กฎหมาย PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ใครได้ประโยชน์บ้าง 

03 ก.พ. 2565 | 10:20 น.
อัปเดตล่าสุด :03 ก.พ. 2565 | 17:25 น.

กฎหมาย PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ใครได้ประโยชน์บ้าง หากเกิดการละเมิดข้อมูลส่วนบุคคลต้องทำอย่างไร อ่านรายละเอียดได้ที่นี่

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล 2562 หรือที่เราเรียกกันสั้น ๆ ว่า กฎหมาย PDPA ของไทยจะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 ซึ่งหลายคนมีความกังวลเกี่ยวกับความเป็นส่วนตัว กังวลเกี่ยวกับความปลอดภัย และการละเมิดข้อมูลได้นั้น ยิ่งเหตุการณ์ล่าสุดกรณีที่ข้อมูลของผู้สมัครสอบ TCAS รั่วไหล ทั้งชื่อ นามสกุล และเลขบัตรประชาชนหลายหมื่นรายชื่อ จึงน่าสนใจไม่น้อยว่า หากกฎหมาย PDPA มีผลบังคับใช้แล้วจะส่งผลหรือเกิดประโยชน์อะไรกับเราในเรื่องเหล่านี้บ้าง 

 

สาระสำคัญของกฎหมาย PDPA

 

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA เป็นกฏหมายที่กำหนดหลักเกณฑ์ กลไกและการกำกับดูแลคุ้มครองข้อมูลส่วนบุคคลในความดูแลขององค์กรต่าง ๆ เพื่อให้ภาคประชาชน ภาคธุรกิจ และภาครัฐ เกิดความเข้าใจและเตรียมพร้อมให้เป็นไปตามหลักสากล และสอดคล้องตามข้อกำหนดทางกฎหมาย ซึ่งมีผลบังคับใช้กับบุคคลธรรมดาทั่วไป และนิติบุคคลที่อยู่ในประเทศไทย 

 

บทลงโทษ

กฎหมาย PDPA กำหนดให้หากกรณีที่ข้อมูลเกิดการรั่วไหล เปิดเผย หรือเกิดการถ่ายโอนข้อมูลขึ้น ผู้ที่ละเมิดสิทธิจะต้องได้รับบทลงโทษ ทั้งทางแพ่ง ทางอาญา และโทษปรับสูงสุดไม่เกิน 5 ล้านบาท หรือจำคุกสูงสุด 1 ปี ปรับ 1 ล้านบาท หรือทั้งจำทั้งปรับจ่ายค่าสินไหมทดแทนตามความเหมาะสมในแต่ละกรณีนั้น ๆ ตามที่กำหนด  

กฎหมาย PDPA ให้ความคุ้มครองข้อมูลส่วนบุคคล มีทั้งแบบทางตรงและทางอ้อม อาทิ ข้อมูลส่วนบุคคลทั่วไป ที่สามารถนำไปใช้ยืนยันตัวบุคคลนั้น ๆ เช่น ชื่อจริง นามสกุล ที่อยู่ หมายเลขโทรศัพท์ หมายเลขบัตรประชาชน Email รูปถ่ายของบุคคลนั้นๆ อายุ ประวัติการศึกษา ประวัติการทำงาน 

 

รวมถึงให้ความคุ้มครองเป็นพิเศษเกี่ยวกับ ข้อมูลส่วนตัวที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น เชื้อชาติ สัญชาติ พฤติกรรมทางเพศ ข้อมูลด้านสุขภาพ ประวัติอาชญากรรม ความเชื่อทางศาสนา ความคิดเห็นทางด้านการเมือง ข้อมูลอื่นๆ ที่มีผลกระทบต่อเจ้าของข้อมูลส่วนบุคคล

 

สำหรับประโยชน์ที่ภาคประชาชน ภาคธุรกิจ และภาครัฐจะได้รับจากการมีกฎหมาย PDPA สรุปพอสังเขปได้ดังนี้ 

 

ภาคประชาชน  

1.เกิดความมั่นใจว่า ข้อมูลส่วนบุคคลที่ได้รับการเก็บรักษาอย่างปลอดภัย เหมาะสม และจะถูกใช้หรือเผยแพร่ ภายใต้ขอบเขตวัตถุประสงค์ ที่แจ้งไว้แต่แรก 

2.ลดความเสียหาย ความเดือดร้อนอันเกิดจากการละเมิดข้อมูลส่วนบุคคล

3.มีสิทธิในการ รับทราบ วัตถุประสงค์การจัดเก็บ ใช้ หรือ เผยแพร่ข้อมูลส่วนบุคคลอย่างแจ้งชัด

4.อนุญาต/ไม่อนุญาต หรือถอนความยินยอมให้มีการจัดเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล

5.การขอเข้าถึง ขอรับสำเนาหรือขอให้เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคล 

6.สามารถร้องเรียนและขอให้ชดใช้ค่าสินไหมทดแทน หากพบว่า มีการใช้ข้อมูลส่วนบุคคลนอกเหนือจากวัตถุประสงค์ที่แจ้งไว้ 

ภาคธุรกิจ 

1.เพิ่มความเชื่อมั่นในมาตรฐานการจัดเก็บใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลในระดับนานาชาติ 

2.เพิ่มขีดความสามารถและโอกาสในการทำธุรกิจที่มีการใช้ข้อมูลส่วนบุคคลร่วมกับต่างประเทศ

3.มีกระบวนการทำงาน กลไก ในการทำธุรกิจที่มีการใช้ข้อมูลส่วนบุคคลมาวัตถุประสงค์

4.ส่งเสริมภาพลักษณ์องค์กรด้านธรรมาภิบาล การดำเนินการเกี่ยวกับข้อมูลสวนบุคคลมีความโปร่งใส ตรวจสอบได้ รับผิดชอบต่อสังคม 


ภาครัฐ

1.ทัดเทียมนานาอารยประเทศ ในด้านกฎหมาย/ กฎระเบียบในการคุ้มครองข้อมูลส่วนบุคคล

2.มีมาตรการกำกับดูแล รวมถึงเครื่องมือกำกับการดำเนินงานการคุ้มครองข้อมูลส่วนบุคคลมีความโปร่งใส ตรวจสอบได้ 

3.สร้างสังคมที่เข้มแข็ง เนื่องจากสามารถตรวจสอบการดำเนินงานภาครัฐและภาคธุรกิจเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลให้มีความถูกต้องเหมาะสม

4.ส่งเสริมภาพลักษณ์ประเทศในด้านประสิทธิภาพการคุ้มครองข้อมูลส่วนบุคคล 

 

เมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคลเกิดขึ้นต้องทำอย่างไร 

 

ในกฎหมาย PDPA มาตรา 37 (4) และ มาตรา 40 (2) กำหนดให้เมื่อเกิดเหตุการละเมิดข้อมูลส่วนบุคคล อาทิ เหตุที่ส่งผลกระทบต่อมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลซึ่งทำให้เกิดความเสียหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ทำให้เกิดการรั่วไหลของข้อมูลส่วนบุคคล ฯลฯ

 

ผู้ควบคุมข้อมูลส่วนบุคคล ต้องแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล

 

ผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้าที่แจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น

 

กรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลให้ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย

 

ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกำหนด

 

ที่มา: กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม