PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ของประเทศไทย กฎหมายฉบับนี้มีความสำคัญมากต่อทั้งบุคคลธรรมดาและองค์กรธุรกิจ
สรุปสาระสำคัญของกฎหมาย PDPA
PDPA คือ กฎหมายที่ออกมาเพื่อคุ้มครอง “ข้อมูลส่วนบุคคล” ของพวกเราทุกคน ไม่ให้ถูกนำไปใช้ ประมวลผล หรือเปิดเผยโดยที่เราไม่ยินยอม หรือนำไปใช้ในทางที่ผิด
ข้อมูลส่วนบุคคลคืออะไร ?
แบ่งออกเป็น 2 ประเภทหลัก
- ข้อมูลส่วนบุคคลทั่วไป: ชื่อ-นามสกุล, ที่อยู่, เบอร์โทรศัพท์, อีเมล, เลขบัตรประชาชน, ทะเบียนรถ หรือแม้แต่ข้อมูลระบุตัวตนทางดิจิทัลอย่าง IP Address
- ข้อมูลส่วนบุคคลอ่อนไหว : ข้อมูลที่มีความเสี่ยงต่อการถูกเลือกปฏิบัติ เช่น เชื้อชาติ, ศาสนา, ความคิดเห็นทางการเมือง, ประวัติอาชญากรรม, ข้อมูลสุขภาพ, ข้อมูลพันธุกรรม และข้อมูลชีวภาพ
ตัวละครสำคัญใน PDPA
- เจ้าของข้อมูล : คือตัวเรา ผู้เป็นเจ้าของข้อมูล
- ผู้ควบคุมข้อมูล : คนหรือบริษัทที่มีอำนาจตัดสินใจว่า จะเอาข้อมูลไปทำอะไร
- ผู้ประมวลผลข้อมูล : คนที่ทำการจัดการข้อมูลตามคำสั่งของผู้ควบคุม
สิทธิของพวกเรา
ภายใต้กฎหมายนี้ เรามีสิทธิพื้นฐานที่เข้มแข็งขึ้น ดังนี้
- สิทธิในการได้รับแจ้ง : ต้องบอกเราว่าจะเอาข้อมูลไปทำอะไร
- สิทธิในการขอเข้าถึง : ขอสำเนาข้อมูลที่เขาเก็บไว้ได้
- สิทธิในการคัดค้าน : ไม่ให้เอาข้อมูลไปใช้ทำการตลาดหรือวิจัย
- สิทธิในการขอให้ลบ : ขอให้ลบข้อมูลเมื่อหมดความจำเป็น
- สิทธิในการถอนความยินยอม : เคยยอมให้ใช้ แต่วันนี้ไม่อยากให้ใช้แล้ว ก็ถอนคืนได้ตลอดเวลา
บทลงโทษเมื่อฝ่าฝืน
กฎหมาย PDPA มีบทลงโทษที่ค่อนข้างแรงเพื่อกระตุ้นให้องค์กรตื่นตัว
- โทษทางแพ่ง: จ่ายค่าสินไหมทดแทนตามจริง และอาจต้องจ่ายเพิ่มสูงสุด 2 เท่าของค่าเสียหายจริง
- โทษทางอาญา: จำคุกสูงสุด 1 ปี และ / หรือ ปรับสูงสุด 1 ล้านบาท
- โทษทางปกครอง: ปรับสูงสุดไม่เกิน 5 ล้านบาท
ทำไมเราถึงต้องมีกฎหมายนี้ ?
ในยุคดิจิทัล “ข้อมูล” มีมูลค่าเหมือนน้ำมัน หากไม่มีกฎหมายคุ้มครอง เราอาจถูกนำข้อมูลไปขายต่อ ถูกแก๊งคอลเซ็นเตอร์หลอกลวง หรือถูกนำความเป็นส่วนตัวไปใช้หาประโยชน์โดยไม่รู้ตัว PDPA จึงเป็นเสมือน “เกราะป้องกัน” เพื่อสร้างมาตรฐานความปลอดภัยของข้อมูลในประเทศไทยให้เท่าเทียมกับสากลครับ
แหล่งอ้างอิงหลัก
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
- ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562
- มีผลบังคับใช้เต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565
- สาระสำคัญ: กำหนดหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล และสิทธิของเจ้าของข้อมูล
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ PDPC
- เป็นหน่วยงานของรัฐที่จัดตั้งขึ้นตาม พ.ร.บ. ฉบับนี้ เพื่อกำกับดูแลและออกหลักเกณฑ์การปฏิบัติตามกฎหมายในประเทศไทย
- เว็บไซต์: www.pdpc.or.th
มาตราที่สำคัญในกฎหมาย
- นิยามข้อมูลส่วนบุคคล: มาตรา 6
- สิทธิของเจ้าของข้อมูลส่วนบุคคล: มาตรา 30 ถึง มาตรา 36
- หลักการขอความยินยอม : มาตรา 19
- หน้าที่ของผู้ควบคุมข้อมูล: มาตรา 37
- บทกำหนดโทษ
- โทษทางแพ่ง: มาตรา 77-78
- โทษทางอาญา: มาตรา 79-81
- โทษทางปกครอง: มาตรา 82-90
ความเชื่อมโยงกับมาตรฐานสากล
กฎหมาย PDPA ของไทยได้ถอดแบบแนวคิดและมาตรฐานมาจาก GDPR ของสหภาพยุโรป ซึ่งเป็นมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการยอมรับมากที่สุดในโลกในปัจจุบันครับ
อ่านเพิ่มเติม