ในยุคที่ข้อมูลส่วนบุคคลกลายเป็นทรัพย์สินสำคัญ การปกป้องข้อมูลจึงไม่ใช่แค่เรื่องของเทคโนโลยี แต่คือเรื่องของกฎหมายและสิทธิขั้นพื้นฐานของทุกคน กฎหมายที่มีบทบาทสำคัญในเรื่องนี้คือ PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งหลายคนอาจยังสงสัยว่า PDPA คุ้มครองอะไรบ้าง ? และเราในฐานะเจ้าของข้อมูลจะได้ประโยชน์อะไรจากกฎหมายนี้
บทความนี้จะช่วยให้คุณเข้าใจ PDPA แบบชัดเจน ครบทุกมุม พร้อมแนะแนวทางให้องค์กรปฏิบัติตามอย่างถูกต้อง
PDPA คืออะไร?
PDPA ย่อมาจาก Personal Data Protection Act หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่มีผลบังคับใช้เต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565 มีวัตถุประสงค์เพื่อควบคุมการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลธรรมดาโดยไม่ชอบด้วยกฎหมาย
กฎหมายนี้ใช้กับทั้งหน่วยงานภาครัฐและเอกชน ที่มีการจัดการข้อมูลส่วนบุคคลไม่ว่าทางตรงหรือทางอ้อม ไม่ว่าจะเป็นธุรกิจขนาดเล็ก เว็บไซต์ขายของออนไลน์ หรือองค์กรขนาดใหญ่
วัตถุประสงค์ของ PDPA เพื่ออะไร?
PDPA มีเป้าหมายหลักเพื่อคุ้มครอง “สิทธิในข้อมูลส่วนบุคคล” โดยมุ่งเน้นให้เจ้าของข้อมูลมีอำนาจควบคุมข้อมูลของตนเองมากขึ้น และให้องค์กรต่างๆ ดำเนินการอย่างโปร่งใส ซึ่งประกอบด้วยวัตถุประสงค์สำคัญ ดังนี้:
- ป้องกันการละเมิดสิทธิความเป็นส่วนตัวของบุคคล
- สร้างมาตรฐานในการเก็บและใช้ข้อมูลส่วนบุคคลอย่างปลอดภัย
- ทำให้ประชาชนมีสิทธิในการเข้าถึง ลบ แก้ไข หรือถอนความยินยอมในการใช้ข้อมูลของตนเอง
- ส่งเสริมให้ภาคธุรกิจดำเนินกิจกรรมโดยเคารพสิทธิของผู้บริโภค
นอกจากนี้ PDPA ยังช่วยลดความเสี่ยงของการนำข้อมูลไปใช้ในทางที่ผิด เช่น การสแปม โกงเงิน ขายข้อมูลต่อ หรือสร้างความเสียหายต่อชื่อเสียงของเจ้าของข้อมูล โดยเฉพาะกลุ่มเปราะบางอย่างผู้สูงอายุ เด็ก หรือบุคคลที่ไม่เข้าใจเทคโนโลยีอย่างลึกซึ้ง
ด้วยเหตุนี้ PDPA จึงเป็นมากกว่ากฎหมายทั่วไป แต่เป็น “เครื่องมือ” สำคัญในการยกระดับสิทธิพลเมืองในโลกดิจิทัล และส่งเสริมให้สังคมออนไลน์เติบโตอย่างปลอดภัยและยั่งยืน
PDPA คุ้มครองอะไรบ้าง? เข้าใจสิทธิคุ้มครองข้อมูลส่วนบุคคล
