×

START A PROJECT

We are here to build a high-quality extension for brands to serve your consumers.

    รับคำปรึกษาฟรี
    By HOCCO - 12 กันยายน 2024

    สรุป กฎหมาย PDPA คืออะไร ต้องทำยังไง คุ้มครองอะไรบ้าง


    ปัจจุบันเทคโนโลยีมีความก้าวหน้ามากขึ้น ช่องทางการติดต่อสื่อสารต่าง ๆ มีหลากหลายขึ้น ทำให้การละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลทำได้ง่ายขึ้น และหลายครั้งก็นำมาซึ่งความเดือดร้อน รำคาญ หรือสร้างความเสียหายให้แก่เจ้าของข้อมูล ตลอดจนสามารถส่งผลต่อเศรษฐกิจโดยรวมของประเทศได้ด้วย จึงได้มีการประกาศใช้กฎหมาย PDPA ขึ้นมานั่นเอง โดย PDPA คือการคุ้มครองข้อมูลส่วนบุคคลขึ้นเพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่รวมถึงการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขึ้น และเพื่อให้เข้าใจกฎหมาย PDPA มากขึ้น กฎหมาย PDPA คืออะไร ต้องทำยังไง คุ้มครองอะไรบ้าง บทความนี้ได้รวบรวมมาไว้ให้คุณแล้ว!

    ทำความรู้จักกับกฎหมาย PDPA

    พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA ( PDPA ย่อมาจาก Personal Data Protection Act) คือ กฎหมายที่คุ้มครองข้อมูลส่วนบุคคลที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งธุรกิจควรมีการเตรียมความพร้อมในการจัดวางโครงสร้างหรือระบบรองรับการใช้และจัดเก็บข้อมูลส่วนบุคคล รวมถึงการจัดทำเอกสารทางกฎหมายให้เป็นไปตามมาตรฐานไว้ โดยกฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565

    ทำไมถึงต้องมีกฎหมาย PDPA มีประโยชน์อย่างไร

    เหตุผลที่ต้องมีกฎหมาย PDPA เกิดจากเทคโนโลยีที่มีความก้าวหน้าอยู่ตลอดเวลา ทำให้เกิดช่องทางการสื่อสารต่างๆ ที่หลากหลายขึ้น นำมาซึ่งการละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลที่ทำได้ง่ายขึ้น และหลายครั้งก็สร้างความเดือดร้อนและความเสียหายให้กับเจ้าของข้อมูล จึงต้องมีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA นี้ขึ้นมาเพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลนี้ขึ้นมา

    โดยกฎหมาย PDPA จะส่งผลประโยชน์ให้ตัวบุคคลและองค์กรต่างๆ ดังนี้

     1. PDPA ลดความเสี่ยงจากการถูกละเมิดข้อมูลส่วนบุคคลได้ : นอกจากกฎหมายฉบับนี้จะช่วยสร้างความปลอดภัยของข้อมูลส่วนบุคคลแล้ว ยังเพิ่มความมั่นใจและความน่าเชื่อถือในการยินยอมของประชาชน หรือลูกค้า ในมุมของการให้ข้อมูลส่วนบุคคลกับองค์กร หากคุณจะนำข้อมูลไปใช้ตาม

     2. คนธรรมดามีสิทธิรับทราบวัตถุประสงค์ของการให้ข้อมูลก่อนตัดสินใจให้ข้อมูล

     3. คนธรรมดาสามารถขอเข้าถึงและรับข้อมูลส่วนบุคคลของตนเองจากทางผู้เก็บข้อมูลได้ทุกเมื่อ

     4. คนธรรมดามีสิทธิยกเลิกความยินยอมในการเก็บ ใช้งาน และเผยแพร่ข้อมูลส่วนบุคคลของตัวเองได้ทุกเมื่อ โดยผู้เก็บข้อมูล (Data Controller) จะต้องยอมรับ และระงับการใช้งานข้อมูลที่ว่าตามการความต้องการของเจ้าของข้อมูล

     5. PDPA มีผลกระทบต่อการค้าระหว่างประเทศ และการทำธุรกิจระหว่างประเทศอย่างเป็นนัยสำคัญ เพราะกฎหมายฉบับนี้เกี่ยวข้องกับ “ความน่าเชื่อถือ” ในมาตรการคุ้มครองข้อมูลส่วนบุคคลของประเทศ ถ้าหากไม่มี นั่นทำให้คุณพลาดโอกาส และความเชื่อมั่นจากหลายประเทศ รวมไปถึงประชาคมโลกที่กังวลในเรื่องของ Data Protection

