PDPA คืออะไร?
กฎหมาย PDPA เป็นกฎหมายที่มีขึ้นมาเพื่อให้ภาคธุรกิจเอกชน และรัฐ ที่มีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล หรือมีการโอนข้อมูลส่วนบุคคลภายในประเทศไทย เพื่อให้เป็นไปตามมาตรการการปกป้องข้อมูลของผู้อื่นจากการถูกล่วงละเมิดสิทธิความเป็นส่วนตัว โดยตัวกฎหมายได้มีการกำหนดวัตถุประสงค์ขึ้นมาเพื่อห้ามการนำข้อมูลไปใช้หรือนำไปเปิดเผยข้อมูลส่วนบุคคลโดยที่ยังไม่ได้รับความยินยอมจากเจ้าของข้อมูล ดังนั้นแล้วในการขอเข้าถึงข้อมูลส่วนบุคคลของผู้อื่นจะต้องมีการขอความยินยอมจากบุคคลที่เป็นเจ้าของข้อมูลก่อนการเก็บรวบรวม การนำไปใช้ หรือการนำไปเปิดเผยก่อนเสมอ
ข้อมูลส่วนบุคคลตามกฎหมาย PDPA คืออะไร?
- ข้อมูลที่เกี่ยวกับบุคคลธรรมดา ( Personal Data ) ที่สามารถระบุถึงตัวบุคคลนั้นได้ ไม่ว่าจะเป็นทั้งทางตรงหรือทางอ้อม ยกตัวอย่างเช่น ชื่อ-สกุล เลขบัตรประชาชน เบอร์โทรฯ ที่อยู่ รวมทั้งอีเมล เป็นต้น
- ข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว (Sensitive Data) ที่เป็นข้อมูลที่ค่อนข้างมีความอ่อนไหวต่อตัวบุคคลที่เป็นเจ้าของข้อมูลในการเปิดเผยเพื่อป้องกันการได้รับการเลือกปฏิบัติอย่างไม่เป็นธรรม ยกตัวอย่างเช่น เชื้อชาติ ศาสนา ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลชีวภาพ (รูปถ่าย หรือลายนิ้วมือ) เป็นต้น
- ข้อมูลที่สามารถนำไปแยกแยะได้ว่าบุคคลคนนั้นคือใคร ข้อมูลที่สามารถเอาไปใช้ติดตามบุคคลนั้นได้และสามารถเชื่อมโยงไปยังข้อมูลแหล่งอื่นๆ ที่สามารถเจาะจงถึงตัวบุคคลที่เป็นเจ้าของข้อมูลได้ แต่กฎหมายนี้มีข้อยกเว้นในส่วนของการไม่คุ้มครองข้อมูลของผู้ถึงแก่กรรมหรือข้อมูลผู้เสียชีวิตนั้นเอง
ข้อมูลส่วนบุคคลสามารถนำไปใช้ในกรณีใดได้บ้าง?
ข้อมูลส่วนบุคคลตามที่กฎหมาย PDPA กำหนดไว้นั้นสามารถนำไปใช้หรือเปิดเผยเพื่อการใดได้บ้างตามกรณี ยกตัวอย่างดังต่อไปนี้
- ใช้เป็นข้อมูลที่จำเป็นต้องใช้ในการทำตามสัญญาให้บริการต่าง ๆ
- เพื่อเป็นการใช้ข้อมูลที่มีกฎหมายอื่นให้อำนาจกำหนดไว้
- เป็นการใช้เพื่อรักษาชีวิตและ/ หรือร่างกายของบุคคล
- การใช้เพื่อการศึกษาวิจัยหรือสถิติ
- เป็นการใช้ตามหน้าที่เพื่อประโยชน์สาธารณะ
- ใช้เพื่อปกป้องผลประโยชน์ของตัวเองโดยไม่ละเมิดสิทธิข้อมูลของผู้อื่น
บทลงโทษหากไม่ปฏิบัติตาม PDPA
หากในกรณีที่บุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้มีการร้องขอตามสิทธิเจ้าของข้อมูลส่วนบุคคล PDPA ตามที่จะได้รับสิมธิแล้ว แต่องค์กรธุรกิจยังมีการเพิกเฉยไม่มีการปฏิบัติตามหน้าที่ที่ต้องพิจารณาตามคำร้องและดำเนินการตามคำร้องของเจ้าของข้อมูลเพื่อให้เป็นไปตามสิทธิของเจ้าของข้อมูลตามที่กฎหมายกำหนดแล้วนั้น และถ้าธุรกิจไม่ปฏิบัติตามระเบียบที่กฎหมายกำหนด จนก่อให้เกิดเหตุการณ์ที่ข้อมูลส่วนบุคคลถูกละเมิดและถูกนำไปใช้ในทางที่ผิดก็อาจจะเกิดผลกระทบต่อธุรกิจได้ ดังนั้นแล้วระเบียบกฎหมาย PDPA จึงได้มีการกำหนดบทลงโทษเพื่อให้เป็นไปตามระเบียบของกฎหมาย กฎหมาย PDPA จึงได้มีการกำหนดโทษไว้ 3 ส่วนด้วยกัน คือ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง ดังนี้
โทษทางแพ่ง
หากผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ทำให้เจ้าของข้อมูลเสียหายจะต้องชดใช้ “ค่าสินไหมทดแทน” ไม่ว่าการดำเนินการที่ฝ่าฝืนกฎหมายนั้นจะเป็นการกระทำโดยจงใจหรือประมาทเลินเล่อ ** โดยมีข้อยกเว้น คือ พิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัย เกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคล เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติตามอำนาจของกฎหมาย **
- ค่าสินไหมทดแทน จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
- อายุความ 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล
โทษทางอาญา
โทษทางอาญาแบ่งออกเป็น การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความ อับอาย และการใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย เพื่อแสวงหาประโยชน์ที่ไม่ชอบด้วยกฎหมาย
- โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ
ตรวจสอบ 6 ข้อเท็จจริง โทษอาญา กฎหมาย PDPA
- PDPA มีบทลงโทษอาญา เพื่อปกป้องประชาชนจาก “มิจฉาชีพ หรือ ผู้ประสงค์ร้าย” กรณีมีการนํา ข้อมูลอ่อนไหวดังนี้ “เชื้อชาติเผ่าพันธุ์ ความคิดเห็นทางการ เมือง ความเชื่อในลัทธิ ศาสนา หรือ ปรัชญา พฤติกรรมทาง เพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิกาs ข้อมูล สหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ” ของประชาชนไปใช้ ทําให้เกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่นเกลียดชัง หรือ หาผลประโยชน์แบบผิดกฎหมาย
- กรณีใช้ข้อมูลอ่อนไหวดังกล่าวทําให้เกิด ความเสียหาย เสียชื่อเสียง ถูกดูหมิ่นเกลียดชัง โทษสูงสุดจําคุก 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจําทั้งปรับ
- กรณีใช้ข้อมูลอ่อนไหวดังกล่าว หาผลประโยชน์ แบบผิดกฎหมาย โทษสูงสุดจําคุก 1 ปี หรือ ปรับไม่เกิน 1,000,000 บาท หรือทั้งจําทั้งปรับ
- การลงโทษอาญาต้องพิจารณา จากข้อเท็จจริงและองค์ประกอบ อาทิ เจตนาของการกระทํา และ การใช้หรือเปิดเผยข้อมูลไม่ถูกต้อง ตามกฎหมาย
- การละเมิดข้อมูลส่วนบุคคล ทั่วไป เช่น ชื่อ เบอร์โทร ที่อยู่อาศัย หมายเลvประจําตัว ไม่เข้าองค์ประกอบโทษอาญา ตามมาตรา 79
- ข้อมูลส่วนบุคคลสามารถถูกนําไปใช้หรือเปิดเผยได้หากได้รับความยินยอม จากเจ้าของข้อมูลส่วนบุคคล หรือเป็นไปตามกรณีดังต่อไปนี้
- เป็นข้อมูลที่จําเป็นต้องใช้ในการทําตามสัญญาให้บริการ
- เป็นการใช้ข้อมูลที่มีกฎหมายอื่นให้อํานาจไว้
- เป็นการใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล
- เป็นการใช้เพื่อการศึกษาวิจัยหรือสถิติ
- เป็นการใช้ตามหน้าที่เพื่อประโยชน์สาธารณะ
- เป็นการใช้เพื่อปกป้องผลประโยชน์ของตนเองโดยไม่ละเมิดสิทธิของผู้อื่น
โทษทางปกครอง
โทษทางปกครอง จะแบ่งออกเป็น 3 ส่วน คือ โทษของผู้ควบคุมข้อมูล, โทษของผู้ประมวลผลข้อมูล และโทษทางปกครองอื่นๆ
โทษของผู้ควบคุมข้อมูล
- การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย
- การไม่ขอความยินยอมให้ถูกต้องตามกฎหมายหรือไม่แจ้งผลกระทบจากการถอน ความยินยอม
- การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลผิดไปจากวัตถุประสงค์ที่ได้แจ้งไว้โดยไม่ได้แจ้งวัตถุประสงค์ใหม่หรือมีกฎหมายให้ทำได้
- การเก็บรวบรวมข้อมูลเกินไปกว่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
- การเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรงที่ต้องห้ามตามกฎหมาย
- การขอความยินยอมที่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์
- การเก็บรวบรวม ใช้ หรือเปิดเผย การโอนข้อมูลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย
- การไม่แจ้งเจ้าของข้อมูลทั้งในกรณีเก็บข้อมูลจากเจ้าของข้อมูลโดยตรงหรือโดยอ้อม
- การไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ
- การไม่ดำเนินการตามสิทธิคัดค้านของเจ้าของข้อมูล
- การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- การไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วน บุคคลอย่างเพียงพอ
- การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย
- การไม่จัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดให้ มีระบบตรวจสอบเพื่อลบทำลายข้อมูลหรือไม่ปฏิบัติสิทธิในการลบเมื่อถอนความ ยินยอมหรือตามสิทธิในการขอลบข้อมูล
โทษของผู้ประมวลผลข้อมูล
- การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือการไม่สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอ
- การไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูล การไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดทำบันทึกรายการกิจกรรมการประมวลผล
- การโอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
- การไม่ตั้งตัวแทนในราชอาณาจักรในกรณีที่กฎหมายกำหนด
- การโอนข้อมูลอ่อนไหวไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
โทษทางปกครองอื่น ๆ
- ตัวแทนของผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล ไม่จัดให้มีบันทึกรายการประมวลผลข้อมูล
- ไม่ปฏิบัติตามคำสั่งคณะกรรมผู้เชี่ยวชาญ หรือไม่มาชี้แจงข้อเท็จจริง หรือไม่ส่งข้อมูลให้คณะกรรมการผู้เชี่ยวชาญ
- โทษทางปกครองปรับสูงสุดไม่เกิน 5,000,000 บาท
สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR คลิ๊ก!!!
คลิปบรรยายเพิ่มเติมเรื่อง กฏหมาย PDPA โดยธนาคารแห่งประเทศไทย BANK OF THAILAND
