PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เรื่องใกล้ตัวเรากว่าที่คิด

PDPA (Personal Data Protection Act, B.E. 2562 (2019) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษาไปเมื่อ 27 พฤษภาคม 2562 และมีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 แล้วในบางส่วน โดยวันที่ 27 พฤษภาคม 2563 เป็นวันที่ พ.ร.บ.นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ

เหตุผลในการประกาศใช้ PDPA เนื่องมาจากเทคโนโลยีก้าวหน้าขึ้น ช่องทางสื่อสารต่างๆ มีหลากหลายขึ้น ทำให้การละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลทำได้ง่ายขึ้น และหลายครั้งก็นำมาซึ่งความเดือดร้อนรำคาญหรือสร้างความเสียหายให้แก่เจ้าของข้อมูล ตลอดจนสามารถส่งผลต่อเศรษฐกิจโดยรวมของประเทศได้ด้วย จึงต้องมีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลขึ้นเพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่รวมถึงการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขึ้น

ข้อมูลส่วนบุคคล

คือข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม โดยข้อมูลของผู้ถึงแก่กรรม และข้อมูลนิติบุคคล ไม่ถือเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ.นี้

ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ - นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน นอกจากนี้ยังรวมถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ด้วย เช่น ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น

สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้แก่

บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

การเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล สามารถทำได้ในกรณีต่อไปนี้

การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (Cross-border Personal Data Transfer)

ประเทศปลายทางหรือองค์การระหว่างประเทศ ที่รับข้อมูลส่วนบุคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ เว้นแต่จะได้รับความยินยอมจากเจ้าของข้อมูล หรือเป็นการปฏิบัติตามกฎหมาย/สัญญา หรือเพื่อประโยชน์สาธารณะเป็นสำคัญเท่านั้น

บทลงโทษหากไม่ปฏิบัติตาม PDPA

เพื่อให้ข้อมูลส่วนบุคคลถูกนำไปใช้ในทางที่เหมาะสมและเป็นประโยชน์มากกว่าโทษ การให้ข้อมูลแต่ละครั้งจึงต้องพิจารณาอย่างรอบคอบก่อนให้ข้อมูล เช่นการให้ข้อมูลเพื่อจัดส่งสินค้า หากมีการขอข้อมูลที่ไม่เกี่ยวกับการจัดส่ง เจ้าของข้อมูลก็มีสิทธิปฏิเสธการให้ข้อมูลนั้น และในส่วนของผู้เก็บข้อมูล ก็ต้องรู้ขอบเขตในการเข้าถึงข้อมูลส่วนบุคคล มีระบบในการควบคุม/ยืนยันตัวตนในการเข้าถึงข้อมูล และจำเป็นต้องมีการกำหนดนโยบายองค์กรเพื่อให้บุคคลที่เกี่ยวข้องปฏิบัติตาม เพราะหากไม่ทำตามอาจได้รับโทษดังนี้