Skip to content
ทำความเข้าใจกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

Table of Contents

          วันนี้พามาทบทวนทำความเข้าใจในกฎหมาย PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ว่ามีหลักการในการปฏิบัตืได้อย่างไร กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือที่รียกกันว่า PDPA นั้นเป็นกฎหมายฉบับรวมฉบับแรกที่ออกมาเพื่อควบคุมการคุ้มครองข้อมูลในประเทศไทย ที่ได้สนับสนุนศักดิ์ศรีความเป็นคน สิทธิ เสรีภาพ และความเท่าเทียมกันของคนไทยทุกคน ซึ่งได้รับการคุ้มครองตามธรรมเนียมปฏิบัติ ดังนั้น เนื่องจากสิทธิในความเป็นส่วนตัวที่ได้รับการยอมรับภายใต้รัฐธรรมนูญ ทุกคนย่อมมีสิทธิได้รับการปกป้องจากการหาประโยชน์อย่างไม่เหมาะสมจากข้อมูลส่วนบุคคลที่เกี่ยวข้องกับบุคลิกลักษณะของตนตามที่รัฐธรรมนูญรับรองไว้ นอกจากนี้ ตามทฤษฎีแล้ว หากมีการใช้ข้อมูลส่วนบุคคลในลักษณะที่เป็นการละเมิดหรือกระทบต่อสิทธิของบุคคลในข้อมูลส่วนบุคคลภายใต้รัฐธรรมนูญ บุคคลดังกล่าวอาจมีสิทธิเรียกร้องค่าเสียหายจากการละเมิดตามประมวลกฎหมายแพ่งและพาณิชย์ไทย

ขอบเขตและวัตถุประสงค์ของกฎหมาย

  • PDPA ใช้กับบุคคลหรือนิติบุคคลที่มีการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลธรรมดา (และยังมีชีวิตอยู่) โดยมีข้อยกเว้นบางประการ (เช่น ยกเว้นกิจกรรมในครัวเรือน)
  • PDPA ครอบคลุมการรวบรวม การใช้ การเปิดเผย และ/หรือการถ่ายโอนข้อมูลส่วนบุคคล โดยมีข้อยกเว้นบางประการ (เช่น ยกเว้นกิจกรรมในครัวเรือน)
  • ในกรณีที่กิจกรรมการรวบรวม ใช้ และเปิดเผยเกี่ยวข้องกับการเสนอสินค้าหรือบริการแก่เจ้าของข้อมูลที่อยู่ในประเทศไทย ไม่ว่าเจ้าของข้อมูลจะชำระเงินหรือไม่ก็ตาม หรือ
  • โดยกิจกรรมการรวบรวม ใช้ และเปิดเผยเกี่ยวข้องกับการเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูล ซึ่งพฤติกรรมดังกล่าวเกิดขึ้นในประเทศไทย

          PDPA ใช้กับการรวบรวม การใช้ และการเปิดเผย (รวมถึงการถ่ายโอนไปยังต่างประเทศ) ของข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลสามารถแบ่งออกเป็นข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลที่ละเอียดอ่อน ซึ่งมีข้อกำหนดและการยกเว้นที่แตกต่างกัน

คำจำกัดความ PDPA

ผู้ควบคุมข้อมูล: บุคคลหรือนิติบุคคลที่มีอำนาจและหน้าที่ในการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูล: บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่กำหนดโดยหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล โดยที่บุคคลหรือนิติบุคคลดังกล่าวไม่ใช่ข้อมูลส่วนบุคคล ตัวควบคุม

ข้อมูลส่วนบุคคล: ข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุตัวบุคคลดังกล่าวได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้เสียชีวิต

