รู้จัก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2565

รู้จัก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2565

เชื่อว่าหลายคนน่าจะคุ้นหูกับชื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมาย PDPA มาไม่มากก็น้อย เพราะพระราชบัญญัติฉบับนี้ถูกเผยแพร่บนเว็บไซต์ราชกิจจานุเบกษา ก่อนที่คณะรัฐมนตรี (ครม.) มีมติเห็นชอบออกพระราชกฤษฎีกาขยายเวลาบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ออกไป ทำให้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จะมีผลใช้บังคับในวันที่ 1 มิถุนายน 2565 หลังจากเลื่อนการประกาศใช้มาแล้ว 2 ปี

โดยเริ่มใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 สหกรณ์ฯ จึงได้รวบรวมเรื่องน่ารู้เกี่ยวกับกฎหมาย PDPA มาฝาก เพื่อให้พร้อมรับมือกับเรื่องนี้

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คืออะไร

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ซึ่งย่อมาจากคำว่า Personal Data Protection Act B.E. 2562 (2019) เป็นกฎหมายที่ช่วยสร้างความเชื่อมั่นให้ประชาชนว่าข้อมูลส่วนบุคคลจะถูกนำไปใช้อย่างเป็นธรรม โปร่งใส และได้รับการดูแลมิให้มีการนำข้อมูลไปใช้งานในทางที่ผิด ทั้งกำหนดให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด ต้องมีการขออนุญาตจากเจ้าของข้อมูลหรือตามที่มีการบัญญัติไว้ในกฎหมาย และต้องแจ้งวัตถุประสงค์ในการนำข้อมูลไปใช้และต้องใช้ตรงตามวัตถุประสงค์ที่แจ้งด้วย นี่ถือเป็นการเปลี่ยนแปลงที่สำคัญในด้านความปลอดภัยข้อมูลส่วนตัวของประชาชนในยุคดิจิตัล

เช็คลิสต์สาระสำคัญ 10 ข้อที่ต้องรู้เกี่ยวกับกฎหมาย PDPA

1. ข้อมูลส่วนบุคคล

เป็นข้อมูลเกี่ยวกับบุคคลที่ทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมแต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมเฉพาะ เช่น ชื่อ ที่อยู่ หมายเลขประจำตัวประชาชน ข้อมูลสุขภาพ ฯลฯ (มาตรา 6)

2. ผู้ควบคุมข้อมูลส่วนบุคคล

สำหรับผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเอาไว้ก่อหรือในขณะเก็บรวบรวม (ห้ามใช้นอกเหนือวัถตุประสงค์) (มาตรา 21 )

3. ผู้ควบคุมข้อมูลส่วนบุคคล

ผู้ควบคุมข้อมูลส่วนบุคคลต้องเก็บรวบรวมข้อมูลส่วนบุคคลของเราเท่าที่จำเป็น ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย (มาตรา 22) ใช้ข้อมูลของเราให้น้อยที่สุด

4. ความยินยอม

เป็นฐานการประมวลผลฐานหนึ่งเท่านั้น “ผู้ควบคุมข้อมูลส่วนบุคคล” มีหน้าที่ในการกำหนดฐานการประมวลผลให้สอดคล้องกับลักษณะการประมวลผลและความสัมพันธ์ระหว่าง “ผู้ควบคุมข้อมูล” กับ “เจ้าของข้อมูลส่วนบุคคล” (ตามมาตร 24 หรือมาตรา 26)

5. ในการขอความยินยอม

ทุกครั้งที่มีการขอความยินยอมผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างที่สุดในความเป็นอิสระของ “เจ้าของข้อมูลส่วนบุคคล” (ต้องไม่มีสภาพบังคับในการให้/ไม่ให้) (มาตรา 19 วรรคสี่)

