PDPA กฎหมายฉบับสำคัญที่เริ่มบังคับใช้อย่างเต็มแบบรูปแบบเมื่อวันที่ 1 มิ.ย. 2565 แต่หลายคนยังเกิดความกังวลและสงสัยว่า PDPA ต้องทําอะไรบ้าง หากทำผิดกฎแล้วจะมีบทลงโทษอย่างไร ไทยรัฐออนไลน์สรุป PDPA เรื่องที่ควรรู้ ฉบับสั้น ๆ เข้าใจง่ายมาฝาก
PDPA คืออะไร
PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล PDPA ย่อมาจาก Personal Data Protection Act ประกาศไว้ในราชกิจจานุเบกษา ตั้งแต่วันที่ 27 พฤษภาคม พ.ศ. 2562 ต่อมา PDPA บังคับใช้อย่างเต็มรูปแบบในวันที่ 1 มิถุนายน พ.ศ. 2565
กฎหมาย PDPA ถอดแบบมาจากกฎหมาย GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป เพื่อให้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในไทยเป็นไปตามมาตรฐานสากล ให้ภาครัฐ เอกชน ทั้งนิติบุคคลและบุคคลธรรมดา รวบรวม ใช้งาน หรือเปิดเผยข้อมูลอย่างถูกต้อง โปร่งใส เป็นการป้องกันและลดปัญหาการละเมิดข้อมูลส่วนบุคคล โดยที่ไม่ได้รับความยินยอมหรือแจ้งให้เจ้าของข้อมูลทราบมาก่อน
กฎหมาย PDPA คุ้มครองอะไรบ้าง
หลายคนอาจเกิดความสงสัยข้อมูลส่วนบุคคล PDPA มีอะไรบ้าง คุ้มครองอะไร คำตอบคือ กฎหมาย PDPA คุ้มครองข้อมูลส่วนบุคคล ที่เป็นข้อมูลพื้นฐานที่บ่งบอกถึงเจ้าของข้อมูลนั้น ๆ ทั้งทางตรงและทางอ้อม ยกตัวอย่างเช่น
• ชื่อ-นามสกุล
• อีเมล
• เบอร์โทรศัพท์มือถือ
• ที่อยู่
• น้ำหนัก-ส่วนสูง
• เลขหนังสือเดินทาง (Passport)
• เลขใบอนุญาตขับขี่
• เลขบัตรประกันสังคม
• เลขประจำตัวประชาชน
• เลขบัญชีธนาคาร
• ทะเบียนรถ
• รหัสผ่าน
• ลายนิ้วมือ
• รูปภาพ
• ใบขับขี่
• ทะเบียนบ้าน
• Username
• IP address
• ตำแหน่ง GPS
นอกจากนี้ยังมีข้อมูลส่วนตัวที่มีความละเอียดอ่อน ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ที่จะต้องรวบรวม ใช้ และเปิดเผยอย่างระมัดระวัง เนื่องจากอาจส่งผลกระทบต่อเจ้าของข้อมูลในหลาย ๆ ด้าน ดังนี้
• ความคิดเห็นทางการเมือง
• ความเชื่อในลัทธิ
• ศาสนา
• เชื้อชาติ
• เผ่าพันธุ์
• พฤติกรรมทางเพศ
• ความพิการ
• ประวัติอาชญากรรม
• ข้อมูลสุขภาพ
• ข้อมูลพันธุกรรม
• ข้อมูลสหภาพแรงงาน
• ข้อมูลชีวภาพ เช่น ลายนิ้วมือหรือข้อมูลม่านตา
กฎหมาย PDPA ฉบับเต็ม เจ้าของข้อมูลมีสิทธิอะไรบ้าง
ตามกฎหมาย PDPA กำหนด เจ้าของข้อมูลมีสิทธิเกี่ยวกับข้อมูลส่วนบุคคลของตัวเอง ดังนี้
• สิทธิในการได้รับการแจ้งให้ทราบ
• สิทธิในการเข้าถึงข้อมูล
• สิทธิในการขอให้โอนข้อมูล
• สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
• สิทธิในการลบหรือขอให้ทำลายข้อมูลส่วนบุคคล
• สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
• สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล
กฎหมาย PDPA ต้องทําอะไรบ้าง
ในเบื้องต้น สำหรับองค์กรหรือเจ้าของกิจการที่ต้องรวบรวมข้อมูลส่วนบุคคลของลูกค้า แนะนำให้ปฏิบัติตามข้อแนะนำ ดังนี้
1. สร้างนโยบายความเป็นส่วนตัว เพื่อชี้แจงรายละเอียดและขอรับความยินยอมในการเก็บข้อมูลส่วนบุคคลในเบื้องต้น