ข้อมูลที่ละเอียดอ่อน: ข้อมูล ส่วนบุคคลใดๆ ที่เกี่ยวข้องกับเชื้อชาติหรือชาติพันธุ์ ความคิดเห็นทางการเมือง ลัทธิ ความเชื่อทางศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลด้านสุขภาพ ความทุพพลภาพ ข้อมูลสหภาพแรงงาน ข้อมูลทางพันธุกรรม ข้อมูลไบโอเมตริกซ์ หรือข้อมูลใดๆ ที่อาจ กระทบต่อเจ้าของข้อมูลในลักษณะเดียว

ข้อมูลไบโอเมตริกซ์: ข้อมูล ส่วนบุคคลที่เกิดจากการใช้เทคนิคหรือเทคโนโลยีที่เกี่ยวข้องกับการครอบงำทางกายภาพหรือพฤติกรรมของบุคคล ซึ่งสามารถใช้เพื่อระบุบุคคลดังกล่าวนอกเหนือจากบุคคลอื่น เช่น ข้อมูลการจดจำใบหน้า ข้อมูลการจดจำม่านตา หรือลายนิ้วมือ ข้อมูลการรับรู้

การแจ้งเตือนการละเมิดข้อมูล

          ผู้ควบคุมข้อมูลจะต้องแจ้งให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ให้ทราบถึงการละเมิดข้อมูลส่วนบุคคลโดยไม่ชักช้า และหากเป็นไปได้ แจ้งให้ทราบภายใน 72 ชั่วโมงหลังจากที่ทราบถึงข้อมูลดังกล่าวในกรณีที่การละเมิดข้อมูลส่วนบุคคล ที่จะส่งผลให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล ผู้ควบคุมข้อมูลจะต้องแจ้งให้เจ้าของข้อมูลทราบถึงเหตุการณ์การละเมิดและมาตรการแก้ไขโดยไม่ชักช้า ข้อยกเว้นจะได้รับการกำหนดเพิ่มเติมในระเบียบย่อยผู้ประมวลผลข้อมูลจำเป็นต้องแจ้งให้ผู้ควบคุมข้อมูลทราบถึงการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น

การเก็บรักษาข้อมูล

          เมื่อมีการรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จะต้องแจ้งให้เจ้าของข้อมูลทราบก่อนหรือในเวลาที่มีการรวบรวมข้อมูลส่วนบุคคลในช่วงเวลาที่จะเก็บข้อมูลส่วนบุคคลนั้นไว้ หากไม่สามารถระบุระยะเวลาการเก็บรักษาดังกล่าวได้ จะต้องระบุระยะเวลาการเก็บรักษาข้อมูลที่คาดหวังตามมาตราการในการเก็บรักษาข้อมูล

การขอความยินยอมเก็บข้อมูลผู้เยาว์

หากเจ้าของข้อมูลเป็นผู้เยาว์ที่ (อายุต่ำกว่า 20 ปี) ผู้ควบคุมข้อมูลจะต้อง:

  • ได้รับความยินยอมจากผู้ปกครองสำหรับผู้เยาว์ที่มีอายุระหว่าง 0 – 10
  • ได้รับความยินยอมจากผู้เยาว์เฉพาะผู้เยาว์ที่อายุมากกว่า 10 ปี แต่อายุน้อยกว่า 20 ปี สำหรับการกระทำที่ผู้เยาว์สามารถให้ความยินยอมได้ หรือ
  • ได้รับความยินยอมจากผู้ปกครองและความยินยอมของผู้เยาว์สำหรับผู้เยาว์ที่มีอายุมากกว่า 10 ปี แต่อายุน้อยกว่า 20 ปีสำหรับการกระทำที่ผู้เยาว์ไม่สามารถให้ความยินยอมได้

สิทธิของเจ้าของข้อมูล

          Data Subject Right หรือสิทธิของเจ้าของข้อมูลตามกำหนด พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล  ได้มีการบัญญัติถึงสิทธิของเจ้าของ Data Subject Rights ข้อมูลส่วนบุคคลไว้ 8 ประการ โดยมีรายละเอียดดังต่อไปนี้

