รู้จัก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2565
รู้จัก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2565
เชื่อว่าหลายคนน่าจะคุ้นหูกับชื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมาย PDPA มาไม่มากก็น้อย เพราะพระราชบัญญัติฉบับนี้ถูกเผยแพร่บนเว็บไซต์ราชกิจจานุเบกษา ก่อนที่คณะรัฐมนตรี (ครม.) มีมติเห็นชอบออกพระราชกฤษฎีกาขยายเวลาบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ออกไป ทำให้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จะมีผลใช้บังคับในวันที่ 1 มิถุนายน 2565 หลังจากเลื่อนการประกาศใช้มาแล้ว 2 ปี
โดยเริ่มใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 สหกรณ์ฯ จึงได้รวบรวมเรื่องน่ารู้เกี่ยวกับกฎหมาย PDPA มาฝาก เพื่อให้พร้อมรับมือกับเรื่องนี้
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คืออะไร
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ซึ่งย่อมาจากคำว่า Personal Data Protection Act B.E. 2562 (2019) เป็นกฎหมายที่ช่วยสร้างความเชื่อมั่นให้ประชาชนว่าข้อมูลส่วนบุคคลจะถูกนำไปใช้อย่างเป็นธรรม โปร่งใส และได้รับการดูแลมิให้มีการนำข้อมูลไปใช้งานในทางที่ผิด ทั้งกำหนดให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลใด ต้องมีการขออนุญาตจากเจ้าของข้อมูลหรือตามที่มีการบัญญัติไว้ในกฎหมาย และต้องแจ้งวัตถุประสงค์ในการนำข้อมูลไปใช้และต้องใช้ตรงตามวัตถุประสงค์ที่แจ้งด้วย นี่ถือเป็นการเปลี่ยนแปลงที่สำคัญในด้านความปลอดภัยข้อมูลส่วนตัวของประชาชนในยุคดิจิตัล
เช็คลิสต์สาระสำคัญ 10 ข้อที่ต้องรู้เกี่ยวกับกฎหมาย PDPA
1. ข้อมูลส่วนบุคคล
เป็นข้อมูลเกี่ยวกับบุคคลที่ทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมแต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมเฉพาะ เช่น ชื่อ ที่อยู่ หมายเลขประจำตัวประชาชน ข้อมูลสุขภาพ ฯลฯ (มาตรา 6)
2. ผู้ควบคุมข้อมูลส่วนบุคคล
สำหรับผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเอาไว้ก่อหรือในขณะเก็บรวบรวม (ห้ามใช้นอกเหนือวัถตุประสงค์) (มาตรา 21 )
3. ผู้ควบคุมข้อมูลส่วนบุคคล
ผู้ควบคุมข้อมูลส่วนบุคคลต้องเก็บรวบรวมข้อมูลส่วนบุคคลของเราเท่าที่จำเป็น ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย (มาตรา 22) ใช้ข้อมูลของเราให้น้อยที่สุด
4. ความยินยอม
เป็นฐานการประมวลผลฐานหนึ่งเท่านั้น “ผู้ควบคุมข้อมูลส่วนบุคคล” มีหน้าที่ในการกำหนดฐานการประมวลผลให้สอดคล้องกับลักษณะการประมวลผลและความสัมพันธ์ระหว่าง “ผู้ควบคุมข้อมูล” กับ “เจ้าของข้อมูลส่วนบุคคล” (ตามมาตร 24 หรือมาตรา 26)
5. ในการขอความยินยอม
ทุกครั้งที่มีการขอความยินยอมผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างที่สุดในความเป็นอิสระของ “เจ้าของข้อมูลส่วนบุคคล” (ต้องไม่มีสภาพบังคับในการให้/ไม่ให้) (มาตรา 19 วรรคสี่)
6. เจ้าของข้อมูลส่วนบุคคล มีสิทธิต่าง ๆ ดังนี้
- สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้ (มาตรา 19 วรรคห้า)
- สิทธิได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice) (มาตรา 23)
- สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล (มาตรา 30)
- สิทธิขอให้โอนข้อมูลส่วนบุคคล (มาตรา 31)
- สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (มาตรา 32)
- สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (มาตรา 34)
- สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล (มาตรา 34)
- สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล (มาตรา 35)
7. กฎหมาย PDPA
ให้กับการประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย ไม่ว่าจะมีสัญชาติใดก็ตาม (มาตรา 5)
8.ในกรณีที่เหตุการละเมิดข้อมูลส่วนบุคคล
มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของ “เจ้าของข้อมูลส่วนบุคคล” กฎหมายกำหนดให้ “ผู้ควบคุมข้อมูลส่วนบุคคล” มีหน้าที่ แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า (มาตรา 37(4))
9. ผู้ควบคุมข้อมูลส่วนบุคคล
มีหน้าที่จัดทำบันทึกรายการกิจกรรม เพื่อให้สำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้
10. เจ้าของข้อมูลส่วนบุคคล
มีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่มีการฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA หรือ ประกาศฯ ที่ออกตาม PDPA ทั้งนี้ กระบวนการร้องเรียนเป็นไปตามระเบียบที่คณะกรรมการฯ ประกาศกำหนด (มาตรา 73)
ไขข้อสงสัยเกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
ถ้าถ่ายรูปหรือคลิปติดบุคคลอื่นโดยเจ้าตัวไม่ยินยอม มีความผิดตามกฎหมาย PDPA หรือไม่
คำตอบ : กรณีการรูปถ่ายหรือถ่ายคลิปแล้วมีภาพของบุคคลอื่นติดเข้ามาในเฟรมโดยที่ผู้ถ่ายไม่มีเจตนา ทั้งภาพที่ปรากฎไม่ก่อให้เกิดความเสียหายกับผู้ถูกถ่าย ถือว่าทำได้ หากเป็นการใช้เพื่อวัตถุประสงค์ส่วนตัว แต่หากถ่ายรูปคนอื่นติดมาในภาพแล้วนำไปทำให้เกิดความเสียหายนั้นถือเป็นการละเมิดสิทธิส่วนบุคคล ก็สามารถฟ้องเอาผิดละเมิดสิทธิได้ โดยไม่จำเป็นต้องใช้กฎหมาย PDPA
หากนำรูปถ่ายหรือวีดีโอไปโพสต์โซเชียลมีเดีย โดยเจ้าตัวไม่ยินยอม จะผิดตามกฎหมาย PDPA ไหม
คำตอบ : หากใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้ภาพหรือคลิปเพื่อแสวงหากำไรทางการค้า ทั้งไม่ก่อให้เกิดความเสียหายต่อผู้ถูกถ่าย คุณสามารถนำรูปถ่ายหรือวีดีโอไปโพสต์โซเชียลมีเดีย
ติดกล้องวงจรปิดแล้วไม่มีป้ายแจ้งเตือนผิดกฎหมาย PDPA หรือไม่
คำตอบ : สำหรับการติดกล้องวงจรปิดภายในบ้าน เพื่อป้องกันอาชญากรรมและรักษาความปลอดภัยกับตัวเจ้าของบ้านเองนั้น ไม่จำเป็นต้องมีป้ายแจ้งเตือน
กฎหมาย PDPA จะทำให้แก๊ง Call Center ลดลงได้หรือไม่
คำตอบ : แม้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะทำให้ข้อมูลในอนาคตไม่หลุดรั่วออกไป เนื่องจาก พ.ร.บ. ดังกล่าวมีส่วนช่วยให้ทุกภาคส่วนเก็บข้อมูล และระมัดระวังความปลอดภัยมากยิ่งขึ้น แต่การทำให้แก๊ง Call Center ลดลงหรือหายไปนั้น จำเป็นต้องอาศัยความร่วมมือจากคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) กรมสอบสวนคดีพิเศษ (ดีเอสไอ) และโอเปอเรเตอร์ ผู้ให้บริการเครือข่ายด้วย
เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้
