"PDPA" คืออะไร และเกี่ยวข้องยังไงกับชีวิตเรา
ปฏิเสธไม่ได้เลยว่า ปัจจุบันโลกออนไลน์ได้เข้ามาเป็นส่วนหนึ่งในชีวิตประจำวัน และมีแพลตฟอร์มมากมายให้เลือกใช้งาน โดยแต่ละแพลตฟอร์มมักจะมีการเก็บข้อมูลส่วนบุคคลของผู้ใช้งานเอาไว้ ซึ่งผู้ใช้งานเองไม่อาจรู้ได้เลยว่า ข้อมูลที่ให้ไปนั้นคืออะไร จะถูกนำไปใช้เพื่อวัตถุประสงค์ใด
ด้วยเหตุนี้ประเทศไทย จึงมีการประกาศใช้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ขึ้น โดยจะมีผลบังคับใช้ อย่างเป็นทางการในวันที่ 1 มิถุนายน 2565 นี้
PDPA คืออะไร?
"PDPA" ย่อมาจาก Personal Data Protection Act B.E. 2562 (2019) หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมาย ว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล และสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต ซึ่งได้ถูกประกาศไว้ในราชกิจจานุเบกษา วันที่ 27 พฤษภาคม 2562 แต่ถูกเลื่อนการประกาศใช้มาเป็นเดือนมิถุนายน 2565 เนื่องจากสถานการณ์ Covid-19
ข้อมูลส่วนบุคคล มีอะไรบ้าง ?
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้ระบุถึงข้อมูลส่วนบุคคลไว้ 2 ประเภท คือ
ข้อมูลส่วนบุคคลทั่วไป (Personal Data)
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data)
ข้อมูลส่วนบุคคลทั่วไป (Personal Data) คือ ข้อมูลที่สามารถระบุถึงตัวตนของบุคคลนั้นได้ทั้งทางตรง และทางอ้อม (นับเฉพาะบุคคลที่ยังมีชีวิตอยู่) ได้แก่ ชื่อ-นามสกุล หรือชื่อเล่น / เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต ที่อยู่, อีเมล, เลขโทรศัพท์, IP address, MAC address, Cookie ID รวมไปถึง รูปภาพใบหน้า, ลายนิ้วมือ, ฟิล์มเอกซเรย์, ข้อมูลสแกนม่านตา, ข้อมูลอัตลักษณ์เสียง และข้อมูลทางพันธุกรรม เป็นต้น
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) คือ ข้อมูลส่วนบุคคลที่สำคัญ
จะต้องระมัดระวังเป็นพิเศษในการเก็บรวบรวม/ประมวลผล ได้แก่ เชื้อชาติ, เผ่าพันธุ์, ความคิดเห็นทางการเมือง, ความเชื่อในลัทธิ ศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต, ข้อมูลสหภาพแรงงาน, ข้อมูลพันธุกรรม, ข้อมูลชีวภาพ หรืออื่น ๆ ตามที่คณะกรรมการประกาศกำหนด เป็นต้น
ผู้เกี่ยวข้อง (Key Players) ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีใครบ้าง?
ผู้ที่ทำหน้าที่ หรือเกี่ยวข้องกับข้อมูลส่วนบุคคล มีอยู่ด้วยกัน 3 ด้าน ดังนี้
เจ้าของข้อมูล (Data Subject) – บุคคลที่ข้อมูลส่วนบุคคลชุดนั้น ๆ ระบุไปถึง
ผู้ควบคุมข้อมูล(Data Controller) – คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งมีหน้าที่หลัก ดังนี้ 🔹 ต้องปรับปรุงข้อมูลให้ทันสมัย และถูกต้องอยู่เสมอ 🔹 ต้องจัดให้มีมาตรการรักษาความปลอดภัยของข้อมูล 🔹 ต้องแจ้งเหตุการณ์การละเมิดข้อมูลส่วนบุคคล (Data Breach) ต่อคณะกรรมการภายใน 3 วัน 🔹 จัดทำระบบการบันทึก (Records) การเข้าถึงข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งมีหน้าที่หลัก ดังนี้ 🔸 ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูล 🔸 จัดให้มีมาตรการรักษาความปลอดภัยข้อมูล 🔸 แจ้งเหตุการณ์การละเมิดข้อมูลส่วนบุคคล (Data Breach) ให้ผู้ควบคุมข้อมูลทราบ 🔸 จัดทำระบบการบันทึก (Records) การเข้าถึงข้อมูลส่วนบุคคล
บทลงโทษกรณีไม่ปฏิบัติตาม
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้แบ่งบทลงโทษออกเป็น 3 ประเภท
🔷 บทลงโทษทางแพ่ง - ให้ชดเชยค่าเสียหายตามจริง สูงสุดคือไม่เกิน 2 เท่าของค่าเสียหายที่เกิดขึ้นตัวอย่างเช่น ค่าเสียหายที่เกิดขึ้นจริงเป็นจำนวนเงิน 500,000 บาท หากต้องชดใช้เพิ่มอีกเป็น 2 เท่า ต้องจ่ายค่าสินไหมทดแทนเพิ่มไปอีก 2 เท่า เป็นเงินถึง 1,500,000 บาท
🔶 บทลงโทษทางอาญา - จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือ ทั้งจำทั้งปรับ
ในกรณีหากผู้กระทำความผิด คือ บริษัท (นิติบุคคล) ก็อาจจะสงสัยว่าใครจะเป็นผู้ถูกจำคุกหรือรับโทษนี้ เพราะบริษัทติดคุกไม่ได้ ในส่วนตรงนี้ก็อาจจะเป็น ผู้บริหาร, คณะกรรมการ หรือบุคคลซึ่งได้รับผิดชอบ ในการดำเนินงานของบริษัทนั้น ๆ ที่จะต้องได้รับการลงโทษจำคุกแทน
