พรบ. คุ้มครองข้อมูลส่วนบุคคล

Personal Data Protection Act (PDPA)

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ประกาศไว้ในราชกิจจานุเบกษา เมื่อวันที่ 27 พฤษภาคม 2562 และมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565

กฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต

Personal Data Protection Act (PDPA)

เป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต

โดย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมาย ที่ได้ประกาศไว้ในราชกิจจานุเบกษา เมื่อวันที่ 27 พฤษภาคม 2562 และปัจจุบันได้ถูกเลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565

ข้อมูลส่วนบุคคล คืออะไร? (คลิก)

ข้อมูลส่วนบุคคล (Personal Data) คือ ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ทั้งทางตรงหรือทางอ้อม แต่จะไม่นับรวมข้อมูลของผู้ที่เสียชีวิตไปแล้ว

ข้อมูลส่วนบุคคล ได้แก่ ชื่อ-นามสกุล หรือชื่อเล่น / เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต (การเก็บเป็นภาพสำเนาบัตรประชาชนหรือสำเนาบัตรอื่น ๆ ที่มีข้อมูลส่วนบุคคลที่กล่าวมา ย่อมสามารถใช้ระบุตัวบุคคลได้โดยตัวมันเอง จึงถือเป็นข้อมูลส่วนบุคคล)

  • ที่อยู่, อีเมล์, เลขโทรศัพท์ / ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address, MAC address, Cookie ID

  • ข้อมูลทางชีวมิติ (Biometric) เช่น รูปภาพใบหน้า, ลายนิ้วมือ, ฟิล์มเอกซเรย์, ข้อมูลสแกนม่านตา, ข้อมูลอัตลักษณ์เสียง, ข้อมูลพันธุกรรม

  • ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์, โฉนดที่ดิน

  • ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิดและสถานที่เกิด, เชื้อชาติ,สัญชาติ, น้ำหนัก, ส่วนสูง, ข้อมูลตำแหน่งที่อยู่ (location), ข้อมูลการแพทย์, ข้อมูลการศึกษา, ข้อมูลทางการเงิน, ข้อมูลการจ้างงาน

  • ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิล์ม แม้ไม่สามารถระบุไปถึงตัวบุคคลได้ แต่หากใช้ร่วมกับระบบดัชนีข้อมูลอีกระบบหนึ่งก็จะสามารถระบุไปถึงตัวบุคคลได้

  • ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง

  • ข้อมูลบันทึกต่าง ๆ ที่ใช้ติดตามตรวจสอบกิจกรรมต่าง ๆ ของบุคคล เช่น log file

  • ข้อมูลที่สามารถใช้ในการค้นหาข้อมูลส่วนบุคคลอื่นในอินเทอร์เน็ต

ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data)

นอกจากนี้ยังมีข้อมูลส่วนบุคคลอีกประเภท ที่ พ.ร.บ. ฉบับนี้ให้ความสำคัญ และมีบทลงโทษที่รุนแรง กรณีเกิดการรั่วไหลสู่สาธารณะ ได้แก่ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ได้แก่ ข้อมูล เชื้อชาติ, เผ่าพันธุ์, ความคิดเห็นทางการเมือง, ความเชื่อในลัทธิ ศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต, ข้อมูลสหภาพแรงงาน, ข้อมูลพันธุกรรม, ข้อมูลชีวภาพ, ข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกัน ตามที่คณะกรรมการประกาศกำหนด

สาเหตุเหตุที่ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน มีบทลงโทษรุนแรงกว่าข้อมูลส่วนบุคคลทั่วไป

เพราะหากข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน มีการรั่วไหลไปสู่สาธารณะแล้ว จะเกิดผลเสียที่ร้ายแรงกับผู้เป็นเจ้าของข้อมูลส่วนบุคคล ได้มากกว่าข้อมูลส่วนบุคคลอื่น ๆ มีผลต่อสิทธิเสรีภาพของบุคคล เช่น สิทธิเสรีภาพในความคิด ความเชื่อทางศาสนา การแสดงออก การชุมนุม สิทธิในชีวิตร่างกาย การอยู่อาศัย การไม่ถูกเลือกปฏิบัติ ซึ่งอาจก่อให้เกิดการแทรกแซง ซึ่งสิทธิเสรีภาพ และการเลือกปฏิบัติต่อการใช้สิทธิเสรีภาพของบุคคล ได้มากกว่าข้อมูลส่วนบุคคลทั่วไป

