PDPA คือ

กฏหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA คือ กฏหมายที่คุ้มครองข้อมูลส่วนบุคคลของคนไทย ไม่ว่าข้อมูลนั้นจะอยู่ในประเทศหรือต่างประเทศก็ตาม หากบริษัทที่เคยเก็บข้อมูลลูกค้าควรจะต้องปรับตัว ตั้งแต่ การเก็บข้อมูล, การใช้ข้อมูล, การควบคุมหากข้อมูลรั่วไหล โดยกฏหมายจะมีผลบังคับใช้ในวันที่ 27 พ.ค. 63

โดยมีไว้เพื่อ

  • เพื่อไม่ให้มีการละเมิดสิทธิความเป็นส่วนตัว
  • เพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลในกรณีที่ถูกละเมิดข้อมูลส่วนบุคคล

โดยมีบทลงโทษได้แก่

  • โทษทางอาญา จำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท
  • โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
  • โทษทางปกครองปรับไม่เกิน 5 ล้านบาท

ข้อมูลใดของผู้บริโภคอยู่บ้างที่เข้าข่าย ?

ความหมายของข้อมูลส่วนบุคคลตามพรบ.นี้ คือ ข้อมูลที่สามารถระบุตัวบุคคลได้ไม่ว่าจะทางตรงหรือทางอ้อม ที่ถูกเก็บทั้งแบบ Online และ Offline ซึ่งหมายความกว้างมาก คีย์อยู่ที่การทำให้การระบุตัวตนได้ เช่น

  • ชื่อ นามสกุล
  • หมายเลขโทรศัพท์
  • ที่อยู่
  • อีเมล
  • หมายเลขบัตรประจำตัวประชาชน
  • รูปถ่าย
  • ประวัติการทำงาน
  • อายุ ( หากเป็นเด็ก จะต้องระบุผู้ปกครองได้ และรับ consent จากผู้ปกครอง )

นอกจากนั้นก็ยังมี Personal Data Sensitive ข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่มีการควบคุมเข้มงวดขึ้นมาอีกขั้น

  • เชื้อชาติ
  • ชาติพันธุ์
  • ความคิดเห็นทางการเมือง ( ตย. เช่น social media monitoring tools ที่จับประเด็นการเมือง)
  • ความเชื่อทางศาสนา หรือ ปรัชญา ( ตย.เช่น บันทึกการลาบวช ของพนักงาน )
  • พฤติกรรมทางเพศ
  • ประวัติอาชญากรรม
  • ข้อมูลด้านสุขภาพ
  • ความพิการ
  • ข้อมูลสหภาพแรงงาน
  • ข้อมูลพันธุกรรม
  • ข้อมูลชีวภาพ
  • ข้อมูลสุขภาพ ( ตย. เช่น ใบรับรองแพทย์ )
  • หรือ ข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศกำหนด

ใจความของตัวพรบ. คือการให้สิทธิเหล่านี้แก่ของเจ้าของข้อมูล

  • สิทธิที่จะได้รับแจ้ง
  • สิทธิในการแก้ไข
  • สิทธิในการได้รับและโอนถ่ายข้อมูล
  • สิทธิในการเข้าถึง
  • สิทธิคัดค้าน
  • สิทธิในการลบ (ถูกลืม)
  • สิทธิในการจำกัด
  • สิทธิในการเพิกถอนคำยินยอม

โดยพรบ.กำหนดระยะในการทำตามคำร้องขอให้แล้วเสร็จภายใน 30 วัน

ข้อมูลก่อนวันที่ 27 พ.ค. 2563 ยังไม่ได้รับการคุ้มครอง แต่สามารถใช้สิทธิ์ในการเปลี่ยนแปลง ตรวจสอบ หรือลบ ข้อมูลได้ โดยแจ้งกับทางบริษัทที่เราเคยให้ข้อมูลได้เลย

มีข้อยกเว้นที่ชอบด้วยกฎหมาย ที่ทำให้การเก็บข้อมูลไม่ต้องได้รับความยินยอม

  1. เพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ วิจัย สถิติ  
  2. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต 
  3. มีความจำเป็นเพื่อปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลกับเจ้าของข้อมูล  
  4. มีความจำเป็นเพื่อดำเนินการเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูล หรือปฏิบัติหน้าที่ในการใช้ อำนาจรัฐที่ได้รับมอบหมายแก่ผู้คุ้มครองข้อมูลส่วนบุคคล  
  5. มีความจำเป็นในการดำเนินการเพื่อผลประโยชน์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูล แต่ต้องไม่ ก่อให้เกิดการละเมิดสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูล  
  6. เป็นการปฏิบัติตามกฎหมายของผู้คุ้มครองข้อมูลส่วนบุคคล

Source : 1 2 3 4