PDPA (Personal Data Protection Act) หรอื พ.ร.บ. คมุ้ ครองส่วน บุคคล คือ พระราชบญั ญัติคมุ้ ครองขอ้ มลู สว่ นบคุ คล พ.ศ. 2562 ซง่ึ ไดป้ ระกาศในราชกจิ จา นเุ บกษาไปเมอ่ื 27 พฤษภาคม 2562 โดยระบใุ หอ้ งคก์ รหรือหน่วยงานท่ีเกย่ี วขอ้ งท่เี ก็บขอ้ มลู ส่วนบคุ คลของประชาชนไมว่ า่ จะเป็นบรษิ ทั เอกชน หรือหนว่ ยงานภาครฐั ตอ้ งไมน่ าเอาขอ้ มลู สว่ นตวั ของเราไปใชใ้ นกจิ กรรมอ่ืน ๆ ทีเ่ ราไมย่ ินยอม • เพือ่ ไมใ่ หถ้ กู ละเมิดสทิ ธิความเป็นส่วนตวั • เพื่อใหม้ มี าตรการเยียวยาเจา้ ของขอ้ มลู ในกรณีทถ่ี กู ละเมิดขอ้ มลู ส่วนบคุ คล ขอ้ มูลส่วนบคุ คลนัน้ ครอบคลุม ขอ้ มลู เก่ยี วกบั บคุ คลทีท่ าใหส้ ามารถระบตุ วั บคุ คลนนั้ ไดไ้ มว่ า่ ทางตรงหรอื ทางออ้ มจะเป็นรูปแบบ ใดก็ตาม เชน่ รูปกระดาษหรอื อิเลก็ ทรอนกิ ส์ ตวั หนงั สอื รูปภาพหรือเสยี ง โดยครอบคลมุ ตงั้ แต่ ช่อื นามสกลุ หมายเลขบตั รประชาชน เบอรโ์ ทรศพั ท์ ทอ่ี ยู่ อเี มล์ นอกจากนกี้ ฎหมายยงั คมุ้ ครองไปถงึ ขอ้ มลู สว่ นบคุ คลท่มี คี วามออ่ นไหว (Sensitive Data) เชน่ เชอื้ ชาติ เผา่ พนั ธุ์ ความเหน็ ทาง การเมือง ความเช่อื ลทั ธิ ศาสนา พฤตกิ รรมทางเพศ ประวตั อิ าชญากรรม ขอ้ มลู ทางดา้ นสขุ ภาพ ขอ้ มลู ทางพนั ธุกรรม ขอ้ มลู ชวี ภาพ Cookies ID EMEI หรอื Device ID ทสี่ ามารถ เช่อื มต่อ Server ไดเ้ พือ่ ระบตุ วั อปุ กรณแ์ มไ้ มเ่ ปิดเผยช่อื – นามสกลุ ผใู้ ชเ้ ลยกต็ าม
PDPA มคี วามเป็นมาอยา่ งไร ? กฎหมาย PDPA เรียกไดว้ ่าถอดแบบมาจากกฎหมายตน้ แบบอยา่ งกฎหมาย GDPR (General Data Protection Regulation) ซ่งึ เป็นกฎหมายคมุ้ ครองขอ้ มลู สว่ นบคุ คลของสหภาพยโุ รป วตั ถปุ ระสงคข์ องการเก็บรกั ษาขอ้ มลู สว่ นบคุ คลของ กฎหมายทงั้ 2 ฉบบั ก็เพ่อื ปอ้ งกนั ไม่ใหผ้ ไู้ ม่ประสงคด์ ที าการแฮก็ ขอ้ มลู หรือละเมิด ความเป็นสว่ นตวั เพื่อขม่ ขหู่ วงั ผลประโยชนจ์ ากทงั้ จากตวั เจา้ ของขอ้ มลู เองหรือจาก บคุ คลทีด่ แู ลขอ้ มลู องคป์ ระกอบสาคญั ของ PDPA บคุ คลที่ตอ้ งปฎิบตั ติ ามกฎหมาย PDPA ประกอบดว้ ย เจา้ ของขอ้ มลู สว่ นบคุ คล (Data Subject) และผคู้ วบคมุ ขอ้ มลู สว่ นบคุ คล (Data Controller) โดยผคู้ วบคมุ ขอ้ มลู ส่วนบคุ คลนนั้ เปรียบเสมอื นผดู้ แู ลระบบ เป็นฝ่ายปฏิบตั ิงาน มหี นา้ ท่เี ก็บ รวบรวม และนาขอ้ มลู สว่ นบคุ คลทข่ี อความยนิ ยอม (Consent) จากเจา้ ของขอ้ มลู ไปใช้ ยกตวั อยา่ งเชน่ เวบ็ ไซตข์ ายของออนไลน์ ตวั ผจู้ ดั ทาเวบ็ ไซตก์ ็จะตอ้ งขอ ขอ้ มลู ทงั้ ช่อื ทีอ่ ยู่ เบอรโ์ ทรศพั ท์ ขอ้ มลู การจ่ายเงิน เพอื่ นาไปดาเนนิ การส่งั ซอื้ และ จดั สง่ สินคา้ ไปยงั ทอ่ี ย่ขู องเจา้ ของขอ้ มูล ซ่งึ PDPA เมื่อไดข้ อ้ มลู มาแลว้ กต็ อ้ งจดั ให้ มีมาตรการรกั ษาความปลอดภยั ขอ้ มลู ดว้ ย
PDPA สาคญั อย่างไร ? ความสาคญั ของ PDPA คอื การทาใหเ้ จา้ ของขอ้ มลู มสี ิทธิในขอ้ มลู สว่ นตวั ที่ถกู จดั เกบ็ ไป แลว้ หรอื กาลงั จะถกู จดั เก็บมากขนึ้ เพ่ือสรา้ งความปลอดภยั และเป็นสว่ นตวั ใหแ้ กเ่ จา้ ของ ขอ้ มลู โดยมสี ทิ ธิทส่ี าคญั คอื สิทธิการรบั ทราบและยมิ ยอมการเกบ็ ขอ้ มลู สว่ นตวั และสิทธิ ในการขอเขา้ ถงึ ขอ้ มลู ส่วนตวั คดั คา้ นและเพิกถอนการเก็บและนาขอ้ มลู ไปใช้ และสทิ ธิ ขอใหล้ บหรือทาลายขอ้ มลู ส่วนตวั สทิ ธิท่เี พิ่มขนึ้ ของเจา้ ของขอ้ มลู ทาใหผ้ ปู้ ระกอบการขององคก์ รและบรษิ ทั ตา่ ง ๆ ตอ้ ง ปรบั เปลี่ยนกระบวนการเก็บรวบรวมและนาขอ้ มลู ส่วนตวั ของเจา้ ของขอ้ มลู ไมว่ า่ จะเป็น ลกู คา้ พนกั งานในองคก์ ร หรอื บคุ คลใด ๆ ที่เก่ียวขอ้ งใหเ้ ป็นไปตามหลกั ปฏบิ ตั ิของ PDPA พ.ร.บ.คมุ้ ครองขอ้ มลู ส่วนบคุ คล โดยหากคณุ เป็นผปู้ ระกอบการ หรือเป็นตวั แทนองคก์ รทด่ี าเนินการเรื่อง PDPA วนั นเี้ ราจะ ชว่ ยคณุ เปลี่ยนแนวทางการดาเนินงานเพอื่ ใหส้ อดคลอ้ งกบั กฎหมาย PDPA กนั หากคณุ ตอ้ งการเกบ็ รวบรวมขอ้ มลู ประมวลผลขอ้ มลู นาขอ้ มลู ไปใช้ รวมถงึ การเกบ็ รกั ษา และดแู ลความปลอดภยั ของขอ้ มลู สว่ นบคุ คคลของลกู คา้ และบคุ คลที่เก่ียวขอ้ ง คณุ จะตอ้ ง ดาเนนิ การตามขนั้ ตอน ต่อไปนโี้ ดยด่วน เพราะในขณะนปี้ ระเทศไทยไดเ้ ร่ิมบงั คบั ใช้ พ.ร.บ. PDPA แลว้ หากคณุ ไม่ ดาเนินการตามหลกั ของ PDPA คณุ อาจตอ้ งรบั โทษรา้ ยแรงทงั้ ทางแพง่ อาญา และ ปกครองใครบา้ งที่ตอ้ งปฏบิ ตั ติ าม พ.ร.บ.PDPA
