Forum

ข้อควรรู้เบื้องต้นเ...
 
แบ่งปัน:
การแจ้งเตือน
ลบทั้งหมด

ข้อควรรู้เบื้องต้นเกี่ยวกับ PDPA

1 โพสต์
1 ผู้ใช้
0 Reactions
1,115 เข้าชม
(@chantarat-hir)
Active Member
เข้าร่วม: 5 ปี ที่ผ่านมา
กระทู้: 6
หัวข้อเริ่มต้น  

ข้อควรรู้เบื้องต้นเกี่ยวกับ PDPA

 

Personal Data Protection Act (PDPA)

       พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เป็นกฎหมายที่กำหนดหลักเกณฑ์ กลไก และมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลในความดูแลขององค์กรต่าง ๆ ทั้งภาครัฐและเอกชน ว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล และรับรองสิทธิแก่เจ้าของข้อมูลส่วนบุคคลในการนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต ตลอดจนกำหนดมาตรการการเยียวยาเจ้าของข้อมูลส่วนบุคคลหากเกิดเหตุละเมิดอย่างเหมาะสม เพื่อให้เป็นไปตามมาตรฐานสากล โดยกฎหมาย PDPA Thailand (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ได้ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และปัจจุบันได้ถูกเลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565

 

ข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของ PDPA

       ข้อมูลส่วนบุคคล (Personal Data) เป็นข้อมูลที่สามารถใช้เพื่อระบุตัวตนของเจ้าของข้อมูลที่เป็นบุคคลธรรมดาคน ๆ นึงได้ ไม่ว่าทางตรงและทางอ้อม นอกจากนี้ ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) องค์กรหรือหน่วยงานจะต้องระมัดระมังมากเป็นพิเศษ เพราะเป็นข้อมูลที่ส่งผลกระทบต่อสิทธิเสรีภาพของบุคคล (เจ้าของข้อมูล) ทั้งในแง่ของการทำงาน สังคม และชีวิตความเป็นอยู่ ซึ่งอาจก่อให้เกิดการแทรกแซงและการเลือกปฏิบัติต่อการใช้สิทธิเสรีภาพได้ PDPA จึงกำหนดบทลงโทษที่รุนแรงกว่าข้อมูลส่วนบุคคลทั่วไป หากใช้ข้อมูลนั้นไม่ถูกต้องอาจมีโทษอาญาที่ต้องติดคุกได้ สรุปดังนี้

ข้อมูลส่วนบุคคลทั่วไป (Personal Data) ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data)
  • ชื่อ-นามสกุล

  • เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน

  • เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่

  • ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์

  • ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน

  • วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง

  • ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username, Password, Cookies IP address, GPS Location

  • เชื้อชาติ เผ่าพันธุ์

  • ความคิดเห็นทางการเมือง

  • ความเชื่อในลัทธิ ศาสนาหรือปรัชญา

  • พฤติกรรมทางเพศ

  • ประวัติอาชญากรรม

  • ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์

  • ข้อมูลสหภาพแรงงาน

  • ข้อมูลพันธุกรรม

  • ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

 

ผู้มีส่วนเกี่ยวข้องและสิทธิของเจ้าของข้อมูลส่วนบุคคล

       ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สามารถแบ่งผู้ที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล ได้เป็น 3 ประเภท และให้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right) สรุปดังนี้

ผู้ที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล
  1. เจ้าของข้อมูลส่วนบุคคล (Data Subject): บุคคลที่ข้อมูลสามารถระบุไปถึงได้

  2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller): บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยเปรียบเสมือนผู้ดูแลระบบ เป็นฝ่ายปฏิบัติงาน มีหน้าที่เก็บรวบรวม และนำข้อมูลส่วนบุคคลที่ขอความยินยอม (Consent) จากเจ้าของข้อมูลไปใช้ เมื่อได้ข้อมูลมาแล้ว ก็ต้องจัดให้มีมาตรการรักษาความปลอดภัยข้อมูลด้วย

  3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor): บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

  • สิทธิได้รับการแจ้งให้ทราบ

  • สิทธิขอเข้าถึงข้อมูลส่วนบุคคล

  • สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

  • สิทธิขอให้ลบหรือทำลาย

  • สิทธิในการเพิกถอนความยินยอม

  • สิทธิขอให้ระงับการใช้ข้อมูล

  • สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล

  • สิทธิในการขอให้โอนข้อมูลส่วนบุคคล

 

