ส่อง พ.ร.บ. PDPA กรณีใดบ้างที่ผิดกฎหมาย แบบไหนฟ้องได้แน่?
หลังจากที่มีการบังคับใช้ พ.ร.บ. PDPA มาแล้วระยะหนึ่ง หลายครั้งที่มักจะเกิดเหตุการณ์บางอย่างขึ้นในสื่อสังคมออนไลน์และเกิดเป็นข้อถกเถียงของสังคมที่ว่าแล้วแบบไหนกันแน่ที่จะฟ้อง PDPA ได้ หรือ ฟ้อง PDPA ไม่ได้? ทั้งเรื่องการถ่ายรูปติดคนอื่น หรือ การรักษาข้อมูลส่วนบุคคลต่าง ๆ ก็ตาม ดังนั้นวันนี้เราจะมารู้จักกฎหมาย PDPA ในแง่ของการบังคับคดีมากขึ้นว่าแบบไหนผิดแน่ ๆ และแบบไหนที่ไม่เข้าข่ายผิด PDPA เพื่อรักษาสิทธิในข้อมูลส่วนตัวของเราทุกคนให้ได้อย่างถูกต้องที่สุด
สรุปสั้นๆ ให้เข้าใจว่า PDPA คือ กฎหมายอะไร?
พ.ร.บ. PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA) เป็นกฎหมายป้องกันการละเมิดข้อมูลส่วนบุคคล ที่ระบุให้การจัดเก็บและนำข้อมูลส่วนบุคคลไปใช้ของหน่วยงานต่าง ๆ รวมถึงบุคคลทั่วไปต้องได้รับความยินยอมจากเจ้าของข้อมูลเป็นลายลักษณ์อักษรที่ถูกต้องเสมอ ว่าข้อมูลส่วนไหนจะถูกนำไปใช้ด้วยเหตุผลอะไรหรือถูกเผยแพร่ที่ไหนบ้าง โดย PDPA Thailand เริ่มมีผลบังคับใช้แล้วในวันที่ 1 มิ.ย. 2565 ครอบคลุมทั้งข้อมูลส่วนบุคคลที่จัดเก็บออนไลน์และเอกสารแบบออฟไลน์ และมีต้นแบบมาจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation: GDPR)
เกณฑ์การบังคับใช้กฎหมาย PDPA
การคุ้มครองข้อมูลของ PDPA ครอบคลุมข้อมูลส่วนบุคคลทุกอย่างที่สามารถระบุตัวตนได้ว่าข้อมูลนั้นเป็นของใคร เช่น ชื่อ-นามสกุล, วันเดือนปีเกิด, เลขบัตรประจำตัวประชาชน, เบอร์โทรศัพท์, ลายนิ้วมือ ใบหน้าและเสียง นอกจากนี้ยังรวมไปถึงประวัติการเข้าเว็บไซต์ และคุกกี้ของเว็บไซต์ ที่ใช้ตรวจดูเส้นทางการท่องเว็บไซต์ต่าง ๆ , ข้อมูลสถานที่ปัจจุบัน หรือ ข้อมูลด้านอัตลักษณ์ เช่น ศาสนา แต่ก็มีกรณียกเว้นของกฎหมาย PDPA ที่ไม่จำเป็นต้องขอความยินยอมเช่นกัน คือ การใช้ข้อมูลเพื่อพิสูจน์ตัวตนผู้ใช้บริการของธนาคาร, การใช้ข้อมูลเพื่อรักษาชีวิตของผู้ป่วย, การใช้ข้อมูลเพื่อค้นคว้าวิจัยทางสถิติเพื่อผลประโยชน์ของสาธารณชน, การใช้ข้อมูลเจ้าหน้าที่ของรัฐเพื่อดำเนินการทางกฎหมาย และข้อมูลที่ต้องเปิดเผยกับสาธารณะชนเพื่อความโปร่งใส เช่น ข้อมูลนิติบุคคล หรือ ข้อมูลคนตาย
กฎหมาย PDPA Thailand บังคับใช้กับทุกคนในประเทศ โดยเน้นย้ำไปที่ผู้ควบคุมข้อมูล (Data controller) ไม่ว่าในหรือนอกประเทศก็ตามที่มีการติดต่อแลกเปลี่ยนข้อมูลกับประเทศไทย อาทิ เจ้าของเว็บไซต์ บริษัท หรือหน่วยงานต่าง ๆ เพื่อป้องกันไม่ให้เก็บรวบรวม เปิดเผย หรือนำข้อมูลส่วนบุคคลเหล่านี้ไปใช้โดยที่เจ้าของข้อมูล (Data Subject) ไม่ได้ให้ความยินยอม โดยผู้ควบคุมข้อมูลต้องแจ้งวัตถุประสงค์ก่อน และจะไม่สามารถกระทำใด ๆ กับข้อมูลนั้นนอกเหนือจากวัตถุประสงค์ที่แจ้งได้ รวมถึงผู้ควบคุมข้อมูลจะต้องมีมาตรการรักษาความปลอดภัยข้อมูล (Privacy Policy) อย่างรัดกุมด้วย
บทลงโทษของการละเมิด พ.ร.บ. PDPA
โทษทางแพ่ง
จะมีอายุความ 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้กระทำความผิด โดยคดีแพ่งของ PDPA จะบังคับใช้กับการกระทำผิดระหว่างบุคคลที่ “ส่งผลให้ผู้อื่น เกิดความเสียหายทั้งทางร่างกาย ทรัพย์สิน ชื่อเสียง ผลประโยชน์ หรือสิทธิอันพึงมี”อันเกิดจากการนำข้อมูลส่วนบุคคลมาเก็บรวบรวม เปิดเผย หรือนำมาใช้งานอย่างใดอย่างหนึ่งไม่ว่าจะได้รับอนุญาตหรือไม่ก็ตาม ผู้กระความทำผิดไม่ว่าจะเป็นบุคคลทั่วไปหรือผู้ควบคุมข้อมูลจะต้องใช้ค่าสินไหมทดแทน ทั้งในกรณีที่ตั้งใจและไม่ตั้งใจ เว้นแต่จะพิสูจน์ได้ว่าเป็นการทำตามคำสั่งเจ้าหน้าที่เพื่อดำเนินการทางกฎหมาย หรือ เหตุสุดวิสัยที่ไม่ได้เกิดจากความประมาทของผู้ควบคุมข้อมูล หรือ เป็นเหตุที่เกิดจากการกระทำของเจ้าของข้อมูลเอง
ค่าสินไหมทดแทน ที่ผู้กระทำผิดต้องชดใช้ให้กับผู้เสียหายประกอบด้วย ค่าเสียหายที่แท้จริง คำนวณจากค่าทรัพย์สินที่เสียหายในเหตุการณ์นี้หรือหากไม่มีสินทรัพย์ที่เสียหายจะเป็นค่าเสียหายที่เกิดขึ้นต่อชื่อเสียง สิทธิ หรือผลประโยชน์ที่สูญเสียไป นอกจากนี้ยังมีค่าใช้จ่ายที่เจ้าของข้อมูลได้จ่ายไปแล้วเพื่อป้องกันหรือระงับความเสียหาย เช่น ค่ารักษาพยาบาล หรือ อื่น ๆ นอกจากนี้ยังเพิ่มค่าเสียหายเชิงลงโทษตามแต่ศาลจะพิจารณาให้ผู้กระทำผิดจ่ายเพิ่มเติมได้ไม่เกิน 2 เท่าของค่าปรับค่าเสียหายที่แท้จริง
โทษทางอาญา
เป็นการกระทำผิดที่ “ส่งผลต่อสาธารณชนทั้งในแง่ของความสงบเรียบร้อย หรือ ส่งผลต่อสวัสดิภาพของคนส่วนใหญ่ไม่ว่าทางใดก็ทางหนึ่ง” เช่น ความประมาทเลินเล่อของผู้ควบคุมข้อมูลที่ทำให้ข้อมูลส่วนบุคคลของลูกค้ารั่วไหลไปเป็นจำนวนมากส่งผลให้เกิดความไม่มั่นใจในความปลอดภัยของข้อมูลส่วนบุคคลของประชาชน โดยมีกำหนดโทษไว้ 2 ลักษณะ คือ ปรับ กับ จำคุก หรือทั้งจำทั้งปรับ แต่คดีอาญาที่เกี่ยวกับ PDPA คือ คดีอาญาประเภทที่สามารถยอมความกันได้
โทษของคดีอาญาเกี่ยวกับ PDPA จะแบ่งเป็นหลายระดับตามประเภทของการกระทำความผิด ผู้กระทำความผิด และความเสียหายต่อเจ้าของข้อมูล
- ทำให้เจ้าของข้อมูลส่วนบุคคลเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
- ธุรกิจที่กระทำการใด ๆ กับข้อมูลส่วนบุคคลของผู้อื่นแสวงหาประโยชน์สำหรับตนเองหรือผู้อื่นโดยทุจริต ต้องระวางโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ
- ผู้ควบคุมข้อมูล หรือ ผู้ประมวลผลข้อมูล นำข้อมูลส่วนบุคคลข้อมูลส่วนบุคคลของผู้อื่นไปเก็บรวบรวม ใช้ เปิดเผย หรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือ ไม่ชอบด้วยกฎหมาย หรือ เพื่อแสวงหาประโยชน์ ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ หากเป็นการกระทำผิดกฎหมาย PDPA ในนามของนิติบุคคลที่เกิดจากการสั่งการหรือการเพิกเฉยของต้นสังกัด บุคคลที่กระทำความผิดจะต้องรับโทษตามบทลงโทษที่กฎหมายบัญญัติไว้
โทษทางปกครอง
เป็นโทษสำหรับผู้ที่ฝ่าฝืน หรือไม่ปฏิบัติตามบทกฎหมาย โดยมีอัตราโทษปรับสูงสุดไม่เกิน 5,000,000 บาท แยกต่างหากจากค่าสินไหมทดแทนของคดีแพ่ง และค่าปรับของคดีอาญา ผู้กระทำความผิดฝ่าฝืนพ.ร.บ. PDPA สามารถถูกพิจารณาให้รับโทษทั้งทางแพ่ง ทางอาญา และทางปกครองได้ ขึ้นอยู่กับดุลยพินิจของคณะกรรมการคุ้มครองข้อมูลฯ
กรณีศึกษาการใช้ PDPA แบบไหนฟ้องได้ แบบไหนฟ้องไม่ได้?
