PDPA คืออะไร?

Personal Data Protection Act, B.E. 2562 (2019) หรือที่เรียกกันเท่าไปว่า PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษาไปเมื่อ 27 พฤษภาคม 2562 คือ กฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยระบุให้องค์กรหรือหน่วยงานที่เกี่ยวข้องที่เก็บข้อมูลส่วนบุคคลของประชาชนไม่ว่าจะเป็นบริษัทเอกชน หรือหน่วยงานภาครัฐ ต้องไม่นำเอาข้อมูลส่วนตัวของเราไปใช้ในกิจกรรมอื่น ๆ ที่เราไม่ยินยอม

ประเด็นสำคัญของ PDPA คือ

การเก็บ ใช้ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคลต้องได้รับความยินยอม ยกเว้นจะมีเหตุอื่นที่ได้รับอนุญาตตามกฎหมาย ซึ่งความยินยอมนั้นต้องให้โดยอิสระ เฉพาะเจาะจง และชัดแจ้ง และเจ้าของข้อมูลสามารถถอนความยินยอมได้

เมื่อไหร่ก็ตามที่เกิดเหตุละเมิดข้อมูลส่วนบุคคล จะต้องแจ้งเหตุให้หน่วยงานที่เกี่ยวข้องภายใน 72 ชั่วโมง และแจ้งเจ้าของข้อมูลทราบ

โดยมีบทลงโทษของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หากฝ่าฝืนหรือไม่ปฏิบัติตาม มีดังนี้

โทษทางอาญา จำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท ซึ่งโทษจำคุก กรรมการบริษัทคือผู้รับโทษนี้
โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
โทษทางปกครองปรับไม่เกิน 5 ล้านบาท

ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับ PDPA คือ

ข้อมูลส่วนบุคคล (Personal Data) หมายถึงข้อมูลที่ทำให้สามารถระบุตัวตนของบุคคลนั้นได้ไม่ว่าโดยตรงหรือโดยอ้อม (สำหรับบุคคลที่ยังมีชีวิตอยู่ ) ครอบคลุมตั้งแต่

ชื่อ นามสกุล
ที่อยู่
หมายเลขบัตรประชาชน
เบอร์โทรศัพท์
location
E-mail
IP Addresses
Cookies
ID Bank Account
รูปถ่าย
ประวัติการทำงาน
อายุ ( หากเป็นผู้เยาว์ จะต้องระบุผู้ปกครองได้ และรับการยินยอมจากผู้ปกครอง )

ความหมายทางอ้อม คือ ข้อมูลที่จะนำไปแยกแยะได้ว่าเราคือใคร และเอาไปใช้ติดตามบุคคลได้ และมันมีความสามารถในการเชื่อมโยงกับข้อมูลอื่น ๆ ข้างนอก แล้วบอกได้ว่าใครเป็นใคร

นอกจากนั้นก็ยังมี ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) เป็นข้อมูลที่จะต้องดูแลให้ความระมัดระวังเป็นพิเศษ ตามมาตรา 26 ในการเก็บรวบรวม/ประมวลผล ที่มีการควบคุมเข้มงวดขึ้นมาอีกขั้น

เชื้อชาติ
ชาติพันธุ์ เผ่าพันธุ์
ความคิดเห็นทางการเมือง
ความเชื่อ ลัทธิ ศาสนา หรือ ปรัชญา
พฤติกรรมทางเพศ
ประวัติอาชญากรรม
ข้อมูลทางด้านสุขภาพ ความพิการ
ข้อมูลสหภาพแรงงาน
ข้อมูลทางพันธุกรรม
ข้อมูลชีวภาพ
หรือ ข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศกำหนด

ซึ่งกฎหมายให้การคุ้มครองข้อมูลที่อ่อนไหวเข้มงวดกว่าข้อมูลส่วนบุคคลธรรมดา

พ.ร.บ.นี้มีผลบังคับใช้ตามกฎหมายเมื่อไหร่

จากเดิม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 แล้วในบางส่วน โดยวันที่ 27 พฤษภาคม 2563 เป็นวันที่ พ.ร.บ.นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ

แต่เนื่องด้วยสถานการณ์ COVID-19 ทำให้ธุรกิจต่างทุกขนาดเกิดปัญหาการดำเนินงาน และจำเป็นต้องใช้เงินลงทุนเพื่อฟื้นฟูธุรกิจ คณะรัฐมนตรี (ครม.) จึงได้พิจารณาข้อเสนอของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DES) ในการเลื่อนบังคับใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ออกไปอีก 1 พร้อมทั้งออกพระราชกฤษฎีกา กำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2563 มีผลบังคับตั้งแต่วันที่ 27 พฤษภาคม พ.ศ. 2563 จนถึงวันที่ 31 พฤษภาคม พ.ศ. 2564

ซึ่งเป็นการขยายระยะเวลาการบังคับใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ได้แก่ หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล หมวด 3 สิทธิเจ้าของข้อมูลส่วนบุคคล หมวด 5 การร้องเรียน หมวด 6 ความรับผิดทางแพ่ง หมวด 7 บทกำหนดโทษ และความในมาตรา 95 และมาตรา 96 และจะมีผลบังคับใช้ในวันที่ 27 พฤษภาคม 2564 โดยให้เหตุผลว่า “เพื่อบรรเทาผลกระทบที่อาจเกิดขึ้นกับหน่วยงานภาครัฐ เอกชน และประชาชน เนื่องจากหากมีการบังคับใช้ตามกำหนดเวลาเดิมในขณะที่ทุกภาคส่วนยังไม่พร้อม อาจทำให้เกิดการฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายได้โดยไม่ตั้งใจ รวมทั้งอาจเป็นช่องทางให้ผู้ที่ทุจริตแสวงหาผลประโยชน์โดยมิชอบ”

Reference : https://secureprivacy.ai/what-is-thailand-pdpa-and-how-to-become-compliant/