บทความรู้
สื่อการเรียนรู้ออนไลน์
PDPC e-Learning ฟรี!
พร้อมรับ e-Certificate
สื่อการเรียนรู้ออนไลน์
ด้านการคุ้มครองข้อมูลส่วนบุคคล
PDPC e-Learning ฟรี! ไม่มีค่าใช้จ่าย
พร้อมรับ e-Certificate
สำหรับผู้ควบคุมข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
ลูกจ้าง ผู้รับจ้าง และสำหรับประชาชนทั่วไป
เรียนได้แล้ววันนี้ที่ www.pdpc.or.th
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)
FAQs
PDPA คืออะไร ?
PDPA คือ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) คือ กฎหมายที่ช่วยคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคในทุกช่องทางไม่ว่าจะเป็นช่องทางออนไลน์ (Online) หรือออฟไลน์ (Offline) จากองค์กรทั้งในและต่างประเทศ หากธุรกิจหรือองค์กรใดต้องการจัดเก็บหรือนำข้อมูลส่วนบุคคลของผู้บริโภคไปใช้ประโยชน์จะต้องได้รับความยินยอม (Consent) จากเจ้าของข้อมูลก่อน ซึ่งผู้บริโภคมีสิทธิ์ในการฟ้องร้องหากถูกละเมิดกฎหมายดังกล่าวได้อีกด้วย
PDPA มีผลกับใครบ้าง
PDPA มีผลกับทุก ๆ คน ไม่ว่าจะเป็นในแง่ขององค์กรหรือผู้ประกอบการ ผู้บริโภค รวมถึงประชาชนทั่วไป เพราะหากมีการนำข้อมูลของผู้อื่นไปใช้ ไม่ว่าจะเป็นรายละเอียดข้อมูล ภาพถ่าย วิดีโอ ก็จะครอบคลุมอยู่ในกฎหมาย PDPA ซึ่งบุคคลหรือองค์กรที่มีบทบาทเกี่ยวข้องกับกฎหมายดังกล่าว จะแบ่งออกเป็น
- เจ้าของข้อมูล (Data Subject)
- ผู้ควบคุมข้อมูล (Data Controller)
- ผู้ประมวลผลข้อมูล (Data Processor)
PDPA คุ้มครองข้อมูลส่วนบุคคลด้านไหน ?
ข้อมูลส่วนบุคคล (Personal Data) ที่กฎหมาย PDPA จะครอบคลุมนั้นมีอยู่มากมาย ตั้งแต่ข้อมูลพื้นฐานไปจนถึงข้อมูลที่มีความอ่อนไหว ซึ่งประกอบไปด้วย ชื่อ - นามสกุล, เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขใบอนุญาตขับขี่, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน, ทะเบียนรถยนต์, โฉนดที่ดิน, ทะเบียนบ้าน
ในส่วนของข้อมูลบนอินเทอร์เน็ตก็ครอบคลุมไปถึงข้อมูลที่สามารถใช้ระบุตัวตนได้ อาทิ Username/Password, Cookies IP Address, GPS Location เป็นต้น นอกจากนี้ยังรวมถึงข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) อย่างข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น
เห็นได้ว่า PDPA นั้นเป็นกฎหมายที่สามารถคุ้มครองข้อมูลด้านต่างๆ ของแต่ละบุคคลได้อย่างครอบคลุมเลยทีเดียว
ในเมื่อ PDPA มีผลอย่างเป็นทางการแล้ว จะเกิดอะไรขึ้นบ้าง ?
