พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA)

Personal Data Protection Act (PDPA)

Personal Data Protection Act (PDPA)

เป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต

โดย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมาย ที่ได้ประกาศไว้ในราชกิจจานุเบกษา เมื่อวันที่ 27 พฤษภาคม 2562 และปัจจุบันได้ถูกเลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565

ข้อมูลส่วนบุคคล คืออะไร?

ข้อมูลส่วนบุคคล (Personal Data) คือ ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ทั้งทางตรงหรือทางอ้อม แต่จะไม่นับรวมข้อมูลของผู้ที่เสียชีวิตไปแล้ว

ข้อมูลส่วนบุคคล ได้แก่ ชื่อ-นามสกุล หรือชื่อเล่น / เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต (การเก็บเป็นภาพสำเนาบัตรประชาชนหรือสำเนาบัตรอื่น ๆ ที่มีข้อมูลส่วนบุคคลที่กล่าวมา ย่อมสามารถใช้ระบุตัวบุคคลได้โดยตัวมันเอง จึงถือเป็นข้อมูลส่วนบุคคล)

ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data)

นอกจากนี้ยังมีข้อมูลส่วนบุคคลอีกประเภท ที่ พ.ร.บ. ฉบับนี้ให้ความสำคัญ และมีบทลงโทษที่รุนแรง กรณีเกิดการรั่วไหลสู่สาธารณะ ได้แก่ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ได้แก่ ข้อมูล เชื้อชาติ, เผ่าพันธุ์, ความคิดเห็นทางการเมือง, ความเชื่อในลัทธิ ศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต, ข้อมูลสหภาพแรงงาน, ข้อมูลพันธุกรรม, ข้อมูลชีวภาพ, ข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกัน ตามที่คณะกรรมการประกาศกำหนด

สาเหตุเหตุที่ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน มีบทลงโทษรุนแรงกว่าข้อมูลส่วนบุคคลทั่วไป

เพราะหากข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน มีการรั่วไหลไปสู่สาธารณะแล้ว จะเกิดผลเสียที่ร้ายแรงกับผู้เป็นเจ้าของข้อมูลส่วนบุคคล ได้มากกว่าข้อมูลส่วนบุคคลอื่น ๆ มีผลต่อสิทธิเสรีภาพของบุคคล เช่น สิทธิเสรีภาพในความคิด ความเชื่อทางศาสนา การแสดงออก การชุมนุม สิทธิในชีวิตร่างกาย การอยู่อาศัย การไม่ถูกเลือกปฏิบัติ ซึ่งอาจก่อให้เกิดการแทรกแซง ซึ่งสิทธิเสรีภาพ และการเลือกปฏิบัติต่อการใช้สิทธิเสรีภาพของบุคคล ได้มากกว่าข้อมูลส่วนบุคคลทั่วไป

ยกตัวอย่างเช่น ข้อมูลพฤติกรรมทางเพศ เชื่อชาติ ศาสนา ประวัติอาชญากรรม หากรั่วไหลไปแล้ว ข้อมูลเหล่านี้จะนำมาสู่ความเป็นอคติ และจะมีผลกระทบต่อชีวิตส่วนบุคคล ได้มากกว่าข้อมูลทั่วไปเป็นอย่างมาก

ขอบคุณข้อมูล: t-reg knowledge

ใครบ้างที่เกี่ยวข้องกับข้อมูลส่วนบุคคล?

ผู้มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล ตามกฎหมาย PDPA แบ่งออกได้ 3 ประเภท ได้แก่

ขอบคุณข้อมูล: t-reg knowledge

จะรวบรวม ใช้ หรือเปิดเผย ข้อมูลฯได้เมื่อใด?

ผู้ควบคุมข้อมูลส่วนบุคคล สามารถรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลได้ ก็ต่อเมื่อได้รับคำยินยอม (Consent) จากเจ้าของข้อมูล

บุคคลธรรมดา หรือนิติบุคคล หากมีการเก็บรวบรวมข้อมูลส่วนบุคคลไว้ หรือมีการนำข้อมูลส่วนบุคคลไปใช้ หรือเปิดเผย ไม่ว่าจะวัตถุประสงค์ใดก็ตาม จำเป็นต้องได้รับคำยินยอม (Consent) จากเจ้าของข้อมูล

ข้อยกเว้นสำหรับข้อมูลส่วนบุคคลทั่วไป (Personal Data)

ข้อยกเว้นสำหรับข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data)

ขอบคุณข้อมูล: t-reg knowledge

หากฝ่าฝืนจะมีบทลงโทษอะไรบ้าง?

