PDPA (Personal Data Protection Act) หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่ออกมาเพื่อคุ้มครองสิทธิเกี่ยวกับข้อมูลส่วนบุคคลของเราไม่ให้ถูกนำไปใช้ เก็บ รวบรวม หรือเปิดเผยโดยไม่ได้รับความยินยอม หรือผิดวัตถุประสงค์

 

เพื่อให้เห็นภาพรวมและสามารถนำไปประยุกต์ใช้ได้ โดยเฉพาะในมุมมองของการบริหารจัดการองค์กรและการกำกับดูแลให้เป็นไปตามระเบียบข้อบังคับ 
จึงขอสรุปหัวใจสำคัญของ PDPA ออกเป็นส่วนต่างๆ ดังนี้

1. บุคคลที่มีบทบาทสำคัญใน PDPA

  • Data Subject (เจ้าของข้อมูลส่วนบุคคล): คือบุคคลธรรมดาที่ข้อมูลนั้นสามารถระบุตัวตนไปถึงได้ (เช่น ลูกค้า, พนักงาน, ประชาชน)
  • Data Controller (ผู้ควบคุมข้อมูลส่วนบุคคล): บุคคลหรือนิติบุคคลที่มีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล (เช่น บริษัท, หน่วยงานรัฐ) กลุ่มนี้คือผู้ที่ต้องรับผิดชอบหลักตามกฎหมาย
  • Data Processor (ผู้ประมวลผลข้อมูลส่วนบุคคล): บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับข้อมูลตามคำสั่งของผู้ควบคุมข้อมูล (เช่น ผู้ให้บริการ Cloud, บริษัท Outsource รับทำเงินเดือน)

2. ข้อมูลส่วนบุคคลคืออะไรบ้าง?

  • ข้อมูลทั่วไป: ชื่อ-นามสกุล, เบอร์โทรศัพท์, อีเมล, ที่อยู่, IP Address, ข้อมูลทางการเงิน
  • ข้อมูลอ่อนไหว (Sensitive Data): กฎหมายให้ความคุ้มครองเข้มงวดเป็นพิเศษ เช่น เชื้อชาติ, ศาสนา, ข้อมูลสุขภาพ, ความพิการ, ข้อมูลสหภาพแรงงาน, ข้อมูลพันธุกรรม, ข้อมูลชีวภาพ (สแกนลายนิ้วมือ/ใบหน้า)

3. หลักการสำคัญที่องค์กรต้องปฏิบัติตาม (Key Compliance)
ในมุมของการตรวจสอบและการวางระบบควบคุมภายใน องค์กรจะต้องมีกระบวนการที่ตอบโจทย์หลักการเหล่านี้:

  • Purpose Limitation: เก็บเฉพาะข้อมูลที่จำเป็น และต้องแจ้งวัตถุประสงค์ให้ชัดเจนก่อนเก็บ
  • Consent: หากไม่มีฐานทางกฎหมายอื่นรองรับ (เช่น ฐานสัญญา, ฐานประโยชน์ชอบด้วยกฎหมาย) ต้องขอ "ความยินยอม" จากเจ้าของข้อมูลอย่างชัดเจน และต้องให้ถอนความยินยอมได้ง่าย
  • Security: ต้องมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม ป้องกันข้อมูลรั่วไหล หากมีข้อมูลรั่วไหลต้องแจ้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง
  • ROPA (Record of Processing Activities): องค์กรต้องมีการจัดทำบันทึกรายการประมวลผลข้อมูล เพื่อให้สามารถตรวจสอบได้ว่าใครทำอะไรกับข้อมูลบ้าง เก็บไว้ที่ไหน และเก็บนานเท่าไร

4. สิทธิของเจ้าของข้อมูล (Data Subject Rights)
องค์กรต้องมีช่องทาง (เช่น แบบฟอร์มออนไลน์) ให้เจ้าของข้อมูลใช้สิทธิดังต่อไปนี้ได้:

  • สิทธิขอเข้าถึงและขอรับสำเนาข้อมูล
  • สิทธิขอแก้ไขข้อมูลให้ถูกต้อง
  • สิทธิขอให้ลบหรือทำลายข้อมูล (Right to be forgotten)
  • สิทธิระงับการใช้ข้อมูล
  • สิทธิขอคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
  • สิทธิขอถอนความยินยอม

5. บทลงโทษหากฝ่าฝืน
PDPA มีบทลงโทษที่ค่อนข้างรุนแรง ครอบคลุม 3 ด้าน ได้แก่:

  1. โทษทางแพ่ง: จ่ายค่าสินไหมทดแทนตามความเสียหายจริง และอาจบวกเพิ่มศาลสั่งลงโทษได้อีกสูงสุด 2 เท่า
  2. โทษทางอาญา: จำคุกสูงสุด 1 ปี หรือปรับสูงสุด 1 ล้านบาท หรือทั้งจำทั้งปรับ (กรรมการองค์กรอาจต้องรับผิดด้วย)
  3. โทษทางปกครอง: ปรับสูงสุด 5 ล้านบาท (ขึ้นอยู่กับความร้ายแรงและประเภทของข้อมูล)

 



พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

 

พรบ. คุ้มครองข้อมูลส่วนบุคคล 2562.PDF