  1. สิทธิในการเข้าถึงและขอรับสำเนา (Right of Access and Copy) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตัวเจ้าของข้อมูลเองซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอมไว้
  2. สิทธิในการโอนย้ายข้อมูลส่วนบุคคล (Right to Data Portability) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับเจ้าของข้อมูลจากผู้ควบคุมข้อมูลส่วนบุคคลได้ ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งมีสิทธิ ดังต่อไปนี้
  • ขอให้ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ
  • ขอรับข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้
  1. สิทธิในการคัดค้านการประมวลผลข้อมูล (Right to Object) เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ ดังต่อไปนี้
  • กรณีที่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอม เว้นแต่ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่า
  • การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ผู้ควบคุมข้อมูลส่วนบุคคลได้แสดงให้เห็นถึงเหตุอันชอบด้วยกฎหมายที่สำคัญยิ่งกว่า
  • การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
  • กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง
  • กรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ เว้นแต่เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล
  1. สิทธิในการขอลบหรือทำลายข้อมูลส่วนบุคคล (Right to Erasure) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้
  • เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • เมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ต่อไป
  • เมื่อเจ้าของข้อมูลส่วนบุคคลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลไม่อาจปฏิเสธคำขอ หรือกระทำการคัดค้านได้
  • เมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายตามที่กำหนดไว้ในหมวดนี้
  1. สิทธิในการขอระงับการประมวลผลข้อมูลส่วนบุคคล (Right to Restriction of Processing) เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลระงับการใช้ข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้
  • เมื่อผู้ควบคุมข้อมูลส่วนบุคคลอยู่ในระหว่างการตรวจสอบตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอให้ดำเนินการตามที่เจ้าของข้อมูลร้องขอ
  • เมื่อเป็นข้อมูลส่วนบุคคลที่ต้องลบหรือทำลาย แต่เจ้าของข้อมูลส่วนบุคคลขอให้ระงับการใช้แทน
  • เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล แต่เจ้าของข้อมูลส่วนบุคคลมีความจำเป็นต้องขอให้เก็บรักษาไว้เพื่อใช้ในการก่อตั้งสิทธิเรียกร้องตามกฎหมายการปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
  • เมื่อผู้ควบคุมข้อมูลส่วนบุคคลอยู่ในระหว่างการพิสูจน์ หรือตรวจสอบ เพื่อปฏิเสธการคัดค้านของเจ้าของข้อมูลส่วนบุคคล
  1. สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to Rectification) ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้องเป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด ในกรณีที่เจ้าของข้อมูลส่วนบุคคลร้องขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการ หากผู้ควบคุมข้อมูลส่วนบุคคลไม่ดำเนินการตามคำร้องขอ ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกคำร้องขอของเจ้าของข้อมูลส่วนบุคคลพร้อมด้วยเหตุผลไว้ในรายการตาม มาตรา 39
  2. สิทธิในการแจ้งให้ทราบของข้อมูลส่วนบุคคล (Right to be informed) เจ้าของข้อมูลมีสิทธิได้รับแจ้งเกี่ยวกับรายละเอียดการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล โดยผู้ควบคุมข้อมูลมีหน้าที่แจ้งถึงวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่เก็บรวบรวม ระยะเวลาในการเก็บรวบรวม ช่องทางในการติดต่อผู้ควบคุมข้อมูลส่วนบุคคล เป็นต้น และในกรณีที่ผู้ควบคุมข้อมูลจะทำการเปลี่ยนแปลงวัตถุประสงค์ในการประมวลผลภายหลัง ผู้ควบคุมข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบถึงวัตถุประสงค์ใหม่ด้วย
  1. สิทธิในการถอดถอนความยินยอมของข้อมูล (Right to Withdraw Consent) เจ้าของข้อมูลจะใช้สิทธิในการถอนความยินยอมได้เมื่อมีการประมวลผลข้อมูลโดยใช้ฐานความยินยอมเท่านั้น โดยเจ้าของข้อมูลจะถอนความยินยอมเมื่อใดก็ได้หากไม่มีข้อจำกัดสิทธิ และวิธีการถอนความยินยอมต้องง่ายในระดับเดียวกับวิธีการขอความยินยอมเมื่อเจ้าของข้อมูลถอนความยินยอมแล้ว ผู้ควบคุมข้อมูลจะต้องแจ้งถึงผลกระทบจากการถอนความยินยอมและต้องยุติการประมวลผลข้อมูลส่วนบุคคลดังกล่าว

ข้อมูลเพิ่มเติมตามมาตรา 39

มาตรา 39   ให้ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ อย่างน้อยดังต่อไปนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้

  • ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
  • วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
  • ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
  • ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
  • สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
  • การใช้หรือเปิดเผยข้อมูล
  • การปฏิเสธคำขอหรือการคัดค้าน
  • คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล

ก่อนให้ความยินยอมในการใช้ข้อมูล เจ้าของข้อมูลควรใส่ใจในการคุ้มครองข้อมูลของตนเองด้วย อาทิ

  • ไม่ด่วนยินยอมหรือให้ข้อมูล โดยที่ยังไม่ได้ศึกษารายละเอียดของขอบเขตการใช้ข้อมูลส่วนบุคคล >> ข้อมูลใดบ้างที่จะจัดเก็บ วัตถุประสงค์ของการเก็บข้อมูล ระยะเวลาการเก็บข้อมูล ชื่อและเบอร์ของบริษัทหรือบุคคลที่รับผิดชอบต่อการเก็บข้อมูล
  • คำนึงถึงความอิสระ และไม่มีเงื่อนไขแอบแฝงโดยต้องไม่นำการให้ความยินยอมมาเป็นเงื่อนไขในการใช้ผลิตภัณฑ์หรือบริการ
  • ควรเก็บ/บันทึกหลักฐาน เผื่อใช้ในการร้องเรียนในกรณีที่พบว่าข้อมูลส่วนบุคคลถูกนำไปใช้ผิดวัตถุประสงค์ โดยอาจถ่ายภาพหรือขอสำเนาเอกสารการให้ความยินยอม
  • ระมัดระวังการให้ข้อมูลและการเปิดสิทธิการเข้าถึงข้อมูลส่วนบุคคล แก่เว็บไซต์/แอปพลิเคชัน ที่มีการขอความยินยอมจากเจ้าของข้อมูล โดยให้พิจารณาตามความจำเป็น โดยเฉพาะข้อมูลเกี่ยวกับการเงิน เช่น การให้ข้อมูลบัตรเครดิตเพื่อชำระค่าสินค้าและบริการ สำหรับแอปพลิเคชันที่ไม่ได้ใช้เป็นประจำ อาจเลือกให้ข้อมูลเพื่อใช้ครั้งเดียวและไม่ให้บันทึกข้อมูลบัตรไว้ในระบบ เป็นต้น

บทลงโทษหากไม่ปฏิบัติตาม PDPA

          หากในกรณีที่บุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้มีการร้องขอตามสิทธิเจ้าของข้อมูลส่วนบุคคล PDPA ตามที่จะได้รับสิมธิแล้ว แต่องค์กรธุรกิจยังมีการเพิกเฉยไม่มีการปฏิบัติตามหน้าที่ที่ต้องพิจารณาตามคำร้องและดำเนินการตามคำร้องของเจ้าของข้อมูลเพื่อให้เป็นไปตามสิทธิของเจ้าของข้อมูลตามที่กฎหมายกำหนดแล้วนั้น และถ้าธุรกิจไม่ปฏิบัติตามระเบียบที่กฎหมายกำหนด จนก่อให้เกิดเหตุการณ์ที่ข้อมูลส่วนบุคคลถูกละเมิดและถูกนำไปใช้ในทางที่ผิดก็อาจจะเกิดผลกระทบต่อธุรกิจได้ ดังนั้นแล้วระเบียบกฎหมาย PDPA จึงได้มีการกำหนดบทลงโทษเพื่อให้เป็นไปตามระเบียบของกฎหมาย กฎหมาย PDPA จึงได้มีการกำหนดโทษไว้ 3 ส่วนด้วยกัน คือ โทษทางแพ่ง โทษทางอาญา และโทษทางปกครอง ดังนี้

