PDPA (Personal Data Protection act B.E.2562 (2019) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่ถูกกำหนดขึ้นเพื่อคุ้มครองสิทธิและความปลอดภัยของเจ้าของข้อมูลส่วนบุคคล  หากมีการเปิดเผย ใช้ดัดแปลง ถ่ายโอนข้อมูลของเจ้าของข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือทำผิดจุดประสงค์ในการตกลงร่วมกัน เจ้าของข้อมูลส่วนบุคคลนั้นก็จะสามารถร้องเรียนเพื่อเอาผิดได้ 

PDPA Thailand หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ได้ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และปัจจุบันได้ถูกเลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้

PDPA ถือเป็นกฎหมายใหม่และเรื่องใหม่ ที่ทุกคนควรทราบและตระหนักรู้ถึงสิทธิในข้อมูลส่วนบุคคลของเรา โดยเฉพาะอย่างยิ่งองค์กรธุรกิจต่างๆ ที่มีการเก็บข้อมูลส่วนบุคคลของลูกค้า ของผู้ใช้งาน หรือพนักงานในองค์กร

กฎหมาย PDPA ฉบับนี้ มีบทบาทสำคัญในการคุ้มครองและให้สิทธิกับเจ้าของข้อมูลส่วนบุคคล รวมถึงได้สร้างมาตรฐานใหม่ให้เกิดขึ้นกับบุคคลหรือนิติบุคคลในการเก็บรวบรวมข้อมูล และใช้ข้อมูล หรือเพื่อการเปิดเผยข้อมูลส่วนบุคคลที่จะต้องปฏิบัติตามกฎหมายฉบับนี้ หากผู้ใดหรือองค์กรใดไม่ปฏิบัติตามนั้น มีโทษทั้งทางแพ่ง โทษทางอาญา และโทษทางปกครอง


ข้อมูลส่วนบุคคลภายใต้การคุ้มครองของ PDPA แบ่งออกเป็น

ข้อมูลส่วนบุคคลทั่วไป  ได้แก่ ชื่อ-นามสกุล เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่ ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์ ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง ตลอดจนข้อมูลบนอื่นๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password,  Cookies IP address,  GPS Location

ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data)  ซึ่งส่วนนี้ต้องระวังการใช้ข้อมูลมากเป็นพิเศษ เพราะเป็นข้อมูลที่อาจส่งผลกระทบต่อเจ้าของข้อมูล ได้แก่ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

ผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลภายใต้กฎหมาย PDPA ประกอบไปด้วย

เจ้าของข้อมูลส่วนบุคคล (Data Subject) ซึ่งหมายถึงข้อมูลที่อยู่ในตัวหรือเกี่ยวข้องเชื่อมโยงไปถึงบุคคลคนนั้น

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ คน บริษัทหรือองค์กรต่างๆ  ที่เป็นคนตัดสินใจว่าจะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ คน บริษัทหรือองค์กรต่างๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง

บทลงโทษหากไม่ปฏิบัติตาม PDPA

โทษทางอาญา : จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
โทษทางแพ่ง : ค่าสินไหมทดแทน+ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่าโทษทางปกครอง : ปรับไม่เกิน 1 หรือ 3 หรือ 5 ล้านบาท

สิ่งที่ต้องรู้ เมื่อบังคับใช้กฎหมาย PDPA 1 มิถุนายน 2565

"ข้อมูลส่วนบุคคล" คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมแต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมเฉพาะ เช่น ชื่อ ที่อยู่ หมายเลขประจำตัว ข้อมูลสุขภาพ ฯลฯ (มาตรา 6)

"ผู้ควบคุมข้อมูลส่วนบุคคล" ต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเอาไว้ก่อนหรือในขณะเก็บรวบรวม (ห้ามใช้นอกเหนือวัตถุประสงค์) (มาตรา 21 )  "ผู้ควบคุมข้อมูลส่วนบุคคล" ต้องเก็บรวบรวมข้อมูลส่วนบุคคลของเราเท่าที่จำเป็น ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย (มาตรา 22) ใช้ข้อมูลของเราให้น้อยที่สุด

"ความยินยอม" เป็นฐานการประมวลผลฐานหนึ่งเท่านั้น "ผู้ควบคุมข้อมูลส่วนบุคคล" มีหน้าที่ในการกำหนดฐานการประมวลผลให้สอดคล้องกับลักษณะการประมวลผลและความสัมพันธ์ระหว่าง "ผู้ควบคุมข้อมูล" กับ "เจ้าของข้อมูลส่วนบุคคล" (ตามมาตร 24 หรือ มาตรา 26) 

ในการขอความยินยอม "ผู้ควบคุมข้อมูลส่วนบุคคล" จะต้องคำนึงอย่างที่สุดในความเป็นอิสระของ "เจ้าของข้อมูลส่วนบุคคล" (ต้องไม่มีสภาพบังคับในการให้หรือไม่ให้) (มาตรา 19 วรรคสี่)

"เจ้าของข้อมูลส่วนบุคคล" มีสิทธิต่างๆ ดังนี้
สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้ (มาตรา 19 วรรคห้า)
สิทธิได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice) (มาตรา 23)
สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล (มาตรา 30)
สิทธิขอให้โอนข้อมูลส่วนบุคคล (มาตรา 31)
สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล (มาตรา 32)
สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (มาตรา 34)
สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล (มาตรา 34)
สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล (มาตรา 35)

กฎหมาย PDPA ให้กับการประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย ไม่ว่าจะมีสัญชาติใดก็ตาม (มาตรา 5)
ในกรณีที่เหตุการละเมิด "ข้อมูลส่วนบุคคล" มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของ "เจ้าของข้อมูลส่วนบุคคล" กฎหมายกำหนดให้ "ผู้ควบคุมข้อมูลส่วนบุคคล" มีหน้าที่ แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า (มาตรา 37(4))

"ผู้ควบคุมข้อมูลส่วนบุคคล" มีหน้าที่จัดทำบันทึกรายการกิจกรรม เพื่อให้สำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้

"เจ้าของข้อมูลส่วนบุคคล" มีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่มีการฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA หรือ ประกาศฯ ที่ออกตาม PDPA ทั้งนี้ กระบวนการร้องเรียนเป็นไปตามระเบียบที่คณะกรรมการฯ ประกาศกำหนด (มาตรา 73)

ข้อมูลจาก : PDPA Thailand
เรียบเรียง : ณัฐปภัสร์ วิทยาปกรณ์