พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)

PDPA คืออะไร?

         ในปัจจุบันนี้ ช่องทางสื่อสารต่างๆ มีหลากหลายมากขึ้น เช่นการสั่งซื้อสิ้นค้าออนไลน์ หรือ การลงทะเบียนบันทึกข้อมูลส่วน ส่งผลให้การนำข้อมูลที่ลงทะเบียนนั้นนำออกมาใช้ ถือเป็นการละเมิดสิทธิความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลนั้นทำได้โดยง่าย และหลายครั้งก็นำมาซึ่งความเดือดร้อนรำคาญโดยการนำข้อมูลนั้นมาแอบอ้าง หรือสร้างความเสียหายให้แก่เจ้าของข้อมูล โดยการแอบอ้าง หรือหลอกให้ ทำธุรกรรมทางการเงินต่างๆ ส่งผลต่อเศรษฐกิจโดยรวมของประเทศได้ด้วย ประเทศไทยจึงต้องมีกฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) หรือ (Personal Data Protection Act, B.E. 2562 (2019) โดยวันที่ 1  มิถุนายน 2565 เป็นวันที่ กฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ เพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่รวมถึงการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขึ้น

อะไรคือข้อมูลส่วนบุคคล?

ข้อมูลส่วนบุคลนั้น คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมซึ่งแบ่งออกได้เป็น 2 ประเภทได้แก่

          1.ข้อมูลส่วนบุคคลทั่วไป (General personal information) ได้แก่ ชื่อ - นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงินเป็นต้น

         2.ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ด้วย เช่น ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น

บุคคลใดบ้างที่เกี่ยวข้องกับมูลส่วนบุคคล?

บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลนั้น ซึ่งประกอบไปด้วย 3 ส่วนได้แก่

       1.เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลระบุไปถึง

       2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

      3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่ง หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

การเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ทำได้หรือไม่ ?

การเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล สามารถทำได้ในกรณีต่อไปนี้

          1.ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

          2.จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ การศึกษาวิจัยหรือการจัดทำสถิติ

          3.ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ ของบุคคล

          4.จำเป็นเพื่อปฏิบัติกฎหมาย หรือสัญญา

           5.จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น

           6.จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ

จะเกิดอะไรขึ้นถ้าไม่ปฏิบัติตาม PDPA ?

          นอกจากนี้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ได้ระบุ บทลงโทษหากไม่ปฏิบัติตาม PDPA เพื่อให้ข้อมูลส่วนบุคคล หรือ (PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) มีถึง 3 ประเภท ได้แก่

          1.โทษทางแพ่ง

              กำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิดและอาจจะต้องจ่ายบวกเพิ่มอีกเป็นค่าค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่าของค่าเสียหายจริง ยกตัวอย่างเช่น หากศาลตัดสินว่าให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคลเป็นจำนวน       1 แสนบาท ศาลอาจมีคำสั่งกำหนดค่าสินไหมเพื่อการลงโทษเพิ่มอีก 2 เท่าของค่าเสียหายจริง เท่ากับว่าจะต้องจ่ายเป็นค่าปรับทั้งหมด เป็นจำนวนเงิน 3 แสนบาท

          2.โทษทางอาญา

            มีทั้งโทษจำคุกและโทษปรับ โดยมีโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ โดยโทษสูงสุดดังกล่าวจะเกิดจากการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ เปิดเผย หรือส่งโอนข้อมูลไปยังต่างประเทศ ประเภทข้อมูลที่มีความละเอียดอ่อน (Sensitive Personal Data) ส่วนกรณีหากผู้กระทำความผิด คือ บริษัท (นิติบุคคล) ก็อาจจะสงสัยว่าใครจะเป็นผู้ถูกจำคุก เพราะบริษัทติดคุกไม่ได้ ในส่วนตรงนี้ก็อาจจะตกมาที่ ผู้บริหาร, กรรมการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของบริษัทนั้น ๆ ที่จะต้องได้รับการลงโทษจำคุกแทน

          3.โทษทางปกครอง

            โทษปรับ มี ตั้งแต่ 1 ล้านบาทจนถึงสูงสุดไม่เกิน 5 ล้านบาท ซึ่งโทษปรับสูงสุด 5 ล้านบาท จะเป็นกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูลหรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลที่มีความละเอียดอ่อน (Sensitive Personal Data) ซึ่งโทษทางปกครองนี้จะแยกต่างหากกับการชดใช้ค่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทางอาญาด้วย

แหล่งข้อมูลอ้างอิง

1. https://www.scb.co.th/th/personal-banking/stories/tips-for-you/pdpa-about-us.html

       2. https://t-reg.co/blog/t-reg-knowledge/what-is-pdpa/

แนวทางการปฏิบัติงาน

           เพื่อให้การปฏิบัติงานเป็นไปตาม PDPA นั้น ฝ่ายวิศวกรรมระบบเครือข่าย มีความจำเป็นในการเก็บข้อมูลส่วนบุคคล ทั้งนี้เพื่อประโยชน์ต่อการให้บริการแก่ผู้ขอรับบริการ ซึ่งไปเป็นตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ตามมาตรา ๒๒ การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จำเป็นภายใต้ วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล