กฎหมาย PDPA คืออะไร เกี่ยวข้องกับใครบ้าง

 Special track

ในช่วงหลายเดือนที่ผ่านมา เมื่อเราเปิดใช้งานเว็บไซต์ต่างๆ จะมี POP UP ขึ้นมาให้เรากดยอมรับ คุ๊กกี้ (cookies) ซึ่งเป็นการตื่นตัวของเจ้าของเว็บไซต์ต่างๆในการจัดเก็บประวัติการใช้งานของผู้ใช้งานเพื่อนำไปใช้ในการยิงโฆษณาที่ตรงกับความสนใจของผู้ใช้งานนั้นๆ ซึ่งถ้าผู้ใช้งานกดยอมรับคุ๊กกี้นั่นหมายความว่าเรายินยอมให้เจ้าของเว็บไซต์เก็บรวมรวมประวัติการค้นหาของเราและสามารถนำไปใช้หรือเปิดเผยได้ตามวัตถุประสงค์ที่ได้แจ้ง เพื่อให้การยิงโฆษณาตามความสนใจของผู้ใช้งานถูกต้องตามกฎหมาย PDPA นั่นเอง ดังนั้น เราในฐานะผู้ใช้งานหรือเจ้าของข้อมูลส่วนบุคคลจึงควรอ่านข้อความเกี่ยวกับนโยบายความเป็นส่วนตัวเสียก่อนจะกดยอมรับ

ก่อนอื่นเรามาทำความรู้จักและทำความเข้าใจกฎหมาย PDPA กันก่อนดีกว่า

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act) หรือ กฎหมาย PDPA ประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 ซึ่งได้เลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 ที่จะถึงนี้

กฎหมาย PDPA คืออะไร เกี่ยวข้องกับผู้ประกอบการอย่างไร

กฎหมาย PDPA เป็นกฎหมายเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และสิทธิของเจ้าของข้อมูลส่วนบุคคล พูดง่ายๆก็คือ ถ้าหากว่าผู้ประกอบการ ไม่ว่าจะเป็น บุคคลธรรมดา หรือ นิติบุคคล เช่น บริษัท หจก. จะเก็บรวบรวมและนำข้อมูลส่วนบุคคลของประชาชนไปใช้ต้องได้รับความยินยอมจากเจ้าของข้อมูลเสียก่อน จะนำไปใช้โดยพลการไม่ได้ การเก็บรวบรวม การนำไปใช้และเปิดเผยข้อมูลส่วนบุคคลนั้นแม้ได้รับความยินยอมก็ทำได้ภายในวัตถุประสงค์ที่ได้แจ้งให้เจ้าของข้อมูลทราบเท่านั้น

ข้อมูลที่ได้รับความคุ้มครองภายใต้กฎหมาย PDPA

ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลที่ทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ

ตัวอย่างข้อมูลส่วนบุคคล เช่น

* ชื่อ นามสกุล ที่อยู่ อายุ วันเดือนปีเกิด สัญชาติ เบอร์โทรศัพท์

* ทะเบียนรถยนต์ รถมอเตอร์ไซต์

* เลขที่บัญชี โฉนดที่ดิน

* Ip address, username , password

* Gps location

ข้อมูลส่วนตัวที่เป็นข้อมูลอ่อนไหวที่เก็บไม่ได้

 เชื้อชาติ เผ่าพันธุ์

 ความคิดเห็นทางการเมือง

 ความเชื่อในลัทธิ ศาสนาหรือปรัชญา

 พฤติกรรมทางเพศ

 ประวัติอาชญากรรม

 ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์

 ข้อมูลสหภาพแรงงาน

 ข้อมูลพันธุกรรม

 ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

บุคคลที่เกี่ยวข้องภายใต้กฎหมาย PDPA

"ผู้ควบคุมข้อมูลส่วนบุคคล" หรือ Data controller คือ บุคคลหรือนิติบุคคลซึ่งมีอํานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ถ้าอธิบายง่ายๆก็คือ ผู้ประกอบการที่เป็นผู้เก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลใดบุคคลหนึ่ง

"ผู้ประมวลผลข้อมูลส่วนบุคคล" Data Processor คือ บุคคลหรือนิติบุคคลซึ่งดําเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดําเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

"เจ้าของข้อมูลส่วนบุคคล" Data Subject คือ เจ้าของข้อมูลที่ผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล เก็บรวบรวม ใช้ หรือนำข้อมูลไปเปิดเผย หรือพูดง่ายๆ คือผู้ที่ได้รับความคุ้มครองภายใต้กฎหมาย PDPA นั่นเอง

