กฎหมาย พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 (PDPA) คืออะไร

posted in: Blog | 0

ชื่อรูป: Website Riccosmartdata PDPA2562 01 ประกอบเนื้อหา: กฎหมาย พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 (PDPA) คืออะไร

พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act : PDPA) กฎหมายเกี่ยวกับข้อมูลจึงเป็นกฎหมายที่เกี่ยวข้องกับทุกคนในสังคมที่มีสถานะเป็น เจ้าของข้อมูล ที่ไปใช้บริการต่าง ๆ ทั้งนี้หลักของกฎหมายบอกว่า ข้อมูลส่วนบุคคลของเจ้าของข้อมูล เมื่อให้ใครไปแล้ว เขาจะต้องเอาไปใช้ตามวัตถุประสงค์และความจำเป็น คือ นำไปใช้เท่าที่บอกว่าจะใช้ ไม่เอาไปใช้งานอื่นเกินเลย และเมื่อมีข้อมูลส่วนบุคคลแล้ว จะต้องเก็บรักษาและใช้อย่างปลอดภัย ไม่สามารถเผยแพร่ต่อให้คนอื่นได้ ถ้าไม่ได้ถามเจ้าของข้อมูลก่อน และในฐานะเจ้าของข้อมูล สามารถบอกเลิกการครอบครองข้อมูลนั้นได้

ซึ่งก่อนหน้านี้องค์กรต่าง ๆ ได้ปฏิบัติโดยการเอาข้อมูลไปใช้เท่าที่บอกว่าจะใช้ และทำข้อมูลให้ปลอดภัย แต่เมื่อประเทศไทยประกาศใช้กฎหมาย ก็จะช่วยสร้างความเชื่อมั่นมากยิ่งขึ้น เพราะมีมาตรฐานทางกฎหมายรองรับ ไม่ใช่แค่นโยบายที่อาจแตกต่างไปตามแต่ละหน่วยงาน

ชื่อรูป: gdpr 3324280 1280 ประกอบเนื้อหา: กฎหมาย พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 (PDPA) คืออะไร

ข้อมูลส่วนบุคคล

คือ ข้อมูลที่ทำให้ระบุตัวบุคคลได้ ทั้งทางตรงและทางอ้อม โดยข้อมูลของผู้ถึงแก่กรรม และข้อมูลนิติบุคคล ไม่ถือเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ.นี้

ข้อมูลทางตรง ได้แก่ ชื่อ – นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน ฯลฯ

ข้อมูลทางอ้อม คือ ข้อมูลที่จะนำไปแยกแยะได้ว่าคุณคือใคร และเอาไปใช้ติดตามบุคคลได้ ทั้งนี้ยังสามารถทำการเชื่อมโยงกับข้อมูลอื่น ๆ ข้างนอก แล้วบอกได้ว่าใครเป็นใคร

ชื่อรูป: data 2248219 1280 ประกอบเนื้อหา: กฎหมาย พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 (PDPA) คืออะไร

เจ้าของข้อมูลส่วนบุคคล มีสิทธิทำอะไรได้บ้าง?

  • สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) การเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งรายละเอียดในการเก็บข้อมูล ตลอดจนการนำไปใช้ หรือเผยแพร่ให้เจ้าของข้อมูลทราบก่อนหรือขณะเก็บรวบรวมข้อมูล
  • สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนเองจากผู้ควบคุมข้อมูลส่วนบุคคล
  • สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability) ในกรณีที่เจ้าของข้อมูลต้องการนำข้อมูลที่เคยให้ไว้กับผู้ควบคุมข้อมูลรายหนึ่ง ไปใช้กับผู้ควบคุมข้อมูลอีกราย เจ้าของข้อมูลสามารถขอให้ผู้ควบคุมข้อมูลส่วนบุคคลที่จัดทำข้อมูล ให้ส่งหรือโอนข้อมูลดังกล่าวให้ได้
  • สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object) เจ้าของข้อมูลสามารถคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เมื่อไหร่ก็ได้ รวมถึงสามารถทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
  • สิทธิในการขอให้ลบ หรือทำลายข้อมูลส่วนบุคคล (Right to erasure / Right to be forgotten) หากผู้ควบคุมข้อมูลส่วนบุคคล นำข้อมูลส่วนบุคคลไปเผยแพร่ในที่สาธารณะ หรือสามารถเข้าถึงได้ง่าย เจ้าของข้อมูลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการลบ ทำลายข้อมูล หรือทำให้ข้อมูลนั้นไม่สามารถระบุตัวตนได้
  • สิทธิในการเพิกถอนความยินยอม (Right to withdraw consent) กรณีเจ้าของข้อมูลเคยให้ความยินยอมในการใช้ข้อมูลไป ต่อมาเกิดเปลี่ยนใจ ก็สามารถยกเลิกความยินยอมนั้นเมื่อไหร่ก็ได้ โดยการยกเลิกจะต้องไม่ขัดต่อข้อจำกัดสิทธิในการถอนความยินยอมทางกฎหมาย หรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไปก่อนหน้านี้
  • สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคล ไม่ว่าจะในกรณีที่เกิดการเปลี่ยนใจไม่ต้องการให้ข้อมูลแล้ว หรือเปลี่ยนใจระงับการทำลายข้อมูลเมื่อครบกำหนดที่ต้องทำลาย
  • สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification) เจ้าของข้อมูลมีสิทธิที่จะขอแก้ไขข้อมูลส่วนบุคคลของตนเองให้มีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิดได้ โดยการแก้ไขนั้นจะต้องเป็นไปด้วยความสุจริต และไม่ขัดต่อหลักกฎหมาย

บทลงโทษของ PDPA

PDPA เป็นกฎหมายที่ทั้งบุคคลและนิติบุคคลในประเทศไทยต้องปฏิบัติตาม หากฝ่าฝืนจะมีโทษดังนี้

  • โทษทางแพ่ง ขึ้นอยู่ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง
  • โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท

ดังนั้นกฎหมายคุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายสำคัญที่จะทำให้ธุรกิจไทยมีมาตรการด้านการคุ้มครองข้อมูลส่วนบุคคลที่ชัดเจน และยังกระตุ้นให้หน่วยงานองค์กรต่าง ๆ รับมือกับเรื่องนี้อย่างเท่าเทียม เพราะเมื่อบังคับใช้กฎหมายในระดับประเทศ ก็จะทำให้หน่วยงานทุกหน่วยในไทยต้องรักษามาตรฐานด้านการคุ้มครองข้อมูลส่วนบุคคลให้ยึดถือได้และอยู่ในระดับเดียวกัน และทำให้ภาพรวมต่อความเชื่อมั่นของประเทศไทยที่ดีขึ้นไปด้วย

ข้อมูล : brandinside.asia, techtalkthai.com และ scb.co.th