PDPA คืออะไร เข้าใจกฎหมายคุ้มครองข้อมูลส่วนบุคคล ง่ายนิดเดียว!

กฎหมาย PDPA (Personal Data Protection Act)

PDPA ย่อมาจาก Personal Data Protection Act B.E. 2562 (2019) คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งจะเริ่มบังคับใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 ที่จะถึงนี้ซึ่งหลังจากบังคับใช้แล้ว ตัวกฎหมายนี้จะส่งผลกระทบกับภาคธุรกิจที่มีข้อมูลส่วนบุคคลอยู่ในมือโดยตรง เราไปดูกันว่าในฐานะผู้ประกอบการ เจ้าของธุรกิจ ผู้บริหารองค์กรต่างๆ นั้น ควรเทคแอคชั่น และเตรียมความพร้อมอย่างไรบ้าง?

ข้อมูลส่วนบุคคลภายใต้การคุ้มครองของ PDPA มีอะไรบ้าง?

ข้อมูลส่วนบุคคลที่ได้รับการคุ้มครอง ได้แก่ ชื่อและนามสกุล, ที่อยู่, เบอร์โทรศัพท์, อีเมลส่วนตัว, บัญชีธนาคาร, เลขบัตรเครดิต บัตรเดบิต, เลขประจำตัวบัตรประชาชน, เลขหนังสือเดินทาง, เลขใบอนุญาตขับขี่ ทะเบียนบ้าน, วันเดือนปีเกิด, โฉนดที่ดิน สัญชาติ, Username-Password ในการสมัครและลงทะเบียนเว็บไซต์, IP Address, ลายนิ้วมือ, รูปภาพใบหน้า, ทะเบียนรถ, น้ำหนักและส่วนสูง, GPS Location รวมถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่น เชื้อชาติ เผ่าพันธุ์, ความคิดเห็นทางการเมือง, ความเชื่อในลัทธิ, ศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน, ข้อมูลชีวภาพ, ข้อมูลพันธุกรรม, ข้อมูลด้านสุขภาพ, ความพิการ, การฉีดวัคซีน, ใบรับรองแพทย์, ประวัติการรักษาสุขภาพจิต

ใครที่ต้องเตรียมรับมือกฎหมาย PDPA

  • เจ้าของข้อมูลส่วนบุคคล (Data Subject)
  • ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคลคล บริษัท หรือองค์กรต่าง ๆ ซึ่งเป็นผู้ตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร  ภายใต้กฎหมาย PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน 
  • ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคล บริษัท หรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง 

บทลงโทษ ถ้าไม่ทำตามกฎหมาย PDPA

กฎหมายการคุ้มครองข้อมูลส่วนบุคคลนั้นมีการกำหนดโทษเอาไว้ในส่วนของโทษทางอาญาและโทษทางปกครองเอาไว้ดังนี้

โทษทางอาญา

กฎหมายกำหนดเอาไว้ ในกรณีที่ผู้ควบคุมใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม ซึ่งข้อมูลนั้นๆ เป็นข้อมูลที่มีความละเอียดอ่อน (Sensitive Data) หรือโอนย้ายข้อมูลไปต่างประเทศโดยไม่ได้ทำตามระเบียบ และล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นแล้วนำไปเปิดเผย

  • ในกรณีที่ทำให้เกิดความเสียหายแก่ชื่อเสียง ดูถูก เกลียดชัง ได้รับความอับอาย มีโทษจำคุก 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
  • ในกรณีที่ใช้ข้อมูลนั้นเพื่อแสวงหาประโยชน์โดยมิชอบ มีโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

ในกรณีที่ผู้กระทำความผิดเป็นนิติบุคคล กรรมการหรือผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้นอาจต้องร่วมรับผิดในความผิดอาญาที่เกิดขึ้นด้วย

โทษทางปกครอง

สำหรับโทษทางปกครองนั้น การคุ้มครองข้อมูลส่วนบุคคลหากผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูล ที่กระทำการฝ่าฝืนหรือไม่ปฏิบัติตามที่กฎหมายกำหนด เช่น ไม่แจ้งวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบ, ขอความยินยอมโดยหลอกลวงหรือทำให้เจ้าของข้อมูลเข้าใจผิดในวัตถุประสงค์ของการเก็บข้อมูล, ไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นต้น มีโทษปรับทางปกครองสูงสุด 5,000,000 บาท