ปฏิเสธไม่ได้เลยว่าในยุคดิจิทัลแบบนี้ โลกออนไลน์กลายเป็นส่วนหนึ่งของชีวิตเราทุกคนไปแล้ว บุคคลทุกเพศทุกวัยสามารถท่องโลกอินเทอร์เน็ตผ่าน device ต่างๆ ไม่ว่าจะเป็นสมาร์ทโฟน แท็บเล็ต คอมพิวเตอร์และแล็ปท็อปได้อย่างสะดวกง่ายดาย แต่ลืมไปหรือไม่ว่า การเข้าถึงทุกอย่างได้ง่ายก็อาจจะเป็นดาบสองคม ที่ทำให้เราอาจถูกร่วงละเมิดสิทธิส่วนบุคคลได้ ซึ่งมีกฎหมายที่จะคุ้มครองเราได้ก็คือ PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนั่นเอง โดยประกาศบังคับใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 ตามพระราชกฤษฎีกา หลายคนอาจจะยังไม่มีความรู้ว่า PDPD คืออะไร วันนี้ Shopee จะมาไขข้อสงสัยนั้นกัน
หัวข้อต่างๆ ของบทความนี้
PDPA คืออะไร
- PDPA ย่อมาจาก Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งบัญญัติมาตั้งแต่ปี 2562 แล้ว และมีการเลื่อนให้มีบังคับใช้เต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป
- บัญญัติขึ้นเพื่อให้รัฐบาลและเอกชนสามารถรวบรวม ใช้ เปิดเผย หรือโอนถ่ายข้อมูลบุคคลใดก็ได้ในประเทศไทย ตามมาตรการปกป้องข้อมูลการละเมิดสิทธิส่วนบุคคล ซึ่งจะต้องขอความยินยอมจากเจ้าของข้อมูลก่อน
- หากมีองค์การหรือหน่วยงานใดละเมิดพ.ร.บ. นี้ หน่วยงานนั้นๆ จะโดนลงโทษทั้งทางแพ่ง ทางอาญา และโทษทางปกครอง
- มีผลบังคับใช้ต่อผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประเมินผลข้อมูลส่วนบุคคลที่อยู่นอกราชอาณาจักรด้วย ตามกรณีดังนี้
- หากมีการเสนอขายสินค้าให้แก่บุคคลภายในประเทศ ไม่ว่าจะชำระเงินหรือไม่ชำระเงินก็ตาม
- มีการเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลภายในประเทศ
ข้อมูลส่วนบุคคล คืออะไร
ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม
ข้อมูลส่วนบุคคลมีอะไรบ้าง
- เลขประจำตัวประชาชน
- ชื่อ-นามสกุล
- อีเมล
- ที่อยู่
- เบอร์โทรศัพท์
- เลขหนังสือเดินทาง
- เลขบัตรประกันสังคม
- เลขใบอนุญาตขับขี่
- เลขประจำตัวผู้เสียภาษี
- เลขบัญชีธนาคาร
- เลขบัตรเครดิต
- ข้อมูลทางการเงิน
- เชื้อชาติ
- ศาสนา
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลสุขภาพ
ผู้ที่เกี่ยวข้องกับกฎหมาย PDPA
1. Data Subject – เจ้าของข้อมูลส่วนบุคคล
บุคคลที่เป็นเจ้าของข้อมูล ซึ่งพูดง่ายๆ ก็คือผู้บริโภคอย่างเราๆ นั่นเอง ซึ่งเราเป็นเจ้าของข้อมูล ดังนั้นจึงมีสิทธิที่จะได้รับความคุ้มครองจากพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
2. Data Controller – ผู้ควบคุมข้อมูลส่วนบุคคล
บริษัท องค์กรหรือหน่วยงานต่างๆ ซึ่งอาจจะเป็นบุคคลหรือนิติบุคคลก็ได้ พวกเขามีอำนาจที่จะตัดสินใจเกี่ยวกับการเก็บข้อมูล ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น พ่อค้าแม่ค้าออนไลน์ เจ้าของแอปพลิเคชัน หรือบริษัทที่มีสิทธิในรับรู้ของมูลของลูกจ้าง เป็นต้น
3. Data Processor – ผู้ประมวลผลข้อมูลส่วนบุคคล
บุคคล บริษัทหรือองค์กรต่างๆ ที่เป็นคนประมวลผลข้อมูลนั้นๆ ภายใต้คำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล โดยไม่ได้กระทำเอง เช่น messenger ที่ใช้ข้อมูลของลูกค้า เป็นต้น
สิทธิของเจ้าของข้อมูล
- สิทธิในการถอนความยินยอม หากได้ให้ความยินยอมไว้
- สิทธิในการได้รับการแจ้งข้อมูลโดยละเอียด
- สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- สิทธิในการขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล
- สิทธิในการขอให้โอนข้อมูลส่วนบุคคล
- สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล
- สิทธิในการขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลนั้น ไม่สามารถระบุตัวตนของเจ้าของได้
