สำหรับมือใหม่ หลายคนอาจจะยังไม่ทราบว่าการเข้าถึงบนเว็บไซต์และมีข้อความขอเข้าถึง หรือกดยอมรับคุกกี้ตั้งแต่เราเข้าสู่เว็บไซต์เป็นการขอเข้าถึงข้อมูลการใช้งาน ข้อมูลส่วนตัว ไม่ว่าจะอีเมลล์ เบอร์โทร ชื่อ หรือ กิจกรรมการซื้อของต่างๆ ทุกขั้นตอนเหล่านี้ย่อมเกี่ยวข้องกับกฎหมาย PDPA
PDPA ย่อมาจากอะไร เป็นกฎหมายเกี่ยวกับอะไรกันแน่? บทความนี้ได้สรุปทุกข้อสงสัยพร้อมยกเหตุการณ์ตัวอย่างมาให้ทุกท่านเข้าใจกันง่ายขึ้น
PDPA คืออะไร?
PDPA ย่อมาจากคำว่า Personal Data Protection Act หรือชื่อภาษาไทยคือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่ออกมาเพื่อคุ้มครอง ข้อมูลส่วนตัว ของเราทุกคน ไม่ให้คนอื่นนำไปใช้โดยไม่ได้รับอนุญาต เช่น การโทรมาขายของ, ส่งอีเมลสแปม, หรือเก็บข้อมูลลูกค้าโดยที่เจ้าตัวไม่รู้
กฎหมายนี้เริ่มใช้จริงตั้งแต่ 1 มิถุนายน 2565
ข้อมูลแบบไหนที่ PDPA คุ้มครอง?
PDPA คุ้มครองข้อมูลส่วนตัวที่สามารถระบุตัวตนเราได้ เช่น:
- ชื่อ-นามสกุล
- เบอร์โทร
- เลขบัตรประชาชน
- ที่อยู่
- รูปภาพ
- อีเมล
- ข้อมูลสุขภาพ
- ประวัติการใช้งานเว็บไซต์
ใครบ้างที่เกี่ยวข้องกับ PDPA?
ทุกคนมีส่วนเกี่ยวข้องกับ PDPA ไม่ว่าจะเป็นประชาชนทั่วไป หรือเจ้าของธุรกิจ เพราะเราทุกคนล้วนเป็น “เจ้าของข้อมูล” และบางคนอาจเป็น “ผู้เก็บข้อมูล” ด้วย
1. เจ้าของข้อมูล (Data Subject):
คือคนที่ข้อมูลนั้นเป็นของเขา เช่น ลูกค้า, พนักงาน, ผู้ใช้บริการ
2. ผู้ควบคุมข้อมูล (Data Controller):
คือองค์กรหรือธุรกิจที่เก็บและใช้ข้อมูล เช่น บริษัท, ร้านค้า, โรงเรียน
3. ผู้ประมวลผลข้อมูล (Data Processor):
คือคนหรือองค์กรที่รับข้อมูลจากผู้ควบคุมไปจัดการ เช่น บริษัทที่รับทำระบบ CRM, ผู้ให้บริการ cloud
แล้วถ้าเราทำธุรกิจ ต้องทำอะไรบ้างให้ถูกต้องตาม PDPA?
