t-reg PDPA Platform

PDPA คืออะไร - สรุป PDPA Thailand

PDPA คืออะไร

เนื้อหาในบทความ

PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

       PDPA ย่อมาจาก Personal Data Protection Act B.E. 2562 (2019) เป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต โดยกฎหมาย PDPA Thailand (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ได้ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และปัจจุบันได้ถูกเลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล PDPA

     ทุกวันนี้ระบบดิจิทัลหรือระบบเครือข่ายออนไลน์กลายเป็นส่วนหนึ่งของชีวิตประจำวันของเราไปแล้ว มีหลากหลายช่องทางในการติดต่อสื่อสารเพื่อวัตถุประสงค์ต่างๆ มีแพลตฟอร์มมากมายให้เลือกใช้ โดยแต่ละช่องทางที่เราใช้งานก็จะมีการเก็บข้อมูลส่วนบุคคลของเราก่อนเข้าใช้งานด้วย เช่น ชื่อ นามสกุล , Email , เบอร์โทรศัพท์, ที่อยู่ หรือข้อมูลส่วนตัวอื่น ๆ ตามแต่ที่เจ้าของช่องทางเรียกขอข้อมูล

       การที่เราจะให้ข้อมูลส่วนบุคคลใครไป ย่อมพิจารณาว่าให้ใครไปและให้เพราะอะไร? ยกตัวอย่างเช่น ถ้าเราจะสั่งซื้อของออนไลน์ เราก็ยินยอมที่จะให้ข้อมูลส่วนตัว ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ในการติดต่อ เพื่อใช้ข้อมูลเหล่านี้ในการส่งสินค้ามาให้เรา ซึ่งเป็นข้อมูลส่วนบุคคลที่เราเข้าใจได้และยินยอมที่จะให้ไปเพื่อส่งสินค้ามายังเรา  หรือว่า ข้อมูลส่วนบุคคลที่เราให้ต่อบริษัทเพื่อสมัครเข้าทำงาน

       แต่เราจะรู้ได้อย่างไร? ว่าข้อมูลที่เราให้ไปนั้น จะใช้เพื่อวัตถุประสงค์นั้นจริงๆ และไม่นำข้อมูลส่วนตัวของเราไปใช้เพื่อผลประโยชน์อื่นใด ที่นอกเหนือความยินยอมของเรา

       PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่จะบังคับใช้ในประเทศไทยนี้ จะมีบทบาทในการคุ้มครองและให้สิทธิที่เราควรมีต่อข้อมูลส่วนบุคคลของเราเองได้ รวมไปถึงการสร้างมาตรฐานของบุคคลหรือนิติบุคคล ในการเก็บข้อมูลส่วนบุคคล, รวบรวมข้อมูลส่วนบุคคล, ใช้ข้อมูลส่วนบุคคล หรือเพื่อการเปิดเผยข้อมูลส่วนบุคคลก็ตาม ซึ่งล้วนแล้วเกี่ยวข้องกับ พ.ร.บ. ฉบับนี้ที่จะต้องปฏิบัติตาม  หากผู้ใดหรือองค์กรใดไม่ปฏิบัติตามย่อมมีบทลงโทษตามกฎหมายตามมา ซึ่งบทลงโทษของ PDPA สำหรับผู้ที่ไม่ปฏิบัติตามนั้น มีทั้งโทษทางแพ่ง โทษทางอาญา และโทษทางปกครองด้วย

บทลงโทษ PDPA

       ดังนั้น PDPA ที่จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ ก็นับว่าเป็นกฎหมายที่เราทุกคนควรทราบและตระหนักรู้ถึงสิทธิในข้อมูลส่วนบุคคลของเรา โดยเฉพาะอย่างยิ่งองค์กร บริษัท ห้างร้าน หรือแพลตฟอร์มต่าง ๆ ที่มีการเก็บข้อมูลส่วนบุคคล ไม่ว่าจะเป็นลูกค้า ผู้ใช้งาน หรือจะเป็นพนักงานที่ทำงานภายในองค์กรเองก็ตาม   

