PDPA คืออะไร? พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่ทุกคนควรรู้แบบเข้าใจง่ายๆ หลังบังคับใช้ 1 มิ.ย. 65
หลายๆ คนที่ทำงานเกี่ยวกับเว็บไซต์ หรือว่าจะเป็นสื่อและครีเอทเตอร์ต่างๆ รวมไปถึงคนที่เล่นโซเชียลมีเดีย ก็น่าจะเคยได้เห็นคำว่า PDPA ผ่านหูผ่านตากันมาบ้าง ซึ่งเรื่องนี้ก็ไม่ใช่เรื่องที่ไกลตัวเราเท่าไหร่นัก ในยุคสมัยที่เราจำเป็นต้องเข้าเว็บ หรือว่าต้องใช้มือถือถ่ายรูปและถ่ายอะไรก็ตามเพื่อลงสู่โซเชียลมีเดีย เพราะว่าชื่อของกฎหมายนี้ในภาษาไทยก็คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ก็แน่นอนว่ารวมถึงการคุ้มครองข้อมูลส่วนตัวของเราเองด้วย ในกรณีที่เราโดนถ่ายรูปหรือว่านำไปทำให้เสียหาย หรือการใช้ข้อมูลส่วนตัวต่างๆ เวลาเข้าไปยังเว็บไซต์ โดยไม่ได้บอกเราว่าต้องยอมรับหรือปฏิเสธได้หรือไม่ กฎหมายตรงนี้ก็ช่วยคุ้มครองเราได้เหมือนกัน สำหรับใครที่ยังไม่รู้ว่า PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล นั้นคืออะไร เดี๋ยววันนี้ทาง Specphone จะมาบอกให้ว่า PDPA คืออะไรกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่ทุกคนควรรู้แบบเข้าใจง่ายๆ หลังจากที่มีการบังคับใช้ในวันที่ 1 มิ.ย. 65 ที่ผ่านมา
- พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPAคืออะไร?
- ข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของ PDPAคืออะไร และใครบ้างที่อยู่ในกฎหมาย PDPA
- เจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้รับสิทธิอะไรจาก PDPA บ้าง
- เรื่องเข้าใจผิดเกี่ยวกับ PDPA และโทษจากการไม่ทำตามกฎหมายของ PDPA
- ข้อสรุปเรื่อง PDPA คืออะไร
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA คืออะไร?
เริ่มทำความรู้จักกับกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA (Personal Data Protection Act) ที่เป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แต่ว่าบังคับใช้จริงเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมานี้ โดยกฎหมายนี้ได้ทำขึ้นมาเพื่อให้บริษัททั้งภาครัฐ และเอกชนที่จะเก็บข้อมูล นำข้อมูลไปใช้งาน หรือว่าเปิดเผยข้อมูล และโอนข้อมูลต่างๆ ที่เป็นข้อมูลส่วนบุคคลนั้นจะต้องมีการยินยอมจากเจ้าของข้อมูลเสียก่อน ไม่อย่างนั้นจะถือว่าละเมิดสิทธิส่วนตัว ซึ่งจากแต่ก่อนเวลาเราเข้าไปยังเว็บไซต์หรือว่าแอพอะไรก็ตาม บริษัทต่างๆ จะมีการเก็บข้อมูลส่วนตัวบางส่วนของเราไปอยู่แล้ว เพื่อนำไปใช้ทางด้านการตลาดหรืออะไรก็ตาม แต่ในตอนนี้จะต้องขอความยินยอมจากผู้ใช้งาน หรือเจ้าของข้อมูลก่อน
