FAQ for PDPA | ALPHASEC

PDPA คืออะไร

PDPA (Personal Data Protection Act, B.E. 2562 (2019)) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษาไปเมื่อ 27 พฤษภาคม 2562 และมีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 แล้วในบางส่วน โดยวันที่ 27 พฤษภาคม 2563 เป็นวันที่ พ.ร.บ.นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ

ข้อมูลส่วนบุคคลคืออะไร

คือข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม โดยข้อมูลของผู้ถึงแก่กรรม และข้อมูลนิติบุคคล ไม่ถือเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ.นี้

ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ - นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน นอกจากนี้ยังรวมถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ด้วย เช่น ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น

สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้แก่อะไรบ้าง

สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)
สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure (also known as right to be forgotten)
สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)

บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลมีใครบ้าง

เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลระบุไปถึง
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

การเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล สามารถทำได้ในกรณีใดบ้าง

ได้รับความยินยอมจากเจ้าของข้อมูส่วนบุคคล
จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ การศึกษาวิจัยหรือการจัดทำสถิติ
ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
จำเป็นเพื่อปฏิบัติกฎหมาย หรือสัญญา
จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น
จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ

การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (Cross-border Personal Data Transfer) คืออะไร

ประเทศปลายทางหรือองค์การระหว่างประเทศ ที่รับข้อมูลส่วนบุคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ เว้นแต่จะได้รับความยินยอมจากเจ้าของข้อมูล หรือเป็นการปฏิบัติตามกฎหมาย/สัญญา หรือเพื่อประโยชน์สาธารณะเป็นสำคัญเท่านั้น

บทลงโทษหากไม่ปฏิบัติตาม PDPA มีอะไรบ้าง

เพื่อให้ข้อมูลส่วนบุคคลถูกนำไปใช้ในทางที่เหมาะสมและเป็นประโยชน์มากกว่าโทษ การให้ข้อมูลแต่ละครั้งจึงต้องพิจารณาอย่างรอบคอบก่อนให้ข้อมูล เช่นการให้ข้อมูลเพื่อจัดส่งสินค้า หากมีการขอข้อมูลที่ไม่เกี่ยวกับการจัดส่ง เจ้าของข้อมูลก็มีสิทธิปฏิเสธการให้ข้อมูลนั้น และในส่วนของผู้เก็บข้อมูล ก็ต้องรู้ขอบเขตในการเข้าถึงข้อมูลส่วนบุคคล มีระบบในการควบคุม/ยืนยันตัวตนในการเข้าถึงข้อมูล และจำเป็นต้องมีการกำหนดนโยบายองค์กรเพื่อให้บุคคลที่เกี่ยวข้องปฏิบัติตาม เพราะหากไม่ทำตามอาจได้รับโทษดังนี้

ความรับผิดทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง
โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท

รูปแบบการให้บริการระหว่างธุรกิจและธุรกิจ โดยไม่มีการขายสินค้าหรือบริการให้กับบุคคลทั่วไป ต้องปฏิบัติตาม (PDPA) หรือไม่

ต้องปฏิบติตาม PDPA เพราะถือว่าเป็นธุรกิจหรือบริษัทนั้นๆ เป็นผู้ควบคุมข้อมูลหรือ Data Controller ที่มีการเก็บรวมรวมข้อมูลส่วนบุคคลของลูกจ้าง และนอกจากนั้นในการทำธุรกิจ B2B ก็จะมีการเก็บรวมรวม ข้อมูลที่ใช้ในการติดต่อ กับพนักงานของธุรกิจหรือพนักงานของบริษัทคู่ค้าที่สามารถระบุตัวบุคคลนั้นๆ ได้ ซึ่งล้วนเป็นข้อมูลส่วนบุคคล (Personal Data)
ยกเว้นข้อมูลการติดต่อนั้น เป็นข้อมูลของคู่ค้าที่เป็นของนิติบุคคลโดยแท้และที่ไม่สามารถระบุตัวบุคคลได้ เช่น อีเมล Customerservice@xyzabc.com หรือเบอร์โทรศัพท์ส่วนกลางของบริษัท เป็นต้น

ข้อมูลเงินเดือนพนักงานและผู้บริหารเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ตาม PDPA หรือไม่

ข้อมูลดังกล่าวแม้จะเป็นข้อมูลส่วนบุคคลเกี่ยวกับการเงินที่มีความสำคัญ แต่เป็นเพียง Personal Data จึงไม่ใช่ Sensitive Personal Data ตามที่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด

ชื่อ ที่อยู่และข้อมูลทางการค้าหรือการเงินของบริษัท เป็นข้อมูลส่วนบุคคลหรือไม่

ไม่ เพราะไม่ใช่ข้อมูลของบุคคลธรรมดา จึงไม่ได้รับความคุ้มครองตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
แต่อาจได้รับความคุ้มครองตามกฏหมายอื่น เช่น กฏหมายละเมิดหรือความลับทางการค้า

การประมวลผลข้อมูลลูกค้าเพื่อการปรับปรุงการให้บริการ อ้างฐานสัญญา โดยไม่ขอความยินยอมได้หรือไม่

บริษัทผู้ขายสินค้าหรือให้บริการเฝ้าดูพฤติกรรมและประมวลผลข้อมูลการใช้บริการหรือความสนใจของลูกค้า on-line เพื่อการปรับปรุงการให้บริการ โดยอ้างความจำเป็นในการปฎิบัติตามสัญญา โดยไม่ขอความยินยอม ได้หรือไม่

คำตอบคือ ไม่ได้ เพราะการปรับปรุงการให้บริการ ไม่ใช่การจำเป็นในการปฏิบัติตามสัญญา ดังนั้นควรพิจารณาฐานอื่น เช่น ความยินยอม(Consent) หรือการประเมินฐานประโยชน์โดยชอบด้วยกฏหมาย (Legitimate Interest)

ผู้ใช้อำนาจปกครองของผู้เยาว์ให้ไว้หรือให้ความยินยอม ต่อมาผู้เยาว์บรรลุนิติภาวะ ความยินยอมยังมีผลสมบูรณ์หรือไม่

ความยินยอมที่ให้ไว้ ยังมีผลสมบูรณ์จนกว่าจะมีการถอนความยินยอมหรือหมดความจำเป็นที่จะเก็บรวบรวม ใช้หรือเปิดเผยตามวัตถุประสงค์

นามบัตรเป็นข้อมูลส่วนบุคคลหรือไม่

นามบัตรจะมีข้อมูลบุคคลธรรมดา เช่น ชื่อ-นามสกุล ที่อยู่ อีเมล เบอร์โทรศัพท์

ข้อมูลในนามบัตรเป็นข้อมูลเกี่ยวกับบุคคลที่ทำให้สามารถระบุตัวเจ้าของนามบัตรได้

ดังนั้น ข้อมูลในนามบัตร จึงเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act : PDPA) ดังนั้นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลดังกล่าว จะต้องปฏิบัติตาม PDPA

บริษัทขอใบรับรองแพทย์เพื่อพิจารณาอนุมัติการลาให้กับพนักงาน จำเป็นต้องขอความยินยอมโดยชัดแจ้งจากพนักงานก่อนหรือไม่

คำถามเกี่ยวกับ PDPA

AUDIT ASSURANCE AND CONSULTING

หน้าหลัก

คำถามเกี่ยวกับ PDPA