พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ปี 2562 หรือ กฎหมาย PDPA
เลือกหัวข้อที่ต้องการอ่าน
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ปี 2562 หรือ กฎหมาย PDPA มีผลบังคับใช้ 1 มิ.ย. 65 นี้ หลังจากมี พ.ร.ฎ.ประกาศเลื่อนบังคับใช้มา 2 ปี
บางเหตุก็มีข้อให้ยกเว้น สามารถทำได้โดยไม่เบียดเบียนสิทธิคนอื่น พึงรักษาสิทธิคนอื่น และปกป้องสิทธิตัวเอง โดยใช้วิจารณญานของมนุษย์ มาทำความเข้าใจร่วมกันในหลาย ๆ เรื่องของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ปี 2562 หรือ กฎหมาย PDPA
PDPA ย่อมาจาก Personal Data Protection Act B.E. 2562 (2019) คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นกฎหมายว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต
โดยกฎหมาย PDPA Thailand (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ได้ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และปัจจุบันได้ถูกเลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565
ถือว่าเป็นกฎหมายที่ทุกคนควรทราบและตระหนักรู้ถึงสิทธิในข้อมูลส่วนบุคคลของเรา โดยเฉพาะอย่างยิ่งองค์กรธุรกิจต่าง ๆ ที่มีการเก็บข้อมูลส่วนบุคคล ของลูกค้า ผู้ใช้งาน หรือพนักงานในองค์กร
ข้อมูลส่วนบุคคลภายใต้การคุ้มครองของ PDPA มีอะไรบ้าง?
ส่วนบุคคลทั่วไป
- ชื่อ-นามสกุล
- เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน
- เลขบัตรประชาชน
- เลขหนังสือเดินทาง
- เลขใบอนุญาตขับขี่
- ข้อมูลทางการศึกษา
- ข้อมูลทางการเงิน
- ข้อมูลทางการแพทย์
- ทะเบียนรถยนต์
- โฉนดที่ดิน
- ทะเบียนบ้าน
- วันเดือนปีเกิด
- สัญชาติ
- น้ำหนักส่วนสูง
- ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password, Cookies IP address, GPS Location
นอกจากนี้ยังต้องระวังการใช้ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่อาจส่งผลกระทบต่อเจ้าของข้อมูล
ข้อมูลส่วนบุคคลที่มีความอ่อนไหว
- เชื้อชาติ เผ่าพันธุ์
- ความคิดเห็นทางการเมือง
- ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
- ข้อมูลสหภาพแรงงาน
- ข้อมูลพันธุกรรม
- ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา
ใครเป็นใครภายใต้ PDPA
- เจ้าของข้อมูลส่วนบุคคล (Data Subject)
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือคน บริษัทหรือองค์กรต่าง ๆ ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ คน บริษัทหรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง
โทษหากไม่ปฎิบัติตาม PDPA
- โทษอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
- โทษแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า
- โทษปกครอง: ปรับไม่เกิน 1/3/5 ล้านบาท
ข้อเท็จจริง โทษอาญา PDPA
4 เรื่อง ไม่จริง เกี่ยวกับ PDPA
ข้อยกเว้นการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
1. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตน หรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น
2. การดำเนินการของหน่วยงานรัฐที่มีหน้าที่ รักษาความมั่นคงของรัฐ, ความมั่นคงทางการคลังของรัฐ, การรักษาความปลอดภัยของประชาชน, การป้องกันและปราบปรามการฟอกเงิน, นิติวิทยาศาสตร์ และการรักษาความมั่นคงปลอดภัยทางไซเบอร์
3. บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมข้อมูลไว้เฉพาะเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรม ตามจริยธรรมวิชาชีพหรือเป็นประโยชน์ต่อสาธารณะเท่านั้น
4. สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ในการพิจารณาตามหน้าที่และอำนาจของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา หรือคณะกรรมาธิการ แล้วแต่กรณี
