PDPA หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จะบังคับใช้อย่างเป็นทางการตั้งแต่วันที่ 1 มิถุนายน 2565 นี้เป็นต้นไป ในบทความนี้จึงสรุป 5 ข้อควรรู้เกี่ยวกับ PDPA ที่พนักงานไปจนถึงองค์กรควรทราบ 

หนึ่ง - ใครบ้างที่ถูกบังคับใช้ จากนี้จะเก็บข้อมูลต้องทำอย่างไรบ้าง

PDPA นั้นบังคับใช้กับทุกองค์กรและหน่วยงานทั้งในและนอกประเทศไทยที่มีการเก็บรวบรวม การใช้หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล โดยหากเป็นหน่วยงานนอกประเทศไทย เพียงแค่มีการเสนอขายสินค้าให้กับคนที่อยู่ในประเทศ ไม่ว่าจะมีการชำระเงินหรือไม่ จะต้องถูกบังคับใช้พ.ร.บ.นี้

โดยหลักจาก PDPA มีการประกาศใช้ การเก็บข้อมูลส่วนบุคคลนั้นจะมีข้อสำคัญที่ต้องปฏิบัติตาม 5 ข้อ คือ

1. ห้ามเก็บข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล

2. เก็บข้อมูลส่วนบุคคลเท่าที่จำเป็น 

3. ต้องแจ้งวัตถุประสงค์ในการเก็บข้อมูล

4. หากมีการเปลี่ยนวัตถุประสงค์ต้องแจ้งให้เจ้าของข้อมูลทราบ

5. ห้ามเก็บข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคลโดยตรง

สอง-การใช้และการเปิดเผยข้อมูลทำได้อย่างไร ใช้งานแบบไหนไม่ต้องขอความยินยอม

การใช้หรือเปิดเผยข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูล (หน่วยงาน องค์กร หรือ สถาบันที่ใช้ประโยชน์จากข้อมูลส่วนบุคคล) จะต้องได้รับความยินยอมจากเจ้าของข้อมูลทุกครั้ง และจะต้องไม่นำไปใช้เพื่อวัตถุประสงค์อื่นที่ไม่ได้แจ้งแก่เจ้าของข้อมูล ยกเว้นแต่จะเป็นไปตามข้อกำหนด ข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับการยกเว้นไม่ต้องขอความยินยอม

การเก็บรวบรวม ใช้งาน และเปิดเผยข้อมูลส่วนบุคคลสามารถทำไม่ต้องขอความยินยอมได้เพื่อ:

1. จัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ วิจัย สถิติ 

2. ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย และสุขภาพ เช่น ประวัติการรักษา

3. ปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลกับเจ้าของข้อมูล เช่น สัญญาการเปิดบัญชีธนาคาร

4. ประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้รับมอบหมายแก่ผู้ควบคุมข้อมูล เช่น  การปฏิบัติงานของเจ้าหน้าที่ตำรวจ

5. ความจำเป็นอันชอบด้วยกฎหมายของผู้ควบคุมข้อมูล เช่น การบันทึกภาพกล้องวงจนปิดในพื้นที่สาธารณะ

6. ปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูล เช่น การเปิดเผยเงินเดือนพนักงานเพื่อนำส่งสำนักงานประกันสังคม 

ทั้งนี้สำหรับ ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (เช่น ข้อมูลด้านเชื้อชาติ ความเห็นทางการเมือง และพฤติกรรมทางเพศ) ห้ามมีการเก็บรวบรวม ใช้งาน หรือเปิดเผย ยกเว้นแต่

1. ใช้เพื่อป้องกันอันตรายต่อชีวิต

2. ชอบด้วยกฎหมายของสมาคม องค์กร หรือมูลนิธิ

3. ได้รับความยินยอมจากเจ้าของข้อมูล

4. ใช้เพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมาย

5. จำเป็นในการปฏิบัติตามกฎหมาย

สาม-บทลงโทษหากนำข้อมูลไปใช้โดยไม่รับความยินยอม

การนำข้อมูลไปใช้โดยไม่ได้รับความยินยอม ตามข้อบังคับ PDPA แล้วสามารถแบ่งความผิดออกได้ 3 ทางคือ ความผิดทางแพ่ง ความผิดทางปกครอง และ ความผิดทางอาญา

• บทลงโทษจากความผิดทางแพ่ง

ผู้ควบคุมข้อมูลจะต้องจ่ายค่าสินไหมทดแทนตามจริงให้แก่เจ้าของข้อมูล และอาจจ่ายมากกว่าตามความจริงได้หากมีคำสั่งจากศาล

