เข้าใจ “กฎหมาย PDPA” กับสิทธิที่ทำได้และทำไม่ได้
1. กฎหมาย PDPA คืออะไร?
; PDPA ย่อมาจาก Personal Data Protection Act ซึ่งก็คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นั้นเอง
2. กฎหมาย PDPA ประกาศใช้ตั้งแต่ พ.ศ. 2562 ทำไมถึงพูดถึงกันมากในช่วงนี้?
; พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศราชกิจจานุเบกษาวันที่ 27 พฤษภาคม 2562 มีผลบังคับใช้ตั้งแต่วันถัดจากวันประกาศ (28 พฤษภาคม 2562) แต่มีผลบังคับใช้บางหมวด บางมาตราหลังจากนั้นก็มีการเลื่อนการบังคับใช้ เนื่องจากการแพร่ระบาดของโควิด-19 ส่งผลให้ภาคธุรกิจ ยังไม่มีความพร้อมในการดำเนินการให้ได้ตามบังคับของกฎหมาย และบัดนี้จะมีผลบังคับใช้ใน วันที่ 1 มิถุนายน 2565
3. ทำไมต้องมีกฎหมาย PDPA หรือเจตนารมณ์เป็นอย่างไร?
; เหตุผลที่ออกกฎหมายการคุ้มครองข้อมูลส่วนบุคคล เนื่องจากปัจจุบันมีการล่วงละเมิด สิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมาก จนสร้างความเดือดร้อนรำคาญหรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล
; ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิด สิทธิความเป็นส่วนตัว กระทำได้โดยง่าย สะดวก และรวดเร็ว ก่อให้เกิดผลเสียต่อเจ้าของข้อมูล และความเสียหายต่อเศรษฐกิจโดยรวม
; ยกตัวอย่างความเสียหาย ความเดือดร้อน เช่น
- มิจฉาชีพได้ข้อมูลส่วนบุคคลมาจาการสุ่ม หลอกลวง และหรือจากข้อมูลที่รั่วไหล (การแฮกข้อมูลส่วนบุคคลที่หน่วยงานภาครัฐและเอกชนจัดเก็บหรือครอบครอง หรือการจงใจซื้อขายข้อมูล) และนำไปใช้ในทางที่มิชอบ เช่น แกงค์คอลเซนเตอร์ การแบลคเมล์
- การหลอกลวงทางอินเตอร์เน็ต (Scam) เช่น Scam บัตรเครดิต (หลอกให้กรอกข้อมูลบัตร) Scam ถูกรางวัล (ให้กรอกข้อมูลหรือให้โอนเงินให้ก่อน) Scam ค่าธรรมเนียมศุลกากร (มีพัสดุตกค้างไห้โอนเงินหรือรับของ) Scam โรแมนซ์สแกม (หาคู่ครอง) โดยใช้การลอกลวงจนหลงเชื่อแล้วให้กรอกข้อมูลส่วนบุคคลผ่านระบบอินเทอร์เน็ต
; จึงต้องกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป จะช่วยการสร้างความตระหนักรู้เรื่องข้อมูลให้กับประชาชนว่า ไม่ควรปล่อยข้อมูลให้กับบุคคลอื่นไปง่ายๆ หน่วยงานภาครัฐและเอกชนหามาตรการ วีธีในการเก็บข้อมูลส่วนบุคคลให้ได้ตามมาตรฐาน ช่วยลดการรั่วไหล และหากเมื่อข้อมูลรั่วไหลกฎหมายนี้จะสามารถช่วยและเอาผิดได้
โดยสรุปกฎหมาย PDPA จะช่วยคุ้มครองปกป้องข้อมูลส่วนตัวของทุกคนมากกว่า และควบคุมหน่วยงานองค์กรต่างๆ ที่จะนำข้อมูลส่วนตัวไปใช้ประโยชน์อย่างถูกต้องปลอดภัยจากการยินยอมของเจ้าของข้อมูลนั้นๆ
3. อะไรคือข้อมูลส่วนบุคคลและใครบ้างที่เกี่ยวข้องกับกฎหมายนี้ ?
; ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-สกุล ที่อยู่ เลขบัตรประชาชน หมายเลขโทรศัพท์ อีเมล รูปถ่าย เป็นต้น
; ผู้ควบคุมข้อมูลส่วนบุคคล คือ ส่วนราชการ องค์กรภาครัฐและเอกชน ซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของประชาชนหรือลูกค้าที่มาใช้บริการ โดย
- ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บข้อมูลได้ต้องได้รับการยินยอมจากเจ้าของข้อมูลส่วนบุคคล และต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่ในการจัดเก็บบันทึกรายการกิจกรรมเพื่อให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สามารถตรวจสอบได้โดยจะเป็นบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้
; ผู้ประมวลผลข้อมูลส่วนบุคคล คือ บุคคลหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล เช่น บริการ cloud service เป็นต้น
4. กฎหมายนี้ ระบุสิทธิของเจ้าของข้อมูลอะไรบ้าง ?
; กฎหมายนี้เน้นการคุ้มครองข้อมูลส่วนบุคคล และให้สิทธิกับเจ้าของข้อมูลเมื่อข้อมูลส่วนบุคคลถูกเก็บรวบรวม ถูกนำมาใช้ หรือเปิดเผย ได้แก่
1) สิทธิในการถอนความยินยอมในกรณีที่ได้ให้ความยินยอมไว้
2) สิทธิในการรับการแจ้งให้ทราบรายละเอียด เช่น เก็บไปใช้เพื่อวัตถุประสงค์อะไร เก็บไว้นานแค่ไหน อย่างไร ฯลฯ
3) สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล
4) สิทธิในการให้โอนข้อมูลส่วนบุคคล
5) สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
6) สิทธิขอให้ลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
7) สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
8) สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล
5. ข้อมูลส่วนบุคคลที่สามารถรวบรวม ใช้ เปิดเผยได้มีอะไรบ้าง เช่น
; โดยทั่วไป บุคคล นิติบุคคล จะเก็บรวบรวม ใช้ประโยชน์ เผยแพร่ข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ไม่ได้เว้นแต่กฎหมายได้กำหนดข้อยกเว้นไว้ เช่น มาตรา 26 ระบุไว้ว่า ห้ามมิให้เก็บรวบรวมข้อมูลส่วนบคุคลเกี่ยวกับเชื้อชาติเผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน ตามที่คณะกรรมการประกาศกำหนด โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล
แต่มีข้อยกเว้น อันเป็นการป้องกัน หรือระงับอันตรายต่อชีวิต สุขภาพ ร่างกาย หรือดำเนินการโดยชอบด้วยกฎหมาย ได้แก่
1.ข้อมูลส่วนบุคคลที่เป็นประโยชน์กับครอบครัว เช่น ถ่ายรูปสามี ภรรยา บุตร ญาติ ที่เป็นกิจกรรม วิถีชีวิตในครอบครัว
2. ข้อมูลส่วนบุคคลในการดำเนินการของรัฐ เช่น เปิดเผยข้อมูลคนร้าย เพื่อป้องกัน ปราบปราม ตรวจสอบ หรือเตือนภัยประชาชน
3. ข้อมูลบุคคลเพื่อกิจการของสภาผู้แทนราษฎร เช่น การเก็บ เผยแพร่ข้อมูลบุคคล เพื่อพิจารณาตามอำนาจหน้าที่ของสภาฯ
