กฎหมาย PDPA 10 ข้อต้องรู้ ก่อนบังคับใช้ 1 มิ.ย.นี้  

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ซึ่งย่อมาจากคำว่า Personal Data Protection Act B.E. 2562 (2019) ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 หลังจากที่ถูกเลื่อนออกมาให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ 

กฎหมายฉบับนี้ จะมีบทบาทสำคัญในการคุ้มครองและให้สิทธิกับเจ้าของข้อมูลส่วนบุคคลของเราเอง รวมถึงได้สร้างมาตรฐานใหม่ให้เกิดขึ้นกับบุคคลหรือนิติบุคคลในการเก็บข้อมูล รวบรวมข้อมูลส่วนบุคคล รวมถึงการใช้ข้อมูล หรือเพื่อการเปิดเผยข้อมูลส่วนบุคคล ที่จะต้องปฏิบัติตามกฎหมายฉบับนี้ หากผู้ใดหรือองค์กรใดไม่ปฏิบัติตามนั้น มีโทษทั้งทางแพ่ง โทษทางอาญา และโทษทางปกครอง

PDPA  ย่อมาจาก คำว่า Personal Data Protection Act B.E. 2562 (2019) กฎหมายว่าด้วยการให้สิทธิกับเจ้าของข้อมูลส่วนบุคคล การสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้อย่างถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต

อย่างไรก็ดี เนื่องจากเป็นกฎหมายใหม่ก่อนมีผลบังคับใช้ ชวนมาเปิดสาระสำคัญ 10 ข้อที่เราต้องรู้เกี่ยวกับกฎหมายฉบับใหม่นี้กัน ดังนี้ 

1. "ข้อมูลส่วนบุคคล" คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมแต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมเฉพาะ เช่น ชื่อ ที่อยู่ หมายเลขประจำตัว ข้อมูลสุขภาพ ฯลฯ (มาตรา 6) 

2. "ผู้ควบคุมข้อมูลส่วนบุคคล" ต้องเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเอาไว้ก่อหรือในขณะเก็บรวบรวม (ห้ามใช้นอกเหนือวัถตุประสงค์) (มาตรา 21 ) 

3. "ผู้ควบคุมข้อมูลส่วนบุคคล" ต้องเก็บรวบรวมข้อมูลส่วนบุคคลของเราเท่าที่จำเป็น ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย (มาตรา 22 ) ใช้ข้อมูลของเราให้น้อยที่สุด

4. ความยินยอม เป็นฐานการประมวลผลฐานหนึ่งเท่านั้น "ผู้ควบคุมข้อมูลส่วนบุคคล" มีหน้าที่ในการกำหนดฐานการประมวลผลให้สอดคล้องกับลักษณะการประมวลผลและความสัมพันธ์ระหว่าง "ผู้ควบคุมข้อมูล" กับ "เจ้าของข้อมูลส่วนบุคคล" (ตามมาตร 24 หรือ มาตรา 26) 

5.ในการขอความยินยอม "ผู้ควบคุมข้อมูลส่วนบุคคล" จะต้องคำนึงอย่างที่สุดในความเป็นอิสระของ "เจ้าของข้อมูลส่วนบุคคล" (ต้องไม่มีสภาพบังคับในการให้/ไม่ให้) (มาตรา 19 วรรคสี่) 

6. "เจ้าของข้อมูลส่วนบุคคล" มีสิทธิต่าง  ๆ ดังนี้ 

• สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้ (มาตรา 19 วรรคห้า)
• สิทธิได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice) (มาตรา 23)
• สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล (มาตรา 30) 
• สิทธิขอให้โอนข้อมูลส่วนบุคคล (มาตรา 31) 
• สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล (มาตรา 32) 
• สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (มาตรา 34)
• สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล (มาตรา 34) 
• สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล (มาตรา 35) 

7. กฎหมาย PDPA ให้กับการประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย ไม่ว่าจะมีสัญชาติใดก็ตาม (มาตรา 5) 

8.ในกรณีที่เหตุการละเมิด "ข้อมูลส่วนบุคคล" มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของ "เจ้าของข้อมูลส่วนบุคคล" กฎหมายกำหนดให้ "ผู้ควบคุมข้อมูลส่วนบุคคล" มีหน้าที่ แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า (มาตรา 37(4)) 

9."ผู้ควบคุมข้อมูลส่วนบุคคล" มีหน้าที่จัดทำบันทึกรายการกิจกรรม เพื่อให้สำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้

10. "เจ้าของข้อมูลส่วนบุคคล" มีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่มีการฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA หรือ ประกาศฯ ที่ออกตาม PDPA ทั้งนี้ กระบวนการร้องเรียนเป็นไปตามระเบียบที่คณะกรรมการฯ ประกาศกำหนด (มาตรา 73)