ในยุคดิจิทัลที่ข้อมูลกลายเป็นสินทรัพย์ที่มีค่าสูงสุด การคุ้มครองข้อมูลส่วนบุคคลจึงมีความสำคัญอย่างยิ่ง และทั้งหมดนี้จึงทำให้เกิด ‘กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA’ ขึ้นมานั่นเอง
ซึ่งบทความนี้ ดิจิทัล แฟคตอรี่ จะพาทุกคนไปเจาะลึกเรื่องของ PDPA กัน ว่ากฎหมาย PDPA คืออะไร, กฎหมาย PDPA มีอะไรบ้าง และกฎหมาย PDPA โทษร้ายแรงแค่ไหน มาหาคำตอบของคำถามทั้งหมดนี้กันได้ที่บทความนี้เลย
ทำความรู้จักกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ พรบ PDPA
PDPA ย่อมาจาก Personal Data Protection Act หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่ออกแบบมาเพื่อปกป้องสิทธิของบุคคล ในการควบคุมข้อมูลส่วนบุคคลของตนเอง ไม่ว่าจะเป็นข้อมูลส่วนบุคคลในรูปแบบใดก็ตาม
ข้อมูลส่วนบุคคลมีอะไรบ้าง ?
ข้อมูลส่วนบุคคล หมายถึงข้อมูลใดๆ ที่สามารถระบุตัวตนของบุคคลนั้นได้ ไม่ว่าจะเป็นทางตรงหรือทางอ้อม ซึ่งจะมีดังนี้
- ข้อมูลประจำตัว : ชื่อ-นามสกุล, เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, วันเกิด, สถานที่เกิด, เชื้อชาติ, สัญชาติ, น้ำหนัก, ส่วนสูง หรือแม้กระทั่ง เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี
- ข้อมูลติดต่อ : ที่อยู่, เบอร์โทรศัพท์, อีเมล, ที่อยู่ IP
- ข้อมูลทางชีวมิติ (Biometric) : รูปภาพใบหน้า, ลายนิ้วมือ, ฟิล์มเอกซเรย์, ข้อมูลสแกนม่านตา, ข้อมูลอัตลักษณ์เสียง, ข้อมูลพันธุกรรม
- ข้อมูลทางการเงิน : เลขบัตรเครดิต, เลขบัญชีธนาคาร, ประวัติการทำธุรกรรม
- ข้อมูลสุขภาพ : ประวัติการเจ็บป่วย, ข้อมูลทางการแพทย์
- ข้อมูลความคิดเห็น : ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนา
- ข้อมูลพฤติกรรม : ประวัติการค้นหาข้อมูลบนอินเทอร์เน็ต, ประวัติการซื้อสินค้า
PDPA คุ้มครองอะไรบ้าง ?
กฎหมาย PDPA จะคุ้มครองสิทธิในการควบคุมข้อมูลส่วนบุคคล โดยให้ความสำคัญกับความปลอดภัยและความโปร่งใสในการจัดการข้อมูลส่วนบุคคล ซึ่งหมายความว่า ทุกคนมีสิทธิที่จะรู้ว่าข้อมูลส่วนตัวถูกนำไปใช้ทำอะไร รวมถึงมีสิทธิที่จะขอเข้าถึงข้อมูลนั้น และสามารถขอแก้ไขหรือลบข้อมูลได้ หากข้อมูลนั้นไม่ถูกต้องหรือไม่เป็นปัจจุบัน
นอกจากนี้ ผู้ที่เก็บรวบรวมข้อมูลส่วนบุคคลยังต้องมีมาตรการรักษาความปลอดภัยที่เหมาะสมเพื่อป้องกันไม่ให้ข้อมูลรั่วไหล และต้องแจ้งให้คุณทราบถึงวัตถุประสงค์ในการเก็บรวบรวมข้อมูล วิธีการดูแลข้อมูลของคุณ รวมถึงก่อนที่องค์กรใดจะนำข้อมูลส่วนบุคคลของคุณไปใช้ จะต้องได้รับความยินยอมจากคุณเสียก่อน แต่อย่างไรก็ตาม ก็มีบางกรณีที่อาจไม่ได้อยู่ภายใต้การคุ้มครองโดยตรงของ PDPA ด้วยเช่นกัน
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไม่คุ้มครองข้อมูลส่วนบุคคลใด ?
- ข้อมูลของนิติบุคคล : PDPA มุ่งเน้นไปที่การคุ้มครองข้อมูลของบุคคลธรรมดา ไม่ได้ครอบคลุมข้อมูลของนิติบุคคล เช่น บริษัท ห้างหุ้นส่วน
- ข้อมูลที่เป็นสาธารณสมบัติ : ข้อมูลที่เปิดเผยต่อสาธารณะชนโดยทั่วไป เช่น ข้อมูลในหนังสือพิมพ์ เว็บไซต์รัฐบาล หรือข้อมูลที่บุคคลเปิดเผยต่อสาธารณะเอง
- ข้อมูลที่ได้มาจากแหล่งข้อมูลที่เปิดเผยต่อสาธารณะ : เช่น ทะเบียนราษฎร หรือข้อมูลที่เผยแพร่ในหนังสือพิมพ์
‘* ข้อมูลนี้เป็นเพียงภาพรวมของกฎหมาย PDPA หากต้องการข้อมูลที่ละเอียดและครบถ้วน ควรศึกษาพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือปรึกษาผู้เชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล *’
กฎหมาย PDPA โทษร้ายแรงแค่ไหน ?
กฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีบทลงโทษที่ค่อนข้างร้ายแรงสำหรับผู้ที่ฝ่าฝืนกฎหมาย ทั้งนี้ ก็เพื่อเป็นการป้องกันการละเมิดสิทธิส่วนบุคคลและสร้างความเข้มงวดในการปฏิบัติตามกฎหมาย โดยบทลงโทษที่กำหนดไว้ใน PDPA สามารถแบ่งออกได้เป็น 3 ประเภทหลัก ดังนี้
1. โทษทางอาญา
ผู้ที่ฝ่าฝืนกฎหมาย PDPA อาจได้รับโทษจำคุกสูงสุด 1 ปี หรือปรับสูงสุด 1 ล้านบาท หรือทั้งจำทั้งปรับ โดยขึ้นอยู่กับความร้ายแรงของความผิดที่กระทำ
2. โทษทางแพ่ง
ผู้ที่ได้รับความเสียหายจากการละเมิดกฎหมาย PDPA สามารถฟ้องเรียกค่าเสียหายทางแพ่งได้ ซึ่งรวมถึงทั้งค่าเสียหายที่เกิดขึ้นจริง เช่น ค่าใช้จ่ายในการแก้ไขปัญหา หรือความเสียหายทางจิตใจ และค่าเสียหาย punitive ที่เป็นการบวกเพิ่มเข้าไปเพื่อลงโทษผู้กระทำผิดที่ละเมิดกฎหมาย ส่งผลให้ผู้กระทำผิดต้องรับผิดชอบต่อความเสียหายที่เกิดขึ้นอย่างเต็มที่
3. โทษทางปกครอง
ผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลที่ฝ่าฝืนกฎหมาย PDPA อาจถูกหน่วยงานรัฐสั่งปรับทางปกครองสูงสุดถึง 5 ล้านบาท นอกจากนี้ ยังอาจถูกสั่งให้ดำเนินการแก้ไขการกระทำที่ผิดกฎหมายนั้น เพื่อให้เป็นไปตามหลักเกณฑ์ที่กำหนดไว้ในกฎหมาย
PDPA เก็บข้อมูลกี่ปี ?
กฎหมาย PDPA ไม่ได้กำหนดระยะเวลาที่แน่นอนในการเก็บรักษาข้อมูลส่วนบุคคล เพราะระยะเวลาในการเก็บรักษาข้อมูลจะขึ้นอยู่กับหลายปัจจัย เช่น
- วัตถุประสงค์ในการเก็บรวบรวมข้อมูล : หากข้อมูลนั้นจำเป็นสำหรับการดำเนินธุรกิจ ก็อาจต้องเก็บไว้นาน แต่ถ้าเป็นข้อมูลที่ใช้สำหรับกิจกรรมชั่วคราว ก็อาจเก็บในระยะเวลาที่สั้นลงนั่นเอง
- กฎหมายอื่นๆ ที่เกี่ยวข้อง : อาจมีกฎหมายอื่นๆ ที่กำหนดระยะเวลาในการเก็บรักษาข้อมูลบางประเภทไว้ เช่น กฎหมายเกี่ยวกับภาษี หรือกฎหมายเกี่ยวกับการบัญชี
- ความยินยอมของเจ้าของข้อมูล : หากเจ้าของข้อมูลให้ความยินยอมในการเก็บรักษาข้อมูลเป็นระยะเวลาที่แน่นอน ผู้ควบคุมข้อมูลก็ต้องปฏิบัติตามความยินยอมนั้น
- มาตรฐานสากล : ผู้ควบคุมข้อมูลอาจพิจารณาแนวปฏิบัติที่ดีที่สุดตามมาตรฐานสากล เช่น GDPR (General Data Protection Regulation) ของสหภาพยุโรป
บทสรุป
จะเห็นได้ว่า PDPA มีบทบาทสำคัญในการคุ้มครองสิทธิของบุคคลอย่างมาก โดยเฉพาะในธุรกิจที่ต้องเก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้าจำนวนมาก อย่างธุรกิจที่มีบริการรับยิงแอดทุกแพลตฟอร์ม ยิ่งต้องปฏิบัติตาม PDPA อย่างเคร่งครัด เพราะจะช่วยสร้างความน่าเชื่อถือและความไว้วางใจให้กับลูกค้า นอกจากนี้ยังเป็นการป้องกันไม่ให้เกิดความเสียหายที่อาจเกิดขึ้นจากการนำข้อมูลไปใช้ในทางที่ผิดอีกด้วย