KEY :
- ‘PDPA’ กฎหมายใหม่ มีผลบังคับใช้แล้วในวันที่ 1 มิถุนายน 2565
- เป็นกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคล อาทิ ชื่อ ที่อยู่ เบอร์โทรศัพท์ ยังรวมไปถึงข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้
- มีต้นแบบมาจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของ สหภาพยุโรป (General Data Protection Regulation) หรือ เรียกสั้น ๆ GDPR
มีผลบังคับใช้แล้วสำหรับ ‘PDPA’ กฎหมายใหม่ หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ภายหลังได้ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ ซึ่งเป็นกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคล อาทิ ชื่อ ที่อยู่ เบอร์โทรศัพท์ ยังรวมไปถึงข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้
การประกาศใช้พระราชบัญญัติฉบับนี้ เนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมาก จนสร้างความเดือดร้อนรำคาญหรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดดังกล่าว ทำได้โดยง่าย สะดวก และรวดเร็ว ก่อให้เกิดความเสียหาย พระราชบัญญัติฉบับดังกล่าว จึงเปรียบเสมือนมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป
กฎหมาย PDPA นั้น มีต้นแบบมาจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของ สหภาพยุโรป (General Data Protection Regulation) หรือ เรียกสั้น ๆ GDPR มีสาระสำคัญ คือ บริษัทธุรกิจที่จัดเก็บและจัดการข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรปจะต้องเพิ่มมาตรการปกป้องข้อมูลต่าง ๆ
นอกจากนี้ในกฎหมายกำหนดไว้ว่า ข้อมูลเหล่านี้จะไม่สามารถนำไปใช้ในเชิงพาณิชย์ได้ หากไม่ได้รับความยินยอมจากเจ้าของข้อมูล การละเมิดกฎระเบียบนี้อาจถูกปรับเป็นจำนวนเงินค่อนข้างสูง และกฎหมายนี้จะมีผลยังคับใช้ปกป้องข้อมูลพลเมืองสหภาพยุโรปไม่ว่าจะอยู่ที่ใดในโลกนี้ และแม้ว่าบริษัทธุรกิจดังกล่าวจะไม่ได้ตั้งอยู่ในสหภาพยุโรปก็ตาม
ว่าด้วยเรื่องของกฎหมาย PDPA
กฎหมาย PDPA ที่ย่อมาจาก Personal Data Protection Act ถือได้ว่าเป็นกฎหมายใหม่ในการคุ้มครองข้อมูลส่วนบุคคล เพื่อกำหนดมาตรการในการคุ้มครองข้อมูลส่วนบุคคลของประเทศให้หน่วยงาน ทั้งภาครัฐ เอกชน รวมถึงประชาชนทั่วไป โดยหลักสำคัญคือ การมุ่งเน้นคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามหลักสากล เพื่อรองรับการเข้าสู่เศรษฐกิจยุคใหม่ของไทย ที่ต้องแข่งขันด้วยเทคโนโลยี และการบริหารจัดการข้อมูล
อีกทั้งเป็นการสร้างความเชื่อมั่นให้กับประชาชน ว่าข้อมูลส่วนบุคคลนั้นจะถูกนำไปใช้อย่างถูกต้องโปร่งใส และไม่มีการนำข้อมูลไปใช้ในทางที่ผิด และที่สำคัญต้องได้รับการยินยอมจากเจ้าของข้อมูลเสียก่อน และสามารถรับทราบวัตถุประสงค์ของการจัดเก็บ การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลอย่างชัดแจ้ง และมีสิทธิต่าง ๆ ที่ชัดเจนเกี่ยวกับข้อมูลส่วนบุคคลของตนเอง
ที่ผ่านมาเราจะเห็นผู้เสียหายจากนำข้อมูลส่วนบุคคลไปใช้ในทางที่ไม่ถูกต้องจากกลุ่มผู้ไม่หวังดี อาทิ การรั่วไหลของข้อมูลส่วนบุคคลจากเครือข่ายมือถือ นำไปสู่การช่องทางในการกระทำผิดของเหล่ามิจฉาชีพจนก่อให้เกิดความเสียหายเป็นจำนวนมาก ยังรวมไปถึงก็นำข้อมูลอย่างเบอร์โทรศัพท์ของลูกค้าไปติดต่อส่วนตัว ซึ่งก็เป็นอีกช่องทางของผู้ไม่หวังดีและพวกโรคจิต
ประโยชน์ที่ได้รับจากกฎหมาย PDPA
ประชาชน
- รับทราบวัตถุประสงค์ของการจัดเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลอย่างแจ้งชัด
- ขอให้ลบ ทำลาย หรือขอให้ระงับการใช้ข้อมูลส่วนบุคคลได้
- สามารถร้องเรียนและขอให้ชดใช้ค่าสินไหมทดแทน หากมีการใช้ข้อมูลฯ นอกเหนือจากวัตถุประสงค์ที่แจ้งไว้แต่แรก
- ลดความเดือดร้อนรำคาญ หรือความเสียหายอันเกิดจากการละเมิดข้อมูลส่วนบุคคล
หน่วยงานรัฐและเอกชน
- ยกระดับความเชื่อมั่นในมาตรฐานการจัดเก็บ ใช้ หรือ เผยแพร่ข้อมูลส่วนบุคคล ในระดับนานาชาติ
- มีขอบเขตในการจัดเก็บ ใช้ หรือ เผยแพร่ข้อมูลส่วนบุคคลที่ชัดเจน
- การดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลมีความโปร่งใส รับผิดชอบต่อสังคม ตรวจสอบได้
ประเทศ
- มีมาตรการในการกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล ส่งเสริมภาพลักษณ์ที่ดีของประเทศ
- มีเครื่องมือในการกำกับการดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคล
- สามารถสร้างสังคมที่เข้มแข็ง เนื่องจากสามารถตรวจสอบการดำเนินงานภาครัฐและภาคธุรกิจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลให้มีความถูกต้องเหมาะสม
พระราชบัญญัตินี้ ไม่ใช้บังคับในบางกรณี
1) การเก็บรวบรวม ใช้ หรือเปิดเผย เพื่อประโยชน์ส่วนตน หรือ เพื่อกิจกรรมในครอบครัวของบุคคลนั้น
2) การดำเนินการของหน่วยงานรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ความมั่นคงทางการคลังของรัฐ การรักษาความปลอดภัยของประชาชน การป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ การรักษาความมั่นคงปลอดภัยทางไซเบอร์
3) การเก็บรวบรวมเพื่อกิจการสื่อสารมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพ หรือ เป็นประโยชน์สาธารณะเท่านั้น
4) สภาผู้แทนราษฎร วุฒิสภา รัฐสภา คณะกรรมาธิการ ตามอำนาจและหน้าที่ของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา และคณะกรรมาธิการ
5) การพิจารณาพิพากษาคดีของศาล การดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดี การวางทรัพย์ การดำเนินงานตามกระบวนการยุติธรรมทางอาญา
6) การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต
ข้อมูลส่วนบุคคลภายใต้การคุ้มครองของ PDPA มีอะไรบ้าง?
ข้อมูลส่วนบุคคล (Personal Data)
ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ และไม่รวมข้อมูลของนิติบุคคล ได้แก่
- ชื่อ-นามสกุล
- เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน
- เลขบัตรประชาชน
- เลขหนังสือเดินทาง
- เลขใบอนุญาตขับขี่
- ข้อมูลทางการศึกษา
- ข้อมูลทางการเงิน
- ข้อมูลทางการแพทย์
- ทะเบียนรถยนต์
- โฉนดที่ดิน
- ทะเบียนบ้าน
- วัน/เดือน/ปีเกิด
- สัญชาติ
- น้ำหนักส่วนสูง
- ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password, Cookies IP address, GPS Location
ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data)
ข้อมูลที่ต้องระมัดระวังเป็นพิเศษในการเก็บรวบรวม หรือประมวลผล เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ทั้งนี้ กฎหมายให้การคุ้มครองข้อมูลที่อ่อนไหวเข้มงวดกว่าข้อมูลส่วนบุคคลธรรมดา
ผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลภายใต้ PDPA
เจ้าของข้อมูลส่วนบุคคล (Data Subject)
ซึ่งหมายถึงข้อมูลที่อยู่ในตัวหรือเกี่ยวข้องเชื่อมโยงไปถึงบุคลหนึ่งบุคคลใดที่เป็นของบุคคล คน นั้น
