ข้อควรรู้เบื้องต้นเกี่ยวกับ PDPA

Personal Data Protection Act (PDPA)

       พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เป็นกฎหมายที่กำหนดหลักเกณฑ์ กลไก และมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลในความดูแลขององค์กรต่าง ๆ ทั้งภาครัฐและเอกชน ว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล และรับรองสิทธิแก่เจ้าของข้อมูลส่วนบุคคลในการนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต ตลอดจนกำหนดมาตรการการเยียวยาเจ้าของข้อมูลส่วนบุคคลหากเกิดเหตุละเมิดอย่างเหมาะสม เพื่อให้เป็นไปตามมาตรฐานสากล โดยกฎหมาย PDPA Thailand (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ได้ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และปัจจุบันได้ถูกเลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565

ข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของ PDPA

       ข้อมูลส่วนบุคคล (Personal Data) เป็นข้อมูลที่สามารถใช้เพื่อระบุตัวตนของเจ้าของข้อมูลที่เป็นบุคคลธรรมดาคน ๆ นึงได้ ไม่ว่าทางตรงและทางอ้อม นอกจากนี้ ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) องค์กรหรือหน่วยงานจะต้องระมัดระมังมากเป็นพิเศษ เพราะเป็นข้อมูลที่ส่งผลกระทบต่อสิทธิเสรีภาพของบุคคล (เจ้าของข้อมูล) ทั้งในแง่ของการทำงาน สังคม และชีวิตความเป็นอยู่ ซึ่งอาจก่อให้เกิดการแทรกแซงและการเลือกปฏิบัติต่อการใช้สิทธิเสรีภาพได้ PDPA จึงกำหนดบทลงโทษที่รุนแรงกว่าข้อมูลส่วนบุคคลทั่วไป หากใช้ข้อมูลนั้นไม่ถูกต้องอาจมีโทษอาญาที่ต้องติดคุกได้ สรุปดังนี้

ผู้มีส่วนเกี่ยวข้องและสิทธิของเจ้าของข้อมูลส่วนบุคคล

       ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สามารถแบ่งผู้ที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล ได้เป็น 3 ประเภท และให้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right) สรุปดังนี้

บทลงโทษเกี่ยวกับการไม่ปฏิบัติตาม PDPA

• โทษทางแพ่ง: กำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด และอาจจะต้องจ่ายบวกเพิ่มอีกเป็นค่าค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่าของค่าเสียหายจริง
• โทษทางอาญา: มีทั้งโทษจำคุกและโทษปรับ โดยมีโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ โดยโทษสูงสุดดังกล่าวจะเกิดจากการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศ ประเภทข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ส่วนกรณีหากผู้กระทำความผิด คือ องค์กร (นิติบุคคล) ในส่วนตรงนี้อาจจะตกมาที่ผู้บริหาร กรรมการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานขององค์กรนั้น ๆ ที่จะต้องได้รับการลงโทษจำคุกแทน
• โทษทางปกครอง: มีโทษปรับตั้งแต่ 1 ล้านบาทจนถึงสูงสุดไม่เกิน 5 ล้านบาท ซึ่งโทษปรับสูงสุด 5 ล้านบาท จะเป็นกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ซึ่งโทษทางปกครองนี้จะแยกต่างหากกับการชดใช้ค่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทางอาญาด้วย

ไขข้อข้องใจของประชาชนทั่วไปเกี่ยวกับ PDPA

หมายเหตุ:

1. หลักการข้างต้น อาจเปลี่ยนแปลงตามข้อเท็จจริงที่เกิดขึ้นเป็นกรณี ๆ ไป
2. มาตรา 4(1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บข้อมูลเพื่อประโยชน์ส่วนตน หรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น

เอกสารอ้างอิง (References)

1. กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม. 4 เรื่องไม่จริงเกี่ยวกับ PDPA. PDPC Thailand Facebook [อินเทอร์เน็ต]. 30 พ.ค. 2565 - [สืบค้นเมื่อวันที่ 4 มิ.ย. 2565]. เข้าถึงได้จาก: https://www.facebook.com/pdpc.th
2. EasyPDPA. บทความสาระ: PDPA คืออะไร? - สรุป PDPA เกี่ยวกับธุรกิจที่คุณควรรู้! ฉบับเข้าใจง่าย. Easy Company Group Company Limited [อินเทอร์เน็ต]. 11 ต.ค. 2564 - [สืบค้นเมื่อวันที่ 4 มิ.ย. 2565]. เข้าถึงได้จาก: https://easypdpa.com/article/easypdpa-summary-what-is-pdpa
3. Thailand Regulatory Platform. บทความ: PDPA คืออะไร ?. บริษัท แร็กน่าร์ คอร์ปอเรชั่น จำกัด [อินเทอร์เน็ต]. 24 พ.ค. 2564 - [สืบค้นเมื่อวันที่ 4 มิ.ย. 2565]. เข้าถึงได้จาก: https://t-reg.co/blog/t-reg-knowledge/what-is-pdpa/

นางสาวจันทรัตน์ หิรัญกิจรังษี
นักวิเคราะห์นโยบายและแผน
สถาบันนวัตกรรมการเรียนรู้ มหาวิทยาลัยมหิดล