2. ระบุวัตถุประสงค์ของการใช้ข้อมูลอย่างชัดเจน
3. การใช้งานข้อมูลส่วนบุคคล จะต้องใช้งานโดยผ่านการยินยอมจากเจ้าของ และไม่เปิดเผยข้อมูลยังสาธารณะ
4. จัดเก็บข้อมูลด้วยระบบมาตรฐาน เพื่อป้องกันข้อมูลรั่วไหลสู่ภายนอก
5. กรณีที่จะต้องจัดส่งข้อมูลหรือย้ายข้อมูลให้กับองค์กรอื่นจะต้องดำเนินการตามกฎหมาย PDPA ฉบับเต็ม
PDPA ต้องใช้เอกสารอะไรบ้าง
องค์กร เจ้าของกิจการ ทั้งภาครัฐและเอกชนที่จะต้อง แนะนำให้เตรียมเอกสารเบื้องต้น เช่น เอกสารนโยบายความเป็นส่วนตัว, เอกสารนโยบายความเป็นส่วนตัวฝ่ายบุคคล, เอกสารการเข้าชมเว็บไซต์, สัญญาประมวลผลข้อมูลส่วนบุคคลระหว่างกัน
อย่างไรก็ดี ในแต่ละบริษัทหรือองค์กรเอกสารอาจจะต้องเตรียมเอกสารสำคัญอื่นๆ เพิ่มเติม แนะนำให้ศึกษาเกี่ยวกับ พ.ร.บ. PDPA ในธุรกิจหรือองค์กรของตนเองอย่างละเอียด เพื่อให้เป็นไปตามแนวทางที่กฎหมายกำหนด
PDPA สําคัญอย่างไร
PDPA เป็นกฎหมายให้ความสำคัญเรื่องสิทธิและข้อมูลส่วนบุคคล ดังนั้น เจ้าของข้อมูลจึงมีสิทธิที่จะเก็บข้อมูลส่วนบุคคล ยินยอมหรือปฏิเสธการให้ข้อมูลกับผู้อื่น รวมถึงแม้ว่าจะเก็บข้อมูลไปแล้ว ก็ยังมีสิทธิที่จะปฏิเสธการเก็บข้อมูลก่อนหน้า และขอให้ทำลายข้อมูลส่วนบุคคลได้
กฎหมาย PDPA มีผลบังคับใช้กับเจ้าของข้อมูลและผู้นำข้อมูลไปใช้ทุกคน ไม่ว่าจะเป็นภาครัฐหรือเอกชน ดังนั้น เหล่าผู้ประกอบการ เจ้าของธุรกิจ องค์กรต่างๆ หรือแม้กระทั่งบุคคลทั่วไป จึงจำเป็นจะต้องหาความหมาย ตระหนักถึงความสำคัญเพื่อให้สอดคล้องกับ พ.ร.บ. PDPA ที่กำหนดขึ้น
PDPA บทลงโทษมีอะไรบ้าง
หากไม่ปฏิบัติตาม พ.ร.บ. PDPA จะได้รับโทษทางแพ่ง อาญา และทางปกครอง ดังต่อไปนี้
โทษทางแพ่ง
กำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูล บางกรณีอาจจะต้องจ่ายค่าสินไหมทดแทน เพื่อการลงโทษ เพิ่มเติมสูงสุด 2 เท่าของค่าเสียหายจริง
โทษทางอาญา
กำหนดโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือโทษปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
โทษทางปกครอง
กำหนดโทษโทษปรับตั้งแต่ 1 ล้านบาท และไม่เกิน 5 ล้านบาท ทั้งนี้ หากเป็นการละเมิด เปิดเผย หรือจัดส่งข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนไปต่างประเทศ จะต้องรับโทษที่เกิดจากทางแพ่งและอาญาด้วย
PDPA มีผลย้อนหลังไหม
PDPA ถือเป็นกฎหมายใหม่ที่บังคับใช้เมื่อวันที่ 27 พฤษภาคม พ.ศ. 2562 ดังนั้น จึงไม่มีผลย้อนหลัง
PDPA หรือ พ.ร.บ. PDPA เป็นกฎหมายสำคัญในการคุ้มครองข้อมูลส่วนบุคคลให้ปลอดภัย รวบรวม ใช้ หรือเปิดเผยด้วยความโปร่งใสตามมาตรฐานสากล ไม่ว่าจะภาครัฐหรือเอกชนทั้งนิติบุคคลและบุคคลธรรมดาจะต้องปฏิบัติตนตาม PDPA เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลหรือนำข้อมูลไปใช้ในทางที่ผิด
ที่มา : กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
————————————————————————————————————————-
ที่มา : ไทยรัฐออนไลน์ / วันที่เผยแพร่ 16 มิ.ย.66
Link : https://www.thairath.co.th/lifestyle/life/2702384?gallery_id=3