บทลงโทษเกี่ยวกับการไม่ปฏิบัติตาม PDPA

  • โทษทางแพ่ง: กำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด และอาจจะต้องจ่ายบวกเพิ่มอีกเป็นค่าค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่าของค่าเสียหายจริง
  • โทษทางอาญา: มีทั้งโทษจำคุกและโทษปรับ โดยมีโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ โดยโทษสูงสุดดังกล่าวจะเกิดจากการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศ ประเภทข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ส่วนกรณีหากผู้กระทำความผิด คือ องค์กร (นิติบุคคล) ในส่วนตรงนี้อาจจะตกมาที่ผู้บริหาร กรรมการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานขององค์กรนั้น ๆ ที่จะต้องได้รับการลงโทษจำคุกแทน
  • โทษทางปกครอง: มีโทษปรับตั้งแต่ 1 ล้านบาทจนถึงสูงสุดไม่เกิน 5 ล้านบาท ซึ่งโทษปรับสูงสุด 5 ล้านบาท จะเป็นกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ซึ่งโทษทางปกครองนี้จะแยกต่างหากกับการชดใช้ค่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทางอาญาด้วย

 

ไขข้อข้องใจของประชาชนทั่วไปเกี่ยวกับ PDPA

ประเด็น คำตอบ
  1. การถ่ายรูป-ถ่ายคลิป ติดภาพคนอื่นโดยเจ้าตัวไม่ยินยอมจะผิด PDPA หรือไม่?
  • กรณีการถ่ายรูป-ถ่ายคลิปโดยติดบุคคลอื่นโดยผู้ถ่ายรูป-ถ่ายคลิปไม่เจตนา และการถ่ายรูปถ่ายคลิปดังกล่าวไม่ได้ก่อให้เกิดความเสียหายกับผู้ถูกถ่าย สามารถทำได้ หากเป็นการใช้เพื่อวัตถุประสงค์ส่วนตัว

    2. การนำคลิปหรือรูปถ่ายที่ติดคนอื่นไปโพสต์ในโซเชียลมีเดียโดยบุคคลอื่นไม่ยินยอมจะผิด PDPA หรือไม่?

  • สามารถโพสต์ได้ หากใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้แสวงหากำไรทางการค้าและไม่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล

    3. การติดกล้องวงจรปิดแล้วไม่มีป้ายแจ้งเตือนผิด PDPA หรือไม่?

  • การติดกล้องวงจรปิด ภายในบ้าน ไม่จำเป็นต้องมีป้ายแจ้งเตือน หากเพื่อป้องกันอาชญากรรม และรักษาความปลอดภัยกับตัวเจ้าของบ้าน

    4. เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้หรือไม่?

  • ไม่จำเป็น ต้องขอความยินยอม หากการใช้ข้อมูลดังกล่าว มีลักษณะดังต่อไปนี้

    (1)    เป็นการทำตามสัญญา

    (2)    เป็นการใช้ที่มีกฎหมายให้อำนาจ

    (3)    เป็นการใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล

    (4)    เป็นการใช้เพื่อการค้นคว้าวิจัยทางสถิติ

    (5)    เป็นการใช้เพื่อประโยชน์สาธารณะ

    (6)    เป็นการใช้เพื่อปกป้องผลประโยชน์ หรือสิทธิของตนเอง

หมายเหตุ:

  1. หลักการข้างต้น อาจเปลี่ยนแปลงตามข้อเท็จจริงที่เกิดขึ้นเป็นกรณี ๆ ไป
  2. มาตรา 4(1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บข้อมูลเพื่อประโยชน์ส่วนตน หรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น

 


เอกสารอ้างอิง (References)

  1. กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม. 4 เรื่องไม่จริงเกี่ยวกับ PDPA. PDPC Thailand Facebook [อินเทอร์เน็ต]. 30 พ.ค. 2565 - [สืบค้นเมื่อวันที่ 4 มิ.ย. 2565]. เข้าถึงได้จาก: https://www.facebook.com/pdpc.th
  2. EasyPDPA. บทความสาระ: PDPA คืออะไร? - สรุป PDPA เกี่ยวกับธุรกิจที่คุณควรรู้! ฉบับเข้าใจง่าย. Easy Company Group Company Limited [อินเทอร์เน็ต]. 11 ต.ค. 2564 - [สืบค้นเมื่อวันที่ 4 มิ.ย. 2565]. เข้าถึงได้จาก: https://easypdpa.com/article/easypdpa-summary-what-is-pdpa
  3. Thailand Regulatory Platform. บทความ: PDPA คืออะไร ?. บริษัท แร็กน่าร์ คอร์ปอเรชั่น จำกัด [อินเทอร์เน็ต]. 24 พ.ค. 2564 - [สืบค้นเมื่อวันที่ 4 มิ.ย. 2565]. เข้าถึงได้จาก: https://t-reg.co/blog/t-reg-knowledge/what-is-pdpa/

นางสาวจันทรัตน์ หิรัญกิจรังษี
นักวิเคราะห์นโยบายและแผน
สถาบันนวัตกรรมการเรียนรู้ มหาวิทยาลัยมหิดล


   
อ้างอิง
แบ่งปัน:
1,378,738 views since 16 August 2018