ทำความเข้าใจข้อบังคับ PDPA กฎหมายที่ผู้ประกอบการควรรู้และปฏิบัติตามในยุคปัจจุบัน

กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA (Personal Data Protection Act) ได้มีผลบังคับใช้อย่างเต็มรูปแบบแล้วตั้งแต่วันที่ 1 มิถุนายน 2565 ทุกองค์กรจึงจำเป็นต้องปฏิบัติตามอย่างเคร่งครัด การทำความเข้าใจและปฏิบัติตามกฎหมายฉบับนี้อย่างถูกต้องเป็นสิ่งสำคัญอย่างยิ่งสำหรับทุกองค์กร เพราะนอกจากจะช่วยให้การดำเนินงานเป็นไปอย่างราบรื่นแล้ว ยังเป็นการป้องกันปัญหาและบทลงโทษที่อาจเกิดขึ้นจากการละเมิดกฎหมายอีกด้วย ซึ่งมีสาระสำคัญที่เหล่าผู้ประกอบการควรรู้ดังนี้

หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล

เพื่อให้กฎหมายการคุ้มครองข้อมูลส่วนบุคคลตามที่กำหนดเอาไว้ การเก็บรวบรวมข้อมูลส่วนบุคคลจำเป็นจะต้องมีการปฏิบัติตามรายละเอียดดังต่อไปนี้

• เจ้าของข้อมูลให้ความยินยอมในการเก็บข้อมูล
• เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ เพื่อการศึกษาวิจัยหรือสถิติ
• เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
• เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา เช่น การที่ธนาคารเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ของสัญญากู้ยืม
• เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ดำเนินการเพื่อประโยชน์สาธารณะของหน่วยงานรัฐ
• list text hereเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล เช่น บริษัทเอกชนติดตั้งกล้องวงจรปิดเพื่อรักษาความปลอดภัย ซึ่งภาพถ่ายนั้นจะสามารถเก็บข้อมูลส่วนบุคคลในบริเวณดังกล่าวได้
• เป็นการปฏิบัติตามกฎหมาย

นอกจากรายละเอียดของข้อมูลส่วนบุคคลข้างต้นแล้ว การคุ้มครองข้อมูลส่วนบุคคลยังรวมไปถึงข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น เชื้อชาติ, ประวัติอาชญากรรม, ข้อมูลพันธุกรรม, พฤติกรรมทางเพศ เป็นต้น ซึ่งการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเหล่านั้นจำเป็นจะต้องมีการให้ความยินยอมที่ชัดเจนและเข้มงวดยิ่งกว่า เช่น ได้รับความยินยอมโดยชัดแจ้ง (Explicit Consent) จากเจ้าของข้อมูลส่วนบุคคล, เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ เป็นต้น

หมวด 3 สิทธิเจ้าของข้อมูลส่วนบุคคล

สิทธิที่จะได้รับการแจ้งให้ทราบ

ในการคุ้มครองข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งรายละเอียดในการเก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล โดยเจ้าของข้อมูลนั้นมีสิทธิที่จะทราบวัตถุประสงค์ของการเก็บข้อมูล การนำไปใช้หรือการเผยแพร่ ข้อมูลที่จะมีการจัดเก็บ ระยะเวลาในการเก็บข้อมูล รายละเอียดของผู้ควบคุมข้อมูลส่วนบุคคล ไปจนถึงผลกระทบที่อาจจะเกิดขึ้นในกรณีที่ไม่ให้ข้อมูลนั้นๆ

สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล

การเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลของตนเองจากผู้ควบคุมข้อมูลส่วนบุคคล การเปิดเผยถึงการได้มาซึ่งข้อมูลนั้นๆ ในกรณีที่ไม่แน่ใจว่าตัวเองให้ความยินยอมหรือไม่ โดยที่การเข้าถึงข้อมูลจะต้องไม่ละเมิดต่อสิทธิและเสรีภาพของบุคคลอื่น

สิทธิในการได้รับและโอนถ่ายข้อมูล

ในกรณีที่เจ้าของข้อมูลต้องการนำข้อมูลที่เคยให้ไว้กับผู้ควบคุมข้อมูลรายหนึ่งไปใช้กับผู้ควบคุมข้อมูลอีกรายหนึ่ง เจ้าของข้อมูลสามารถขอให้ทำการส่งหรือโอนข้อมูลดังกล่าว หรือส่งข้อมูลให้ผู้ควบคุมข้อมูลรายอื่นโดยตรงได้ โดยจะต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิเสรีภาพของบุคคลอื่น

สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

การคุ้มครองข้อมูลส่วนบุคคลนั้นจะให้ความคุ้มครองรวมไปถึงกรณีที่เจ้าของข้อมูลต้องการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งเจ้าของข้อมูลนั้นสามารถคัดค้านเมื่อไหร่ก็ได้ หรือทำให้ข้อมูลนั้นๆ เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ ยกเว้นมีเหตุทางกฎหมายที่สำคัญเท่านั้น

สิทธิในการขอให้ลบ หรือทำลายข้อมูลส่วนบุคคล

กรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลนำข้อมูลไปเผยแพร่ในที่สาธารณะหรือเข้าถึงได้ง่าย ผู้ควบคุมข้อมูลมีสิทธิขอให้ทำการลบ ทำลาย หรือทำให้ข้อมูลนั้นๆ ไม่สามารถระบุตัวตนได้ โดยที่ผู้ควบคุมข้อมูลจะต้องเป็นผู้รับผิดชอบดำเนินการทั้งด้านเทคโนโลยีและค่าใช้จ่าย

