รู้จัก PAPD เพื่อปกป้องข้อมูลส่วนตัวของคุณ

  September 15, 2021      

ภาพโดย macrovector จาก freepik.com

PDPA คืออะไร
PDPA ย่อมาจาก Personal Data Protection Act B.E. 2562 (2019) หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำข้อมูลไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต โดยได้ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 24 พฤษภาคม 2562 ระบุให้องค์กรหรือหน่วยงานที่เกี่ยวข้องที่เก็บข้อมูลส่วนบุคคลของประชาชนไม่ว่าจะเป็นบริษัทเอกชน หรือหน่วยงานภาครัฐ ต้องไม่นำเอาข้อมูลส่วนบุคคลไปใช้ในกิจกรรมอื่น ๆ ที่เจ้าของข้อมูลไม่ยินยอม แต่ในหมวดที่สำคัญซึ่งเกี่ยวกับเนื้อหาการคุ้มครองข้อมูลส่วนบุคคลและการกำหนดโทษกรณีที่มีการละเมิดกฎหมายนั้น และปัจจุบันได้ถูกเลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565

สิ่งที่สำคัญที่จะต้องมีความรู้เกี่ยวกับกฎหมายที่รัฐคุ้มครองสิทธิส่วนบุคคล
เหตุผลในการประกาศใช้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act)  เนื่องมาจากเทคโนโลยีก้าวหน้าขึ้นและช่องทางสื่อสารต่าง ๆ มีหลากหลายขึ้น ทำให้การละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลทำได้ง่ายขึ้น และหลายครั้งก็นำมาซึ่งความเดือดร้อนรำคาญหรือสร้างความเสียหายให้แก่เจ้าของข้อมูล ตลอดจนสามารถส่งผลต่อเศรษฐกิจโดยรวมของประเทศได้ด้วย จึงต้องมีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลขึ้นเพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่รวมถึงการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขึ้น (ธนาคารไทยพาณิชย์, 2563)

ข้อมูลส่วนบุคคล คืออะไร มีอะไรบ้าง
ภาพโดย stories จาก freepik.com

ข้อมูลส่วนบุคคล (Personal Data) คือ ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ทั้งทางตรงหรือทางอ้อม แต่จะไม่นับรวมข้อมูลของผู้ที่เสียชีวิตไปแล้ว

ข้อมูลส่วนบุคคลมอะไรบ้าง 
  • ข้อมูลที่แสดงถึงความเป็นตัวตน ได้แก่ ชื่อ-นามสกุล หรือชื่อเล่น เลขประจำตัวประชาชน เลขหนังสือเดินทาง เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี เลขบัญชีธนาคาร เลขบัตรเครดิต (การเก็บเป็นภาพสำเนาบัตรประชาชนหรือสำเนาบัตรอื่น ๆ ที่มีข้อมูลส่วนบุคคลที่กล่าวมาย่อมสามารถใช้ระบุตัวบุคคลได้โดยตัวมันเอง จึงถือเป็นข้อมูลส่วนบุคคล) 
  • ข้อมูลตำแหน่งที่อยู่ (location) ที่อยู่ อีเมล เลขโทรศัพท์ ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address MAC address 
  • ข้อมูลทางชีวมิติ (Biometric) เช่น รูปภาพใบหน้า ลายนิ้วมือ ฟิล์มเอกซเรย์ DNA ข้อมูลสแกนม่านตา ข้อมูลอัตลักษณ์ เสียง ข้อมูลพันธุกรรม 
  • ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์ โฉนดที่ดิน รวมถึงข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิดและสถานที่เกิด เชื้อชาติ สัญชาติ น้ำหนัก ส่วนสูง 
  • ข้อมูลการแพทย์ ข้อมูลการศึกษา ข้อมูลทางการเงิน ข้อมูลการจ้างงาน 
  • ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิล์ม แม้ไม่สามารถระบุไปถึงตัวบุคคลได้ แต่หากใช้ร่วมกับระบบดัชนีข้อมูลอีกระบบหนึ่งก็จะสามารถระบุไปถึงตัวบุคคลได้ 
  • ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง 
  • ข้อมูลบันทึกต่าง ๆ ที่ใช้ติดตามตรวจสอบกิจกรรมต่าง ๆ ของบุคคล เช่น log file  หรือ ข้อมูลที่สามารถใช้ในการค้นหาข้อมูลส่วนบุคคลอื่นในอินเทอร์เน็ต
นอกจากนี้ยังมีข้อมูล ที่ พ.ร.บ. ฉบับนี้ให้ความสำคัญกับ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) อันได้แก่ ข้อมูล เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนดและมีบทลงโทษที่รุนแรงหากกรณีเกิดการรั่วไหลของข้อมูลสู่สาธารณะ 
    ใครบ้างที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล
    ผู้ที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล ในกฎหมาย PDPA มี 3 ประเภท ได้แก่
    1. เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลสามารถระบุไปถึงได้
    2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
    3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
    สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right)
    1. สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) 
    2. สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access) 
    3. สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
    4. สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
    5. สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure / Right to be forgotten) 
    6. สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล (Right to restrict processing)
    7. สิทธิในการขอให้ดำเนินการแก้ไขข้อมูลส่วนบุคคล (Right of rectification)
    ผู้ควบคุมข้อมูลส่วนบุคคล จะสามารถรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ได้เมื่อใด?
    การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จะชอบด้วยกฎหมาย เมื่อทำตามหลักการหลักการใดต่อไปนี้
    1. ได้รับความยิมยอมจากเจ้าของข้อมูลส่วนบุคคล 
      • การขอความยิมยอมต้องทำโดยชัดแจ้งเป็นหนังสือหรือผ่านระบบอิเล็กทรอนิกส์
      • ต้องแจ้งความประสงค์ในการรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล
      • มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ ไม่เป็นการหลอกลวง
      • หากข้อมูลส่วนบุคคลไม่จำเป็นต่อการเข้าทำสัญญาหรือการให้บริการ เจ้าของข้อมูลส่วนบุคคลมีอิสระที่จะให้ความยินยอม
      • เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเมื่อใดก็ได้ เว้นแต่มีข้อจำกัดสิทธิโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของของมูลส่วนบุคคล
    2. จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ ที่เกี่ยวข้องกับการศึกษาวิจัยหรือการจัดทำสถิติ
    3. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
    4. จำเป็นเพื่อปฏิบัติตามสัญญากับเจ้าของข้อมูล เช่น การซื้อขายของออนไลน์ ต้องใช้ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล
    5. จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
    6. จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล 
    7. เป็นการปฏิบัติตามกฎหมาย เช่น ส่งข้อมูลพนักงานให้กรมสรรพากรเรื่องภาษี เป็นต้น
    บทลงโทษการละเมิดสิทธิข้อมูลส่วนบุคคล
    การที่บุคคลอื่นที่ไม่ใช่รัฐ นำข้อมูลเราไปใช้ประโยชน์นอกเหนือจากเหตุจำเป็น ถือเป็นการละเมิดสิทธิตามกฎหมายและมีบทลงโทษดังนี้
    1. ความรับผิดทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง
    2. โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
    3. โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท
    ในฐานะเจ้าของข้อมูลมีสิทธิ์ที่จะปกป้องข้อมูลทุกครั้งที่จะต้องให้ข้อมูลในรูปแบบเอกสาร เสียงและสื่ออื่นที่แสดงถึงตัวตน ต้องทำข้อตกลงกำหนดขอบเขตของการใช้ข้อมูล และระยะเวลาสิ้นสุดการใช้ข้อมูลของตนในการทำนิติกรรมต่าง ๆ และเตือนสติตนเองไม่ให้ละเมิดสิทธิข้อมูลของบุคคลอื่นอีกเช่นกัน

    เรียบเรียง : 
    ธนวัฒน์  นามเมือง  ครูผู้ช่วย  สถาบัน กศน.ภาคเหนือ

    อ้างอิง : 
    ธนาคารไทยพาณิชย์. (2563). PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เรื่องใกล้ตัวเรากว่าที่คิด. สืบค้นจาก https://www.scb.co.th/th/personal-banking/stories/tips-for-you/pdpa-about-us.html

    พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562. (2562, 24 พฤษภาคม). ราชกิจจานุเบกษา. เล่ม 136. ตอนที่ 69 ก. หน้า 52-95

    สุนทรีย์ ส่งเสริม. (2564). พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 [สไลด์ประกอบการบรรยาย]. สืบค้นจาก https://www.bot.or.th/Thai/PaymentSystems/PSA_Oversight/20210224%20%20PDPA%20%20Nonbank/พร้อมรู้%20PDPA_ดร.สุนทรีย์_24ก.พ.64.pdf

    สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม. สาระสำคัญ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พศ 2562 [แผ่นพับ]. สืบค้นจาก https://www.mdes.go.th/law/detail/3822-แผ่นพับสาระสำคัญพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒.pdf

    Sawangpong. (2564, 24 พฤษภาคม). PDPA คืออะไร เกี่ยวข้องกับเราทุกคนอย่างไร. สืบค้นจาก
    https://t-reg.co/blog/t-reg-knowledge/what-is-pdpa/