พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA)

PDPA คืออะไร? ทำไมทุกธุรกิจต้องรู้

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act PDPA) เป็นกฎหมายที่มีผลบังคับใช้เต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565 โดยมีวัตถุประสงค์เพื่อปกป้องสิทธิในข้อมูลส่วนบุคคลของประชาชนทุกคนที่อยู่ในประเทศไทย


การประกาศใช้ PDPA ทำให้ไทยมีกฎหมายด้าน Data Privacy ใกล้เคียงกับมาตรฐานสากลอย่าง GDPR (กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป) ส่งผลให้ทั้งภาครัฐและเอกชนต้องปรับตัวและยกระดับมาตรการด้านการจัดการข้อมูล

สถานะทางกฎหมายของ PDPA

PDPA ไม่ใช่ข้อกำหนดหรือมาตรฐานทั่วไป แต่มีสถานะเป็น พระราชบัญญัติ (Act) ซึ่งเป็นกฎหมายระดับประเทศที่ออกโดยฝ่ายนิติบัญญัติ (รัฐสภา) ทำให้มีผลบังคับใช้กับบุคคลและนิติบุคคลที่อยู่ในประเทศไทยหรือกระทำการใดๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของบุคคลในประเทศไทย

  • สร้างสิทธิและหน้าที่: กฎหมายนี้ได้สร้าง สิทธิ (Rights) ให้แก่เจ้าของข้อมูลส่วนบุคคล และสร้าง หน้าที่ (Duties) ให้แก่องค์กรหรือบุคคลที่ดำเนินการกับข้อมูลส่วนบุคคล (ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล)
  • หน่วยงานบังคับใช้: มีการจัดตั้ง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) เป็นหน่วยงานตามกฎหมายที่ทำหน้าที่กำกับดูแล ออกระเบียบ และบังคับใช้กฎหมาย PDPA

การกำหนดความรับผิดและบทลงโทษทางกฎหมาย

หัวใจสำคัญของการเป็นกฎหมายคือการกำหนดบทลงโทษสำหรับการฝ่าฝืน เพื่อให้เกิดการบังคับใช้จริงจัง ซึ่ง PDPA ได้กำหนดความรับผิดไว้ 3 ประเภทหลัก ได้แก่:

ก. โทษทางแพ่ง (Civil Liability)

  • กรณีมีการละเมิดข้อมูลส่วนบุคคล ผู้ที่ได้รับความเสียหายมีสิทธิฟ้องร้องเรียกค่าสินไหมทดแทนจากผู้ละเมิดได้
  • ศาลอาจสั่งให้ผู้ละเมิดชดใช้ค่าเสียหายเพิ่มขึ้นได้สูงสุด ไม่เกินสองเท่า ของค่าเสียหายจริง (ค่าเสียหายเชิงลงโทษ - Punitive Damages)

ข. โทษทางอาญา (Criminal Liability)

  • สำหรับการกระทำที่เจตนาไม่สุจริต เช่น การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Data) เพื่อแสวงหาประโยชน์โดยมิชอบ หรือก่อให้เกิดความเสียหาย
  • มีโทษจำคุกสูงสุด ไม่เกิน 1 ปี หรือปรับสูงสุด ไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ

ค. โทษทางปกครอง (Administrative Penalty)

  • สำหรับการกระทำที่ฝ่าฝืนข้อกำหนดหรือหลักเกณฑ์ต่างๆ ของกฎหมาย เช่น การเก็บข้อมูลโดยไม่ได้รับความยินยอมตามที่กำหนด หรือไม่มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เพียงพอ
  • มีโทษปรับทางปกครองสูงสุด ไม่เกิน 5 ล้านบาท ขึ้นอยู่กับลักษณะและความร้ายแรงของการฝ่าฝืน

ความสัมพันธ์กับกฎหมายอื่นๆ

ความสัมพันธ์กับกฎหมายอื่นๆ

PDPA เป็นกฎหมายเฉพาะที่มุ่งเน้นการคุ้มครองข้อมูลส่วนบุคคล แต่ก็มีความเชื่อมโยงกับกฎหมายอื่นๆ ดังนี้:

  • กฎหมายธุรกรรมทางอิเล็กทรอนิกส์/อาชญากรรมทางคอมพิวเตอร์: PDPA จะมุ่งเน้นที่การคุ้มครอง "ตัวข้อมูล" และ "สิทธิของเจ้าของข้อมูล" ในขณะที่กฎหมายอื่นๆ เช่น พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ จะมุ่งเน้นที่การลงโทษการกระทำความผิดต่อ "ระบบคอมพิวเตอร์" และ "ข้อมูลในระบบ"
  • กฎหมายเฉพาะอุตสาหกรรม: บางอุตสาหกรรม เช่น ธุรกิจการเงิน หรือสุขภาพ อาจมีกฎหมายเฉพาะที่กำหนดมาตรฐานการคุ้มครองข้อมูลที่เข้มงวดกว่า PDPA ซึ่งองค์กรจะต้องปฏิบัติตามกฎหมายที่เข้มงวดที่สุด



