PDPA คืออะไร?

PDPA คืออะไร?

Theeraporn Tiarawong
Theeraporn Tiarawong
Software Engineer

Share this?

Key Highlights:

  • Personal Data Protection Act (PDPA) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลซึ่งเป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่กำหนดขึ้นเพื่อใช้คุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกจัดเก็บ หรือนำไปใช้โดยไม่ได้แจ้งให้ทราบ หรือได้รับความยินยอมในฐานะเจ้าของข้อมูลก่อน
  • หากนำข้อมูลส่วนบุคคลไปประมวลผลก่อนได้รับความยินยอมจากเจ้าของข้อมูลอาจมีความผิดได้
  • มีผลบังคับใช้วันที่ 1 มิถุนายน 2565
 

ก่อนที่เราจะมาพูดถึงว่า PDPA คืออะไรขอเท้าความกันก่อนสักนิดนึงว่าทำไมเราถึงต้องมี PDPA ล่ะ? เป็นเพราะในปัจจุบันบริษัทต่างๆอาจได้รับ หรือสามารถเข้าถึงข้อมูลส่วนบุคคลของลูกค้า หรือผู้ใช้งานได้จากหลายช่องทางเช่น การสมัครสมาชิกจากเว็บไซต์, การทำธุรกรรมผ่านธนาคาร, การขอเข้าถึงตำแหน่ง GPS ในมือถือ หรือการเก็บ cookie จาการใช้บริการเว็บไซต์ต่างๆ และนำข้อมูลส่วนบุคคลของผู้ใช้งานไปประมวลผลต่อ หรือส่งต่อให้ผู้ให้บริการอื่นๆ หลายๆคนอาจจะพบเจอกับปัญหาในเรื่องที่เราค้นหาข้อมูลในแพลตฟอร์มนึง และใช้งานอีกแพลตฟอร์มนึงทำไมข้อมูลที่เราค้นหาในแพลตฟอร์มแรกถึงมาโผล่ในอีกแพลตฟอร์ม นั่นจึงทำให้เราต้องมีพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลเกิดขึ้นมาควบคุ้มนั่นเอง

PDPA คืออะไร?

Personal Data Protection Act (PDPA) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลซึ่งเป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่กำหนดขึ้นเพื่อใช้คุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกจัดเก็บ หรือนำไปใช้โดยไม่ได้แจ้งให้ทราบ หรือได้รับความยินยอมในฐานะเจ้าของข้อมูลก่อน โดยที่ผู้มีส่วนเกี่ยวข้องต้องตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัยมากขึ้น และหากนำข้อมูลส่วนบุคคลไปประมวลผลก่อนได้รับความยินยอมจากเจ้าของข้อมูลอาจมีความผิดได้ โดยมีผลบังคับใช้วันที่ 1 มิถุนายน 2565

ข้อมูลส่วนบุคคลคืออะไร?

ข้อมูลส่วนบุคคล (Personal data) เป็นข้อมูลที่สามารถระบุตัวตนของเจ้าของข้อมูลได้ไม่ว่าทางตรง หรือทางอ้อมแต่ไม่นับรวมกับข้อมูลของผู้ที่เสียชีวิตแล้ว

ข้อมูลส่วนบุคคลใดบ้างที่อยู่ภายใต้การคุ้มครองของ PDPA?

แล้วข้อมูลใดบ้างที่ถือว่าเป็นข้อมูลส่วนบุคคลยกตัวอย่างเช่น

  • ชื่อ นามสกุล 
  • เบอร์โทรศัพท์
  • ที่อยู่
  • อีเมล
  • เลขบัตรประชาชน, เลขหนังสือเดินทาง
  • ข้อมูลทางการศึกษา 
  • ข้อมูลทางการเงิน 
  • ข้อมูลทางการแพทย์
  • ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์, โฉนดที่ดิน 
  • ทะเบียนบ้าน
  • วันเดือนปีเกิด 
  • สัญชาติ 
  • น้ำหนักส่วนสูง
  • ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น username, password,  cookies, IP address,  GPS location
  • ข้อมูลบันทึกต่างๆที่ใช้ในการติดตาม หรือตรวจสอบกิจกรรมต่างๆของบุคคล เช่น log file
  • ข้อมูลที่ใช้ในการค้นกาข้อมูลส่วนบุคคลอื่นในอินเทอร์เน็ต

 

