กฎหมาย PDPA

ข้อควรรู้ รายละเอียดเบื้องต้น (เวลาอ่าน 5 นาที)

กฎหมาย PDPA

กฎหมาย PDPA คืออะไร ?

“พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA)” ซึ่งเป็นกฎหมายที่ถูกสร้างมาเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลของทุกคน รวมถึงการจัดเก็บข้อมูลและนำไปใช้โดยไม่ได้แจ้งให้ทราบ และไม่ได้รับความยินยอมจากเจ้าของข้อมูลเสียก่อน

เพื่อสร้างความปลอดภัยและเป็นส่วนตัวให้แก่เจ้าของข้อมูล โดยมีสิทธิที่สำคัญคือ สิทธิการรับทราบและยิมยอมการเก็บข้อมูลส่วนตัว และสิทธิในการขอเข้าถึงข้อมูลส่วนตัว คัดค้านและเพิกถอนการเก็บและนำข้อมูลไปใช้ และสิทธิขอให้ลบหรือทำลายข้อมูลส่วนตัว

ข้อมูลส่วนบุคคล คืออะไรบ้าง

ข้อมูลส่วนบุคคลคือ ข้อมูลที่สามารถระบุตัวตนของเจ้าของข้อมูลได้ ไม่ว่าจะเป็นทางตรงหรือทางอ้อม โดยข้อมูลส่วนบุคคล แบ่งได้เป็น 2 ประเภท

  1. ข้อมูลส่วนบุคคลคนทั่วไป : ชื่อ-นามสกุล เลขบัตรประชาชน/หนังสือเดินทาง สัญชาติ เลขใบขับขี่ เบอร์มือถือ อีเมล ที่อยู่ ข้อมูลการแพทย์/การเงิน/การศึกษา ทะเบียนรถ/บ้าน โฉนดที่ดิน ส่วนสูง วันเดือนปีเกิด รวมถึงข้อมูลที่สามารถระบุตัวตนที่อยู่บนอินเตอร์เน็ต เช่น Username/Password IP address เป็นต้น
  2. ข้อมูลส่วนบุคคลที่มีความอ่อนไหว : เชื้อชาติ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา พฤติกรรม/รสนิยมทางเพศ ประวัติอาชญากรรม ข้อมูลด้านสุขภาพที่อ่อนไหว(ความพิการ โรคประจำตัว ใบรับรองแพทย์ ข้อมูลทางพันธุกรรม) ข้อมูลด้านชีวภาพ(ลายนิ้วมือ ข้อมูลม่านตา แบบจำลองใบหน้า)

การจัดเก็บข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นเรื่องที่สำคัญมาก เพราะเป็นข้อมูลที่ละเอียดอ่อน ซึ่งอาจทำให้ความเสียหายให้แก่เจ้าของข้อมูลได้ หากข้อมูลส่วนตัวของท่านรั่วไหล ให้ปรึกษาหรือจ้างทนายความให้ช่วยเหลือคุณ

การเก็บรักษาข้อมูลส่วนบุคคลและสิ่งที่ต้องทำ 

บุคคลที่ต้องปฎิบัติตามกฎหมาย PDPA ประกอบด้วย เจ้าของข้อมูลส่วนบุคคล และผู้ควบคุมข้อมูลส่วนบุคคล โดยผู้ควบคุมข้อมูลส่วนบุคคลนั้นเปรียบเสมือนผู้ดูแลระบบ เป็นฝ่ายปฏิบัติงาน มีหน้าที่เก็บรวบรวม และนำข้อมูลส่วนบุคคลที่ขอความยินยอม จากเจ้าของข้อมูลไปใช้

หากองค์กรต้องการเก็บข้อมูลส่วนบุคคล สามารถแจ้งในรูปแบบ “นโยบายข้อมูลส่วนตัว” โดยจะต้องแจ้งว่า ต้องการเก็บข้อมูลนั้นไปเพื่ออะไร และแจ้งสิทธิเจ้าของข้อมูลส่วนตัวที่จะสามารถถอนความยินยอมได้ทุกเมื่อ 