PDPA คุ้มครองอะไรบ้าง สรุปแบบง่ายๆ คือข้อมูลส่วนบุคคลที่สามารถระบุตัวบุคคลได้ ทั้งโดยตรงหรือโดยอ้อม เช่น ชื่อ-นามสกุล เบอร์โทร อีเมล ข้อมูลส่วนตัวในเอกสารรวมไปถึงข้อมูลบนอินเตอร์เน็ตต่างๆ
นอกจากนี้ ยังให้ความคุ้มครองเพิ่มเติมกับ ข้อมูลอ่อนไหว เช่น เชื้อชาติ ศาสนา ข้อมูลที่คุ้มครองไม่เพียงเป็นลายอักษร ข้อมูลอื่นๆ จากการพูด การกระทำก็ให้ความคุ้มครองด้วยเช่นกัน โดยกำหนดให้การใช้ข้อมูลประเภทนี้ต้องได้รับ “ความยินยอมโดยชัดแจ้ง” จากเจ้าของข้อมูลก่อนเสมอ
ตัวอย่าง PDPA คุ้มครองอะไรบ้าง ได้แก่:
- ชื่อ-นามสกุล
- หมายเลขบัตรประชาชน
- ที่อยู่
- เบอร์โทรศัพท์
- อีเมล
- รูปภาพ
- หมายเลข IP
- ตำแหน่งพิกัด (Location data)
PDPA คุ้มครองอะไรบ้าง ในข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เช่น:
- เชื้อชาติ
- ศาสนา
- ความคิดเห็นทางการเมือง
- ข้อมูลสุขภาพ
- พฤติกรรมทางเพศ
- ข้อมูลชีวภาพ เช่น ลายนิ้วมือ ใบหน้า ม่านตา
- น้ำเสียง
- ลักษณะท่าทางที่สื่อว่าเป็นใคร
ข้อมูลประเภทนี้ต้องได้รับความยินยอมอย่างชัดแจ้งและรัดกุมก่อนที่จะมีการเก็บหรือใช้
ภายใต้ PDPA เจ้าของข้อมูลมีสิทธิสำคัญหลายประการ เช่น:
- สิทธิรับรู้และเข้าถึงข้อมูลของตน
- สิทธิขอแก้ไขหากข้อมูลไม่ถูกต้อง
- สิทธิขอลบหรือระงับการใช้ข้อมูลเมื่อไม่จำเป็น
- สิทธิคัดค้านการใช้ข้อมูลในบางกรณี เช่น เพื่อการตลาด
- สิทธิในการถอนความยินยอมที่เคยให้ไว้
แล้วองค์กรต้องปฏิบัติอย่างไรให้ถูกต้องตาม PDPA?
องค์กรที่มีการจัดเก็บและใช้ข้อมูลส่วนบุคคล ต้องดำเนินการให้สอดคล้องกับ PDPA ในหลายด้าน ตั้งแต่การจัดทำนโยบายความเป็นส่วนตัว การแจ้งวัตถุประสงค์ในการใช้ข้อมูล การขอความยินยอมอย่างโปร่งใส ไปจนถึงการจัดการข้อมูลอย่างปลอดภัย
ต้องชี้แจงให้ชัดเจนว่าข้อมูลที่เก็บจะนำไปใช้อย่างไร ใช้กับใคร ใช้นานแค่ไหน และเจ้าของข้อมูลสามารถใช้สิทธิใดได้บ้าง ความยินยอมต้องมาจากการตัดสินใจของเจ้าของข้อมูลโดยอิสระ และสามารถถอนเมื่อใดก็ได้
องค์กรควรมีมาตรการป้องกันข้อมูลรั่วไหล เช่น การเข้ารหัส การจำกัดสิทธิ์การเข้าถึง และควรมีแผนรับมือหากเกิดเหตุการณ์ละเมิดข้อมูล โดยต้องแจ้งหน่วยงานกำกับภายใน 72 ชั่วโมง และแจ้งเจ้าของข้อมูลหากข้อมูลนั้นมีความเสี่ยงต่อสิทธิของเขา
หากองค์กรมีการใช้ข้อมูลในวงกว้างหรือจัดการข้อมูลอ่อนไหวอย่างต่อเนื่อง อาจจำเป็นต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) และจัดฝึกอบรมให้พนักงานเข้าใจ PDPA เพื่อปฏิบัติงานได้อย่างถูกต้อง