โดยที่ในข้อมูลส่วนบุคคลนั้นบางส่วนถือเป็น sensitive personal data ที่ต้องระมัดระวังเป็นพิเศษเนื่องจากมีการกำหนดบทลงโทษที่รุนแรงในกรณีที่เกิดการรั่วไหลไปสู่สาธารณะ แล้ว sensitive personal data มีข้อมูลอะไรบ้าง

  • เชื้อชาติ เผ่าพันธุ์ 
  • ความคิดเห็นทางการเมือง 
  • ความเชื่อในลัทธิ ศาสนา ปรัชญา
  • พฤติกรรมทางเพศ
  • ประวัติอาชญากรรม 
  • ข้อมูลด้านสุขภาพ ความพิการ ข้อมูลสุขภาพจิต เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
  • ข้อมูลสหภาพแรงงาน
  • ข้อมูลพันธุกรรม
  • ข้อมูลชีวภาพ (Biometric) เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา, ข้อมูลอัตลักษณ์เสียง
  • หรือ ข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกัน

 

แล้วทำไม sensitive personal data นั้นถึงมีบทลงโทษที่รุนแรงกว่าข้อมูลบุคคลทั่วไป เพราะหากมีการรั่วไหลไปสู่สาธารณะแล้วก่อให้เกิดผลเสียที่ร้ายแรงกับผู้ที่เป็นเจ้าของข้อมูลส่วนบุคคลได้มากกว่าข้อมูลส่วนบุคคลอื่นๆ โดยอาจส่งผลต่อสิทธิเสรีภาพในการแสดงความคิดหรือ เกิดการเลือกปฏิบัติได้มากกว่าข้อมูลส่วนบุคคลทั่วไป ยกตัวอย่างเช่น ข้อมูลพฤติกรรมทางเพศ เชื่อชาติ ศาสนา ประวัติอาชญากรรม ถ้ารั่วไหลไปแล้ว ข้อมูลเหล่านี้จะนำมาสู่ความเป็นอคติและจะมีผลกระทบต่อชีวิตส่วนบุคคลได้มากกว่าข้อมูลทั่วไปเป็นอย่างมาก

ผู้ที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล

เราสามารถแบ่งผู้ที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลภายใต้กฎหมาย PDPA ได้ 3 ประเภท ได้แก่

  • บุคคลทั่วไป หรือเจ้าของข้อมูลส่วนบุคคล (Data subject) ที่ข้อมูลนั้นระบุถึงไม่ว่าทางตรงหรือทางอ้อม โดยจะเป็นผู้ที่ได้รับการปกป้องคุ้มครองและมีสิทธิต่าง ๆ เหนือข้อมูลส่วนบุคคลของตน แล้วเจ้าของข้อมูลส่วนบุคคลมีสิทธิอะไรบ้าง

    • สิทธิได้รับการแจ้งให้ทราบ หมายถึง ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล (ยกเว้นเจ้าของข้อมูลจะทราบถึงรายละเอียดนั้นอยู่ก่อนแล้ว) โดยต้องมีรายละเอียดที่จะต้องแจ้งให้ทราบ เช่น เก็บข้อมูลส่วนบุคคลอะไรบ้าง, วัตถุประสงค์ในการเก็บข้อมูล, นำไปใช้ หรือส่งต่อให้ใครบ้าง, มีวิธีการเก็บข้อมูลอย่างไร, เก็บข้อมูลไว้นานแค่ไหน, วิธีการขอเปลี่ยนแปลง แก้ไข หรือเพิกถอนข้อมูลส่วนบุคคลที่ให้ไปสามารถทำอะได้อย่างไรบ้าง

    • สิทธิขอเข้าถึงข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิขอเข้าถึงและขอสำเนาข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงที่มาการได้มาของข้อมูลส่วนบุคคลที่ไม่ได้ให้ความยินยอมได้ โดยที่สิทธินี้จะต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาล หรือส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น ถ้าไม่ขัดหรือส่งผลกระทบดังกล่าว เจ้าของข้อมูลส่วนบุคคลจะได้รับสิทธิภายใน 30 วันนับจากวันที่ผู้ควบคุมข้อมูลส่วนบุคคลได้รับคำขอ

    • สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ แต่ต้องไม่ขัดกับกฎหมาย หรือขัดต่อสิทธิการเรียกร้องตามกฎหมาย หรือข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อการวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ สถิติ

    • สิทธิขอให้ลบหรือทำลาย ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำให้ข้อมูลส่วนบุคคลถูกเปิดเผยต่อสาธารณะ และผู้ควบคุมข้อมูลถูกขอให้ลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวตัวเจ้าของได้ โดยผู้ควบคุมข้อมูลจะต้องผู้รับผิดชอบดำเนินการทั้งในทางเทคโนโลยีและค่าใช้จ่ายเอง

