ทำความรู้จัก PDPA พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
PDPA คืออะไร ?
พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล หรือ ย่อมาจาก Personal Data Protection Act บทบัญญัติที่ให้ความคุ้มครองข้อมูลส่วนบุคคลของ “บุคคลธรรมดา” ให้สิทธิ์ในการแก้ไข, เข้าถึง หรือ แจ้งลบข้อมูลที่ให้ไว้กับองค์กรเป็นต้น และกำหนดบทบาทหน้าที่และบทลงโทษหากองค์กรไม่ปฏิบัติตาม
ข้อมูลแบบไหนเป็น “ข้อมูลส่วนบุคคล”
ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลที่ทำให้ระบุตัวบุคคลได้ ทั้งทางตรงและทางอ้อม
- เลขบัตรประจำตัวประชาชน ชื่อ – นามสกุล
- ที่อยู่
- เบอร์โทรศัพท์
- อีเมล
- ข้อมูลทางการเงิน
- เชื้อชาติ
- ศาสนาหรือปรัชญา
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลสุขภาพ
บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
- เจ้าของข้อมูลส่วนบุคคล (Data Subject) เจ้าของข้อมูลส่วนบุคคล คือ บุคคลที่ข้อมูลชุดนั้น ๆ สามารถระบุไปถึงได้
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ผู้ควบคุมข้อมูลส่วนบุคคล คือ คน บริษัทหรือองค์กรต่าง ๆ ที่เป็นคนตัดสินใจว่าจะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร อย่างไร ภายใต้ PDPA ผู้ควบคุมขอมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดชอบหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน บริษัททุกบริษัททันทีที่มีพนักงานคนแรก ที่ต้องใช้ข้อมูลเพื่อจ่ายเงินเดือน ก็เป็น Data Controller แล้วทั้งสิ้น
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ผู้ประมวลผลข้อมูลส่วนบุคคล คือ คน บริษัทหรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง
เจ้าของข้อมูลส่วนบุคคล มีสิทธิอะไรบ้าง ?
- สิทธิได้รับการแจ้งให้ทราบ
- สิทธิขอเข้าถึงข้อมูลส่วนบุคคล
- สิทธิขอให้โอนข้อมูลส่วนบุคคล
- สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล
- สิทธิคัดค้านการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคล
- สิทธิขอให้ลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
- สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
ผู้ควบคุมข้อมูลส่วนบุคคลจะสามารถรวบรวมใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลก็ต่อเมื่อ ?
บุคคลธรรมดา หรือนิติบุคคล (บริษัท ห้างร้าน มูลนิธิ สมาคม หน่วยงาน องค์กร ร้านค้า หรืออื่นใดก็ตาม) หากมีการเก็บรวบรวมข้อมูลส่วนบุคคลไว้หรือมีการนำข้อมูลส่วนบุคคลไปใช้ หรือนำไปเปิดเผยไม่ว่าจะวัตถุประสงค์ใดก็ตาม จำเป็นต้องได้รับ คำยินยอม (Consent) จากเจ้าของข้อมูลด้วย เว้นแต่จะเป็นไปตามข้อยกเว้น พรบ. กำหนดไว้
ข้อยกเว้นที่สามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอม
- Scientific or Historical Research เป็นการจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ การศึกษาวิจัยหรือสถิติ
- Vital Interest เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เช่น การเข้ารับบริการทางการแพทย์ ณ โรงพยาบาล
- Contract เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา เช่น เจ้าของข้อมูลส่วนบุคคลทำสัญญากู้ยืมเงินจากธนาคาร ธนาคารสามารถเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ตามวัตถุประสงค์ของสัญญา
- Public Task เป็นการจำเป็นเพื่อปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
- Ligitimate Interest เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอื่น
- Legal Obligations เป็นการปฏิบัติตามกฎหมาย
เมื่อ PDPA บังคับใช้แล้วแต่ไม่ได้ปฏิบัติตามจะมีบทลงโทษอะไรบ้าง ?
โทษทางแพ่ง โทษทางแพ่งกำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด และอาจจะต้องจ่ายบวกเพิ่มอีกเป็นค่าค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่าของค่าเสียหายจริง
โทษทางอาญา โทษทางอาญาจะมีทั้งโทษจำคุกและโทษปรับ โดยมี โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ กรณีหากผู้กระทำความผิด คือ บริษัท(นิติบุคคล) ก็อาจจะสงสัยว่าใครจะเป็นผู้ถูกจำคุก เพราะบริษัทติดคุกไม่ได้ ในส่วนตรงนี้ก็อาจจะตกมาที่ ผู้บริหาร, กรรมการ หรือบุคคลซึ่งรับผิดชอบในการดำเนินงานของบริษัทนั้น ๆ ที่จะต้องได้รับการลงโทษจำคุกแทน
โทษทางปกครอง โทษปรับ มี ตั้งแต่ 1 ล้านบาทจนถึงสูงสุดไม่เกิน 5 ล้านบาท ซึ่งโทษปรับสูงสุด 5 ล้านบาท จะเป็นกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือ เปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลที่มีความละเอียดอ่อน(Sensitive Personal Data) ซึ่งโทษทางปกครองนี้จะแยกต่างหากกับการชดใช้ค่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทางอาญาด้วย
ขอขอบคุณข้อมูลจาก : www.arit.rmutt.ac.th
