PDPA คืออะไร? รู้จักกับกฎหมาย PDPA พรบ. คุ้มครองที่ทุกคนควรรู้
จากปัญหาจากการละเมิดข้อมูลที่เรามักจะพบเห็นตามข่าวหรือสื่อต่าง ๆ ในปัจจุบัน มักจะเกี่ยวข้องกับการโจรกรรมข้อมูลส่วนบุคคล เพื่อใช้แอบอ้าง ทำให้เสียชื่อเสียง หรือนำข้อมูลเหล่านั้นไปขายต่อในเว็บมืด จึงต้องมี พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ กฎหมาย PDPA เพื่อปกป้องสิทธิในข้อมูลส่วนบุคคล และลงโทษผู้ที่กระทำผิด โดยข้อ กฎหมาย PDPA นี้ นอกจากจะมีจุดประสงค์ เพื่อบังคับใช้ในระดับบุคคลแล้ว องค์กรต่าง ๆ ที่เป็นผู้จัดเก็บ ประมวลผล และเผยแพร่ข้อมูล ก็ต้องให้ความสำคัญกับกฎหมายข้อนี้เช่นกัน เพื่อให้สามารถรักษาความปลอดภัยของข้อมูล บทความนี้เราจะมาเจาะลึกกันว่า PDPA คืออะไร? และมีข้อมูลส่วนบุคคลใดบ้างที่ต้องดูแลอย่างเคร่งครัด
กฎหมาย PDPA คืออะไร
PDPA ย่อมาจาก Personal Data Protection Act หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมีผลบังคับใช้ตามกฎหมายทั้งฉบับเมื่อวันที่ 1 มิ.ย. 2565 ซึ่ง กฎหมาย PDPA คือ กฎหมายที่สร้างมาเพื่อให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล ป้องกันข้อมูลให้ปลอดภัยจากการถูกละเมิด รวมถึงการนำข้อมูลไปใช้หรือเผยแพร่โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล หากบริษัทหรือบุคคลไม่ปฏิบัติตาม พ.ร.บ. ฉบับนี้ ย่อมมีความผิดทางกฎหมาย ทั้งโทษทางแพ่ง อาญา และโทษทางปกครอง
อัปเดตกฎหมาย PDPA ในปัจจุบัน: กฎหมาย PDPA: มีการเปลี่ยนแปลงอะไรที่องค์กรต้องปรับตัวบ้าง?
ความเป็นมาของกฎหมาย PDPA
กฎหมาย PDPA ถูกถอดแบบมาจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป ที่มีชื่อว่ากฎหมาย GDPR หรือ General Data Protection Regulation ซึ่งกฎหมายทั้งสองฉบับมีจุดประสงค์เดียวกัน คือ เพื่อรักษาข้อมูลส่วนบุคคลจากผู้ไม่ประสงค์ดีที่ทำการละเมิดข้อมูล เพื่อหวังผลประโยชน์หรือทำให้เสื่อมเสียชื่อเสียง ทั้งจากตัวเจ้าของข้อมูลเองหรือผู้ควบคุมข้อมูลส่วนบุคคล เช่น องค์กรต่าง ๆ
สาระน่ารู้เกี่ยวกับการละเมิดข้อมูล: Data Breach การละเมิดข้อมูล พร้อมวิธีปกป้องข้อมูลสำคัญของคุณ
กฎหมาย PDPA คุ้มครองข้อมูลส่วนบุคคลประเภทใดบ้าง
หลังจากทำความเข้าใจกันแล้วว่ากฎหมาย PDPA คืออะไร และมีความเป็นมาอย่างไร ในหัวข้อนี้เราจะมาเจาะลึกกันว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คุ้มครองข้อมูลใดบ้าง
โดยมาตราที่ 6 ใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กล่าวไว้ว่า “ข้อมูลส่วนบุคคล” คือ ข้อมูลส่วนบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรม โดยแบ่งเป็นข้อมูลส่วนบุคคลทั่วไป และข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน ดังนี้
ข้อมูลส่วนบุคคลทั่วไป (Personal Data)
ตัวอย่างข้อมูลส่วนบุคคล เช่น
- ชื่อ-นามสกุล
- วันเดือนปีเกิด
- เลขประจำตัวประชาชน
- ที่อยู่ปัจจุบัน
- เบอร์โทรศัพท์
- อีเมลส่วนตัว
- ข้อมูลการศึกษา
- ข้อมูลการแพทย์
- ข้อมูลการเงิน
