พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต โดยกฎหมาย PDPA Thailand (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ได้ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565
ข้อมูลส่วนบุคคล คืออะไร
ความหมาย
- ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ทั้งทางตรงหรือทางอ้อม แต่จะไม่นับรวมข้อมูลของผู้ที่เสียชีวิตไปแล้ว
ข้อมูลส่วนบุคคล (Personal Data) คือข้อมูลประเภทใดบ้าง
- ชื่อ-นามสกุล หรือชื่อเล่น
- เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต (การเก็บเป็นภาพสำเนาบัตรประชาชนหรือสำเนาบัตรอื่นๆที่มีข้อมูลส่วนบุคคลที่กล่าวมาย่อมสามารถใช้ระบุตัวบุคคลได้โดยตัวมันเอง จึงถือเป็นข้อมูลส่วนบุคคล)
- ที่อยู่, อีเมล์, เลขโทรศัพท์
- ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address, MAC address, Cookie ID / ข้อมูลทางชีวมิติ (Biometric) เช่น รูปภาพใบหน้า, ลายนิ้วมือ, ฟิล์มเอกซเรย์, ข้อมูลสแกนม่านตา, ข้อมูลอัตลักษณ์เสียง, ข้อมูลพันธุกรรม
- ข้อมูลระบุทรัพย์สินของบุคคล เช่น ทะเบียนรถยนต์, โฉนดที่ดิน
- ข้อมูลที่สามารถเชื่อมโยงไปยังข้อมูลข้างต้นได้ เช่น วันเกิดและสถานที่เกิด, เชื้อชาติ,สัญชาติ, น้ำหนัก, ส่วนสูง, ข้อมูลตำแหน่งที่อยู่ (location), ข้อมูลการแพทย์, ข้อมูลการศึกษา, ข้อมูลทางการเงิน, ข้อมูลการจ้างงาน
- ข้อมูลหมายเลขอ้างอิงที่เก็บไว้ในไมโครฟิล์ม แม้ไม่สามารถระบุไปถึงตัวบุคคลได้ แต่หากใช้ร่วมกับระบบดัชนีข้อมูลอีกระบบหนึ่งก็จะสามารถระบุไปถึงตัวบุคคลได้
- ข้อมูลการประเมินผลการทำงาน หรือความเห็นของนายจ้างต่อการทำงานของลูกจ้าง
- ข้อมูลบันทึกต่าง ๆ ที่ใช้ติดตามตรวจสอบกิจกรรมต่าง ๆ ของบุคคล เช่น log file
- ข้อมูลที่สามารถใช้ในการค้นหาข้อมูลส่วนบุคคลอื่นในอินเทอร์เน็ต
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data)
- นอกจากนี้ยังมีข้อมูลส่วนบุคคลอีกประเภท ที่ พ.ร.บ. ฉบับนี้ให้ความสำคัญและมีบทลงโทษที่รุนแรงด้วยกรณีเกิดการรั่วไหลสู่สาธารณะ คือ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data)
- ได้แก่ ข้อมูล เชื้อชาติ, เผ่าพันธุ์, ความคิดเห็นทางการเมือง, ความเชื่อในลัทธิ ศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต, ข้อมูลสหภาพแรงงาน, ข้อมูลพันธุกรรม, ข้อมูลชีวภาพ, ข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด
- เหตุที่ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เป็นข้อมูลที่มีบทลงโทษที่รุนแรงกว่าข้อมูลส่วนบุคคลทั่วไป (Personal Data) เพราะ
- หากข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนมีการรั่วไหลไปสู่สาธารณะแล้ว จะเกิดผลเสียที่ร้ายแรงกับผู้เป็นเจ้าของข้อมูลส่วนบุคคล(Data Subject) ได้มากกว่าข้อมูลส่วนบุคคลอื่นๆ
- มีผลต่อสิทธิเสรีภาพของบุคคล เช่น สิทธิเสรีภาพในความคิด ความเชื่อทางศาสนา การแสดงออก การชุมนุม สิทธิในชีวิตร่างกาย การอยู่อาศัย การไม่ถูกเลือกปฏิบัติ ซึ่งอาจจะก่อให้เกิดการแทรกแซงซึ่งสิทธิเสรีภาพและการเลือกปฏิบัติต่อการใช้สิทธิเสรีภาพของบุคคลได้มากกว่าข้อมูลส่วนบุคคลทั่วไป
- ยกตัวอย่างเช่น ข้อมูลพฤติกรรมทางเพศ เชื่อชาติ ศาสนา ประวัติอาชญากรรม ถ้ารั่วไหลไปแล้ว ข้อมูลเหล่านี้จะนำมาสู่ความเป็นอคติและจะมีผลกระทบต่อชีวิตส่วนบุคคลได้มากกว่าข้อมูลทั่วไปเป็นอย่างมาก
- นอกจากนี้ยังมีข้อมูลส่วนบุคคลอีกประเภท ที่ พ.ร.บ. ฉบับนี้ให้ความสำคัญและมีบทลงโทษที่รุนแรงด้วยกรณีเกิดการรั่วไหลสู่สาธารณะ คือ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data)
ผู้ที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลในกฎหมาย มี 3 ประเภท
ข้อมูลเก่าที่เคยเก็บไว้ก่อนที่ พ.ร.บ. นี้จะบังคับใช้ ต้องทำอย่างไร?
- ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ ก่อนหน้าที่ PDPA จะบังคับใช้ใน วันที่ 1 มิถุนายน 2565 ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องทำอย่างไรบ้าง ตามมาตรา 95 ใน พ.ร.บ.ได้ระบุไว้ว่า “ ให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องกำหนดวิธีการยกเลิกความยินยอม และเผยแพร่ประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่ประสงค์ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวมรวม และใช้ข้อมูลส่วนบุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย ”
การส่ง หรือ โอนข้อมูลส่วนบุคคลไปยังต่างประเทศก็สำคัญ
- ผู้ควบคุมข้อมูลส่วนบุคคล จะส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ต้องตรวจสอบว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลนั้น มีมาตรฐานการคุ้มครองข้อมูล ส่วนบุคคลที่เพียงพอหรือไม่ ยกเว้นว่าจะเป็นไปเพื่อเป็นไปตามกฎหมาย, ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล, จำเป็นเพื่อปฏิบัติตามสัญญา, ป้องกันอันตรายที่จะเกิดต่อเจ้าของข้อมูลที่ไม่สามารถให้ยินยอมในขณะนั้นได้ หรือเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
บทลงโทษของผู้ที่ไม่ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
สื่อและมัลติมีเดียของ PDPA
อื่น ๆ
สอบถามเพิ่มเติม
- สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ทำหน้าที่ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
- 120 หมู่ 3 ศูนย์ราชการเฉลิมพระเกียรติ 80 พรรษาฯ อาคารรัฐประศาสนภักดี (อาคารบี) ชั้น 7 ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพฯ 10210
- โทร. 02 141 6993, 02 142 1033
- e-mail : pdpc@mdes.go.th
ที่มา
- https://www.mdes.go.th/mission/82
- https://www.mdes.go.th/mission/detail/2317
- https://t-reg.co/blog/t-reg-knowledge/what-is-pdpa/
- https://www.prachachat.net/ict/news-662875
- https://www.thairath.co.th/news/business/1848624
- https://www.facebook.com/ETDA.Thailand/photos/a.911593285520915/3230048887008665/?type=3