องค์กรต่าง ๆ จึงได้รับผลกระทบพอสมควรกับการประกาศใช้ PDPA เพื่อเพิ่มมาตรฐานนโยบายการรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยิมยอนที่เจ้าของข้อมูลส่วนบุคคลได้ให้ไว้ และที่สำคัญต้องสอดคล้องต่อ PDPA ด้วย ทำให้กระบวนการทำ PDPA ไม่ใช่เรื่องที่ง่ายสักทีเดียว ที่เราจะทำได้ภายในระยะเวลาอันสั้น โดยเฉพาะองค์กรขนาดใหญ่ที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลและมีการนำข้อมูลส่วนบุคคลไปใช้เป็นจำนวนมาก

       แต่อย่างไรก็ตาม บุคคลหรือองค์กรต่าง ๆ ก็ยังมีเวลาเพียงพอที่จะเริ่มดำเนินการกับข้อมูลส่วนบุคคลเพื่อให้สอดคล้องกับ PDPA ภายในระยะเวลาที่เหลืออีก 1 ปี (บทความเขียนเมื่อปี 64) เพราะกฎหมายฉบับนี้อย่างไรก็จะมีมาบังคับใช้ต่อผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างแน่นอน จึงควรเริ่มทำตั้งแต่เนิ่น ๆ ไว้ เพื่อป้องกันปัญหาที่จะอาจตามมาทางด้านกฎหมาย ซึ่งจะมีผลเสียหายต่อองค์กร หากวันใดวันหนึ่งเกิดมีข้อมูลรั่วไหล หรือเผลอนำข้อมูลส่วนบุคคลไปใช้อย่างไม่ถูกต้องแล้ว บุคคลหรือองค์กรที่ไม่ได้ดำเนินการตาม PDPA ไว้ ย่อมเสียหายร้ายแรงกว่าผู้ที่ดำเนินการไว้แล้ว และผู้รับโทษตามกฎหมายก็อาจเป็นเจ้าของกิจการที่ต้องรับโทษแทนพนักงานเองก็เป็นได้ จึงนับว่าผู้นำองค์กรก็ควรตระหนักและให้ความใส่ใจต่อการทำ PDPA ก่อนถึงวันบังคับใช้เป็นอย่างยิ่ง

ข้อมูลส่วนบุคคล คืออะไร?

ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ทั้งทางตรงหรือทางอ้อม แต่จะไม่นับรวมข้อมูลของผู้ที่เสียชีวิตไปแล้ว

ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ-นามสกุล, เลขประจำตัวประชาชน, เบอร์โทรศัพท์มือถือ, วันเกิด, อีเมล, เพศ, อาชีพ, ข้อมูลการศึกษา, ข้อมูลการเงิน, เลขบัตรเครดิต, เลขบัญชีธนาคาร, เลขที่ใบขับขี่, รูปถ่าย เป็นต้น

นอกจากนี้ยังมีข้อมูลส่วนบุคคลอีกประเภท ที่ พ.ร.บ. ฉบับนี้ให้ความสำคัญและมีบทลงโทษที่รุนแรงด้วยกรณีเกิดการรั่วไหลสู่สาธารณะ คือ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ได้แก่ ข้อมูลทางพันธุกรรม-ชีวภาพ (เช่น ข้อมูลสแกนลายนิ้วมือ), ศาสนาและปรัชญา, พฤติกรรมทางเพศ, ข้อมูลสุขภาพ, เชื้อชาติ, เผ่าพันธุ์, ความคิดเห็นทางการเมือง, ความเชื่อในลัทธิ, ประวัติอาชญากรรม, ความพิการ, ข้อมูลสหภาพแรงงาน, ข้อมูลภาพจำลองใบหน้า, ข้อมูลจำลองม่านตา, ข้อมูลจำลองลายนิ้วมือ เป็นต้น

