11 มีนาคม 2565
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA คือ ข้อมูลเกี่ยวกับบุคคล ที่สามารถระบุตัวตนบุคคลนั้นได้ ทั้งทางตรงและทางอ้อม เช่น ชื่อ นามสกุล อีเมล หมายเลขบัตรประจำตัว ที่อยู่ ข้อมูลสุขภาพ IP Address Cookies ID ลายนิ้วมือ รูปถ่าย ฯลฯ การเก็บใช้ เปิดเผย ส่งต่อซึ่งข้อมูลส่วนบุคคล ต้องได้รับความยินยอมก่อน โดยต้องทำเป็นหนังสือหรือผ่านระบบออนไลน์ จึงจะสามารถใช้ข้อมูลนั้นได้
สิ่งที่ต้องรู้
• เจ้าของข้อมูลต้องให้ความยินยอม ในการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ผู้เก็บรวบรวมแจ้งไว้ตั้งแต่แรกแล้วเท่านั้น หากเจ้าของไม่ยินยอมให้ใช้ข้อมูล ก็ไม่สามารถนำข้อมูลนั้นมาใช้ได้
• ผู้เก็บรวบรวมข้อมูลต้องขออนุมัติจากเจ้าของข้อมูลก่อน และรักษาความมั่นคงปลอดภัยของข้อมูล ต้องเป็นความลับ ไม่ให้มีการเปลี่ยนแปลงแก้ไข หรือถูกเข้าถึงโดยผู้ที่ไม่เกี่ยวข้องกับข้อมูล
• เจ้าของข้อมูลมีสิทธิ์ถอนความยินยอม ขอให้ลบหรือทำลายข้อมูลเมื่อใดก็ได้
• พระราชบัญญัตินี้ไม่ใช้บังคับแก่ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตน หรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น
• พระราชบัญญัตินี้ไม่ใช้บังคับแก่ การดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึงความมั่นคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์
• พระราชบัญญัตินี้ไม่ใช้บังคับแก่ บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมไว้เฉพาะ เพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น
• พระราชบัญญัตินี้ไม่ใช้บังคับแก่ สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการพิจารณาตามหน้าที่และอำนาจของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา หรือคณะกรรมาธิการ แล้วแต่กรณี
• พระราชบัญญัตินี้ไม่ใช้บังคับแก่ การพิจารณาพิพากษาคดีของศาล และการดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดีการบังคับคดี และการวางทรัพย์ รวมทั้งการดำเนินงานตามกระบวนการยุติธรรมทางอาญา
• พระราชบัญญัตินี้ไม่ใช้บังคับแก่ การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต
สำหรับบุคคลทั่วไป
ก่อนจะให้ข้อมูลสำคัญ ควรมีการเก็บบันทึกเป็นหลักฐานไว้ หรือมี การขอสำเนาของเอกสารที่มีข้อมูลส่วนบุคคล เมื่อใดพบว่าข้อมูลส่วนบุคคล ได้ถูกนำไปใช้ผิดวัตถุประสงค์ ก็สามารถร้องเรียนได้
ตัวอย่าง
การทำงานของเว็บไซต์ หรือแอปพลิเคชัน จะเชื่อมต่อระบบสมาชิกกับโซเชียลต่าง ๆ มีการขอชื่ออีเมล หรืออาจมีการเข้าถึงรายชื่อเพื่อน หากเราเห็นว่าไม่จำเป็นที่ต้องให้ข้อมูลรายชื่อ ก็สามารถไม่ให้การยินยอม และยินยอมให้เฉพาะอีเมลเพื่อการเข้าระบบของเว็บไซต์ หรือแอปพลิเคชันนั้น ๆ ได้
สำหรับผู้ประกอบการ
องค์กรหรือหน่วยงานที่ต้องมีการเก็บข้อมูลส่วนบุคคล ควรเก็บข้อมูล เท่าที่จำเป็น มีระบบควบคุม มีระบบยืนยันตัวตนของผู้ขอเข้าถึงข้อมูล กำหนดนโยบายสำหรับบุคคลภายในองค์กรที่เกี่ยวข้องกับการใช้งานข้อมูลส่วนบุคคลที่ได้รับการยินยอมแล้ว หากมีการให้บริการใด ๆ บนเว็บไซต์ ควรจัดทำ Privacy Policy เป็นตัวบ่งบอกให้ลูกค้าทราบถึงรายละเอียดของการจัดเก็บ การรักษาข้อมูลส่วนตัวของผู้ใช้
ตัวอย่าง
ฝ่ายทรัพยากรบุคคลขององค์กรหรือหน่วยงาน หากต้องการเก็บรวบรวมหรือนำข้อมูลของพนักงานไปใช้ ต้องขออนุมัติจากเจ้าของข้อมูลก่อน และต้องแจ้งวัตถุประสงค์ที่เก็บข้อมูล ว่าจะนำไปใช้เพื่อการใด หากเจ้าของไม่ยินยอมให้ใช้ข้อมูล ก็ไม่สามารถนำไปใช้ได้
บทกำหนดโทษ
(มาตรา 19) ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อน การขอความยินยอมต้องทำโดยชัดแจ้ง เข้าใจง่าย หากฝ่าฝืนมีโทษทางปกครอง ปรับไม่เกิน 1 ล้านบาท
(มาตรา 21) ผู้ควบคุมข้อมูลต้องเก็บ ใช้ เปิดเผย ตามวัตถุประสงค์ ที่ได้แจ้งเจ้าของข้อมูลไว้ การเก็บ ใช้ เปิดเผยข้อมูลที่ต่างไปจากเดิม ต้องแจ้งวัตถุประสงค์ใหม่ให้เจ้าของข้อมูลทราบและยินยอมก่อน หากฝ่าฝืนมีโทษทางปกครอง ปรับไม่เกิน 3 ล้านบาท
(มาตรา 23) ผู้ควบคุมข้อมูลต้องแจ้งรายละเอียดการเก็บรวบรวมข้อมูล แก่เจ้าของข้อมูล หากฝ่าฝืนมีโทษทางปกครอง ปรับไม่เกิน 1 ล้านบาท
(มาตรา 25) ห้ามเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่ ได้แจ้งให้ทราบไม่เกิน 30 วัน (ถามวันเกิดจากคนอื่น ที่ไม่ใช่เจ้าตัวไม่ได้) หากฝ่าฝืนมีโทษทางปกครอง ปรับไม่เกิน 3 ล้านบาท
(มาตรา 26) ห้ามเก็บข้อมูล ศาสนา เชื้อชาติ ข้อมูลสุขภาพ ความพิการ ฯลฯ โดยไม่ได้รับความยินยอม หากฝ่าฝืนมีโทษทางปกครอง ปรับไม่เกิน 5 ล้านบาท
(มาตรา 27) การใช้ เปิดเผย ต้องได้รับความยินยอมและอยู่ภายในวัตถุประสงค์ตามที่ได้แจ้งกับเจ้าของข้อมูลส่วนบุคคลเท่านั้น หากฝ่าฝืนมีโทษทางอาญา จำคุก 6 เดือน หรือ ปรับไม่เกิน 5 แสนบาท หรือทั้งจำทั้งปรับ