ในวันที่ 1 มิถุนายน จะมีการบังคับใช้ กฎหมาย PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล กฎหมายที่ว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ ซึ่งกฎหมาย PDPA เราควรรู้และตระหนักถึงสิทธิในข้อมูลของเรา
กฎหมาย PDPA เป็นกฎหมายใหม่และเรื่องใหม่ ที่ทุกคนควรทราบและตระหนักรู้ถึงสิทธิในข้อมูลส่วนบุคคลของเรา โดยเฉพาะอย่างยิ่งองค์กรธุรกิจต่าง ๆ ที่มีการเก็บข้อมูลส่วนบุคคล ของลูกค้า ผู้ใช้งาน หรือพนักงานในองค์กร ซึ่งทางเฟซบุ๊คของ สำนักงานกิจการยุติธรรม ได้ให้ข้อมูลไว้ว่า
ข้อมูลส่วนบุคคลภายใต้การคุ้มครองของ PDPA มีอะไรบ้าง?
1.ข้อมูลส่วนบุคคลทั่วไป ได้แก่
-ชื่อ-นามสกุล
-เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน
-เลขบัตรประชาชน
-เลขหนังสือเดินทาง
-เลขใบอนุญาตขับขี่
-ข้อมูลทางการศึกษา
-ข้อมูลทางการเงิน
-ข้อมูลทางการแพทย์
-ทะเบียนรถยนต์
-โฉนดที่ดิน
-ทะเบียนบ้าน
-วันเดือนปีเกิด
-สัญชาติ
-น้ำหนักส่วนสูง
-ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password, Cookies IP address, GPS Location
2. ข้อมูลส่วนบุคคลที่มีความอ่อนไหว ซึ่งส่วนนี้ต้องระวังการใช้ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่อาจส่งผลกระทบต่อเจ้าของข้อมูล ได้แก่
-เชื้อชาติ เผ่าพันธุ์
-ความคิดเห็นทางการเมือง
-ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
-พฤติกรรมทางเพศ
-ประวัติอาชญากรรม
-ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
-ข้อมูลสหภาพแรงงาน
-ข้อมูลพันธุกรรม
-ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา
เนื้อหาที่น่าสนใจ :
สภาการสื่อฯ กำชับสื่อมวลชน ทำตามจริยธรรมวิชาชีพ หลังกฎหมาย PDPA บังคับ
PDPA คืออะไร? 10 เรื่องต้องรู้เกี่ยวกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
4 เรื่องไม่จริงเกี่ยวกับกฎหมาย PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
ผู้ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลภายใต้กฎหมาย PDPA ประกอบด้วย
1.เจ้าของข้อมูลส่วนบุคคล (Data Subject) ซึ่งหมายถึงข้อมูลที่อยู่ในตัวหรือเกี่ยวข้องเชื่อมโยงไปถึงบุคลหนึ่งบุคคลใดที่เป็นของบุคคล คน นั้น
2.ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือคน บริษัทหรือองค์กรต่าง ๆ ที่เป็นคนตัดสินใจว่า จะมีการประมวลผลข้อมูลส่วนบุคคลอะไร เพื่ออะไร ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน
3.ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ คน บริษัทหรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่ง หรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง
บทลงโทษหากไม่ปฎิบัติตาม PDPA
- โทษทางอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
- โทษทางแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า
- โทษทางปกครอง: ปรับไม่เกิน 1หรือ3หรือ 5 ล้านบาท
นอกจากนี้ยังมีข้อมูลที่เข้าใจผิดเกี่ยวกับกฎหมาย PDPA ซึ่งทางเฟซบุ๊ค PDPC Thailand ได้ชี้แจงไว้ดังนี้
4 เรื่องไม่จริงเกี่ยวกับ PDPA
1. การถ่ายรูป-ถ่ายคลิป ติดภาพคนอื่นโดยเจ้าตัวไม่ยินยอมจะผิด PDPA
ตอบ กรณีการถ่ายรูป-ถ่ายคลิปโดยติดบุคคลอื่นโดยผู้ถ่ายรูป-ถ่ายคลิปไม่เจตนา และการถ่ายรูปถ่ายคลิปดังกล่าวไม่ได้ก่อให้เกิดความเสียหายกับผู้ถูกถ่าย สามารถทำได้ หากเป็นการใช้เพื่อวัตถุประสงค์ส่วนตัว
2. ถ้านำคลิปหรือรูปถ่ายที่ติดคนอื่นไปโพสต์ในโซเชียลมีเดียโดยบุคคลอื่นไม่ยินยอมจะผิด PDPA
ตอบ สามารถโพสท์ได้ หากใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้แสวงหากำไรทางการค้าและไม่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล
3. ติดกล้องวงจรปิดแล้วไม่มีป้ายแจ้งเตือนผิด PDPA
ตอบ การติดกล้องวงจรปิด ภายในบ้าน ไม่จำเป็นต้องมีป้ายแจ้งเตือน หากเพื่อป้องกันอาชญากรรม และรักษาความปลอดภัยกับตัวเจ้าของบ้าน
4. เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้
ตอบ ไม่จำเป็น ต้องขอความยินยอม หากการใช้ข้อมูลดังกล่าว
(1) เป็นการทำตามสัญญา
(2) เป็นการใช้ที่มีกฎหมายให้อำนาจ
(3) เป็นการใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล
(4) เป็นการใช้เพื่อการค้นคว้าวิจัยทางสถิติ
(5) เป็นการใช้เพื่อประโยชน์สาธารณะ
(6) เป็นการใช้เพื่อปกป้องผลประโยชน์ หรือสิทธิของตนเอง
ทั้งนี้ หลักการข้างต้น อาจเปลี่ยนแปลงตามข้อเท็จจริงที่เกิดขึ้นเป็นกรณีๆไป
PDPA = พรบ.คุ้มครองข้อมูลส่วนบุคคล
มาตรา 4(1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บข้อมูลเพื่อประโยชน์ส่วนตน หรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น
Cr. พระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 / FB : สำนักงานกิจการยุติธรรม / FB : PDPC Thailand