โลกอินเทอร์เน็ตบ้านเราช่วงนี้ พูดถึงแต่ “PDPA” หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่เริ่มบังคับใช้เต็มรูปแบบวันนี้ รวมถึงเรื่องการละเมิดข้อมูลส่วนบุคคล อย่างเช่นข่าวลือที่ว่า ถ้าถ่ายรูป ติดบุคคลอื่นแล้วโพสต์ลงโซเชียล อาจโดนปรับเป็นล้าน!? จนมีพลเมืองดีที่จังหวัดระยอง เจอโจรอยู่ตรงหน้า แต่ไม่กล้าถ่ายภาพ เพราะกลัวผิด PDPA!
เพื่อไขข้อข้องใจและคลายความกังวลที่เกิดขึ้น Spotlight ได้รวบรวมข้อมูลเกี่ยวกับกฎหมายดังกล่าว เพื่อให้ทุกคนเป็น “ประชาชนชาวโซเชียล” คุณภาพดี ที่สามารถปกป้องสิทธิเกี่ยวกับข้อมูลส่วนตัวของตนเองได้ และไม่เผลอไผลไปล่วงละเมิดข้อมูลส่วนตัวของผู้อื่น
PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คืออะไร?
Personal Data Protection Act (PDPA) หมายถึง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คือ กฎหมายว่าด้วยการ “ให้สิทธิ” กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำข้อมูลไปใช้ให้ถูกวัตถุประสงค์ ตามคำยินยอมที่เจ้าของ
โดยกฎหมายฉบับนี้ได้ประกาศในราชกิจจานุเบกษาในปีพ.ศ. 2562 และบังคับใช้หมวดที่ 1, 4 และบทเฉพาะกาลที่เกี่ยวข้องการการจัดตั้งคณะกรรมการและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเรียบร้อยแล้ว แต่หมวดที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล การร้องเรียน และการลงโทษอื่นๆ ถูกเลื่อนการบังคับใช้เป็นระยะเวลากว่า 2 ปี มาเป็นวันที่ 1 มิถุนายนนี้
นับเป็นจังหวะที่ดีเนื่องจากคนไทยเริ่มเห็น และเข้าใจความสำคัญของข้อมูลส่วนตัวมากขึ้นแล้ว โดยเฉพาะจากกรณีแก๊งคอลเซนเตอร์และมิจฉาชีพ ที่ได้ข้อมูลของเราไปอย่างน่าสงสัย ทำให้คนไทยหันมาระมัดระวังการเผยแพร่ข้อมูลส่วนตัวของตนเองมากขึ้น
PDPA มีกี่มาตรา
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีทั้งหมด 7 หมวด 96 มาตรา
ส่วนที่เกี่ยวข้องกับคณะกรรมการและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
หมวด 1 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
หมวด 4 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
บทเฉพาะกาลที่เกี่ยวข้อง
ส่วนที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล
หมวด 3 สิทธิของเจ้าของข้อมูลส่วนบุคคล
หมวด 5 การร้องเรียน
หมวด 6 ความรับผิดทางแพ่ง
หมวด 7 บทกาหนดโทษ (โทษอาญา-ปกครอง)
ใน PDPA ข้อมูลส่วนบุคคล หมายถึง อะไรบ้าง
“ข้อมูลส่วนบุคคล” ตามกฎหมาย PDPA หมายถึง ข้อมูลที่เกี่ยวกับบุคคล ที่ทำให้สามารถระบุตัวบุคคลได้ ทั้งทางตรงและทางอ้อม เช่น
- เลขประจำตัวประชาชน ชื่อ-นามสกุล
- ที่อยู่
- เบอร์โทรศัพท์
- อีเมล
- ข้อมูลทางการเงิน
- เชื้อชาติ
- ศาสนาหรือปรัชญา
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลสุขภาพ
ทั้งนี้ ข้อมูลคนตาย ข้อมูลนิติบุคคล ไม่เป็นข้อมูลส่วนบุคคลตามกฎหมายนี้
PDPA มีใครเกี่ยวข้องบ้าง
เจ้าของข้อมูลส่วนบุคคล (Data Subject)
ตามกฎหมายไม่ได้ให้คำนิยามไว้ แต่โดยหลักการทั่วไปแล้วหมายถึงบุคคลที่ข้อมูลนั้นระบุไปถึง
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น หน่วยงานของรัฐ หรือเอกชนโดยทั่วไป ที่เก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของประชาชนหรือลูกค้าที่มาใช้บริการ
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล เช่น บริการ cloud service เป็นต้น
4 เรื่องเข้าใจผิดเกี่ยวกับ PDPA
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ยกตัวอย่าง 4 กรณีที่ประชาชนมักเข้าใจผิดคิดว่าผิดกฎ PDPA พร้อมเหตุผลอธิบาย ดังนี้
- การถ่ายรูป-ถ่ายคลิป ติดภาพคนอื่นโดยเจ้าตัวไม่ยินยอมจะผิด PDPA?
กรณีการถ่ายรูป-ถ่ายคลิปโดยติดบุคคลอื่นโดยผู้ถ่ายรูป-ถ่ายคลิปไม่เจตนา และการถ่ายรูปถ่ายคลิปดังกล่าวไม่ได้ก่อให้เกิดความเสียหายกับผู้ถูกถ่าย สามารถทำได้ หากเป็นการใช้เพื่อวัตถุประสงค์ส่วนตัว
- ถ้านำคลิปหรือรูปถ่ายที่ติดคนอื่นไปโพสต์ในโซเชียลมีเดียโดยบุคคลอื่นไม่ยินยอมจะผิด PDPA?