ขนั้ ตอนการทาตาม PDPA ต้องทาอย่างไร ? STEP 1 การเกบ็ รวบรวมข้อมูลส่วนบุคคล 1. จดั ทา Privacy Policy แจง้ ใหเ้ จา้ ของขอ้ มลู สว่ นบคุ คลทราบ องคก์ รหรอื เจา้ ของเวบ็ ไซตส์ ามารถแจง้ เจา้ ของขอ้ มลู ผ่าน Privacy Policy บนเว็บไซตห์ รอื แอปพลเิ คชนั หรอื ชอ่ งทางการตดิ ตอ่ อ่นื ๆ เช่น การลงทะเบยี นผ่านเวบ็ ไซต์ หรือทาง โซเชยี ลมเี ดยี • แจง้ ว่าจะขอเกบ็ ขอ้ มลู อะไรบา้ ง เพอ่ื วตั ถปุ ระสงคใ์ ด • แจง้ สิทธิของเจา้ ของขอ้ มลู โดยสามารถถอนความยนิ ยอมไดท้ กุ เมือ่ • ขอ้ ความอ่านเขา้ ใจงา่ ย ชดั เจน ใชภ้ าษาไม่กากวม ไม่มเี ง่อื นไขในการยินยอม คลิก PDPA Pro เพื่อสรา้ ง Privacy Policy ที่ถกู ตอ้ งตาม PDPA 2. การจดั การเว็บไซต์ แอปพลิเคชนั และ Third-party นอกจากการจดั ทา Privacy Policy ผ่านเวบ็ ไซตห์ รอื แอปพลเิ คชนั แลว้ การขอจดั เกบ็ Cookie กจ็ ะตอ้ งแจง้ เพอ่ื ขอความยนิ ยอมใหใ้ ชข้ อ้ มลู ส่วนบคุ คลจากผใู้ ชง้ านดว้ ย ซง่ึ ท่เี รา พบเห็นไดท้ ่วั ไป มกั แจง้ ขอเกบ็ Cookie เป็น Pop up เลก็ ๆ ทางดา้ นล่างเวบ็ ไซต์ คลกิ Cookie Wow เพอื่ จดั ทา Cookie Consent Banner เพยี งไมก่ ่ีนาที สว่ น Third Party ท่ีเก็บ ขอ้ มลู ส่วนบคุ คล เชน่ เวบ็ ไซตโ์ ฆษณาทีการตลาด กต็ อ้ งระบวุ ตั ถปุ ระสงคแ์ ละขอความ ยินยอมการเก็บรวบรวมขอ้ มลู ไวใ้ น Privacy Policy ดว้ ย
3. การเกบ็ ขอ้ มลู พนกั งาน สาหรบั การเกบ็ ขอ้ มลู ส่วนบคุ คลของพนกั งานนนั้ กต็ อ้ งจดั ทานโยบายความเป็นสว่ นตวั สาหรบั พนกั งานหรือ HR Privacy Policy เพอ่ื แจง้ วตั ถปุ ระสงคใ์ นการประมวลผลขอ้ มลู สว่ นบคุ คลของพนกั งานเช่นเดยี วกนั แนะนาว่าสาหรบั พนกั งานเก่า ใหแ้ จง้ Privacy Policy เป็นเอกสารใหม่ ส่วนพนกั งานใหม่ ใหแ้ จง้ ในใบสมคั ร 1 ครงั้ และแจง้ ในสญั ญาจา้ ง 1 ครงั้ คลกิ PDPA Pro เพือ่ สรา้ ง Privacy Policy สรา้ ง HR Privacy Policy ถกู ตอ้ งตาม PDPA STEP 2 การใชห้ รือประมวลผลข้อมูลส่วนบุคคล แตล่ ะฝ่ายในองคก์ รควรรว่ มกาหนดแนวทางหรือนโยบายในการดาเนินการดา้ นขอ้ มลู สว่ น บคุ คล (Standard Operating Procedure) และบนั ทึกรายการขอ้ มลู สว่ นบคุ คลทม่ี กี ารเกบ็ หรือใช้ (Records of Processing Activity: ROPA) ทงั้ ขอ้ มลู ท่จี ดั เก็บในฐานขอ้ มลู อิเล็กทรอนกิ ส์ ขอ้ มลู เอกสารทจ่ี บั ตอ้ งได้ ขอ้ มลู ส่วนบคุ คลท่วั ไป ขอ้ มลู สว่ นบคุ คลท่ี ออ่ นไหว (Sensitive Personal Data) ซง่ึ เป็นขอ้ มลู ที่ระบตุ วั บคุ คลไดเ้ ฉพาะเจาะจงมากขนึ้ เช่น เชอื้ ชาติ ความคดิ เห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวตั อิ าชญากรรม ขอ้ มลู สขุ ภาพ ขอ้ มลู สหภาพแรงงาน ขอ้ มลู พนั ธกุ รรม ขอ้ มลู ชวี ภาพ (face ID, ลายนวิ้ มอื ) รวมถึงหา้ มเปิดเผยขอ้ มลู สว่ นบคุ คลใหก้ บั บคุ คลทีไ่ มม่ คี วามรบั ผดิ ชอบโดยตรง
ส่งิ ทค่ี วรทา • แอด Line เจา้ ของขอ้ มลู สว่ นบคุ คล หลงั จากขออนญุ าตแลว้ • ส่ง Direct Marketing ใหล้ กู คา้ หลงั จากทีล่ กู คา้ ยนิ ยอมแลว้ • ส่งขอ้ มลู ลกู คา้ จาก Cookie ไป Target Advertising ต่อ หลงั จาก ที่ลกู คา้ ยนิ ยอมแลว้ • ส่งขอ้ มลู ให้ Vendor หลงั จากบริษทั ไดท้ าความตกลงกบั Vendor ที่มีขอ้ กาหนดเรือ่ งความคมุ้ ครองขอ้ มลู ส่วนบคุ คลแลว้ • การใหบ้ ริการทีต่ อ้ งวิเคราะหข์ อ้ มลู สว่ นบคุ คลจานวนมากหรอื ใช้ Sensitive Personal Data เชน่ การสแกนใบหนา้ จะตอ้ งขอความ ยนิ ยอมก่อน • รวบรวมสถติ ลิ กู คา้ เพอื่ พฒั นาบรกิ าร โดยไม่ใชข้ อ้ มลู สว่ นบคุ คล ของลกู คา้
STEP 3 มาตรการด้านความปลอดภยั ของข้อมูลส่วนบุคคล • กาหนดแนวทางอยา่ งนอ้ ยตามมาตรฐานขนั้ ตา่ ดา้ นการรกั ษาความปลอดภยั ขอ้ มลู ส่วนบคุ คล (Minimum Security Requirements) ไดแ้ ก่ การรกั ษาความลบั (Confidentiality) ความถกู ตอ้ งครบถว้ น (Integrity) และสภาพพรอ้ มใชง้ าน (Availability) ซง่ึ ควรครอบคลมุ ถงึ มาตรการปอ้ งกนั ดา้ นการบริหารจดั การ (Administrative Safeguard) มาตรการปอ้ งกนั ดา้ นเทคนคิ (Technical Safeguard) และมาตรการป้องกนั ทางกายภาพ (Physical Safeguard) ในเรอื่ งการ เขา้ ถึงหรอื ควบคมุ การใชง้ านขอ้ มลู ส่วนบคุ คล (Access Control) ตามประกาศ กระทรวงดิจทิ ลั เพื่อเศรษฐกิจและสงั คม • กาหนดนโยบายรกั ษาระยะเวลาการเกบ็ ขอ้ มลู และการทาลายเอกสารท่มี ขี อ้ มลู ส่วน บคุ คล (Data Retention) • มีกระบวนการ Breach Notification Protocol ซง่ึ เป็นระบบแจง้ เตือนเพื่อปกป้อง ขอ้ มลู จากการโจมตีจากผไู้ มห่ วงั ดี
STEP 4 การส่งหรอื เปิ ดเผยขอ้ มูลสว่ นบุคคล • ทาสญั ญาหรือขอ้ ตกลงกบั ผใู้ หบ้ รกิ ารภายนอก หรอื ทา Data Processing Agreement เพอ่ื คมุ้ ครองขอ้ มลู ส่วนบคุ คลใหเ้ ป็นไปตามมาตรฐานกฎหมาย PDPA • ในกรณีโอนขอ้ มลู ไปต่างประเทศ ใหท้ าสญั ญากบั บริษทั ปลายทางเพื่อคมุ้ ครอง ขอ้ มลู ตามมาตรฐาน PDPA • มกี ระบวนการรบั คารอ้ งจากเจา้ ของขอ้ มลู สว่ นบคุ คล ควรเป็นวิธีทีง่ ่ายไม่ซบั ซอ้ น และไม่กาหนดเง่อื นไข อาจผา่ นการย่ืนแบบฟอรม์ ส่งคารอ้ งผ่านชอ่ ง Chat หรือสง่ อีเมลก็ได้ STEP 5 การกากบั ดูแลข้อมูลส่วนบคุ คล ในประเทศไทย มสี านกั งานคณะกรรมการคมุ้ ครองขอ้ มลู สว่ นบคุ คล ซ่งึ เป็นหนว่ ยงาน ภาครฐั เป็นผกู้ ากบั ดแู ลกฎหมาย PDPA ใหแ้ ต่ละองคก์ รตอ้ งปฏิบตั ติ าม โดยองคก์ รท่ีทา การเกบ็ รวบรวม นาไปใช้ หรอื เปิดเผยขอ้ มลู ของเจา้ ของขอ้ มลู ส่วนบคุ คลในราชอาณาจกั ร ไทยเพอื่ การขายสินคา้ หรอื บรกิ ารใหก้ บั เจา้ ของขอ้ มลู ควรมเี จา้ หนา้ ท่ีคมุ้ ครองขอ้ มลู หรือ DPO (Data Protection Officer) ซ่งึ เป็นผมู้ ีความรูด้ า้ นกฎหมาย PDPA ดา้ นเทคโนโลยี เขา้ มาดแู ลและตรวจสอบนโยบายการเกบ็ รกั ษาขอ้ มลู สว่ นบคุ คลของลกู คา้ ใหเ้ กิดความ ปลอดภยั
ใครต้องอยู่ภายใต้ PDPA บ้าง? หลงั จากรูจ้ กั กบั ประเภทของขอ้ มลู ส่วนบคุ คลท่เี รารวบรวมมาใหแ้ ลว้ เราก็มาทาความรูจ้ กั กบั ผทู้ ่ี หนา้ ทีเ่ ก่ยี วขอ้ งกบั ขอ้ มลู ส่วนบคุ คลตามกฎหมาย PDPA กนั บา้ ง 1. เจ้าของข้อมลู สว่ นบุคคล (Data Subject) เจา้ ของขอ้ มลู สว่ นบคุ คล หรอื Data Subject ก็คือคนท่ีขอ้ มลู ส่วนบคุ คลชดุ นนั้ ๆ จะชมี้ าทตี่ วั ตน ของบคุ คลนน้ั ได้ ซ่ึงกค็ ือตวั เราน่นั เอง ภายใต้ PDPA เจา้ ของขอ้ มลู เป็นผไู้ ดร้ บั การปกป้องคมุ้ ครอง และมสี ิทธิตา่ ง ๆ เหนือขอ้ มลู ส่วนบคุ คลของตน 2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ผคู้ วบคมุ ขอ้ มลู ส่วนบคุ คล หรือ Data Controller คือคน บรษิ ทั หรือองคก์ รต่าง ๆ ทเี่ ป็นคน ตดั สินใจว่า จะมกี ารประมวลผลขอ้ มลู ส่วนบคุ คลอะไร เพ่อื อะไร อย่างไร ภายใต้ PDPA ผคู้ วบคมุ ขอ้ มลู สว่ นบคุ คลเป็นผมู้ หี นา้ ท่ีและความรบั ผิดหลกั ท่ีตอ้ งปฏิบตั ติ าม PDPA ใหค้ รบถว้ น พ่อคา้ แม่คา้ ออนไลนท์ ร่ี บั ขอ้ มลู จดั ส่งสินคา้ ของลกู คา้ ที่ CF ของมาเพือ่ ตดิ ต่อสง่ ของกเ็ ป็น Data Controller ได้ และบริษทั ทกุ บริษทั ทนั ทีท่ีมพี นกั งานคนแรก ท่ีตอ้ งใชข้ อ้ มลู เพอื่ จา่ ยเงินเดอื นก็เป็น Data Controller แลว้ ทงั้ สนิ้ 3. ผูป้ ระมวลผลขอ้ มูลสว่ นบุคคล (Data Processor) ผปู้ ระมวลผลขอ้ มลู ส่วนบคุ คล หรอื Data Processor คือ คน บริษทั หรอื องคก์ รต่าง ๆ ท่ี ประมวลผลขอ้ มลู ส่วนบคุ คล โดยจะทาภายใตค้ าส่งั หรือในนามของ ผคู้ วบคมุ ขอ้ มลู ส่วนบคุ คล (Data Controller) เท่านนั้ ไม่ไดเ้ ป็นคนตดั สนิ ใจทาการประมวลผลขอ้ มลู ดว้ ยตวั เอง
ใครบ้างที่ต้องปฏิบตั ิตาม พ.ร.บ. PDPA เอกชนและภาครฐั (บคุ คลหรอื นิตบิ คุ คล) รวมไปถึงนติ บิ คุ คลท่จี ดั ตงั้ ใน ต่างประเทศ ซง่ึ ทาการเกบ็ รวมรวม ใช้ เปิดเผยและหรอื โอนขอ้ มลู สว่ นบคุ คลของ บคุ คลในประเทศไทย • เจา้ ของขอ้ มลู สว่ นบคุ คล (Data Subject) คอื ขอ้ มลู ส่วนบบคุ คลทส่ี ามารถเช่อื มโยงถึงบคุ คลท่ีมชี วี ิต ทส่ี ามารถระบตุ วั ตนได้ บคุ คลดงั กล่าวเรียกว่า เจา้ ของขอ้ มลู สว่ นบคุ คล • ผคู้ วบคมุ ขอ้ มลู ส่วนบคุ คล (Data Controller) คือ บคุ คลหรือนิติบคุ คลซ่งึ มีอานาจหนา้ ที่ “ตดั สินใจ” เก่ยี วกบั การเกบ็ รวบรวม ใช้ หรอื เปิดเผยขอ้ มลู สว่ นบคุ คล • ผปู้ ระมวลผลขอ้ มลู ส่วนบคุ คล (Data Processor) คือ บคุ คลหรอื นิตบิ คุ คลซ่งึ ดาเนนิ การเก่ยี วกบั การเกบ็ รวบรวม ใช้ หรอื เปิดเผย ขอ้ มลู สว่ นบคุ คล “ตามคาส่งั หรือในนามของผคู้ วบคมุ ขอ้ มลู สว่ นบคุ คล” ทงั้ นี้ บคุ คลหรอื นติ บิ คุ คลซง่ึ ดาเนินการดงั กลา่ ว ตอ้ งไมเ่ ป็นผคู้ วบคมุ ขอ้ มลู ส่วนบคุ คล
บทลงโทษของ PDPA • โทษทางแพ่ง โทษทางแพ่งกาหนดใหช้ ดใชค้ า่ สนิ ไหมทดแทนทเี่ กดิ ขนึ้ จริงใหก้ บั เจา้ ของขอ้ มลู ส่วนบคุ คลทไ่ี ดร้ บั ความเสยี หายจากการละเมิด และอาจจะตอ้ งจา่ ยบวกเพิ่มอกี เป็นค่าคา่ สินไหมทดแทนเพอ่ื การ ลงโทษเพ่มิ เติมสงู สดุ ไดอ้ ีก 2 เทา่ ของค่าเสียหายจริง ตวั อยา่ ง หากศาลตดั สนิ วา่ ใหผ้ คู้ วบคมุ ขอ้ มลู สว่ นบคุ คล ตอ้ งชดใชค้ ่าสนิ ไหมทดแทนแก่เจา้ ของขอ้ มลู ส่วนบคุ คล เป็นจานวน 1 แสนบาท ศาล อาจมคี าส่งั กาหนดคา่ สนิ ไหมเพ่ือการลงโทษเพ่มิ อีก 2 เทา่ ของค่าเสียหายจรงิ เทา่ กบั วา่ จะตอ้ งจ่าย เป็นคา่ ปรบั ทงั้ หมด เป็นจานวนเงิน 3 แสนบาท • โทษทางอาญา โทษทางอาญาจะมที งั้ โทษจาคกุ และโทษปรบั โดยมี โทษจาคกุ สงู สดุ ไมเ่ กนิ 1 ปี หรอื ปรบั ไม่เกิน 1 ลา้ นบาท หรือทงั้ จาทงั้ ปรบั โดยโทษสงู สดุ ดงั กลา่ วจะเกิดจากการไมป่ ฏิบตั ิตาม PDPA ในสว่ นการ ใชข้ อ้ มลู หรอื เปิดเผยขอ้ มลู หรอื ส่งโอนขอ้ มลู ไปยงั ตา่ งประเทศ ประเภทขอ้ มลู ท่มี ีควาละเอยี ดอ่อน • โทษทางปกครอง โทษปรบั มี ตงั้ แต่ 1 ลา้ นบาทจนถึงสงู สดุ ไม่เกนิ 5 ลา้ นบาท ซง่ึ โทษปรบั สงู สดุ 5 ลา้ นบาท จะเป็น กรณีของการไม่ปฏบิ ตั ิตาม PDPA ในสว่ นการใชข้ อ้ มลู หรือเปิดเผยขอ้ มลู หรอื สง่ โอนขอ้ มลู ไปยงั ต่างประเทศของประเภทขอ้ มลู ทม่ี ีความละเอียดอ่อน(Sensitive Personal Data) ซ่ึงโทษทาง ปกครองนจี้ ะแยกต่างหากกบั การชดใชค้ ่าเสยี หายท่เี กิดจากโทษทางแพ่งและโทษทางอาญาดว้ ย
ยกเว้นให้กับเร่ืองอะไรบ้าง ทไ่ี ม่ต้องขอความยินยอมในการเก็บ ขอ้ มูล พ.ร.บ. คมุ้ ครองขอ้ มลู ส่วนบคุ คล ยงั มีบทบญั ญัตเิ ก่ยี วกบั หลกั การเกบ็ รวบรวมขอ้ มลู ส่วนบุคคล ตามกฎหมาย PDPA ในมาตรา 24 ซ่ึงมหี ลกั การเก่ยี วกบั เรือ่ งความยนิ ยอม (Consent) การปอ้ งกนั หรือระงบั อนั ตรายตอ่ ชวี ิต การปฏบิ ตั ติ ามสญั ญา ประโยชนส์ าธารณะ ชอบดว้ ยกฎหมาย เป็น การปฏฺิบตั ติ ามกฎหมาย การดาเนินการเก่ยี วกบั เอกสารประวตั ศิ าสตร์ วิจยั สถิติ โดยกรณีตา่ ง ๆ ทีข่ ้อมลู จะถูกเกบ็ รวบรวมจากเจา้ ของ โดยไม่ต้องขอความยนิ ยอมมีดงั นี้ • กรณีปอ้ งกนั หรือระงบั อนั ตรายต่อชวี ติ รา่ งกาย หรือสขุ ภาพของเจา้ ของขอ้ มลู หรือเพื่อ ประโยชนส์ าธารณะ เชน่ ป้องกนั โรคระบาด ผคู้ วบคมุ สามารถประมวลผล (เก็บรวบรวม ใช้ เปิดเผย) ขอ้ มลู สว่ นบคุ คลไดโ้ ดยไมต่ อ้ งไดร้ บั ความยนิ ยอม • การปฏิบตั ิตามสญั ญา ไมต่ อ้ งขอความยนิ ยอม • ปฏบิ ตั ภิ ารกิจของรฐั ตามมาตรา 24(4) หากจาเป็นตอ่ การดาเนนิ ภารกจิ ของรฐั เพือ่ ประโยชนส์ าธารณะ หรือเป็นการใชอ้ านาจรฐั การเกบ็ รวบรวม ใช้ หรอื เปิดเผยขอ้ มลู สว่ น บคุ คลเพ่ือการนนั้ ไม่ตอ้ งขอความยินยอม อย่างไรกต็ าม แมไ้ ม่ตอ้ งขอความยินยอม แต่ผู้ ควบคมุ ยงั คงมีหนา้ ท่ใี นการรกั ษาความปลอดภยั ของขอ้ มลู และคานงึ ถงึ ความไดส้ ดั ส่วน ความจาเป็นในการใชข้ อ้ มลู และผลกระทบต่อความเป็นส่วนตวั ของเจา้ ของขอ้ มลู • ปฏบิ ตั ิตามกฎหมาย ไมต่ อ้ งขอความยนิ ยอม มาตรา 24(6) จาเป็นสาหรบั การปฏบิ ตั หิ นา้ ท่ีของผคู้ วบคมุ ตามกฎหมายที่กาหนด โดยเป็นหนา้ ทตี่ ามบทบญั ญัติ แหง่ กฎหมาย และหนา้ ทตี่ ามคาส่งั ของหนว่ ยงานรฐั ทมี่ อี านาจ
ขอ้ ยกเว้นการบงั คับใชก้ ฎหมาย PDPA สาหรับกจิ การส่อื มวลชน ในกรณีกิจการสอ่ื มวลชน มาตรา 4(3) เป็นขอ้ ยกเวินเชิงเนอื้ หาทไี่ ม่ใชบ้ งั คบั ตาม พ.ร.บ. แต่มี รายละเอียดอืน่ ดงั นี้ • เป็นขอ้ ยกเวน้ เฉพาะกจิ กรรมประมวลผลขอ้ มลู สว่ นบคุ คล ดงั นน้ั การประมวลผลทไี่ ม่ เก่ยี วขอ้ งกบั กิจการสื่อมวลชน กฎหมายไม่ไดย้ กเวน้ เช่น การใชข้ อ้ มลู พนกั งาน การทา ระบบสมาชิก • การเก็บรวบรวม ใช้ หรือเปิดเผยขอ้ มลู สว่ นบคุ คลของกิจการส่ือมวลชนจะตอ้ งเป็นไปตาม จรยิ ธรรมแหง่ การประกอบวชิ าชีพหรือเป็นประโยชนส์ าธารณะเท่านนั้ • ผคู้ วบคมุ ขอ้ มลู สว่ นบคุ คลท่ีไดร้ บั การยกเวน้ ยงั คงตอ้ งจดั ใหม้ กี ารรกั ษาความม่นั คง ปลอดภยั ของขอ้ มลู ใหเ้ ป็นไปตามมาตรฐานดว้ ย
จัดทาโดย นางสาวเพญ็ นภา ตาทอง รหสั 66302040098 1สทธ3
Search
Read the Text Version
- 1 - 14
Pages:
