PDPA พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
“1 มิถุนายน 2565 เป็นวันเริ่มต้นของการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act B.E. 2562 (2019)) ของไทย”
หลายคนอาจจะเคยได้ยินเกี่ยวกับข้อมูลส่วนบุคคล แต่ยังไม่รู้ว่า PDPA คืออะไร?
PDPA (Personal Data Protection Act) เป็นพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งถูกกำหนดขึ้นเพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ และ/หรือได้รับความยินยอมจากเราในฐานะเจ้าของข้อมูลก่อน
ในปัจจุบันบริษัทหรือนักการตลาดอาจได้รับหรือเข้าถึงข้อมูลส่วนบุคคล (Personal Data) ของลูกค้าหรือผู้ใช้งานได้หลากหลายช่องทาง ไม่ว่าจะเป็นการเก็บข้อมูลส่วนบุคคลจากการสมัครสมาชิกบนเว็บไซต์ การทำธุรกรรมผ่าน Mobile-Banking การขอเข้าถึงตำแหน่งที่ตั้งและ GPS บนมือถือ หรือแม้แต่การเก็บคุกกี้จากการใช้บริการเว็บไซต์ต่าง ๆ ด้วยเหตุนี้ จึงได้มีการสร้างกฎหมาย PDPA (Personal Data Protection Act: PDPA) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้บริษัท พนักงาน หรือผู้ที่เกี่ยวข้องตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัยมากขึ้น ซึ่งถ้าบริษัทเก็บรวบรวมข้อมูลทันที โดยไม่ได้มีการชี้แจงรายละเอียดเกี่ยวกับการเก็บข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้งาน และ/หรือรวมถึงไม่ได้มีการขอความยินยอมก่อนสำหรับการประมวลผลข้อมูลส่วนบุคคลที่ต้องมีการขอความยินยอม จะกลายเป็นการกรณีที่บริษัทไม่ปฏิบัติให้ถูกต้องตาม PDPA และอาจมีความผิดได้
เรามาทำความเข้าใจขอบเขตของความคุ้มครองเพื่อตระหนักรู้รักษาสิทธิของตนทั้งก่อน ขณะ และหลัง การให้ความยินยอมเปิดเผยข้อมูลส่วนบุคคลกัน
“ข้อมูลส่วนบุคคล และสิทธิของเจ้าของข้อมูลส่วนบุคคล” ภายใต้การคุ้มครองของ PDPA
- ข้อมูลที่สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล ฯลฯ แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม และไม่รวมข้อมูลของนิติบุคคล เช่น อีเมล เลขทะเบียน และที่อยู่ของบริษัท นามแฝง ข้อมูลนิรนาม ฯลฯ
- ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ
ใครต้องอยู่ภายใต้ PDPA บ้าง?
หลังจากรู้จักกับประเภทของข้อมูลส่วนบุคคลที่เรารวบรวมมาให้แล้ว เราก็มาทำความรู้จักกับผู้ที่หน้าที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตามกฎหมาย PDPA กันบ้าง
เจ้าของข้อมูลส่วนบุคคล (Data Subject)
เจ้าของข้อมูลส่วนบุคคล หรือ Data Subject ก็คือคนที่ข้อมูลส่วนบุคคลชุดนั้นๆ จะชี้มาที่ตัวตนของบุคคลนั้นได้ ซึ่งก็คือตัวเรานั่นเอง ภายใต้ PDPA เจ้าของข้อมูลเป็นผู้ได้รับการปกป้องคุ้มครองและมีสิทธิต่าง ๆ เหนือข้อมูลส่วนบุคคลของตน
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
