มีผลบังคับใช้แล้ว กฎหมาย PDPA กับเรื่องที่เราต้องรู้!

เมื่อวันที่ 1 มิ.ย. 2565 ที่ผ่านมา กฎหมาย PDPA (Personal Data Protection Act) หรือพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลบังคับใช้แล้ว ซึ่ง PDPA เป็นกฎหมายที่ให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล คุ้มครองและสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เจ้าของข้อมูลทราบ และต้องนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาตเท่านั้น โดยกฎหมาย PDPA นี้ถูกประกาศไว้ในราชกิจจานุเบกษาตั้งแต่วันที่ 27 พฤษภาคม 2562 แล้ว

ซึ่งหากกล่าวถึง สิ่งที่เรียกว่า “ข้อมูลส่วนบุคคล” หลาย ๆ คนอาจจะมีความเข้าใจที่คลาดเคลื่อนหรือเข้าใจไม่ตรงกัน หากอ้างตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 6 ระบุว่า “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่จะไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ยกตัวอย่างเช่น ชื่อ หมายเลขประจำตัว ข้อมูลสถานที่ สิ่งระบุอัตลักษณ์ออนไลน์ รวมถึงปัจจัยอย่างหนึ่งหรือหลายอย่างรวมกันที่สามารถระบุอัตลักษณ์ทางกายภาพ สรีรวิทยา พันธุกรรม จิตใจ เศรษฐกิจ วัฒนธรรม หรือสถานะทางสังคมของบุคคลธรรมดา

ข้อมูลใดจะเป็นข้อมูลส่วนบุคคลหรือไม่นั้น จำเป็นต้องพิจารณาจากบริบทของการใช้ข้อมูลนั้น ๆ ประกอบ ว่าสามารถทำให้ “ระบุตัวบุคคลนั้น ๆ ได้หรือไม่” สำหรับในกฎหมายไทยฉบับนี้ก็บัญญัติสอดคล้องกับกฎหมายของอีกหลาย ๆ ประเทศ ที่กำหนดบทนิยามของข้อมูลส่วนบุคคลไว้แบบปลายเปิด เพื่อให้สอดคล้องกับเทคโนโลยีที่เแลี่ยนแปลงอย่างรวดเร็วนั่นเอง

เกี่ยวกับ PDPA เราต้องรู้อะไรบ้าง

ภาพจาก Facebook : PDPC Thailand

ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมเฉพาะ เช่น ชื่อ ที่อยู่ หมายเลขประจำตัว ข้อมูลสุขภาพ ฯลฯ ในกรณีที่ผู้ใช้งานอย่างเรา ๆ จำเป็นต้องให้ข้อมูลส่วนตัวบางอย่างอย่างกับผู้ที่ร้องขอ อีกฝ่ายจะต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเราไว้ก่อนหรือในขณะเก็บรวบรวม คือจะนำข้อมูลที่เราให้ไปใช้นอกเหนือจากที่แจ้งเราไว้ไม่ได้เด็ดขาด และต้องเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายด้วย

สำหรับความยินยอม เป็นฐานการประมวลผลฐานหนึ่งเท่านั้น ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ในการกำหนดฐานการประมวลผล ให้สอดคล้องกับลักษณะการประมวลผลและความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับเจ้าของข้อมูลส่วนบุคคล (ตัวเรากับผู้ที่จะเก็บข้อมูลเรา) โดยต้องคำนึงในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลอย่างที่สุด คือจะต้องไม่มีสภาพบังคับกำหนดว่าให้หรือไม่ให้ข้อมูลส่วนบุคคล

นั่นหมายความว่าหากผู้ให้บริการต้องการจะเก็บข้อมูลส่วนบุคคลของผู้อื่น จะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนว่าจะมีการเก็บข้อมูลและจะนำข้อมูลนั้นไปทำอะไร ผ่าน Privacy Policy หรือนโยบายความเป็นส่วนตัว ตลอดจนต้องมีการขออนุญาตให้เรายินยอมด้วย ซึ่งเราจะไม่ยินยอมก็ได้ ผู้ที่ร้องขอก็จำเป็นต้องเคารพสิทธิ์ของเราซึ่งเป็นเจ้าของข้อมูล ถ้าเราไม่ยินยอมให้เก็บหรือใช้ข้อมูล ก็จะนำไปใช้ไม่ได้ และการใช้ข้อมูลของเราที่ผิดไปจากวัตถุประสงค์ที่เคยแจ้งให้เราทราบก็ใช้ไม่ได้เช่นกัน