- ข้อมูลการจ้างงาน
- ข้อมูลระบุทรัพย์สินส่วนบุคคล เช่น โฉนดที่ดิน, ทะเบียนรถ
- ข้อมูลบนอินเทอร์เน็ตที่ระบุตัวตนได้ เช่น ชื่อผู้ใช้ (Username), รหัสผ่าน (Password), Cookies IP address
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data)
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน เป็นข้อมูลที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องให้ความระมัดระวังเป็นพิเศษ เนื่องจากข้อมูลเหล่านี้อาจกระทบกับชีวิตความเป็นอยู่ของเจ้าของข้อมูล และการเลือกปฏิบัติในสังคมได้ เช่น
- เชื้อชาติ, เผ่าพันธุ์
- ศาสนาหรือปรัชญา
- ความคิดเห็นทางการเมือง
- ความเชื่อในลัทธิ
- ประวัติอาชญากรรม
- พฤติกรรมทางเพศ
- ข้อมูลสหภาพแรงงาน
- ข้อมูลพันธุกรรม
- ข้อมูลการแพทย์ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
- ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา
บุคคลที่เกี่ยวข้องกับกฎหมาย PDPA
บุคคลที่เกี่ยวข้องกับกฎหมาย PDPA คือ บุคคลที่อยู่ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล โดยมีความหมายและหน้าที่ดังต่อไปนี้
1. เจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลชุดนั้น ๆ สามารถระบุตัวมาถึงได้ ซึ่งก็คือตัวเรานั่นเอง โดยจะได้รับความคุ้มครองและมีสิทธิต่าง ๆ เหนือข้อมูลส่วนบุคคลของตนเอง ภายใต้กฎหมาย PDPA
2. ผู้ควบคุมข้อมูลส่วนบุคคล
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือองค์กรต่าง ๆ ที่เป็นผู้เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยต้องปฏิบัติภายใต้กฎหมาย PDPA อย่างเคร่งครัด
3. ผู้ประมวลผลข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือองค์กรต่าง ๆ ที่เป็นผู้เก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น
สิทธิเจ้าของข้อมูลส่วนบุคคลภายใต้กฎหมาย PDPA
สิทธิได้รับการแจ้งให้ทราบ
ก่อนที่จะเก็บข้อมูลส่วนบุคคล หรือในขณะที่กำลังเก็บข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลทราบ ว่าการเก็บข้อมูลในครั้งนั้นมีวัตถุประสงค์เพื่ออะไร เก็บข้อมูลอะไรบ้าง มีวิธีเก็บข้อมูลอย่างไร ระยะเวลาการจัดเก็บ มีการนำไปใช้ เผยแพร่ หรือส่งต่อให้บุคคลใดบ้าง เป็นต้น ยกเว้นกรณีที่เจ้าของข้อมูลส่วนบุคคลทราบรายละเอียดของการเก็บข้อมูลนั้นอยู่แล้ว เช่น การสมัครสมาชิก การเปิดบัญชีธนาคาร และกรณีอื่น ๆ
สิทธิขอเข้าถึงข้อมูลส่วนบุคคล
เจ้าของข้อมูลมีสิทธิในการขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล รวมถึงขอให้เปิดเผยถึงที่มาของข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลอาจไม่แน่ใจว่าให้ความยินยอมไปหรือไม่ โดยสิทธิขอเข้าถึงข้อมูลส่วนบุคคลจะต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาล ที่อาจสร้างความเสียหายต่อสิทธิ หรือเสรีภาพของบุคคลอื่น เมื่อผู้ควบคุมข้อมูลส่วนตัวได้รับคำขอจากเจ้าของข้อมูล จะดำเนินการมอบสิทธิแก่เจ้าของข้อมูลภายใน 30 วัน
สิทธิในการขอให้โอนข้อมูลส่วนบุคคล