ผู้ควบคุมข้อมูลส่วนบุคคล หรือ Data Controller คือคน บริษัทหรือองค์กรต่าง ๆ ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร อย่างไร ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน พ่อค้าแม่ค้าออนไลน์ที่รับข้อมูลจัดส่งสินค้าของลูกค้าที่ CF ของมาเพื่อติดต่อส่งของก็เป็น Data Controller ได้ และบริษัททุกบริษัททันทีที่มีพนักงานคนแรก ที่ต้องใช้ข้อมูลเพื่อจ่ายเงินเดือนก็เป็น Data Controller แล้วทั้งสิ้น
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
ผู้ประมวลผลข้อมูลส่วนบุคคล หรือ Data Processor คือ คน บริษัทหรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง ตัวอย่างเช่น พี่ๆ messenger ที่ใช้ข้อมูลส่วนบุคคลของคนที่เราต้องการส่ง ของให้เพื่อเอาของไปส่งแทนเรา กรณีนี้พี่ๆ ก็เป็น Data Processor หรือกรณีบริษัทใช้ ระบบ Cloud Service ซึ่งผู้ให้บริการจะเก็บข้อมูลแทนบริษัท ผู้ให้บริการ Cloud ก็เป็น Data Processor
สิทธิของเจ้าของข้อมูลส่วนบุคคล คือ
- สิทธิการได้รับแจ้งโดยไม่ต้องร้องขอ เช่น เก็บข้อมูลอะไรบ้าง, เก็บไปทำไม, เก็บนานแค่ไหน, ส่งต่อข้อมูลให้ใคร, ช่องทางติดต่อผู้ควบคุมข้อมูล และหากเก็บรวบรวมข้อมูลจากแหล่งอื่นหรือ หากแก้ไขวัตถุประสงค์ในภายหลัง ต้องแจ้งให้ทราบ
- สิทธิในการเพิกถอนความยินยอม
- สิทธิในการเข้าถึงข้อมูลส่วนบุคคล
- สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
- สิทธิในการลบข้อมูลส่วนบุคคล
- สิทธิในการห้ามมิให้ประมวลผลข้อมูลส่วนบุคคล
- สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล
- สิทธิในการคัดค้านหรือให้ระงับการประมวลผลข้อมูลส่วน บุคคล
หากเกิดการละเมิดสิทธิ >> เจ้าของข้อมูลส่วนบุคคลสามารถร้องเรียนและเรียกค่าสินไหมทดแทนได้ ทั้งนี้ ในกรณีที่มีการฟ้องคดีต่อศาล ศาลจะเป็นผู้ใช้ดุลพินิจในการกำหนดค่าสินไหมทดแทนตามมูลค่าความเสียหายที่เจ้าของข้อมูลได้รับจริง และอาจสั่งลงโทษเพิ่มขึ้นได้แต่ไม่เกินสองเท่า
ก่อนให้ความยินยอมในการใช้ข้อมูล เจ้าของข้อมูลควรใส่ใจในการคุ้มครองข้อมูลของตนเองด้วย อาทิ
- ไม่ด่วนยินยอมหรือให้ข้อมูล โดยที่ยังไม่ได้ศึกษารายละเอียดของขอบเขตการใช้ข้อมูลส่วนบุคคล >> ข้อมูลใดบ้างที่จะจัดเก็บ วัตถุประสงค์ของการเก็บข้อมูล ระยะเวลาการเก็บข้อมูล ชื่อและเบอร์ของบริษัทหรือบุคคลที่รับผิดชอบต่อการเก็บข้อมูล
- คำนึงถึงความอิสระ และไม่มีเงื่อนไขแอบแฝง โดยต้องไม่นำการให้ความยินยอมมาเป็นเงื่อนไขในการใช้ผลิตภัณฑ์หรือบริการ
- ควรเก็บ/บันทึกหลักฐาน เผื่อใช้ในการร้องเรียนในกรณีที่พบว่าข้อมูลส่วนบุคคลถูกนำไปใช้ผิดวัตถุประสงค์ โดยอาจถ่ายภาพหรือขอสำเนาเอกสารการให้ความยินยอม
- ระมัดระวังการให้ข้อมูลและการเปิดสิทธิการเข้าถึงข้อมูลส่วนบุคคล แก่เว็บไซต์/แอปพลิเคชัน ที่มีการขอความยินยอมจากเจ้าของข้อมูล โดยให้พิจารณาตามความจำเป็น โดยเฉพาะข้อมูลเกี่ยวกับการเงิน เช่น การให้ข้อมูลบัตรเครดิตเพื่อชำระค่าสินค้าและบริการ สำหรับแอปพลิเคชันที่ไม่ได้ใช้เป็นประจำ อาจเลือกให้ข้อมูลเพื่อใช้ครั้งเดียวและไม่ให้บันทึกข้อมูลบัตรไว้ในระบบ เป็นต้น
