ทุกคนต้องรู้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA: รักษาสิทธิอะไรให้เจ้าของข้อมูล

1 มิถุนายน 2565 เป็นวันเริ่มต้นของการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act B.E. 2562 (2019)) ของไทย โดยมีหลักการสำคัญในการกำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลให้ได้รับความคุ้มครองตามกฎหมาย โดยให้เจ้าของข้อมูลส่วนบุคคลมีทางเลือกในการให้หรือไม่ให้ความยินยอมในการจัดเก็บ ใช้ และเปิดเผย ข้อมูลส่วนบุคคลของตนเอง ซึ่งการเลือกนั้นต้องไม่ถูกนำมาเป็นเงื่อนไขในการจำกัดสิทธิของเจ้าของข้อมูลส่วนบุคคล นอกจากนี้ หากถูกละเมิดสิทธิ เจ้าของข้อมูลส่วนบุคคลสามารถร้องเรียนและเรียกค่าสินไหมทดแทนได้

ทำความเข้าใจขอบเขตของความคุ้มครองเพื่อตระหนักรู้รักษาสิทธิของตนทั้งก่อน ขณะ และหลัง การให้ความยินยอมเปิดเผยข้อมูลส่วนบุคคลกัน

คำจำกัดความ “ข้อมูลส่วนบุคคล และสิทธิของเจ้าของข้อมูลส่วนบุคคล”  ตาม PDPA

ข้อมูลส่วนบุคคล คือ

1. ข้อมูลที่สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล ฯลฯ แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม และไม่รวมข้อมูลของนิติบุคคล เช่น อีเมล เลขทะเบียน และที่อยู่ของบริษัท นามแฝง ข้อมูลนิรนาม ฯลฯ

2. ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ

ทั้งนี้ กฎหมายให้การคุ้มครองข้อมูลที่อ่อนไหวเข้มงวดกว่าข้อมูลส่วนบุคคลธรรมดา

สิทธิของเจ้าของข้อมูลส่วนบุคคล คือ

  1. สิทธิการได้รับแจ้งโดยไม่ต้องร้องขอ เช่น เก็บข้อมูลอะไรบ้าง, เก็บไปทำไม, เก็บนานแค่ไหน, ส่งต่อข้อมูลให้ใคร, ช่องทางติดต่อผู้ควบคุมข้อมูล และหากเก็บรวบรวมข้อมูลจากแหล่งอื่นหรือ หากแก้ไขวัตถุประสงค์ในภายหลัง ต้องแจ้งให้ทราบ
  2. สิทธิในการเพิกถอนความยินยอม
  3. สิทธิในการเข้าถึงข้อมูลส่วนบุคคล
  4. สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
  5. สิทธิในการลบข้อมูลส่วนบุคคล
  6. สิทธิในการห้ามมิให้ประมวลผลข้อมูลส่วนบุคคล
  7. สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล
  8. สิทธิในการคัดค้านหรือให้ระงับการประมวลผลข้อมูลส่วน บุคคล

หากเกิดการละเมิดสิทธิ >> เจ้าของข้อมูลส่วนบุคคลสามารถร้องเรียนและเรียกค่าสินไหมทดแทน

ทั้งนี้ ในกรณีที่มีการฟ้องคดีต่อศาล ศาลจะเป็นผู้ใช้ดุลพินิจในการกำหนดค่าสินไหมทดแทนตามมูลค่าความเสียหายที่เจ้าของข้อมูลได้รับจริง และอาจสั่งลงโทษเพิ่มขึ้นได้แต่ไม่เกินสองเท่า

pdpda

สำหรับข้อยกเว้นในการจัดการข้อมูลส่วนบุคคล โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เพื่อให้สอดคล้องกับลักษณะการปฏิสัมพันธ์ระหว่างบุคคลและองค์กรที่ติดต่อ รวมถึงความจำเป็นในทางการปฏิบัติตามกฎหมายอื่นที่เกี่ยวข้อง มีดังนี้

√  ข้อมูลเดิมที่จัดเก็บก่อน PDPA มีผลบังคับใช้ >> องค์กรเก็บและใช้ต่อได้ตามวัตถุประสงค์เดิม โดยกำหนดวิธีการยกเลิกความยินยอมและประชาสัมพันธ์ให้เจ้าของข้อมูลแจ้งยกเลิกความยินยอมได้โดยง่าย ทั้งนี้ หากต้องการนำข้อมูลไปเปิดเผยต้องขอความยินยอมจากเจ้าของข้อมูล