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
คือคน บริษัทหรือองค์กรต่าง ๆ ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน อาทิเช่น เช่น ธนาคารแห่งประเทศไทย บริษัท บัตรกดเงินสด จำกัด บริษัท รับแลกเงินตรา จำกัด (มหาชน) ห้างหุ้นส่วนจำกัด ตู้เติมเงิน เจ้าของเพจร้านขายทุกอย่าง
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคล ซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (และไม่ใช่เจ้าหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล) เช่น ห้างหุ้นส่วนจำกัดรับทำนามบัตร freelance รับดูแลเพจร้านค้า บริษัท รับจัดการออร์เดอร์สินค้า จำกัด บริษัท รับทำบัญชี จำกัด
การเก็บรวบรวมข้อมูลส่วนบุคคลตาม PDPA
- Consent : ได้รับการยินยอม
- Vital Interest : ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
- Contract : จำเป็นเพื่อการปฏิบัติตามสัญญา
- Public Task : จำเป็นเพื่อประโยชน์สาธารณะหรือปฏิบัติหน้าที่ในการใช้อำนาจ
- Legitimate Interest : จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคล หรือนิติบุคคลอื่น
- Legal Obligations : การปฏิบัติตามกฎหมาย
- Research : เอกสารประศาสตร์ / วิจัย / สถิติ
บทลงโทษหากไม่ปฎิบัติตาม PDPA
- โทษทางอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
- โทษทางแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า
- โทษทางปกครอง: ปรับไม่เกิน 1 หรือ 3 หรือ 5 ล้านบาท
PDPA ยกเว้นไม่ใช้บังคับกับกิจกรรมในครอบครัว
การเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล เพื่อกิจกรรมในครอบครัว ซึ่งเป็นกรณีที่ได้รับการยกเว้น อาทิ
- การจัดทำแผนผังครอบครัว
- การติดกล้องวงจรปิดในบริเวณบ้าน
- การถ่ายรูปบุคคลในครอบครัว
ข้อกังวลเกี่ยวกับ PDPA
ในเรื่องนี้นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจเเละสังคม (ดีอีเอส) ได้อธิบายถึงข้อกังวลประชาชนกังวลในการ ‘ถ่ายภาพ’ ว่าจะมีความผิดตามกฎหมายหรือไม่นั้น ระบุว่า การที่เราไปถ่ายภาพแล้วไปติดบุคคลอื่นเข้ามาในภาพ ซึ่งเราไม่รู้จักแล้วติดโดยบังเอิญ อันนี้ไม่มีความผิด
แม้ว่าเราจะเอาภาพนั้นไปโพสต์ไปใช้ในเรื่องส่วนตัว ถ้าไม่ได้ไปทำให้เค้าเสียหาย ไม่ได้ตั้งใจไปให้เค้าเกิดความเสื่อมเสีย มันไม่มีความผิด อันนี้ไม่ถือว่าเป็นความผิดพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล รวมถึงเรื่องกล้องวงจรปิดที่เราติดไว้ที่บ้าน แล้วไปติดภาพของคนที่เดินผ่านไปผ่านมา ถ้าเราไม่ได้เอาไปใช้ประโยชน์ในทางที่มิชอบ เป็นข้อมูลที่เราเก็บไว้เพื่อป้องกันอาชญากรรมก็ไม่มีความผิด
อย่างไรก็ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือที่เรียกย่อ ๆ ว่า PDPA เป็นกฎหมายที่คุ้มครองสิทธิของประชาชน ดูแลประชาชนในเรื่องข้อมูลข่าวสารของท่าน ไม่ใช่กฎหมายที่มุ่งจะไปเอาผิดหรือลงโทษใครเพราะงั้นไม่ต้องวิตกกังวล เพียงแต่ว่า ถ้าข้อมูลของท่านมีการรั่วไหล มีการนำไปใช้ที่ไม่ถูกต้อง ท่านก็ร้องเรียนติดต่อเข้ามาได้ ตามกฎหมายก็สามารถดำเนินคดีเอาผิดกับคนที่เอาข้อมูลไปใช้ได้ ก็ทำให้ข้อมูลส่วนตัวของท่านได้รับความคุ้มครอง เป็นประโยชน์ต่อพี่น้องประชาชนทุกคนแน่นอน
ข้อมูล :
- สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