เหตุที่ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เป็นข้อมูลที่มีบทลงโทษที่รุนแรงกว่าข้อมูลส่วนบุคคลทั่วไป (Personal Data) เพราะหากข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนมีการรั่วไหลไปสู่สาธารณะแล้ว จะเกิดผลเสียที่ร้ายแรงกับผู้เป็นเจ้าของข้อมูลส่วนบุคคล(Data Subject)ได้มากกว่าข้อมูลส่วนบุคคลอื่นๆ ยกตัวอย่างเช่น ข้อมูลลายนิ้วมือ เราไม่สามารถไปเปลี่ยนลายนิ้วมือได้ ลายนิ้วมือเป็นข้อมูลส่วนบุคคลที่จะอยู่กับเราไปจนวันเสียชีวิต หรือว่าจะเป็น ข้อมูลพฤติกรรมทางเพศ เชื่อชาติ ศาสนา ประวัติอาชญากรรม ถ้ารั่วไหลไปแล้ว ข้อมูลเหล่านี้จะนำมาสู่ความเป็นอคติและจะมีผลกระทบต่อชีวิตส่วนบุคคลได้มากกว่าข้อมูลทั่วไปเป็นอย่างมาก

Privacy data

ใครบ้างที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล?

  • เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลสามารถระบุไปถึงได้
  • ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

แล้ว PDPA ให้เจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้รับสิทธิอะไรบ้าง?

เพื่อให้ง่ายต่อความเข้าใจในสิทธิของเจ้าของข้อมูล(Data Subject) เรามาทำความรู้จักกับคำว่า ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เพิ่มเติมอีกสักหน่อย

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)  คืออะไร ? ผู้ควบคุมข้อมูลส่วนบุคคล หมายถึงบุคคลหรือนิติบุคคล ที่มีส่วนในการเก็บรวบรวมข้อมูลส่วนบุคคล, ใช้ข้อมูลส่วนบุคคล หรือเปิดเผยข้อมูลส่วนบุคคล และหากดูที่ความหมายอย่างละเอียดแล้ว นั่นหมายความว่าเพียงแค่เรามีการเก็บข้อมูลส่วนบุคคลของผู้อื่นไว้ ก็ถือว่าเราเป็นผู้ควบคุมข้อมูลส่วนบุคคล ที่จะต้องปฏิบัติตามกฎหมาย PDPA ไปด้วยเหมือนกัน

ใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จะให้ สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right) สรุปได้ดังต่อไปนี้

  • สิทธิได้รับการแจ้งให้ทราบ

    การเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้ง ให้เจ้าของข้อมูลส่วนบุคคลทราบ ก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล (ยกเว้นเจ้าของข้อมูลส่วนบุคคลได้ทราบถึงรายละเอียดนั้นอยู่แล้ว เช่น ไปธนาคารเพื่อจะไปเปิดบัญชี หรือว่าการสมัครใช้ผลิตภัณฑ์หรือบริการต่าง ๆ ) โดยมีรายละเอียดการแจ้งให้ทราบ เช่น เก็บข้อมูลส่วนบุคคลอะไรบ้าง, วัตถุประสงค์การเก็บข้อมูล, การนำไปใช้หรือส่งต่อไปมีให้ใครบ้าง, วิธีเก็บข้อมูลอย่างไร, เก็บข้อมูลนานแค่ไหน, วิธีขอการเปลี่ยนแปลง แก้ไข เพิกถอนข้อมูลส่วนบุคคลที่ให้ไปสามารถทำได้อย่างไรบ้าง

  • สิทธิขอเข้าถึงข้อมูลส่วนบุคคล

    เจ้าของข้อมูลส่วนบุคคล มีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาของข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอมได้ โดยสิทธินี้จะต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาล หรือส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น ถ้าไม่ขัดหรือส่งผลกระทบดังกล่าว เจ้าของข้อมูลส่วนบุคคลจะได้รับสิทธิภายใน 30 วันนับจากวันที่ ผู้ควบคุมข้อมูลส่วนบุคคล ได้รับคำขอ

  • สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

    เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ แต่ต้องไม่ขัดด้วยกฎหมายที่สำคัญยิ่งกว่า หรือขัดต่อสิทธิการเรียกร้องตามกฎหมาย หรือข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อการวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ สถิติ

  • สิทธิขอให้ลบหรือทำลาย

    กรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่เปิดเผยต่อสาธารณะ และผู้ควบคุมข้อมูลส่วนบุคคลถูกขอให้ลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลเจ้าของได้ โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องผู้รับผิดชอบดำเนินการทั้งในทางเทคโนโลยีและค่าใช้จ่ายเอง