มีคนถ่ายรูป-วิดีโอติดเรา ฟ้องได้ไหม?
คำถามข้อนี้เป็นสิ่งที่หลายคนยังคิดว่าถ้าถูกถ่ายติดก็ผิด PDPA Thailand แล้ว แต่รู้หรือไม่ว่าไม่ใช่ทุกกรณีที่จะผิด PDPA เสมอไป ที่เห็นการเบลอใบหน้าของผู้คน ในสื่อต่าง ๆ ไม่ใช่สิ่งที่กฎหมายบัญญัติเอาไว้ให้ต้องปฏิบัติตาม เป็นเพียงมารยาททางสังคมที่แสดงถึงการเคารพความเป็นส่วนตัวซึ่งกันและกันเท่านั้น
กรณีที่ไม่ถือว่าผิด PDPA ฟ้องร้องไม่ได้
- การถ่ายรูปในหมู่ญาติมิตร ที่ไม่มีเจตนาก่อให้เกิดความเสียหาย
- การถ่ายวิดีโอของกล้องวงจรปิด กล้องหน้ารถ ที่มีเป้าหมายเพื่อรักษาความปลอดภัย หรือ เป็นไปตามอำนาจของกฎหมาย เช่น การเก็บภาพกล้องวงจรปิดบนถนนใช้เป็นหลักฐานเพื่อดำเนินการทางกฎหมายกับผู้ฝ่าฝืนกฎหมายจราจร
- การถ่ายภาพและวิดีโอโดยเป็นไปตามสัญญาจ้าง เช่น ช่างภาพไลฟ์สดงานอีเวนต์มีสิทธิที่จะถ่ายภาพบรรยากาศโดยรอบงานนั้น แต่ผู้จัดงานต้องมีเอกสารแจ้งผู้ร่วมงานว่าในงานด้วยว่าจะมีการถ่ายรูปหรือบันทึกภาพ
- การถูกถ่ายภาพโดยผู้สื่อข่าว ไม่ถือว่าผิด PDPA เพราะกฎหมายถือว่าเป็นอาชีพเกี่ยวกับกิจการสื่อสารมวลชนที่มีมารฐานทางวิชาชีพและดุลยพินิจว่าสิ่งไหนที่สมควรเผยแพร่เพื่อประโยชน์ของคนหมู่มาก
- การเผยแพร่รูปหรือคลิปที่ถ่ายติดผู้อื่นแต่ไม่ได้นำไปใช้เชิงพาณิชย์หรือสร้างความเสียหาย เช่น โดนถ่ายรูปติดเป็นแค่แบ็คกราวด์ ผู้ถ่ายภาพไม่ได้พูดหรือทำอะไรให้เห็นว่าเราเสียหายก็ไม่ถือว่าผิด PDPA แต่ถ้าเจ้าของข้อมูลส่วนบุคคลนั้นมาขอให้ลบหรือเบลอต้องรีบดำเนินการให้
กรณีที่ผิด PDPA ฟ้องร้องได้
- การถ่ายภาพหรือคลิปติดผู้อื่นแล้วนำไปใช้ในเชิงพาณิชย์ เช่น เมื่อเราถูกยูทูปเบอร์ท่านหนึ่งถ่ายคลิปเรากำลังรับประทานอาหารเพื่อโฆษณาร้านอาหาร ถือว่าผิด PDPA
- การเผยแพร่ภาพหรือคลิปของผู้อื่นที่สร้างความเสียหายแก่เจ้าตัว กรณีตัวอย่างจากข่าวที่มีพลเมืองดีถ่ายภาพการทำร้ายร่างกายนำมาลงโซเชียลและถูกขู่ว่าจะฟ้อง PDPA ถ้าหากว่าพลเมืองดีเบลอหน้าและดัดเสียงในคลิปก่อนเผยแพร่ หรือนำคลิปดังกล่าวส่งให้ตำรวจหรือสื่อมวลชนก็จะถือว่าไม่มีความผิดตามกฎหมาย แต่การเผยแพร่คลิปโดยเปิดเผยใบหน้าผู้อื่นจะถือว่าละเมิดผู้อื่น ผิด PDPA และเข้าข่ายหมิ่นประมาทด้วยการโฆษณาอีกด้วย
ข้อมูลส่วนบุคคลถูกเผยแพร่ ฟ้องอะไรได้บ้าง?
