คัดลอก URL แล้ว
กฎหมาย PDPA กับ ข้อมูลส่วนบุคคล

กฎหมาย PDPA กับ ข้อมูลส่วนบุคคล

KEY :

มีผลบังคับใช้แล้วสำหรับ ‘PDPA’ กฎหมายใหม่ หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ภายหลังได้ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ ซึ่งเป็นกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคล อาทิ ชื่อ ที่อยู่ เบอร์โทรศัพท์ ยังรวมไปถึงข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้

การประกาศใช้พระราชบัญญัติฉบับนี้ เนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมาก จนสร้างความเดือดร้อนรำคาญหรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดดังกล่าว ทำได้โดยง่าย สะดวก และรวดเร็ว ก่อให้เกิดความเสียหาย พระราชบัญญัติฉบับดังกล่าว จึงเปรียบเสมือนมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป

กฎหมาย PDPA นั้น มีต้นแบบมาจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของ สหภาพยุโรป (General Data Protection Regulation) หรือ เรียกสั้น ๆ GDPR มีสาระสำคัญ คือ บริษัทธุรกิจที่จัดเก็บและจัดการข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรปจะต้องเพิ่มมาตรการปกป้องข้อมูลต่าง ๆ

นอกจากนี้ในกฎหมายกำหนดไว้ว่า ข้อมูลเหล่านี้จะไม่สามารถนำไปใช้ในเชิงพาณิชย์ได้ หากไม่ได้รับความยินยอมจากเจ้าของข้อมูล การละเมิดกฎระเบียบนี้อาจถูกปรับเป็นจำนวนเงินค่อนข้างสูง และกฎหมายนี้จะมีผลยังคับใช้ปกป้องข้อมูลพลเมืองสหภาพยุโรปไม่ว่าจะอยู่ที่ใดในโลกนี้ และแม้ว่าบริษัทธุรกิจดังกล่าวจะไม่ได้ตั้งอยู่ในสหภาพยุโรปก็ตาม

ว่าด้วยเรื่องของกฎหมาย PDPA

กฎหมาย PDPA ที่ย่อมาจาก Personal Data Protection Act ถือได้ว่าเป็นกฎหมายใหม่ในการคุ้มครองข้อมูลส่วนบุคคล เพื่อกำหนดมาตรการในการคุ้มครองข้อมูลส่วนบุคคลของประเทศให้หน่วยงาน ทั้งภาครัฐ เอกชน รวมถึงประชาชนทั่วไป โดยหลักสำคัญคือ การมุ่งเน้นคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามหลักสากล เพื่อรองรับการเข้าสู่เศรษฐกิจยุคใหม่ของไทย ที่ต้องแข่งขันด้วยเทคโนโลยี และการบริหารจัดการข้อมูล

อีกทั้งเป็นการสร้างความเชื่อมั่นให้กับประชาชน ว่าข้อมูลส่วนบุคคลนั้นจะถูกนำไปใช้อย่างถูกต้องโปร่งใส และไม่มีการนำข้อมูลไปใช้ในทางที่ผิด และที่สำคัญต้องได้รับการยินยอมจากเจ้าของข้อมูลเสียก่อน และสามารถรับทราบวัตถุประสงค์ของการจัดเก็บ การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลอย่างชัดแจ้ง และมีสิทธิต่าง ๆ ที่ชัดเจนเกี่ยวกับข้อมูลส่วนบุคคลของตนเอง

ที่ผ่านมาเราจะเห็นผู้เสียหายจากนำข้อมูลส่วนบุคคลไปใช้ในทางที่ไม่ถูกต้องจากกลุ่มผู้ไม่หวังดี อาทิ การรั่วไหลของข้อมูลส่วนบุคคลจากเครือข่ายมือถือ นำไปสู่การช่องทางในการกระทำผิดของเหล่ามิจฉาชีพจนก่อให้เกิดความเสียหายเป็นจำนวนมาก ยังรวมไปถึงก็นำข้อมูลอย่างเบอร์โทรศัพท์ของลูกค้าไปติดต่อส่วนตัว ซึ่งก็เป็นอีกช่องทางของผู้ไม่หวังดีและพวกโรคจิต

ประโยชน์ที่ได้รับจากกฎหมาย PDPA

ประชาชน

หน่วยงานรัฐและเอกชน

ประเทศ

พระราชบัญญัตินี้ ไม่ใช้บังคับในบางกรณี

1) การเก็บรวบรวม ใช้ หรือเปิดเผย เพื่อประโยชน์ส่วนตน หรือ เพื่อกิจกรรมในครอบครัวของบุคคลนั้น
2) การดำเนินการของหน่วยงานรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ความมั่นคงทางการคลังของรัฐ การรักษาความปลอดภัยของประชาชน การป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ การรักษาความมั่นคงปลอดภัยทางไซเบอร์
3) การเก็บรวบรวมเพื่อกิจการสื่อสารมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพ หรือ เป็นประโยชน์สาธารณะเท่านั้น
4) สภาผู้แทนราษฎร วุฒิสภา รัฐสภา คณะกรรมาธิการ ตามอำนาจและหน้าที่ของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา และคณะกรรมาธิการ
5) การพิจารณาพิพากษาคดีของศาล การดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดี การวางทรัพย์ การดำเนินงานตามกระบวนการยุติธรรมทางอาญา
6) การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต

ข้อมูลส่วนบุคคลภายใต้การคุ้มครองของ PDPA มีอะไรบ้าง?