- สิทธิในการขอให้ระงับในการใช้ข้อมูลส่วนบุคคล
บทลงโทษหากฝ่าฝืน PDPA
บทลงโทษกรณีกระทำความผิด พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA แบ่งออกเป็น 3 ลำดับ ได้แก่
1. โทษทางแพ่ง
กำหนดให้ชดใช้ค่าเสียหายที่เกิดกับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหาย เช่น เสียหายทางร่างกาย เสียหายทางชื่อเสียง หรือเสียหายทางสิทธิ และศาลสั่งลงโทษเพิ่มขึ้นได้สูงสุดไม่เกิน 2 เท่าของค่าเสียหาย
2. โทษทางอาญา
มีทั้งโทษจำคุกและโทษปรับ ได้แก่ โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ เกิดขึ้นเมื่อรัฐมองว่าผู้ละเมิดสิทธิเป็นภัยต่อทรัพย์สิน สุขภาพ ความปลอดภัยและศีลธรรมต่อผู้ที่ถูกละเมิด
3. โทษทางปกครอง
โทษปรับมีตั้งแต่ 1 ล้านบาทไปจนถึงสูงสุดไม่เกิน 5 ล้านบาท เกิดจากการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่ได้ขอความยินยอมจากเจ้าของข้อมูล อาจจะเก็บ รวบรวม ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย
Q&A เกี่ยวกับ PDPA
1. การขอความยินยอม
ถาม: ผู้ควบคุมข้อมูลต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลอีกครั้งหรือไม่ หากเป็นดังนี้
- ทำตามสัญญา
- ใช้กฎหมายให้อำนาจ
- ใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล
- ใช้เพื่อประโยชน์สาธารณะ
- ใช้เพื่อการค้นคว้าวิจัย
- ใช้เพื่อปกป้องผลประโยชน์หรือสิทธิของเจ้าของข้อมูล
ตอบ: ไม่จำเป็น
2. การถ่ายรูป-ถ่ายคลิป
ถาม: การถ่ายรูป-ถ่ายคลิป ติดภาพคนอื่นโดยเจ้าตัวไม่ยินยอม ผิด PDPA หรือไม่?
ตอบ: หากการถ่ายรูป-ถ่ายคลิปโดยติดบุคคลอื่นแต่ไม่เจตนา และไม่ได้ก่อให้เกิดความเสียหายกับผู้ถูกถ่าย เพื่อวัตถุประสงค์ส่วนตัว ไม่ถือว่าผิด PDPA
3. การโพสต์คลิป
ถาม: โพสต์คลิปหรือรูปภาพลงใน social media โดยบุคคลอื่นไม่ยินยอม ผิด PDPA หรือไม่?
ตอบ: สามารถโพสท์ได้ หากไม่ได้นำไปใช้ในเชิงการค้าและไม่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล
4. การติดกล้องวงจรปิด
ถาม: ติดกล้องวงจรปิดในบ้าน หรือ กล้องติดรถยนต์ แต่ไม่มีป้ายแจ้งเตือน ผิด PDPA หรือไม่?
ตอบ: การติดกล้องวงจรปิดภายในบ้านหรือหน้ารถยนต์ เพื่อความปลอดภัยของเจ้าของบ้านและเจ้าของรถ ไม่จำเป็นต้องมีป้ายแจ้งเตือน
ถึงแม้ว่า PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนั่นเอง ได้บัญญัติอย่างชัดเจน แล้วพวกเราก็รู้แล้วว่า PDPA คืออะไร แต่ก็มีบางองค์กรหรือหน่วยงานที่แสวงหาผลประโยชน์จากกฎหมายนี้ เล่นลูกไม้ที่ไม่สมควร อันก่อให้เกิดความเสียหายแก่เจ้าของข้อมูล ดังนั้นเราเอง ผู้ซึ่งเป็นเจ้าของข้อมูล จึงควรแสวงหาความรู้และข้อมูลเกี่ยวกับพ.ร.บ. นี้ เพื่อจะได้ไม่ตกเป็นเหยื่อของอาชญากรไซเบอร์ รู้ทันท่วงทีเอาไว้ก่อนดีกว่า อ่านบทความเกี่ยวกับความรู้และการพัฒนาตนเอง ได้ที่ Shopee Blog
อ้างอิง:
- บทลงโทษตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA – Netka Data Privacy & Protection (netkasystem.com)
- PDPC Thailand | Facebook
- กฎหมาย PDPA คืออะไร? ถ่ายรูป-คลิป-ไลฟ์ ยังไงไม่ให้ผิด ข้อเท็จจริงที่ควรรู้ เริ่มบังคับใช้ 1 มิถุนายนนี้ :: Thaimobilecenter.com
- “PDPA” เริ่มใช้ 1 มิ.ย. 65 “ธุรกิจ” ต้องจัดการ “ข้อมูลลูกค้า” อย่างไร ? (bangkokbiznews.com)
- เลื่อน !! PDPA กฎหมายคุ้มครองข้อมูลส่วนบุคคล เริ่มใช้ปี 65 พร้อมแนวทางการรับมือของภาคธุรกิจ | PDPA.Pro
- all74.pdf (senate.go.th)
- ผู้ควบคุม vs. ผู้ประมวลผล – ตรวจให้รู้ คุณเป็นใครภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล – PDPA Thailand
- PDPA คืออะไร? – สรุป PDPA เกี่ยวกับธุรกิจที่คุณควรรู้! ฉบับเข้าใจง่าย | EasyPDPA