เมื่อเจ้าของข้อมูลต้องการโอนข้อมูลส่วนบุคคลจากผู้ควบคุมข้อมูลรายหนึ่ง ไปใช้กับผู้ควบคุมข้อมูลอีกราย โดยที่เจ้าของข้อมูลสามารถใช้สิทธิขอให้ผู้ควบคุมข้อมูลเดิมทำการส่ง หรือโอนข้อมูลดังกล่าวให้ตนเองได้ หากไม่ติดปัญหาทางเทคนิค ก็สามารถขอให้ผู้ควบคุมข้อมูลเดิมโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลอีกรายได้เช่นกัน โดยสิทธิในการขอให้โอนข้อมูลส่วนบุคคลนั้น จะต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาล ที่อาจสร้างความเสียหายต่อสิทธิหรือเสรีภาพของบุคคลอื่น
สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยยื่นคำขอต่อผู้ควบคุมข้อมูลเมื่อใดก็ได้ โดยไม่ขัดต่อสิทธิการเรียกร้องตามกฎหมาย หรือกฎหมายที่สำคัญกว่า
สิทธิขอให้ระงับการใช้ข้อมูล
ในกรณีที่เจ้าของข้อมูลเกิดการเปลี่ยนใจไม่ต้องการให้ข้อมูลแล้ว หรือเมื่อครบกำหนดการทำลายข้อมูล แต่เจ้าของข้อมูลเปลี่ยนใจ เพราะมีความจำเป็นต้องนำข้อมูลส่วนบุคคลนั้นไปใช้ทางกฎหมาย หรือเรียกร้องสิทธิใด ๆ ก็สามารถทำได้เช่นกัน
สิทธิขอให้ลบหรือทำลาย
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำการเผยแพร่ข้อมูลส่วนบุคคลสู่สาธารณะ เจ้าของข้อมูลสามารถใช้สิทธิขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลที่ถูกเปิดเผยออกไปเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ ในกรณีนี้ผู้ควบคุมข้อมูลจะต้องเป็นผู้ดำเนินการและรับผิดชอบค่าใช้จ่ายที่เกิดขึ้นทั้งหมด
สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอแก้ไขข้อมูลของตนให้ถูกต้อง เป็นปัจจุบัน เพื่อไม่ก่อให้เกิดการเข้าใจผิด โดยการแก้ไขข้อมูลจะต้องดำเนินด้วยความสุจริต ไม่ขัดต่อหลักกฎหมาย
สรุป PDPA
โดยสรุปแล้ว PDPA คือกฎหมายที่บังคับใช้เพื่อคุ้มครองสิทธิในข้อมูลที่เราเป็นเจ้าของ ซึ่งเป็นกฎหมายที่ทุกคนควรให้ความสำคัญและทำความเข้าใจ รวมไปถึงองค์กรต่าง ๆ ที่ต้องเก็บรักษาข้อมูลส่วนบุคคลเป็นจำนวนมหาศาล หากองค์กรขาดจัดการข้อมูล (Data Management) ที่เป็นระบบ มีความปลอดภัยไม่มากพอ อาจก่อให้เกิดการโจรกรรมข้อมูลที่มีเป้าหมายเพื่อนำข้อมูลส่วนบุคคลเหล่านั้นไปใช้ในทางที่ผิด หรือขายต่อในเว็บมืด ส่งผลให้องค์กรได้รับโทษตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล และทำให้เสียชื่อเสียงในที่สุด
เริ่มต้นรักษาความปลอดภัยของข้อมูล พร้อมใช้งานข้อมูลเพื่อขับเคลื่อนองค์กรได้อย่างเต็มประสิทธิภาพ ด้วย PDPA Services จาก Data Wow ที่ให้บริการโดยทีมนักกฎหมายผู้เชี่ยวชาญ ช่วยให้คำปรึกษา จัดการ และตรวจสอบข้อมูลให้เป็นไปตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล นอกจากนี้ เรายังมีคอร์สจัดอบรมเรื่อง PDPA ให้กับบุคลากรภายในองค์กร เพื่อสร้างความตระหนักรู้ภายใต้กฎหมาย PDPA และปฏิบัติตนได้อย่างถูกต้อง
ก้าวสู่การเป็นผู้นำทางธุรกิจกับ Data Wow ได้วันนี้ที่ sales@datawow.io หรือโทร 02-024-5560
ติดต่อเรา
© 2024 Data Wow Co., Ltd. All Rights Reserved.