4. ข้อมูลบุคคลเพื่อใช้การพิจารณาพิพากษาคดีของศาล
5. ข้อมูลบุคคลเพื่อการดำเนินกิจการของบริษัท บัตรเครดิตรและสมาชิก
6. ข้อมูลส่วนบุคคลที่เก็บเพื่อใช้ในการประกอบวิชาชีพ เช่น การเปิดเผยข้อมูลบุคคลของสื่อสารมวลชนเพื่อสาธารณะประโยชน์ ข้อมูลบุคคลเพื่อประโยชน์การศึกษา
และเมื่อเร็วๆ นี้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้ชี้แจงเพิ่มเติมผ่านเฟซบุ๊ก เพื่อให้เกิดความเข้าใจที่ถูกต้อง ดังนี้
1. กรณีการถ่ายรูป หรือถ่ายคลิปโดยติดบุคคลอื่น สามารถทำได้ หากผู้ถ่ายรูป หรือ ถ่ายคลิปไม่เจตนา และไม่ได้ก่อให้เกิดความเสียหายกับผู้ถูกถ่าย และเป็นการใช้เพื่อวัตถุประสงค์ส่วนตัว เราถ่ายรูปติดคนอื่นมาในภาพจะถูกฟ้องหรือไม่
คำตอบคือ ถ้าถ่ายรูปคนอื่นติดมาในภาพแล้วนำไปทำให้เกิดความเสียหายนั้นถือเป็นการละเมิดสิทธิส่วนบุคคล ซึ่งมีกฎหมายรองรับอยู่แล้ว โดยไม่จำเป็นต้องมี PDPA ก็สามารถฟ้องเอาผิดละเมิดสิทธิได้ สาระสำคัญคือ การนำข้อมูลไปใช้อย่างไร? ตรวจสอบข้อมูลได้ว่าข้อมูลนั้นมีแหล่งที่มาจากไหนอย่างไร
2. ถ้านำคลิป หรือรูปถ่ายที่ติดคนอื่นไปโพสต์ในโซเชียลมีเดีย โดยบุคคลอื่นไม่ยินยอมจะผิด PDPA หรือไม่ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
คำตอบคือ สามารถโพสต์ได้ หากใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้แสวงหากำไรทางการค้า และไม่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล
3. ติดกล้องวงจรปิดแล้วไม่มีป้ายแจ้งเตือนผิด PDPA หรือไม่
คำตอบคือ การติดกล้องวงจรปิดภายในบ้าน ไม่จำเป็นต้องมีป้ายแจ้งเตือน หากติดเพื่อป้องกันอาชญากรรม และรักษาความปลอดภัยกับตัวเจ้าของบ้าน
4. เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้หรือไม่ คำตอบคือ ไม่จำเป็นต้องขอความยินยอม หากการใช้ข้อมูลดังกล่าว เป็นการทำตามสัญญา เป็นการใช้ที่มีกฎหมายให้อำนาจ เป็นการใช้เพื่อรักษาชีวิตและ/หรือร่างกายของบุคคล เป็นการใช้เพื่อการค้นคว้าวิจัยทางสถิติ เป็นการใช้เพื่อประโยชน์สาธารณะ และเป็นการใช้เพื่อปกป้องผลประโยชน์ หรือสิทธิของตนเอง
คลิก ; พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ที่มา ; สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
สรุปสาระสำคัญ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เป็นกฎหมายที่มุ่งคุ้มครองสิทธิความเป็นส่วนตัวของบุคคล อันเกิดจากปัญหาการละเมิดข้อมูลส่วนบุคคลที่เพิ่มขึ้นตามความก้าวหน้าทางเทคโนโลยี ซึ่งทำให้การเก็บ ใช้ หรือเปิดเผยข้อมูลสามารถทำได้ง่ายและรวดเร็ว ส่งผลให้เกิดความเสียหายทั้งต่อบุคคลและเศรษฐกิจโดยรวม กฎหมายนี้จึงกำหนดหลักเกณฑ์ในการจัดการข้อมูลส่วนบุคคล โดยเน้นการขอความยินยอมอย่างชัดเจนจากเจ้าของข้อมูล และกำหนดบทบาทของ “ผู้ควบคุมข้อมูล” และ “ผู้ประมวลผลข้อมูล” ให้มีหน้าที่รับผิดชอบตรวจสอบได้