โทษทางแพ่ง

          หากผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ทำให้เจ้าของข้อมูลเสียหายจะต้องชดใช้  “ค่าสินไหมทดแทน” ไม่ว่าการดำเนินการที่ฝ่าฝืนกฎหมายนั้นจะเป็นการกระทำโดยจงใจหรือประมาทเลินเล่อ  ** โดยมีข้อยกเว้น คือ พิสูจน์ได้ว่าเกิดจากเหตุสุดวิสัย เกิดจากการกระทำหรือละเว้นการกระทำของเจ้าของข้อมูลส่วนบุคคล เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติตามอำนาจของกฎหมาย **

  • ค่าสินไหมทดแทน จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
  • อายุความ 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล

โทษทางอาญา

        โทษทางอาญาแบ่งออกเป็น การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความ อับอาย และการใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหวโดยปราศจากฐานทางกฎหมาย เพื่อแสวงหาประโยชน์ที่ไม่ชอบด้วยกฎหมาย

  • โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

6 ข้อเท็จจริง โทษอาญา กฎหมาย PDPA

  1. PDPA มีบทลงโทษอาญา เพื่อปกป้องประชาชนจาก “มิจฉาชีพ หรือ ผู้ประสงค์ร้าย” กรณีมีการนํา ข้อมูลอ่อนไหวดังนี้ “เชื้อชาติเผ่าพันธุ์ ความคิดเห็นทางการ เมือง ความเชื่อในลัทธิ ศาสนา หรือ ปรัชญา พฤติกรรมทาง เพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิกาs ข้อมูล สหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ” ของประชาชนไปใช้ ทําให้เกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่นเกลียดชัง หรือ หาผลประโยชน์แบบผิดกฎหมาย
  2. กรณีใช้ข้อมูลอ่อนไหวดังกล่าวทําให้เกิด ความเสียหาย เสียชื่อเสียง ถูกดูหมิ่นเกลียดชัง โทษสูงสุดจําคุก 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจําทั้งปรับ
  3. กรณีใช้ข้อมูลอ่อนไหวดังกล่าว หาผลประโยชน์ แบบผิดกฎหมาย โทษสูงสุดจําคุก 1 ปี หรือ ปรับไม่เกิน 1,000,000 บาท หรือทั้งจําทั้งปรับ
  4. การลงโทษอาญาต้องพิจารณา จากข้อเท็จจริงและองค์ประกอบ อาทิ เจตนาของการกระทํา และ การใช้หรือเปิดเผยข้อมูลไม่ถูกต้อง ตามกฎหมาย
  5. การละเมิดข้อมูลส่วนบุคคล ทั่วไป เช่น ชื่อ เบอร์โทร ที่อยู่อาศัย หมายเลvประจําตัว ไม่เข้าองค์ประกอบโทษอาญา ตามมาตรา 79
  6. ข้อมูลส่วนบุคคลสามารถถูกนําไปใช้หรือเปิดเผยได้หากได้รับความยินยอม จากเจ้าของข้อมูลส่วนบุคคล หรือเป็นไปตามกรณีดังต่อไปนี้
  • เป็นข้อมูลที่จําเป็นต้องใช้ในการทําตามสัญญาให้บริการ
  • เป็นการใช้ข้อมูลที่มีกฎหมายอื่นให้อํานาจไว้
  • เป็นการใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล
  • เป็นการใช้เพื่อการศึกษาวิจัยหรือสถิติ
  • เป็นการใช้ตามหน้าที่เพื่อประโยชน์สาธารณะ
  • เป็นการใช้เพื่อปกป้องผลประโยชน์ของตนเองโดยไม่ละเมิดสิทธิของผู้อื่น