ตัวอย่างเช่น เมื่อนายฮูกขอเปิดเครดิตกับธนาคาร A ผ่านทางแอพลิเคชั่นมือถือซึ่งต้องมีการแจ้งข้อมูลส่วนตัวแก่ธนาคาร A โดยความยินยอมของนายฮูก ดังนี้ ธนาคาร A จึงเป็นผู้ควบคุมข้อมูลส่วนบุคคล ส่วนนายฮูกคือเจ้าของข้อมูลส่วนบุคคล และเมื่อธนาคาร A ได้รับข้อมูลมาจากนายฮูกในฐานะลูกค้าแล้วธนาคารใช้บริการระบบ Cloud ในการจัดเก็บข้อมูลของนายฮูกแทนธนาคาร A ผู้ให้บริการ Cloud จึงเป็นผู้ประมวลผลข้อมูลส่วนบุคคล

ผู้ประกอบการจะขอความยินยอมจากเจ้าของข้อมูลได้ยังไง

1. ขอความยินยอมจากเจ้าของข้อมูลเป็นหนังสือหรือผ่านระบบอิเล็กทรอนิกส์ โดย ผู้ประกอบการต้องแจ้งวัตถุประสงค์ว่าจะเก็บรวมรวมอะไรบ้าง จะนำไปใช้อย่างไร ข้อมูลไหนจะเปิดเผยบ้าง

2. การขอความยินยอมนั้นผู้ประกอบการต้องแสดงให้เจ้าของข้อมูลส่วนบุคคลเห็นชัดเจนแยกออกจากข้อความอื่น

3. ข้อความยินยอมต้องเข้าใจง่าย ใช้ภาษาที่อ่านง่าย ไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ที่แท้จริง

4. ในการเข้าทำสัญญาซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งและการให้บริการด้วย

5. การขอความยินยอมต้องแจ้งก่อนหรือขณะเก็บรวบรวมข้อมูล

6. ถ้าผู้ประกอบการมีการเปลี่ยนวัตถุประสงค์ในการเก็บ ใช้ เปิดเผย ก็ต้องขอความยินยอมจากเจ้าของข้อมูลใหม่อีกครั้ง

ทำไมเจ้าของข้อมูลต้องให้ความยินยอม

• ป้องกันการนำข้อมูลไปใช้ หรือเปิดเผยโดยเจ้าของข้อมูลไม่ทราบ หรือไม่ได้ยินยอม

ตัวอย่าง

การนำเบอร์โทรศัพท์ไปให้บุคคลอื่นทำให้บุคคลเหล่านั้นโทรเข้ามาหรือส่งข้อความ SMS เพื่อขายสินค้า หรือ ขายบริการ

การเก็บประวัติเข้าใช้งาน หรือ Cookies ในเว็บไซต์ หรือโซเชียลมิเดียต่างๆ ทำให้รู้ว่าผู้ใช้งาน (User) มีความสนใจในเรื่องอะไร แล้วยิงโฆษณามายังผู้ใช้งาน (User) บ่อยและเป็นจำนวนมาก

ถ้าผู้ประกอบการไม่ทำตาม PDPA มีโทษอะไรบ้าง

โทษทางแพ่ง : สำหรับ Data Controller หรือ Data Processor ฝ่าฝืน PDPA แล้วทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนเพื่อการนั้นแก่เจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อก็ตาม กรณีนี้ศาลกำหนดค่าเสียหายเพิ่มขึ้นเพื่อเป็นการลงโทษได้ด้วย

โทษทางอาญา : มีทั้งโทษปรับ และโทษจำคุก โดยเฉพาะกรณีข้อมูลส่วนบุคคลอ่อนไหว

โทษทางปกครอง : ถูกปรับเงินเข้ารัฐ

สิ่งที่ผู้ประกอบการต้องทำ ภายใต้กฎหมาย PDPA

จัดทำ Privacy Policy ในรูปแบบ

1. เอกสารการจัดเก็บข้อมูลส่วนบุคคล

2. ข้อความในแอพลิเคชั่นที่ให้บริการ

3. ข้อความขอความยินยอมในการเก็บข้อมูลในเว็บไซต์ หรือ Cookies Privacy Policy

4. ขอความยินอยมในการเก็บข้อมูลภาพบุคคลโดยกล้อง CCTV

ฝากกด Like กด share กดติดตามกันด้วยน้า

ด้วยรัก

Owl Law Student

ติดตามได้ 3 ช่องทาง

ช่องทางเพจ FB : #owllawstudent @Owllawstudent

https://www.facebook.com/Owllawstudent

ช่องทาง Blockdit : https://www.blockdit.com/owllawstudent

ช่องทาง Blogger : www.owllawstudent.blogspot.com