Site icon ดูกีฬาออนไลน์

PDPA คืออะไร? พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562

PDPA คืออะไร ? ในยุคดิจิทัลที่ข้อมูลส่วนบุคคลมีความคุ้มครองและความเป็นส่วนตัวอาจถูกละเมิดอย่างรวดเร็ว เพื่อรักษาความเป็นส่วนตัวและความปลอดภัยของข้อมูลของบุคคลทุกคน กฎหมายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act: PDPA) จึงถูกบัญญัติขึ้นเพื่อเป็นประกันการใช้ข้อมูลส่วนบุคคลในทางที่ถูกต้องและสร้างความน่าเชื่อถือในสังคมดิจิทัล

PDPA คืออะไร ?

PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นกฎหมายที่ถูกสร้างมาเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลของทุกคน รวมถึงการจัดเก็บข้อมูลและนำไปใช้โดยไม่ได้แจ้งให้ทราบ และไม่ได้รับความยินยอมจากเจ้าของข้อมูลเสียก่อน

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 27 (Personal Data Protection Act: PDPA Law Thailand) คือกฎหมายฉบับใหม่ที่ออกมาเพื่อแก้ไขปัญหาการถูกล่วงละเมิดข้อมูลส่วนบุคคลที่เพิ่มมากขึ้นเรื่อย ๆ ในปัจจุบัน เช่น การซื้อขายข้อมูลเบอร์โทรศัพท์และข้อมูลส่วนตัวอื่น ๆ โดยที่เจ้าของข้อมูลไม่ยินยอม ที่มักพบและเป็นปัญหาได้มากในรูปแบบการโทรมาโฆษณา หรือล่อลวง

โดยกฎหมายนี้ได้เริ่มบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิ.ย. 2565 เป็นกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้

PDPA มีที่มาอย่างไร ?

กฎหมาย PDPA ถอดแบบมาจากกฎหมายต้นแบบอย่างกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (United Nations) วัตถุประสงค์ของการเก็บรักษาข้อมูลส่วนบุคคลของกฎหมายทั้ง 2 ฉบับ ก็เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีทำการแฮ็กข้อมูลหรือละเมิดความเป็นส่วนตัวเพื่อข่มขู่หวังผลประโยชน์จากทั้งจากตัวเจ้าของข้อมูลเองหรือจากบุคคลที่ดูแลข้อมูล

PDPA มีความสำคัญอย่างไร ?

ความสำคัญของ PDPA คือ การมอบความชอบธรรมให้ “เจ้าของข้อมูล” มีสิทธิในข้อมูลส่วนตัวที่ถูกจัดเก็บไปแล้ว หรือข้อมูลที่กำลังจะถูกจัดเก็บมากขึ้น เพื่อสร้างความปลอดภัยและเป็นส่วนตัวให้แก่เจ้าของข้อมูล ได้แก่ สิทธิการรับทราบและยิมยอมการเก็บข้อมูลส่วนตัว และสิทธิในการขอเข้าถึงข้อมูลส่วนตัว คัดค้านและเพิกถอนการเก็บและนำข้อมูลไปใช้ และสิทธิขอให้ลบหรือทำลายข้อมูลส่วนตัว

สิทธิที่เพิ่มขึ้นของเจ้าของข้อมูล ทำให้ผู้ประกอบการขององค์กรและบริษัทต่าง ๆ ต้องปรับเปลี่ยนกระบวนการเก็บรวบรวมและนำข้อมูลส่วนตัวของเจ้าของข้อมูลไม่ว่าจะเป็นลูกค้า พนักงานในองค์กร หรือบุคคลใด ๆ ที่เกี่ยวข้องให้เป็นไปตามหลักปฏิบัติของ PDPA หรือ พรบ.คุ้มครองข้อมูลส่วนบุคคล

องค์ประกอบของกฎหมาย PDPA

บุคคลที่ต้องปฎิบัติตามกฎหมาย PDPA ประกอบด้วย เจ้าของข้อมูลส่วนบุคคล (Data Subject) และผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) โดยผู้ควบคุมข้อมูลส่วนบุคคลนั้นเปรียบเสมือนผู้ดูแลระบบ เป็นฝ่ายปฏิบัติงาน มีหน้าที่เก็บรวบรวม และนำข้อมูลส่วนบุคคลที่ขอความยินยอม (Consent) จากเจ้าของข้อมูลไปใช้ ยกตัวอย่างเช่น เว็บไซต์ขายของออนไลน์ ตัวผู้จัดทำเว็บไซต์ก็จะต้องขอข้อมูลทั้งชื่อ ที่อยู่ เบอร์โทรศัพท์ ข้อมูลการจ่ายเงิน เพื่อนำไปดำเนินการสั่งซื้อและจัดส่งสินค้าไปยังที่อยู่ของเจ้าของข้อมูล ซึ่ง PDPA เมื่อได้ข้อมูลมาแล้ว ก็ต้องจัดให้มีมาตรการรักษาความปลอดภัยข้อมูลด้วย

บทลงโทษจากการละเมิดตามกฎหมาย PDPA

การพิจารณาลงโทษตาม พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พิจารณาบทลงโทษใน 3 ลักษณะ คือ ความรับผิดทางแพ่ง โทษอาญา และโทษทางปกครอง ดังนี้