สิทธิในการเพิกถอนความยินยอม

หากเจ้าของข้อมูลเคยให้ความยินยอมแล้ว แต่เกิดเปลี่ยนใจในภายหลัง เจ้าของข้อมูลสามารถยกเลิกความยินยอมเมื่อไหร่ก็ได้ โดยการคุ้มครองข้อมูลส่วนบุคคลนั้นกำหนดไว้ว่าการยกเลิกจะต้องไม่ขัดต่อข้อจำกัดสิทธิในการถอนความยินยอมทางกฎหมาย

สิทธิในการขอระงับการใช้ข้อมูล

เจ้าของข้อมูลมีสิทธิขอให้ผู้ควบคุมข้อมูลระงับการใช้ข้อมูลส่วนบุคคลได้ ไม่ว่าจะเป็นการเพิกถอนความยินยอม ระงับการทำลายข้อมูล เป็นต้น

สิทธิขอให้แก้ไขข้อมูล

ตามกฎหมายการคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิที่จะขอแก้ไขข้อมูลส่วนบุคคลให้มีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิด โดยจะต้องไม่ขัดต่อหลักกฎหมาย

หมวด 5 การร้องเรียน

ตามกฎหมายการคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลที่ถูกละเมิดข้อมูลส่วนบุคคลไม่ว่าจะในทางใดก็ตาม เจ้าของข้อมูลสามารถร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อทำหน้าที่พิจารณาเรื่องร้องเรียนตามพระราชบัญญัตินี้ได้

หมวด 6 ความรับผิดทางแพ่ง

สำหรับความรับผิดทางแพ่งนั้น ผู้กระทำการละเมิดข้อมูลส่วนบุคคลนั้น จะต้องชดใช้ค่าสินไหมทดแทนให้กับเจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการกระทำโดยจงใจหรือประมาทเลินเล่อก็ตาม ซึ่งศาลมีอำนาจสั่งให้ผู้กระทำการละเมิดชดใช้ค่าสินไหมเพิ่มเติมทดแทนได้สองเท่าของค่าสินไหมทดแทนที่แท้จริง

หมวด 7 บทกำหนดโทษ

กฎหมายการคุ้มครองข้อมูลส่วนบุคคลนั้นมีการกำหนดโทษเอาไว้ในส่วนของโทษทางอาญาและโทษทางปกครองเอาไว้โดยชัดเจน นั่นก็คือ

โทษทางอาญา

กฎหมายกำหนดเอาไว้ในกรณีที่ผู้ควบคุมใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม ซึ่งข้อมูลนั้นๆ เป็นข้อมูลที่มีความละเอียดอ่อน (Sensitive Data), โอนย้ายข้อมูลไปต่างประเทศโดยไม่ได้ทำตามระเบียบ, ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นแล้วนำไปเปิดเผย

• ในกรณีที่ทำให้เกิดความเสียหายแก่ชื่อเสียง ดูถูก เกลียดชัง ได้รับความอับอาย มีโทษจำคุก 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ

• ในกรณีที่ใช้ข้อมูลนั้นเพื่อแสวงหาประโยชน์โดยมิชอบ มีโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

ในกรณีที่ผู้กระทำความผิดเป็นนิติบุคคล กรรมการหรือผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้นอาจต้องร่วมรับผิดในความผิดอาญาที่เกิดขึ้นด้วย

โทษทางปกครอง

สำหรับโทษทางปกครองนั้น การคุ้มครองข้อมูลส่วนบุคคลหากผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูล ที่กระทำการฝ่าฝืนหรือไม่ปฏิบัติตามที่กฎหมายกำหนด เช่น ไม่แจ้งวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบ, ขอความยินยอมโดยหลอกลวงหรือทำให้เจ้าของข้อมูลเข้าใจผิดในวัตถุประสงค์ของการเก็บข้อมูล, ไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นต้น มีโทษปรับทางปกครองสูงสุด 5,000,000 บาท

แม้ว่ารายละเอียดของกฎหมายการคุ้มครองข้อมูลส่วนบุคคลอาจจะดูยุ่งยากและวุ่นวาย แต่การศึกษากฎหมายให้เข้าใจและปฏิบัติตามแนวทางให้ถูกต้อง ก็นับว่าเป็นสิ่งสำคัญสำหรับการเตรียมความพร้อม PDPA ของภาคธุรกิจเช่นกัน

และหากคุณกำลังมองหาผู้เชี่ยวชาญด้านธุรกิจและนักกฎหมายมากประสบการณ์ ที่จะช่วยให้การเตรียมความพร้อมและการทำความเข้าใจด้าน PDPA ของคุณมีประสิทธิภาพและดียิ่งขึ้น

PDPA Core ที่ปรึกษาที่ให้บริการด้าน PDPA แบบครบวงจร พร้อมเทคโนโลยีครบครัน ที่สามารถตอบโจทย์ทุกความต้องการของธุรกิจคุณได้อย่างลงตัว เราได้รับมาตรฐาน ISO 27001 (Information Security) และ ISO 27701 (Privacy Information) การันตีความเชี่ยวชาญด้าน Personal Data Protection มั่นใจได้ว่าองค์กรของคุณจะปฏิบัติตาม PDPA ได้อย่างถูกต้องแน่นอน