นั่นหมายความว่า ผู้ให้บริการที่ขอเก็บข้อมูลส่วนตัวของเราไป จะต้องแจ้งให้ผู้ใช้บริการทราบรายละเอียดในการเก็บว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด ระยะเวลานานเท่าไร จะนำข้อมูลนี้ไปเปิดเผยให้ใครบ้าง จะรักษาความปลอดภัยข้อมูลเหล่านี้อย่างไร จะรับประกันสิทธิ์การเป็นเจ้าของข้อมูลของบุคคลทั่วไปอย่างไร ต้องขอความยินยอมในการเก็บข้อมูลส่วนบุคคลของผู้ใช้บริการก่อน และต้องแจ้งสิทธิ์ของเจ้าของข้อมูลด้วยว่าสามารถถอนความยินยอมได้ทุกเมื่อ

ภาพจาก Facebook : PDPC Thailand

เราในฐานะที่เป็นเจ้าของข้อมูลส่วนบุคคลมีสิทธิ์ตามกฎหมาย ดังนี้

  • สิทธิ์ในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้
  • สิทธิ์ได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice) ใช้กับการประมวลผลข้อมูลส่วนบุคคล
  • สิทธิ์ขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล
  • สิทธิ์ขอให้โอนข้อมูลส่วนบุคคล
  • สิทธิ์คัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • สิทธิ์ขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
  • สิทธิ์ขอให้ระงับการใช้ข้อมูลส่วนบุคคล
  • สิทธิ์ขอให้แก้ไขข้อมูลส่วนบุคคล

กฎหมาย PDPA นี้จะใช้กับการประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย ไม่ว่าจะสัญชาติใดก็ตาม ทุกคนจะได้รับการคุ้มครองตามกฎหมาย ในกรณีที่มีเหตุการละเมิดข้อมูลส่วนบุคคลที่มีความเสี่ยงสูงที่เจ้าของข้อมูลจะได้รับผลกระทบต่อสิทธิและเสรีภาพของตัวเอง ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องแจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมเสนอแนวทางการเยียวยาโดยไม่ชักช้า และจัดทำบันทึกรายการกิจกรรม เพื่อให้ภาครัฐตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้ ส่วนเจ้าของข้อมูลส่วนบุคคลก็มีสิทธิ์ร้องเรียนในกรณีที่มีการฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA หรือประกาศที่ออกตาม PDPA

ความเข้าใจผิดบางประการเกี่ยวกับกฎหมาย PDPA

เนื่องจากเป็นกฎหมายที่เพิ่งมีผลบังคับใช้ ในหลาย ๆ ประเด็นอาจมีการตีความที่บิดเบือนหรือคลาดเคลื่อนไปจากตัวกฎหมาย ทำให้เกิดความเข้าใจผิดว่าอะไรทำได้ อะไรทำไม่ได้ และอะไรผิด อะไรไม่ผิด ทางเพจ PDPC Thailand จึงมีการชี้แจงเกี่ยวกับข้อมูลที่ “ไม่จริง” เกี่ยวกับกฎหมายนี้ ดังนี้

  • การถ่ายรูป-ถ่ายคลิป ติดภาพคนอื่นโดยเจ้าตัวไม่ยินยอมจะผิด PDPA

กรณีการถ่ายรูป-ถ่ายคลิปโดยติดบุคคลอื่น โดยผู้ถ่ายรูป-ถ่ายคลิปไม่เจตนา และการถ่ายรูปถ่ายคลิปดังกล่าวไม่ได้ก่อให้เกิดความเสียหายกับผู้ถูกถ่าย สามารถทำได้ หากเป็นการใช้เพื่อวัตถุประสงค์ส่วนตัว

