ทำความรู้จักกับ PDPA ที่บังคับใช้แล้วในปัจจุบัน คืออะไรกันแน่

PDPA หรือ  Personal Data Protection Act คือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แน่นอนว่าพ.ร.บ. นี้เกิดขึ้นเพื่อให้ข้อมูลส่วนบุคคลของเราปลอดภัยไม่ให้คนนำไปใช้สร้างประโยชน์หรือความเสียหายโดยที่ไม่ได้รับความยินยอมจากเรานั่นเอง 

ข้อมูลส่วนตัวคืออะไร

ข้อมูลส่วนตัวหรือที่ใน PDPA จะระบุว่าข้อมูลส่วนบุคคลนั้น ก็คือข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ทั้งโดยทางตรงและทางอ้อมที่ยังมีชีวิตอยู่ เช่น ชื่อ-นามสกุล เลขประจำตัวประชาชน เลขบัตรประกันสังคม เลขบัญชีธนาคาร เลขบัตรเครดิต ที่อยู่ อีเมล์ รูปภาพใบหน้า ลายนิ้วมือ รูปภาพใบหน้า เป็นต้น

นอกจากนี้ยังรวมถึงข้อมูลที่อาจเชื่อมโยงไปถึงบุคคลได้เช่นวันเกิดและสถานที่เกิด เชื้อชาติ สัญชาติ ข้อมูลตำแหน่งที่อยู่ ข้อมูลการประเมินผลงาน เป็นต้นซึ่งข้อมูลเหล่านี้จะเป็นเอกสารฉบับบจริงหรือสำเนาก็นับเป็นข้อมูลส่วนบุคคลทั้งสิ้น

ใครบ้างที่มีส่วนเกี่ยวข้องข้อมูลส่วนบุคคล

ใน PDPA ผู้ที่จะเข้ามามีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลจะแบ่งได้เป็น 3 ประเภทคือ

• เจ้าของข้อมูลส่วนบุคคล บุคคลที่ข้อมูลสามารถระบุไปถึงได้
• ผู้ควบคุมข้อมูลส่วนบุคคล บุคคลหรือนิติบุคคลที่มีอำนาจตัดสินใจ รวบรวม เปิดเผยข้อมูลส่วนบุคคล
• ผู้ประมวลผลข้อมูลส่วนบุคคล ที่ดำเนินการรวบรวม เปิดเผยข้อมูลตามคำสั่งของผู้ควบคุม ได้เป็นผู้ควบคุมเอง

สิทธิของเจ้าของข้อมูลส่วนบุคคล

โดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA นี้จะให้สิทธิของเจ้าของข้อมูลดังนี้

1. สิทธิได้รับการแจ้งให้ทราบ

ในการเก็บรวบรวมข้อมูลของผู้ควบคุมข้อมูลนั้นจะต้องมีการแจ้งให้เจ้าของข้อมูลส่วนตัวได้ทราบก่อนว่าเก็บเพื่ออะไร นำไปใช้อย่างไร นานเท่าไหร่และจะมีการขอแก้ไขเปลี่ยนแปลงได้อย่างไรบ้าง 

2. สิทธิขอเข้าถึงข้อมูลส่วนบุคคล

สำหรับ PDPA นี้สิ่งสำคัญอย่างหนึ่งของการเข้าถึงข้อมูล คือเจ้าของข้อมูลส่วนตัวจะต้องเป็นผู้มีสิทธิในการเข้าถึงของมูลของตัวเองรวมทั้งเป็นผู้ให้สิทธิแก้ผู้อื่นที่ไม่ใช่ผู้ควบคุมหรือผู้ประมวลผลด้วย

3. สิทธิคัดค้านการเก็บ ใช้หรือเปิดเผยข้อมูลส่วนบุคคล

ใน PDPA เจ้าของข้อมูลสามารถคัดค้านการเก็บข้อมูล ใช้หรือเปิดเผยข้อมูลส่วนตัวได้ แต่จะต้องไม่ขัดกับกฎหมายข้อที่สำคัญกว่า หรือข้อมูลเพื่อการวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ สถิติ

4. สิทธิการขอให้ลบหรือทำลาย

หากข้อมูลส่วนตัวถูกเปิดเผย เจ้าของข้อมูลส่วนตัวสามารถให้ผู้ควบคุมข้อมูลลบหรือทำลายข้อมูลได้ โดยที่ผู้ควบคุมจะต้องเป็นผู้ดำเนินการให้ทั้งหมด

5. สิทธิในการเพิกถอนความยินยอม

PDPA ยังกำหนดให้เจ้าของข้อมูลที่เคยให้ข้อมูลไปแล้วสามารถเพิกถอนความยินยอมเอาข้อมูลกลับคืนเมื่อใดก็ได้ และจะต้องทำได้อย่างไม่ยุ่งยากด้วย แต่ถึงอย่างนั้นก็ต้องไม่ขัดกับข้อกฎหมายหรือสัญญาต่างๆ ที่ให้ความยินยอมไปก่อนนี้ด้วย

6. สิทธิขอให้ระงับใช้ข้อมูล

แน่นอนว่าหากมีการให้ข้อมูลส่วนตัวไปแล้วแต่ต้องการเปลี่ยนใจก็สามารถบอกให้ผู้ควบคุมระงับการใช้หรือทำลายข้อมูลได้

7. สิทธิในการขอให้แก้ไขข้อมูล

PDPA ยังให้สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้มีความถูกต้อง เป็นปัจจุบัน เพื่อไม่ให้เกิดความเข้าใจผิด โดยในการแก้ไขนั้นข้อมูลจะต้องถูกต้องและเป็นความจริง ไม่ขัดกับหลักกฎหมาย

8. สิทธิในการขอให้โอนข้อมูลส่วนตัว

หากเจ้าของข้อมูลส่วนตัวต้องการให้ผู้ควบคุมทำการถ่ายโอนข้อมูลที่มีอยู่ไปยังผู้ควบคุมอีกคนหนึ่งก้สามารถขอให้ทำได้โดยต้องไม่ขัดกับข้อกฎหมายอื่นๆ

บทลงโทษเมื่อ PDPA บังคับใช้แล้วไม่ปฏิบัติตาม

ในเมื่อ PDPA คือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ย่อมมีบทลงโทษสำหรับการฝ่าฝืนดังนี้

1. โทษทางแพ่ง

หากเจ้าของข้อมูลส่วนบุคคลได้รับความเสียหายจากการละเมิดสิทธิ ผู้ควบคุมจะต้องจ่ายค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมได้สูงสุด 2 เท่าของค่าเสียหายที่เกิดขึ้นพร้อมกับจ่ายค่าเสียหายที่เกิดขึ้นด้วย

2. โทษทางอาญา

หากมีการละเมิด PDPA อาจได้รับโทษทางอาญาซึ่งมีโทษทั้งจำทั้งปรับอยู่สูงสุดไม่เกิน 1 ปี และปรับไม่เกิน 1 ล้านบาท

3. โทษทางปกครอง

โทษของการละเมิด PDPA ทางปกครองนั้นจะสูงกว่าและแยกออกต่างหากจากโทษทางแพ่งและทางอาญา คือ ปรับ 1 ล้านบาทสูงสุดไม่เกิน 5 ล้านบาท

สำหรับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลนี้ได้มีการประกาศไว้ในราชกิจจานุเบกษาวันที่ 27 พฤษภาคม 2562 ซึ่งจะมีการประกาศให้มีผลบังคับใช้ได้ในวันที่ 1 มิถุนายน 2565 ซึ่งเรียกได้ว่าใช้แล้วเรียบร้อยนั่นเอง

อ่านบทความสาระน่ารู้เกี่ยวกับ ROPA ที่เกี่ยวข้องกับ PDPA เพิ่มเติมได้ที่นี่