พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA)

PDPA คืออะไร? ทำไมทุกธุรกิจต้องรู้

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act PDPA) เป็นกฎหมายที่มีผลบังคับใช้เต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565 โดยมีวัตถุประสงค์เพื่อปกป้องสิทธิในข้อมูลส่วนบุคคลของประชาชนทุกคนที่อยู่ในประเทศไทย

การประกาศใช้ PDPA ทำให้ไทยมีกฎหมายด้าน Data Privacy ใกล้เคียงกับมาตรฐานสากลอย่าง GDPR (กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป) ส่งผลให้ทั้งภาครัฐและเอกชนต้องปรับตัวและยกระดับมาตรการด้านการจัดการข้อมูล

ใครบ้างที่เกี่ยวข้องกับ PDPA

1. เจ้าของข้อมูล (Data Subject) บุคคลธรรมดาที่สามารถระบุตัวตนได้จากข้อมูล เช่น ชื่อ เบอร์โทร อีเมล ที่อยู่ IP Address
2. ผู้ควบคุมข้อมูล (Data Controller) บุคคลหรือนิติบุคคลที่เป็นคนตัดสินใจว่าจะเก็บ ใช้ หรือเปิดเผยข้อมูลอย่างไร ตัวอย่างเช่น บริษัทที่เก็บข้อมูลลูกค้าเพื่อการตลาด
3. ผู้ประมวลผลข้อมูล (Data Processor) ผู้ที่ทำงานประมวลผลข้อมูลแทน เช่น ผู้ให้บริการ Cloud, Call Center, บริษัท Outsourcing
4. เจ้าหน้าที่คุ้มครองข้อมูล (DPO Data Protection Officer) เจ้าหน้าที่ที่องค์กรต้องแต่งตั้งหากมีการเก็บข้อมูลจำนวนมากหรือข้อมูลอ่อนไหว เพื่อดูแลให้การใช้ข้อมูลเป็นไปตามกฎหมาย

หลักการสำคัญของ PDPA

• โปร่งใสและแจ้งล่วงหน้า ก่อนเก็บข้อมูล ต้องบอกวัตถุประสงค์ วิธีใช้ และสิทธิของเจ้าของข้อมูล
• การยินยอม (Consent) ต้องได้ความยินยอมที่ชัดเจน ไม่บังคับ ไม่หลอกลวง และต้องสามารถถอนเมื่อใดก็ได้
• ใช้เท่าที่จำเป็น การเก็บและใช้ข้อมูลต้องมีความจำกัด ไม่เก็บเกินความจำเป็น
• ความปลอดภัยของข้อมูล ต้องมีมาตรการป้องกันไม่ให้ข้อมูลรั่วไหล สูญหาย หรือถูกเข้าถึงโดยไม่ได้รับอนุญาต

ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Data)

เป็นข้อมูลที่เสี่ยงต่อการละเมิดสิทธิและอาจก่อให้เกิดความเสียหายต่อเจ้าของข้อมูล เช่น

• เชื้อชาติ เผ่าพันธุ์
• ความคิดเห็นทางการเมือง
• ศาสนา ความเชื่อ ปรัชญา
• พฤติกรรมทางเพศ
• ข้อมูลสุขภาพหรือความพิการ
• ประวัติอาชญากรรม
• ข้อมูลพันธุกรรม ข้อมูลชีวภาพ เช่น ลายนิ้วมือ สแกนใบหน้า

ข้อมูลเหล่านี้สามารถเก็บหรือใช้ได้ต่อเมื่อ

• ได้รับ ความยินยอมชัดเจนเป็นลายลักษณ์อักษร หรือ
• มีความจำเป็นตามกฎหมาย เช่น เพื่อป้องกันอันตรายต่อชีวิต/สุขภาพ หรือเพื่อสิทธิเรียกร้องทางกฎหมาย

สิทธิของเจ้าของข้อมูล

ภายใต้ PDPA เจ้าของข้อมูลมีสิทธิสำคัญหลายประการ เช่น

• สิทธิได้รับแจ้ง (Right to be informed) - ต้องได้รับข้อมูลที่ครบถ้วนก่อนเก็บ
• สิทธิขอเข้าถึงข้อมูล (Right of access) - สามารถขอดูหรือขอสำเนาข้อมูลของตน
• สิทธิแก้ไข (Right to rectification) - แก้ไขข้อมูลที่ไม่ถูกต้อง
• สิทธิให้ลบ (Right to erasure) - ขอให้ลบข้อมูลหรือหยุดใช้ (Right to be forgotten)
• สิทธิคัดค้าน (Right to object) - ปฏิเสธไม่ให้ใช้ข้อมูลในบางกรณี เช่น การทำการตลาดตรง
• สิทธิให้โอนข้อมูล (Right to data portability) - ขอให้โอนข้อมูลไปยังผู้ให้บริการรายอื่น
• สิทธิร้องเรียน (Right to lodge a complaint) - หากถูกละเมิดสิทธิ

หน้าที่ขององค์กรและธุรกิจ

เพื่อให้สอดคล้องกับ PDPA องค์กรต้อง

• จัดให้มี นโยบายความเป็นส่วนตัว (Privacy Policy) ที่ชัดเจน
• จัดทำ บันทึกร่องรอยการประมวลผลข้อมูล (Record of Processing Activities RoPA)
• แต่งตั้ง DPO (ถ้าจำเป็น)
• มีมาตรการรักษาความปลอดภัยด้านเทคนิคและการจัดการ (Technical & Organizational Measures)
• จัดการ Data Breach: หากข้อมูลรั่วไหลต้องแจ้งหน่วยงานกำกับภายใน 72 ชั่วโมง และแจ้งเจ้าของข้อมูลหากมีความเสี่ยงสูง