  • ถ้านำคลิปหรือรูปถ่ายที่ติดคนอื่นไปโพสต์ในโซเชียลมีเดียโดยบุคคลอื่นไม่ยินยอมจะผิด PDPA

สามารถโพสต์ได้ หากใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้แสวงหากำไรทางการค้าและไม่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล

  • ติดกล้องวงจรปิดแล้วไม่มีป้ายแจ้งเตือนผิด PDPA

การติดกล้องวงจรปิด ภายในบ้าน ไม่จำเป็นต้องมีป้ายแจ้งเตือน หากเพื่อป้องกันอาชญากรรม และรักษาความปลอดภัยกับตัวเจ้าของบ้าน

  • เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้

ไม่จำเป็น แต่ต้องขอความยินยอม หากการใช้ข้อมูลดังกล่าวเข้าข่ายกรณีต่อไปนี้

(1) เป็นการทำตามสัญญา
(2) เป็นการใช้ที่มีกฎหมายให้อำนาจ
(3) เป็นการใช้เพื่อรักษาชีวิตและ/หรือร่างกายของบุคคล
(4) เป็นการใช้เพื่อการค้นคว้าวิจัยหรือสถิติ
(5) เป็นการใช้เพื่อประโยชน์สาธารณะ

(6) เป็นการใช้เพื่อปกป้องผลประโยชน์หรือสิทธิของตนเอง

ทั้งนี้ ข้อมูลข้างต้นอาจเปลี่ยนแปลงตามข้อเท็จจริงที่เกิดขึ้นเป็นกรณี ๆ ไป

ข้อยกเว้นการบังคับใช้ PDPA สำหรับกิจการสื่อมวลชน

ภาพจาก Facebook : PDPC Thailand

ในกรณีกิจการสื่อมวลชน มาตรา 4 (3) เป็นข้อยกเว้นเชิงเนื้อหาที่ไม่ใช้บังคับตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ แต่…

  1. เป็นข้อยกเว้นเฉพาะ “กิจกรรมการประมวลผลข้อมูลส่วนบุคคล” ดังนั้น การประมวลผลที่ไม่เกี่ยวข้องกับกิจการสื่อมวลชน กฎหมายไม่ได้ยกเว้น เช่น การใช้ข้อมูลพนักงาน การทำระบบสมาชิก เป็นต้น
  2. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ของกิจการสื่อมวลชนจะต้องเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น
  3. ผู้ควบคุมข้อมูลส่วนบุคคลที่ได้รับการยกเว้นยังคงต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานด้วย

บทลงโทษของกฎหมาย PDPA

หากมีการกระทำผิดเกิดขึ้น ผู้ใช้บริการที่เป็นผู้เสียหายสามารถร้องเรียนและขอให้ชดใช้ค่าสินไหมทดแทนได้ หากพบว่ามีการใช้ข้อมูลส่วนบุคคลนอกเหนือจากวัตถุประสงค์ที่แจ้งไว้ หรือกรณีที่ข้อมูลรั่วไหล มีการเปิดเผย หรือถ่ายโอนข้อมูลเกิดขึ้น ผู้ที่ละเมิดสิทธิจะต้องได้รับบทลงโทษทั้งทางแพ่ง ทางอาญา และทางปกครอง ซึ่งอาจจะโดนบทลงโทษทั้ง 3 ประเภทนี้พร้อมกัน

  • โทษทางอาญา คือ จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • โทษทางแพ่ง คือ มีการกำหนดให้ชดใช้ค่าสินไหมทดแทนให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด “บวกกับ” ชดใช้ค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดอีกไม่เกิน 2 เท่าของค่าเสียหายจริง
  • โทษทางปกครองของ คือโทษปรับเป็นตัวเงิน ซึ่งมีตั้งแต่ 1 ล้านบาทไปจนถึง 5 ล้านบาท โดยกรณีที่จะโดนโทษปรับสูงสุด 5 ล้านบาท

ข้อมูลจาก Facebook : PDPC Thailand