PDPA (Personal Data Protection Act) คือ พระราชบัญญัติ หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่ก่อนหน้านี้มีผลใช้บังคับแล้วบางหมวด บางมาตรา และกำลังจะมีผลใช้บังคับทั้งหมดในวันที่ 1 มิถุนายนนี้ ซึ่งนับเป็นการเปลี่ยนผ่านสำคัญเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของแต่ละคน ตั้งแต่การมอบข้อมูล และการบริหารจัดการข้อมูลส่วนบุคคลของตัวเอง ที่อยู่ในมือของคนอื่นอย่างเต็มที่ เพื่อปกป้องสิทธิของตนไม่ให้ถูกละเมิดสิทธิส่วนตัว

PDPA เกี่ยวข้องกับใครบ้าง

มาตรา 5 ระบุไว้สรุปว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ใช้กับการประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย ไม่ว่าจะมีสัญชาติใดก็ตาม

มาตรา 6 ระบุถึงบุคคลที่เกี่ยวข้องไว้ดังนี้ 

  • ข้อมูลส่วนบุคคล หมายความถึง ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าจะเป็นทางตรง หรือทางอ้อม เช่น ชื่อ ที่อยู่ ข้อมูลสถานที่ หมายเลขประจำตัว แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
  • ผู้ควบคุมข้อมูลส่วนบุคคล หมายความถึง บุคคล หรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • ผู้ประมวลผลข้อมูลส่วนบุคคล หมายความถึง บุคคล หรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำส่ัง หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งน้ี บุคคล หรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลตาม PDPA มีอะไรบ้าง

ตามมาตรา 21 ระบุไว้สรุปว่า ต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเราไว้ก่อน หรือในขณะเก็บรวบรวม โดยห้ามใช้นอกเหนือจากวัตถุประสงค์ที่แจ้งไว้ เว้นแต่ได้แจ้งให้เจ้าของข้อมูลทราบ และได้รับความยินยอม

...

มาตรา 22 ผู้ควบคุมข้อมูลส่วนบุคคล ต้องเก็บรวบรวมข้อมูลส่วนบุคคลของเราเท่าที่จำเป็น ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย คือการใช้ข้อมูลของเราให้น้อยที่สุด

มาตรา 24 มาตรา 25 เป็นเรื่องความยินยอมในการเก็บข้อมูลของเจ้าของข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคลที่ห้ามเก็บรวบรวม ตาม PDPA มีอะไรบ้าง

มาตรา 26 ระบุไว้ว่า ห้ามมิให้เก็บรวบรวมข้อมูลส่วนบคุคลเกี่ยวกับเชื้อชาติเผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน ตามที่คณะกรรมการประกาศกำหนด โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล แต่มีข้อยกเว้น เช่น เพื่อป้องกัน หรือระงับอันตรายต่อชีวิต สุขภาพ ร่างกาย หรือดำเนินการโดยชอบด้วยกฎหมาย เป็นต้น

สิทธิของเจ้าของข้อมูลส่วนบุคคล ตาม PDPA

สรุปข้อความจากมาตราต่างๆ ที่เกี่ยวข้องใน  PDPA ดังนี้ 

  • มาตรา 19 วรรค 4 ในการขอความยินยอม ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคล คือต้องไม่มีสภาพบังคับในการให้ หรือไม่ให้ข้อมูล
  • มาตรา 19 วรรค 5 ระบุว่า สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้
  • มาตรา 23 ระบุว่า สิทธิได้รับการแจ้งให้ทราบรายละเอียด
  • มาตรา 30 สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน
  • มาตรา 31 (1) สิทธิขอให้โอนข้อมูลส่วนบุคคล
  • มาตรา 32 สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • มาตรา 33 สิทธิขอให้ลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคล เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
  • มาตรา 34 สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
  • มาตรา 35 สิทธิขอให้แก้ไขข้อมูลส่วนบุคคลให้ถูกต้องเป็นปัจจุบัน สมบูรณ์ ไม่ก่อให้เกิดความเข้าใจผิด
  • มาตรา 73 สิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ ในกรณีที่มีการฝ่าฝืน หรือไม่ปฏิบัติตาม PDPA หรือประกาศที่ออกตาม PDPA โดยกระบวนการร้องเรียนเป็นไปตามระเบียบคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

ถ่ายรูป ถ่ายคลิป ติดคนอื่นผิด PDPA หรือไม่

นอกจากข้อมูลตาม พ.ร.บ. PDPA ดังกล่าวแล้ว ยังมีประเด็นที่ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้ชี้แจงเพิ่มเติมผ่านเฟซบุ๊ก ดังนี้

1. กรณีการถ่ายรูป หรือถ่ายคลิปโดยติดบุคคลอื่น สามารถทำได้ หากผู้ถ่ายรูป หรือ ถ่ายคลิปไม่เจตนา และไม่ได้ก่อให้เกิดความเสียหายกับผู้ถูกถ่าย และเป็นการใช้เพื่อวัตถุประสงค์ส่วนตัว

2. ถ้านำคลิป หรือรูปถ่ายที่ติดคนอื่นไปโพสต์ในโซเชียลมีเดีย โดยบุคคลอื่นไม่ยินยอมจะผิด PDPA หรือไม่ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ระบุว่า สามารถโพสต์ได้ หากใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้แสวงหากำไรทางการค้า และไม่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล

3. ติดกล้องวงจรปิดแล้วไม่มีป้ายแจ้งเตือนผิด PDPA หรือไม่ คำตอบคือ การติดกล้องวงจรปิดภายในบ้าน ไม่จำเป็นต้องมีป้ายแจ้งเตือน หากติดเพื่อป้องกันอาชญากรรม และรักษาความปลอดภัยกับตัวเจ้าของบ้าน

4. เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้หรือไม่ คำตอบคือ ไม่จำเป็นต้องขอความยินยอม หากการใช้ข้อมูลดังกล่าว

  • เป็นการทำตามสัญญา
  • เป็นการใช้ที่มีกฎหมายให้อำนาจ
  • เป็นการใช้เพื่อรักษาชีวิตและ/หรือร่างกายของบุคคล
  • เป็นการใช้เพื่อการค้นคว้าวิจัยทางสถิติ
  • เป็นการใช้เพื่อประโยชน์สาธารณะ
  • เป็นการใช้เพื่อปกป้องผลประโยชน์ หรือสิทธิของตนเอง

โดยหลักการข้างต้นอาจเปลี่ยนแปลงตามข้อเท็จจริงที่เกิดขึ้นเป็นกรณีๆ ไป

อ้างอิงข้อมูล: สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC Thailand) และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

...