    • สิทธิในการเพิกถอนความยินยอม ถ้าเจ้าของข้อมูลเคยให้ความยินยอมในการใช้ข้อมูลไปแล้ว ต่อมาภายหลังต้องการยกเลิกความยินยอมนั้น ก็สามารถยกเลิกเมื่อใดก็ได้ และสามารถทำได้ง่ายเหมือนตอนให้ความยิยอมใช้ข้อมูล โดยการยกเลิกจะต้องไม่ขัดต่อข้อจำกัดสิทธิในการถอนความยินยอมทางกฎหมาย หรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไปก่อนหน้านี้

    • สิทธิขอให้ระงับการใช้ข้อมูล เจ้าของข้อมูลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคล ไม่ว่าจะในกรณีที่เกิดการเปลี่ยนใจไม่ต้องการให้ข้อมูลแล้ว หรือเปลี่ยนใจระงับการทำลายข้อมูลเมื่อครบกำหนดที่ต้องทำลาย เพราะมีความจำเป็นต้องนำข้อมูลไปใช้ในทางกฎหมาย หรือการเรียกร้องสิทธิ ก็สามารถทำได้

    • สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิที่จะขอแก้ไขข้อมูลส่วนบุคคลของตนเองให้มีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิดได้ โดยการแก้ไขนั้นจะต้องเป็นไปด้วยความสุจริต และไม่ขัดต่อหลักกฎหมาย

    • สิทธิในการขอให้โอนข้อมูลส่วนบุคคล กรณีที่เจ้าของข้อมูลต้องการนำข้อมูลที่เคยให้ไว้กับผู้ควบคุมข้อมูลรายหนึ่ง ไปใช้กับผู้ควบคุมข้อมูลอีกราย เช่น ผู้ควบคุมข้อมูลส่วนบุคคลรายแรกได้ทำจัดทำข้อมูลส่วนบุคคลของเราไปในอยู่ในรูปแบบต่างๆ ที่เข้าถึงได้ด้วยวิธีการอัตโนมัติ เจ้าของข้อมูลสามารถขอให้ผู้ควบคุมข้อมูลส่วนบุคคลที่จัดทำข้อมูลนั้น ทำการส่งหรือโอนข้อมูลดังกล่าวให้ได้ หรือจะขอให้ส่งไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่นโดยตรงก็สามารถทำได้ หากไม่ติดขัดทางวิธีการและเทคนิค โดยการใช้สิทธินั้นต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิเสรีภาพของบุคคลอื่น

  • ผู้ควบคุมข้อมูลส่วนบุคคล (Data controller) คือ ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งหมายถึงบุคคล หรือนิติบุคคลที่มีการเก็บรวบรวม ใช้ หรือนำไปเปิดเผยไม่ว่าจะวัตถุประสงค์ใดก็ตาม จำเป็นต้องได้รับ คำยินยอม (Consent) จากเจ้าของข้อมูลด้วย เว้นแต่จะเป็นไปตามข้อยกเว้นที่ พ.ร.บ.กำหนดไว้ โดยมีข้อยกเว้นดังต่อไปนี้

    • จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ ที่เกี่ยวข้องกับ การศึกษาวิจัยหรือการจัดทำสถิติ

    • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

    • จำเป็นเพื่อปฏิบัติตามสัญญากับเจ้าของข้อมูล เช่น การซื้อขายของออนไลน์ ต้องใช้ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล

    • จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ

    • จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น

    • เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล เช่น ส่งข้อมูลพนักงานให้กรมสรรพากรเรื่องภาษี เป็นต้น

    • การดำเนินกิจกรรมที่ชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของ มูลนิธิ สมาคม องค์กรไม่แสวงหากำไร เช่น เรื่องศาสนาหรือความคิดเห็นทางการเมือง ซึ่งจำเป็นต้องเปิดเผยให้ทราบก่อนเข้าองค์กรนั้น ๆ เป็นต้น

    • เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล เช่น บุคคลสาธารณะที่มีข้อมูลที่เปิดเผยต่อสาธารณะอยู่แล้วในความยินยอมของเจ้าของข้อมูล

    • เป็นการจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย เช่น เก็บลายนิ้วมือของผู้ที่บุกรุกเพื่อนำไปใช้ในชั้นศาล เป็นต้น

    • เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ เกี่ยวกับ เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ เช่น การเก็บข้อมูลสุขภาพของพนักงานซึ่งเป็นข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) องค์กรมักใช้ข้อนี้ในการอ้างสิทธิที่จำเป็นต้องเก็บข้อมูลนี้ไว้ เป็นต้น

  • ผู้ประมวลผลข้อมูลส่วนบุคคล (Data processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

โทษทางกฎหมายของ PDPA

โทษทางกฎหมายนั้นมีบทลงโทษทั้งทางแพ่ง, ทางอาญา และทางปกครอง

  • โทษทางแพ่งกำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด และอาจจะต้องจ่ายบวกเพิ่มอีกเป็นค่าค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่าของค่าเสียหายจริงเช่น ศาลตัดสินว่าให้ผู้ควบคุมข้อมูลต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคล เป็นจำนวน 100,000 ศาลอาจมีคำสั่งกำหนดค่าสินไหมเพื่อการลงโทษเพิ่มอีก 2 เท่าของค่าเสียหายจริง เท่ากับว่าจะต้องจ่ายเป็นค่าปรับทั้งหมด เป็นจำนวนเงิน 300,000 บาท

  • โทษทางอาญามีทั้งโทษจำคุกและโทษปรับ โดยมีโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ โดยโทษสูงสุดดังกล่าวเกิดจากการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศ ประเภทข้อมูลที่มีความละเอียดอ่อน (Sensitive Personal Data) ส่วนกรณีหากผู้กระทำความผิดคือนิติบุคคลแล้วใครจะเป็นผู้ถูกจำคุก เพราะนิติบุคคลติดคุกไม่ได้ ซึ่งอาจจะตกมาที่ ผู้บริหาร, กรรมการ หรือบุคคลผู้รับผิดชอบในการดำเนินงานของนิติบุคคลนั้น ๆ ที่จะต้องได้รับการลงโทษจำคุกแทน

  • โทษทางปกครองนั้นมีโทษปรับตั้งแต่ 1,000,000 บาทจนถึงสูงสุดไม่เกิน 5,000,000 บาท ซึ่งโทษปรับสูงสุด จะเป็นในกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลที่มีความละเอียดอ่อน (Sensitive Personal Data) ซึ่งโทษทางปกครองนี้จะแยกต่างหากกับการชดใช้ค่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทางอาญาด้วย

แล้วเราต้องทำอะไร หรือเตรียมตัวอย่างไรบ้างหลังจาก PDPA มีผลบังคับใช้

  • เตรียมความพร้อมของคนในองค์กรให้มีความรู้และความเข้าใจ PDPA

  • หากผู้ความคุมข้อมูลต้องการเก็บข้อมูลส่วนบุคคล จะต้องแจ้งให้เจ้าของข้อมูลทราบว่าจะเก็บข้อมูลส่วนบุคคลใดบ้าง เพื่อประโยชน์อะไร และนานเท่าไหร่ และจะมีการส่งต่อหรือเปิดเผย หรือส่งต่อข้อมูลส่วนบุคคลนั้นให้ใครบ้างจะรักษาความปลอดภับของข้อมูลอย่างไร และรับประกันสิทธิการเป็นเจ้าของข้อมูลของบุคคลทั่วไปยังไง โดยต้องดำเนินการแจ้งข้อมูลทั้งหมดในนโยบายความเป็นส่วนตัว (Privacy Policy)

แล้วข้อมูลอะไรบ้างที่ต้องระบุใน Privacy Policy

  • จะมีใช้ข้อมูลส่วนบุคคลใดบ้าง จากแหล่งไหนบ้าง

  • ระบุวัตถุประสงค์ในการใช้ข้อมูลส่วนบุคคล

  • จัดเก็บข้อมูลส่วนบุคคลนานเท่าไหร่

  • ส่งต่อหรือเผยแพร่ข้อมูลส่วนบุคคลนั้นให้ใครบ้าง

  • วิธีในการรักษาความปลอดภัยข้อมูลส่วนบุคคลอย่างไร

  • สิทธิในข้อมูลส่วนบุคคลของเจ้าของข้อมูลมีอะไรบ้าง และในกรณีที่ต้องการใช้สิทธิ เช่น ลบข้อมูล ต้องติดต่อใคร

Theeraporn Tiarawong
Theeraporn Tiarawong
Software Engineer

Share this?

More from this Author?

Get in Touch

Get in Touch

Sign up to our newsletter

Sign up to our newsletter

Thank You for reaching out to us!

Thank You
for reaching out to us!

We’ll get back to you as soon as we can.

Thank You for signing up to our newsletter!

Thank You for signing up
to our newsletter!

We’ll serve you with