มาตรฐานการการรักษาข้อมูลส่วนบุคคลขั้นต่ำ ได้แก่ การรักษาความลับ ความถูกต้องครบถ้วน สภาพพร้อมใช้งาน การบริหารจัดการ การป้องกันทางเทคนิค และกายภาพ เช่นการจัดเก็บเอกสารที่มีข้อมูลส่วนตัว การเข้าถึงและการจัดเก็บข้อมูลส่วนบุคคล เพื่อป้องกันการเข้าถึงโดยผู้ไม่หวังดี 

การเก็บข้อมูลส่วนบุคคลเป็นเรื่องที่มีความสำคัญมาก หากท่านต้องการร่างนโยบายข้อมูลส่วนบุคคล ให้ปรึกษาหรือจ้างทนายความ หรือที่ปรึกษากฎหมายเพื่ออำนวยความสะดวกให้ท่าน

โทษของกฎหมาย PDPA

  • ความรับผิดทางแพ่ง : กรณีทางแพ่งจะนำเรื่อง ค่าสินไหมทดแทน ค่าสินไหมทดแทนเชิงลงโทษ เพื่อเป็นเยี่ยงอย่างไม่ให้เกิดการละเมิดอีก โดยจะอัตราโทษไม่เกิน 2 เท่าของความเสียหาย
  • ความรับผิดทางอาญา : หากใช้/เปิดเผยข้อมูลส่วนบุคคลที่อ่อนไหว โดยไม่ได้รับอนุญาตจากเจ้าของข้อมูลส่วนบุคคล
    • ทำให้เสียหาย ชื่อเสียง ถูกดูหมิ่น เกลียดชัง อับอาย ต้องระวางโทษ จำคุกไม่เกิน 6 เดือน หรือ ปรับไม่เกิน 500,000 บาท
    • แสวงหาประโยชน์ที่มิชอบด้วยกฎหมายของตัวเอง/ผู้อื่น ต้องระวางโทษ จำคุกไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1,000,000 บาท
    • *ใช้ความเป็นหน้าที่ตาม พ.ร.บ. ในการล่วงรู้ข้อมูลส่วนบุคคลแล้วนำไปเปิดเผย ต้องระวางโทษ จำคุกไม่เกิน 6 เดือน หรือ ปรับไม่เกิน 500,000 บาท ยกเว้นหากการเปิดเผยนั้น ทำตามหน้าที่ เป็นประโยชน์ต่อการสอบสวนพิจารณาคดี เปิดเผยแก่หน่วยงานรัฐหรือต่างประเทศที่มีอำนาจ ได้รับความยินยอมเป็นหนังสือจากเจ้าของ หรือเกี่ยวกับการฟ้องร้องคดีที่เผยตามสาธารณะ
  • ความรับผิดทางปกครอง : หากผู้ควบคุมข้อมูลส่วนบุคคล กระทำการต่อไปนี้ จะต้องระวางโทษ ปรับไม่เกิน 1,000,000 บาท
    • ไม่ขอความยินยอมให้ถูกต้อง
    • ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ
    • ไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ
    • ไม่จัดทำบันทึกรายการ
    • ไม่จัดทำให้มีเจ้าหน้าที่คุ้มครองข้อมูล
    • ไม่จัดให้มีการสนับสนุนการปฏิบัติงานของ DPO
  • ถ้าผู้ควบคุมข้อมูลส่วนบุคคล กระทำการต่อไปนี้ จะต้องระวางโทษ ปรับไม่เกิน 3,000,000 บาท
    • เก็บรวบรวม ใช้ เปิดเผยข้อมูลโดยปราศจากฐานกฎหมาย
    • ไม่ได้แจ้งวัตถุประสงค์การใช้งานใหม่
    • เก็บข้อมูลเกินความจำเป็น
    • ใช้ข้อความยินยอมหลวกลวงให้เข้าใจผิด
    • ไม่จัดการให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม
    • ไม่แจ้งเหตุเมื่อมีการละเมิดข้อมูล
    • โอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
    • ไม่ตั้งตัวแทนในประเทศ
  • ถ้าผู้ควบคุมข้อมูลส่วนบุคคล เก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย จะต้องระวางโทษ ปรับไม่เกิน 5,000,000 บาท