นี่คือ 5 ข้อ สำหรับคนที่เก็บหรือใช้ข้อมูลส่วนบุคคล:
1. ขอ “ความยินยอม” อย่างชัดเจน
ก่อนจะเก็บข้อมูลจากลูกค้า ต้องให้ลูกค้า “ยินยอม” โดยสมัครใจ และแจ้งว่าจะใช้ข้อมูลทำอะไรบ้าง
ตัวอย่าง: ร้านค้าออนไลน์มีแบบฟอร์มสมัครสมาชิก ควรมีช่องให้ลูกค้า “ติ๊กยินยอม” ว่าจะรับข่าวสารหรือโปรโมชั่น
2. อธิบายให้ชัดว่าเก็บข้อมูลไปทำอะไร (Privacy Notice)
ควรแจ้งลูกค้าว่าข้อมูลที่เก็บจะนำไปใช้ทำอะไร ใครจะเข้าถึง และจะเก็บไว้นานแค่ไหน
ตัวอย่าง: บนเว็บไซต์ควรมีหน้า “นโยบายความเป็นส่วนตัว” ที่เขียนอธิบายสิ่งเหล่านี้อย่างชัดเจน
3. ให้สิทธิ์เจ้าของข้อมูล
ลูกค้ามีสิทธิ์ขอดู แก้ไข หรือขอลบข้อมูลของตัวเองได้ และคุณต้องมีระบบรองรับ
ตัวอย่าง: ลูกค้าอยากยกเลิกการรับอีเมล — คุณควรมีปุ่ม “ยกเลิกการสมัครรับข่าวสาร” หรือช่องทางติดต่อเพื่อดำเนินการให้เขา
4. เก็บข้อมูลให้ปลอดภัย
คุณต้องดูแลไม่ให้ข้อมูลรั่วไหล ถูกแฮ็ก หรือหลุดไปโดยไม่ตั้งใจ เช่น ควรใส่รหัส, ตั้งสิทธิ์เข้าถึง, ใช้ระบบปลอดภัย
5. หากข้อมูลรั่ว ต้องรีบแจ้ง
ถ้าเกิดเหตุข้อมูลรั่วไหล ต้องแจ้งสำนักงานคุ้มครองข้อมูลภายใน 72 ชั่วโมง และถ้ารุนแรง ต้องแจ้งเจ้าของข้อมูลด้วย
หากไม่ทำตาม PDPA มีโทษอะไรบ้าง?
ถ้าฝ่าฝืน PDPA อาจมีโทษทั้งทางแพ่ง อาญา และปกครอง เช่น:
- ปรับสูงสุด 5 ล้านบาท (โทษทางปกครอง)
- จำคุกไม่เกิน 1 ปี และ/หรือปรับสูงสุด 1 ล้านบาท (โทษทางอาญา)
- ต้องจ่ายค่าเสียหายให้เจ้าของข้อมูล (โทษทางแพ่ง)
เคสตัวอย่างเพิ่มเติม
กรณีใช้ข้อมูลลูกค้าโดยไม่แจ้ง และมีการนำข้อมูลไปใช้ต่อในเชิงพาณิช
ร้านมือถือแห่งหนึ่งเก็บเบอร์โทรจากลูกค้าที่มาซื้อเครื่อง แล้วนำเบอร์ไปให้บริษัทอื่นโทรขายประกัน โดยลูกค้าไม่รู้มาก่อนรวมถึงประกันมีการโทรไปขายของทำให้เกิดการไม่พอใจจากเหตุการณ์นี้ สามารถทำอะไรได้บ้าง พร้อมบทลงโทษแบบใด
สิ่งที่ร้านมือถือทำผิดคืออะไร?
- เก็บและเปิดเผยข้อมูลโดยไม่ได้รับความยินยอม
เบอร์โทรศัพท์ถือเป็น ข้อมูลส่วนบุคคล ตาม PDPA การเปิดเผยข้อมูลนี้แก่บุคคลที่สาม (บริษัทประกัน) โดยไม่ได้รับ “ความยินยอมที่ชัดเจน” จากเจ้าของข้อมูล = ผิดกฎหมาย
อ้างอิง: มาตรา 24, 25 และ 27 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
- ห้ามเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล หากไม่ได้รับความยินยอมจากเจ้าของข้อมูลอย่างชัดเจน
- ความยินยอมต้องสมัครใจ เฉพาะเจาะจง และแจ้งวัตถุประสงค์ชัดเจน
เจ้าของข้อมูล (ลูกค้า) สามารถทำอะไรได้บ้าง?
- ร้องเรียนไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส. ข้อมูลส่วนบุคคล)
- ผ่านช่องทางของ สำนักงานคณะกรรมการข้อมูลส่วนบุคคล (PDPC)
- แนบหลักฐาน เช่น เบอร์ที่โทรมา วันเวลา และหลักฐานการซื้อสินค้า
- ใช้สิทธิ์ตามกฎหมาย PDPA
- ขอให้ลบข้อมูล
- ขอให้ระงับการใช้ข้อมูล
- ขอทราบว่าใครนำข้อมูลไปใช้ และนำไปใช้ทำอะไร
- ฟ้องร้องเรียกค่าเสียหายฟ้องเรียกค่าเสียหายทางแพ่ง หากเกิดความเสียหายจริง เช่น ถูกรบกวน ถูกคุกคาม หรือเสียโอกาสทางธุรกิจ
บทลงโทษตามกฎหมาย PDPA
- โทษทางปกครอง
- ปรับไม่เกิน 5 ล้านบาท หากฝ่าฝืนเรื่องการเก็บ ใช้ หรือเปิดเผยข้อมูลโดยไม่ได้รับความยินยอม
- โทษทางแพ่ง
- เจ้าของข้อมูลสามารถเรียกค่าเสียหายได้
- ศาลอาจสั่งให้ชดใช้ “ค่าเสียหายเพิ่มเติม” ได้อีกสูงสุด 2 เท่าของค่าความเสียหายจริง
- โทษทางอาญา (ในกรณีร้ายแรง)
- จำคุกไม่เกิน 1 ปี และ/หรือ ปรับไม่เกิน 1 ล้านบาท
- เช่น การนำข้อมูลไปใช้เพื่อแสวงหาผลประโยชน์โดยมิชอบ
PDPA ต่างจาก GDPR อย่างไร?
