PDPA คืออะไร? พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่ทุกคนควรรู้แบบเข้าใจง่ายๆ หลังบังคับใช้ 1 มิ.ย. 65

PDPA คืออะไร? พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่ทุกคนควรรู้แบบเข้าใจง่ายๆ หลังบังคับใช้ 1 มิ.ย. 65

หลายๆ คนที่ทำงานเกี่ยวกับเว็บไซต์ หรือว่าจะเป็นสื่อและครีเอทเตอร์ต่างๆ รวมไปถึงคนที่เล่นโซเชียลมีเดีย ก็น่าจะเคยได้เห็นคำว่า PDPA ผ่านหูผ่านตากันมาบ้าง ซึ่งเรื่องนี้ก็ไม่ใช่เรื่องที่ไกลตัวเราเท่าไหร่นัก ในยุคสมัยที่เราจำเป็นต้องเข้าเว็บ หรือว่าต้องใช้มือถือถ่ายรูปและถ่ายอะไรก็ตามเพื่อลงสู่โซเชียลมีเดีย เพราะว่าชื่อของกฎหมายนี้ในภาษาไทยก็คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ก็แน่นอนว่ารวมถึงการคุ้มครองข้อมูลส่วนตัวของเราเองด้วย ในกรณีที่เราโดนถ่ายรูปหรือว่านำไปทำให้เสียหาย หรือการใช้ข้อมูลส่วนตัวต่างๆ เวลาเข้าไปยังเว็บไซต์ โดยไม่ได้บอกเราว่าต้องยอมรับหรือปฏิเสธได้หรือไม่ กฎหมายตรงนี้ก็ช่วยคุ้มครองเราได้เหมือนกัน สำหรับใครที่ยังไม่รู้ว่า PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล นั้นคืออะไร เดี๋ยววันนี้ทาง Specphone จะมาบอกให้ว่า PDPA คืออะไรกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่ทุกคนควรรู้แบบเข้าใจง่ายๆ หลังจากที่มีการบังคับใช้ในวันที่ 1 มิ.ย. 65 ที่ผ่านมา

• พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPAคืออะไร?
• ข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของ PDPAคืออะไร และใครบ้างที่อยู่ในกฎหมาย PDPA
• เจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้รับสิทธิอะไรจาก PDPA บ้าง
• เรื่องเข้าใจผิดเกี่ยวกับ PDPA และโทษจากการไม่ทำตามกฎหมายของ PDPA
• ข้อสรุปเรื่อง PDPA คืออะไร

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA คืออะไร?

เริ่มทำความรู้จักกับกฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA (Personal Data Protection Act) ที่เป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แต่ว่าบังคับใช้จริงเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมานี้ โดยกฎหมายนี้ได้ทำขึ้นมาเพื่อให้บริษัททั้งภาครัฐ และเอกชนที่จะเก็บข้อมูล นำข้อมูลไปใช้งาน หรือว่าเปิดเผยข้อมูล และโอนข้อมูลต่างๆ ที่เป็นข้อมูลส่วนบุคคลนั้นจะต้องมีการยินยอมจากเจ้าของข้อมูลเสียก่อน ไม่อย่างนั้นจะถือว่าละเมิดสิทธิส่วนตัว ซึ่งจากแต่ก่อนเวลาเราเข้าไปยังเว็บไซต์หรือว่าแอพอะไรก็ตาม บริษัทต่างๆ จะมีการเก็บข้อมูลส่วนตัวบางส่วนของเราไปอยู่แล้ว เพื่อนำไปใช้ทางด้านการตลาดหรืออะไรก็ตาม แต่ในตอนนี้จะต้องขอความยินยอมจากผู้ใช้งาน หรือเจ้าของข้อมูลก่อน

ผู้ใช้งานอย่างคนทั่วไปอาจจะคิดว่าเราไปมีส่วนเกี่ยวข้อง หรือว่าจะรู้ได้อย่างไรว่ามีการเก็บข้อมูลตรงไหนไปใช้ ซึ่งตรงนี้เองก็เป็นเรื่องที่เกี่ยวข้องโดยตรง ตัวอย่างง่ายๆ ที่มักจะเจอได้บ่อยมากที่สุดในการเข้าเว็บ หรือแอพทั่วไปก็คือ การเก็บข้อมูลไม่ว่าจะเป็นข้อมูลส่วนบุคคล ทั้งการสมัครสมาชิก การเก็บตำแหน่งที่ตั้ง การเก็บคุกกี้ ที่ผู้ใช้งานอย่างเรานั้นสามารถเลือกได้ว่าจะยอมรับ ปฏิเสธ หรือว่าปรับตั้งค่าได้ว่าให้นำข้อมูลไหนไปใช้ได้บ้าง ตรงนี้นี่แหละที่เกี่ยวข้องกับกฎหมายพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA ที่จัดตั้งขึ้นมา พูดแบบเข้าใจง่ายๆ ก็คือผู้ที่เก็บข้อมูลไปก็ต้องแจ้งก่อน และผู้ใช้งานอย่างเราต้องยินยอม และสามารถเข้าถึงข้อมูล แก้ไข ยกเลิก ทำลายได้ด้วยนั่นเอง

