PDPA-สุดารัตน์.

PDPA

พ.ร.บ. คมุ้ ครองขอ้ มลู สว่ นบคุ คล หรอื PDPA ยอ่ มาจาก Personal Data Protection Act เป็ นบทบัญญตั ทิ ีใ่ หค้ วามคมุ้ ครองขอ้ มลู ส่วนบคุ คลของ “บคุ คลธรรมดา” ใหส้ ทิ ธใิ นการ แกไ้ ข, เขา้ ถงึ หรือแจง้ ลบขอ้ มลู ที่ใหไ้ วก้ ับองคก์ รเป็ นตน้ และกาหนดบทบาทหนา้ ท่ีและ บทลงโทษหากองคก์ รไม่ปฏบิ ัตติ าม เป็ นกฎหมายใหม่ท่อี อกมาเพื่อแกไ้ ขปัญหาการถกู ลว่ ง ละเมิดขอ้ มลู สว่ นบคุ คลท่ีเพิม่ มากขนึ้ เร่ือยๆ ในปัจจบุ นั เช่น การซอื้ ขายขอ้ มลู เบอรโ์ ทรศัพท์ และขอ้ มลู ส่วนตวั อน่ื ๆ โดยท่ีเจา้ ของขอ้ มลู ไม่ยนิ ยอม ท่ีมกั พบไดม้ ากในรปู แบบการโทรมา โฆษณา หรือล่อลวง โดยกฎหมายนีไ้ ดเ้ รม่ิ บังคบั ใชอ้ ยา่ งเตม็ รปู แบบเมื่อวนั ที่ 1 ม.ิ ย. 2565 เป็ นกฎหมายทใ่ี ห้ ความคมุ้ ครองขอ้ มลู ส่วนบคุ คล เช่น ช่อื ท่ีอยู่ เบอรโ์ ทรศัพท์ รปู ถา่ ย บัญชีธนาคาร อีเมล ไอดไี ลน์ บญั ชผี ใู้ ชข้ องเว็บไซต์ ลายน้วิ มอื ประวตั สิ ขุ ภาพ เป็ นตน้ ซ่ึงขอ้ มลู เหล่านีส้ ามารถ ระบถุ ึงตวั เจา้ ของขอ้ มลู นัน้ ได้ อาจเป็ นไดท้ ั้งขอ้ มลู ในรปู แบบเอกสาร กระดาษ หนงั สอื หรือ จัดเก็บในรปู แบบอิเล็กทรอนกิ สก์ ็ได้

PDPA มคี วามเป็ นมาอย่างไร? กฎหมาย PDPA เรยี กไดว้ า่ ถอดแบบมาจากกฎหมายตน้ แบบอยา่ งกฎหมาย GDPR (General Data Protection Regulation) ซึง่ เป็ นกฎหมายคมุ้ ครองขอ้ มลู สว่ นบคุ คลของ สหภาพยโุ รป วัตถปุ ระสงคข์ องการเก็บรกั ษาขอ้ มลู ส่วนบคุ คลของกฎหมายทง้ั 2 ฉบบั ก็เพ่ือป้ องกันไมใ่ หผ้ ไู้ ม่ประสงคด์ ที าการแฮ็กขอ้ มลู หรอื ละเมดิ ความเป็ นสว่ นตวั เพอื่ ขม่ ขหู่ วงั ผลประโยชนจ์ ากท้ังจากตวั เจา้ ของขอ้ มลู เองหรือจากบคุ คลทดี่ แู ลขอ้ มลู PDPA สาคญั อยา่ งไร? ความสาคญั ของ PDPA คือการทาใหเ้ จา้ ของขอ้ มลู มีสิทธิในขอ้ มลู ส่วนตวั ทถี่ กู จดั เก็บไป แลว้ หรอื กาลังจะถกู จดั เก็บมากขนึ้ เพอื่ สรา้ งความปลอดภยั และเป็ นส่วนตวั ใหแ้ ก่ เจา้ ของขอ้ มลู โดยมสี ิทธิทีส่ าคญั คือ สทิ ธกิ ารรับทราบและยมิ ยอมการเก็บขอ้ มลู ส่วนตวั และสทิ ธิในการขอเขา้ ถึงขอ้ มลู สว่ นตวั คัดคา้ นและเพิกถอนการเก็บและนา