ทำความรู้จักกับ PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 

25 ม.ค. 2565 | 11:35 น.
อัปเดตล่าสุด :25 ม.ค. 2565 | 18:37 น.

เปิดนิยาม-ความหมายของ PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เรื่องต้องรู้ของคนดิจิทัล ก่อนมีผลบังคับใช้ 1 มิ.ย. 65

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ซึ่งย่อมาจากคำว่า Personal Data Protection Act B.E. 2562 (2019) จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้แล้ว หลังจากที่ถูกเลื่อนออกมาเป็นเวลา 1 ปีเต็ม เนื่องจากเป็นกฎหมายที่มีผลกระทบกับประชาชนเป็นวงกว้างโดยเฉพาะอย่างยิ่งในยุคของการเปลี่ยนผ่านเข้าสู่ดิจิทัล 

ก่อนจะถึงวันนั้น ฐานศรษฐกิจ พามาทำความรู้จักกับ PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ให้มากขึ้นกันก่อนเพื่อเตรียมความพร้อมในเรื่องนี้กัน       

 

PDPA คือ อะไร

 

PDPA ย่อมาจาก คำว่า Personal Data Protection Act B.E. 2562 (2019)  กฎหมายว่าด้วยการให้สิทธิกับเจ้าของข้อมูลส่วนบุคคล การสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้อย่างถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต สำหรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลของไทยฉบับนี้ ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 ได้ถูกเลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565

 

กฎหมายฉบับนี้ จะมีบทบาทสำคัญในการคุ้มครองและให้สิทธิกับเจ้าของข้อมูลส่วนบุคคลของเราเอง รวมถึงได้สร้างมาตรฐานใหม่ให้เกิดขึ้นกับบุคคลหรือนิติบุคคลในการเก็บข้อมูล รวบรวมข้อมูลส่วนบุคคล รวมถึงการใช้ข้อมูล หรือเพื่อการเปิดเผยข้อมูลส่วนบุคคล ที่จะต้องปฏิบัติตามกฎหมายฉบับนี้ หากผู้ใดหรือองค์กรใดไม่ปฏิบัติตามนั้น มีโทษทั้งทางแพ่ง โทษทางอาญา และโทษทางปกครอง

 

ความหมายของคำว่า ข้อมูลส่วนบุคคล

 

ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ทั้งทางตรงและทางอ้อม ไม่นับรวมข้อมูลของผู้ที่เสียชีวิตไปแล้ว

 

ข้อมูลส่วนบุคคลนั้น ครอบคลุมตั้งแต่ ชื่อ-นามสกุล หรือ ชื่อเล่น/ เลขประจำตัวประชาชน เลขหนังสือเดินทาง เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต / ที่อยู่, อีเมล์, เลขโทรศัพท์ / ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address, MAC address, Cookie ID /

 

ข้อมูลทางชีวมิติ (Biometric) เช่น รูปภาพใบหน้า, ลายนิ้วมือ, ฟิล์มเอกซเรย์, ข้อมูลสแกนม่านตา, ข้อมูลอัตลักษณ์เสียง, ข้อมูลพันธุกรรม, ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์, โฉนดที่ดิน /

ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิดและสถานที่เกิด, เชื้อชาติ,สัญชาติ, น้ำหนัก, ส่วนสูง, ข้อมูลตำแหน่งที่อยู่ (location), ข้อมูลการแพทย์, ข้อมูลการศึกษา, ข้อมูลทางการเงิน, ข้อมูลการจ้างงาน / ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิล์ม แม้ไม่สามารถระบุไปถึงตัวบุคคลได้ แต่หากใช้ร่วมกับระบบดัชนีข้อมูลอีกระบบหนึ่งก็จะสามารถระบุไปถึงตัวบุคคลได้

 

ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง / ข้อมูลบันทึกต่าง ๆ ที่ใช้ติดตามตรวจสอบกิจกรรมต่าง ๆ ของบุคคล เช่น log file / ข้อมูลที่สามารถใช้ในการค้นหาข้อมูลส่วนบุคคลอื่นในอินเทอร์เน็ต  จะเห็นได้ว่า มีขอบเขตและครอบคลุมอย่างกว้างขวาง

 

พ.ร.บ. ฉบับนี้ให้ความสำคัญและมีบทลงโทษที่รุนแรงมาก กรณีเกิดการรั่วไหลของ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) สู่สาธารณะ อันได้แก่ ข้อมูล เชื้อชาติ, เผ่าพันธุ์, ความคิดเห็นทางการเมือง, ความเชื่อในลัทธิ ศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต, ข้อมูลสหภาพแรงงาน, ข้อมูลพันธุกรรม, ข้อมูลชีวภาพ, ข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด

 

เนื่องจากมองว่า ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน นี้ หากเกิดการรั่วไหลจะเกิดผลเสียที่ร้ายแรงกับผู้เป็นเจ้าของข้อมูลส่วนบุคคล(Data Subject)ได้มากกว่าข้อมูลส่วนบุคคลอื่น ๆ มีผลกระทบต่อสิทธิเสรีภาพของบุคคล เช่น สิทธิเสรีภาพในความคิด ความเชื่อทางศาสนา การแสดงออก การชุมนุม สิทธิในชีวิตร่างกาย การอยู่อาศัย การไม่ถูกเลือกปฏิบัติ ซึ่งอาจจะก่อให้เกิดการแทรกแซงซึ่งสิทธิเสรีภาพและการเลือกปฏิบัติต่อการใช้สิทธิเสรีภาพของบุคคลได้มากกว่าข้อมูลส่วนบุคคลทั่วไป

 

ยกตัวอย่างเช่น ข้อมูลพฤติกรรมทางเพศ เชื้อชาติ ศาสนา ประวัติอาชญากรรม ถ้ารั่วไหลไปแล้ว ข้อมูลเหล่านี้จะนำมาสู่อคติและจะมีผลกระทบต่อชีวิตส่วนบุคคลได้มากกว่าข้อมูลทั่วไปอย่างมาก