ยกตัวอย่างเช่น ข้อมูลพฤติกรรมทางเพศ เชื่อชาติ ศาสนา ประวัติอาชญากรรม หากรั่วไหลไปแล้ว ข้อมูลเหล่านี้จะนำมาสู่ความเป็นอคติ และจะมีผลกระทบต่อชีวิตส่วนบุคคล ได้มากกว่าข้อมูลทั่วไปเป็นอย่างมาก

ขอบคุณข้อมูล: t-reg knowledge

ใครบ้างที่เกี่ยวข้องกับข้อมูลส่วนบุคคล? (คลิก)

ผู้มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล ตามกฎหมาย PDPA แบ่งออกได้ 3 ประเภท ได้แก่

  1. เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลสามารถระบุไปถึงได้

  2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

  3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

ขอบคุณข้อมูล: t-reg knowledge

จะรวบรวม ใช้ หรือเปิดเผย ข้อมูลฯได้เมื่อใด? (คลิก)

ผู้ควบคุมข้อมูลส่วนบุคคล สามารถรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลได้ ก็ต่อเมื่อได้รับคำยินยอม (Consent) จากเจ้าของข้อมูล

บุคคลธรรมดา หรือนิติบุคคล หากมีการเก็บรวบรวมข้อมูลส่วนบุคคลไว้ หรือมีการนำข้อมูลส่วนบุคคลไปใช้ หรือเปิดเผย ไม่ว่าจะวัตถุประสงค์ใดก็ตาม จำเป็นต้องได้รับคำยินยอม (Consent) จากเจ้าของข้อมูล

ข้อยกเว้นสำหรับข้อมูลส่วนบุคคลทั่วไป (Personal Data)

  • จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ ที่เกี่ยวข้องกับการศึกษาวิจัย หรือการจัดทำสถิติ

  • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

  • จำเป็นเพื่อปฏิบัติตามสัญญากับเจ้าของข้อมูล เช่น การซื้อขายของออนไลน์ ต้องใช้ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล

  • จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ

  • จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น

  • เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล เช่น ส่งข้อมูลพนักงานให้กรมสรรพากรเรื่องภาษี เป็นต้น

ข้อยกเว้นสำหรับข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data)

  • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

  • การดำเนินกิจกรรมที่ชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของ มูลนิธิ สมาคม องค์กรไม่แสวงหากำไร เช่น เรื่องศาสนาหรือความคิดเห็นทางการเมือง ซึ่งจำเป็นต้องเปิดเผยให้ทราบก่อนเข้าองค์กรนั้น ๆ เป็นต้น

  • เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล เช่น บุคคลสาธารณะที่มีข้อมูลที่เปิดเผยต่อสาธารณะอยู่แล้วในความยินยอมของเจ้าของข้อมูล

  • เป็นการจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย เช่น เก็บลายนิ้วมือของผู้ที่บุกรุกเพื่อนำไปใช้ในชั้นศาล เป็นต้น

  • เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ เกี่ยวกับ เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ เช่น การเก็บข้อมูลสุขภาพของพนักงานซึ่งเป็นข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) องค์กรมักใช้ข้อนี้ในการอ้างสิทธิที่จำเป็นต้องเก็บข้อมูลนี้ไว้ เป็นต้น / ประโยชน์ด้านสาธารณะสุข, การคุ้มครองแรงงาน, การประกันสังคม, หลักประกันสุขภาพแห่งชาติ / การศึกษาวิจัยทางวิทยาศาสตร์, ประวัติศาสตร์, สถิติ, หรือประโยชน์สาธารณะอื่น / ประโยชน์สาธารณะที่สำคัญ

ขอบคุณข้อมูล: t-reg knowledge

หากฝ่าฝืนจะมีบทลงโทษอะไรบ้าง? (คลิก)

หากไม่ปฏิบัติตาม PDPA บทลงโทษมี 3 ประเภท ได้แก่

  1. โทษทางแพ่ง
    โทษทางแพ่งกำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริง ให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด และอาจต้องจ่ายบวกเพิ่มอีกเป็นค่าค่าสินไหมทดแทน เพื่อการลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่าของค่าเสียหายจริง

