ข้อควรรู้เบื้องต้นเกี่ยวกับ PDPA
Personal Data Protection Act (PDPA)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เป็นกฎหมายที่กำหนดหลักเกณฑ์ กลไก และมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลในความดูแลขององค์กรต่าง ๆ ทั้งภาครัฐและเอกชน ว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล และรับรองสิทธิแก่เจ้าของข้อมูลส่วนบุคคลในการนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต ตลอดจนกำหนดมาตรการการเยียวยาเจ้าของข้อมูลส่วนบุคคลหากเกิดเหตุละเมิดอย่างเหมาะสม เพื่อให้เป็นไปตามมาตรฐานสากล โดยกฎหมาย PDPA Thailand (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ได้ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และปัจจุบันได้ถูกเลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565
ข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของ PDPA
ข้อมูลส่วนบุคคล (Personal Data) เป็นข้อมูลที่สามารถใช้เพื่อระบุตัวตนของเจ้าของข้อมูลที่เป็นบุคคลธรรมดาคน ๆ นึงได้ ไม่ว่าทางตรงและทางอ้อม นอกจากนี้ ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) องค์กรหรือหน่วยงานจะต้องระมัดระมังมากเป็นพิเศษ เพราะเป็นข้อมูลที่ส่งผลกระทบต่อสิทธิเสรีภาพของบุคคล (เจ้าของข้อมูล) ทั้งในแง่ของการทำงาน สังคม และชีวิตความเป็นอยู่ ซึ่งอาจก่อให้เกิดการแทรกแซงและการเลือกปฏิบัติต่อการใช้สิทธิเสรีภาพได้ PDPA จึงกำหนดบทลงโทษที่รุนแรงกว่าข้อมูลส่วนบุคคลทั่วไป หากใช้ข้อมูลนั้นไม่ถูกต้องอาจมีโทษอาญาที่ต้องติดคุกได้ สรุปดังนี้
ข้อมูลส่วนบุคคลทั่วไป (Personal Data) | ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) |
|
|
ผู้มีส่วนเกี่ยวข้องและสิทธิของเจ้าของข้อมูลส่วนบุคคล
ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สามารถแบ่งผู้ที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล ได้เป็น 3 ประเภท และให้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right) สรุปดังนี้
ผู้ที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล | สิทธิของเจ้าของข้อมูลส่วนบุคคล |
|
|
บทลงโทษเกี่ยวกับการไม่ปฏิบัติตาม PDPA
- โทษทางแพ่ง: กำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด และอาจจะต้องจ่ายบวกเพิ่มอีกเป็นค่าค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่าของค่าเสียหายจริง
- โทษทางอาญา: มีทั้งโทษจำคุกและโทษปรับ โดยมีโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ โดยโทษสูงสุดดังกล่าวจะเกิดจากการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศ ประเภทข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ส่วนกรณีหากผู้กระทำความผิด คือ องค์กร (นิติบุคคล) ในส่วนตรงนี้อาจจะตกมาที่ผู้บริหาร กรรมการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานขององค์กรนั้น ๆ ที่จะต้องได้รับการลงโทษจำคุกแทน
- โทษทางปกครอง: มีโทษปรับตั้งแต่ 1 ล้านบาทจนถึงสูงสุดไม่เกิน 5 ล้านบาท ซึ่งโทษปรับสูงสุด 5 ล้านบาท จะเป็นกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ซึ่งโทษทางปกครองนี้จะแยกต่างหากกับการชดใช้ค่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทางอาญาด้วย
ไขข้อข้องใจของประชาชนทั่วไปเกี่ยวกับ PDPA
ประเด็น | คำตอบ |
|
|
2. การนำคลิปหรือรูปถ่ายที่ติดคนอื่นไปโพสต์ในโซเชียลมีเดียโดยบุคคลอื่นไม่ยินยอมจะผิด PDPA หรือไม่? |
|
3. การติดกล้องวงจรปิดแล้วไม่มีป้ายแจ้งเตือนผิด PDPA หรือไม่? |
|
4. เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้หรือไม่? |
|
หมายเหตุ:
- หลักการข้างต้น อาจเปลี่ยนแปลงตามข้อเท็จจริงที่เกิดขึ้นเป็นกรณี ๆ ไป
- มาตรา 4(1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บข้อมูลเพื่อประโยชน์ส่วนตน หรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น
เอกสารอ้างอิง (References)
- กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม. 4 เรื่องไม่จริงเกี่ยวกับ PDPA. PDPC Thailand Facebook [อินเทอร์เน็ต]. 30 พ.ค. 2565 - [สืบค้นเมื่อวันที่ 4 มิ.ย. 2565]. เข้าถึงได้จาก: https://www.facebook.com/pdpc.th
- EasyPDPA. บทความสาระ: PDPA คืออะไร? - สรุป PDPA เกี่ยวกับธุรกิจที่คุณควรรู้! ฉบับเข้าใจง่าย. Easy Company Group Company Limited [อินเทอร์เน็ต]. 11 ต.ค. 2564 - [สืบค้นเมื่อวันที่ 4 มิ.ย. 2565]. เข้าถึงได้จาก: https://easypdpa.com/article/easypdpa-summary-what-is-pdpa
- Thailand Regulatory Platform. บทความ: PDPA คืออะไร ?. บริษัท แร็กน่าร์ คอร์ปอเรชั่น จำกัด [อินเทอร์เน็ต]. 24 พ.ค. 2564 - [สืบค้นเมื่อวันที่ 4 มิ.ย. 2565]. เข้าถึงได้จาก: https://t-reg.co/blog/t-reg-knowledge/what-is-pdpa/
นางสาวจันทรัตน์ หิรัญกิจรังษี
นักวิเคราะห์นโยบายและแผน
สถาบันนวัตกรรมการเรียนรู้ มหาวิทยาลัยมหิดล