    บทลงโทษถ้าหากไม่ปฏิบัติตามกฎ PDPA


    ผู้ที่ไม่ปฏิบัติตามกฎหมาย PDPA จะต้องรับโทษ โดยแบ่งเป็น 3 ประเภท ดังนี้

    ทางแพ่ง : กำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด และอาจจะต้องจ่ายบวกเพิ่มอีกเป็นค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่าของค่าเสียหายจริง

    ● ทางอาญา : จะมีทั้งโทษจำคุกและโทษปรับ โดยมีโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ โดยโทษสูงสุดดังกล่าวจะเกิดจากการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศ ประเภทข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data)

    ทางปกครอง : โทษปรับมีตั้งแต่ 1 ล้านบาทจนถึงสูงสุดไม่เกิน 5 ล้านบาท ซึ่งโทษปรับสูงสุด 5 ล้านบาท จะเป็นกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) ซึ่งโทษทางปกครองนี้จะแยกต่างหากกับการชดใช้ค่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทางอาญาด้วย

    ข้อมูลที่ กฎหมายPDPA คุ้มครอง

    เมื่อเข้าใจแล้วว่า PDPA คืออะไร? ทีนี้เราก็มารู้จักกับความหมายและประเภทของข้อมูลส่วนบุคคลที่กฎหมาย PDPA คุ้มครอง โดยสามารถแบ่งข้อมูลส่วนบุคคลเป็น 2 ประเภท ได้แก่

     1.  ข้อมูลส่วนบุคคล (Personal Data) คือ ข้อมูลใด ๆ ที่สามารถระบุตัวบุคคลนั้นได้ (ระบุไปถึงเจ้าของข้อมูล) ไม่ว่าจะเป็นทางตรงหรือทางอ้อมก็ตาม แต่จะไม่รวมไปถึงข้อมูลของผู้ที่เสียชีวิตแล้ว หรือ ข้อมูลของนิติบุคคล เช่น บริษัท มูลนิธิ สมาคม องค์กร เป็นต้น

    ตัวอย่าง ข้อมูลส่วนบุคคล (Personal Data) มีดังนี้

    ● ชื่อ-นามสกุล หรือชื่อเล่น

    ● เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต

    ● ที่อยู่, อีเมล, เลขโทรศัพท์

    ● ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address, MAC address, Cookie ID

    ● ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์, โฉนดที่ดิน

    ● ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิดและสถานที่เกิด, เชื้อชาติ,สัญชาติ, น้ำหนัก, ส่วนสูง, ข้อมูลตำแหน่งที่อยู่ (location), ข้อมูลการแพทย์, ข้อมูลการศึกษา, ข้อมูลทางการเงิน, ข้อมูลการจ้างงาน

    ● ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิล์ม แม้ไม่สามารถระบุไปถึงตัวบุคคลได้ แต่หากใช้ร่วมกับระบบดัชนีข้อมูลอีกระบบหนึ่งก็จะสามารถระบุไปถึงตัวบุคคลได้ ดังนั้น

    ● ข้อมูลการประเมินผลการทำงานหรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง

    ● ข้อมูลบันทึกต่าง ๆ ที่ใช้ติดตามตรวจสอบกิจกรรมต่าง ๆ ของบุคคล เช่น log file

    ● ข้อมูลที่สามารถใช้ในการค้นหาข้อมูลส่วนบุคคลอื่นในอินเทอร์เน็ต

     2. ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) คือ ข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม จึงจำเป็นต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ

    ตัวอย่าง ข้อมูลส่วนบุคคลที่ข้อมูลอ่อนไหว มีดังนี้

    ● เชื้อชาติ

    ● เผ่าพันธุ์

    ● ความคิดเห็นทางการเมือง

    ● ความเชื่อในลัทธิ ศาสนาหรือปรัชญา

    ● พฤติกรรมทางเพศ

    ● ประวัติอาชญากรรม

    ● ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต

    ● ข้อมูลสหภาพแรงงาน

    ● ข้อมูลพันธุกรรม

    ● ข้อมูลชีวภาพ

    ● ข้อมูลทางชีวมิติ (Biometric) เช่น รูปภาพใบหน้า, ลายนิ้วมือ, ฟิล์มเอกซเรย์, ข้อมูลสแกนม่านตา, ข้อมูลอัตลักษณ์เสียง, ข้อมูลพันธุกรรม

    ● ข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด


    5 ขั้นตอน การ PDPA ตามข้อบังคับ

    การปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ในประเทศไทยเป็นกระบวนการที่สำคัญเพื่อให้ธุรกิจหรือองค์กรปฏิบัติตามกฎหมายอย่างถูกต้อง โดยทั่วไปแล้วสามารถแบ่งออกเป็น 5 ขั้นตอนหลัก ดังนี้

     1. การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

    องค์กรจำเป็นต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer - DPO) เพื่อเป็นผู้รับผิดชอบในการตรวจสอบและดูแลให้การปฏิบัติตาม PDPA เป็นไปอย่างถูกต้อง โดย DPO จะทำหน้าที่ให้คำปรึกษา ตรวจสอบ และเป็นตัวกลางระหว่างองค์กรกับหน่วยงานที่กำกับดูแล

     2. การเก็บรวบรวมข้อมูลส่วนบุคคล

    การเก็บรวบรวมข้อมูลต้องมีการกำหนดวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลอย่างชัดเจน โดยต้องแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์นั้น และควรเก็บเฉพาะข้อมูลที่จำเป็นและสอดคล้องกับวัตถุประสงค์ที่กำหนดไว้ โดยต้องมีมาตรการในการรักษาความปลอดภัยของข้อมูลอย่างเหมาะสมด้วย

     3. การขอความยินยอม (Consent)

    ก่อนที่จะเก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคล ควรขอความยินยอมจากเจ้าของข้อมูลอย่างชัดเจนและเป็นธรรม ความยินยอมต้องเป็นอิสระ ไม่กดดัน และต้องมีสิทธิ์ที่จะถอนความยินยอมได้ตลอดเวลา โดยขอเป็นหนังสือหรือผ่านระบบอิเล็กทรอนิกส์ และแยกส่วนจากข้อความอื่นอย่างชัดเจน

     4. การประมวลผลและใช้ข้อมูลส่วนบุคคล

    ใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้ระบุไว้ในเอกสารที่แจ้งให้เจ้าของข้อมูลทราบ หากมีการเปลี่ยนแปลงวัตถุประสงค์ จำเป็นต้องแจ้งเจ้าของข้อมูลและอาจต้องขอความยินยอมใหม่

     5. การให้สิทธิ์และการเข้าถึงข้อมูล

    เจ้าของข้อมูลมีสิทธิ์ในการเข้าถึง แก้ไข หรือขอให้ลบข้อมูลส่วนบุคคลของตนเองได้ตลอด องค์กรต้องมีระบบที่สามารถตอบสนองต่อคำขอของเจ้าของข้อมูลได้อย่างรวดเร็วและมีประสิทธิภาพ และการปฏิบัติตาม PDPA เป็นกระบวนการที่ต้องอาศัยการวางแผนและการดำเนินการที่ครอบคลุม เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลได้รับการคุ้มครองอย่างเหมาะสมตามกฎหมาย

    สรุป

    สรุปแบบเข้าใจง่าย ๆ PDPA นั่นเกี่ยวข้องกับเราทุกคน เพราะทุกคนมีข้อมูลส่วนตัว ทุกคนควรรู้สิทธิที่เราพึงมีต่อข้อมูลส่วนตัวของเราว่าเราทำอะไรได้บ้าง หากไม่รู้สิทธิที่มีอาจถูกเอาเปรียบ ทำให้เกิดความเสียหายภายหลังได้ รวมถึงค่าสินไหมที่ควรได้รับก็ไม่ได้ และทุกองค์กร มีการเก็บข้อมูลส่วนตัว ดังนั้นแล้วบุคลากรในองค์กรต้องทราบขอบเขตใน การนำข้อมูลส่วนบุคคลไปใช้ไปเปิดเผย รวมถึงการจัดเก็บข้อมูลส่วนตัวให้ปลอดภัย หากเกิดความเสียหายอันเกิดจากการเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล โดยไม่เป็นไปตาม PDPA แล้ว ก็จะได้รับบทลงโทษ

    โดยสรุปแล้วจะเห็นได้ว่าการปฏิบัติตามพรบ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) นั้นเป็นเรื่องที่ทำได้ค่อนข้างยากหากไม่มีผู้เชี่ยวชาญที่รู้จริงมาคอยช่วยเหลือให้คำแนะนำ ซึ่ง Hocco เราเป็น IT consultant ที่มีผู้เชี่ยวชาญทั้งด้านกฎหมาย ด้านเอกสารและด้านไอที ที่จะสามารถนำพาองค์กรของท่านรองรับพรบ. PDPA ได้อย่างครบวงจร หากสนใจติดต่อได้ที่ E-mail : hello@hocco.co หรือโทร. 064-6166426, 084-7332417

    อ้างอิง

    https://cookieinformation.com/what-is-the-thailand-pdpa/

    SHARE THIS STORY

    RELATES TAGS

    MORE ARTICLES

    12.09.2024

    0 Comment

    Hocco Co.,Ltd.

    226 Visetsiri Building Phaholyothin Road, Samsen Nai Sub-district, Phayathai District, Bangkok 10400

    Hocco we are here to build a high-quality extension for brands to serve your consumers.

    COPYRIGHT © 2020 HOCCO CO.,LTD. ®