กล่าวโดยสรุปคือ PDPA คือกฎหมายที่กำหนดขอบเขตและวิธีการที่ชอบด้วยกฎหมายในการจัดการข้อมูลส่วนบุคคลทั้งหมดในประเทศ

การระบุกรณีที่กฎหมาย PDPA เข้ามาเกี่ยวข้อง

การระบุกรณีที่กฎหมาย PDPA เข้ามาเกี่ยวข้องหรืออาจนำไปสู่การละเมิดจะแบ่งออกเป็น 4 หมวดหมู่หลัก โดยทำเป็นรายการรายข้อ ดังนี้ครับ:

1. กรณีการเก็บรวบรวมข้อมูลโดยไม่มีฐานทางกฎหมาย (Unlawful Collection)

PDPA จะเกี่ยวข้องทันทีเมื่อองค์กรมีการเก็บข้อมูลส่วนบุคคล โดยที่ไม่มีความชอบธรรมตามกฎหมาย

1. การใช้คุกกี้บนเว็บไซต์: องค์กรมีการเก็บคุกกี้ที่ไม่จำเป็นต่อการใช้งานเว็บไซต์ โดย ไม่มีแบนเนอร์ (Cookie Consent Banner) ขอความยินยอม หรือไม่มีทางเลือกให้ผู้ใช้ปฏิเสธการเก็บข้อมูลเหล่านั้น

2. การเก็บข้อมูลเกินความจำเป็น: บังคับให้ผู้ใช้กรอกข้อมูลที่ไม่เกี่ยวข้องโดยตรงกับการบริการที่ร้องขอ เช่น การขอข้อมูลเกี่ยวกับฐานะทางการเงินเพื่อสมัครรับจดหมายข่าวทั่วไป

3. การเก็บข้อมูลจากแหล่งสาธารณะ: นำข้อมูลส่วนบุคคลที่ได้มาจากแหล่งสาธารณะ (เช่น สื่อโซเชียล) ไปใช้ในวัตถุประสงค์อื่น โดยไม่ได้แจ้งให้เจ้าของข้อมูลทราบ ถึงวัตถุประสงค์นั้น

4. การใช้กล้องวงจรปิด (CCTV): ติดตั้งกล้องโดย ไม่มีป้ายแจ้งเตือน ให้บุคคลทั่วไปทราบถึงวัตถุประสงค์ของการบันทึกภาพ หรือติดตั้งในพื้นที่ที่ถือเป็นพื้นที่ส่วนตัวที่ไม่เหมาะสม

2. กรณีการใช้และการเปิดเผยข้อมูลผิดวัตถุประสงค์ (Unlawful Use or Disclosure)

เกิดขึ้นเมื่อองค์กรนำข้อมูลที่เก็บมาไปใช้ในทางที่เจ้าของข้อมูลไม่เคยให้ความยินยอมไว้

1. การขายหรือแลกเปลี่ยนรายชื่อลูกค้า: องค์กรนำข้อมูลติดต่อของลูกค้า (เช่น อีเมล, เบอร์โทรศัพท์) ไป ขายต่อหรือเปิดเผย ให้กับบริษัทอื่นเพื่อผลประโยชน์ทางการค้า โดยไม่ได้ระบุวัตถุประสงค์นี้ในการขอความยินยอมตั้งแต่แรก

2. การทำการตลาดโดยตรง (Direct Marketing): ส่งอีเมล โทรศัพท์ หรือ SMS โฆษณาไปยังผู้ที่ไม่เคยให้ความยินยอมในการรับข่าวสาร หรือผู้ที่ได้ ยกเลิกการรับข่าวสาร (Opt-out) ไปแล้ว

3. การเปิดเผยข้อมูลส่วนบุคคลที่อ่อนไหว: พนักงานนำข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลสุขภาพ ประวัติอาชญากรรม หรือข้อมูลเชื้อชาติของพนักงานหรือลูกค้าไปเปิดเผยสู่สาธารณะโดยมิชอบ

4. การโอนข้อมูลข้ามประเทศโดยไม่มีการคุ้มครอง: โอนถ่ายข้อมูลส่วนบุคคลไปยังเซิร์ฟเวอร์หรือผู้ให้บริการในต่างประเทศ ที่ไม่มีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอ ตามที่ PDPA กำหนด

3. กรณีความล้มเหลวในการรักษาความมั่นคงปลอดภัย (Data Breach)

เป็นกรณีที่องค์กรไม่ได้ดูแลมาตรการความปลอดภัยของข้อมูลอย่างดีพอ จนทำให้ข้อมูลเสียหาย สูญหาย หรือรั่วไหล

