที่กำหนดขึ้น
PDPA บทลงโทษมีอะไรบ้าง
หากไม่ปฏิบัติตาม พ.ร.บ. PDPA จะได้รับโทษทางแพ่ง อาญา และทางปกครอง ดังต่อไปนี้
โทษทางแพ่ง
กำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูล บางกรณีอาจจะต้องจ่ายค่าสินไหมทดแทน เพื่อการลงโทษ เพิ่มเติมสูงสุด 2 เท่าของค่าเสียหายจริง
โทษทางอาญา
กำหนดโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือโทษปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
โทษทางปกครอง
กำหนดโทษโทษปรับตั้งแต่ 1 ล้านบาท และไม่เกิน 5 ล้านบาท ทั้งนี้ หากเป็นการละเมิด เปิดเผย หรือจัดส่งข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนไปต่างประเทศ จะต้องรับโทษที่เกิดจากทางแพ่งและอาญาด้วย
PDPA มีผลย้อนหลังไหม
PDPA ถือเป็นกฎหมายใหม่ที่บังคับใช้เมื่อวันที่ 27 พฤษภาคม พ.ศ. 2562 ดังนั้น จึงไม่มีผลย้อนหลัง
...
PDPA หรือ พ.ร.บ. PDPA เป็นกฎหมายสำคัญในการคุ้มครองข้อมูลส่วนบุคคลให้ปลอดภัย รวบรวม ใช้ หรือเปิดเผยด้วยความโปร่งใสตามมาตรฐานสากล ไม่ว่าจะภาครัฐหรือเอกชนทั้งนิติบุคคลและบุคคลธรรมดาจะต้องปฏิบัติตนตาม PDPA เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลหรือนำข้อมูลไปใช้ในทางที่ผิด