หากไม่ปฏิบัติตาม PDPA บทลงโทษมี 3 ประเภท ได้แก่

ตัวอย่าง: หากศาลตัดสิน ให้ผู้ควบคุมข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคล เป็นจำนวน 1 แสนบาท ศาลอาจมีคำสั่งกำหนดค่าสินไหม เพื่อการลงโทษเพิ่มอีก 2 เท่าของค่าเสียหายจริง กล่าวคือ ต้องจ่ายค่าปรับทั้งหมด เป็นจำนวนเงิน 3 แสนบาท

ในกรณีผู้กระทำความผิด เป็นบริษัท (นิติบุคคล) ผู้บริหาร, กรรมการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของบริษัทนั้น ๆ ต้องได้รับการลงโทษจำคุก

ขอบคุณข้อมูล: t-reg knowledge

สรุปความสำคัญของ PDPA

จะเห็นได้ว่า PDPA (กฎหมายคุ้มครองข้อมูลส่วนบุคคล) กำหนดขึ้นเพื่อคึ้มครองสิทธิ์ของเจ้าของข้อมูล ว่าข้อมูลส่วนตัวของเขาจะปลอดภัย ถูกนำไปใช้อย่างถูกต้องเหมาะสม ตามความต้องการและยินยอมของเจ้าของข้อมูลอย่างแท้จริง

อย่างไรก็ตาม เจ้าของข้อมูล ควรพิจารณาอย่างรอบคอบเช่นกันว่า การให้ข้อมูลส่วนบุคคลในแต่ละครั้ง เป็นไปเพื่อวัตถุประสงค์ที่กำหนด อย่างเพียงพอหรือไม่? หากมองว่ามีการให้ข้อมูลส่วนบุคคล ที่ไม่เกี่ยวข้องกับวัตถุประสงค์ของการขอข้อมูล เราสามารถปฏิเสธการให้ข้อมูลนั้นได้ เพื่อป้องกันการนำข้อมูลไปใช้ในทางที่ผิด หรือหาผลประโยชน์จากข้อมูลส่วนบุคคลของเรา

PDPA อาจส่งผลกระทบโดยตรง กับผู้เก็บข้อมูล ที่ต้องปฏิบัติตาม ผู้ควบคุมข้อมูลส่วนบุคคล จึงจำเป็นต้องกำหนดนโยบายความปลอดภัยของข้อมูลส่วนบุคคลภายในองค์กร ทั้งต้องให้ความรู้แก่บุคคลากรในองค์กร

ให้ชัดเจนในขอบเขตการเก็บรวบรวม การใช้ และการเผยแพร่ข้อมูลส่วนบุคคล มีระบบการจัดเก็บข้อมูลส่วนบุคคลที่ปลอดภัย มีการจำกัดการเข้าถึงข้อมูลส่วนบุคคล มีการบันทึกกิจกรรมการใช้ข้อมูลส่วนบุคคล

สิ่งเหล่านี้ล้วนจำเป็นอย่างยิ่ง ที่ผู้ควบคุมข้อมูลจะต้องปฏิบัติ เพื่อให้สอดคล้องกับ PDPA ต่อไป

ขอบคุณข้อมูล: t-reg knowledge

สรุปสาระสำคัญของ PDPA

(ขอบคุณ สภาดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งประเทศไทย)

Cookie Consent คืออะไร

Cookie Consent คืออะไร

Cookie เป็นไฟล์ข้อมูลขนาดเล็กที่ได้จากการเชื่อมต่อระหว่างเว็บไซต์และคอมพิวเตอร์ เป็นเทคโนโลยีที่เกิดขึ้นมาตั้งแต่ปี ค.ศ. 1994 โดยคุกกี้มีหน้าที่จดจำข้อมูลที่เป็นประโยชน์ต่อตัวเว็บไซต์ ไม่ว่าจะเป็นตำแหน่งโลเคชั่นของผู้ใช้งาน หรือข้อมูลที่ผู้ใช้งานสนใจเพื่อนำไปใช้ทำการตลาดโฆษณษแบบเจาะกลุ่มเป้าหมาย ซึ่งถือเป็นการจัดเก็บและใช้ข้อมูลส่วนบุคคลเช่นเดียวกัน ดังนั้นจึงต้องมีการขอความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคลก่อนเสมอ

คุกกี้แบ่งออกเป็นประเภทย่อย ดังนี้

ขอบคุณ : pdpaplus.com

Cookie Consent คืออะไรกัน ทำไมในเว็บไซต์ต่าง ๆ ถึงมีการแจ้งเตือนให้เรายอมรับคุกกี้

คุ๊กกี้เวบไซต์ ยอมรับดีไหม จะเกิดอะไรบ้าง

คุกกี้เว็บไซต์คืออะไร ทำไมต้องกดรับ #เรื่องง่าย5Minutes