PDPA คืออะไร?
PDPA ย่อมาจาก Personal Data Protection Act หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลบังคับใช้ตั้งแต่วันที่ 1 มิถุนายน 2565 กฎหมายฉบับนี้ถูกสร้างขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนไทย ป้องกันการละเมิดความเป็นส่วนตัว และสร้างความมั่นใจในการใช้บริการออนไลน์ต่าง ๆ
ทำไมถึงมี PDPA?
ในยุคดิจิทัล เทคโนโลยีพัฒนาไปรวดเร็ว ช่องทางสื่อสารมีหลากหลาย ข้อมูลส่วนบุคคลของเราจึงถูกเก็บรวบรวม ใช้งาน และเปิดเผยได้ง่ายขึ้น กฎหมาย PDPA จึงถือกำเนิดขึ้นเพื่อกำหนดหลักเกณฑ์ วิธีการ และมาตรการในการคุ้มครองข้อมูลส่วนบุคคล
ข้อมูลอะไรบ้างที่ PDPA คุ้มครอง?
PDPA คุ้มครอง ข้อมูลส่วนบุคคล ซึ่งหมายถึง ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม
ตัวอย่างข้อมูลส่วนบุคคล เช่น:
ชื่อ-นามสกุล
เลขประจำตัวประชาชน
ที่อยู่
เบอร์โทรศัพท์
วันเดือนปีเกิด
อีเมล
การศึกษา
เพศ
อาชีพ
รูปถ่าย
ข้อมูลทางการเงิน
ข้อมูลทางการแพทย์หรือสุขภาพ
ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์
เชื้อชาติ
ความคิดเห็นทางการเมือง
ความเชื่อทางศาสนาหรือปรัชญา
พฤติกรรมทางเพศ
ประวัติอาชญากรรม
ข้อมูลสหภาพแรงงาน
สิทธิของเจ้าของข้อมูลส่วนบุคคล
ภายใต้ PDPA เจ้าของข้อมูลส่วนบุคคลมีสิทธิ์ดังนี้:
สิทธิได้รับการแจ้งให้ทราบ: ทราบว่าข้อมูลส่วนบุคคลของตนถูกเก็บรวบรวม ใช้ หรือเปิดเผยอย่างไร
สิทธิขอเข้าถึงข้อมูลส่วนบุคคล: ขอเข้าถึงข้อมูลส่วนบุคคลของตน
สิทธิในการขอให้โอนข้อมูลส่วนบุคคล: ขอให้โอนข้อมูลส่วนบุคคลของตนไปยังผู้อื่น
สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล: คัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตน
สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล: ขอให้ลบหรือทำลายข้อมูลส่วนบุคคลของตน หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล
สิทธิขอให้ระงับการใช้ข้อมูล: ขอให้ระงับการใช้ข้อมูลส่วนบุคคลของตน
สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล: ขอให้แก้ไขข้อมูลส่วนบุคคลของตนให้ถูกต้อง
บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคล: บุคคลที่ข้อมูลส่วนบุคคลระบุไปถึง
ผู้ควบคุมข้อมูลส่วนบุคคล: บุคคลหรือนิติบุคคลที่ "ตัดสินใจ" เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล: บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล "ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล"
เมื่อไหร่จึงสามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้?
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ต้องได้รับความยินยอม จากเจ้าของข้อมูลส่วนบุคคล
อย่างไรก็ตาม ยังมีกรณีที่สามารถทำได้โดยไม่ต้องขอความยินยอม ดังนี้
เพื่อปฏิบัติตามกฎหมาย: เช่น การเปิดเผยข้อมูลส่วนบุคคลให้กับเจ้าหน้าที่ตำรวจเพื่อดำเนินคดีอาญา
เพื่อป้องกันอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล: เช่น การเปิดเผยข้อมูลส่วนบุคคลของผู้ป่วยฉุกเฉินให้กับโรงพยาบาล
เพื่อประโยชน์สาธารณะ: เช่น การเปิดเผยข้อมูลส่วนบุคคลของผู้กระทำผิดเพื่อป้องกันไม่ให้บุคคลอื่นตกเป็นเหยื่อ
การส่งข้อมูลส่วนบุคคลไปต่างประเทศ
การส่งข้อมูลส่วนบุคคลไปต่างประเทศนั้น ต้องได้รับความยินยอม จากเจ้าของข้อมูลส่วนบุคคล
อย่างไรก็ตาม ยังมีกรณีที่สามารถส่งข้อมูลไปต่างประเทศโดยไม่ต้องขอความยินยอม ดังนี้
ประเทศปลายทางมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
จำเป็นเพื่อปฏิบัติตามกฎหมายหรือสัญญา
จำเป็นเพื่อประโยชน์สาธารณะ
บทลงโทษหากไม่ปฏิบัติตาม PDPA
ผู้ที่ไม่ปฏิบัติตามกฎหมาย PDPA จะต้อง รับโทษ ดังนี้
ทางแพ่ง: ชดใช้ค่าเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง
ทางอาญา: จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
ทางปกครอง: ปรับสูงสุดไม่เกิน 5 ล้านบาท
สรุป
PDPA เป็นกฎหมายที่สำคัญที่ช่วยคุ้มครองข้อมูลส่วนบุคคลของประชาชนไทย
องค์กรและบุคคลทั่วไป ควรศึกษาและทำความเข้าใจกฎหมาย PDPA เพื่อปฏิบัติตามอย่างถูกต้อง
ประชาชน ควรระมัดระวังในการให้ข้อมูลส่วนบุคคล และทราบสิทธิ์ของตนเองตามกฎหมาย PDPA
แหล่งข้อมูล:
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล: https://www.mdes.go.th/mission/82
กฎหมายคุ้มครองข้อมูลส่วนบุคคล: https://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF
📱 โทร: 093-789-4544
💬 Inbox: m.me/AlphaSecTH
📧 อีเมล: contact@alphasec.co.th
🔗 เว็บไซต์: https://www.alphasec.co.th
📲 ไลน์: https://line.me/ti/p/%40347dhwii