"PDPA" คืออะไร มีผลบังคับใช้เมื่อไหร่ คุ้มครองอะไรบ้าง เช็คเลย
"PDPA" คืออะไร มีผลบังคับใช้เมื่อไหร่ คุ้มครองอะไรบ้าง เช็คเลยที่นี่มีคำตอบ โทษในการไม่ปฏิบัติตามเป็นอย่างไร หลังใกล้มีผลบังคับใช้ในประเทศไทย
PDPA คืออะไร เป็นคำถามที่ได้รับความสนใจเป็นอย่างมากบนโลกออนไลน์ หลังจากใกล้จะมีผลบังคับใช้ในเร็ววันนี้
"ฐานเศรษฐกิจ" ดำเนินการสืบค้นข้อมูล เพื่อไขคำตอบ พบว่า
"PDPA" ย่อมาจาก Personal Data Protection Act เป็น พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็น กฏหมายที่ออกมาคุ้มครองสิทธิเกี่ยวกับข้อมูลส่วนบุคคล เช่น การควบคุมไม่ให้องค์กรนำข้อมูลไปใช้โดยไม่ได้รับความยินยอม ด้วยความที่ในปัจจุบันมีการล่วงละเมิดสิทธิข้อมูลส่วนบุคคลเพิ่มมากขึ้น
ยกตัวอย่าง เช่น การครอบครองเบอร์โทรศัพท์โดยการซื้อฐานข้อมูลมาจากที่อื่นและโทรไปหาโดยที่ไม่มีการรับรู้จากเจ้าของเบอร์โทรศัพท์นั้น หรือการที่เราได้รับโฆษณาบน Social Media จากข้อมูลการใช้งานของเรา โดยที่เราไม่รู้ตัว หรือไม่ได้ยินยอมให้องค์กรเก็บข้อมูล เป็นต้น
ดังนั้นกฎหมายฉบับนี้จึงเป็นประโยชน์ต่อผู้บริโภค โดยข้อบังคับกฎหมาย PDPA จะให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น การศึกษา ฐานะการเงิน ประวัติสุขภาพ ประวัติการทำงาน และข้อมูลส่วนบุคคลประเภทอื่น ๆ เช่น ลายพิมพ์นิ้วมือ บันทึกเสียง เลขบัตรประชาชน หรือข้อมูลการใช้งานเว็บไซต์ เพื่อประโยชน์โดยที่เจ้าของข้อมูลไม่ยินยอม
ทั้งนี้ "PDPA" จะเริ่มมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 จากเดิมที่ครั้งแรก PDPA เคยมีการประกาศบังคับใช้ในวันที่ 27 พ.ค. 2563 จนกระทั่งเมื่อวันที่ 12 พ.ค. ที่ผ่านมา ได้มีประกาศเลื่อนบังคับใช้ออกไปอีก 1 ปี เพราะฉะนั้นจะเริ่มบังคับใช้ในวันที่ 1 มิถุนายน ดังกล่าว
ข้อมูลส่วนบุคคลภายใต้การคุ้มครองของ PDPA ประกอบด้วย
ส่วนบุคคลทั่วไป
- ชื่อ-นามสกุล
- เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน
- เลขบัตรประชาชน
- เลขหนังสือเดินทาง
- เลขใบอนุญาตขับขี่
- ข้อมูลทางการศึกษา
- ข้อมูลทางการเงิน
- ข้อมูลทางการแพทย์
- ทะเบียนรถยนต์
- โฉนดที่ดิน
- ทะเบียนบ้าน
- วันเดือนปีเกิด
- สัญชาติ
- น้ำหนักส่วนสูง
- ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password, Cookies IP address, GPS Location
นอกจากนี้ยังต้องระวังการใช้ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่อาจส่งผลกระทบต่อเจ้าของข้อมูล
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว ได้แก่
- เชื้อชาติ เผ่าพันธุ์
- ความคิดเห็นทางการเมือง
- ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
- ข้อมูลสหภาพแรงงาน
- ข้อมูลพันธุกรรม
- ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา
ใครเป็นใครภายใต้ PDPA
- เจ้าของข้อมูลส่วนบุคคล (Data Subject)
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือคน บริษัทหรือองค์กรต่าง ๆ ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ คน บริษัทหรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง
สำหรับโทษหากไม่ปฎิบัติตาม PDPA ได้แก่
- โทษอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
- โทษแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า
- โทษปกครอง: ปรับไม่เกิน 1/3/5 ล้านบาท