PDPA คืออะไร ? สรุปแบบเข้าใจง่าย ๆ ที่ควรรู้ก่อนบังคับใช้ 1 มิ.ย.65

13 เมษายน 2565

1 มิ.ย.ไทย จะประกาศใช้กฎหมาย PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ชวนมาทำความรู้จัก คืออะไร ? แบบเข้าใจง่าย ๆ

PDPA ย่อมาจาก Personal Data Protection Act B.E. 2562 (2019) คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต

โดยกฎหมาย PDPA Thailand (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ได้ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และปัจจุบันได้ถูกเลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565

ถือว่าเป็นกฎหมายที่ทุกคนควรทราบและตระหนักรู้ถึงสิทธิในข้อมูลส่วนบุคคลของเรา โดยเฉพาะอย่างยิ่งองค์กรธุรกิจต่าง ๆ ที่มีการเก็บข้อมูลส่วนบุคคล ของลูกค้า ผู้ใช้งาน หรือพนักงานในองค์กร

 

ข้อมูลส่วนบุคคลภายใต้การคุ้มครองของ PDPA มีอะไรบ้าง?

ส่วนบุคคลทั่วไป

  • ชื่อ-นามสกุล
  • เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน
  • เลขบัตรประชาชน
  • เลขหนังสือเดินทาง
  • เลขใบอนุญาตขับขี่
  • ข้อมูลทางการศึกษา
  • ข้อมูลทางการเงิน
  • ข้อมูลทางการแพทย์
  • ทะเบียนรถยนต์
  • โฉนดที่ดิน
  • ทะเบียนบ้าน
  • วันเดือนปีเกิด
  • สัญชาติ
  • น้ำหนักส่วนสูง
  • ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password,  Cookies IP address,  GPS Location

  

นอกจากนี้ยังต้องระวังการใช้ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่อาจส่งผลกระทบต่อเจ้าของข้อมูล 

 

ข้อมูลส่วนบุคคลที่มีความอ่อนไหว 

  • เชื้อชาติ เผ่าพันธุ์
  • ความคิดเห็นทางการเมือง
  • ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
  • พฤติกรรมทางเพศ
  • ประวัติอาชญากรรม
  • ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
  • ข้อมูลสหภาพแรงงาน
  • ข้อมูลพันธุกรรม
  • ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

 

ใครเป็นใครภายใต้ PDPA

  • เจ้าของข้อมูลส่วนบุคคล (Data Subject)
  • ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือคน บริษัทหรือองค์กรต่าง ๆ  ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร  ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน 
  • ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ คน บริษัทหรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง 

 

โทษหากไม่ปฎิบัติตาม PDPA

  • โทษอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • โทษแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า
  • โทษปกครอง: ปรับไม่เกิน 1/3/5 ล้านบาท