โทษทางแพ่ง

บุคคลหรือนิติบุคคลที่มีสถานะเป็นผู้ควบคุมข้อมูล (Data Controller) และผู้ประมวลผลข้อมูล (Data Processor) หากมีการฝ่าฝืน หรือไม่ปฏิบัติตามกฎหมาย PDPA  จนทำให้เกิด ความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะจงใจหรือประมาทเลินเล่อ ต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคลตามความเสียหายที่เกิดขึ้น หรือคณะกรรมการคุ้มครองข้อมูลฯ อาจพิจารณาเพิ่มโทษเป็น 2 เท่าจากความเสียงหายจริงที่เกิดขึ้น คำนวณง่ายๆ ก็คือ ค่าปรับจริง + 2 เท่าของค่าปรับ = เงินค่าสินไหมทดแทนที่ต้องจ่าย

โทษทางอาญา

กฎหมาย PDPA กำหนดโทษอาญาไว้ 2 ลักษณะ คือ ปรับเงิน กับ จำคุก หรือทั้งจำทั้งปรับ แล้วแต่กรณีดังนี้

ทั้งนี้ ในกรณีผู้กระทำผิดเป็น ‘นิติบุคคล’ ซึ่งเกิดจากการสั่งการของกรรมการ ผู้จัดการ หรือผู้รับผิดชอบในงานนั้น หรือละเว้นที่จะสั่งการเป็นเหตุให้เกิดการทำผิดกฎหมาย PDPA บุคคลดังกล่าวจะต้องรับโทษ ตามบทลงโทษที่กฎหมายบัญญัติไว้ในความผิดนั้นด้วย

อย่างไรก็ตาม การกำหนดโทษจะดูจากพฤติการณ์ต่างๆ เช่น ความร้ายแรงของพฤติการณ์ ผลประโยชน์ที่ผู้ควบคุมข้อมูล หรือผู้ประมวลผลข้อมูลได้รับ ตลอดจนสถานะทางการเงิน การบรรเทาในส่วนที่เกิดความเสียหาย หรือกล่าวให้ง่ายกว่านั้นคือขึ้นอยู่ที่ดุลยพินิจของคณะกรรมการคุ้มครองข้อมูลฯ ซึ่งบทลงโทษอาจรวมทั้ง ความรับผิดทางแพ่ง โทษอาญา และโทษทางปกครองร่วมด้วย

โทษทางปกครอง

กรณีบุคคล หรือนิติบุคคล มีเก็บรวบรวมข้อมูลส่วนบุคคล ภายใต้ ‘วัตถุประสงค์อันชอบด้วยกฎหมาย’ ซึ่งกฎหมาย PDPA อนุญาตให้ทำได้โดยอ้างอิงจาก ฐานสัญญา หรือฐานประโยชน์โดยชอบตามกฎหมาย แต่ต้องมีการดำเนินการตามที่กฎหมายบัญญัติไว้ ถือว่าได้ละเมิดกฎหมาย PDPA มีการแบ่ง โทษทางปกครอง 3 ส่วน สำหรับผู้ควบคุมข้อมูล –ผู้ประมวลผลข้อมูลหรือตัวแทนผู้ควบคุมข้อมูล ดังนี้ :

โทษของผู้ควบคุมข้อมูล ปรับสูงสุดไม่เกิน 5,000,000 บาท จากกรณีดังนี้

โทษของผู้ประมวลผลข้อมูล และตัวแทนผู้ควบคุมข้อมูล  ปรับสูงสุดไม่เกิน 5,000,000 บาท จากกรณีดังนี้

ทั้งนี้โดยสรุป คณะกรรมการผู้เชี่ยวชาญมีอำนาจสั่งลงโทษปรับทางปกครองตามที่กำหนดไว้ หรือสั่งให้แก้ไข หรือตักเตือนก่อนก็ได้ จากข้อมูลเรื่องค่าปรับ ค่าสินไหมทดแทน และโทษทางปกครองที่ต้องจ่ายหากบุคคลหรือนิติบุคคลมีการละเมิดกฎหมาย จะโดยจงใจหรือประมาทก็ตาม ผู้ประกอบการสามารถเตรียมความพร้อมก่อนกฎหมายบังคับใช้ หรือการแต่งตั้งเจ้าหน้าที่ DPO เพื่อให้การดำเนินการขององค์กรสามารถลดความเสี่ยงที่อาจมีการละเมิดกฎหมายได้ ซึ่งเป็นแนวทางที่ทุกองค์กรควรดำเนินการ ขณะเดียวกัน ธุรกิจขนาดเล็ก หรือ SME หากไม่ได้มีการเก็บข้อมูลส่วนบุคคลเป็นจำนวนมาก หรือมีการประมวลผลข้อมูลส่วนบุคคลเป็นครั้งคราว อาจพิจารณาแต่งตั้งเจ้าหน้าที่ประสานงานข้อมูลส่วนบุคคลที่มีความรู้ ความเข้าใจเรื่องกฎหมาย PDPA ก็จะเป็นแนวที่ที่สามารถลดความสี่ยงจากการละเมิดกฎหมายได้เช่นกัน

ติดตามคอนเทนท์อื่นๆ ที่น่าสนใจได้ที่ Jahnnoom.com

Exit mobile version