ข้อเปลี่ยนแปลงสำคัญอย่างแรกคือ ผู้ที่เป็นเจ้าของข้อมูลจะได้รับการคุ้มครองมากขึ้น และมีสิทธิ์ในการควบคุมการประมวลผลข้อมูล รวมถึงสามารถเรียกร้องหรือฟ้องร้องได้ หากได้รับความเสียหายในกรณีที่มีบุคคลหรือหน่วยงานนำข้อมูลของตนไปใช้โดยไม่ได้รับอนุญาต
ส่วนผู้ที่นำข้อมูลไปใช้ ภาคธุรกิจ องค์กร หน่วยงาน และบุคคล จะต้องขออนุญาตและระมัดระวังในการใช้ข้อมูลดังกล่าว เพื่อประโยชน์ตามที่กฎหมายกำหนด และไม่ทำให้เจ้าของข้อมูลเสียหายหรือเสื่อมเสียชื่อเสียง
ผู้ที่นำข้อมูลไปใช้จะต้องทำตามข้อกำหนด ดังนี้
- ต้องจำกัดการประมวลผลข้อมูลส่วนบุคคลเพียงเท่าที่จำเป็น
- การประมวลผลข้อมูลต้องมีวัตถุประสงค์ ซึ่งมีฐานกฎหมายตามที่ พรบ. กำหนดรองรับ เช่น เป็นการปฏิบัติหน้าที่ตามกฎหมาย ปฏิบัติหน้าที่ตามสัญญา สิทธิ์อันชอบธรรม และหากเป็นการประมวลผลด้วยฐานความยินยอมต้องได้รับความยินยอมก่อน
- ต้องอธิบายและแจ้งรายละเอียดการประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบ
- ต้องมีการรับประกันความมั่นคงและความปลอดภัยของข้อมูล
- หากมีข้อมูลรั่วไหลต้องทำการแจ้งเตือนให้เจ้าของข้อมูลทราบ รวมถึงแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งจะมีการประเมินความเสียหาย และวิธีการเยียวยาเจ้าของข้อมูล
เจ้าของข้อมูลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้หรือไม่ ?
หากนำข้อมูลส่วนบุคคลไปใช้จะต้องขออนุญาตเจ้าของข้อมูลก่อนทุกครั้ง แต่ PDPA มีข้อยกเว้นที่สามารถนำข้อมูลไปใช้โดยไม่ต้องขอความยินยอม ซึ่งเป็นกรณีดังนี้
เป็นการทำตามสัญญา เช่น เว็บไซต์หรือแอปพลิเคชัน E-Commerce ที่ต้องใช้ชื่อและที่อยู่ในการส่งพัสดุให้ลูกค้า หรือเป็นข้อมูลที่จำเป็นต่อการทำงาน เช่น การเป็นสมาชิกหรือ Subscription Service ที่ต้องใช้ข้อมูลบัตรเครดิต เป็นต้น
- เป็นการใช้ที่มีกฎหมายให้อำนาจ
- เป็นการใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล รวมถึงป้องกันอันตราย และการป้องกันโรคระบาด
- เป็นการใช้เพื่อการค้นคว้าวิจัยทางสถิติ
- เป็นการใช้เพื่อประโยชน์สาธารณะ
- เป็นการใช้เพื่อปกป้องผลประโยชน์หรือสิทธิ์ของตนเอง
- เป็นการใช้เพื่อดำเนินการเกี่ยวกับเอกสารประวัติศาสตร์
- เป็นการใช้เพื่อประมวลผลเชิงเนื้อหาสำหรับสื่อมวลชน ซึ่งต้องเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น
ทั้งนี้ หลักการข้างต้น อาจเปลี่ยนแปลงตามข้อเท็จจริงที่เกิดขึ้นเป็นกรณีๆ ไป ถึงไม่ต้องขอความยินยอม แต่ผู้ควบคุมข้อมูลยังต้องรักษาความปลอดภัยของข้อมูลและคำนึงถึงสัดส่วนความจำเป็นของการใช้ข้อมูล และผลกระทบต่อความเป็นส่วนตัวของเจ้าของข้อมูล
ถ่ายภาพหรือวิดีโอแล้วติดบุคคลอื่นผิดหรือไม่ ?