√  การเก็บข้อมูลภายใต้ฐานสัญญา (Contractual Basis) >> จัดเก็บข้อมูลส่วนบุคคลที่จำเป็นเพื่อการปฏิบัติตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญาได้โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล โดยข้อมูลที่จัดเก็บต้องเป็นไปเพื่อการให้บริการแก่บุคคลนั้น (ถ้านำข้อมูลส่วนบุคคลลูกค้าไปใช้วิเคราะห์และทำการตลาด ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน) เช่น กรณีลูกค้าขอเปิดบัญชีกับธนาคาร กรณีลูกค้าเข้ารับบริการในโรงพยาบาล กรณีลูกค้าเปิดบัญชีเพื่อซื้อสินค้าบนแพลตฟอร์มออนไลน์ เป็นต้น

√  การเก็บข้อมูลภายใต้ฐานประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) >> โดยต้องมีการประเมินความสมเหตุผลและไม่ละเมิดสิทธิของบุคคลเกินไป เช่น การติดตั้งกล้อง CCTV บันทึกภาพลูกค้าในอาคารที่ทำการต่าง ๆ เพื่อวัตถุประสงค์ในการรักษาความปลอดภัย การตรวจสอบข้อมูลลูกค้าเพื่อป้องกันการทุจริต เป็นต้น

√  การเก็บข้อมูลภายใต้ฐานการปฏิบัติตามกฎหมาย (Legal Obligation) >> เป็นการเก็บข้อมูลที่มีกฎหมายกำหนดไว้อย่างชัดเจนให้ผู้ควบคุมข้อมูลต้องปฏิบัติตาม เช่น ธนาคารจัดทำรายงานธุรกรรมที่มีเหตุอันควรสงสัยไปยังสำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.) การจัดทำรายงานการหักภาษี ณ ที่จ่ายส่งกรมสรรพากร เป็นต้น

√ การเก็บข้อมูลภายใต้ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest) >> เป็นการประมวลผลข้อมูลในกรณีที่เจ้าของข้อมูลไม่อยู่ในสภาวะที่จะให้ความยินยอมได้

√  การเก็บข้อมูลภายใต้ฐานภารกิจของรัฐ (Public Task) >> เป็นการประมวลผลข้อมูลของหน่วยงานภาครัฐตามอำนาจหน้าที่ที่ได้รับมอบหมาย เช่น สำนักงานป้องกันและปราบปรามการทุจริต (ปปช.) ประมวลผลข้อมูลของผู้ดำรงตำแหน่งทางการเมืองเพื่อป้องกันและปราบปรามการทุจริต เป็นต้น

√  การเก็บข้อมูลภายใต้ฐานจดหมายเหตุ / วิจัย / สถิติ (Historical Document / Research/ Statistic) >> เป็นการประมวลผลข้อมูลเพื่อวัตถุประสงค์ในการจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุเพื่อประโยชน์สาธารณะหรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ โดยจัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม

ก่อนให้ความยินยอมในการใช้ข้อมูล เจ้าของข้อมูลควรใส่ใจในการคุ้มครองข้อมูลของตนเองด้วย อาทิ