1. ระบบถูกโจมตีทางไซเบอร์: ระบบฐานข้อมูลถูกเจาะ ทำให้ข้อมูลส่วนบุคคลสำคัญ เช่น ชื่อ ที่อยู่ รหัสผ่าน หรือเลขประจำตัวประชาชน รั่วไหลสู่ภายนอก

2. ความผิดพลาดของพนักงาน: พนักงานส่งอีเมลผิดพลาด แนบไฟล์ที่มีข้อมูลลูกค้าจำนวนมากไปให้กับบุคคลภายนอก หรือทำอุปกรณ์จัดเก็บข้อมูลที่มีความสำคัญสูญหาย

3. การไม่แจ้งเหตุการณ์ข้อมูลรั่วไหล: องค์กรทราบว่ามีการรั่วไหลของข้อมูล แต่ ไม่รายงานต่อสำนักงาน PDPC ภายใน 72 ชั่วโมง นับตั้งแต่ทราบเหตุการณ์ ถือเป็นการฝ่าฝืนกฎหมาย

4. กรณีการละเมิดสิทธิของเจ้าของข้อมูล (Ignoring Data Subject Rights)

เกิดขึ้นเมื่อองค์กรปฏิเสธการดำเนินการตามสิทธิของเจ้าของข้อมูลโดยไม่มีเหตุผลทางกฎหมายรองรับ

1. การปฏิเสธสิทธิในการลบข้อมูล: ลูกค้าหรือพนักงานยื่นคำขอ "ขอลบข้อมูล" (Right to Erasure) แต่บริษัทปฏิเสธที่จะลบข้อมูลนั้น โดยไม่มีข้อยกเว้นทางกฎหมายที่ชัดเจน

2. การปฏิเสธสิทธิในการเข้าถึง: บุคคลขอให้องค์กรแสดงสำเนาข้อมูลส่วนบุคคลทั้งหมดที่องค์กรเก็บรวบรวมไว้ แต่บริษัท เพิกเฉย หรือไม่สามารถจัดหาข้อมูลให้ได้ภายในระยะเวลาที่กำหนด

3. การเพิกเฉยต่อการคัดค้าน: ผู้ใช้แจ้ง คัดค้านการใช้ข้อมูล เพื่อวัตถุประสงค์เฉพาะแล้ว แต่อยู่ในบริษัทยังคงใช้ข้อมูลนั้นต่อไป

มาตราสำคัญใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA)

1. มาตรา 19 (หลักการความยินยอม): เป็นมาตราหลักที่กำหนดว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอม จากเจ้าของข้อมูล เว้นแต่จะมีฐานทางกฎหมายอื่นรองรับ

2. มาตรา 23 (หน้าที่แจ้งวัตถุประสงค์): กำหนดหน้าที่ให้ผู้ควบคุมข้อมูลต้อง แจ้งรายละเอียดและวัตถุประสงค์ ของการประมวลผลข้อมูลให้เจ้าของข้อมูลทราบก่อนหรือในขณะที่เก็บรวบรวม

3. มาตรา 30 - 36 (สิทธิของเจ้าของข้อมูล): เป็นชุดมาตราที่กำหนด สิทธิ ต่าง ๆ ของเจ้าของข้อมูล เช่น

  • สิทธิในการเข้าถึงข้อมูล (ม. 30)
  • สิทธิในการขอให้ลบหรือทำลายข้อมูล (ม. 33)
  • สิทธิในการคัดค้านการประมวลผล (ม. 32)

4. มาตรา 37 (หน้าที่รักษาความมั่นคงปลอดภัย): กำหนดหน้าที่ให้องค์กรต้องจัดให้มี มาตรการรักษาความมั่นคงปลอดภัย ของข้อมูลที่เหมาะสม

5. มาตรา 37 (4) (การแจ้งเหตุข้อมูลรั่วไหล): กำหนดหน้าที่ให้ผู้ควบคุมข้อมูลต้อง แจ้งเหตุการณ์ข้อมูลรั่วไหล (Data Breach) ต่อสำนักงาน PDPC ภายใน 72 ชั่วโมง นับตั้งแต่ทราบเหตุ

6. มาตรา 78 (โทษทางอาญา): กำหนดโทษ จำคุกสูงสุดไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท สำหรับการใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ เพื่อให้เกิดความเสียหายแก่เจ้าของข้อมูล

7. มาตรา 82 (โทษทางปกครอง): กำหนด โทษปรับทางปกครองสูงสุดไม่เกิน 5 ล้านบาท สำหรับการฝ่าฝืนข้อกำหนดด้านหน้าที่หลัก เช่น การไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เพียงพอ (ม. 37)

เปรียบเทียบสินค้า
0/4
ลบทั้งหมด
เปรียบเทียบ
Powered By MakeWebEasy Logo MakeWebEasy