อะไรคือ PDPA ?
PDPA ย่อมาจาก Personal Data Protection Act. หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งเป็นกฎหมายที่มีวัตถุประสงค์ในการเก็บรักษาข้อมูลส่วนบุคคล เพื่อไม่ให้ผู้ไม่ประสงค์ดี ทำการละเมิดข้อมูลส่วนบุคคล ในการข่มขู่หวังผลประโยชน์ทั้งจากตัวเจ้าของข้อมูลเองหรือจากบุคคลที่ดูแลข้อมูลอยู่
หากองค์กรไม่ปฏิบัติ จะมีบทลงโทษอย่างไร ?
สำหรับผู้ให้ข้อมูลควรพิจารณาอย่างรอบคอบให้ดีก่อนให้ข้อมูลแต่ละครั้ง เพื่อเป็นการป้องกันอีกทางหนึ่ง ไม่ให้ข้อมูลส่วนบุคคลถูกนำไปใช้ในทางที่เหมาะสม เช่น การให้ข้อมูลเพื่อจัดส่งสินค้า หากมีการขอข้อมูลที่ไม่เกี่ยวกับการจัดส่ง เจ้าของข้อมูลก็มีสิทธิปฏิเสธการให้ข้อมูลนั้น
ในส่วนของผู้เก็บข้อมูล ก็ต้องรู้ขอบเขตในการเข้าถึงข้อมูลส่วนบุคคล มีระบบในการควบคุม/ยืนยันตัวตนในการเข้าถึงข้อมูล และจำเป็นต้องมีการกำหนดนโยบายองค์กรเพื่อให้บุคคลที่เกี่ยวข้องปฏิบัติตาม เพราะหากไม่ทำตามอาจได้รับโทษดังนี้
* ความรับผิดทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง
* โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
* โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท
ใครที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ?
เอกชนและภาครัฐ (บุคคลหรือนิติบุคคล) รวมไปถึงนิติบุคคลที่จัดตั้งในต่างประเทศ ซึ่งทำการเก็บรวมรวม ใช้ เปิดเผยและหรือ โอนข้อมูลส่วนบุคคลของบุคคลในประเทศไทย ซึ่งจะเเบ่งได้เป็น 3 ส่วน
1. เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลระบุไปถึง
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
4. เจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Office) เป็นเจ้าหน้าที่รัฐมาตรวจสอบผู้ประกอบการว่าได้ทำเข้ากับ พ.ร.บ.
ข้อมูลส่วนบุคคล คืออะไร มีอะไรบ้าง ?
คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม โดยข้อมูลของผู้ถึงแก่กรรม และข้อมูลนิติบุคคล ไม่ถือเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ.นี้
Personal Data: หมายเลขบัตรประจำตัวประชาชน, ชื่อ, นามสกุล, หมายเลขโทรศัพท์, ที่อยู่, อีเมล, รูปถ่าย, ประวัติการทำงาน , อายุ
Sensitive Personal Data: เชื้อชาติ, ชาติพันธุ์, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนา หรือ ปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลด้านสุขภาพ, ความพิการ , ข้อมูลสหภาพแรงงาน , ข้อมูลพันธุกรรม, ข้อมูลชีวภาพ, และข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน
เจ้าของข้อมูลส่วนบุคคล (Data Subject) มีสิทธิอะไรบ้าง ?
* สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)
* สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
* สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
* สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
* สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure (also known as right to be forgotten)
* สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
* สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)
* สิทธิการเพิกถอนความยินยอม (Right to Window Consent)
การเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล สามารถทำได้ในกรณีไหน ?
* ได้รับความยินยอมจากเจ้าของข้อมูส่วนบุคคล
* จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ การศึกษาวิจัยหรือการจัดทำสถิติ
* ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
* จำเป็นเพื่อปฏิบัติกฎหมาย หรือสัญญา
* จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น
* จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
ขอบคุณที่มาข้อมูลอ้างอิงจาก
PDPA - SCB
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒
“PDPA – Privacy for All” สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
|