Personal Data Protection Act (PDPA) คืออะไร มีผลกับบุคคล องค์กร หรือหน่วยงานราชการ อย่างไร และใครบ้างที่มีส่วนร่วม???
PDPA (Personal Data Protection Act, 2019) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งจะประกาศใช้ในวันที่ 27 พ.ค. 2564 เหตุผลในการประกาศใช้ PDPA นั่นเพื่อปรับให้เข้ากับเทคโนโลยีที่มีการพัฒนามากขึ้น ทำให้สามารถละเมิดสิทธิส่วนบุคคลได้ง่ายขึ้น ซึ่งอาจทำให้สร้างความเสียหายให้แก่เจ้าของข้อมูล ตลอดจนอาจส่งผลเศรษฐกิจของประเทศด้วย กฎหมายที่เกี่ยวข้องกับ PDPA ได้แก่ พรบ.การอำนวยความสะดวกฯ ซึ่งว่าด้วยเรื่องของการอำนวยความสะดวกในการพิจารณาเอกสารของราชการให้แก่ประชาชนหรือภาคเอกชน ให้สามารถยื่นเอกสารผ่านสื่อออนไลน์ได้และลดขั้นตอนในการดำเนินงานเพื่อพิจารณาเอกสารได้เร็วมากขึ้น
ข้อมูลส่วนบุคคล คือ???
ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม โดยข้อมูลของผู้ถึงแก่กรรม และข้อมูลนิติบุคคล ไม่ถือเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ.นี้ เช่น ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ - นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน นอกจากนี้ยังรวมถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ด้วย เช่น ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น
สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) มีอะไรบ้างและสำคัญอย่างไร???
- สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)
- สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
- สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
- สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
- สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure (also known as right to be forgotten)
- สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
- สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)
บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลมีใครสามารถเข้าถึงได้บ้าง???
- เจ้าของข้อมูลส่วนบุคคล (Data Subject)คือ บุคคลที่ข้อมูลระบุไปถึง
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
การเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล สามารถทำได้ในกรณีดังนี้
- ได้รับความยินยอมจากเจ้าของข้อมูส่วนบุคคล
- จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ การศึกษาวิจัยหรือการจัดทำสถิติ
- ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
- จำเป็นเพื่อปฏิบัติกฎหมาย หรือสัญญา
- จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น
- จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (Cross-border Personal Data Transfer)
ประเทศปลายทางหรือองค์การระหว่างประเทศ ที่รับข้อมูลส่วนบุคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ เว้นแต่จะได้รับความยินยอมจากเจ้าของข้อมูล หรือเป็นการปฏิบัติตามกฎหมาย/สัญญา หรือเพื่อประโยชน์สาธารณะเป็นสำคัญเท่านั้น
บทลงโทษหากไม่ปฏิบัติตาม PDPA
เพื่อให้ข้อมูลส่วนบุคคลถูกนำไปใช้ในทางที่เหมาะสมและเป็นประโยชน์มากกว่าโทษ การให้ข้อมูลแต่ละครั้งจึงต้องพิจารณาอย่างรอบคอบก่อนให้ข้อมูล เช่นการให้ข้อมูลเพื่อจัดส่งสินค้า หากมีการขอข้อมูลที่ไม่เกี่ยวกับการจัดส่ง เจ้าของข้อมูลก็มีสิทธิปฏิเสธการให้ข้อมูลนั้น และในส่วนของผู้เก็บข้อมูล ก็ต้องรู้ขอบเขตในการเข้าถึงข้อมูลส่วนบุคคล มีระบบในการควบคุม/ยืนยันตัวตนในการเข้าถึงข้อมูล และจำเป็นต้องมีการกำหนดนโยบายองค์กรเพื่อให้บุคคลที่เกี่ยวข้องปฏิบัติตาม เพราะหากไม่ทำตามอาจได้รับโทษดังนี้
- ความรับผิดทางแพ่งตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง
- โทษทางอาญาจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
- โทษทางปกครองปรับสูงสุดไม่เกิน 5 ล้านบาท
Link Site Reference: https://www.microsystems.co.th/reference/
Link Cloud Service: https://cloud.microsystems.co.th/
Link Implement Service: https://www.microsystems.co.th/
สนใจ Solution ติดต่อ
Mr.Jakkaphan Chavaphansiriporn
Business Director (Business Solution Team)
Email:Jakkaphan@microsystems.co.th
Skype SIP: Jakkaphan@microsystems.co.th
Mobile : 083-447-2499
Telephone: 02-550-6887
