PDPA ย่อมาจาก Personal Data Protection Act B.E. 2562 (2019) คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต โดยกฎหมาย PDPA Thailand (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ได้ประกาศไว้ในราชกิจจานุเบกษา เมื่อวันที่ 27 พฤษภาคม 2562 และปัจจุบันได้ถูกเลื่อนให้ มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 

กฎหมาย PDPA คืออะไร

ที่มาของ PDPA

กฎหมาย PDPA เรียกได้ว่าถอดแบบมาจากกฎหมายต้นแบบอย่างกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป วัตถุประสงค์ของการเก็บรักษาข้อมูลส่วนบุคคลของกฎหมายทั้ง 2 ฉบับ ก็เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีทำการแฮ็กข้อมูลหรือละเมิดความเป็นส่วนตัวเพื่อข่มขู่หวังผลประโยชน์จากทั้งจากตัวเจ้าของข้อมูลเองหรือจากบุคคลที่ดูแลข้อมูล ถือว่าเป็นกฎหมายที่ทุกคนควรทราบและตระหนักรู้ถึงสิทธิในข้อมูลส่วนบุคคลของเรา โดยเฉพาะอย่างยิ่งองค์กรธุรกิจต่าง ๆ ที่มีการเก็บข้อมูลส่วนบุคคล ของลูกค้า ผู้ใช้งาน หรือพนักงานในองค์กร

👉 บุคคลที่สำคัญตามกฎหมาย PDPA ได้แก่

> เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือประชาชนทุกคนนั่นเอง หรือหากเป็นหน่วยงานจะหมายถึง ลูกค้า พนักงาน คือเป็นบุคคลที่ข้อมูลสามารถชี้ไปถึงได้ แต่ไม่รวมผู้เสียชีวิตและนิติบุคคล 

> ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ผู้ควบคุมข้อมูลส่วนบุคคลเปรียบเสมือนผู้ดูแลระบบ เป็นฝ่ายปฏิบัติงาน อาจหมายถึง หน่วยงาน/องค์กร/สถาบัน มีหน้าที่เก็บรวบรวม และนำข้อมูลส่วนบุคคลที่ขอความยินยอม (Consent) จากเจ้าของข้อมูลไปใช้ 

> ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ คน บริษัทหรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง 

> เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) คนที่ได้รับมอบหมายเพื่อทำหน้าที่ให้คำแนะนำ หรือตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน/องค์กร/สถาบัน ให้เป็นไปตามกฎหมาย

👉 ข้อมูลส่วนบุคคลภายใต้การคุ้มครองของ PDPA มีอะไรบ้าง?

>> ส่วนบุคคลทั่วไป <<

- ชื่อ-นามสกุล

- เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน

- เลขบัตรประชาชน

- เลขหนังสือเดินทาง

- เลขใบอนุญาตขับขี่

- ข้อมูลทางการศึกษา

- ข้อมูลทางการเงิน

- ข้อมูลทางการแพทย์

- ทะเบียนรถยนต์

- โฉนดที่ดิน

- ทะเบียนบ้าน

- วันเดือนปีเกิด

- สัญชาติ

- น้ำหนักส่วนสูง

- ข้อมูลอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password,  Cookies IP address, GPS Location เป็นต้น

รวมถึงยังต้องพึงระวังการใช้ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่อาจส่งผลกระทบต่อเจ้าของข้อมูลได้นั่นเอง 

👉 ข้อมูลส่วนบุคคลที่มีความอ่อนไหว 

- เชื้อชาติ เผ่าพันธุ์

- ความคิดเห็นทางการเมือง

- ความเชื่อในลัทธิ ศาสนาหรือปรัชญา

- พฤติกรรมทางเพศ

- ประวัติอาชญากรรม

- ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์

- ข้อมูลสหภาพแรงงาน

- ข้อมูลพันธุกรรม

- ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

👉 ส่วนประเด็นที่หลายคนสงสัยว่า หากถ่ายรูปติดมีความผิดจริงหรือไม่?

คำถามนี้ ได้รับคำตอบจาก อาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำศูนย์กฎหมายระหว่างประเทศ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ได้ให้คำตอบไว้ว่า สำหรับ กฎหมาย PDPA นี้ออกมาเพื่อเน้น คุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล ซึ่งก็คือประชาชนทั่วไป จากการที่องค์กรนำข้อมูลไปใช้งานเพื่อสร้างผลประโยชน์ หากคนทั่วไปมีการถ่ายภาพติดบุคคลอื่น ๆ โดยไม่ได้ยิมยอม แต่นำไป ใช้งานเพื่อกิจกรรมส่วนตัวไม่ได้เปิดเป็นสาธารณะ กฎหมายก็จะไม่ได้เข้าไปวุ่นวาย แต่จะมุ่งไปที่การใช้ในลักษณะเพื่อการพาณิชย์ (Professional Use) มากกว่า ดังนั้น หากเราไม่ได้ตั้งใจไปถ่ายและไม่ได้เอารูปไปทำงานที่ก่อเกิดรายได้ ก็ไม่มีความผิด แต่ถ้าตั้งใจถ่ายโดยที่เจ้าตัวไม่ยินยอม แล้วนำไปโพสต์หรือขายสร้างรายได้แบบนี้ถือว่าผิด ซึ่งไม่ได้ผิดเพราะ PDPA แต่เพราะ กฎหมายแพ่งเมืองไทยคุ้มครองอยู่แล้ว เป็นการคุ้มครองตามปกตินั่นเอง 

อย่างไรก็ตามประชาชนก็ควรที่จะศึกษากฎหมาย PDPA เอาไว้ก็เป็นเรื่องที่ดี เพื่อจะได้ทราบว่า คุณนั้นมีสิทธิ์อะไรในข้อมูลส่วนตัวของตัวเองเพื่อให้เกิดประโยชน์สูงสุด ซึ่งเจ้าของข้อมูลส่วนบุคคลมีสิทธิต่าง ๆ ดังนี้

> สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้

> สิทธิได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice)

> สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล

> สิทธิขอให้โอนข้อมูลส่วนบุคคล

> สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล

> สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้

> สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล

> สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล

👉 บทลงโทษ หากผิด พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ( PDPA )

โทษอาญา : จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ

โทษแพ่ง : ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า

โทษปกครอง : แบ่งออกเป็น ปรับไม่เกิน 1 ล้าน, 3 ล้าน และ 5 ล้านบาท ขึ้นอยู่กับเงื่อนไขความผิด

ขอบคุณข้อมูล thansettakij / pdpa.pro

📌 อ่านต่อบทความอื่น ๆ ที่น่าสนใจ

👉 รถยนต์เกิน 7 ปี ต่อภาษีรถออนไลน์ ทำได้ง่ายไม่ต้องไปขนส่ง

👉  คนไทยในต่างแดน ขอสัญชาติอย่างไร โดยไม่ต้องพึ่งการสมรส?