บทสรุปสิ่งที่องค์กรที่ต้องการปฏิบัติตาม PDPA อย่างถูกต้อง
นอกจากการดำเนินการภายในแล้ว องค์กรควรส่งเสริมความเข้าใจและตระหนักรู้เรื่อง PDPA แก่พนักงานในทุกระดับ โดยการจัดฝึกอบรมหรือเวิร์กช็อป เพื่อให้ทุกคนสามารถปฏิบัติตามกฎหมายได้อย่างถูกต้อง ลดโอกาสในการเกิดข้อผิดพลาดหรือการละเมิดโดยไม่รู้ตัว
กล่าวโดย ต้องดำเนินการอย่างรอบด้าน ทั้งในเชิงระบบ กฎหมาย และการบริหารจัดการ โดยมีเป้าหมายหลักคือ การเคารพสิทธิของเจ้าของข้อมูลส่วนบุคคล และสร้างความไว้วางใจระหว่างองค์กรกับผู้ใช้บริการในระยะยาว
บทสรุป
PDPA คือกฎหมายที่เข้ามาสร้าง “มาตรฐานใหม่” ในการจัดการข้อมูลส่วนบุคคลของคนไทย โดยไม่เพียงแต่คุ้มครองสิทธิของเจ้าของข้อมูล แต่ยังผลักดันให้องค์กรทุกระดับดำเนินธุรกิจอย่างโปร่งใสและมีความรับผิดชอบ
- ในฐานะเจ้าของข้อมูล เราควรรู้สิทธิของตนเอง และไม่ยอมให้ใครใช้ข้อมูลของเราโดยไม่รู้หรือไม่ได้ยินยอม
- ในฐานะองค์กรหรือผู้ให้บริการ ต้องมีระบบที่ชัดเจน โปร่งใส และปลอดภัยในการจัดการข้อมูล เพื่อไม่ให้ละเมิดกฎหมาย และรักษาความเชื่อมั่นจากลูกค้า
คำถามที่พบบ่อย (FAQ)
Q1: PDPA ใช้กับใครบ้าง?
A: PDPA ใช้กับทั้งองค์กรภาครัฐ เอกชน และบุคคลที่มีการเก็บหรือใช้ข้อมูลส่วนบุคคลเพื่อกิจกรรมทางธุรกิจ แม้จะเป็นธุรกิจขนาดเล็กก็ตาม
Q2 ต้องขอความยินยอมทุกครั้งในการเก็บข้อมูลหรือไม่?
A: ไม่จำเป็นเสมอไป หากมีฐานทางกฎหมาย เช่น เพื่อให้บริการตามสัญญา หรือหน้าที่ตามกฎหมาย แต่ถ้าไม่มีฐานดังกล่าว ต้องขอความยินยอมก่อนใช้ข้อมูล
Q3 : หากองค์กรฝ่าฝืน PDPA จะเกิดอะไรขึ้น?
A: มีทั้งโทษทางแพ่ง (เช่น ชดใช้ค่าเสียหาย), โทษทางอาญา (จำคุก/ปรับ) และโทษทางปกครอง ซึ่งอาจมีค่าปรับสูงสุดถึง 5 ล้านบาท
Q4: เจ้าของข้อมูลสามารถทำอะไรได้บ้าง?
A: สามารถขอเข้าถึงข้อมูล ขอแก้ไข ลบ คัดค้านการใช้ หรือถอนความยินยอมได้ตลอดเวลา รวมถึงสามารถร้องเรียนเมื่อถูกละเมิดสิทธิ
Q5 : หากข้อมูลรั่วไหล องค์กรต้องทำอย่างไร?
A: ต้องแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง และแจ้งเจ้าของข้อมูลหากมีผลกระทบต่อสิทธิของเขา
โทร 02-096-3585
รับชมบริการของเราได้ที่ t-reg.co