5. การพิจารณาพิพากษาของศาล และการดำเนินเงินของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดีและการวางทรัพย์ รวมทั้งการดำเนินงานตามกระบวนการยุติธรรมทางอาญา
6. การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต
อย่างไรก็ตาม แม้จะมีข้อยกเว้นในกรณีข้างต้น แต่การรวบรวมข้อมูลจะต้องมีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานด้วย
+ 10 เรื่อง ที่ประชาชนต้องรู้เกี่ยวกับ PDPA (เผยแพร่เมื่อวันที่ 26 พฤษภาคม 2565) <<เข้าชม>>
+ 4 เรื่อง ไม่จริง เกี่ยวกับ PDPA (เผยแพร่เมื่อวันที่ 30 พฤษภาคม 2565) <<เข้าชม>>
+ PDPA ยกเว้นไม่ใช้บังคับกับกิจกรรมในครอบครัว (เผยแพร่เมื่อวันที่ 31 พฤษภาคม 2565) <<เข้าชม>>
+ เปรียบเทียบความรับผิดทางแพ่งของ PDPA กับกฎหมายอื่น (เผยแพร่เมื่อวันที่ 31 พฤษภาคม 2565) <<เข้าชม>>
+ จะรู้ได้อย่างไรว่า แค่ไหนเหมาะสมสำหรับการใช้ฐานเพื่อประโยชน์โดยชอบด้วยกฎหมาย (เผยแพร่เมื่อวันที่ 31 พฤษภาคม 2565) <<เข้าชม>>
+ มาตรการในการส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ ตาม PDPA (เผยแพร่เมื่อวันที่ 31 พฤษภาคม 2565) <<เข้าชม>>
+ มาตรการในการส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ สำหรับเครือกิจการหรือเครือธุรกิจเดียวกัน (เผยแพร่เมื่อวันที่ 31 พฤษภาคม 2565) <<เข้าชม>>
Infographic สร้างความรู้ความเข้าใจเกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
+ ผู้ควบคุมข้อมูลส่วนบุคคล คือใคร ? (เผยแพร่เมื่อวันที่ 29 ตุลาคม 2564) <<เข้าชม>>
+ Cookies เกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างไร (เผยแพร่เมื่อวันที่ 29 ตุลาคม 2564) <<เข้าชม>>
+ พนักงานหรือส่วนงานในองค์กร เป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล หรือไม่ ? (เผยแพร่เมื่อวันที่ 30 ตุลาคม 2564) <<เข้าชม>>
+ สิ่งที่ควรดำเนินการ หากหน้าเว็บไซต์มีการใช้ Cookies สำหรับผู้ให้บริการเว็บไซต์ (เผยแพร่เมื่อวันที่ 30 ตุลาคม 2564) <<เข้าชม>>
+ ตั้งค่า Website อย่างไร ? ให้ลดการละเมิดข้อมูลส่วนบุคคล (เผยแพร่เมื่อวันที่ 31 ตุลาคม 2564) <<เข้าชม>>
+ วิธีการลบข้อมูล Cookies ของ Google Chrome (เผยแพร่เมื่อวันที่ 31 ตุลาคม 2564) <<เข้าชม>>
ข้อมูลโดย : สนง.คกก.คุ้มครองข้อมูลส่วนบุคคล ทางเว็บไซต์นำมาเผยแพร่เพื่อเป็นประโยชน์ต่อสาธารณะเท่านั้น
#พรบคุ้มครองข้อมูลส่วนบุคคล #ข้อมูลส่วนบุคคล #PDPA
กฎหมาย PDPA เน้นคุ้มครองข้อมูลส่วนบุคคลเป็นหลัก ห้ามไม่ให้องค์กรต่างๆ เผยแพร่หรือขายต่อ สั่งฝ่ายกฎหมายทำความเข้าใจตำรวจทั่วประเทศ
พล.ต.อ.ดำรงศักดิ์ กิตติประภัสร์ รองผู้บัญชาการตำรวจแห่งชาติ (รอง ผบ.ตร.) กล่าวถึงกรณีวันที่ 1 มิ.ย. 2565 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ กฎหมาย PDPA จะมีผลบังคับใช้ ว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีรายละเอียดค่อนข้างเยอะ หลังจากนี้ จะให้ฝ่ายกฎหมายทำความเข้าใจกับตำรวจทั่วประเทศอีกครั้ง โดยหลักการแล้วเป็นการคุ้มครองข้อมูลที่องค์กรต่างๆ มีอยู่ และได้เก็บรวบรวมข้อมูลไว้ ห้ามไม่ให้ไปเผยแพร่ ขายต่อ หรือ นำข้อมูลส่วนบุคคลไปทำอะไร ทั้งนี้ การเผยแพร่ต่างๆ จะต้องตีความอีกครั้ง
พล.ต.อ.ดำรงศักดิ์ กล่าวว่า ในการพิจารณาจะดูจากเจตนาเป็นหลักว่าอะไรสามารถทำได้หรือไม่ได้ เช่น การไม่ไปเผยแพร่ข้อมูลส่วนบุคคลที่อ่อนไหว อาทิ องค์กรต่างๆ ที่มีข้อมูลในการสมัครสมาชิกจะไม่สามารถนำข้อมูลส่วนบุคคลส่งต่อไปได้ ส่วนของตำรวจจะมีข้อมูลประวัติของประชาชนต่างๆ ทั้งกองทะเบียนประวัติอาชญากร (ทว.) ระบบไบโอแมทริกซ์ ฯลฯ หากปล่อยให้มีการแฮกได้ง่าย อาจจะต้องรับผิดทางปกครอง ทางแพ่ง ทางอาญา อีกด้วย