ทำความรู้จัก PDPA พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

PDPA คืออะไร ?

พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล หรือ ย่อมาจาก Personal Data Protection Act บทบัญญัติที่ให้ความคุ้มครองข้อมูลส่วนบุคคลของ “บุคคลธรรมดา” ให้สิทธิ์ในการแก้ไข, เข้าถึง หรือ แจ้งลบข้อมูลที่ให้ไว้กับองค์กรเป็นต้น และกำหนดบทบาทหน้าที่และบทลงโทษหากองค์กรไม่ปฏิบัติตาม

ข้อมูลแบบไหนเป็น “ข้อมูลส่วนบุคคล”

ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลที่ทำให้ระบุตัวบุคคลได้ ทั้งทางตรงและทางอ้อม

• เลขบัตรประจำตัวประชาชน ชื่อ – นามสกุล
• ที่อยู่
• เบอร์โทรศัพท์
• อีเมล
• ข้อมูลทางการเงิน
• เชื้อชาติ
• ศาสนาหรือปรัชญา
• พฤติกรรมทางเพศ
• ประวัติอาชญากรรม
• ข้อมูลสุขภาพ

บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

1. เจ้าของข้อมูลส่วนบุคคล (Data Subject) เจ้าของข้อมูลส่วนบุคคล คือ บุคคลที่ข้อมูลชุดนั้น ๆ สามารถระบุไปถึงได้
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ผู้ควบคุมข้อมูลส่วนบุคคล คือ คน บริษัทหรือองค์กรต่าง ๆ ที่เป็นคนตัดสินใจว่าจะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร อย่างไร ภายใต้ PDPA ผู้ควบคุมขอมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดชอบหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน บริษัททุกบริษัททันทีที่มีพนักงานคนแรก ที่ต้องใช้ข้อมูลเพื่อจ่ายเงินเดือน ก็เป็น Data Controller แล้วทั้งสิ้น
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ผู้ประมวลผลข้อมูลส่วนบุคคล คือ คน บริษัทหรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง

เจ้าของข้อมูลส่วนบุคคล มีสิทธิอะไรบ้าง ?

• สิทธิได้รับการแจ้งให้ทราบ
• สิทธิขอเข้าถึงข้อมูลส่วนบุคคล
• สิทธิขอให้โอนข้อมูลส่วนบุคคล
• สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล
• สิทธิคัดค้านการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคล
• สิทธิขอให้ลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
• สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล

ผู้ควบคุมข้อมูลส่วนบุคคลจะสามารถรวบรวมใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลก็ต่อเมื่อ ? 

บุคคลธรรมดา หรือนิติบุคคล (บริษัท ห้างร้าน มูลนิธิ สมาคม หน่วยงาน องค์กร ร้านค้า หรืออื่นใดก็ตาม) หากมีการเก็บรวบรวมข้อมูลส่วนบุคคลไว้หรือมีการนำข้อมูลส่วนบุคคลไปใช้ หรือนำไปเปิดเผยไม่ว่าจะวัตถุประสงค์ใดก็ตาม จำเป็นต้องได้รับ คำยินยอม (Consent) จากเจ้าของข้อมูลด้วย เว้นแต่จะเป็นไปตามข้อยกเว้น พรบ. กำหนดไว้

ข้อยกเว้นที่สามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอม

• Scientific or Historical Research เป็นการจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ การศึกษาวิจัยหรือสถิติ
• Vital Interest เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เช่น การเข้ารับบริการทางการแพทย์ ณ โรงพยาบาล
• Contract เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา เช่น เจ้าของข้อมูลส่วนบุคคลทำสัญญากู้ยืมเงินจากธนาคาร ธนาคารสามารถเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ตามวัตถุประสงค์ของสัญญา
• Public Task เป็นการจำเป็นเพื่อปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
• Ligitimate Interest เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอื่น
• Legal Obligations เป็นการปฏิบัติตามกฎหมาย

เมื่อ PDPA บังคับใช้แล้วแต่ไม่ได้ปฏิบัติตามจะมีบทลงโทษอะไรบ้าง ?

โทษทางแพ่ง โทษทางแพ่งกำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด และอาจจะต้องจ่ายบวกเพิ่มอีกเป็นค่าค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่าของค่าเสียหายจริง

โทษทางอาญา โทษทางอาญาจะมีทั้งโทษจำคุกและโทษปรับ โดยมี โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ กรณีหากผู้กระทำความผิด คือ บริษัท(นิติบุคคล) ก็อาจจะสงสัยว่าใครจะเป็นผู้ถูกจำคุก เพราะบริษัทติดคุกไม่ได้ ในส่วนตรงนี้ก็อาจจะตกมาที่ ผู้บริหาร, กรรมการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของบริษัทนั้น ๆ ที่จะต้องได้รับการลงโทษจำคุกแทน

โทษทางปกครอง โทษปรับ มี ตั้งแต่ 1 ล้านบาทจนถึงสูงสุดไม่เกิน 5 ล้านบาท ซึ่งโทษปรับสูงสุด 5 ล้านบาท จะเป็นกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือ เปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลที่มีความละเอียดอ่อน(Sensitive Personal Data) ซึ่งโทษทางปกครองนี้จะแยกต่างหากกับการชดใช้ค่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทางอาญาด้วย

Credit ข้อมูล : พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562, https://t-reg.co/blog/t-reg-knowledge/what-is-pdpa/, https://www.banped.go.th/uploaded/content/1185/e0a56ee36dd31ca90d428cb4f3a6473d.pdf

ดาวน์โหลดเอกสารฉบับเต็มได้ที่ : https://ratchakitcha2.soc.go.th/pdfdownload/?id=17082307