  • สิทธิในการเพิกถอนความยินยอม

    ถ้าเจ้าของข้อมูลเคยให้ความยินยอมในการใช้ข้อมูลไปแล้ว ต่อมาภายหลังต้องการยกเลิกความยินยอมนั้น ก็สามารถทำเมื่อใดก็ได้ และการยกเลิกความยินยอมนั้นจะต้องทำได้ง่ายเหมือนกับตอนแรกที่เจ้าของข้อมูลให้ความยินยอมด้วย โดยการยกเลิกจะต้องไม่ขัดต่อข้อจำกัดสิทธิในการถอนความยินยอมทางกฎหมาย หรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไปก่อนหน้านี้

  • สิทธิขอให้ระงับการใช้ข้อมูล

    เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคล ไม่ว่าจะในกรณีที่เกิดการเปลี่ยนใจไม่ต้องการให้ข้อมูลแล้ว หรือเปลี่ยนใจระงับการทำลายข้อมูลเมื่อครบกำหนดที่ต้องทำลาย เพราะมีความจำเป็นต้องนำข้อมูลไปใช้ในทางกฎหมาย หรือการเรียกร้องสิทธิ ก็สามารถทำได้

  • สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล

    เจ้าของข้อมูลมีสิทธิที่จะขอแก้ไขข้อมูลส่วนบุคคลของตนเองให้มีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิดได้ โดยการแก้ไขนั้นจะต้องเป็นไปด้วยความสุจริต และไม่ขัดต่อหลักกฎหมาย

  • สิทธิในการขอให้โอนข้อมูลส่วนบุคคล

    ในกรณีที่เจ้าของข้อมูลต้องการนำข้อมูลที่เคยให้ไว้กับผู้ควบคุมข้อมูลรายหนึ่ง ไปใช้กับผู้ควบคุมข้อมูลอีกราย เช่น ผู้ควบคุมข้อมูลส่วนบุคคลรายแรกได้ทำจัดทำข้อมูลส่วนบุคคลของเราไปในอยู่ในรูปแบบต่างๆ ที่เข้าถึงได้ด้วยวิธีการอัตโนมัติ เจ้าของข้อมูลสามารถขอให้ผู้ควบคุมข้อมูลส่วนบุคคลที่จัดทำข้อมูลนั้น ทำการส่งหรือโอนข้อมูลดังกล่าวให้ได้ หรือจะขอให้ส่งไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่นโดยตรงก็สามารถทำได้ หากไม่ติดขัดทางวิธีการและเทคนิค โดยการใช้สิทธินั้นต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิเสรีภาพของบุคคลอื่น

Access data PDPA

ผู้ควบคุมข้อมูลส่วนบุคคล จะสามารถรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ก็ต่อเมื่อ?

  • ได้รับความยินยอม (Concent) จากเจ้าของข้อมูลส่วนบุคคล
  • จำเป็นเพื่อปฏิบัติตามสัญญากับเจ้าของข้อมูล ส่วนใหญ่มักจะใช้ข้อนี้ เช่น การซื้อขายของออนไลน์ ต้องใช้ชื่อ ที่อยู่ เบอร์โทร
  • จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ ที่เกี่ยวข้องกับ การศึกษาวิจัยหรือการจัดทำสถิติ
  • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
  • จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น
  • จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
  • จำเป็นต้องปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูล เช่น ส่งข้อมูลพนักงานให้กรมสรรพากรเรื่องภาษี เป็นต้น
  • การดำเนินกิจกรรมที่ชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของ มูลนิธิ สมาคม องค์กรไม่แสวงหากำไร เช่น เรื่องศาสนาหรือความคิดเห็นทางการเมื่อง ซึ่งจำเป็นต้องเปิดเผยให้ทราบก่อนเข้าองค์กรนั้นๆ
  • บุคคลสาธารณะที่มีข้อมูลที่เปิดเผยต่อสาธารณะอยู่แล้วในความยินยอมของเจ้าของข้อมูล
  • นำไปใช้เพื่อสิทธิเรียกร้องตามกฎหมาย เช่น เก็บลายนิ้วมือของผู้ที่บุกรุกเพื่อนำไปใช้ในชั้นศาล เป็นต้น
  • จำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ เช่น การเก็บข้อมูลสุขภาพของพนักงานซึ่งเป็นข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) องค์กรมักใช้ข้อนี้ในการอ้างสิทธิที่จำเป็นต้องเก็บข้อมูลนี้ไว้ , ประโยชน์ด้านสาธารณะสุข, การคุ้มครองแรงงาน, การประกันสังคม, หลักประกันสุขภาพแห่งชาติ, การศึกษาวิจัยทางวิทยาศาสตร์, ประวัติศาสตร์, สถิติ, ประโยชน์สาธารณะที่สำคัญ