ยกตัวอย่างเหตุการณ์ที่ไฟล์สำเนาบัตรประชาชนของผู้เปิดใช้งานลงทะเบียนเลขหมายใหม่ของบริษัทผู้ให้บริการเครือข่ายโทรศัพท์แห่งหนึ่ง หลุดไปสู่สาธารณะ เพราะบริษัทนำข้อมูลเหล่านั้นไปจัดเก็บไว้ในพื้นที่ออนไลน์แล้วตั้งค่าเป็นสาธารณะ เหตุการณ์นี้ผู้เสียหายไม่ต้องดำเนินการฟ้องร้องเองเพราะกสทช. มีคำสั่งให้บริษัทเยียวยาความเสียหายต่อลูกค้าทั้งทางแพ่งและอาญา รวมถึงมีโทษทางปกครองแบบรายวัน แต่ถ้าหากเป็นกรณีที่ถูกนำข้อมูลส่วนตัวไปเปิดเผยเจตนาให้เกิดความเสียหาย เช่น เรามีการโต้เถียงกับคนในอินเทอร์เน็ตด้วยแอคเคาท์ไม่ระบุตัวตน แต่อีกฝ่ายสืบหาตัวตนและนำข้อมูลส่วนบุคคลของเรามาเผยแพร่เพื่อให้เกิดความอับอาย เราจะสามารถฟ้องแพ่งเพื่อเรียกสินไหมทดแทนรวมถึงฟ้องหมิ่นประมาทได้อีกด้วย
การพิจารณาคดีส่วนใหญ่แล้วดูกันที่เจตนา PDPA Thailand ก็เช่นกัน แต่แม้ว่าเราจะระมัดระวังตัวแค่ไหนแต่ก็อาจจะมีเหตุการณ์ไม่คาดฝันที่มีช่องโหว่ให้ถูกฟ้องร้อง หรือแม้กระทั่งอยู่เฉย ๆ ก็อาจเกิดความเสียหายจากข้อมูลที่รั่วไหล ดังนั้น แรบบิท แคร์ จึงขอแนะนำ ประกันภัยไซเบอร์ ที่ช่วยคุ้มครองทั้งการถูกฉ้อโกงออนไลน์ และการฟ้องร้องจากเหตุการณ์ในอินเทอร์เน็ตต่าง ๆ อย่างครบวงจร เพื่อให้ชีวิตในโลกออนไลน์ของคุณมีหลักประกันให้อุ่นใจมากยิ่งขึ้น อีกทั้งยังสมัครง่ายภายในไม่กี่ขั้นตอน!
กฎหมาย PDPA มีความเป็นมาอย่างไร
กฎหมาย PDPA (Personal Data Protection Act) ของประเทศไทย เป็นกฎหมายที่ถูกพัฒนาขึ้นเพื่อปกป้องข้อมูลส่วนบุคคลของประชาชน ซึ่งมีการประกาศใช้ครั้งแรกเมื่อวันที่ 27 พฤษภาคม 2562 และเริ่มมีผลบังคับใช้อย่างเต็มรูปแบบในวันที่ 1 มิถุนายน 2565
ความเป็นมาของกฎหมายนี้เริ่มจากการที่ประเทศไทยต้องการสร้างมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับมาตรฐานสากล เช่น กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) ทั้งนี้เพื่อสร้างความเชื่อมั่นให้กับประชาชนและนักลงทุนต่างชาติ โดยเฉพาะในยุคดิจิทัลที่ข้อมูลส่วนบุคคลสามารถถูกนำไปใช้ในทางที่ผิดหรือถูกละเมิดสิทธิได้ง่าย การมีกฎหมาย PDPA จึงเป็นการสร้างความมั่นใจว่าข้อมูลส่วนบุคคลจะได้รับการปกป้องและใช้ตามวัตถุประสงค์ที่ถูกต้องตามกฎหมาย
กฎหมาย PDPA สำคัญอย่างไร
กฎหมาย PDPA (Personal Data Protection Act) มีความสำคัญอย่างยิ่งในการปกป้องข้อมูลส่วนบุคคลของประชาชน โดยเฉพาะในยุคดิจิทัลที่ข้อมูลสามารถถูกเข้าถึงและนำไปใช้ในทางที่ผิดได้ง่าย ความสำคัญของกฎหมายนี้มีหลายประการ ได้แก่
1. คุ้มครองสิทธิส่วนบุคคล
PDPA ช่วยป้องกันการละเมิดสิทธิส่วนบุคคล โดยการกำหนดข้อบังคับให้ผู้ที่เก็บรวบรวมและใช้ข้อมูลต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน
2. สร้างความเชื่อมั่น
กฎหมายนี้ช่วยสร้างความเชื่อมั่นให้กับประชาชนและองค์กรต่าง ๆ ว่าข้อมูลของพวกเขาจะได้รับการจัดการอย่างปลอดภัยและเป็นไปตามมาตรฐานสากล
3. ส่งเสริมการปฏิบัติตามกฎหมาย
PDPA กำหนดให้มีบทลงโทษสำหรับผู้ที่ละเมิดกฎหมาย ซึ่งส่งผลให้ผู้ประกอบการต้องปฏิบัติตามกฎระเบียบในการเก็บรักษาและใช้ข้อมูลอย่างเคร่งครัด
4. กระตุ้นการพัฒนาเศรษฐกิจดิจิทัล
การมีกฎหมาย PDPA ช่วยสร้างสภาพแวดล้อมที่ปลอดภัยสำหรับการทำธุรกรรมออนไลน์และการดำเนินธุรกิจในยุคดิจิทัล ซึ่งเป็นปัจจัยสำคัญในการพัฒนาเศรษฐกิจดิจิทัลในประเทศไทย
การทำตามกฎหมาย PDPA ต้องทำตามขั้นตอนอย่างไร
การปฏิบัติตามกฎหมาย PDPA จำเป็นต้องดำเนินการตามขั้นตอนต่าง ๆ เพื่อให้การจัดการข้อมูลส่วนบุคคลสอดคล้องกับข้อกำหนดของกฎหมาย นี่คือขั้นตอนสำคัญในการปฏิบัติตามกฎหมาย PDPA:
1. ได้รับความยินยอมจากเจ้าของข้อมูล
ก่อนเก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคล องค์กรหรือผู้ดำเนินการต้องได้รับความยินยอมอย่างชัดเจนจากเจ้าของข้อมูล โดยต้องอธิบายวัตถุประสงค์ในการใช้ข้อมูลและสิทธิของเจ้าของข้อมูลให้ชัดเจน
2. จัดทำประกาศนโยบายความเป็นส่วนตัว (Privacy Policy)
นโยบายนี้ควรระบุข้อมูลเกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผย และการจัดเก็บข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลทราบและเข้าใจสิทธิและวิธีการปกป้องข้อมูลของตน
3. กำหนดหน้าที่ความรับผิดชอบ
องค์กรควรแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer - DPO) เพื่อดูแลและตรวจสอบการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคล ให้เป็นไปตามกฎหมาย PDPA
4. จัดทำบันทึกกิจกรรมการประมวลผลข้อมูล (Record of Processing Activities - ROPA)
องค์กรต้องจัดทำบันทึกเกี่ยวกับวิธีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เพื่อให้สามารถตรวจสอบและปรับปรุงการปฏิบัติตามกฎหมายได้อย่างต่อเนื่อง
5. จัดการความปลอดภัยของข้อมูล
องค์กรต้องจัดทำมาตรการป้องกันความเสี่ยงและการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลจะได้รับการคุ้มครองอย่างปลอดภัย
6. จัดการเรื่องสิทธิของเจ้าของข้อมูล
ต้องให้เจ้าของข้อมูลสามารถใช้สิทธิของตน เช่น การขอเข้าถึงข้อมูล การขอแก้ไขข้อมูล การขอให้ลบข้อมูล หรือการเพิกถอนความยินยอมในการใช้ข้อมูลส่วนบุคคลได้อย่างสะดวกและรวดเร็ว
7. จัดทำแผนจัดการเหตุการณ์ข้อมูลรั่วไหล (Data Breach Response Plan)
หากเกิดเหตุการณ์ข้อมูลรั่วไหล องค์กรต้องมีแผนการจัดการที่ชัดเจนและต้องแจ้งเจ้าของข้อมูลและหน่วยงานที่เกี่ยวข้องโดยเร็วที่สุด
การปฏิบัติตามกฎหมาย PDPA ต้องอาศัยความเข้าใจและการดำเนินการอย่างรอบคอบในทุกขั้นตอน เพื่อปกป้องข้อมูลส่วนบุคคลและหลีกเลี่ยงบทลงโทษจากการละเมิดกฎหมาย
องค์ประกอบสำคัญของกฎหมาย PDPA
กฎหมาย PDPA (Personal Data Protection Act) มีองค์ประกอบสำคัญที่เป็นกรอบในการคุ้มครองข้อมูลส่วนบุคคล ดังนี้:
1. การให้ความยินยอม (Consent)
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน ยกเว้นในบางกรณีที่กฎหมายอนุญาตให้ทำได้โดยไม่ต้องขอความยินยอม เช่น การปฏิบัติตามสัญญาหรือกฎหมาย
2. สิทธิของเจ้าของข้อมูล (Data Subject Rights)
เจ้าของข้อมูลมีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของตนที่องค์กรถือครอง สิทธิในการขอแก้ไข ลบข้อมูล หรือจำกัดการใช้ข้อมูล รวมถึงสิทธิในการเพิกถอนความยินยอม
3. การจัดทำบันทึกกิจกรรมการประมวลผลข้อมูล (Record of Processing Activities - ROPA)
องค์กรต้องจัดทำบันทึกเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เพื่อให้สามารถตรวจสอบและปฏิบัติตามกฎหมายได้
4. การคุ้มครองข้อมูลระหว่างประเทศ (Cross-border Data Transfer)
การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศต้องทำให้แน่ใจว่าประเทศปลายทางมีมาตรการคุ้มครองข้อมูลที่เพียงพอหรือได้รับความยินยอมจากเจ้าของข้อมูล
5. มาตรการความปลอดภัยของข้อมูล (Data Security Measures)
องค์กรต้องจัดทำมาตรการรักษาความปลอดภัยที่เหมาะสมเพื่อป้องกันข้อมูลส่วนบุคคลจากการเข้าถึงโดยไม่ได้รับอนุญาต การสูญหาย หรือการถูกทำลาย
6. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer - DPO)