6. เจ้าของข้อมูลส่วนบุคคล มีสิทธิต่าง ๆ ดังนี้

• สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้ (มาตรา 19 วรรคห้า)
• สิทธิได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice) (มาตรา 23)
• สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล (มาตรา 30)
• สิทธิขอให้โอนข้อมูลส่วนบุคคล (มาตรา 31)
• สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (มาตรา 32)
• สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (มาตรา 34)
• สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล (มาตรา 34)
• สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล (มาตรา 35)

7. กฎหมาย PDPA

ให้กับการประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย ไม่ว่าจะมีสัญชาติใดก็ตาม (มาตรา 5)

8.ในกรณีที่เหตุการละเมิดข้อมูลส่วนบุคคล

มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของ “เจ้าของข้อมูลส่วนบุคคล” กฎหมายกำหนดให้ “ผู้ควบคุมข้อมูลส่วนบุคคล” มีหน้าที่ แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า (มาตรา 37(4))

9. ผู้ควบคุมข้อมูลส่วนบุคคล

มีหน้าที่จัดทำบันทึกรายการกิจกรรม เพื่อให้สำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้

10. เจ้าของข้อมูลส่วนบุคคล

มีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่มีการฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA หรือ ประกาศฯ ที่ออกตาม PDPA ทั้งนี้ กระบวนการร้องเรียนเป็นไปตามระเบียบที่คณะกรรมการฯ ประกาศกำหนด (มาตรา 73)

ไขข้อสงสัยเกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

ถ้าถ่ายรูปหรือคลิปติดบุคคลอื่นโดยเจ้าตัวไม่ยินยอม มีความผิดตามกฎหมาย PDPA หรือไม่

คำตอบ : กรณีการรูปถ่ายหรือถ่ายคลิปแล้วมีภาพของบุคคลอื่นติดเข้ามาในเฟรมโดยที่ผู้ถ่ายไม่มีเจตนา ทั้งภาพที่ปรากฎไม่ก่อให้เกิดความเสียหายกับผู้ถูกถ่าย ถือว่าทำได้ หากเป็นการใช้เพื่อวัตถุประสงค์ส่วนตัว แต่หากถ่ายรูปคนอื่นติดมาในภาพแล้วนำไปทำให้เกิดความเสียหายนั้นถือเป็นการละเมิดสิทธิส่วนบุคคล ก็สามารถฟ้องเอาผิดละเมิดสิทธิได้ โดยไม่จำเป็นต้องใช้กฎหมาย PDPA

หากนำรูปถ่ายหรือวีดีโอไปโพสต์โซเชียลมีเดีย โดยเจ้าตัวไม่ยินยอม จะผิดตามกฎหมาย PDPA ไหม

คำตอบ : หากใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้ภาพหรือคลิปเพื่อแสวงหากำไรทางการค้า ทั้งไม่ก่อให้เกิดความเสียหายต่อผู้ถูกถ่าย คุณสามารถนำรูปถ่ายหรือวีดีโอไปโพสต์โซเชียลมีเดีย

ติดกล้องวงจรปิดแล้วไม่มีป้ายแจ้งเตือนผิดกฎหมาย PDPA หรือไม่

คำตอบ : สำหรับการติดกล้องวงจรปิดภายในบ้าน เพื่อป้องกันอาชญากรรมและรักษาความปลอดภัยกับตัวเจ้าของบ้านเองนั้น ไม่จำเป็นต้องมีป้ายแจ้งเตือน

กฎหมาย PDPA จะทำให้แก๊ง Call Center ลดลงได้หรือไม่

คำตอบ : แม้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะทำให้ข้อมูลในอนาคตไม่หลุดรั่วออกไป เนื่องจาก พ.ร.บ. ดังกล่าวมีส่วนช่วยให้ทุกภาคส่วนเก็บข้อมูล และระมัดระวังความปลอดภัยมากยิ่งขึ้น แต่การทำให้แก๊ง Call Center ลดลงหรือหายไปนั้น จำเป็นต้องอาศัยความร่วมมือจากคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) กรมสอบสวนคดีพิเศษ (ดีเอสไอ) และโอเปอเรเตอร์ ผู้ให้บริการเครือข่ายด้วย

เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้

คำตอบ : ไม่จำเป็น ต้องขอความยินยอม หากการใช้ข้อมูลดังกล่าว

(1) เป็นการทำตามสัญญา

(2) เป็นการใช้ที่มีกฎหมายให้อำนาจ

(3) เป็นการใช้เพื่อรักษาชีวิตและ/หรือร่างกายของบุคคล

(4) เป็นการใช้เพื่อการค้นคว้าวิจัยทางสถิติ

(5) เป็นการใช้เพื่อประโยชน์สาธารณะ

(6) เป็นการใช้เพื่อปกป้องผลประโยชน์ หรือสิทธิของตนเอง

รู้ไว้ไม่เสียหาย 8 บทลงโทษตามกฎหมาย PDPA

---

(1) การกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล มาตรา 83 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 3,000,000 บาท

(2) การเก็บข้อมูลที่มีความอ่อนไหวโดยไม่ได้รับความยินยอมโดยชัดแจ้ง และน่าจะทำให้เจ้าของข้อมูลเสียหาย มาตรา 79 วรรคสอง กำหนดโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท

(3) การเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม และน่าจะทำให้เจ้าของข้อมูลเสียหาย มาตรา 79 กำหนดโทษจำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 500,000 บาท ถ้าผู้ประกอบการเปิดเผยข้อมูลเพื่อแสวงหาประโยชน์ที่มิควรได้ โดยไม่ได้รับความยินยอมตามมาตรา 79 วรรคสอง กำหนดโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท

(4) การกระทำใด ๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้ผ่านการขอความยินยอมตามรูปแบบที่ถูกต้อง มาตรา 82 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 1,000,000 บาท

(5) การกระทำใด ๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้แจ้งวัตถุประสงค์ แจ้งรายละเอียด และแจ้งสิทธิของเจ้าของข้อมูล มาตรา 82 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 1,000,000 บาท

(6) การเก็บข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ได้จากเจ้าของข้อมูลโดยตรง โดยไม่มีข้อยกเว้นให้เก็บข้อมูลได้ มาตรา 83 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 3,000,000 บาท

(7) ในการตรวจสอบข้อเท็จจริง คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งให้ส่งเอกสารหรือให้ข้อมูล หรือเรียกบุคคลมาชี้แจงข้อมูลได้ หากมีความจำเป็นก็อาจยื่นคำร้องต่อศาลเพื่อขอเข้าค้น และยึดเอกสารเพื่อตรวจสอบข้อเท็จจริงได้ หากผู้ประกอบกิจการได้รับคำสั่งจากคณะกรรมการผู้เชี่ยวชาญแล้วไม่ให้ความร่วมมือ ไม่มาชี้แจงข้อเท็จจิรง มาตรา 89 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 500,000 บาท

(8) มาตรา 77 กำหนดว่า ผู้ประกอบการที่ฝ่าฝืน พ.ร.บ. ข้อมูลส่วนบุคคลฯ ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลต้องชดใช้ค่าเสียหายแก่เจ้าของข้อมูล เว้นแต่เป็นเหตุสุดวิสัย หรือความเสียหายเกิดจากการกระทำของเจ้าของข้อมูลเอง หรือเป็นการปฏิบัติตามคำสั่งตามกฎหมายของเจ้าหน้าที่

และนี่คือสาระน่ารู้บางส่วนเกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่กำลังมีผลบังคับใช้อย่างเป็นทางการในวันที่ 1 มิถุนายน 2565 ดังนั้นประชาชนควรศึกษาและทำความเข้าใจอย่างละเอียด เพื่อป้องกันไม่ให้ตนเองถูกละเมิดสิทธิ หรือพลาดพลั้งไปละเมิดสิทธิบุคคลอื่นโดยไม่รู้ตัวในอนาคต

อ้างอิงข้อมูล : พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล