ผู้บริโภคได้อะไร? รู้จัก พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล (PDPA)

เป็นที่ทราบกันดีว่าในปัจจุบัน “Data is a King” ข้อมูลต่างๆ โดยเฉพาะข้อมูลส่วนบุคคลเป็นสิ่งที่มีมูลค่า แต่ที่ผ่านมาเรามักจะให้ข้อมูลเหล่านี้กับ ผู้ให้บริการธุรกิจ, ภาครัฐ, แอปพลิเคชั่น, เว็บไซต์ หรือร้านค้าต่างๆ กันจนเป็นเรื่องปกติ ผ่านการสมัครใช้บริการ หรือลงทะเบียนต่างๆ ทั้งแบบออนไลน์ และออฟไลน์

แน่นอนว่าข้อมูลส่วนบุคคลหากไม่มีมาตรการคุ้มครองที่เพียงพอ ก็อาจจะเป็นช่องโหว่ให้เจ้าของข้อมูลถูกล่วงละเมิด อาทิเช่น การถูกนำไปสวมรอยเพื่อใช้ในกิจกรรมที่เราไม่ยินยอม, ถูกหน่วยงานนำไปใช้ประโยชน์ในเชิงพาณิชย์ หรือตกไปอยู่ในมือของคนที่ไม่ได้รับข้อมูลโดยตรง เป็นการสร้างความเดือดร้อนและรำคาญให้แก่ตัวเจ้าของข้อมูล ดังกรณีที่เราเห็นกันบ่อยๆ เบอร์แก๊ง Call Center ที่รู้เบอร์โทรของเรา หรือบางทีก็รู้ยันหมายเลขบัตรประชาชน ซึ่งเราไม่มีทางทราบได้ว่าบุคคลเหล่านี้ไปเอาข้อมูลของเรามาจากที่ไหน และนั้นก็เป็นหน้าที่ของ “พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล” ที่จะเข้ามาช่วยควบคุมดูแล

วันที่ 1 มิถุนายน 2565 นี้ เป็นวันแรกที่มีการเริ่มใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act B.E. 2562) หรือที่เรียกกันสั้นๆ ว่า PDPA ซึ่งเป็นกฏหมายที่จะมีผลทั้งกับภาคธุรกิจ ภาครัฐ-เอกชน และคนทั่วไป แต่ก่อนจะถึงวันนั้นเรามาเตรียมความพร้อมทำความรู้จักกันดีกว่าว่ากฏหมายนี้คืออะไร และในมุมผู้บริโภคจะได้รับประโยชน์อะไร

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คืออะไร

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ Personal Data Protection Act B.E. 2562 (2019) ที่เราเรียกกันสั้นๆ ว่า PDPA เป็นกฏหมายที่จะมีบทบาทสำคัญในการคุ้มครองและให้สิทธิกับเจ้าของข้อมูลส่วนบุคคล รวมถึงการสร้างมาตรฐานใหม่ให้เกิดขึ้นกับบุคคลหรือนิติบุคคลในการเก็บข้อมูลหรือใช้ข้อมูลส่วนบุคคลให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลอนุญาต พ.ร.บ. ฉบับดังกล่าว ได้มีการกล่าวถึงผู้ที่มีส่วนเกี่ยวข้องกับ “ข้อมูลส่วนบุคคล” ตามกฎหมายไว้ 4 กลุ่ม ได้แก่

เจ้าของข้อมูลส่วนบุคคล (Data Subject)

ในที่นี้หมายถึงประชาชนทุกคน (ยกเว้น คนตายและนิติบุคคล) และ ในคำว่าข้อมูลส่วนบุคคล ณ ที่นี้ คือข้อมูลเกี่ยวกับบุคคลที่ทำให้ระบุตัวบุคคลได้ทั้งทางตรงและทางอ้อม อาทิเช่น เลขประจำตัวประชาชน, ชื่อ-นามสกุล, ที่อยู่, เบอร์โทรศัพท์, อีเมล, ข้อมูลทางการเงิน, เชื้อชาติ, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสุขภาพ เป็นต้น

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ในการกำหนดวัตถุประสงค์ วิธีการประมวลผล และใช้ประโยชน์จากข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO)

ผู้ที่ได้รับมอบหมายให้ทำหน้าที่แนะนำหรือตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลของ หน่วยงาน / องค์กร / สถาบัน ให้เป็นไปตามกฏหมาย

สำหรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นการใช้บังคับแก่การเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่ในราชอาณาจักรไทย

แต่สำหรับผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกราชอาณาจักร จะมีผลบังคับใช้หากมีกิจกรรมดังนี้

– เสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลซึ่งอยู่ในราชอาณาจักรไม่ว่าจะมีการชำระเงินหรือไม่ก็ตาม

– การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลที่เกิดขึ้นในราชอาณาจักร

สิ่งที่ประชาชนจะได้จาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

– สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้ (มาตรา 19 วรรคห้า)

– สิทธิได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice) (มาตรา 23)

– สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล (มาตรา 30)

– สิทธิขอให้โอนข้อมูลส่วนบุคคล (มาตรา 31)

– สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล (มาตรา 32)

– สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (มาตรา 34)

– สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล (มาตรา 34)

– สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล (มาตรา 35)

– มีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่มีการฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA หรือ ประกาศฯ ที่ออกตาม PDPA ทั้งนี้ กระบวนการร้องเรียนเป็นไปตามระเบียบที่คณะกรรมการฯ ประกาศกำหนด (มาตรา 73)

ขณะที่บุคคลหรือนิติบุคคลที่อยู่ในฐานะ ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล จะต้องปฏิบัติดังนี้

– เก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเอาไว้ก่อนหรือในขณะเก็บรวบรวม ห้ามใช้นอกเหนือวัถตุประสงค์ (มาตรา 21 )

– ต้องเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็น ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย (มาตรา 22 )

– ความยินยอม เป็นฐานการประมวลผลฐานหนึ่งเท่านั้น “ผู้ควบคุมข้อมูลส่วนบุคคล” มีหน้าที่ในการกำหนดฐานการประมวลผลให้สอดคล้องกับลักษณะการประมวลผลและความสัมพันธ์ระหว่าง “ผู้ควบคุมข้อมูล” กับ “เจ้าของข้อมูลส่วนบุคคล” (ตามมาตร 24 หรือ มาตรา 26)

– ในการขอความยินยอม “ผู้ควบคุมข้อมูลส่วนบุคคล” จะต้องคำนึงอย่างที่สุดในความเป็นอิสระของ “เจ้าของข้อมูลส่วนบุคคล” (ต้องไม่มีสภาพบังคับในการให้/ไม่ให้) (มาตรา 19 วรรคสี่)

– ในกรณีที่เหตุการณ์ละเมิด “ข้อมูลส่วนบุคคล” มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของ “เจ้าของข้อมูลส่วนบุคคล” กฎหมายกำหนดให้ “ผู้ควบคุมข้อมูลส่วนบุคคล” มีหน้าที่แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า (มาตรา 37(4)

ฝ่าฝืน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มีบทลงโทษ อย่างไร ?

หากมีการใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบฯ ก็จะมีความผิดตามมาตรา 79 วรรคหนึ่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ หรือเพื่อแสวงหาผลประโยชน์ที่มิควรโดยมิชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น ตามมาตรา 79 วรรคสอง ต้องระวางโทษ จำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

อีกทั้งหากล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ตาม พ.ร.บ.นี้ ถ้าผู้นั้นนำไปเปิดเผยแก่ผู้อื่น ตามมาตรา 80 วรรคหนึ่ง ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ รวมถึงมีความผิดในทางปกครอง ตามมาตรา 82–90 โดยมีโทษปรับทางปกครอง 500,000 บาท ถึง 5,000,000 บาท อีกทั้งผู้เสียหายอาจใช้สิทธิเรียกร้องในทางแพ่งหรือความผิดตามกฎหมายอื่นได้อีกด้วย

ในฐานะของประชาชน พนักงาน และลูกค้า ประโยชน์ของกฎหมายฉบับนี้ช่วยปกป้องคุ้มครองความปลอดภัยส่วนบุคคล ทำให้เราตระหนักได้ว่าข้อมูลส่วนตัวของเรามีมูลค่าสูงมากอย่างไม่น่าเชื่อเมื่อเทียบกับความสูญเสียที่อาจเกิดขึ้น หรืออย่างน้อยที่สุดเมื่อเทียบกับบทลงโทษและค่าปรับ

ในแง่ของภาคธุรกิจและองค์กร แม้ว่าเรื่องการจัดการด้านข้อมูลจะค่อนข้างซับซ้อน และมีข้อพึงระวังที่ต้องให้ความสำคัญมากกว่าเดิม หากมองในทางกลับกัน เมื่อแผนการเก็บ รวบรวม รักษาความปลอดภัย และการเผยแพร่มีประสิทธิภาพ เป็นไปอย่างถูกต้องตามเงื่อนไขด้วยชอบตามกฎหมายแล้ว องค์กรของคุณก็จะสามารถสร้างคงวามเชื่อมั่นให้กับพนักงาน ได้รับความไว้วางใจจากลูกค้าและคู่ค้าได้ ด้วยการออกแบบระบบ ออกแบบบริการให้ถูกต้องตามกฎหมาย และยังสร้างความเชื่อมั่นให้ผู้บริโภคได้อีกด้วย

อ่าน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ขอเว็บไซต์เราได้ที่

Privacy Policy

แชร์บทความ

ข่าวสารบทความแนะนำ

ลงทุนขายฝาก ผลตอบแทนสูงแบบนี้ ใช่แชร์ลูกโซ่รึเปล่า ?

ใครอยากเป็นเศรษฐี ? ฉันน่ะสิ ฉันน่ะสิ !! แน่นอนว่า ใครๆ ก็อยากมีเงินเยอะๆ อยากให้เงินของเราเติบโตงอกเงย ออกดอกออก […]

การลงทุนอสังหาริมทรัพย์หนึ่งช่องทางที่น่าสนใจ และเป็นที่นิยมในตลาดในหมู่เศรษฐีอสังหาฯ ไทย เป็นการลงทุนที่ให้ผลตอบแทนสูง […]

แชร์บทความ

ดูเพิ่มเติม

จำนองมีกี่ประเภท ? ประเภทการจดทะเบียนจำนอง

เรามักจะได้ยินคำว่า จำนอง กันอยู่บ่อยๆ โดยที่อาจจะไม่รู้ว่ามันหมายถึงอะไร หรือว่ารู้แต่ก็ไม่มั่นใจ และก็สงสัยว่า […]

แชร์บทความ

ดูเพิ่มเติม