แม้ว่า PDPA ของไทยและ GDPR ของสหภาพยุโรปจะมีเป้าหมายเหมือนกัน คือการคุ้มครองข้อมูลส่วนบุคคล แต่ทั้งสองกฎหมายนี้ก็มีความแตกต่างกันในหลายด้าน โดยเฉพาะในเรื่องของขอบเขตการบังคับใช้ รายละเอียดในเชิงเทคนิค และความเข้มงวดในการบังคับใช้
PDPA เป็นกฎหมายของประเทศไทย โดยออกแบบมาให้เหมาะสมกับบริบททางธุรกิจและสังคมของไทย จึงมีความยืดหยุ่นมากกว่าในบางจุด และเริ่มต้นให้ธุรกิจไทยสามารถปรับตัวได้ก่อนจะมีการบังคับใช้อย่างเต็มรูปแบบ
ในขณะที่ GDPR (General Data Protection Regulation) ของยุโรป มีความเข้มงวดสูงและมีรายละเอียดทางกฎหมายมากกว่า ตั้งแต่ขั้นตอนการเก็บข้อมูล ไปจนถึงกระบวนการรายงานเหตุข้อมูลรั่วไหล และบทลงโทษก็หนักกว่ามาก โดยเฉพาะในองค์กรขนาดใหญ่
อีกหนึ่งความแตกต่างสำคัญคือ ขอบเขตของการบังคับใช้ — GDPR จะบังคับใช้กับทุกองค์กรทั่วโลกที่เก็บหรือประมวลผลข้อมูลของพลเมืองในสหภาพยุโรป ส่วน PDPA จะเน้นที่การคุ้มครองข้อมูลของบุคคลในประเทศไทยเป็นหลัก
ถึงแม้จะต่างกัน แต่กฎหมายทั้งสองฉบับก็มีหลักการร่วมกัน เช่น การขอความยินยอมจากเจ้าของข้อมูลอย่างชัดเจน, การให้สิทธิ์แก่เจ้าของข้อมูลในการเข้าถึง แก้ไข หรือลบข้อมูลของตนเอง และการกำหนดให้ผู้ควบคุมข้อมูลต้องมีความรับผิดชอบในการจัดการข้อมูลอย่างปลอดภัย
สำหรับธุรกิจที่มีลูกค้าทั้งในไทยและต่างประเทศ จำเป็นต้องเข้าใจกฎหมายทั้งสองฉบับ เพื่อให้การจัดการข้อมูลส่วนบุคคลถูกต้องและปลอดภัยในระดับสากล
บทสรุป
PDPA ย่อมาจาก กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ทุกคนควรรู้ โดยเฉพาะผู้ประกอบการหรือองค์กรที่มีการเก็บข้อมูลลูกค้า เพราะหากละเลย อาจมีโทษทั้งทางแพ่ง อาญา และทางปกครอง
การปฏิบัติตาม PDPA ไม่ได้ยากเกินไป แค่เริ่มจากการขอความยินยอมอย่างถูกต้อง แจ้งวัตถุประสงค์ชัดเจน และดูแลข้อมูลให้ปลอดภัย ก็ช่วยให้ธุรกิจน่าเชื่อถือ และเคารพสิทธิของลูกค้าได้อย่างมืออาชีพ
หากมีข้อสงสัยเพิ่มเติมเกี่ยวกับการใช้งาน หรือสนใจใช้บริการของ t-reg
โทร 089-698-2591
รับชมบริการของเราได้ที่ t-reg.co