ข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของ PDPA คืออะไร และใครบ้างที่อยู่ในกฎหมาย PDPA

คำถามต่อมาคือข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของ PDPA คืออะไรที่พูดถึงอยู่ตอนนี้มันมีอะไรบ้าง และใครบ้างที่อยู่ในกฎหมาย PDPA เหล่านี้ เราจะขอแบ่งออกเป็น 2 หัวข้อหลักๆ ก็คือกลุ่มที่เกี่ยวข้องกับข้อมูลกับ เรื่องของข้อมูลส่วนบุคคลทั่วไปดังนี้

กลุ่มที่เกี่ยวข้องกับข้อมูลได้แก่

1. กลุ่มเจ้าของข้อมูลส่วนบุคคล คือเจ้าของข้อมูลที่จะถูกนำข้อมูลส่วนบุคคลไปใช้ หรือพูดง่ายๆ ก็คือผู้ใช้งานทั่วไปอย่างเรานั่นเอง
2. กลุ่มผู้ควบคุมข้อมูลส่วนบุคคล คือบุคคล/ บริษัทต่างๆ ที่เป็นคนตัดสินใจว่าจะต้องใช้ข้อมูลอะไรไปประมวลผล และต้องการนำข้อมูลเหล่านั้นไปเพื่อใช้งานอะไร เปิดเผยข้อมูลอะไรบ้างในกรณีที่ต้องมีการเปิดเผยข้อมูลส่วนบุคคล อย่างเช่นการเข้าถึงจุดที่ตั้งเพื่อส่งของให้ถึงตัวเรา ซึ่งตรงนี้ถือว่าผู้ควบคุมข้อมูลส่วนบุคคล จะต้องปฏิบัติตามให้ถูกต้องตามกฎหมาย PDPA ด้วย
3. กลุ่มผู้ประมวลผลข้อมูลส่วนบุคคล คือบุคคล/ บริษัทต่างๆ ที่นำข้อมูลส่วนบุคคลไปประมวลผล และทำภายใต้คำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลลงมาอีกที ไม่ได้เป็นคนตัดสินใจด้วยตนเอง อย่างเช่นคนขับรถส่งของที่ใช้ข้อมูลที่ตั้งจากผู้ควบคุมข้อมูลส่วนบุคคล เพื่อมาส่งของให้เราอีกที

ตัวอย่างข้อมูลส่วนบุคคล (Personal Data) ได้แก่

• ชื่อ นามสกุล หรือชื่อเล่น
• เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, หรือเลขใบอนุญาตขับขี่
• เลขบัตรประกันสังคม, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร หรือเลขบัตรเครดิต
• ที่อยู่, Email, เบอร์โทรศัพท์
• GPS Location, IP address, MAC address, Cookie ID, User ID, Password
• ทะเบียนบ้าน, ทะเบียนรถยนต์, โฉนดที่ดิน
• วันเกิด, สถานที่เกิด, เชื้อชาติ, สัญชาติ, น้ำหนัก – ส่วนสูง, การศึกษา, ข้อมูลทางการเงิน, ข้อมูลการแพทย์

นอกจากนี้ยังรวมไปถึงข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ที่กฎหมายนี้ให้ความสำคัญมากๆ ด้วยเช่นกันตัวอย่างได้แก่

• ข้อมูลทางชีวมิติ (Biometric) ทั้งหมดอย่างลายนิ้วมือ ใบหน้า หรือม่านตา
• เชื้อชาติ, เผ่าพันธุ์
• ความคิดเห็นทางการเมือง, ความเชื่อศาสนา หรือความเชื่อต่างๆ
• พฤติกรรมทางเพศ หรือพันธุกรรม
• ประวัติอาชญากรรม หรือข้อมูลสุขภาพ ความพิการต่างๆ

เจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้รับสิทธิอะไรจาก PDPA บ้าง

สำหรับสิทธิที่ผู้ใช้งานอย่างเรานั้นสามารถทำได้ หากมีการรั่วไหลของข้อมูล หรือส่งผลกระทบต่อผู้ใช้งานอย่างเรานั้น ก็สามารถทำตามสิทธิที่ PDPA กำหนดเอาไว้ได้ด้วย โดยเราจะขอบอกเป็นหัวข้อสั้นๆ ได้แก่