บางองค์กรจำเป็นต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลเพื่อดูแลและตรวจสอบการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมาย PDPA
7. การแจ้งเหตุการณ์ข้อมูลรั่วไหล (Data Breach Notification)
หากเกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหล องค์กรต้องแจ้งหน่วยงานที่เกี่ยวข้องและเจ้าของข้อมูลโดยเร็วที่สุดภายในระยะเวลาที่กฎหมายกำหนด
8. บทลงโทษ (Penalties)
กฎหมาย PDPA กำหนดบทลงโทษทางแพ่ง ทางอาญา และทางปกครองสำหรับการละเมิดกฎหมาย เช่น การปรับเงินและการจำคุก เพื่อให้มั่นใจว่าผู้ที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะปฏิบัติตามกฎหมายอย่างเคร่งครัด
องค์ประกอบเหล่านี้มีความสำคัญในการสร้างความมั่นใจว่าข้อมูลส่วนบุคคลจะได้รับการปกป้องอย่างเหมาะสมภายใต้กฎหมาย PDPA
ข้อมูลส่วนบุคคล คืออะไร
ข้อมูลส่วนบุคคล หมายถึง ข้อมูลใด ๆ ที่สามารถใช้ระบุตัวบุคคลได้โดยตรงหรือโดยอ้อม ไม่ว่าจะเป็นข้อมูลที่ระบุตัวบุคคลโดยเฉพาะเจาะจง หรือข้อมูลที่สามารถรวมกับข้อมูลอื่น ๆ เพื่อทำให้สามารถระบุตัวบุคคลนั้นได้ ข้อมูลเหล่านี้อาจเป็นข้อมูลที่เกี่ยวข้องกับชีวิตประจำวัน ประวัติการทำงาน หรือข้อมูลทางกายภาพและชีวภาพ เป็นต้น
ตัวอย่างของข้อมูลส่วนบุคคล ได้แก่:
- ชื่อและนามสกุล: ข้อมูลที่ใช้ระบุตัวบุคคลโดยตรง เช่น ชื่อเต็มของบุคคล
- เลขบัตรประจำตัวประชาชนหรือเลขหนังสือเดินทาง: เลขที่ใช้ระบุเอกลักษณ์เฉพาะของบุคคล
- ที่อยู่: ข้อมูลที่ระบุสถานที่ที่บุคคลอาศัยอยู่หรือสามารถติดต่อได้
- หมายเลขโทรศัพท์: ข้อมูลที่ใช้ในการติดต่อบุคคล
- ที่อยู่อีเมล: ข้อมูลการติดต่อทางอิเล็กทรอนิกส์ที่สามารถระบุตัวบุคคลได้
- ข้อมูลสุขภาพ: ข้อมูลเกี่ยวกับประวัติการรักษาพยาบาลหรือสภาพสุขภาพของบุคคล
- ข้อมูลทางชีวภาพ: เช่น ลายนิ้วมือ รูปภาพใบหน้า หรือข้อมูลที่เกี่ยวกับดีเอ็นเอ
- ข้อมูลการเงิน: เช่น เลขบัญชีธนาคารหรือประวัติการทำธุรกรรมทางการเงิน
- ข้อมูลการทำงาน: เช่น ประวัติการทำงานหรือการศึกษา
ข้อมูลเหล่านี้เมื่ออยู่ในมือของผู้ที่ไม่ได้รับอนุญาตอาจถูกนำไปใช้ในทางที่ผิดหรือทำให้เกิดความเสียหายต่อเจ้าของข้อมูลได้ ดังนั้น การคุ้มครองข้อมูลส่วนบุคคลจึงเป็นเรื่องสำคัญที่กฎหมาย PDPA มุ่งเน้น
ใครบ้างที่เกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคล
การจัดการข้อมูลส่วนบุคคลเกี่ยวข้องกับหลายฝ่ายที่มีบทบาทและความรับผิดชอบต่าง ๆ ดังนี้:
1. เจ้าของข้อมูลส่วนบุคคล (Data Subject): คือ บุคคลที่ข้อมูลส่วนบุคคลนั้นเป็นของเขา เจ้าของข้อมูลมีสิทธิ์ในการควบคุมและตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผย หรือจัดการข้อมูลส่วนบุคคลของตนเองตามที่กฎหมายกำหนด
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller): คือ บุคคลหรือนิติบุคคลที่มีอำนาจในการตัดสินใจเกี่ยวกับวัตถุประสงค์และวิธีการในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลต้องรับผิดชอบในการจัดการข้อมูลให้เป็นไปตามข้อกำหนดของกฎหมาย PDPA
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor): คือ บุคคลหรือนิติบุคคลที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลให้ดำเนินการประมวลผลข้อมูลส่วนบุคคล เช่น การจัดเก็บ จัดการ หรือประมวลผลข้อมูลตามที่ผู้ควบคุมข้อมูลกำหนด ผู้ประมวลผลข้อมูลต้องปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูลและต้องปกป้องข้อมูลให้ปลอดภัย
4. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer - DPO): ในบางองค์กรที่มีการจัดการข้อมูลส่วนบุคคลในปริมาณมากหรือมีความเสี่ยงสูง ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อดูแลและตรวจสอบให้แน่ใจว่าองค์กรปฏิบัติตามกฎหมาย PDPA อย่างถูกต้อง รวมถึงการให้คำปรึกษาและอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
5. หน่วยงานกำกับดูแล (Supervisory Authority): เป็นหน่วยงานของรัฐที่มีหน้าที่ตรวจสอบและกำกับดูแลการปฏิบัติตามกฎหมาย PDPA รวมถึงการให้คำปรึกษา การตรวจสอบ และการบังคับใช้กฎหมายหากพบว่ามีการละเมิดกฎหมาย
6. ผู้รับข้อมูล (Data Recipient): คือ บุคคลหรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคลจากผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล ไม่ว่าจะเป็นบุคคลภายในองค์กรเดียวกันหรือภายนอก ผู้รับข้อมูลต้องปฏิบัติตามข้อกำหนดในการใช้ข้อมูลและต้องไม่ละเมิดสิทธิของเจ้าของข้อมูล
ฝ่ายเหล่านี้ล้วนมีความเกี่ยวข้องในการจัดการข้อมูลส่วนบุคคล และต้องปฏิบัติตามข้อกำหนดของกฎหมาย PDPA เพื่อปกป้องสิทธิและความเป็นส่วนตัวของเจ้าของข้อมูล
ตามกฎหมาย PDPA แล้ว เจ้าของข้อมูลส่วนบุคคลได้รับสิทธิอะไรบ้าง
ตามกฎหมาย PDPA เจ้าของข้อมูลส่วนบุคคลได้รับสิทธิต่าง ๆ ที่ช่วยให้พวกเขาควบคุมและปกป้องข้อมูลส่วนบุคคลของตนเองได้อย่างมีประสิทธิภาพ ซึ่งสิทธิสำคัญเหล่านี้ ได้แก่:
สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (Right to Access): เจ้าของข้อมูลมีสิทธิ์ขอเข้าถึงข้อมูลส่วนบุคคลของตนเองที่องค์กรได้เก็บรวบรวมไว้ รวมถึงการขอรับสำเนาข้อมูลดังกล่าว เพื่อรับทราบว่าข้อมูลของตนถูกเก็บรักษาและใช้งานอย่างไร
สิทธิในการขอแก้ไขข้อมูล (Right to Rectification): เจ้าของข้อมูลมีสิทธิ์ในการขอแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้องหรือไม่สมบูรณ์ เพื่อให้ข้อมูลที่ถูกเก็บรวบรวมเป็นข้อมูลที่ถูกต้องและครบถ้วน
สิทธิในการขอลบข้อมูล (Right to Erasure) หรือที่เรียกว่า สิทธิในการถูกลืม (Right to be Forgotten): เจ้าของข้อมูลมีสิทธิ์ขอลบข้อมูลส่วนบุคคลของตนจากระบบขององค์กร ในกรณีที่ข้อมูลนั้นไม่จำเป็นต้องใช้หรือถูกเก็บรวบรวมโดยไม่ได้รับความยินยอม
สิทธิในการจำกัดการประมวลผลข้อมูล (Right to Restriction of Processing): เจ้าของข้อมูลมีสิทธิ์ขอให้องค์กรจำกัดการใช้ข้อมูลส่วนบุคคลของตนในบางกรณี เช่น เมื่อเจ้าของข้อมูลไม่เห็นด้วยกับความถูกต้องของข้อมูล หรือเมื่อการประมวลผลข้อมูลนั้นผิดกฎหมายแต่ไม่ต้องการให้ข้อมูลถูกลบ
สิทธิในการขอให้ถ่ายโอนข้อมูล (Right to Data Portability): เจ้าของข้อมูลมีสิทธิ์ขอให้องค์กรถ่ายโอนข้อมูลส่วนบุคคลของตนไปยังผู้ควบคุมข้อมูลรายอื่น ในรูปแบบที่สามารถอ่านได้ด้วยเครื่องมืออิเล็กทรอนิกส์ทั่วไป (เช่น ไฟล์ CSV)
สิทธิในการคัดค้านการประมวลผลข้อมูล (Right to Object): เจ้าของข้อมูลมีสิทธิ์คัดค้านการประมวลผลข้อมูลส่วนบุคคลของตนในบางกรณี เช่น การประมวลผลข้อมูลเพื่อการตลาดหรือการวิจัย
สิทธิในการเพิกถอนความยินยอม (Right to Withdraw Consent): เจ้าของข้อมูลมีสิทธิ์เพิกถอนความยินยอมที่เคยให้ไว้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตน โดยสามารถทำได้ตลอดเวลา และการเพิกถอนนี้จะไม่กระทบต่อการประมวลผลข้อมูลที่เกิดขึ้นก่อนการเพิกถอน
สิทธิในการร้องเรียน (Right to Lodge a Complaint): เจ้าของข้อมูลมีสิทธิ์ในการร้องเรียนต่อหน่วยงานกำกับดูแล หากเชื่อว่าการประมวลผลข้อมูลส่วนบุคคลของตนละเมิดสิทธิ์หรือไม่เป็นไปตามกฎหมาย PDPA
สิทธิเหล่านี้ถูกออกแบบมาเพื่อให้เจ้าของข้อมูลมีความมั่นใจว่าข้อมูลส่วนบุคคลของตนจะได้รับการปกป้องและจัดการอย่างเหมาะสมภายใต้กฎหมาย PDPA
กฎหมาย PDPA กับ GDPR ต่างกันอย่างไร
กฎหมาย PDPA (Personal Data Protection Act) ของประเทศไทยและกฎหมาย GDPR (General Data Protection Regulation) ของสหภาพยุโรป เป็นกฎหมายที่มีจุดประสงค์ในการคุ้มครองข้อมูลส่วนบุคคลเช่นเดียวกัน แต่มีความแตกต่างกันในหลายประเด็น ดังนี้:
1. ขอบเขตการบังคับใช้
- GDPR: บังคับใช้กับทุกองค์กรที่ประมวลผลข้อมูลส่วนบุคคลของบุคคลในสหภาพยุโรป ไม่ว่าจะเป็นองค์กรที่ตั้งอยู่ในสหภาพยุโรปหรืออยู่นอกสหภาพยุโรป หากมีการให้บริการหรือสินค้ากับบุคคลในสหภาพยุโรปก็ต้องปฏิบัติตาม GDPR
- PDPA: บังคับใช้กับองค์กรในประเทศไทยหรือองค์กรที่ประมวลผลข้อมูลส่วนบุคคลของบุคคลในประเทศไทย อย่างไรก็ตาม การบังคับใช้กับองค์กรที่อยู่นอกประเทศไทยจะพิจารณาตามความเกี่ยวข้องกับข้อมูลส่วนบุคคลของบุคคลในประเทศไทย
2. การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer - DPO)
- GDPR: การแต่งตั้ง DPO เป็นข้อบังคับสำหรับองค์กรที่ทำการประมวลผลข้อมูลส่วนบุคคลในปริมาณมาก หรือทำการประมวลผลข้อมูลที่มีความเสี่ยงสูงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล
- PDPA: PDPA กำหนดให้แต่งตั้ง DPO ในบางกรณีเท่านั้น เช่น องค์กรที่มีการประมวลผลข้อมูลส่วนบุคคลขนาดใหญ่ หรือเมื่อการประมวลผลข้อมูลนั้นอาจมีความเสี่ยงสูงต่อสิทธิของเจ้าของข้อมูล
3. บทลงโทษ
- GDPR: มีบทลงโทษที่เข้มงวด โดยสามารถปรับสูงสุดถึง 20 ล้านยูโร หรือ 4% ของรายได้ทั่วโลกขององค์กร ขึ้นอยู่กับจำนวนใดที่สูงกว่า
- PDPA: บทลงโทษสูงสุดคือปรับไม่เกิน 5 ล้านบาท และในบางกรณีอาจมีบทลงโทษทางอาญา เช่น การจำคุก แต่โดยรวมบทลงโทษของ PDPA น้อยกว่า GDPR
4. สิทธิของเจ้าของข้อมูล
- GDPR: ครอบคลุมสิทธิหลายด้าน เช่น สิทธิในการย้ายข้อมูล (Data Portability) สิทธิในการถูกลืม (Right to be Forgotten) ซึ่งเป็นการกำหนดมาตรฐานสูงสุดในการคุ้มครองข้อมูลส่วนบุคคล
- PDPA: สิทธิของเจ้าของข้อมูลใน PDPA คล้ายคลึงกับ GDPR แต่ในบางกรณีสิทธิอาจมีขอบเขตแคบกว่า เช่น การย้ายข้อมูลส่วนบุคคลยังมีการตีความที่ต่างออกไป
5. การแจ้งเหตุข้อมูลรั่วไหล:
- GDPR: องค์กรต้องแจ้งเหตุการณ์ข้อมูลรั่วไหลต่อหน่วยงานกำกับดูแลภายใน 72 ชั่วโมงหลังจากที่ทราบเรื่อง
- PDPA: กำหนดระยะเวลาแจ้งเหตุการณ์ข้อมูลรั่วไหลเช่นเดียวกัน แต่ระยะเวลาจะแตกต่างออกไปตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด ซึ่งปัจจุบันกำหนดไว้ว่า ต้องแจ้งภายใน 72 ชั่วโมง
6. การถ่ายโอนข้อมูลข้ามพรมแดน:
- GDPR: ข้อมูลส่วนบุคคลสามารถถูกถ่ายโอนออกนอกสหภาพยุโรปได้เฉพาะเมื่อประเทศปลายทางมีมาตรการคุ้มครองข้อมูลที่เพียงพอ หรือเมื่อมีการใช้มาตรการป้องกันเพิ่มเติม เช่น ข้อสัญญามาตรฐาน (Standard Contractual Clauses)
- PDPA: กำหนดให้การถ่ายโอนข้อมูลไปยังต่างประเทศต้องทำไปยังประเทศที่มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอเช่นเดียวกับ GDPR แต่ PDPA ยังอนุญาตให้ถ่ายโอนได้หากมีเงื่อนไขที่ได้รับอนุญาตจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
สรุปได้ว่า ทั้ง PDPA และ GDPR มีเป้าหมายเดียวกันในการคุ้มครองข้อมูลส่วนบุคคล แต่มีความแตกต่างในด้านการบังคับใช้ บทลงโทษ สิทธิของเจ้าของข้อมูล และการถ่ายโอนข้อมูลข้ามพรมแดน ซึ่งทำให้การปฏิบัติตามกฎหมายทั้งสองนี้มีความซับซ้อนและต้องอาศัยความเข้าใจที่ชัดเจนเกี่ยวกับแต่ละกฎหมาย
