Affiliate Program
กฎหมาย PDPA คืออะไร?

PDPA คืออะไร? กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ทุกธุรกิจต้องรู้

        กฎหมาย PDPA หรือชื่อเต็มว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายสำคัญของประเทศไทยที่กำหนดหลักเกณฑ์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล อย่างเป็นธรรมและปลอดภัย โดยมีผลบังคับใช้เต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นมา

         กฎหมายนี้มีบทบาทสำคัญในการสร้างมาตรฐานด้านความเป็นส่วนตัวให้กับประชาชน และส่งเสริมให้ทุกองค์กรเคารพสิทธิของเจ้าของข้อมูล

(พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 : https://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF)

ทำไมต้องมี PDPA?

       ในยุคดิจิทัล ข้อมูลส่วนบุคคลถูกจัดเก็บและใช้ในหลายรูปแบบ เช่น การสมัครสมาชิกออนไลน์ การซื้อสินค้าผ่านอีคอมเมิร์ซ หรือการติดตั้งแอปพลิเคชัน โดยหลายกรณีผู้ใช้ไม่ได้รับรู้ว่าข้อมูลของตนเองถูกนำไปใช้ในด้านอื่นๆ ด้วย  ดังนั้นกฎหมาย PDPA จึงบัญญัติขึ้นเพื่อ :

    • คุ้มครองสิทธิของเจ้าของข้อมูล
    • สร้างความโปร่งใสในการจัดการ / จัดเก็บข้อมูล

    • ป้องกันการละเมิดสิทธิของเจ้าของข้อมูล เช่น การปล่อยให้ข้อมูลรั่วไหล หรือการนำข้อมูลไปขายโดยไม่ได้รับอนุญาต

ข้อมูลส่วนบุคคล (Personal Data) หมายถึงอะไร?

       ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลซึ่งสามารถทำให้ระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมข้อมูลของผู้ถึงแก่กรรม

       ตัวอย่างข้อมูลส่วนบุคคล

    • ชื่อ-นามสกุล
    • ลายเซ็น
    • รูปถ่าย
    • หมายเลขโทรศัพท์
    • ที่อยู่บ้าน
    • ทะเบียนรถ
    • E-Mail
    • IP Address
    • หมายเลขบัตรประชาชน / ใบขับขี่ / passport

       นอกจากนี้ยังมีประเภทของข้อมูลที่เรียกว่า “ข้อมูลส่วนบุคคลที่อ่อนไหว” (Sensitive Personal Data) ซึ่งเป็นข้อมูลที่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม

       ตัวอย่างข้อมูลส่วนบุคคลที่อ่อนไหว

    • ข้อมูลพันธุกรรม
    • ข้อมูลชีวภาพ เช่น ลายนิ้วมือ
    • ข้อมูลสุขภาพ
    • เชื้อชาติ เผ่าพันธุ์
    • ความคิดเห็นทางการเมือง
    • ความเชื่อในลัทธิ ศาสนา หรือปรัชญา

       โดยข้อมูลเหล่านี้จะต้องได้รับ ความยินยอมอย่างชัดแจ้ง ก่อนการนำไปใช้งาน

ข้อมูลส่วนบุคคลคืออะไร? แยกอย่างไรกับข้อมูลทั่วไป? [PDPA ฉบับเข้าใจง่าย]

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA เกี่ยวข้องกับใครบ้าง?

       PDPA มีความเกี่ยวข้องกับทุกหน่วยงาน องค์กร บริษัท และบุคคลที่ต้องมีการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ไม่ใช่แค่บริษัทใหญ่เท่านั้น ที่ต้องสนใจ แต่ทุกหน่วยงานหรือบุคคลที่เกี่ยวข้องกับ การเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ก็อยู่ภายใต้กฎหมายนี้ เช่น:

    • ร้านค้าออนไลน์

    • บริษัทที่เก็บข้อมูลลูกค้า

    • โรงพยาบาล / โรงเรียน

    • ฟรีแลนซ์ที่ใช้แบบฟอร์มเก็บอีเมล

    • เจ้าของเว็บไซต์ที่มีแบบฟอร์มสมัครงาน

ทุกธุรกิจและทุกองค์กรที่เกี่ยวข้องกับการจัดเก็บข้อมูลส่วนบุคคล มีหน้าที่ต้องปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) เพื่อคุ้มครองสิทธิของเจ้าของข้อมูล และหลีกเลี่ยงบทลงโทษทางกฎหมาย

สิทธิของเจ้าของข้อมูลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)

     พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)ให้สิทธิเจ้าของข้อมูลในการควบคุมข้อมูลของตนเองได้ ดังนี้:

      1. สิทธิในการรับทราบ – ต้องได้รับแจ้งวัตถุประสงค์ก่อนเก็บข้อมูล

      2. สิทธิในการเข้าถึง – สามารถขอเข้าถึงข้อมูลส่วนบุคคลของตนที่ผู้ควบคุมข้อมูลเก็บรวบรวมไว้ และขอรับสำเนาข้อมูลได้ รวมถึงการสอบถามว่าข้อมูลถูกนำไปใช้กับใครบ้าง

      3. สิทธิในการแก้ไขข้อมูล –สามารถขอแก้ไขข้อมูลให้ถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิด

      4. สิทธิในการลบหรือทำลายข้อมูล – เมื่อไม่มีความจำเป็นในการใช้อีกต่อไป หรือถอนความยินยอมแล้ว

      5. สิทธิในการถอนความยินยอม – สามารถยกเลิกการอนุญาตให้ใช้ข้อมูลได้

      6. สิทธิในการโอนย้ายข้อมูล –สามารถขอรับข้อมูลส่วนบุคคลในรูปแบบที่อ่านได้ง่าย และส่งต่อให้ผู้ควบคุมข้อมูลรายอื่นได้

      7. สิทธิในการคัดค้าน – ไม่ยินยอมให้ประมวลผลข้อมูลส่วนบุคคลของตนเองได้ในบางกรณี

หน้าที่ขององค์กรหรือผู้ควบคุมข้อมูล (Data Controller) ตามข้อกำหนดของ PDPA

       องค์กรที่เก็บข้อมูลมีหน้าที่ดังต่อไปนี้:

      1. แจ้งวัตถุประสงค์และรายละเอียดให้เจ้าของข้อมูลทราบ ว่าเก็บข้อมูลเพื่ออะไร ใช้อย่างไร เก็บไว้นานแค่ไหน

      2. ขอความยินยอมอย่างชัดเจน คือต้องให้เจ้าของข้อมูลยินยอมอย่างชัดเจน และต้องสามารถถอนความยินยอมได้ง่าย

      3. จัด เก็บ ใช้ และเปิดเผยข้อมูลตามวัตถุประสงค์เท่านั้น ห้ามนำข้อมูลไปใช้เกินกว่าที่แจ้ง หรือใช้โดยไม่ชอบด้วยกฎหมาย

      4. รักษาความมั่นคงปลอดภัยของข้อมูล มีมาตรการทางเทคนิคและองค์กรในการป้องกันการรั่วไหลหรือเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต

      5. อำนวยความสะดวกในการใช้สิทธิของเจ้าของข้อมูล เช่น การเข้าถึง แก้ไข ลบ คัดค้าน หรือโอนย้ายข้อมูล

      6. แต่งตั้ง DPO (เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล) เช่น องค์กรที่ประมวลผลข้อมูลจำนวนมากหรือข้อมูลอ่อนไหว

      7. จัดทำบันทึกกิจกรรมการประมวลผลข้อมูล (ROPA) ต้องมีเอกสารแสดงว่ามีการประมวลผลข้อมูลอะไรบ้าง เพื่อความโปร่งใสและตรวจสอบได้

      8. แจ้งเหตุข้อมูลรั่วไหล โดยแจ้งไปยังสำนักงาน PDPA ภายใน 72 ชั่วโมง หากเป็นกรณีร้ายแรงให้แจ้งแก่เจ้าของข้อมูลรับทราบด้วย

บทลงโทษหากไม่ปฏิบัติตามข้อกำหนดของ PDPA

       การละเมิด PDPA อาจนำไปสู่บทลงโทษทั้งทางแพ่ง อาญา และทางปกครอง เช่น:

    • ปรับไม่เกิน 5 ล้านบาท (กรณีทางปกครอง)

    • จำคุกไม่เกิน 1 ปี และ/หรือปรับไม่เกิน 1 ล้านบาท (กรณีทางอาญา)

    • ต้องชดใช้ค่าเสียหายให้กับเจ้าของข้อมูล (กรณีแพ่ง)

วิธีเริ่มต้นปฏิบัติตาม PDPA สำหรับองค์กร

    1. ทำความเข้าใจข้อมูลที่องค์กรเก็บไว้

    2. ปรับปรุงแบบฟอร์มและระบบให้ขอความยินยอมอย่างถูกต้อง

    3. จัดทำนโยบายความเป็นส่วนตัว (Privacy Policy)

    4. อบรมพนักงานเกี่ยวกับ PDPA

    5. ตรวจสอบและจัดเก็บข้อมูลอย่างปลอดภัย

สรุป: PDPA คือกฎหมายที่ทุกคนต้องรู้จักและเรียนรู้เพื่อประโยชน์ต่อตนเอง

PDPA คือเครื่องมือทางกฎหมายที่ปกป้องข้อมูลส่วนบุคคล
และช่วยให้องค์กรสามารถจัดการข้อมูลได้อย่างถูกต้อง โปร่งใส และน่าเชื่อถือ

หากคุณเป็นเจ้าของธุรกิจ เว็บไซต์ หรือองค์กรที่มีการเก็บข้อมูลของลูกค้า PDPA ไม่ใช่แค่เรื่องทางกฎหมาย แต่เป็น เครื่องมือสำคัญในการสร้างความน่าเชื่อถือ และ รักษาภาพลักษณ์ของแบรนด์ ได้อย่างยั่งยืน