สรุปจบที่เดียว พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เริ่ม 1 มิ.ย. ทำอะไรได้-ไม่ได้บ้าง

ตั้งแต่วันที่ 1 มิ.ย.2565 เป็นต้นไป กฎหมาย PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะเริ่มบังคับใช้อย่างเป็นทางการซึ่งวันนี้ ทีมข่าว The Facts ข่าวจริง จะสรุปสาระสำคัญ ให้ติดตามกัน

ตั้งแต่วันที่ 1 มิ.ย.2565 เป็นต้นไป กฎหมาย PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะเริ่มบังคับใช้ทางการ ซึ่งเป็นกฎหมายที่เกี่ยวข้องกับ การให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล เพื่อสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และถูกขอนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต

ดังนั้น กฎหมายฉบับนี้ ถือเป็นเรื่องใหม่และเรื่องใกล้ตัว ที่ทุกคนควรทราบ เพื่อรักษาสิทธิของข้อมูลของเราเอง  ไม่ให้เกิดการเอาเปรียบ ตกเป็นเหยื่อ จากการนำข้อมูลของเราไปใช้อย่างไม่ถูกต้อง ซึ่งวันนี้ ทีมข่าว The Facts ข่าวจริง จะสรุปสาระสำคัญของ  พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ให้ติดตามกัน

กฎหมาย PDPA คืออะไร  

PDPA ย่อมาจาก Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยหลักเกณฑ์ คือการกำกับดูแลการใช้ข้อมูลส่วนบุคคล ให้ถูกต้อง โดยภาคเอกชนและภาครัฐ จะต้องขอความยินยอมจาก “เจ้าของข้อมูล” ก่อนการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลก่อนเสมอ ๆ เพื่อป้องกันไม่ให้ถูกละเมิดสิทธิส่วนตัว

ข้อมูลส่วนบุคคลภายใต้การคุ้มครองของ PDPA มีอะไรบ้าง?

1.ข้อมูลส่วนบุคคลทั่วไป  ได้แก่

• ชื่อ-นามสกุล
• เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน
• เลขบัตรประชาชน
• เลขหนังสือเดินทาง
• เลขใบอนุญาตขับขี่
• ข้อมูลทางการศึกษา
• ข้อมูลทางการเงิน
• ข้อมูลทางการแพทย์
• ทะเบียนรถยนต์
• โฉนดที่ดิน
• ทะเบียนบ้าน
• วันเดือนปีเกิด
• สัญชาติ
• น้ำหนักส่วนสูง
• ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password, Cookies IP address,  GPS Location

2. ข้อมูลส่วนบุคคลที่มีความอ่อนไหว ซึ่งส่วนนี้ต้องระวังการใช้ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่อาจส่งผลกระทบต่อเจ้าของข้อมูล ได้แก่

• เชื้อชาติ เผ่าพันธุ์
• ความคิดเห็นทางการเมือง
• ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
• พฤติกรรมทางเพศ
• ประวัติอาชญากรรม
• ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
• ข้อมูลสหภาพแรงงาน
• ข้อมูลพันธุกรรม
• ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

ผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลภายใต้ PDPAประกอบด้วย 3 กลุ่ม ใครบ้าง

• กลุ่มแรกคือ ​”เจ้าของข้อมูลส่วนบุคคล”
• กลุ่มที่สองคือ “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมหรือ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• กลุ่มที่สามคือ “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

ทั้งนี้ ธุรกิจต่างๆ จะอยู่ฐานะของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งจำเป็นต้องปฏิบัติตามเงื่อนไขในการจัดการข้อมูลส่วนบุคคลของลูกค้าที่มีอยู่ให้ไม่ละเมิดสิทธิของลูกค้า และได้รับความยินยอมตามกฎหมายก่อน.

การขอความยินยอมจากเจ้าของข้อมูลหรือลูกค้า ต้องทำอย่างไร ?