• สิทธิได้รับการแจ้งให้ทราบ คือสิทธิที่แจ้งให้เรารู้ว่าจะเก็บข้อมูลส่วนบุคคลอะไรของเราไปบ้าง
• สิทธิในการถอนความยินยอม คือสิทธิหลังจากที่เรากดยินยอมให้ข้อมูลไปแล้ว และต้องการยกเลิกการยินยอมนั้น ก็ต้องสามารถทำได้ทุกเมื่อ
• สิทธิขอเข้าถึง และขอรับสำเนาข้อมูลส่วนบุคคล
• สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ที่สามารถทำได้ทุกเมื่อ
• สิทธิขอให้โอนข้อมูลส่วนบุคคล
• สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล ที่สามารถแก้ไขได้ทุกเมื่อเพื่อให้ข้อมูลถูกต้อง
• สิทธิขอให้ระงับการใช้ข้อมูล
• สิทธิขอให้ลบ หรือทำลายข้อมูลส่วนบุคคล ที่เปิดเผยต่อสาธารณะ

เรื่องเข้าใจผิดเกี่ยวกับ PDPA และโทษจากการไม่ทำตามกฎหมายของ PDPA

สำหรับเรื่องที่ถูกพูดถึงกันมากที่สุด หลังจากที่ได้มีการประกาศใช้กฎหมาย PDPA คืออะไรตามที่เราได้บอกกันไปข้างต้นแล้ว ก็ยังเกี่ยวข้องไปถึงการถ่ายรูปติดตัวบุคคล หรือว่าการนำรูปบุคคลต่างๆ มาเผยแพร่ แบบไหนถูกหรือแบบไหนผิดกันแน่ ซึ่งเรื่องนี้ทาง PDPC Thailand ก็ได้เผย 4 เรื่องไม่จริงเกี่ยวกับ PDPA เอาไว้ด้วยนั่นก็คือ

1. การถ่ายรูป – ถ่ายคลิป ติดภาพคนอื่นโดยเจ้าตัวไม่ยินยอมจะผิด PDPA

• ไม่จริงสเมอไปสำหรับเรื่องนี้ เพราะถ้าหากเราถ่ายรูปหรือวิดีโอติดคนอื่นโดยไม่เจตนา หรือว่าไม่ได้ก่อให้เกิดความเสียหาย และถือว่าสามารถ่ายได้หากใช้เพื่อวัตถุประสงค์ส่วนตัว แต่ถ้าบุคคลนั้นพบเห็นและไม่สบายใจ สามารถติดต่อให้ลบได้เช่นกัน

2. ถ้านำคลิปวิดีโอ หรือรูปถ่ายที่ติดคนอื่นไปเผยแพร่ในโซเชียลมีเดียโดยบุคคลอื่นไม่ยินยอมจะผิด PDPA

• หากเราถ่ายรูปหรือวิดีโอติดคนอื่น และนำมาโพสต์ หรือเผยแพร่ลงโซเชียลมีเดียต่างๆ สามารถทำได้ หากทำเพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้เพื่อแสวงหาผลกำไร และไม่ก่อให้เกิดความเสียหายต่อบุคคล แต่ถ้าบุคคลนั้นพบเห็นและไม่สบายใจ สามารถติดต่อให้ลบได้ทุกเมื่อเช่นกัน

3. ติดกล้องวงจรปิดแล้วไม่มีป้ายแจ้งเตือนผิด PDPA

• สามารถติดได้โดยไม่ต้องมีป้ายแจ้งเตือน หากติดเอาไว้ในบ้านตัวเอง อย่างเข่นติดกล้องวงจรปิดเพื่อป้องกันอาชญากรรม และรักษาความปลอดภัย

4. เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้

• ไม่จำเป็นเสมอไป ถ้าหากใช้ข้อมูลดังนี้
  • เป็นการทำตามสัญญา
  • เป็นการใช้ที่มีกฎหมายให้อำนาจ
  • เป็นการใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล
  • เป็นการใช้เพื่อการค้นคว้าวิจัยหรือสถิติ
  • เป็นการใช้เพื่อประโยชน์สาธารณะ
  • เป็นการใช้เพื่อปกป้องผลประโยชน์ หรือสิทธิของตนเอง