ถือเป็นหนึ่งในประเด็นที่ได้รับความสนใจค่อนข้างมากในช่วงที่ผ่านมา ซึ่งการถ่ายภาพหรือวิดีโอที่มีหน้าของบุคคลอื่นติดมาด้วยนั้น สามารถแยกได้เป็น 3 กรณี ดังนี้
- กรณีที่ถ่ายภาพและวิดีโอติดบุคคลอื่นโดยไม่เจตนาหรือไม่ได้ก่อให้เกิดความเสียหาย - ถือว่าสามารถทำได้หากใช้เพื่อวัตถุประสงค์ส่วนตัว และหากมีการนำไปโพสต์ลงโซเชียลมีเดีย ก็สามารถทำได้เช่นเดียวกัน แต่ต้องไม่ใช้เพื่อการแสวงหากำไรทางการค้าและไม่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล
- กรณีภาพของกล้องวงจรปิดถ่ายติดบุคคลอื่น - หากติดภายในบ้าน โดยมีจุดประสงค์เพื่อป้องกันอาชญากรรมและรักษาความปลอดภัย ไม่จำเป็นต้องมีป้ายแจ้งเตือน แต่หากเป็นกรณีที่ติดตั้งในที่สาธารณะ หน่วยงาน องค์กร ร้านค้า ห้างสรรพสินค้า จะต้องติดป้ายประกาศหรือสติกเกอร์เพื่อแจ้งให้ทราบว่ามีกล้องวงจรปิดและมีการบันทึกข้อมูล เพื่อเป็นการแจ้งให้ผู้คนรับทราบ
- กรณีของกล้องหน้ารถยนต์ - ไม่จำเป็นต้องติดประกาศแจ้งให้ทราบ หากนำภาพหรือวิดีโอที่มีบุคคลอื่นไปใช้โดยไม่ส่งผลกระทบหรือความเสียหายต่อบุคคลในภาพ/วิดีโอนั้นสามารถทำได้ แต่ไม่สามารถนำไปใช้ทางการค้า สร้างรายได้ สร้างความอับอาย ความเสียหาย หรือใช้ในรูปแบบอื่นๆ ที่ไม่ใช่วัตถุประสงค์ส่วนตัว
เจ้าของข้อมูลส่วนบุคคล มีสิทธิ์อะไรเกี่ยวกับข้อมูลของตนบ้าง ?
- สิทธิ์ในการถอดถอนความยินยอมในกรณีที่ได้ให้ความยินยอมไว้
- สิทธิ์ได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice)
- สิทธิ์การขอเข้าถึงและการขอสำเนาข้อมูลส่วนบุคคล
- สิทธิ์ขอให้โอนข้อมูลส่วนบุคคล
- สิทธิ์คัดค้านการเก็บรวบรวม ใช้งาน หรือเปิดเผยข้อมูลส่วนบุคคล
- สิทธิ์ขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
- สิทธิ์ขอให้ระงับการใช้ข้อมูลส่วนบุคคล
- สิทธิ์ขอให้แก้ไขข้อมูลส่วนบุคคล
- สิทธิ์ในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่มีการฝ่าฝืนและไม่ปฏิบัติตามกฎหมายหรือประกาศที่ออกตามกฎหมาย PDPA
หากไม่ปฏิบัติตามกฎหมาย PDPA จะเป็นอย่างไร ?
สำหรับผู้ที่นำข้อมูลไปใช้ประโยชน์โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลนั้น ไม่ว่าจะเป็นผู้ควบคุมข้อมูล (Data Controller) และผู้ประมวลผลข้อมูล (Data Processor) จะมีโทษทางกฎหมาย โดยมีรายละเอียดดังนี้
- ความรับผิดทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง
- โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
- โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท
หากไม่ปฏิบัติตามกฎหมาย มีการนำข้อมูลไปใช้โดยไม่ได้รับความยินยอมหรือผิดวัตถุประสงค์ ก็อาจก่อให้เกิดความเสียหายต่อทรัพย์สินหรือความเป็นส่วนตัวของเจ้าของข้อมูล และส่งผลกระทบต่อองค์กรเป็นวงกว้าง
นอกจากนี้ องค์กรหรือธุรกิจที่ปฏิบัติตามกฎหมาย PDPA อย่างเคร่งครัด จะช่วยเสิรมสร้างน่าเชื่อถือและภาพลักษณ์ที่ดีให้กับองค์กรได้อีกด้วย สำหรับใครกำลังมองหาตัวช่วยที่ปลอดภัยและสะดวกสบายอยู่นั้น Connect X เป็นแพลตฟอร์ม Customer Data Platform (CDP) ที่รองรับกฎหมาย PDPA และได้รับมาตรฐานการเก็บข้อมูลอย่างปลอดภัย มีมาตรฐาน ISO27001 ซึ่งสามารถช่วยเก็บรวบรวมข้อมูลลูกค้าจากทุกช่องทางไว้ในที่เดียวกัน และยังมี Marketing Automation ที่ช่วยทำการตลาดแบบอัตโนมัติ เพื่อให้ธุรกิจนำข้อมูลมาใช้ได้อย่างสะดวกรวดเร็วและมีประสิทธิภาพ พร้อมความปลอดภัยและมีขั้นตอนการขออนุญาตเก็บข้อมูลที่ถูกต้องตามกฎหมายอย่างแน่นอน
