เตือน! อ่านให้จบก่อนเซ็นยินยอมให้ใช้ข้อมูลส่วนบุคคล หลังกฎหมาย PDPA บังคับใช้

วันนี้ (1 มิ.ย.65) เป็นวันแรกที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ "กฎหมาย PDPA" มีผลบังคับใช้ โดยล่าสุด สำนักงานกิจการยุติธรรม ให้ความรู้เกี่ยวกับกฎหมายดังกล่าวด้วยว่า 

กฎหมาย PDPA Thailand พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ประกาศไว้ในราชกิจจานุเบกษา เมื่อวันที่ 27 พฤษภาคม 2562 และปัจจุบันได้ถูกเลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ ซึ่งเป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต

กฎหมายฉบับนี้เป็นกฎหมายใหม่และเรื่องใหม่ ที่ทุกคนควรทราบและตระหนักรู้ถึงสิทธิในข้อมูลส่วนบุคคลของเรา โดยเฉพาะอย่างยิ่งองค์กรธุรกิจต่าง ๆ ที่มีการเก็บข้อมูลส่วนบุคคล ของลูกค้า ผู้ใช้งาน หรือพนักงานในองค์กร

ข้อมูลส่วนบุคคลภายใต้การคุ้มครองของ PDPA มีอะไรบ้าง?

1.ข้อมูลส่วนบุคคลทั่วไป ได้แก่-ชื่อ-นามสกุล-เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน-เลขบัตรประชาชน-เลขหนังสือเดินทาง-เลขใบอนุญาตขับขี่-ข้อมูลทางการศึกษา-ข้อมูลทางการเงิน-ข้อมูลทางการแพทย์-ทะเบียนรถยนต์-โฉนดที่ดิน-ทะเบียนบ้าน-วันเดือนปีเกิด-สัญชาติ-น้ำหนักส่วนสูง-ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password, Cookies IP address, GPS Location

2. ข้อมูลส่วนบุคคลที่มีความอ่อนไหว ซึ่งส่วนนี้นต้องระวังการใช้ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่อาจส่งผลกระทบต่อเจ้าของข้อมูล ได้แก่-เชื้อชาติ เผ่าพันธุ์-ความคิดเห็นทางการเมือง-ความเชื่อในลัทธิ ศาสนาหรือปรัชญา-พฤติกรรมทางเพศ-ประวัติอาชญากรรม-ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์-ข้อมูลสหภาพแรงงาน-ข้อมูลพันธุกรรม-ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

ผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลภายใต้ PDPA ประกอบด้วย

1.เจ้าของข้อมูลส่วนบุคคล (Data Subject) ซึ่งหมายถึงข้อมูลที่อยู่ในตัวหรือเกี่ยวข้องเชื่อมโยงไปถึงบุคลหนึ่งบุคคลใดที่เป็นของบุคคล คนนั้น

2.ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือคน บริษัทหรือองค์กรต่าง ๆ ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน

3.ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ คน บริษัทหรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง

บทลงโทษหากไม่ปฎิบัติตาม PDPA

– โทษทางอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ

– โทษทางแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า

– โทษทางปกครอง: ปรับไม่เกิน 1หรือ3หรือ 5 ล้านบาท

หากมีประเด็นข้อสงสัยเกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ติดต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โทร.02-1421033 หรือ www.facebook.com/pdpc.th

อ่าน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ฉบับเต็มได้ที่ www.ratchakitcha.soc.go.th

ข้อมูลจาก สำนักงานกิจการยุติธรรม

ภาพจาก Reuters , TNN ONLINE