SHARES:
กฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA มีประกาศบังคับใช้ในวันที่ 1 มิถุนายน 2565
 
ในยุคที่ธุรกิจและการตลาดขับเคลื่อนด้วยข้อมูล การบังคับใช้ PDPA ถือเป็นเรื่องที่สำคัญที่ส่งผลกระทบกับหลายธุรกิจพอสมควร หากมีการเก็บข้อมูลส่วนบุคคลแบบไม่ถูกต้อง อาจมีความผิดสูงสุดถึงโทษอาญาได้
 

ดังนั้นมาทำความรู้จัก และทำความเข้าใจเกี่ยวกับ กฎหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA กันเลยค่ะ


PDPA (Personal Data Protection Act)
คือ กฎหมายคุ้มครอง ‘ข้อมูลส่วนบุคคล’ ระบุให้องค์กรหรือหน่วยงานที่เกี่ยวข้องไม่ว่าจะเป็นบริษัทเอกชนหรือหน่วยงานภาครัฐ ต้องขอความยินยอมจาก ‘เจ้าของข้อมูล’ ก่อนการเก็บ รวบรวม ใช้ หรือเปิดเผย
 
ข้อมูลส่วนบุคคล (Personal Data) มาตรา 6
คือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม เช่น
> เลขประจำตัวประชาชน
> ชื่อ-นามสกุล
> เบอร์โทรศัพท์
> อีเมล
> ที่อยู่
 
รวมถึงข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) มาตรา 26
คือ ข้อมูลที่ต้องระมัดระวังเป็นพิเศษในการเก็บรวบรวม หรือประมวลผล เช่น
> ศาสนาหรือปรัชญา
> เชื้อชาติ
> พฤติกรรมทางเพศ
> ข้อมูลทางการเงิน

> ข้อมูลสุขภาพ
> ประวัติอาชญากรรม

* ข้อมูลของผู้เสียชีวิต ข้อมูลนิติบุคคล ไม่เป็นข้อมูลส่วนบุคคลตามกฎหมายนี้

  
ตามกฎหมาย ผู้ที่มีส่วนเกี่ยวข้องกับ “ข้อมูลส่วนบุคคล” มี 3 กลุ่ม คือ
กลุ่มที่ 1 เจ้าของข้อมูลส่วนบุคคล (Data Subject)
กลุ่มที่ 2 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคล บริษัทหรือองค์กรต่าง ๆ ที่มีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวมหรือ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ภายใต้ PDPA ผู้ควบคุมข้อมูลส่วนบุคคลเป็นผู้มีหน้าที่และความรับผิดหลักที่ต้องปฏิบัติตาม PDPA ให้ครบถ้วน
กลุ่มที่ 3  ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคน บริษัทหรือองค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เท่านั้น ไม่ได้เป็นคนตัดสินใจทำการประมวลผลข้อมูลด้วยตัวเอง
 
สิทธิของเจ้าของข้อมูลส่วนบุคคล PDPA มีอะไรบ้าง ?
1. สิทธิการได้รับแจ้งโดยไม่ต้องร้องขอ
– เก็บข้อมูลอะไรบ้าง
– เก็บไปเพื่ออะไร
– เก็บระยะเวลานานแค่ไหน
– ส่งต่อข้อมูลให้ใคร
– ช่องทางติดต่อผู้ควบคุมข้อมูล
* หากเก็บรวบรวมข้อมูลจากแหล่งอื่น ต้องแจ้งให้ทราบ
* หากแก้ไขวัตถุประสงค์ในภายหลัง ต้องแจ้งให้ทราบ
2. สิทธิในการเพิกถอนความยินยอม
3. สิทธิในการเข้าถึงข้อมูลส่วนบุคคล
4. สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
5. สิทธิในการลบข้อมูลส่วนบุคคล
6. สิทธิในการห้ามมิให้ประมวลผลข้อมูลส่วนบุคคล
7. สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล
8. สิทธิในการค้ดค้านหรือให้ระงับการประมวลผลข้อมูลส่วนบุคคล
 
หากเกิดการละเมิดสิทธิ >> เจ้าของข้อมูลส่วนบุคคลสามารถร้องเรียนและเรียกค่าสินไหมทดแทนได้
ทั้งนี้ ในกรณีที่มีการฟ้องคดีต่อศาล ศาลจะเป็นผู้ใช้ดุลพินิจในการกำหนดค่าสินไหมทดแทนตามมูลค่าความเสียหายที่เจ้าของข้อมูลได้รับจริง และอาจสั่งลงโทษเพิ่มขึ้นได้แต่ไม่เกินสองเท่า
  
ขอบเขตบังคับใช้การเก็บข้อมูลส่วนบุคคล 
> การเก็บรวบรวมข้อมูลส่วนบุคคล มาตรา 22
เก็บเท่าที่จำเป็น ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย
> การแจ้งรายละเอียด (Privacy Notice) มาตรา 23
จะต้องแจ้งวัตถุประสงค์ ให้เจ้าของข้อมูลส่วนบุคคลทราบ
> การเปลี่ยนวัตถุประสงค์ในการประมวลผล มาตรา 21
ต้องแจ้งวัตถุประสงค์ใหม่ ให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมก่อน ยกเว้นว่า กฎหมายนี้หรือกฎหมายอื่นบัญญัติให้ทำได้
  
บทลงโทษ หากฝ่าฝืนกฏหมาย PDPA

ความรับผิดทางแพ่ง
– ค่าสินไหมทดแทนจากความเสียหายที่ได้รับจริง และศาลสั่งลงโทษเพิ่มขึ้นได้แต่ไม่เกิน 2 เท่าของสินไหมทดแทนที่แท้จริง
โทษทางปกครอง
– ไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ไม่ให้เจ้าของข้อมูลเข้าถึงตามสิทธิ ฯลฯ โทษปรับไม่เกิน 1,000,000 บาท
– เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ปรับไม่เกิน 3,000,000 บาท
– เก็บรวบรวม ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย ปรับไม่เกิน 5,000,000 บาท
โทษอาญา
– ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสีย ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท
– เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น จำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท
– ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ ตาม พ.ร.บ. นี้ ห้ามนำไปเผยแพร่แก่ผู้อื่น (เว้นแต่เปิดเผยตามหน้าที่) จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท

*ผู้กระทำความผิดที่เป็นนิติบุคคล หากกรรมการผู้จัดการ หรือบุคคลที่ได้รับผิดชอบ สั่งการหรือกระทำหรือละเว้นไม่สั่งการหรือไม่กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ต้องรับโทษในคดีอาญานั้นด้วย

 
เชื่อว่าหลายคนคงเห็นความสำคัญของ PDPA และเตรียมพร้อมรับมือสำหรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งกฎหมายนี้จะมีการบังคับใช้ตลอดทุกภาคธุรกิจ ไม่ว่าจะเล็กหรือใหญ่ ทุกองค์กรต้องเริ่มปฏิบัติตาม PDPA ตั้งแต่วันที่ 1 มิถุนายนนี้เป็นต้นไป

 
 

✓ The right insight at your fingertips.

—————

“InsightEra” ผู้ให้บริการ MarTech แบบครบวงจร

สนใจหรือสอบถามเพิ่มเติม
https://www.insightera.co.th/contact-us/
Email : [email protected]