นอกจากนี้เรื่องของการถ่ายรูปติดผู้อื่นอย่างเช่นช่างภาพ ถ่ายรูปในงานเฟสติวัลหรือคอนเสิร์ต รวมไปถึงการถ่ายรูปเพื่อเก็บไว้เป็นผลงานของตัวเองนั้น ก็ต้องมีการขออนุญาตจากเจ้าของข้อมูลส่วนบุคคลก่อนด้วย อย่างเช่นการแจ้งให้รู้ว่าในงานนี้มีการถ่ายรูป หรือว่าจะเป็นการขอจากเจ้าตัวเองเลยก็ถือว่าไม่ผิด PDPA หากไม่ทำให้เกิดความเสียหาย และได้รับความยินยอมแล้ว แต่ทั้งนี้ก็แน่นอนว่าถ้าหากเจ้าของข้อมูลต้องการให้ลบ ก็จะต้องลบออกตามคำขอของเจ้าของข้อมูลส่วนบุคคลเช่นกัน

โดยโทษของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA คืออะไรนั้น สามารถแบ่งออกได้อยู่ 3 ประเภทหลักๆ ได้แก่

• โทษทางอาญา อย่างเข่นการทำให้เสียหายหรือได้รับความอับอายต่างๆ รวมไปถึง นำข้อมูลไปแสวงหาผลกำไรโดยมิชอบ ต้องรับโทษจำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
• โทษทางแพ่ง คือค่าสินไหมทดแทน และค่าสินไหมเพื่อการลงโทษเพิ่มได้อีกไม่เกิน 2 เท่าของสินไหมทดแทน
• โทษทางปกครอง อย่างเช่นการขอข้อมูลโดยไม่ขอความยินยอม ปรับไม่เกิน 1 ล้านบาท การนำข้อมูลไปใช้หรือเผยข้อมูลโดยไม่มีฐานทางกฎหมายปรับไม่เกิน 3 ล้านบาท และเก็บข้อมูล นำไปใช้ และเปิดเผยข้อมูลส่วนบุคคลอ่อนไหวปรับไม่เกิน 5 ล้านบาท

ขอบคุณข้อมูลข้างต้นจาก PDPC Thailand สามารถกดเข้าไปดูรายละเอียดทางข้อกฎหมาย และข้อเท็จจริงต่างๆ เพิ่มเติมได้ที่ PDPC Thailand

ข้อสรุปเรื่อง PDPA คืออะไร

อย่างที่ได้บอกไปตามข้อมูลด้านบนทั้งหมดแล้วว่าพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA คืออะไร ถ้าพูดแบบสั้นและกระชับมากที่สุดอีกครั้งก็คือ การจะใช้ข้อมูลส่วนบุคคลจากคนอื่น จะต้องขอความยินยอม จากเจ้าของข้อมูลส่วนบุคคลเสียก่อน ไม่ว่าจะเป็นเว็บไซต์ แอพ การถ่ายรูป หรือการนำข้อมูลของคนอื่นไปเผยแพร่ก็ตาม โดยเรื่องนี้ก็เกี่ยวเนื่องมาจากการที่มีข้อมูลส่วนบุคคลรั่วไหล หรือว่าโดนแฮก และโดนนำข้อมูลส่วนบุคคลไปใช้ในทางใดทางหนึ่ง แน่นอนว่ารวมไปถึงกลุ่มมิจฉาชีพ หรือว่าแก๊งค์ Call Center ทั้งหลายที่นำข้อมูลเหล่านี้ไปใช้ การใช้กฎหมาย PDPA เข้ามาควบคุมบริษัทต่างๆ ทำให้บริษัทเหล่านั้นต้องปกป้องข้อมูลส่วนบุคคลให้แน่นหนาขึ้น และเป็นผลดีต่อผู้ใช้งานทั่วไปอย่างเราเองทั้งสิ้น

ไม่เพียงแต่บริษัทยักษ์ใหญ่หรือบริษัทเล็กๆ เท่านั้น แต่การนำข้อมูลส่วนบุคคลอย่างการถ่ายรูป วิดีโอมาเผยแพร่ลงโซดชียลมีเดีย ก็จะถูกควบคุมมากกว่าเดิม เพื่อปกป้องข้อมูลส่วนบุคคลของแต่ละคนมากขึ้นกว่าเดิม ทำให้ในอนาคตเราก็จะเคารพในสิทธิของผู้อื่นมากขึ้น ไม่ใช่ว่านึกจะถ่ายใครก็ยกมือถือขึ้นมาแฉกันมั่วๆ ได้อีกแล้ว ส่วนเรื่องที่ว่ากฎหมายที่ออกมานี้มีผลดีหรือผลเสียมากกว่ากัน เราก็ไม่สามารถให้คำตอบได้ แต่อย่างน้อยก็ทำให้ประเทศเราก้าวตามทันยุคใหม่ได้อีกขั้น และอาจจะช่วยให้ข้อมูลที่เคยรั่วไหล หรือโดนนำไปใช้โดยผิดต่อหลักกฎหมายน้อยลงก็เป็นได้