ผู้ใช้งานอย่างคนทั่วไปอาจจะคิดว่าเราไปมีส่วนเกี่ยวข้อง หรือว่าจะรู้ได้อย่างไรว่ามีการเก็บข้อมูลตรงไหนไปใช้ ซึ่งตรงนี้เองก็เป็นเรื่องที่เกี่ยวข้องโดยตรง ตัวอย่างง่ายๆ ที่มักจะเจอได้บ่อยมากที่สุดในการเข้าเว็บ หรือแอพทั่วไปก็คือ การเก็บข้อมูลไม่ว่าจะเป็นข้อมูลส่วนบุคคล ทั้งการสมัครสมาชิก การเก็บตำแหน่งที่ตั้ง การเก็บคุกกี้ ที่ผู้ใช้งานอย่างเรานั้นสามารถเลือกได้ว่าจะยอมรับ ปฏิเสธ หรือว่าปรับตั้งค่าได้ว่าให้นำข้อมูลไหนไปใช้ได้บ้าง ตรงนี้นี่แหละที่เกี่ยวข้องกับกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA ที่จัดตั้งขึ้นมา พูดแบบเข้าใจง่ายๆ ก็คือผู้ที่เก็บข้อมูลไปก็ต้องแจ้งก่อน และผู้ใช้งานอย่างเราต้องยินยอม และสามารถเข้าถึงข้อมูล แก้ไข ยกเลิก ทำลายได้ด้วยนั่นเอง
ข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของ PDPA คืออะไร และใครบ้างที่อยู่ในกฎหมาย PDPA
คำถามต่อมาคือข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของ PDPA คืออะไรที่พูดถึงอยู่ตอนนี้มันมีอะไรบ้าง และใครบ้างที่อยู่ในกฎหมาย PDPA เหล่านี้ เราจะขอแบ่งออกเป็น 2 หัวข้อหลักๆ ก็คือกลุ่มที่เกี่ยวข้องกับข้อมูลกับ เรื่องของข้อมูลส่วนบุคคลทั่วไปดังนี้
กลุ่มที่เกี่ยวข้องกับข้อมูลได้แก่
- กลุ่มเจ้าของข้อมูลส่วนบุคคล คือเจ้าของข้อมูลที่จะถูกนำข้อมูลส่วนบุคคลไปใช้ หรือพูดง่ายๆ ก็คือผู้ใช้งานทั่วไปอย่างเรานั่นเอง
- กลุ่มผู้ควบคุมข้อมูลส่วนบุคคล คือบุคคล/ บริษัทต่างๆ ที่เป็นคนตัดสินใจว่าจะต้องใช้ข้อมูลอะไรไปประมวลผล และต้องการนำข้อมูลเหล่านั้นไปเพื่อใช้งานอะไร เปิดเผยข้อมูลอะไรบ้างในกรณีที่ต้องมีการเปิดเผยข้อมูลส่วนบุคคล อย่างเช่นการเข้าถึงจุดที่ตั้งเพื่อส่งของให้ถึงตัวเรา ซึ่งตรงนี้ถือว่าผู้ควบคุมข้อมูลส่วนบุคคล จะต้องปฏิบัติตามให้ถูกต้องตามกฎหมาย PDPA ด้วย
- กลุ่มผู้ประมวลผลข้อมูลส่วนบุคคล คือบุคคล/ บริษัทต่างๆ ที่นำข้อมูลส่วนบุคคลไปประมวลผล และทำภายใต้คำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลลงมาอีกที ไม่ได้เป็นคนตัดสินใจด้วยตนเอง อย่างเช่นคนขับรถส่งของที่ใช้ข้อมูลที่ตั้งจากผู้ควบคุมข้อมูลส่วนบุคคล เพื่อมาส่งของให้เราอีกที
ตัวอย่างข้อมูลส่วนบุคคล (Personal Data) ได้แก่
- ชื่อ นามสกุล หรือชื่อเล่น
- เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, หรือเลขใบอนุญาตขับขี่
- เลขบัตรประกันสังคม, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร หรือเลขบัตรเครดิต
- ที่อยู่, Email, เบอร์โทรศัพท์
- GPS Location, IP address, MAC address, Cookie ID, User ID, Password
- ทะเบียนบ้าน, ทะเบียนรถยนต์, โฉนดที่ดิน
- วันเกิด, สถานที่เกิด, เชื้อชาติ, สัญชาติ, น้ำหนัก – ส่วนสูง, การศึกษา, ข้อมูลทางการเงิน, ข้อมูลการแพทย์
นอกจากนี้ยังรวมไปถึงข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ที่กฎหมายนี้ให้ความสำคัญมากๆ ด้วยเช่นกันตัวอย่างได้แก่
- ข้อมูลทางชีวมิติ (Biometric) ทั้งหมดอย่างลายนิ้วมือ ใบหน้า หรือม่านตา
- เชื้อชาติ, เผ่าพันธุ์
- ความคิดเห็นทางการเมือง, ความเชื่อศาสนา หรือความเชื่อต่างๆ
- พฤติกรรมทางเพศ หรือพันธุกรรม
- ประวัติอาชญากรรม หรือข้อมูลสุขภาพ ความพิการต่างๆ
เจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้รับสิทธิอะไรจาก PDPA บ้าง
สำหรับสิทธิที่ผู้ใช้งานอย่างเรานั้นสามารถทำได้ หากมีการรั่วไหลของข้อมูล หรือส่งผลกระทบต่อผู้ใช้งานอย่างเรานั้น ก็สามารถทำตามสิทธิที่ PDPA กำหนดเอาไว้ได้ด้วย โดยเราจะขอบอกเป็นหัวข้อสั้นๆ ได้แก่
- สิทธิได้รับการแจ้งให้ทราบ คือสิทธิที่แจ้งให้เรารู้ว่าจะเก็บข้อมูลส่วนบุคคลอะไรของเราไปบ้าง
- สิทธิในการถอนความยินยอม คือสิทธิหลังจากที่เรากดยินยอมให้ข้อมูลไปแล้ว และต้องการยกเลิกการยินยอมนั้น ก็ต้องสามารถทำได้ทุกเมื่อ
- สิทธิขอเข้าถึง และขอรับสำเนาข้อมูลส่วนบุคคล
- สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ที่สามารถทำได้ทุกเมื่อ
- สิทธิขอให้โอนข้อมูลส่วนบุคคล
- สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล ที่สามารถแก้ไขได้ทุกเมื่อเพื่อให้ข้อมูลถูกต้อง
- สิทธิขอให้ระงับการใช้ข้อมูล
- สิทธิขอให้ลบ หรือทำลายข้อมูลส่วนบุคคล ที่เปิดเผยต่อสาธารณะ
เรื่องเข้าใจผิดเกี่ยวกับ PDPA และโทษจากการไม่ทำตามกฎหมายของ PDPA
สำหรับเรื่องที่ถูกพูดถึงกันมากที่สุด หลังจากที่ได้มีการประกาศใช้กฎหมาย PDPA คืออะไรตามที่เราได้บอกกันไปข้างต้นแล้ว ก็ยังเกี่ยวข้องไปถึงการถ่ายรูปติดตัวบุคคล หรือว่าการนำรูปบุคคลต่างๆ มาเผยแพร่ แบบไหนถูกหรือแบบไหนผิดกันแน่ ซึ่งเรื่องนี้ทาง PDPC Thailand ก็ได้เผย 4 เรื่องไม่จริงเกี่ยวกับ PDPA เอาไว้ด้วยนั่นก็คือ
1. การถ่ายรูป – ถ่ายคลิป ติดภาพคนอื่นโดยเจ้าตัวไม่ยินยอมจะผิด PDPA
- ไม่จริงสเมอไปสำหรับเรื่องนี้ เพราะถ้าหากเราถ่ายรูปหรือวิดีโอติดคนอื่นโดยไม่เจตนา หรือว่าไม่ได้ก่อให้เกิดความเสียหาย และถือว่าสามารถ่ายได้หากใช้เพื่อวัตถุประสงค์ส่วนตัว แต่ถ้าบุคคลนั้นพบเห็นและไม่สบายใจ สามารถติดต่อให้ลบได้เช่นกัน
2. ถ้านำคลิปวิดีโอ หรือรูปถ่ายที่ติดคนอื่นไปเผยแพร่ในโซเชียลมีเดียโดยบุคคลอื่นไม่ยินยอมจะผิด PDPA
- หากเราถ่ายรูปหรือวิดีโอติดคนอื่น และนำมาโพสต์ หรือเผยแพร่ลงโซเชียลมีเดียต่างๆ สามารถทำได้ หากทำเพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้เพื่อแสวงหาผลกำไร และไม่ก่อให้เกิดความเสียหายต่อบุคคล แต่ถ้าบุคคลนั้นพบเห็นและไม่สบายใจ สามารถติดต่อให้ลบได้ทุกเมื่อเช่นกัน
3. ติดกล้องวงจรปิดแล้วไม่มีป้ายแจ้งเตือนผิด PDPA
- สามารถติดได้โดยไม่ต้องมีป้ายแจ้งเตือน หากติดเอาไว้ในบ้านตัวเอง อย่างเข่นติดกล้องวงจรปิดเพื่อป้องกันอาชญากรรม และรักษาความปลอดภัย
4. เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้
- ไม่จำเป็นเสมอไป ถ้าหากใช้ข้อมูลดังนี้
- เป็นการทำตามสัญญา
- เป็นการใช้ที่มีกฎหมายให้อำนาจ
- เป็นการใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล
- เป็นการใช้เพื่อการค้นคว้าวิจัยหรือสถิติ
- เป็นการใช้เพื่อประโยชน์สาธารณะ
- เป็นการใช้เพื่อปกป้องผลประโยชน์ หรือสิทธิของตนเอง
