PDPA ย่อมาจาก Personal Data Protection Act B.E. 2562 (2019) คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งจะเริ่มบังคับใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 ที่จะถึงนี้ซึ่งหลังจากบังคับใช้แล้ว ตัวกฎหมายนี้จะส่งผลกระทบกับภาคธุรกิจที่มีข้อมูลส่วนบุคคลอยู่ในมือโดยตรง เราไปดูกันว่าในฐานะผู้ประกอบการ เจ้าของธุรกิจ ผู้บริหารองค์กรต่างๆ นั้น ควรเทคแอคชั่น และเตรียมความพร้อมอย่างไรบ้าง?
ข้อมูลส่วนบุคคลภายใต้การคุ้มครองของ PDPA มีอะไรบ้าง?
ข้อมูลส่วนบุคคลที่ได้รับการคุ้มครอง ได้แก่ ชื่อและนามสกุล, ที่อยู่, เบอร์โทรศัพท์, อีเมลส่วนตัว, บัญชีธนาคาร, เลขบัตรเครดิต บัตรเดบิต, เลขประจำตัวบัตรประชาชน, เลขหนังสือเดินทาง, เลขใบอนุญาตขับขี่ ทะเบียนบ้าน, วันเดือนปีเกิด, โฉนดที่ดิน สัญชาติ, Username-Password ในการสมัครและลงทะเบียนเว็บไซต์, IP Address, ลายนิ้วมือ, รูปภาพใบหน้า, ทะเบียนรถ, น้ำหนักและส่วนสูง, GPS Location รวมถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่น เชื้อชาติ เผ่าพันธุ์, ความคิดเห็นทางการเมือง, ความเชื่อในลัทธิ, ศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน, ข้อมูลชีวภาพ, ข้อมูลพันธุกรรม, ข้อมูลด้านสุขภาพ, ความพิการ, การฉีดวัคซีน, ใบรับรองแพทย์, ประวัติการรักษาสุขภาพจิต
ใครที่ต้องเตรียมรับมือกฎหมาย PDPA
- เจ้าของข้อมูลส่วนบุคคล (Data Subject)
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคลคล บริษัท หรือองค์กรต่าง ๆ ซึ่งเป็นผู้ตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร ภายใต้กฎหมาย PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคล บริษัท หรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง
บทลงโทษ ถ้าไม่ทำตามกฎหมาย PDPA
กฎหมายการคุ้มครองข้อมูลส่วนบุคคลนั้นมีการกำหนดโทษเอาไว้ในส่วนของโทษทางอาญาและโทษทางปกครองเอาไว้ดังนี้
โทษทางอาญา
กฎหมายกำหนดเอาไว้ ในกรณีที่ผู้ควบคุมใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม ซึ่งข้อมูลนั้นๆ เป็นข้อมูลที่มีความละเอียดอ่อน (Sensitive Data) หรือโอนย้ายข้อมูลไปต่างประเทศโดยไม่ได้ทำตามระเบียบ และล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นแล้วนำไปเปิดเผย
- ในกรณีที่ทำให้เกิดความเสียหายแก่ชื่อเสียง ดูถูก เกลียดชัง ได้รับความอับอาย มีโทษจำคุก 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
- ในกรณีที่ใช้ข้อมูลนั้นเพื่อแสวงหาประโยชน์โดยมิชอบ มีโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ
ในกรณีที่ผู้กระทำความผิดเป็นนิติบุคคล กรรมการหรือผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้นอาจต้องร่วมรับผิดในความผิดอาญาที่เกิดขึ้นด้วย
โทษทางปกครอง
สำหรับโทษทางปกครองนั้น การคุ้มครองข้อมูลส่วนบุคคลหากผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูล ที่กระทำการฝ่าฝืนหรือไม่ปฏิบัติตามที่กฎหมายกำหนด เช่น ไม่แจ้งวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบ, ขอความยินยอมโดยหลอกลวงหรือทำให้เจ้าของข้อมูลเข้าใจผิดในวัตถุประสงค์ของการเก็บข้อมูล, ไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นต้น มีโทษปรับทางปกครองสูงสุด 5,000,000 บาท