คำตอบ : ไม่จำเป็น ต้องขอความยินยอม หากการใช้ข้อมูลดังกล่าว
(1) เป็นการทำตามสัญญา
(2) เป็นการใช้ที่มีกฎหมายให้อำนาจ
(3) เป็นการใช้เพื่อรักษาชีวิตและ/หรือร่างกายของบุคคล
(4) เป็นการใช้เพื่อการค้นคว้าวิจัยทางสถิติ
(5) เป็นการใช้เพื่อประโยชน์สาธารณะ
(6) เป็นการใช้เพื่อปกป้องผลประโยชน์ หรือสิทธิของตนเอง
รู้ไว้ไม่เสียหาย 8 บทลงโทษตามกฎหมาย PDPA
(1) การกระทำใดๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล มาตรา 83 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 3,000,000 บาท
(2) การเก็บข้อมูลที่มีความอ่อนไหวโดยไม่ได้รับความยินยอมโดยชัดแจ้ง และน่าจะทำให้เจ้าของข้อมูลเสียหาย มาตรา 79 วรรคสอง กำหนดโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท
(3) การเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม และน่าจะทำให้เจ้าของข้อมูลเสียหาย มาตรา 79 กำหนดโทษจำคุกไม่เกิน 6 เดือน ปรับไม่เกิน 500,000 บาท ถ้าผู้ประกอบการเปิดเผยข้อมูลเพื่อแสวงหาประโยชน์ที่มิควรได้ โดยไม่ได้รับความยินยอมตามมาตรา 79 วรรคสอง กำหนดโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1,000,000 บาท
(4) การกระทำใด ๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้ผ่านการขอความยินยอมตามรูปแบบที่ถูกต้อง มาตรา 82 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 1,000,000 บาท
(5) การกระทำใด ๆ กับข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้แจ้งวัตถุประสงค์ แจ้งรายละเอียด และแจ้งสิทธิของเจ้าของข้อมูล มาตรา 82 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 1,000,000 บาท
(6) การเก็บข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ได้จากเจ้าของข้อมูลโดยตรง โดยไม่มีข้อยกเว้นให้เก็บข้อมูลได้ มาตรา 83 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 3,000,000 บาท
(7) ในการตรวจสอบข้อเท็จจริง คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งให้ส่งเอกสารหรือให้ข้อมูล หรือเรียกบุคคลมาชี้แจงข้อมูลได้ หากมีความจำเป็นก็อาจยื่นคำร้องต่อศาลเพื่อขอเข้าค้น และยึดเอกสารเพื่อตรวจสอบข้อเท็จจริงได้ หากผู้ประกอบกิจการได้รับคำสั่งจากคณะกรรมการผู้เชี่ยวชาญแล้วไม่ให้ความร่วมมือ ไม่มาชี้แจงข้อเท็จจิรง มาตรา 89 กำหนดโทษปรับทางปกครองไว้ สูงสุดไม่เกิน 500,000 บาท
(8) มาตรา 77 กำหนดว่า ผู้ประกอบการที่ฝ่าฝืน พ.ร.บ. ข้อมูลส่วนบุคคลฯ ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลต้องชดใช้ค่าเสียหายแก่เจ้าของข้อมูล เว้นแต่เป็นเหตุสุดวิสัย หรือความเสียหายเกิดจากการกระทำของเจ้าของข้อมูลเอง หรือเป็นการปฏิบัติตามคำสั่งตามกฎหมายของเจ้าหน้าที่
และนี่คือสาระน่ารู้บางส่วนเกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่กำลังมีผลบังคับใช้อย่างเป็นทางการในวันที่ 1 มิถุนายน 2565 ดังนั้นประชาชนควรศึกษาและทำความเข้าใจอย่างละเอียด เพื่อป้องกันไม่ให้ตนเองถูกละเมิดสิทธิ หรือพลาดพลั้งไปละเมิดสิทธิบุคคลอื่นโดยไม่รู้ตัวในอนาคต
อ้างอิงข้อมูล : พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล