10 เรื่องต้องรู้เกี่ยวกับ PDPA

10 เรื่องต้องรู้เกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 The Personal Data Protection Act B.E. 2562 (พ.ร.บ. PDPA) ...

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 The Personal Data Protection Act B.E. 2562 (พ.ร.บ. PDPA) เป็นกฎหมายว่าด้วยการให้สิทธิกับเจ้าของข้อมูลส่วนบุคคล การสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้อย่างถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต มีผลบังคับใช้อย่างเป็นทางการ ตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นมา โดย พ.ร.บ. PDPA เป็นการคุ้มครองข้อมูลส่วนบุคคลซึ่งเป็นสิทธิมนุษยชนขั้นพื้นฐานที่แต่ละประเทศต่างให้ความสำคัญ และเป็นส่วนหนึ่งของการคุ้มครองสิทธิความเป็นส่วนตัวในชีวิตร่างกาย ความเป็นส่วนตัวในการติดต่อสื่อสาร และความเป็นส่วนตัวในเคหสถาน ทั้งนี้ เนื่องจากความเจริญก้าวหน้าทางเทคโนโลยีสารสนเทศที่เป็นไปอย่างรวดเร็ว การรับรู้ข้อมูลข่าวสารต่าง ๆ เป็นเรื่องที่สะดวกสบายมากขึ้น เมื่ออินเทอร์เน็ตได้เข้ามาเป็นสื่อที่มีบทบาทสำคัญในการติดต่อสื่อสารระหว่างกัน และเป็นสื่อที่ได้รับความนิยมอย่างแพร่หลายทำให้แทบทุกกิจกรรมที่เกิดขึ้น ล้วนแต่มีความเกี่ยวข้องกับอินเทอร์เน็ตทั้งสิ้นส่งผลให้ธุรกิจและธุรกรรมต่าง ๆ บนอินเทอร์เน็ตเกิดขึ้นมากมาย ในแต่ละวันข้อมูลนับล้านถูกส่งผ่านเครือข่ายเพื่ออำนวยความสะดวกให้กับการทำธุรกรรมทางอิเล็กทรอนิกส์ต่าง ๆ อย่างไรก็ตาม ในทางกลับกันเมื่อข้อมูลต่าง ๆ สามารถเข้าถึงได้ง่ายจึงอาจมีการนำข้อมูลเหล่านี้ไปใช้โดยละเมิดต่อบุคคลอื่น ซึ่งอาจทำให้เกิดความเสียหายหรือสูญหายของข้อมูลหรืออาจถูกนำข้อมูลไปใช้ในทางที่ผิด และหลายครั้งก็นำมาซึ่งความเดือดร้อนรำคาญหรือสร้างความเสียหายให้แก่เจ้าของข้อมูล ส่งผลกระทบต่อเศรษฐกิจโดยรวมของประเทศได้ด้วย ดังนั้น จึงต้องมี พ.ร.บ. PDPA ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลขึ้น เพื่อกำหนดหลักเกณฑ์ กลไก หรือ มาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่รวมถึงการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขึ้น

ทั้งนี้ ประชาชนหรือเจ้าของข้อมูลส่วนบุคคล ควรสร้างความรู้ความเข้าใจสาระสำคัญ 10 ข้อ เกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังนี้

1. ข้อมูลส่วนบุคคล

   ข้อมูลส่วนบุคคลสามารถแบ่งได้ 2 ประเภท¹

   1. ข้อมูลส่วนบุคคลทั่วไป คือ ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคล (บุคคลธรรมดา) นั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ นามสกุล ที่อยู่ หมายเลขโทรศัพท์ หมายเลขประจำตัวประชาชน อีเมล บัญชีธนาคาร เป็นต้น
   2. ข้อมูลส่วนบุคคลอ่อนไหว คือ ข้อมูลเกี่ยวกับบุคคลที่โดยสภาพมีความละเอียดอ่อนและสามารถก่อให้เกิดความเสี่ยงต่อสิทธิเสรีภาพหรืออาจถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรมต่อเจ้าของข้อมูลส่วนบุคคลได้ ได้แก่ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ฯลฯ
2. ผู้ควบคุมข้อมูลส่วนบุคคล กับ หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

   ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการให้สอดคล้องกับเหตุหรือฐานตามกฎหมาย ซึ่งการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องอยู่ภายใต้เงื่อนไขข้อจำกัดต่าง ๆ ตามกฎหมาย กล่าวคือ ผู้ควบคุมข้อมูลส่วนบุคคลต้องเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลอย่างจำกัด ตามวัตถุประสงค์ที่แจ้งไว้ก่อนหรือขณะเก็บรวบรวม (ห้ามใช้นอกเหนือวัตถุประสงค์)²

3. ผู้ควบคุมข้อมูลส่วนบุคคล กับ หลักการใช้ข้อมูลให้น้อยที่สุดเท่าที่จำเป็น (Data Minimization)

   ผู้ควบคุมข้อมูลส่วนบุคคล ต้องเก็บรวบรวมข้อมูลส่วนบุคคลของเราเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย

   หลักการใช้ข้อมูลให้น้อยที่สุดเท่าที่จำเป็น (Data Minimization) คือ การเก็บรวบรวมข้อมูลส่วนบุคคลให้เก็บรวบรวมได้เท่าที่จำเป็นภายใต้วัตถุประสงค์ โดยต้องพิจารณาองค์ประกอบ 3 ประการ คือ เพียงพอ เกี่ยวข้อง และจำกัด เพื่อป้องกันการเก็บรวบรวมข้อมูลมากเกินไป³

4. ความยินยอม

   ความยินยอมเป็นฐานการประมวลผลฐานหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ในการกำหนดฐานการประมวลผลให้สอดคล้องกับลักษณะการประมวลผลและความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับเจ้าของข้อมูลส่วนบุคคล ซึ่งในหลาย ๆ กรณีองค์กรอาจใช้ข้อมูลของเราได้จากฐานสัญญา (มีสัญญาต่อกัน) หรือมีประโยชน์โดยชอบด้วยกฎหมายอื่นๆ ตามที่กฎหมายกำหนด

   ในการขอความยินยอมต้องพิจารณาดังนี้⁴

   1. ความยินยอมต้องขอก่อนจะมีการประมวลผล
   2. ความยินยอมต้องไม่เป็นเงื่อนไขในการให้บริการ ต้องมีอิสระ
   3. ความยินยอมต้องอยู่แยกส่วนกับเงื่อนไขในการให้บริการ
   4. วัตถุประสงค์ของการประมวลผลข้อมูลต้องเฉพาะเจาะจง
   5. ความยินยอมต้องชัดเจนไม่คลุมเครือ
   6. ออกแบบทางเลือกให้สามารถปฏิเสธที่จะให้ความยินยอมได้
   7. เนื้อหาความยินยอมเข้าใจง่ายและเข้าถึงง่าย
5. การขอความยินยอม

   การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลนั้น ต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคล โดยคำว่าอิสระนั้นต้องอยู่บนพื้นฐานของการมีทางเลือกอย่างแท้จริง (Real Choice) ดังนั้น ความยินยอมที่เป็นอิสระเป็นกรณีที่เจ้าของข้อมูลส่วนบุคคลเลือกว่าจะยินยอมหรือไม่ แม้เจ้าของข้อมูลส่วนบุคคลจะไม่ให้ความยินยอมย่อมสามารถเข้ารับบริการได้

   การขอความยินยอมต้องทำโดยชัดแจ้งเป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่ โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้

   นอกจากนี้ ในการขอความยินยอมผู้ควบคุมข้อมูลส่วนบุคคลต้องให้อิสระในการตัดสินใจแก่เจ้าของข้อมูล ต้องไม่ถือเอาความยินยอมในการเก็บและใช้ข้อมูลเป็นเงื่อนไขในการเข้าทำสัญญาหรือการให้บริการต่าง ๆ โดยเจ้าของข้อมูลที่ให้ความยินยอมไปแล้วหากเปลี่ยนใจก็มีสิทธิจะถอนความยินยอมเมื่อใดก็ได้ ผู้ควบคุมข้อมูลส่วนบุคคล ต้องจัดช่องทางไว้ให้ถอนความยินยอมได้โดยง่ายเช่นเดียวกับการให้ความยินยอม⁵

6. เจ้าของข้อมูลส่วนบุคคล มีสิทธิ การเก็บและใช้ข้อมูล ถูกตรวจสอบโดยคณะกรรมการผู้เชี่ยวชาญ
   1. สิทธิได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice)เป็นสิทธิที่เจ้าของข้อมูลส่วนบุคคลทุกคนได้รับโดยไม่ต้องมีการร้องขอ โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งวัตถุประสงค์และรายละเอียดของการประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบไม่ว่าจะด้วยวิธีการใดก็ตามเพื่อให้เจ้าของข้อมูลส่วนบุคคลรู้ว่าข้อมูลของตนจะถูกนำไปใช้ทำอะไร
   2. สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้ (Right to Withdraw Consent)กรณีที่ได้ให้ความยินยอมไว้ เจ้าของข้อมูลส่วนบุคคลมีสิทธิที่จะเพิกถอนความยินยอมเมื่อใดก็ได้ เมื่อผู้ควบคุมข้อมูลส่วนบุคคลได้รับคำขอการเพิกถอนจากเจ้าของข้อมูลส่วนบุคคลแล้ว จะต้อง “แจ้งถึงผลกระทบ” จากการถอนความยินยอมและ “หยุดการประมวลผล”
   3. สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล (Right to Access)
   4. สิทธิขอให้โอนข้อมูลส่วนบุคคล (Right to Data Portability)
   5. สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to Objection)
   6. สิทธิขอให้ลบหรือทําลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (Right to Erasure)เจ้าของข้อมูลส่วนบุคคลมีสิทธิยื่นคำร้อง ขอลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุถึงตนได้ ตามเงื่อนไขที่กฎหมายกำหนด กรณีที่มีการส่งต่อหรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อสาธารณะแล้ว ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการแจ้งให้ลบข้อมูลส่วนบุคคลดังกล่าวด้วย
   7. สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
   8. สิทธิขอให้แก้ไขข้อมูลส่วนบุคคลเจ้าของข้อมูลมีสิทธิร้องขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการแก้ไขข้อมูลที่ไม่ถูกต้องของเจ้าของข้อมูลส่วนบุคคลเพื่อให้ข้อมูลถูกต้องตรงกับข้อเท็จจริง ข้อมูลเป็นปัจจุบันและสมบูรณ์และไม่ก่อให้เกิดความเข้าใจผิด⁶
7. PDPA ใช้กับการประมวลผลข้อมูลส่วนบุคคล

   PDPA ใช้กับการประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในประเทศไทย ไม่ว่าจะมีสัญชาติใดโดยจะแบ่งเป็น 2 กรณี คือ ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่ในราชอาณาจักร และผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่นอกราชอาณาจักร

   1. ใช้บังคับกับกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่ในประเทศไทย
   2. ใช้บังคับกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่นอกประเทศไทย หากมีกิจกรรม ดังนี้⁷
      1. เสนอขายสินค้าหรือบริการให้เจ้าของข้อมูลส่วนบุคคลที่อยู่ในประเทศไทย
      2. เฝ้าติดตามเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในประเทศไทย
8. กรณีการละเมิดข้อมูลส่วนบุคคล

   ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคล กับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้า ภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย⁸