การร้องเรียนของคดี PDPA กรณีไม่เลือกที่จะขึ้นศาล

สิ่งที่ต้องแจ้งกับเจ้าของข้อมูลส่วนบุคคล

  • แจ้งว่าจะเก็บข้อมูลส่วนบุคคลอะไรบ้าง
  • แจ้งว่าจะนำข้อมูลส่วนบุคคลนี้ไปทำอะไร เพื่ออะไร และจะไม่ใช้ไปทำอย่างอื่นนอกจากที่แจ้ง
  • แจ้งสิทธิเจ้าของข้อมูลส่วนบุคคลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เช่นสิทธิเพิกถอน สิทธิขอเข้าถึง สิทธิขอแก้ไข สิทธิขอให้ลบ สิทธิขอโอนย้าย สิทธิคัดค้านประมวลผล สิทธิในการขอระงับการประมวลผล 
  • แจ้งการจัดเก็บข้อมูลส่วนบุคคลในรูปแบบอะไร อย่างไร
  • แจ้งวิธีการเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
  • หรือรายละเอียดอื่นๆก็สามารถแจ้งได้เช่นกันเพื่อให้เจ้าของข้อมูลส่วนบุคคลเชื่อมั่นมากขึ้น เช่น มีผู้ควบคุมข้อมูลส่วนบุคคลกี่ท่าน การส่งต่อข้อมูลส่วนบุคคลให้บุคคลอื่นที่มีหน้าที่ หรือ ภาษาที่ใช้ อื่นๆ

รู้หรือไม่ เรื่อง PDPA 

  • นักข่าว สื่อมวลชน มาทำข่าวเพื่อสาธารณชน การนำข้อมูลของบุคคลอื่นมาเสนอข่าว ไม่เป็นการละเมิด เพราะข่าวนั้นนำมาเพื่อประโยชน์สาธารณะ
  • หากท่านใดต้องการติดกล้องวงจรปิดในตำแหน่งที่สามารถบันทึกบุคคลอื่นที่เข้ามาหรือผ่านอาคารบ้านเรือนของท่าน ท่านต้องติดป้ายให้บุคคลอื่นทราบว่ามีบริเวณนี้กล้องวงจรปิด เพื่อแจ้งสิทธิและการใช้กล้องวงจรปิดอย่างถูกต้องตาม พ.ร.บ นี้
  • พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่ค่อนข้างใหม่ จึงยังไม่มีคำพิพากษาศาลฎีกาที่เป็นบรรทัดฐา การพิจารณาคดีต้องใช้เวลาและการพิจารณาสูง

แหล่งอ้างอิง

  • สรุป PDPA คืออะไร ฉบับเข้าใจง่าย พร้อมแนะแนว (2022) https://pdpa.pro/. Available at: https://pdpa.pro/blogs/in-summary-what-is-pdpa (Accessed: 14 July 2023). 
  • Easy Company Group (2021) PDPA คืออะไร? – สรุป PDPA เกี่ยวกับธุรกิจที่คุณควรรู้! ฉบับเข้าใจง่าย, easypdpa. Available at: https://easypdpa.com/article/easypdpa-summary-what-is-pdpa (Accessed: 20 July 2023). 
  • Easy Company Group (2021) โทษปรับสุดโหด หากคุณยังไม่มี Privacy Policyeasypdpa. Available at: https://easypdpa.com/article/severe-fine-if-you-dont-have-a-privacy-policy (Accessed: 20 July 2023). 
  • สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (no date) FAQ เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (PDPA), pp. 1–7. Available at: https://www.dga.or.th/wp-content/uploads/2022/10/1.FAQ-เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล-(PDPA).pdf (Accessed: 20 July 2023).
  • โทษปรับสุดโหด หากคุณยังไม่มี Privacy Policy (2022) openpdpa. Available at: https://openpdpa.org/7-data-subject-rights-5-things-business-have-to-done-before-pdpa-use/ (Accessed: 20 July 2023).