• บทลงโทษจากความผิดทางปกครอง

1. ปรับไม่เกิน 1 ล้านบาท โดยอาจมาจากโทษ เช่น การใช้งานข้อมูลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของ DPO

2. ปรับไม่เกิน 3 ล้านบาทโดยอาจมาจากโทษ เช่น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย, หลอกลวงให้เข้าใจผิด, ไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม  

3. ปรับไม่เกิน 5 ล้านบาท หากมีการเก็บรวบรวม ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย

• บทลงโทษจากความผิดทางอาญา

1.หากผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลอ่อนไหว โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลหรือผิดจากวัตถุประสงค์ที่ได้แจ้งไว้ หรือ โอนข้อมูลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย แบ่งการลงโทษได้ 2 กรณี คือ

• จำคุกน้อยกว่า 6 เดือน หรือปรับน้อยกว่า 500,000 บาท หากการกระทำนั้นทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย 
• จำคุกน้อยกว่า 1 ปี หรือปรับน้อยกว่า 1,000,000 บาทเพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายส าหรับตนเองหรือผู้อื่น

2.หากผู้ที่รู้ข้อมูลเนื่องจากการปฏิบัติหน้าที่ นำไปเปิดเผยแก่ผู้อื่น หรือหาผลประโยชน์ มีโทษจำคุก น้อยกว่า 6 เดือน หรือปรับน้อยกว่า 500,000 บาท

3.หากผู้กระทำความผิดที่เป็นนิติบุคคล ที่กรรมการหรือผู้จัดการ หรือ บุคคลใดซึ่งรับผิดชอบในการดำเนินงานนั้น สั่งการหรือกระทำหรือละเว้นไม่สั่งการหรือไม่กระทำการจนเป็นเหตุให้กระทำความผิด ต้องรับโทษด้วย

สี่-องค์กรควรเตรียมตัวสำหรับ PDPA อย่างไร

องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ที่เป็นผู้กำหนดวัตถุประสงค์ วิธีการ และใช้ประโยชน์จากข้อมูลแล้ว ควรจะต้องสร้างความรู้ความเข้าใจในเรื่อง PDPA ให้แก่พนักงาน เนื่องจากพนักงานต้องปฏิบัติตามข้อกำหนดและหลักเกณฑ์การคุ้มครองข้อมูลส่วนบุคคลตามที่องค์กรกำหนด

รวมไปถึง จัดหา ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งจะต้องไม่ใชบุคคลากรภายในองค์กร เพื่อดำเนินการตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคล และ จัดมาตรการรักษาความปลอดภัยของข้อมูลที่เหมาะสม และจัดตั้ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) มีหน้าที่ตรวจสอบและการดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูล ไปจนถึงให้คำแนะนำแก่ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล

โดย DPO นี้ไม่มีข้อกำหนดว่าจะต้องมีกี่คน อีกทั้งยังสามารถ Outsource ได้โดยต้องแต่งตั้งจากผู้ควบคุมข้อมูลส่วนบุคคลโดยตรงเท่านั้น และหากมีการประมวลผลคล้ายกันในกลุ่มเครือบริษัทเดียวกันก็สามารถใช้ DPO เป็นคนเดียวหรือคณะเดียวกันได้ 

ห้า-ใครได้ประโยชน์จาก PDPA บ้าง

ด้วย PDPA เป็นพ.ร.บ.เพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้งาน เสริมสร้างความน่าเชื่อถือและไว้วางใจในการใช้งานเทคโนโลยีดิจิทัล ผู้ที่ได้ประโยชน์เป็นส่วนแรกจึงเป็นประชาชนทั่วไปผู้เป็นเจ้าของข้อมูล โดยการ

• รับทราบวัตถุประสงค์ในการเก็บข้อมูล

• สามารถขอให้ลบ หรือระงับการเผยแพร่ข้อมูลได้

• ร้องเรียนค่าสินไหมทดแทนได้หากพบว่าข้อมูลมีการนำไปใช้ผิดจากที่แจ้ง

• ลดความเดือดร้อนจากการละเมิดสิทธิส่วนบุคคล

นอกจากนี้ ยังช่วยยกระดับความเชื่อมั่น เพิ่มความโปร่งใสให้แก่หน่วยงานภาครัฐและองค์กรเอกชน รวมไปถึงช่วยสร้างมาตรการกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคลของประเทศได้อีกด้วย

อ้างอิง BOT, Ratchakitcha