🔷 บทลงโทษทางปกครอง - ให้ปรับสูงสุดไม่เกิน 5,000,000 บาท ขึ้นอยู่กับความเสียหาย และตามกระทงความผิดที่ผู้ต้องหาได้รับ แต่หากข้อมูลที่ถูกละเมิดนั้นเป็นข้อมูลที่มีความละเอียดอ่อน (Sensitive Personal Data) อาจโดนค่าปรับเป็นจำนวนเงิน 5,000,000 บาท ทันที
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ให้สิทธิอะไรกับเจ้าของข้อมูลบ้าง
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ระบุถึง สิทธิของเจ้าของข้อมูลส่วนบุคคลที่พึงมีไว้ ดังนี้
สิทธิได้รับการแจ้งให้ทราบ
การเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลทราบทุกครั้ง ไม่ว่าจะแจ้งก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคลเช่น เก็บข้อมูลส่วนบุคคลอะไรบ้าง, วัตถุประสงค์การเก็บข้อมูล
สิทธิขอเข้าถึงข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคล มีสิทธิขอเข้าถึง และขอรับสำเนาข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาของข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอมได้ โดยสิทธินี้จะต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาล ซึ่งจะได้รับสิทธิภายใน 30 วัน เริ่มนับจากวันที่ผู้ควบคุมข้อมูลส่วนบุคคลได้รับคำขอ
สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้งาน หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ แต่ต้องไม่ขัดด้วยกฎหมายที่สำคัญยิ่งกว่า หรือขัดต่อสิทธิการเรียกร้องตามกฎหมาย หรือข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อการวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ สถิติ
สิทธิขอให้ลบหรือทำลายข้อมูล
กรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่เปิดเผยต่อสาธารณะ และผู้ควบคุมข้อมูลส่วนบุคคลถูกขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลเจ้าของได้ โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องเป็นผู้รับผิดชอบดำเนินการทั้งในทางเทคโนโลยี และค่าใช้จ่ายเอง
สิทธิในการเพิกถอนความยินยอม
ถ้าเจ้าของข้อมูลเคยให้ความยินยอมในการใช้ข้อมูลไปแล้ว ต่อมาภายหลังต้องการยกเลิกความยินยอมนั้น ก็สามารถทำเมื่อใดก็ได้ และการยกเลิกความยินยอมนั้นจะต้องทำได้ง่ายเหมือนกับตอนแรกที่เจ้าของข้อมูลให้ความยินยอมด้วย โดยการยกเลิกจะต้องไม่ขัดต่อข้อจำกัดสิทธิในการถอนความยินยอมทางกฎหมาย
สิทธิขอให้ระงับการใช้ข้อมูล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคล ไม่ว่าจะในกรณีที่เกิดการเปลี่ยนใจไม่ต้องการให้ข้อมูลแล้ว หรือเปลี่ยนใจระงับการทำลายข้อมูลเมื่อครบกำหนดที่ต้องทำลาย
สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล
เจ้าของข้อมูลมีสิทธิที่จะขอแก้ไขข้อมูลส่วนบุคคลของตนเองให้มีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิด ได้ โดยการแก้ไขนั้นจะต้องเป็นไปด้วยความสุจริต และไม่ขัดต่อหลักกฎหมาย
สิทธิในการขอให้โอนข้อมูลส่วนบุคคล
ในกรณีที่เจ้าของข้อมูลต้องการนำข้อมูลที่เคยให้ไว้กับผู้ควบคุมข้อมูลรายหนึ่ง ไปใช้กับผู้ควบคุมข้อมูลอีกราย เจ้าของข้อมูลสามารถขอให้ผู้ควบคุมข้อมูลส่วนบุคคลที่จัดทำข้อมูลนั้น ทำการส่ง หรือโอนข้อมูลดังกล่าวให้ได้ หรือจะขอให้ส่งไปยัง ผู้ควบคุมข้อมูลส่วนบุคคลรายอื่นโดยตรงก็สามารถทำได้
สรุปใจความสำคัญ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ
จะเห็นได้ว่า PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีเป้าหมายสำคัญเพื่อรักษาสิทธิที่พึงมีแก่เจ้าของข้อมูล เพื่อให้ข้อมูลส่วนตัวปลอดภัย มีการนำไปใช้อย่างถูกต้องเหมาะสมตามความต้องการและยินยอมของเจ้าของข้อมูลอย่างแท้จริง โดยต้องพิจารณาให้รอบคอบทุกครั้งว่า การเก็บรวบรวมข้อมูลส่วนบุคคลนั้น เป็นไปเพื่อวัตถุประสงค์อะไร? เพื่อป้องกันการนำข้อมูลไปใช้ในทางที่ผิด หรือหาผลประโยชน์จากข้อมูลส่วนบุคคลนั้น ๆ
สำหรับองค์กร หรือหน่วยงานที่มีการเก็บข้อมูลส่วนบุคคล สิ่งสำคัญที่ท่านต้องคำนึงถึง คือ ต้องรู้ขอบเขตการเก็บรวบรวม การใช้ การเผยแพร่ข้อมูลส่วนบุคคล, มีระบบการจัดเก็บข้อมูลส่วนบุคคลที่ปลอดภัย, มีการจำกัดการเข้าถึงข้อมูลส่วนบุคคล, มีการบันทึกกิจกรรมการใช้ข้อมูลส่วนบุคคล สิ่งเหล่านี้ล้วนจำเป็นอย่างยิ่งที่ผู้ควบคุมข้อมูลจะต้องปฏิบัติตาม เพื่อให้สอดคล้องกับ "PDPA " ที่จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้