ข้อมูลส่วนบุคคล (Personal Data)

ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ และไม่รวมข้อมูลของนิติบุคคล ได้แก่

ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data)

ข้อมูลที่ต้องระมัดระวังเป็นพิเศษในการเก็บรวบรวม หรือประมวลผล เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ทั้งนี้ กฎหมายให้การคุ้มครองข้อมูลที่อ่อนไหวเข้มงวดกว่าข้อมูลส่วนบุคคลธรรมดา

ผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลภายใต้ PDPA

เจ้าของข้อมูลส่วนบุคคล (Data Subject)

ซึ่งหมายถึงข้อมูลที่อยู่ในตัวหรือเกี่ยวข้องเชื่อมโยงไปถึงบุคลหนึ่งบุคคลใดที่เป็นของบุคคล คน นั้น

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

คือคน บริษัทหรือองค์กรต่าง ๆ ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน อาทิเช่น เช่น ธนาคารแห่งประเทศไทย บริษัท บัตรกดเงินสด จำกัด บริษัท รับแลกเงินตรา จำกัด (มหาชน) ห้างหุ้นส่วนจำกัด ตู้เติมเงิน เจ้าของเพจร้านขายทุกอย่าง

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคล ซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (และไม่ใช่เจ้าหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล) เช่น ห้างหุ้นส่วนจำกัดรับทำนามบัตร freelance รับดูแลเพจร้านค้า บริษัท รับจัดการออร์เดอร์สินค้า จำกัด บริษัท รับทำบัญชี จำกัด

การเก็บรวบรวมข้อมูลส่วนบุคคลตาม PDPA

บทลงโทษหากไม่ปฎิบัติตาม PDPA

PDPA ยกเว้นไม่ใช้บังคับกับกิจกรรมในครอบครัว

การเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล เพื่อกิจกรรมในครอบครัว ซึ่งเป็นกรณีที่ได้รับการยกเว้น อาทิ

ข้อกังวลเกี่ยวกับ PDPA

ในเรื่องนี้นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจเเละสังคม (ดีอีเอส) ได้อธิบายถึงข้อกังวลประชาชนกังวลในการ ‘ถ่ายภาพ’ ว่าจะมีความผิดตามกฎหมายหรือไม่นั้น ระบุว่า การที่เราไปถ่ายภาพแล้วไปติดบุคคลอื่นเข้ามาในภาพ ซึ่งเราไม่รู้จักแล้วติดโดยบังเอิญ อันนี้ไม่มีความผิด

แม้ว่าเราจะเอาภาพนั้นไปโพสต์ไปใช้ในเรื่องส่วนตัว ถ้าไม่ได้ไปทำให้เค้าเสียหาย ไม่ได้ตั้งใจไปให้เค้าเกิดความเสื่อมเสีย มันไม่มีความผิด อันนี้ไม่ถือว่าเป็นความผิดพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล รวมถึงเรื่องกล้องวงจรปิดที่เราติดไว้ที่บ้าน แล้วไปติดภาพของคนที่เดินผ่านไปผ่านมา ถ้าเราไม่ได้เอาไปใช้ประโยชน์ในทางที่มิชอบ เป็นข้อมูลที่เราเก็บไว้เพื่อป้องกันอาชญากรรมก็ไม่มีความผิด

อย่างไรก็ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือที่เรียกย่อ ๆ ว่า PDPA เป็นกฎหมายที่คุ้มครองสิทธิของประชาชน ดูแลประชาชนในเรื่องข้อมูลข่าวสารของท่าน ไม่ใช่กฎหมายที่มุ่งจะไปเอาผิดหรือลงโทษใครเพราะงั้นไม่ต้องวิตกกังวล เพียงแต่ว่า ถ้าข้อมูลของท่านมีการรั่วไหล มีการนำไปใช้ที่ไม่ถูกต้อง ท่านก็ร้องเรียนติดต่อเข้ามาได้ ตามกฎหมายก็สามารถดำเนินคดีเอาผิดกับคนที่เอาข้อมูลไปใช้ได้ ก็ทำให้ข้อมูลส่วนตัวของท่านได้รับความคุ้มครอง เป็นประโยชน์ต่อพี่น้องประชาชนทุกคนแน่นอน


ข้อมูล :


ข่าวที่เกี่ยวข้อง