โทษทางปกครอง

โทษทางปกครอง จะแบ่งออกเป็น 3 ส่วน คือ โทษของผู้ควบคุมข้อมูล, โทษของผู้ประมวลผลข้อมูล และโทษทางปกครองอื่นๆ

โทษของผู้ควบคุมข้อมูล

  • การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย
  • การไม่ขอความยินยอมให้ถูกต้องตามกฎหมายหรือไม่แจ้งผลกระทบจากการถอน ความยินยอม
  • การเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลผิดไปจากวัตถุประสงค์ที่ได้แจ้งไว้โดยไม่ได้แจ้งวัตถุประสงค์ใหม่หรือมีกฎหมายให้ทำได้
  • การเก็บรวบรวมข้อมูลเกินไปกว่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
  • การเก็บข้อมูลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลโดยตรงที่ต้องห้ามตามกฎหมาย
  • การขอความยินยอมที่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์
  • การเก็บรวบรวม ใช้ หรือเปิดเผย การโอนข้อมูลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย
  • การไม่แจ้งเจ้าของข้อมูลทั้งในกรณีเก็บข้อมูลจากเจ้าของข้อมูลโดยตรงหรือโดยอ้อม
  • การไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ
  • การไม่ดำเนินการตามสิทธิคัดค้านของเจ้าของข้อมูล
  • การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
  • การไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วน บุคคลอย่างเพียงพอ
  • การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย
  • การไม่จัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดให้ มีระบบตรวจสอบเพื่อลบทำลายข้อมูลหรือไม่ปฏิบัติสิทธิในการลบเมื่อถอนความ ยินยอมหรือตามสิทธิในการขอลบข้อมูล

โทษของผู้ประมวลผลข้อมูล

  • การไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือการไม่สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอ
  • การไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูล การไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม การไม่จัดทำบันทึกรายการกิจกรรมการประมวลผล
  • การโอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย
  • การไม่ตั้งตัวแทนในราชอาณาจักรในกรณีที่กฎหมายกำหนด
  • การโอนข้อมูลอ่อนไหวไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย

โทษทางปกครองอื่น ๆ

  • ตัวแทนของผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล ไม่จัดให้มีบันทึกรายการประมวลผลข้อมูล
  • ไม่ปฏิบัติตามคำสั่งคณะกรรมผู้เชี่ยวชาญ หรือไม่มาชี้แจงข้อเท็จจริง หรือไม่ส่งข้อมูลให้คณะกรรมการผู้เชี่ยวชาญ
  • โทษทางปกครองปรับสูงสุดไม่เกิน 5,000,000 บาท

สามารถอ่านบทความอื่นๆ ที่น่าสนใจเกี่ยวกับกฎหมาย PDPA และสายงาน HR    คลิ๊ก!!!

แบ่งปันบทความดีๆ

Facebook
Twitter
LinkedIn

บทความที่เกี่ยวข้อง

สถานีปรับจูน

Trust มุมมองความเชื่อใจในมุมมองผู้บริหาร

เรามีการพูดคุยเกี่ยวกับเรื่อง Trust มาหลาย EP แล้ว ครั้งนี้เราจะมาพูดคุยในเรื่องของ Trust เช่นเคยแต่ครั้งนี้จะแตกต่างออกไปเพราะเป็น Trust ในมุมมองของผู้บริหาร

Read More »

‌HR Competency:
Get ready for the future

‌powered by Trust Vision

สรรหาคนที่ใช่ให้กับองค์กร โดยการ
ประเมินสมรรถนะที่เหมาะสมด้วย
Trust Vision Competency