ขอ้ มลู ไปใช้ และสทิ ธิขอใหล้ บหรือทาลายขอ้ มลู ส่วนตวั สทิ ธทิ ีเ่ พิ่มขน้ึ ของเจา้ ของขอ้ มลู ทาใหผ้ ปู้ ระกอบการขององคก์ รและบริษทั ต่าง ๆ ตอ้ ง ปรับเปลย่ี นกระบวนการเก็บรวบรวมและนาขอ้ มลู ส่วนตวั ของเจา้ ของขอ้ มลู ไมว่ า่ จะเป็ น ลกู คา้ พนกั งานในองคก์ ร หรอื บคุ คลใด ๆ ทเ่ี กีย่ วขอ้ งใหเ้ ป็ นไปตามหลักปฏบิ ตั ขิ อง PDPA พ.ร.บ.คมุ้ ครองขอ้ มลู สว่ นบคุ คล โดยหากคณุ เป็ นผปู้ ระกอบการ หรอื เป็ นตวั แทนองคก์ รท่ดี าเนนิ การเรื่อง PDPA วันน้ี เราจะช่วยคณุ เปล่ียนแนวทางการดาเนนิ งานเพ่อื ใหส้ อดคลอ้ งกับกฎหมาย PDPA กัน หากคณุ ตอ้ งการเก็บรวบรวมขอ้ มลู ประมวลผลขอ้ มลู นาขอ้ มลู ไปใช้ รวมถึงการเก็บ รักษาและดแู ลความปลอดภยั ของขอ้ มลู สว่ นบคุ คคลของลกู คา้ และบคุ คลทเ่ี กีย่ วขอ้ ง คณุ จะตอ้ งดาเนนิ การตามขน้ั ตอนต่อไปน้โี ดยด่วน เพราะในขณะนปี้ ระเทศไทยไดเ้ รมิ่ บงั คับใช้ พ.ร.บ. PDPA แลว้ หากคณุ ไม่ดาเนินการตามหลกั ของ PDPA คณุ อาจตอ้ งรับ โทษรา้ ยแรงทง้ั ทางแพง่ อาญา และปกครอง

องคป์ ระกอบสาคัญของ PDPA บคุ คลทตี่ อ้ งปฏบิ ตั ติ ามกฎหมาย PDPA ประกอบดว้ ย เจา้ ของขอ้ มลู สว่ นบคุ คล (Data Subject) และผคู้ วบคมุ ขอ้ มลู สว่ นบคุ คล (Data Controller) โดยผคู้ วบคมุ ขอ้ มลู สว่ นบคุ คลนน้ั เปรียบเสมือนผดู้ แู ลระบบ เป็ นฝ่ ายปฏิบัติงาน มหี นา้ ทีเ่ ก็บ รวบรวม และนาขอ้ มลู ส่วนบคุ คลทีข่ อความยินยอม (Consent) จากเจา้ ของขอ้ มลู ไปใช้ ยกตวั อยา่ งเช่น เว็บไซตข์ ายของออนไลน์ ตวั ผจู้ ัดทาเว็บไซตก์ ็จะตอ้ งขอ ขอ้ มลู ทั้งช่อื ท่อี ยู่ เบอรโ์ ทรศพั ท์ ขอ้ มลู การจ่ายเงนิ เพ่อื นาไปดาเนินการสงั่ ซอื้ และ จดั สง่ สนิ คา้ ไปยงั ที่อย่ขู องเจา้ ของขอ้ มลู ซ่งึ PDPA เมื่อไดข้ อ้ มลู มาแลว้ ก็ตอ้ งจดั ใหม้ ีมาตรการรักษาความปลอดภยั ขอ้ มลู ดว้ ย ขน้ั ตอนการทาตาม PDPA ตอ้ งทาอย่างไร ? STEP 1 การเก็บรวบรวมขอ้ มลู ส่วนบคุ คล 1. จดั ทา Privacy Policy แจง้ ใหเ้ จา้ ของขอ้ มลู สว่ นบคุ คลทราบ องคก์ รหรือเจา้ ของเว็บไซตส์ ามารถแจง้ เจา้ ของขอ้ มลู ผ่าน Privacy Policy บนเว็บไซต์ หรือแอปพลเิ คชนั หรอื ช่องทางการตดิ ต่ออน่ื ๆ เช่น การลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชยี ลมเี ดยี • แจง้ ว่าจะขอเก็บขอ้ มลู อะไรบา้ ง เพือ่ วตั ถปุ ระสงคใ์ ด • แจง้ สิทธขิ องเจา้ ของขอ้ มลู โดยสามารถถอนความยินยอมไดท้ กุ เมื่อ • ขอ้ ความอ่านเขา้ ใจงา่ ย ชดั เจน ใชภ้ าษาไม่กากวม ไม่มีเงอ่ื นไขในการยนิ ยอม 2. การจดั การเว็บไซต์ แอปพลิเคชนั และ Third-party นอกจากการจัดทา Privacy Policy ผ่านเว็บไซตห์ รอื แอปพลเิ คชนั แลว้ การขอจัดเก็บ Cookie ก็จะตอ้ งแจง้ เพื่อขอความยินยอมใหใ้ ชข้ อ้ มลู ส่วนบคุ คลจากผใู้ ชง้ านดว้ ย ซ่งึ ที่เราพบเห็นไดท้ วั่ ไป มกั แจง้ ขอเก็บ Cookie เป็ น Pop up เล็ก ๆ ทางดา้ นล่างเว็บไซต์ คลกิ Cookie Wow เพ่อื จดั ทา Cookie Consent Banner เพียงไมก่ น่ี าที สว่ น Third Party ทเี่ ก็บขอ้ มลู สว่ นบคุ คล เชน่ เว็บไซตโ์ ฆษณาท่ีทาการตลาด ก็ตอ้ งระบุ วัตถปุ ระสงคแ์ ละขอความยินยอมการเก็บรวบรวมขอ้ มลู ไวใ้ น Privacy Policy ดว้ ย

3. การเก็บขอ้ มลู พนกั งาน สาหรับการเก็บขอ้ มลู ส่วนบคุ คลของพนกั งานนน้ั ก็ตอ้ งจดั ทานโยบายความ เป็ นส่วนตวั สาหรบั พนกั งานหรือ HR Privacy Policy เพื่อแจง้ วัตถปุ ระสงคใ์ น การประมวลผลขอ้ มลู สว่ นบคุ คลของพนกั งานเชน่ เดียวกัน แนะนาว่าสาหรับ พนกั งานเกา่ ใหแ้ จง้ Privacy Policy เป็ นเอกสารใหม่ สว่ นพนกั งานใหม่ ใหแ้ จง้ ในใบสมคั ร 1 คร้ัง และแจง้ ในสัญญาจา้ ง 1 ครงั้ คลิก PDPA Pro เพือ่ สรา้ ง Privacy Policy สรา้ ง HR Privacy Policy ถกู ตอ้ งตาม PDPA STEP 2 การใชห้ รือประมวลผลขอ้ มลู สว่ นบคุ คล แต่ละฝ่ ายในองคก์ รควรร่วมกาหนดแนวทางหรือนโยบายในการดาเนนิ การดา้ น ขอ้ มลู ส่วนบคุ คล (Standard Operating Procedure) และบนั ทึกรายการขอ้ มลู ส่วน บคุ คลท่ีมกี ารเก็บหรือใช้ (Records of Processing Activity: ROPA) ทง้ั ขอ้ มลู ทจี่ ดั เก็บ ในฐานขอ้ มลู อิเล็กทรอนกิ ส์ ขอ้ มลู เอกสารทจี่ บั ตอ้ งได้ ขอ้ มลู สว่ นบคุ คลทวั่ ไป ขอ้ มลู ส่วนบคุ คลที่อ่อนไหว (Sensitive Personal Data) ซึง่ เป็ นขอ้ มลู ที่ระบตุ วั บคุ คลได้ เฉพาะเจาะจงมากขนึ้ เชน่ เชอื้ ชาติ ความคิดเห็นทางการเมือง ศาสนา พฤตกิ รรม ทางเพศ ประวัตอิ าชญากรรม ขอ้ มลู สขุ ภาพ ขอ้ มลู สหภาพแรงงาน ขอ้ มลู พันธกุ รรม ขอ้ มลู ชวี ภาพ (face ID, ลายน้วิ มอื ) รวมถงึ หา้ มเปิ ดเผยขอ้ มลู สว่ น บคุ คลใหก้ ับบคุ คลทีไ่ มม่ คี วามรับผิดชอบโดยตรง STEP 3 มาตรการดา้ นความปลอดภยั ของขอ้ มลู สว่ นบคุ คล กาหนดแนวทางอย่างนอ้ ยตามมาตรฐานขนั้ ตา่ ดา้ นการรักษาความปลอดภยั ขอ้ มลู สว่ นบคุ คล (Minimum Security Requirements) ไดแ้ ก่ การรักษาความลบั (Confidentiality) ความถกู ตอ้ งครบถว้ น (Integrity) และสภาพพรอ้ มใชง้ าน (Availability) ซ่ึงควรครอบคลมุ ถงึ มาตรการป้ องกันดา้ นการบรหิ ารจดั การ (Administrative Safeguard) มาตรการป้ องกันดา้ นเทคนิค (Technical Safeguard) และมาตรการป้ องกนั ทางกายภาพ (Physical Safeguard) ในเรอ่ื งการเขา้ ถึงหรอื ควบคมุ การใชง้ านขอ้ มลู สว่ นบคุ คล (Access Control) ตามประกาศกระทรวง ดจิ ทิ ลั เพือ่ เศรษฐกจิ และสังคม กาหนดนโยบายรักษาระยะเวลาการเก็บขอ้ มลู และการทาลายเอกสารที่มขี อ้ มลู สว่ นบคุ คล (Data Retention) มกี ระบวนการ Breach Notification Protocol ซึง่ เป็ นระบบแจง้ เตือนเพ่อื ปกป้ อง ขอ้ มลู จากการโจมตีจากผไู้ มห่ วังดี

STEP 4 การส่งหรอื เปิ ดเผยขอ้ มลู ส่วนบคุ คล ทาสัญญาหรือขอ้ ตกลงกบั ผใู้ หบ้ ริการภายนอก หรือทา Data Processing Agreement เพอ่ื คมุ้ ครองขอ้ มลู สว่ นบคุ คลใหเ้ ป็ นไปตามมาตรฐานกฎหมาย PDPA ในกรณีโอนขอ้ มลู ไปต่างประเทศ ใหท้ าสัญญากับบริษทั ปลายทางเพ่อื คมุ้ ครองขอ้ มลู ตาม มาตรฐาน PDPA มกี ระบวนการรบั คารอ้ งจากเจา้ ของขอ้ มลู ส่วนบคุ คล ควรเป็ นวิธีที่งา่ ยไมซ่ ับซอ้ น และไม่ กาหนดเงอื่ นไข อาจผ่านการยื่นแบบฟอรม์ สง่ คารอ้ งผ่านชอ่ ง Chat หรอื สง่ อเี มลก็ได้ STEP 5 การกากับดแู ลขอ้ มลู สว่ นบคุ คล ในประเทศไทย มสี านกั งานคณะกรรมการคมุ้ ครองขอ้ มลู สว่ นบคุ คล ซึง่ เป็ นหน่วยงาน ภาครัฐเป็ นผกู้ ากับดแู ลกฎหมาย PDPA ใหแ้ ต่ละองคก์ รตอ้ งปฏบิ ตั ติ าม โดยองคก์ รท่ีทา การเก็บรวบรวม นาไปใช้ หรอื เปิ ดเผยขอ้ มลู ของเจา้ ของขอ้ มลู ส่วนบคุ คลใน ราชอาณาจักรไทยเพ่อื การขายสนิ คา้ หรอื บรกิ ารใหก้ บั เจา้ ของขอ้ มลู ควรมีเจา้ หนา้ ที่ คมุ้ ครองขอ้ มลู หรือ DPO (Data Protection Officer) ซ่ึงเป็ นผมู้ ีความรดู้ า้ นกฎหมาย PDPA ดา้ นเทคโนโลยี เขา้ มาดแู ลและตรวจสอบนโยบายการเก็บรักษาขอ้ มลู สว่ นบคุ คลของลกู คา้ ใหเ้ กิดความปลอดภยั ทัง้ น้ขี น้ึ อยกู่ บั ขนาดและประเภทของธรุ กิจเป็ นเกณฑใ์ นการพิจารณา วา่ ควรแต่งตง้ั DPO หรือไม่ ? และที่สาคัญหากผคู้ วบคมุ ขอ้ มลู ส่วนบคุ คลและบคุ ลากรในองคก์ รมีความรคู้ วามเขา้ ใจและ ปฏบิ ตั ติ ามมาตรการรกั ษาความปลอดภยั ของขอ้ มลู ตาม PDPA แลว้ ความเสีย่ งกรณี ขอ้ มลู ถกู ละเมิดก็จะนอ้ ยลง ซงึ่ จะสรา้ งความเชือ่ มนั่ ต่อองคก์ รใหก้ ับผใู้ ชง้ านไดเ้ ป็ นอย่างดี

ใน พ.ร.บ. คมุ้ ครองขอ้ มลู สว่ นบคุ คล พ.ศ.2562 จะให้ สทิ ธขิ องเจา้ ของขอ้ มลู สว่ น บคุ คล (Data Subject Right) ดงั น้ี • สทิ ธไิ ดร้ ับการแจง้ ใหท้ ราบ • สิทธิขอเขา้ ถึงขอ้ มลู ส่วนบคุ คล • สิทธิคัดคา้ นการเก็บรวบรวม ใช้ หรอื เปิ ดเผยขอ้ มลู สว่ นบคุ คล • สิทธขิ อใหล้ บหรอื ทาลาย • สทิ ธใิ นการเพิกถอนความยนิ ยอม • สทิ ธิขอใหร้ ะงบั การใชข้ อ้ มลู • สทิ ธิในการขอใหแ้ กไ้ ขขอ้ มลู ส่วนบคุ คล • สิทธใิ นการขอใหโ้ อนขอ้ มลู ส่วนบคุ คล

ผคู้ วบคมุ ขอ้ มลู ส่วนบคุ คล จะสามารถรวบรวม ใช้ หรอื เปิ ดเผย ขอ้ มลู สว่ นบคุ คล ก็ ตอ่ เมอ่ื ? บคุ คลธรรมดา หรอื นิตบิ คุ คล (บรษิ ทั หา้ งรา้ น มลู นิธิ สมาคม หนว่ ยงาน องคก์ ร รา้ นคา้ หรอื อนื่ ใดก็ตาม) หากมีการเก็บรวบรวมขอ้ มลู ส่วนบคุ คลไว้ หรอื มี การนาขอ้ มลู ส่วนบคุ คลไปใช้ หรือนาไปเปิ ดเผยไม่ว่าจะวตั ถปุ ระสงคใ์ ดก็ตาม จาเป็ นตอ้ งไดร้ ับ คายนิ ยอม (Consent) จากเจา้ ของขอ้ มลู ดว้ ย เวน้ แต่จะเป็ นไปตาม ขอ้ ยกเวน้ ที่ พ.ร.บ.กาหนดไว้ โดยมีขอ้ ยกเวน้ ดงั ตอ่ ไปนี้ ขอ้ ยกเวน้ สาหรับขอ้ มลู ส่วนบคุ คลทวั่ ไป(Personal Data) – จัดทาเอกสารประวตั ศิ าสตร์ หรือจดหมายเหตเุ พือ่ ประโยชนส์ าธารณะ ท่ี เกี่ยวขอ้ งกับ การศกึ ษาวิจัยหรอื การจัดทาสถิติ – เพอ่ื ป้ องกนั หรอื ระงบั อนั ตรายตอ่ ชีวิต ร่างกาย หรือสขุ ภาพของบคุ คล – จาเป็ นเพอ่ื ปฏบิ ัตติ ามสัญญากับเจา้ ของขอ้ มลู เช่น การซ้อื ขายของออนไลน์ ตอ้ งใชช้ ื่อ ทอ่ี ยู่ เบอรโ์ ทรศพั ท์ อีเมล – จาเป็ นเพอื่ ประโยชนส์ าธารณะ และการปฏบิ ัตหิ นา้ ท่ใี นการใชอ้ านาจรัฐ – จาเป็ นเพอื่ ประโยชนโ์ ดยชอบดว้ ยกฎหมายของผคู้ วบคมุ ขอ้ มลู สว่ นบคุ คล หรอื ของบคุ คลอนื่ – เป็ นการปฏิบัตติ ามกฎหมายของผคู้ วบคมุ ขอ้ มลู ส่วนบคุ คล เช่น สง่ ขอ้ มลู พนกั งานใหก้ รมสรรพากรเรื่องภาษี เป็ นตน้ ขอ้ ยกเวน้ สาหรบั ขอ้ มลู ส่วนบคุ คลท่ีอ่อนไหว(Sensitive Personal Data) – เพอื่ ป้ องกันหรือระงบั อันตรายต่อชวี ติ ร่างกาย หรอื สขุ ภาพของบคุ คล – การดาเนินกิจกรรมทชี่ อบดว้ ยกฎหมายทีม่ ีการคมุ้ ครองที่เหมาะสมของ มลู นธิ ิ สมาคม องคก์ รไมแ่ สวงหากาไร เช่น เรือ่ งศาสนาหรอื ความคดิ เห็นทางการ เมอื ง ซึ่งจาเป็ นตอ้ งเปิ ดเผยใหท้ ราบก่อนเขา้ องคก์ รนนั้ ๆ เป็ นตน้ – เป็ นขอ้ มลู ทีเ่ ปิ ดเผยต่อสาธารณะดว้ ยความยินยอมโดยชดั แจง้ ของเจา้ ของ ขอ้ มลู สว่ นบคุ คล เชน่ บคุ คลสาธารณะทีม่ ขี อ้ มลู ทเ่ี ปิ ดเผยตอ่ สาธารณะอยแู่ ลว้ ใน ความยินยอมของเจา้ ของขอ้ มลู

– เป็ นการจาเป็ นเพือ่ การกอ่ ตงั้ สิทธเิ รยี กรอ้ งตามกฎหมาย การปฏบิ ตั ติ าม หรือการใชส้ ทิ ธิเรยี กรอ้ งตามกฎหมาย หรอื การยกขนึ้ ต่อสสู้ ทิ ธิเรยี กรอ้ งตาม กฎหมาย เช่น เก็บลายนว้ิ มือของผทู้ บี่ กุ รกุ เพอ่ื นาไปใชใ้ นชน้ั ศาล เป็ นตน้ – เป็ นการจาเป็ นในการปฏิบัติตามกฎหมายเพื่อใหบ้ รรลวุ ตั ถปุ ระสงค์ เกี่ยวกบั เวชศาสตรป์ ้ องกันหรอื อาชวี เวชศาสตร์ เช่น การเก็บขอ้ มลู สขุ ภาพของ พนกั งานซ่ึงเป็ นขอ้ มลู สว่ นบคุ คลที่มคี วามละเอียดออ่ น (Sensitive Personal Data) องคก์ รมกั ใชข้ อ้ นี้ในการอา้ งสิทธทิ ่จี าเป็ นตอ้ งเก็บขอ้ มลู นี้ไว้ เป็ นตน้ / ประโยชนด์ า้ น สาธารณะสขุ , การคมุ้ ครองแรงงาน, การประกันสังคม, หลักประกันสขุ ภาพ แหง่ ชาติ / การศกึ ษาวจิ ยั ทางวทิ ยาศาสตร,์ ประวตั ิศาสตร,์ สถติ ิ, หรอื ประโยชน์ สาธารณะอืน่ / ประโยชนส์ าธารณะทีส่ าคญั การสง่ หรอื โอนขอ้ มลู ส่วนบคุ คลไปยังตา่ งประเทศก็สาคญั ผคู้ วบคมุ ขอ้ มลู ส่วนบคุ คล จะส่งหรอื โอนขอ้ มลู ส่วนบคุ คลไปยงั ต่างประเทศ ตอ้ งตรวจสอบวา่ ประเทศปลายทางหรือองคก์ ารระหว่างประเทศที่รับขอ้ มลู ส่วน บคุ คลนนั้ มีมาตรฐานการคมุ้ ครองขอ้ มลู สว่ นบคุ คลที่เพยี งพอหรอื ไม่ ยกเวน้ วา่ จะ เป็ นไปเพ่ือเป็ นไปตามกฎหมาย, ไดร้ ับความยนิ ยอมจากเจา้ ของขอ้ มลู สว่ นบคุ คล, จาเป็ นเพือ่ ปฏิบตั ิตามสญั ญา, ป้ องกนั อันตรายที่จะเกดิ ตอ่ เจา้ ของขอ้ มลู ทไ่ี มส่ ามารถ ใหย้ นิ ยอมในขณะนนั้ ได้ หรอื เพ่อื การดาเนนิ ภารกิจเพ่ือประโยชนส์ าธารณะที่สาคัญ

เม่อื PDPA บังคับใชแ้ ลว้ แตไ่ ม่ไดป้ ฏบิ ัตติ าม มีบทลงโทษอะไรบา้ ง ? ถา้ ไม่ปฏบิ ตั ิตาม PDPA บทลงโทษของผทู้ ไี่ มป่ ฏิบตั ติ าม พ.ร.บ.คมุ้ ครองขอ้ มลู สว่ นบคุ คล (PDPA) มีถงึ 3 ประเภท ไดแ้ ก่ โทษทางแพ่ง โทษทางแพ่งกาหนดใหช้ ดใชค้ า่ สินไหมทดแทนทีเ่ กิดขนึ้ จรงิ ใหก้ บั เจา้ ของขอ้ มลู ส่วน บคุ คลทไ่ี ดร้ บั ความเสียหายจากการละเมดิ และอาจจะตอ้ งจ่ายบวกเพ่มิ อีกเป็ นคา่ ค่าสินไหมทดแทนเพ่อื การลงโทษเพิม่ เตมิ สงู สดุ ไดอ้ ีก 2 เท่าของค่าเสียหายจริง ตวั อยา่ ง หากศาลตดั สนิ ว่าใหผ้ คู้ วบคมุ ขอ้ มลู สว่ นบคุ คล ตอ้ งชดใชค้ า่ สินไหม ทดแทนแกเ่ จา้ ของขอ้ มลู ส่วนบคุ คล เป็ นจานวน 1 แสนบาท ศาลอาจมีคาสงั่ กาหนดค่าสินไหมเพอื่ การลงโทษเพม่ิ อกี 2 เท่าของคา่ เสียหายจริง เทา่ กบั ว่า จะตอ้ งจา่ ยเป็ นคา่ ปรับท้งั หมด เป็ นจานวนเงนิ 3 แสนบาท โทษทางอาญา โทษทางอาญาจะมีทงั้ โทษจาคกุ และโทษปรบั โดยมี โทษจาคกุ สงู สดุ ไม่เกิน 1 ปี หรอื ปรบั ไมเ่ กิน 1 ลา้ นบาท หรอื ทัง้ จาทงั้ ปรบั โดยโทษสงู สดุ ดงั กลา่ วจะเกิดจาก การไม่ปฏิบตั ติ าม PDPA ในสว่ นการใชข้ อ้ มลู หรือเปิ ดเผยขอ้ มลู หรือสง่ โอนขอ้ มลู ไปยงั ตา่ งประเทศ ประเภทขอ้ มลู ที่มคี วามละเอยี ดออ่ น(Sensitive Personal Data) ส่วนกรณีหากผกู้ ระทาความผดิ คือ บริษทั (นิติบคุ คล) ก็อาจจะสงสยั ว่าใครจะเป็ น ผถู้ กู จาคกุ เพราะบรษิ ทั ตดิ คกุ ไมไ่ ด้ ในส่วนตรงนก้ี ็อาจจะตกมาท่ี ผบู้ รหิ าร, กรรมการ หรอื บคุ คลซึ่งรับผดิ ชอบในการดาเนินงานของบรษิ ัทนน้ั ๆ ที่จะตอ้ ง ไดร้ ับการลงโทษจาคกุ แทน โทษทางปกครอง โทษปรับ มี ตงั้ แต่ 1 ลา้ นบาทจนถงึ สงู สดุ ไมเ่ กนิ 5 ลา้ นบาท ซ่งึ โทษปรับสงู สดุ 5 ลา้ นบาท จะเป็ นกรณขี องการไมป่ ฏบิ ตั ติ าม PDPA ในส่วนการใชข้ อ้ มลู หรือ เปิ ดเผยขอ้ มลู หรือสง่ โอนขอ้ มลู ไปยังตา่ งประเทศของประเภทขอ้ มลู ทม่ี ีความ ละเอยี ดออ่ น(Sensitive Personal Data) ซง่ึ โทษทางปกครองน้ีจะแยกตา่ งหากกบั การชดใชค้ ่าเสยี หายท่ีเกดิ จากโทษทางแพง่ และโทษทางอาญาดว้ ย

สรปุ ใจความสาคญั ของ PDPA จะเห็นไดว้ ่า PDPA หรือ พ.ร.บ.คมุ้ ครองขอ้ มลู ส่วนบคุ คล มหี ัวใจสาคัญก็เพอ่ื ตอ้ งการรักษาสิทธิท่ีพงึ มีแก่เจา้ ของขอ้ มลู ว่าขอ้ มลู สว่ นตวั ของเราจะปลอดภยั นาไปใชอ้ ยา่ งถกู ตอ้ งเหมาะสมตามความตอ้ งการและยนิ ยอมของเจา้ ของขอ้ มลู อยา่ ง แทจ้ รงิ อยา่ งไรก็ตามผเู้ ป็ นเจา้ ของขอ้ มลู ก็ควรพิจารณาอย่างรอบคอบเช่นกันวา่ การให้ ขอ้ มลู ส่วนบคุ คลในแต่ละครัง้ เป็ นไปเพื่อวัตถปุ ระสงคอ์ ะไร? ขอ้ มลู ที่ใหไ้ ปมีเพียงพอกบั วตั ถปุ ระสงคน์ นั้ แลว้ หรอื ยงั ? หากมองว่ามกี ารใหข้ อ้ มลู สว่ นบคุ คลนนั้ ไม่เก่ียวขอ้ งกบั วัตถปุ ระสงคข์ องการขอขอ้ มลู เราก็สามารถปฏิเสธการใหข้ อ้ มลู นนั้ ได้ เพื่อเป็ นการ ป้ องกันการนาขอ้ มลู ไปใชใ้ นทางที่ผดิ หรือหาผลประโยชนจ์ ากขอ้ มลู ส่วนบคุ คลของเราก็ เป็ นได้ สาหรบั ในสว่ นผเู้ ก็บขอ้ มลู นน้ั นบั วา่ ไดร้ ับผลกระทบโดยตรงเป็ นอยา่ งมากกบั PDPA ทจ่ี ะตอ้ งปฏิบัตติ าม ผคู้ วบคมุ ขอ้ มลู สว่ นบคุ คลจึงตอ้ งมีการกาหนดนโยบาย ความปลอดภยั ของขอ้ มลู ส่วนบคุ คลภายในองคก์ รและใหค้ วามรแู้ กบ่ คุ คลากรในองคก์ ร , รขู้ อบเขตการเก็บรวบรวม การใช้ การเผยแพร่ขอ้ มลู สว่ นบคุ คล, มรี ะบบการจดั เก็บ ขอ้ มลู สว่ นบคุ คลทป่ี ลอดภยั , มกี ารจากัดการเขา้ ถงึ ขอ้ มลู ส่วนบคุ คล, มีการบนั ทึก กิจกรรมการใชข้ อ้ มลู ส่วนบคุ คล ส่ิงเหล่านลี้ ว้ นจาเป็ นอย่างย่งิ ทผี่ คู้ วบคมุ ขอ้ มลู จะตอ้ ง ปฏิบตั ิตามเพอ่ื ใหส้ อดคลอ้ งกับ PDPA ตอ่ ไป มาถงึ ตรงนผี้ อู้ า่ นก็พอจะทราบแลว้ ว่า PDPA คอื อะไร และเก่ยี วขอ้ งกบั เราอยา่ งไร

น.ส.สดุ ารตั น์ ตรีคงคา 1สทธ3 66302040109