ตัวอย่าง: หากศาลตัดสิน ให้ผู้ควบคุมข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคล เป็นจำนวน 1 แสนบาท ศาลอาจมีคำสั่งกำหนดค่าสินไหม เพื่อการลงโทษเพิ่มอีก 2 เท่าของค่าเสียหายจริง กล่าวคือ ต้องจ่ายค่าปรับทั้งหมด เป็นจำนวนเงิน 3 แสนบาท

  1. โทษทางอาญา
    โทษทางอาญา มีทั้งโทษจำคุก และโทษปรับ โดยโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ โดยโทษสูงสุดดังกล่าวเกิดจากการไม่ปฏิบัติตาม PDPA ในส่วนการใช้หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปต่างประเทศ ประเภทข้อมูลที่มีความละเอียดอ่อน (Sensitive Personal Data)

ในกรณีผู้กระทำความผิด เป็นบริษัท (นิติบุคคล) ผู้บริหาร, กรรมการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของบริษัทนั้น ๆ ต้องได้รับการลงโทษจำคุก

  1. โทษทางปกครอง
    มี
    โทษปรับ ตั้งแต่ 1 ล้านบาท จนถึงสูงสุดไม่เกิน 5 ล้านบาท ซึ่งโทษปรับสูงสุด 5 ล้านบาท จะเป็นกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลที่มีความละเอียดอ่อน (Sensitive Personal Data) ซึ่งโทษทางปกครองนี้ แยกต่างหากกับการชดใช้ค่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทางอาญาด้วย

ขอบคุณข้อมูล: t-reg knowledge

สรุปความสำคัญของ PDPA (คลิก)

จะเห็นได้ว่า PDPA (กฎหมายคุ้มครองข้อมูลส่วนบุคคล) กำหนดขึ้นเพื่อคึ้มครองสิทธิ์ของเจ้าของข้อมูล ว่าข้อมูลส่วนตัวของเขาจะปลอดภัย ถูกนำไปใช้อย่างถูกต้องเหมาะสม ตามความต้องการและยินยอมของเจ้าของข้อมูลอย่างแท้จริง

อย่างไรก็ตาม เจ้าของข้อมูล ควรพิจารณาอย่างรอบคอบเช่นกันว่า การให้ข้อมูลส่วนบุคคลในแต่ละครั้ง เป็นไปเพื่อวัตถุประสงค์ที่กำหนด อย่างเพียงพอหรือไม่? หากมองว่ามีการให้ข้อมูลส่วนบุคคล ที่ไม่เกี่ยวข้องกับวัตถุประสงค์ของการขอข้อมูล เราสามารถปฏิเสธการให้ข้อมูลนั้นได้ เพื่อป้องกันการนำข้อมูลไปใช้ในทางที่ผิด หรือหาผลประโยชน์จากข้อมูลส่วนบุคคลของเรา

PDPA อาจส่งผลกระทบโดยตรง กับผู้เก็บข้อมูล ที่ต้องปฏิบัติตาม ผู้ควบคุมข้อมูลส่วนบุคคล จึงจำเป็นต้องกำหนดนโยบายความปลอดภัยของข้อมูลส่วนบุคคลภายในองค์กร ทั้งต้องให้ความรู้แก่บุคคลากรในองค์กร

ให้ชัดเจนในขอบเขตการเก็บรวบรวม การใช้ และการเผยแพร่ข้อมูลส่วนบุคคล มีระบบการจัดเก็บข้อมูลส่วนบุคคลที่ปลอดภัย มีการจำกัดการเข้าถึงข้อมูลส่วนบุคคล มีการบันทึกกิจกรรมการใช้ข้อมูลส่วนบุคคล

สิ่งเหล่านี้ล้วนจำเป็นอย่างยิ่ง ที่ผู้ควบคุมข้อมูลจะต้องปฏิบัติ เพื่อให้สอดคล้องกับ PDPA ต่อไป

ขอบคุณข้อมูล: t-reg knowledge

สรุปสาระสำคัญของ PDPA

(ขอบคุณ สภาดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งประเทศไทย)