PDPA ( Personal Data Protection Act ) หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ของประเทศไทย กฎหมายฉบับนี้มีความสำคัญมากต่อทั้งบุคคลธรรมดาและองค์กรธุรกิจ
สรุปสาระสำคัญของกฎหมาย PDPA ( ไทย )
PDPA คือ กฎหมายที่ออกมาเพื่อคุ้มครอง “ข้อมูลส่วนบุคคล” ของพวกเราทุกคน ไม่ให้ถูกนำไปใช้ ประมวลผล หรือเปิดเผยโดยที่เราไม่ยินยอม หรือนำไปใช้ในทางที่ผิด
ข้อมูลส่วนบุคคลคืออะไร ?
แบ่งออกเป็น 2 ประเภทหลัก
- ข้อมูลส่วนบุคคลทั่วไป: ชื่อ-นามสกุล, ที่อยู่, เบอร์โทรศัพท์, อีเมล, เลขบัตรประชาชน, ทะเบียนรถ หรือแม้แต่ข้อมูลระบุตัวตนทางดิจิทัลอย่าง IP Address
- ข้อมูลส่วนบุคคลอ่อนไหว ( Sensitive Data ): ข้อมูลที่มีความเสี่ยงต่อการถูกเลือกปฏิบัติ เช่น เชื้อชาติ, ศาสนา, ความคิดเห็นทางการเมือง, ประวัติอาชญากรรม, ข้อมูลสุขภาพ, ข้อมูลพันธุกรรม และข้อมูลชีวภาพ ( ลายนิ้วมือ / ใบหน้า )
ตัวละครสำคัญใน PDPA
- เจ้าของข้อมูล ( Data Subject ): คือตัวเรา ผู้เป็นเจ้าของข้อมูล
- ผู้ควบคุมข้อมูล ( Data Controller ): คนหรือบริษัทที่มีอำนาจตัดสินใจว่า จะเอาข้อมูลไปทำอะไร ( เช่น ธนาคาร, ห้างสรรพสินค้า )
- ผู้ประมวลผลข้อมูล ( Data Processor ): คนที่ทำการจัดการข้อมูลตามคำสั่งของผู้ควบคุม ( เช่น บริษัท Cloud, บริษัทรับจ้างทำการตลาด )
สิทธิของพวกเรา ( เจ้าของข้อมูล )
ภายใต้กฎหมายนี้ เรามีสิทธิพื้นฐานที่เข้มแข็งขึ้น ดังนี้
- สิทธิในการได้รับแจ้ง ( Right to be Informed ): ต้องบอกเราว่าจะเอาข้อมูลไปทำอะไร
- สิทธิในการขอเข้าถึง ( Right of Access ): ขอสำเนาข้อมูลที่เขาเก็บไว้ได้
- สิทธิในการคัดค้าน ( Right to Object ): ไม่ให้เอาข้อมูลไปใช้ทำการตลาดหรือวิจัย
- สิทธิในการขอให้ลบ ( Right to Erasure ): ขอให้ลบข้อมูลเมื่อหมดความจำเป็น
- สิทธิในการถอนความยินยอม ( Right to Withdraw Consent ): เคยยอมให้ใช้ แต่วันนี้ไม่อยากให้ใช้แล้ว ก็ถอนคืนได้ตลอดเวลา
บทลงโทษเมื่อฝ่าฝืน
กฎหมาย PDPA มีบทลงโทษที่ค่อนข้างแรงเพื่อกระตุ้นให้องค์กรตื่นตัว
- โทษทางแพ่ง: จ่ายค่าสินไหมทดแทนตามจริง และอาจต้องจ่ายเพิ่มสูงสุด 2 เท่าของค่าเสียหายจริง
- โทษทางอาญา: จำคุกสูงสุด 1 ปี และ / หรือ ปรับสูงสุด 1 ล้านบาท
- โทษทางปกครอง: ปรับสูงสุดไม่เกิน 5 ล้านบาท
ทำไมเราถึงต้องมีกฎหมายนี้ ?
ในยุคดิจิทัล “ข้อมูล” มีมูลค่าเหมือนน้ำมัน หากไม่มีกฎหมายคุ้มครอง เราอาจถูกนำข้อมูลไปขายต่อ ถูกแก๊งคอลเซ็นเตอร์หลอกลวง หรือถูกนำความเป็นส่วนตัวไปใช้หาประโยชน์โดยไม่รู้ตัว PDPA จึงเป็นเสมือน “เกราะป้องกัน” เพื่อสร้างมาตรฐานความปลอดภัยของข้อมูลในประเทศไทยให้เท่าเทียมกับสากลครับ
แหล่งอ้างอิงหลัก ( Primary Sources )
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ( PDPA )
- ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562
- มีผลบังคับใช้เต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565
- สาระสำคัญ: กำหนดหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล และสิทธิของเจ้าของข้อมูล
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ( สคส. ) หรือ PDPC ( Personal Data Protection Commission )
- เป็นหน่วยงานของรัฐที่จัดตั้งขึ้นตาม พ.ร.บ. ฉบับนี้ เพื่อกำกับดูแลและออกหลักเกณฑ์การปฏิบัติตามกฎหมายในประเทศไทย
- เว็บไซต์: www.pdpc.or.th
มาตราที่สำคัญในกฎหมาย
- นิยามข้อมูลส่วนบุคคล: มาตรา 6
- สิทธิของเจ้าของข้อมูลส่วนบุคคล: มาตรา 30 ถึง มาตรา 36 ( เช่น สิทธิในการขอเข้าถึง, สิทธิในการขอให้ลบ, สิทธิในการคัดค้าน )
- หลักการขอความยินยอม ( Consent ): มาตรา 19
- หน้าที่ของผู้ควบคุมข้อมูล: มาตรา 37 ( เช่น การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม )
- บทกำหนดโทษ
- โทษทางแพ่ง: มาตรา 77-78
- โทษทางอาญา: มาตรา 79-81
- โทษทางปกครอง: มาตรา 82-90
ความเชื่อมโยงกับมาตรฐานสากล
กฎหมาย PDPA ของไทยได้ถอดแบบแนวคิดและมาตรฐานมาจาก GDPR ( General Data Protection Regulation ) ของสหภาพยุโรป ซึ่งเป็นมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการยอมรับมากที่สุดในโลกในปัจจุบันครับ
อ่านเพิ่มเติม