สามารถโพสต์ได้ หากใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้แสวงหากำไรทางการค้าและไม่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล
- ติดกล้องวงจรปิดแล้วไม่มีป้ายแจ้งเตือนผิด PDPA?
การติดกล้องวงจรปิด ภายในบ้าน ไม่จำเป็นต้องมีป้ายแจ้งเตือน หากเพื่อป้องกันอาชญากรรม และรักษาความปลอดภัยกับตัวเจ้าของบ้าน
- เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้?
ไม่จำเป็น ต้องขอความยินยอม หากการใช้ข้อมูลดังกล่าว
(1) เป็นการทำตามสัญญา
(2) เป็นการใช้ที่มีกฎหมายให้อำนาจ
(3) เป็นการใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล
(4) เป็นการใช้เพื่อการค้นคว้าวิจัยทางสถิติ
(5) เป็นการใช้เพื่อประโยชน์สาธารณะ
(6) เป็นการใช้เพื่อปกป้องผลประโยชน์ หรือสิทธิของตนเอง
ทั้งนี้ หลักการข้างต้น อาจเปลี่ยนแปลงตามข้อเท็จจริงที่เกิดขึ้นเป็นกรณีๆไป
โทษและความผิดตาม PDPA
หากฝ่าฝืนหรือละเลยต่อการปฏิบัติตาม PDPA แล้ว จะต้องระวังโทษทางแพ่ง ทางปกครอง และทางอาญา ดังนี้
ความรับผิดทางแพ่ง
- ผู้กระทำละเมิดข้อมูลส่วนบุคคลต้องชดใช้ค่าสินไหมทดแทนให้กับเจ้าของข้อมูลส่วนบุคคล ไม่ว่าการดำเนินการนั้นจะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อหรือไม่ก็ตาม
- ศาลมีอานาจสั่งให้ชดใช้ค่าสินไหมทดแทนเพิ่มเติมได้สองเท่าของค่าสินไหมทดแทนที่แท้จริง
โทษทางอาญา
- กำหนดบทลงโทษทางอาญาไว้สำหรับความผิดร้ายแรง เช่น การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนโดยมิชอบ ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นแล้วนำไปเปิดเผยแก่ผู้อื่นโดยมิชอบ
- ระวางโทษสูงสุดจำคุกไม่เกิน 1 ปีหรือปรับไม่เกิน 1,000,000 บาทหรือทั้งจำทั้งปรับ
- ในกรณีที่ผู้กระทาความผิดเป็นนิติบุคคล กรรมการหรือผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้นอาจต้องร่วมรับผิดในความผิดอาญาที่เกิดขึ้น
โทษทางปกครอง
- กำหนดโทษปรับทางปกครองสำหรับการกระทำความผิดที่เป็นการฝ่าฝืนหรือไม่ปฏิบัติตามที่กฎหมายกำหนด เช่น ไม่แจ้งวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ ขอความยินยอมโดยหลอกลวงเจ้าของข้อมูลส่วนบุคคล ไม่แต่งตั้ง DPO เป็นต้น
- โทษปรับทางปกครองสูงสุด 5,000,000 บาท
คู่มือ PDPA ฉบับการ์ตูนขายหัวเราะ
สำหรับบุคคลหรือองค์กรใดที่ยังรู้สึกว่า PDPA เป็นเรื่องที่ซับซ้อน เข้าใจยาก “EasyPDA” บริษัทที่ปรึกษาด้าน Legal Tech และ PDPA ของไทยได้จบมือกับ “ขายหัวเราะสตูดิโอ” รังสรรค์หนังสือ
“PDPA ฉบับเข้าใจง่าย สไตล์ EasyPDPA” ในรูปแบบการ์ตูนสี่สี ที่เล่าทุกแง่มุมสำคัญที่เจ้าของข้อมูลส่วนบุคคล และองค์กรผู้ใช้ข้อมูลส่วนบุคคลควรรู้ มีเครื่องมือและเอกสารเตรียมความพร้อมด้าน PDPA รวมถึง Use-case กว่า 15 สถานการณ์
สามารถสั่งซื้อได้แล้วทางเว็บไซต์ของ EasyPDPA ที่นี่
ประเด็นของ PAPA ยังมีรายละเอียดอีกมาก แต่การเอาผิดตามกฏหมายฉบับนี้ จะดูที่เจตนาของผู้ที่เอาข้อมูลของเราไปใช้ต่อ หากว่าต้องการหาประโยชน์ หรือ ทำให้เสียหาย เราในฐานะเจ้าของข้อมูลก็มีสิทธิเอาผิดตามกฏหมายฉบับนี้ได้
แต่ที่สำคัญกว่านั้น คือการปรับตัวของภาคธุริจ เพราะนอกจากจะต้องดูแลข้อมูลของพนักงานในองค์กรแล้ว หลายธุรกิจยังมีความเกี่ยวข้องกับข้อมูลของลูกค้าจำนวนมาก เราจึงได้เห็นความเคลื่อนไหวของบรรดาภาคธุรกิจ เช่นค่ายโทรศัพท์มือถือ ที่ต้องเก็บข้อมูลสำคัญของลูกค้าไว้ ต่างออกมาประกาศความพร้อมในการดูแลข้อมูลให้เป็นไปตามกฏหมายฉบับนี้ และโดยเฉพาะธุรกิจที่เกี่ยวกับแพลตฟอร์มออนไลน์
ดังนั้นผู้ประกอบการจึงจำเป็นต้องเตรียมความพร้อม ปรับระบบในการรักษาข้อมูลของผู้ที่เกี่ยวข้องให้มากขึ้น
ที่มา
ข่าวที่เกี่ยวข้อง
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 4 เรื่องไม่จริง และ 10 เรื่องที่ต้องรู้