  1. ไม่ด่วนยินยอมหรือให้ข้อมูล โดยที่ยังไม่ได้ศึกษารายละเอียดของขอบเขตการใช้ข้อมูลส่วนบุคคล >> ข้อมูลใดบ้างที่จะจัดเก็บ วัตถุประสงค์ของการเก็บข้อมูล ระยะเวลาการเก็บข้อมูล ชื่อและเบอร์ของบริษัทหรือบุคคลที่รับผิดชอบต่อการเก็บข้อมูล
  2. คำนึงถึงความอิสระ และไม่มีเงื่อนไขแอบแฝง โดยต้องไม่นำการให้ความยินยอมมาเป็นเงื่อนไขในการใช้ผลิตภัณฑ์หรือบริการ
  3. ควรเก็บ/บันทึกหลักฐาน เผื่อใช้ในการร้องเรียนในกรณีที่พบว่าข้อมูลส่วนบุคคลถูกนำไปใช้ผิดวัตถุประสงค์  โดยอาจถ่ายภาพหรือขอสำเนาเอกสารการให้ความยินยอม
  4. ระมัดระวังการให้ข้อมูลและการเปิดสิทธิการเข้าถึงข้อมูลส่วนบุคคล แก่เว็บไซต์/แอปพลิเคชัน ที่มีการขอความยินยอมจากเจ้าของข้อมูล โดยให้พิจารณาตามความจำเป็น โดยเฉพาะข้อมูลเกี่ยวกับการเงิน เช่น การให้ข้อมูลบัตรเครดิตเพื่อชำระค่าสินค้าและบริการ สำหรับแอปพลิเคชันที่ไม่ได้ใช้เป็นประจำ อาจเลือกให้ข้อมูลเพื่อใช้ครั้งเดียวและไม่ให้บันทึกข้อมูลบัตรไว้ในระบบ เป็นต้น
Business, Technology, Internet and network concept. Young businessman working on a virtual screen of the future and sees the inscription: Personal data protection

PDPA ช่วยคุ้มครองความเสียหายที่อาจเกิดแก่เจ้าของข้อมูลส่วนบุคคลได้อย่างไร

√ ลดความเดือดร้อนรำคาญใจจากการละเมิดสิทธิ: โดยการติดต่อเสนอขายสินค้าหรือบริการใด ๆ จากบริษัทหรือหน่วยงานที่เราไม่เคยติดต่อมาก่อน จะต้องได้รับความยินยอม เช่น Call Center โทรเสนอขายประกัน สินเชื่อส่วนบุคคล ต้องแจ้งว่าได้รับเบอร์มาจากไหนและเราเคยแจ้งบอกรับข้อมูลการตลาดไว้ รวมทั้งต้องแจ้งช่องทางการยกเลิกการรับข้อมูลการตลาดดังกล่าวอย่างชัดเจน

√  ป้องกันความเสี่ยงภัยไซเบอร์: เนื่องจากกฎหมายกำหนดให้ผู้จัดเก็บและประมวลผลข้อมูลส่วนบุคคล ต้องมีระบบการควบคุมการเข้าถึงข้อมูลและการป้องกันข้อมูลรั่วไหล ดังเช่นที่เคยเกิดกรณีแฮกเกอร์ขโมยข้อมูลลูกค้าที่ซื้อสินค้าจากแพลตฟอร์มออนไลน์ในไทยกว่า 10 ล้านรายการ

√  สร้างความเชื่อมั่นในการทำธุรกรรมใดๆ: เนื่องจากขอบเขตของกฎหมาย บังคับใช้ครอบคลุมถึงองค์กรทุกแห่งทั้งในและนอกประเทศ เช่น Online Marketplace Platform ของต่างประเทศ ที่เสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลส่วนบุคคลที่อยู่ในไทย หรือมีการเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในไทย เช่น เว็บไซต์ต่างประเทศที่รับจองโรงแรมผ่านช่องทางออนไลน์ ฯลฯ

√  มีมาตรการเยียวยาผู้ถูกละเมิดสิทธิ: รวมถึงมีบทลงโทษทางอาญาและทางปกครอง แก่ผู้จัดเก็บ ใช้ และเผยแพร่ข้อมูลส่วนบุคคล ที่เป็นต้นเหตุให้เกิดการละเมิดสิทธิของเจ้าของข้อมูลส่วนบุคคล เช่น ระบบการจัดการมีปัญหาทำให้เกิดข้อมูลรั่วไหล ขายข้อมูลส่วนบุคคลให้แก่องค์กรอื่นโดยไม่แจ้งในวัตถุประสงค์ขอความยินยอมจากลูกค้า เป็นต้น (โทษอาญา: จำคุกไม่เกิน 1 ปี และ/หรือปรับสูงสุด 1 ล้านบาท โทษทางปกครอง: ปรับสูงสุด 5 ล้านบาท)

การบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เป็นการสร้างบรรทัดฐานในการใช้ประโยชน์จากฐานข้อมูลส่วนบุคคลจำนวนมาก อีกทั้งยังเป็นหนึ่งในชุดกฎหมายที่ส่งเสริมความเชื่อมั่นในการใช้เทคโนโลยีดิจิทัล ที่มุ่งกำกับดูแลความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้แก่ผู้เป็นเจ้าของข้อมูล โดยกำหนดแนวทางการคุ้มครองข้อมูลส่วนบุคคลให้องค์กรทุกแห่งที่จัดเก็บ ใช้ และเผยแพร่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลในประเทศไทย ปฏิบัติตาม ดังนั้น บุคคลที่มีสถานะเป็น ‘เจ้าของข้อมูล’ ที่ไปใช้บริการต่าง ๆ พึงตระหนักถึงทางเลือกในการให้ความยินยอมในการจัดเก็บ ใช้ และเปิดเผยข้อมูล เช่น ลงทะเบียนอีเมลและเบอร์โทรศัพท์เพื่อแลกรับคูปองสินค้าฟรี อาจต้องแลกมากับการให้ข้อมูลไปใช้งานในกิจกรรมส่งเสริมการขายในหมวดหมู่ใกล้เคียงกันโดยผู้ให้บริการนั้น ๆ อย่างไรก็ดี บุคคลมีสิทธิถอนความยินยอมได้ทุกเมื่อ

ขอบคุณข้อมูล www.secnia.go.th , www.jrit.ichi.com , www.law.chula.ac.th , www.ratchakitcha.soc.go.th , www.primal.co.th , https://www.hrconsultant.training/post/data-subject-pdpa , https://www.academic.cmru.ac.th/web63/files/pdpa.pdf , https://www.bot.or.th/Thai/PaymentSystems/PSA_Oversight/20210224%20%20PDPA%20%20Nonbank/%E0%B8%9E%E0%B8%A3%E0%B9%89%E0%B8%AD%E0%B8%A1%E0%B8%A3%E0%B8%B9%E0%B9%89%20PDPA_%E0%B8%94%E0%B8%A3.%E0%B8%AA%E0%B8%B8%E0%B8%99%E0%B8%97%E0%B8%A3%E0%B8%B5%E0%B8%A2%E0%B9%8C_24%E0%B8%81.%E0%B8%9E.64.pdf

Disclaimer

รายงานวิจัยนี้จัดทำโดยบริษัท ศูนย์วิจัยกสิกรไทย จำกัด (“KResearch”) เพื่อเผยแพร่เป็นการทั่วไป โดยอาศัยแหล่งข้อมูลสาธารณะหรือข้อมูลที่เชื่อว่ามีความน่าเชื่อถือที่ปรากฏขณะจัดทำ ซึ่งอาจเปลี่ยนแปลงได้ในแต่ละขณะเวลา ทั้งนี้ KResearch มิอาจรับรองความถูกต้อง ความน่าเชื่อถือ ความเหมาะสม ความครบถ้วนสมบูรณ์ หรือความเป็นปัจจุบันของข้อมูลดังกล่าว และไม่ได้มีวัตถุประสงค์เพื่อชี้ชวน เสนอแนะ ให้คำแนะนำ หรือจูงใจในการตัดสินใจเพื่อดำเนินการใดๆ แต่อย่างใด ดังนั้น ท่านควรศึกษาข้อมูลด้วยความระมัดระวังและใช้วิจารณญาณอย่างรอบคอบก่อนตัดสินใจใดๆ KResearch จะไม่รับผิดในความเสียหายใดที่เกิดขึ้นจากการใช้ข้อมูลดังกล่าว 

ข้อมูลใดๆ ที่ปรากฎในรายงานวิจัยนี้ถือเป็นทรัพย์สินของ KResearch และ/หรือบุคคลที่สาม (แล้วแต่กรณี) การนำข้อมูลดังกล่าว (ไม่ว่าทั้งหมดหรือบางส่วน) ไปใช้ต้องแสดงข้อความถึงสิทธิความเป็นเจ้าของแก่ KResearch และ/หรือบุคคลที่สาม (แล้วแต่กรณี) หรือแหล่งที่มาของข้อมูลนั้นๆ ทั้งนี้ ท่านจะไม่ทำซ้ำ ปรับปรุง ดัดแปลง แก้ไข ส่งต่อ เผยแพร่ หรือกระทำในลักษณะใดๆ เพื่อวัตถุประสงค์ในทางการค้า โดยไม่ได้รับอนุญาตล่วงหน้าเป็นลายลักษณ์อักษรจาก KResearch และ/หรือบุคคลที่สาม (แล้วแต่กรณี)