• ต้องได้รับความยินยอมก่อน หรือขณะเก็บข้อมูลส่วนบุคคล
• ต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำผ่านระบบอิเล็กทรอนิกส์
• ต้องแจ้งวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• ต้องแยกส่วน ใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวง
• มีความเป็นอิสระในการให้ความยินยอม
• ถอนความยินยอมเมื่อใดก็ได้ เว้นแต่มีข้อจำกัดสิทธิ

บทลงโทษหากไม่ปฏิบัติตาม PDPA

• โทษทางอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
• โทษทางแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า
• โทษทางปกครอง: ปรับไม่เกิน 1หรือ3หรือ 5 ล้านบาท

PDPA มีประโยชน์อะไรบ้าง ?

ระดับประชาชน

• รับทราบวัตถุประสงค์ของการจัดเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลอย่างแจ้งชัด
• ขอให้ลบ ทำลาย หรือขอให้ระงับการใช้ข้อมูลส่วนบุคคลได้
• สามารถร้องเรียนและขอให้ชดใช้ค่าสินไหมทดแทน หากมีการใช้ข้อมูลฯนอกเหนือจากวัตถุประสงค์ที่แจ้งไว้แต่แรก
• ลดความเดือดร้อนรำคาญ หรือความเสียหายอันเกิดจากการละเมิดข้อมูลส่วนบุคคล

ระดับหน่วยงานรัฐและเอกชน

• ยกระดับความเชื่อมั่นในมาตรฐานการจัดเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล ในระดับนานาชาติ
• มีขอบเขตในการจัดเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลที่ชัดเจน
• มีการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลมีความโปร่งใส รับผิดชอบต่อสังคม ตรวจสอบได้

ระดับประเทศ

• มีมาตรการในการกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล ส่งเสริมภาพลักษณ์ที่ดีของประเทศ
• มีเครื่องมือในการกำกับการดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคล
• สามารถตรวจสอบการดำเนินงานภาครัฐและภาคธุรกิจ เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลให้มีความถูกต้องเหมาะสม

นอกจากนี้ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ยังชี้แจงประเด็นที่เป็นความเข้าใจผิดในโลกโซเชียลมีเดีย เกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ใน 4 ประเด็นสำคัญ ดังนี้

การถ่ายรูป-ถ่ายคลิป ติดภาพคนอื่นโดยเจ้าตัวไม่ยินยอมจะผิด PDPA

• กรณีการถ่ายรูป-ถ่ายคลิปโดยติดบุคคลอื่นโดยผู้ถ่ายรูป-ถ่ายคลิปไม่เจตนา และการถ่ายรูปถ่ายคลิปดังกล่าว ไม่ได้ก่อให้เกิดความเสียหายกับผู้ถูกถ่าย สามารถทำได้ หากเป็นการใช้เพื่อวัตถุประสงค์ส่วนตัว

ถ้านำคลิปหรือรูปถ่ายที่ติดคนอื่นไปโพสต์ในโซเชียลมีเดีย โดยบุคคลอื่นไม่ยินยอมจะผิด PDPA

• สามารถโพสต์ได้ หากใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้แสวงหากำไรทางการค้า และไม่ก่อให้เกิดความเสียหาย ต่อเจ้าของข้อมูลส่วนบุคคล

ติดกล้องวงจรปิดแล้วไม่มีป้ายแจ้งเตือน ผิด PDPA

• การติดกล้องวงจรปิด ภายในบ้าน ไม่จำเป็นต้องมีป้ายแจ้งเตือน หากเพื่อป้องกันอาชญากรรม และรักษาความปลอดภัยกับตัวเจ้าของบ้าน

เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมทุกครั้ง ก่อนนำข้อมูลไปใช้

• ไม่จำเป็น ต้องขอความยินยอม หากการใช้ข้อมูลดังกล่าว

(1) เป็นการทำตามสัญญา

(2) เป็นการใช้ที่มีกฎหมายให้อำนาจ

(3) เป็นการใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล

(4) เป็นการใช้เพื่อการค้นคว้าวิจัยทางสถิติ

(5) เป็นการใช้เพื่อประโยชน์สาธารณะ

(6) เป็นการใช้เพื่อปกป้องผลประโยชน์ หรือสิทธิของตนเอง

ขอบคุณภาพ-ข้อมูล : สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สำนักงานกิจการยุติธรรม และPDPC Thailand