นอกจากนี้เรื่องของการถ่ายรูปติดผู้อื่นอย่างเช่นช่างภาพ ถ่ายรูปในงานเฟสติวัลหรือคอนเสิร์ต รวมไปถึงการถ่ายรูปเพื่อเก็บไว้เป็นผลงานของตัวเองนั้น ก็ต้องมีการขออนุญาตจากเจ้าของข้อมูลส่วนบุคคลก่อนด้วย อย่างเช่นการแจ้งให้รู้ว่าในงานนี้มีการถ่ายรูป หรือว่าจะเป็นการขอจากเจ้าตัวเองเลยก็ถือว่าไม่ผิด PDPA หากไม่ทำให้เกิดความเสียหาย และได้รับความยินยอมแล้ว แต่ทั้งนี้ก็แน่นอนว่าถ้าหากเจ้าของข้อมูลต้องการให้ลบ ก็จะต้องลบออกตามคำขอของเจ้าของข้อมูลส่วนบุคคลเช่นกัน
โดยโทษของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA คืออะไรนั้น สามารถแบ่งออกได้อยู่ 3 ประเภทหลักๆ ได้แก่
- โทษทางอาญา อย่างเข่นการทำให้เสียหายหรือได้รับความอับอายต่างๆ รวมไปถึง นำข้อมูลไปแสวงหาผลกำไรโดยมิชอบ ต้องรับโทษจำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
- โทษทางแพ่ง คือค่าสินไหมทดแทน และค่าสินไหมเพื่อการลงโทษเพิ่มได้อีกไม่เกิน 2 เท่าของสินไหมทดแทน
- โทษทางปกครอง อย่างเช่นการขอข้อมูลโดยไม่ขอความยินยอม ปรับไม่เกิน 1 ล้านบาท การนำข้อมูลไปใช้หรือเผยข้อมูลโดยไม่มีฐานทางกฎหมายปรับไม่เกิน 3 ล้านบาท และเก็บข้อมูล นำไปใช้ และเปิดเผยข้อมูลส่วนบุคคลอ่อนไหวปรับไม่เกิน 5 ล้านบาท
ขอบคุณข้อมูลข้างต้นจาก PDPC Thailand สามารถกดเข้าไปดูรายละเอียดทางข้อกฎหมาย และข้อเท็จจริงต่างๆ เพิ่มเติมได้ที่ PDPC Thailand
ข้อสรุปเรื่อง PDPA คืออะไร
อย่างที่ได้บอกไปตามข้อมูลด้านบนทั้งหมดแล้วว่าพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA คืออะไร ถ้าพูดแบบสั้นและกระชับมากที่สุดอีกครั้งก็คือ การจะใช้ข้อมูลส่วนบุคคลจากคนอื่น จะต้องขอความยินยอม จากเจ้าของข้อมูลส่วนบุคคลเสียก่อน ไม่ว่าจะเป็นเว็บไซต์ แอพ การถ่ายรูป หรือการนำข้อมูลของคนอื่นไปเผยแพร่ก็ตาม โดยเรื่องนี้ก็เกี่ยวเนื่องมาจากการที่มีข้อมูลส่วนบุคคลรั่วไหล หรือว่าโดนแฮก และโดนนำข้อมูลส่วนบุคคลไปใช้ในทางใดทางหนึ่ง แน่นอนว่ารวมไปถึงกลุ่มมิจฉาชีพ หรือว่าแก๊งค์ Call Center ทั้งหลายที่นำข้อมูลเหล่านี้ไปใช้ การใช้กฎหมาย PDPA เข้ามาควบคุมบริษัทต่างๆ ทำให้บริษัทเหล่านั้นต้องปกป้องข้อมูลส่วนบุคคลให้แน่นหนาขึ้น และเป็นผลดีต่อผู้ใช้งานทั่วไปอย่างเราเองทั้งสิ้น
ไม่เพียงแต่บริษัทยักษ์ใหญ่หรือบริษัทเล็กๆ เท่านั้น แต่การนำข้อมูลส่วนบุคคลอย่างการถ่ายรูป วิดีโอมาเผยแพร่ลงโซดชียลมีเดีย ก็จะถูกควบคุมมากกว่าเดิม เพื่อปกป้องข้อมูลส่วนบุคคลของแต่ละคนมากขึ้นกว่าเดิม ทำให้ในอนาคตเราก็จะเคารพในสิทธิของผู้อื่นมากขึ้น ไม่ใช่ว่านึกจะถ่ายใครก็ยกมือถือขึ้นมาแฉกันมั่วๆ ได้อีกแล้ว ส่วนเรื่องที่ว่ากฎหมายที่ออกมานี้มีผลดีหรือผลเสียมากกว่ากัน เราก็ไม่สามารถให้คำตอบได้ แต่อย่างน้อยก็ทำให้ประเทศเราก้าวตามทันยุคใหม่ได้อีกขั้น และอาจจะช่วยให้ข้อมูลที่เคยรั่วไหล หรือโดนนำไปใช้โดยผิดต่อหลักกฎหมายน้อยลงก็เป็นได้