PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)
PDPA คืออะไร?
ในปัจจุบันนี้ ช่องทางสื่อสารต่างๆ มีหลากหลายมากขึ้น เช่นการสั่งซื้อสิ้นค้าออนไลน์ หรือ การลงทะเบียนบันทึกข้อมูลส่วน ส่งผลให้การนำข้อมูลที่ลงทะเบียนนั้นนำออกมาใช้ ถือเป็นการละเมิดสิทธิความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลนั้นทำได้โดยง่าย และหลายครั้งก็นำมาซึ่งความเดือดร้อนรำคาญโดยการนำข้อมูลนั้นมาแอบอ้าง หรือสร้างความเสียหายให้แก่เจ้าของข้อมูล โดยการแอบอ้าง หรือหลอกให้ ทำธุรกรรมทางการเงินต่างๆ ส่งผลต่อเศรษฐกิจโดยรวมของประเทศได้ด้วย ประเทศไทยจึงต้องมีกฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) หรือ (Personal Data Protection Act, B.E. 2562 (2019) โดยวันที่ 1 มิถุนายน 2565 เป็นวันที่ กฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ เพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่รวมถึงการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขึ้น
อะไรคือข้อมูลส่วนบุคคล?
ข้อมูลส่วนบุคลนั้น คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมซึ่งแบ่งออกได้เป็น 2 ประเภทได้แก่
1.ข้อมูลส่วนบุคคลทั่วไป (General personal information) ได้แก่ ชื่อ - นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงินเป็นต้น
2.ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ด้วย เช่น ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น
บุคคลใดบ้างที่เกี่ยวข้องกับมูลส่วนบุคคล?
บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลนั้น ซึ่งประกอบไปด้วย 3 ส่วนได้แก่
1.เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลระบุไปถึง
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่ง หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
การเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ทำได้หรือไม่ ?
การเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล สามารถทำได้ในกรณีต่อไปนี้
1.ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
2.จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ การศึกษาวิจัยหรือการจัดทำสถิติ
3.ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ ของบุคคล
4.จำเป็นเพื่อปฏิบัติกฎหมาย หรือสัญญา
5.จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น
6.จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
จะเกิดอะไรขึ้นถ้าไม่ปฏิบัติตาม PDPA ?
นอกจากนี้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ได้ระบุ บทลงโทษหากไม่ปฏิบัติตาม PDPA เพื่อให้ข้อมูลส่วนบุคคล หรือ (PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) มีถึง 3 ประเภท ได้แก่
1.โทษทางแพ่ง
กำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิดและอาจจะต้องจ่ายบวกเพิ่มอีกเป็นค่าค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่าของค่าเสียหายจริง ยกตัวอย่างเช่น หากศาลตัดสินว่าให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคลเป็นจำนวน 1 แสนบาท ศาลอาจมีคำสั่งกำหนดค่าสินไหมเพื่อการลงโทษเพิ่มอีก 2 เท่าของค่าเสียหายจริง เท่ากับว่าจะต้องจ่ายเป็นค่าปรับทั้งหมด เป็นจำนวนเงิน 3 แสนบาท
2.โทษทางอาญา
มีทั้งโทษจำคุกและโทษปรับ โดยมีโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ โดยโทษสูงสุดดังกล่าวจะเกิดจากการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ เปิดเผย หรือส่งโอนข้อมูลไปยังต่างประเทศ ประเภทข้อมูลที่มีความละเอียดอ่อน (Sensitive Personal Data) ส่วนกรณีหากผู้กระทำความผิด คือ บริษัท (นิติบุคคล) ก็อาจจะสงสัยว่าใครจะเป็นผู้ถูกจำคุก เพราะบริษัทติดคุกไม่ได้ ในส่วนตรงนี้ก็อาจจะตกมาที่ ผู้บริหาร, กรรมการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของบริษัทนั้น ๆ ที่จะต้องได้รับการลงโทษจำคุกแทน
3.โทษทางปกครอง
โทษปรับ มี ตั้งแต่ 1 ล้านบาทจนถึงสูงสุดไม่เกิน 5 ล้านบาท ซึ่งโทษปรับสูงสุด 5 ล้านบาท จะเป็นกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูลหรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลที่มีความละเอียดอ่อน (Sensitive Personal Data) ซึ่งโทษทางปกครองนี้จะแยกต่างหากกับการชดใช้ค่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทางอาญาด้วย
แหล่งข้อมูลอ้างอิง
2. https://t-reg.co/blog/t-reg-knowledge/what-is-pdpa/
แนวทางการปฏิบัติงาน
เพื่อให้การปฏิบัติงานเป็นไปตาม PDPA นั้น ฝ่ายวิศวกรรมระบบเครือข่าย มีความจำเป็นในการเก็บข้อมูลส่วนบุคคล ทั้งนี้เพื่อประโยชน์ต่อการให้บริการแก่ผู้ขอรับบริการ ซึ่งไปเป็นตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ตามมาตรา ๒๒ การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จำเป็นภายใต้ วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล