Skip to content

Table of Contents

PDPA คืออะไร?

          กฎหมาย PDPA เป็นกฎหมายที่มีขึ้นมาเพื่อให้ภาคธุรกิจเอกชน และรัฐ ที่มีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล หรือมีการโอนข้อมูลส่วนบุคคลภายในประเทศไทย เพื่อให้เป็นไปตามมาตรการการปกป้องข้อมูลของผู้อื่นจากการถูกล่วงละเมิดสิทธิความเป็นส่วนตัว โดยตัวกฎหมายได้มีการกำหนดวัตถุประสงค์ขึ้นมาเพื่อห้ามการนำข้อมูลไปใช้หรือนำไปเปิดเผยข้อมูลส่วนบุคคลโดยที่ยังไม่ได้รับความยินยอมจากเจ้าของข้อมูล ดังนั้นแล้วในการขอเข้าถึงข้อมูลส่วนบุคคลของผู้อื่นจะต้องมีการขอความยินยอมจากบุคคลที่เป็นเจ้าของข้อมูลก่อนการเก็บรวบรวม การนำไปใช้ หรือการนำไปเปิดเผยก่อนเสมอ

ข้อมูลส่วนบุคคลตามกฎหมาย PDPA คืออะไร?

  • ข้อมูลที่เกี่ยวกับบุคคลธรรมดา ( Personal Data ) ที่สามารถระบุถึงตัวบุคคลนั้นได้ ไม่ว่าจะเป็นทั้งทางตรงหรือทางอ้อม ยกตัวอย่างเช่น ชื่อ-สกุล เลขบัตรประชาชน เบอร์โทรฯ ที่อยู่ รวมทั้งอีเมล เป็นต้น
  • ข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว (Sensitive Data) ที่เป็นข้อมูลที่ค่อนข้างมีความอ่อนไหวต่อตัวบุคคลที่เป็นเจ้าของข้อมูลในการเปิดเผยเพื่อป้องกันการได้รับการเลือกปฏิบัติอย่างไม่เป็นธรรม ยกตัวอย่างเช่น เชื้อชาติ ศาสนา ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลชีวภาพ (รูปถ่าย หรือลายนิ้วมือ) เป็นต้น
  • ข้อมูลที่สามารถนำไปแยกแยะได้ว่าบุคคลคนนั้นคือใคร ข้อมูลที่สามารถเอาไปใช้ติดตามบุคคลนั้นได้และสามารถเชื่อมโยงไปยังข้อมูลแหล่งอื่นๆ ที่สามารถเจาะจงถึงตัวบุคคลที่เป็นเจ้าของข้อมูลได้ แต่กฎหมายนี้มีข้อยกเว้นในส่วนของการไม่คุ้มครองข้อมูลของผู้ถึงแก่กรรมหรือข้อมูลผู้เสียชีวิตนั้นเอง

ข้อมูลส่วนบุคคลสามารถนำไปใช้ในกรณีใดได้บ้าง?

ข้อมูลส่วนบุคคลตามที่กฎหมาย PDPA กำหนดไว้นั้นสามารถนำไปใช้หรือเปิดเผยเพื่อการใดได้บ้างตามกรณี ยกตัวอย่างดังต่อไปนี้

  • ใช้เป็นข้อมูลที่จำเป็นต้องใช้ในการทำตามสัญญาให้บริการต่าง ๆ
  • เพื่อเป็นการใช้ข้อมูลที่มีกฎหมายอื่นให้อำนาจกำหนดไว้
  • เป็นการใช้เพื่อรักษาชีวิตและ/ หรือร่างกายของบุคคล
  • การใช้เพื่อการศึกษาวิจัยหรือสถิติ
  • เป็นการใช้ตามหน้าที่เพื่อประโยชน์สาธารณะ
  • ใช้เพื่อปกป้องผลประโยชน์ของตัวเองโดยไม่ละเมิดสิทธิข้อมูลของผู้อื่น

บทลงโทษหากไม่ปฏิบัติตาม PDPA

          หากในกรณีที่บุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้มีการร้องขอตามสิทธิเจ้าของข้อมูลส่วนบุคคล PDPA ตามที่จะได้รับสิมธิแล้ว แต่องค์กรธุรกิจยังมีการเพิกเฉยไม่มีการปฏิบัติตามหน้าที่ที่ต้องพิจารณาตามคำร้องและดำเนินการตามคำร้องของเจ้าของข้อมูลเพื่อให้เป็นไปตามสิทธิของเจ้าของข้อมูลตามที่กฎหมายกำหนดแล้วนั้น และถ้าธุรกิจไม่ปฏิบัติตามระเบียบที่กฎหมายกำหนด จนก่อให้เกิดเหตุการณ์ที่ข้อมูลส่วนบุคคลถูกละเมิดและถูกนำไปใช้ในทางที่ผิดก็อาจจะเกิดผลกระทบต่อธุรกิจได้ ดังนั้นแล้วระเบียบกฎหมาย PDPA จึงได้มีการกำหนดบทลงโทษเพื่อให้เป็นไปตามระเบียบของกฎหมาย กฎหมาย PDPA จึงได้มีการกำหนดโทษไว้ 3 ส่วนด้วยกัน คือ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง ดังนี้

โทษทางแพ่ง

          หากผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ทำให้เจ้าของข้อมูลเสียหายจะต้องชดใช้  “ค่าสินไหมทดแทน” ไม่ว่าการดำเนินการที่ฝ่าฝืนกฎหมายนั้นจะเป็นการกระทำโดยจงใจหรือประมาทเลินเล่อ  ** โดยมีข้อยกเว้น คือ พิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัย เกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคล เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติตามอำนาจของกฎหมาย **

  • ค่าสินไหมทดแทน จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
  • อายุความ 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล

โทษทางอาญา

โทษทางอาญาแบ่งออกเป็น การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความ อับอาย และการใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย เพื่อแสวงหาประโยชน์ที่ไม่ชอบด้วยกฎหมาย

  • โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

ตรวจสอบ 6 ข้อเท็จจริง โทษอาญา กฎหมาย PDPA

  1. PDPA มีบทลงโทษอาญา เพื่อปกป้องประชาชนจาก “มิจฉาชีพ หรือ ผู้ประสงค์ร้าย” กรณีมีการนํา ข้อมูลอ่อนไหวดังนี้ “เชื้อชาติเผ่าพันธุ์ ความคิดเห็นทางการ เมือง ความเชื่อในลัทธิ ศาสนา หรือ ปรัชญา พฤติกรรมทาง เพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิกาs ข้อมูล สหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ” ของประชาชนไปใช้ ทําให้เกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่นเกลียดชัง หรือ หาผลประโยชน์แบบผิดกฎหมาย
  2. กรณีใช้ข้อมูลอ่อนไหวดังกล่าวทําให้เกิด ความเสียหาย เสียชื่อเสียง ถูกดูหมิ่นเกลียดชัง โทษสูงสุดจําคุก 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจําทั้งปรับ
  3. กรณีใช้ข้อมูลอ่อนไหวดังกล่าว หาผลประโยชน์ แบบผิดกฎหมาย โทษสูงสุดจําคุก 1 ปี หรือ ปรับไม่เกิน 1,000,000 บาท หรือทั้งจําทั้งปรับ
  4. การลงโทษอาญาต้องพิจารณา จากข้อเท็จจริงและองค์ประกอบ อาทิ เจตนาของการกระทํา และ การใช้หรือเปิดเผยข้อมูลไม่ถูกต้อง ตามกฎหมาย
  5. การละเมิดข้อมูลส่วนบุคคล ทั่วไป เช่น ชื่อ เบอร์โทร ที่อยู่อาศัย หมายเลvประจําตัว ไม่เข้าองค์ประกอบโทษอาญา ตามมาตรา 79
  6. ข้อมูลส่วนบุคคลสามารถถูกนําไปใช้หรือเปิดเผยได้หากได้รับความยินยอม จากเจ้าของข้อมูลส่วนบุคคล หรือเป็นไปตามกรณีดังต่อไปนี้
  • เป็นข้อมูลที่จําเป็นต้องใช้ในการทําตามสัญญาให้บริการ
  • เป็นการใช้ข้อมูลที่มีกฎหมายอื่นให้อํานาจไว้
  • เป็นการใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล
  • เป็นการใช้เพื่อการศึกษาวิจัยหรือสถิติ
  • เป็นการใช้ตามหน้าที่เพื่อประโยชน์สาธารณะ
  • เป็นการใช้เพื่อปกป้องผลประโยชน์ของตนเองโดยไม่ละเมิดสิทธิของผู้อื่น

โทษทางปกครอง

โทษทางปกครอง จะแบ่งออกเป็น 3 ส่วน คือ โทษของผู้ควบคุมข้อมูล, โทษของผู้ประมวลผลข้อมูล และโทษทางปกครองอื่นๆ

  1. โทษของผู้ควบคุมข้อมูล

  • การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย
  • การไม่ขอความยินยอมให้ถูกต้องตามกฎหมายหรือไม่แจ้งผลกระทบจากการถอน ความยินยอม
  • การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลผิดไปจากวัตถุประสงค์ที่ได้แจ้งไว้โดยไม่ได้แจ้งวัตถุประสงค์ใหม่หรือมีกฎหมายให้ทำได้
  • การเก็บรวบรวมข้อมูลเกินไปกว่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
  • การเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรงที่ต้องห้ามตามกฎหมาย
  • การขอความยินยอมที่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์
  • การเก็บรวบรวม ใช้ หรือเปิดเผย การโอนข้อมูลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย
  • การไม่แจ้งเจ้าของข้อมูลทั้งในกรณีเก็บข้อมูลจากเจ้าของข้อมูลโดยตรงหรือโดยอ้อม
  • การไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ
  • การไม่ดำเนินการตามสิทธิคัดค้านของเจ้าของข้อมูล
  • การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
  • การไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วน บุคคลอย่างเพียงพอ
  • การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย
  • การไม่จัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดให้ มีระบบตรวจสอบเพื่อลบทำลายข้อมูลหรือไม่ปฏิบัติสิทธิในการลบเมื่อถอนความ ยินยอมหรือตามสิทธิในการขอลบข้อมูล
  1. โทษของผู้ประมวลผลข้อมูล

  • การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือการไม่สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอ
  • การไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูล การไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดทำบันทึกรายการกิจกรรมการประมวลผล
  • การโอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
  • การไม่ตั้งตัวแทนในราชอาณาจักรในกรณีที่กฎหมายกำหนด
  • การโอนข้อมูลอ่อนไหวไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
  1. โทษทางปกครองอื่น ๆ

  • ตัวแทนของผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล ไม่จัดให้มีบันทึกรายการประมวลผลข้อมูล
  • ไม่ปฏิบัติตามคำสั่งคณะกรรมผู้เชี่ยวชาญ หรือไม่มาชี้แจงข้อเท็จจริง หรือไม่ส่งข้อมูลให้คณะกรรมการผู้เชี่ยวชาญ
  • โทษทางปกครองปรับสูงสุดไม่เกิน 5,000,000 บาท

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR    คลิ๊ก!!!

คลิปบรรยายเพิ่มเติมเรื่อง กฏหมาย PDPA โดยธนาคารแห่งประเทศไทย BANK OF THAILAND

แบ่งปันบทความดีๆ

Facebook
Twitter
LinkedIn