ข้อมูลส่วนบุคคลหมายถึงข้อมูลที่สามารถระบุตัวบุคคลได้ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ เป็นต้น เจ้าของข้อมูลมีสิทธิหลายประการ เช่น การเข้าถึง แก้ไข ลบ ถอนความยินยอม และคัดค้านการใช้ข้อมูล ขณะเดียวกัน กฎหมายกำหนดข้อห้ามเกี่ยวกับข้อมูลอ่อนไหว เช่น เชื้อชาติ ศาสนา สุขภาพ เว้นแต่ได้รับความยินยอมโดยชัดแจ้งหรือเข้าข้อยกเว้น
PDPA ยังมีข้อยกเว้นบางกรณี เช่น เพื่อความปลอดภัย สาธารณะ หรือการปฏิบัติตามกฎหมาย รวมถึงการใช้ข้อมูลในชีวิตส่วนตัวที่ไม่ก่อให้เกิดความเสียหาย สาระสำคัญจึงอยู่ที่ “การใช้ข้อมูลอย่างเหมาะสม โปร่งใส และเคารพสิทธิของเจ้าของข้อมูล”
ข้อสอบ
ข้อ 1 ข้อใดอธิบายเจตนารมณ์ของ PDPA ได้ถูกต้องที่สุด
ก. เพิ่มรายได้ให้รัฐ
ข. ควบคุมเทคโนโลยี
ค. คุ้มครองสิทธิข้อมูลส่วนบุคคล
ง. ส่งเสริมธุรกิจออนไลน์
เฉลย: ค
เหตุผล: เน้นคุ้มครองสิทธิความเป็นส่วนตัวของประชาชน
ข้อ 2 ข้อมูลใดถือเป็นข้อมูลส่วนบุคคล
ก. อุณหภูมิอากาศ
ข. ชื่อ-นามสกุล
ค. ราคาน้ำมัน
ง. ดัชนีหุ้น
เฉลย: ข
เหตุผล: สามารถระบุตัวบุคคลได้โดยตรง
ข้อ 3 ผู้ควบคุมข้อมูลมีหน้าที่สำคัญคือข้อใด
ก. ใช้ข้อมูลได้โดยอิสระ
ข. ขายข้อมูลได้
ค. ขอความยินยอมก่อนเก็บข้อมูล
ง. ไม่ต้องบันทึกข้อมูล
เฉลย: ค
เหตุผล: ต้องขอ consent และแจ้งวัตถุประสงค์
ข้อ 4 ข้อใดคือสิทธิของเจ้าของข้อมูล
ก. ปฏิเสธการตรวจสอบ
ข. ขอเข้าถึงข้อมูล
ค. ลบข้อมูลผู้อื่น
ง. แก้ไขข้อมูลองค์กร
เฉลย: ข
เหตุผล: เป็นสิทธิพื้นฐานตาม PDPA
ข้อ 5 ข้อมูลใดเป็น “ข้อมูลอ่อนไหว”
ก. อีเมล
ข. เบอร์โทร
ค. ศาสนา
ง. ชื่อเล่น
เฉลย: ค
เหตุผล: ต้องได้รับความยินยอมชัดแจ้ง
ข้อ 6 กรณีใดไม่ต้องขอความยินยอม
ก. ใช้เพื่อโฆษณา
ข. ใช้ตามสัญญา
ค. ขายข้อมูล
ง. เผยแพร่ทั่วไป
เฉลย: ข
เหตุผล: เป็นข้อยกเว้นตามกฎหมาย
ข้อ 7 การถ่ายรูปติดบุคคลอื่นแล้วโพสต์ จะผิดเมื่อใด
ก. ใช้ส่วนตัว
ข. ไม่ตั้งใจ
ค. ก่อให้เกิดความเสียหาย
ง. ไม่ได้เผยแพร่
เฉลย: ค
เหตุผล: ความเสียหายคือสาระสำคัญ
ข้อ 8 ผู้ประมวลผลข้อมูลคือใคร
ก. เจ้าของข้อมูล
ข. ผู้ใช้ข้อมูลตามคำสั่ง
ค. ผู้เสียหาย
ง. หน่วยงานรัฐเท่านั้น
เฉลย: ข
เหตุผล: ทำงานแทนผู้ควบคุมข้อมูล
ข้อ 9 การติดกล้องวงจรปิดในบ้าน
ก. ต้องติดป้ายเสมอ
ข. ผิดกฎหมาย
ค. ไม่ต้องติดป้ายหากใช้ส่วนตัว
ง. ห้ามใช้
เฉลย: ค
เหตุผล: เป็นข้อยกเว้นเพื่อความปลอดภัย
ข้อ 10 หลักสำคัญที่สุดของ PDPA คือข้อใด
ก. การเก็บข้อมูลจำนวนมาก
ข. การใช้ข้อมูลเร็ว
ค. การเคารพสิทธิและความยินยอม
ง. การเปิดเผยข้อมูล
เฉลย: ค
เหตุผล: เป็นหัวใจของกฎหมาย