คำถามที่มักพบบ่อย : ข้อมูลเก่าที่เคยเก็บไว้ก่อนที่ พ.ร.บ. นี้จะบังคับใช้ ต้องทำอย่างไร?

       ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ ก่อนหน้าที่ PDPA จะบังคับใช้ใน วันที่ 1 มิถุนายน 2565 ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องทำอย่างไรบ้าง ตามมาตรา ๙๕ ใน พ.ร.บ.ได้ระบุไว้ว่า
      “ ให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องกำหนดวิธีการยกเลิกความยินยอม และเผยแพร่ประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่ประสงค์ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวมรวม และใช้ข้อมูลส่วนบุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย

การส่ง หรือ โอนข้อมูลส่วนบุคคลไปยังต่างประเทศก็สำคัญ

       ผู้ควบคุมข้อมูลส่วนบุคคล จะส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ต้องตรวจสอบว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลนั้น มีมาตรฐานการคุ้มครองข้อมูล ส่วนบุคคลที่เพียงพอหรือไม่ ยกเว้นว่าจะเป็นไปเพื่อเป็นไปตามกฎหมาย, ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล, จำเป็นเพื่อปฏิบัติตามสัญญา, ป้องกันอันตรายที่จะเกิดต่อเจ้าของข้อมูลที่ไม่สามารถให้ยินยอมในขณะนั้นได้ หรือเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ

เมื่อ PDPA บังคับใช้แล้วแต่ไม่ได้ปฏิบัติตาม จะมีบทลงโทษอะไรบ้าง ?

           ถ้าไม่ปฏิบัติตาม PDPA บทลงโทษของผู้ที่ไม่ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีถึง 3 ประเภท ได้แก่

  • โทษทางแพ่ง

    โทษทางแพ่งกำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด และอาจจะต้องจ่ายบวกเพิ่มอีกเป็นค่าค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่าของค่าเสียหายจริง      ตัวอย่าง หากศาลตัดสินว่าให้ผู้ควบคุมข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคล เป็นจำนวน 1 แสนบาท ศาลอาจมีคำสั่งกำหนดค่าสินไหมเพื่อการลงโทษเพิ่มอีก 2 เท่าของค่าเสียหายจริง เท่ากับว่าจะต้องจ่ายเป็นค่าปรับทั้งหมด เป็นจำนวนเงิน 3 แสนบาท

  • โทษทางอาญา

    โทษทางอาญาจะมีทั้งโทษจำคุกและโทษปรับ โดยมี โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ โดยโทษสูงสุดดังกล่าวจะเกิดจากการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศ ประเภทข้อมูลที่มีความละเอียดอ่อน(Sensitive Personal Data)      ส่วนกรณีหากผู้กระทำความผิด คือ บริษัท(นิติบุคคล) ก็อาจจะสงสัยว่าใครจะเป็นผู้ถูกจำคุก เพราะบริษัทติดคุกไม่ได้ ในส่วนตรงนี้ก็อาจจะตกมาที่ ผู้บริหาร, กรรมการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของบริษัทนั้น ๆ ที่จะต้องได้รับการลงโทษจำคุกแทน