9. การจัดทำบันทึกรายการ

   ผู้ควบคุมข้อมูลส่วนบุคคลบันทึกรายการ เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้ โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้ อย่างน้อยต้องมีรายละเอียดดังนี้⁹

   1. ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม โดยให้มีคำอธิบายประเภทของข้อมูลส่วนบุคคลด้วย
   2. วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
   3. ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล ตัวแทนและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (ถ้ามี) รวมถึงช่องทางการติดต่อ
   4. ระยะเวลาการเก็บรักษาและการลบข้อมูลส่วนบุคคลประเภทต่างๆ
   5. สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
   6. การใช้หรือเปิดเผยข้อมูลที่ได้รับยกเว้นไม่ต้องขอความยินยอม
   7. การปฏิเสธคำขอหรือการคัดค้านตามคำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย
10. สิทธิร้องเรียน

    เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่มีการฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือประกาศฯ ที่ออกตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทั้งนี้ กระบวนการร้องเรียนในการยื่นการไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลา ในการพิจารณาคำร้องเรียนให้เป็นไปตามระเบียบที่คณะกรรมการประกาศกำหนด โดยคำนึงถึงการกำหนดให้ไม่รับเรื่องร้องเรียนหรือยุติเรื่องในกรณีที่มีผู้มีอำนาจพิจารณาในเรื่องนั้นอยู่แล้วตามกฎหมายอื่นด้วย¹⁰

สำนักงานคณะกรรมการนโยบายที่ดินแห่งชาติ ตระหนักถึงความสำคัญและให้ความสนใจเกี่ยวกับหลักการ PDPA เป็นอย่างมาก เนื่องจากเป็นกฎหมายที่มีหลักการเกี่ยวกับการให้สิทธิกับเจ้าของข้อมูลส่วนบุคคล อีกทั้งยังสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้มีความปลอดภัยและนำไปใช้อย่างถูกวัตถุประสงค์ อย่างไรก็ดี หากศึกษาบทความนี้จะได้รับความรู้เบื้องต้น ในการใช้ชีวิตประจำวันได้อย่างระมัดระวังปลอดภัยและรักษาผลประโยชน์ของท่านอย่างถึงที่สุด

อ้างอิง

¹ วันพิชิต ชินตระกูลชัย. (2564). ข้อมูลส่วนบุคคล ข้อมูลอ่อนไหว คืออะไร มีกี่ประเภท มีอะไรบ้าง?. เข้าถึงเมื่อ 12 มีนาคม 2567 จาก https://openpdpa.org/personal-data-type/

² พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562, ราชกิจจานุเบกษา เล่มที่ 136 ตอนที่ 69 ก (27 พฤษภาคม 2562)

³ แหล่งเดียวกัน.

⁴ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล. (2565). “ความยินยอม” ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล. เข้าถึงเมื่อ 12 มีนาคม 2567 จาก https://www.dpoaas.co.th/content/5787/

⁵ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม. (2559). แนวทางการดำเนินการในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562. เข้าถึงเมื่อ 12 มีนาคม 2567 จากhttps://www.mdes.go.th/law/detail/6045

⁶ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562, ราชกิจจานุเบกษา เล่มที่ 136 ตอนที่ 69 ก (27 พฤษภาคม 2562).

⁷ แหล่งเดียวกัน.

⁸ PDPA Thailand. (2566). ใครต้องรับผิดชอบ? หากเกิดการละเมิดข้อมูลส่วนบุคคลตามบทบัญญัติของกฎหมาย PDPA. เข้าถึงเมื่อ 12 มีนาคม 2567 จาก https://pdpathailand.com/news-article/responsible-pdpa/

⁹ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562, ราชกิจจานุเบกษา เล่มที่ 136 ตอนที่ 69 ก (27 พฤษภาคม 2562).

¹⁰ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562, ราชกิจจานุเบกษา เล่มที่ 136 ตอนที่ 69 ก (27 พฤษภาคม 2562).