PDPA ช่วยคุ้มครองความเสียหายที่อาจเกิดแก่เจ้าของข้อมูลส่วนบุคคลได้อย่างไร
- ลดความเดือดร้อนรำคาญใจจากการละเมิดสิทธิ: โดยการติดต่อเสนอขายสินค้าหรือบริการใด ๆ จากบริษัทหรือหน่วยงานที่เราไม่เคยติดต่อมาก่อน จะต้องได้รับความยินยอม เช่น Call Center โทรเสนอขายประกัน สินเชื่อส่วนบุคคล ต้องแจ้งว่าได้รับเบอร์มาจากไหนและเราเคยแจ้งบอกรับข้อมูลการตลาดไว้ รวมทั้งต้องแจ้งช่องทางการยกเลิกการรับข้อมูลการตลาดดังกล่าวอย่างชัดเจน
- ป้องกันความเสี่ยงภัยไซเบอร์: เนื่องจากกฎหมายกำหนดให้ผู้จัดเก็บและประมวลผลข้อมูลส่วนบุคคล ต้องมีระบบการควบคุมการเข้าถึงข้อมูลและการป้องกันข้อมูลรั่วไหล ดังเช่นที่เคยเกิดกรณีแฮกเกอร์ขโมยข้อมูลลูกค้าที่ซื้อสินค้าจากแพลตฟอร์มออนไลน์ในไทยกว่า 10 ล้านรายการ
- สร้างความเชื่อมั่นในการทำธุรกรรมใดๆ: เนื่องจากขอบเขตของกฎหมาย บังคับใช้ครอบคลุมถึงองค์กรทุกแห่งทั้งในและนอกประเทศ เช่น Online Marketplace Platform ของต่างประเทศ ที่เสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลส่วนบุคคลที่อยู่ในไทย หรือมีการเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในไทย เช่น เว็บไซต์ต่างประเทศที่รับจองโรงแรมผ่านช่องทางออนไลน์ ฯลฯ
- มีมาตรการเยียวยาผู้ถูกละเมิดสิทธิ: รวมถึงมีบทลงโทษทางอาญาและทางปกครอง แก่ผู้จัดเก็บ ใช้ และเผยแพร่ข้อมูลส่วนบุคคล ที่เป็นต้นเหตุให้เกิดการละเมิดสิทธิของเจ้าของข้อมูลส่วนบุคคล เช่น ระบบการจัดการมีปัญหาทำให้เกิดข้อมูลรั่วไหล ขายข้อมูลส่วนบุคคลให้แก่องค์กรอื่นโดยไม่แจ้งในวัตถุประสงค์ขอความยินยอมจากลูกค้า เป็นต้น (โทษอาญา: จำคุกไม่เกิน 1 ปี และ/หรือปรับสูงสุด 1 ล้านบาท โทษทางปกครอง: ปรับสูงสุด 5 ล้านบาท)
การบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เป็นการสร้างบรรทัดฐานในการใช้ประโยชน์จากฐานข้อมูลส่วนบุคคลจำนวนมาก อีกทั้งยังเป็นหนึ่งในชุดกฎหมายที่ส่งเสริมความเชื่อมั่นในการใช้เทคโนโลยีดิจิทัล ที่มุ่งกำกับดูแลความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้แก่ผู้เป็นเจ้าของข้อมูล โดยกำหนดแนวทางการคุ้มครองข้อมูลส่วนบุคคลให้องค์กรทุกแห่งที่จัดเก็บ ใช้ และเผยแพร่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลในประเทศไทย ปฏิบัติตาม ดังนั้น บุคคลที่มีสถานะเป็น ‘เจ้าของข้อมูล’ ที่ไปใช้บริการต่าง ๆ พึงตระหนักถึงทางเลือกในการให้ความยินยอมในการจัดเก็บ ใช้ และเปิดเผยข้อมูล เช่น ลงทะเบียนอีเมลและเบอร์โทรศัพท์เพื่อแลกรับคูปองสินค้าฟรี อาจต้องแลกมากับการให้ข้อมูลไปใช้งานในกิจกรรมส่งเสริมการขายในหมวดหมู่ใกล้เคียงกันโดยผู้ให้บริการนั้น ๆ อย่างไรก็ดี บุคคลมีสิทธิถอนความยินยอมได้ทุกเมื่อ