  • โทษทางปกครอง

    โทษปรับ มี ตั้งแต่ 1 ล้านบาทจนถึงสูงสุดไม่เกิน 5 ล้านบาท ซึ่งโทษปรับสูงสุด 5 ล้านบาท จะเป็นกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลที่มีความละเอียดอ่อน(Sensitive Personal Data) ซึ่งโทษทางปกครองนี้จะแยกต่างหากกับการชดใช้ค่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทางอาญาด้วย

บทลงโทษสูงสุด PDPA

สรุปใจความสำคัญของ PDPA

       จะเห็นได้ว่า PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีหัวใจสำคัญก็เพื่อต้องการรักษาสิทธิที่พึงมีแก่เจ้าของข้อมูล    ว่าข้อมูล  ส่วนตัวของเราจะปลอดภัย นำไปใช้อย่างถูกต้องเหมาะสมตามความต้องการและยินยอมของเจ้าของข้อมูลอย่างแท้จริง อย่างไรก็ตามผู้เป็นเจ้าของข้อมูลก็ควรพิจารณาอย่างรอบคอบเช่นกันว่าการให้ข้อมูลส่วนบุคคลในแต่ละครั้ง เป็นไปเพื่อวัตถุประสงค์อะไร? ข้อมูลที่ให้ไปมีเพียงพอกับวัตถุประสงค์นั้นแล้วหรือยัง? หากมองว่ามีการให้ข้อมูลส่วนบุคคลนั้นไม่เกี่ยวข้องกับวัตถุประสงค์ของการขอข้อมูล เราก็สามารถปฏิเสธการให้ข้อมูลนั้นได้ เพื่อเป็นการป้องกันการนำข้อมูลไปใช้ในทางที่ผิดหรือหาผลประโยชน์จากข้อมูลส่วนบุคคลของเราก็เป็นได้
       สำหรับในส่วนผู้เก็บข้อมูลนั้น นับว่าได้รับผลกระทบโดยตรงเป็นอย่างมากกับ PDPA ที่จะต้องปฏิบัติตาม ผู้ควบคุมข้อมูลส่วนบุคคลจึงต้องมีการกำหนดนโยบายความปลอดภัยของข้อมูลส่วนบุคคลภายในองค์กรและให้ความรู้แก่บุคคลากรในองค์กร, รู้ขอบเขตการเก็บรวบรวม การใช้ การเผยแพร่ข้อมูลส่วนบุคคล, มีระบบการจัดเก็บข้อมูลส่วนบุคคลที่ปลอดภัย, มีการจำกัดการเข้าถึงข้อมูลส่วนบุคคล, มีการบันทึกกิจกรรมการใช้ข้อมูลส่วนบุคคล สิ่งเหล่านี้ล้วนจำเป็นอย่างยิ่งที่ผู้ควบคุมข้อมูลจะต้องปฏิบัติตามเพื่อให้สอดคล้องกับ PDPA ต่อไป มาถึงตรงนี้ผู้อ่านก็พอจะทราบแล้วว่า PDPA คืออะไร และเกี่ยวข้องกับเราอย่างไร

PDPA คืออะไร ? และเกี่ยวข้องกับเราอย่างไร ?

หากองค์กรของท่านกำลังมองหาเครื่องมือเพื่อให้ผ่าน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

    t-reg Platform by Ragnar Corporation จะสามารถทำให้องค์กรของท่านผ่าน PDPA ได้อย่างครบวงจรในที่เดียว ด้วยทีมงานผู้เชี่ยวชาญทางด้านกฎหมาย และทีมโปรแกรมเมอร์ที่มากด้วยประสบการณ์ จะทำให้การปฏิบัติตามกฎหมาย PDPA ขององค์การของท่านเป็นเรื่องง่ายสะดวกสบาย และสามารถทำสำเร็จได้ภายใน 1 เดือน

คำบอกเล่าแชร์ประสบการณ์ของ ริษัท ส. ขอนแก่นฟู้ดส์ จำกัด (มหาชน) ในการใช้บริการ t-reg Platform by Ragnar Corporation

ติดต่อเรา ให้เราช่วยดูแลองค์กรของคุณ ครบจบทุกกระบวนการ PDPA

Share this post with your friends

Share on facebook
Share on google
Share on twitter
Share on linkedin

Recent Post