ประเทศไทยประกาศบังคับใช้ กฎหมาย PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป ซึ่งข้อบังคับหลายข้อส่งผลกระทบต่อการใช้โซเชียลในชีวิตประจำวัน รวมทั้งหลายคนก็อาจจะยังไม่ทราบรายละเอียดเกี่ยวกับกฎหมายใหม่นี้ ALLWELL จึงได้สรุปข้อมูลเกี่ยวกับกฎหมาย PDPA เพื่อให้เราตระหนักถึงการละเมิดสิทธิผู้อื่น และเข้าใจ-รับรู้ในสิทธิส่วนบุคคลที่เราพึงมีนั่นเองค่ะ
สารบัญ
- กฎหมายPDPA คืออะไร? เจ้าของข้อมูลมีสิทธิเรียกร้องอะไรบ้าง?
- ถ่ายรูป-คลิปติดหน้าคนอื่น ผิดกฎหมาย PDPA ไหม?
- 6 กรณียกเว้นของกฎหมาย PDPA ที่ไม่จำเป็นต้องขอความยินยอม
กฎหมาย PDPA คืออะไร? เจ้าของข้อมูลมีสิทธิเรียกร้องอะไรบ้าง?
ปฏิเสธไม่ได้ว่า ในปัจจุบันคนเราใช้โซเชียลหรือเครือข่ายออนไลน์ต่าง ๆ ในเกือบทุกกิจกรรมของชีวิต นั่นทำให้ข้อมูลส่วนตัวของเราต้องไปอยู่บนเครือข่ายออนไลน์ ไม่ว่าจะเป็นชื่อจริงนามสกุลจริง เบอร์โทรศัพท์ หรือที่อยู่ ซึ่งคงไม่ดีแน่ หากข้อมูลส่วนตัวของเราเหล่านี้ ถูกเอาไปใช้หรือเผยแพร่โดยที่เราไม่ยินยอม จึงเป็นเหตุว่าทำไม เราถึงต้องมีกฎหมาย PDPA นั่นเองค่ะ
กฎหมาย PDPA คืออะไร?
กฎหมาย PDPA (Personal Data Protection Act) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล คือ ข้อกฎหมายที่คุ้มครองและให้สิทธิกับเจ้าของข้อมูลส่วนบุคคล และสร้างมาตรฐานให้บุคคลหรือนิติบุคคล เก็บรักษาข้อมูลส่วนบุคคลนั้นให้ปลอดภัย หากนำข้อมูลนั้นไปใช้หรือเผยแพร่ จะต้องใช้ให้ถูกวัตถุประสงค์และปฏิบัติตามกฎที่กำหนดไว้ ที่สำคัญคือข้อมูลนั้นต้องได้รับคำยินยอมจากเจ้าของข้อมูลส่วนบุคคลด้วย
กฎหมาย PDPAได้ถูกประกาศใช้ในราชกิจจานุเบกษา เมื่อวันที่ 27 พฤษภาคม 2562 แต่เลื่อนให้เริ่มมีผลบังคับใช้จริง ในวันที่ 1 มิถุนายน 2565
อะไรที่เรียกว่าเป็นข้อมูลส่วนบุคคลบ้าง?
ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคล ที่ทำให้สามารถระบุตัวบุคคลนั้น ๆ ได้ (ไม่นับผู้ที่เสียชีวิตไปแล้ว) ทั้งข้อมูลทางตรงและทางอ้อมทุกรูปแบบ ไม่ว่าจะเป็นรูปแบบกระดาษ อิเล็กทรอนิกส์ รูปภาพ หรือเสียง โดยครอบคลุมข้อมูลหลัก ๆ ดังนี้
1.ข้อมูลส่วนบุคคล
- ชื่อจริง นามสกุล และชื่อเล่น
- หมายเลขที่สามารถระบุตัวตนได้ เช่น เลขบัตรประชาชน หนังสือเดินทาง ใบขับขี่ บัตรเครดิต ฯลฯ
- ที่อยู่ เบอร์โทรศัพท์ และอีเมล
- ข้อมูลบนอินเทอร์เน็ตที่ระบุตัวตนได้ เช่น ชื่อผู้ใช้งาน-รหัสผ่าน, IP address, GPS Location ฯลฯ
- ข้อมูลทาง Biometrics ที่ระบุตัวตนและพิสูจน์ผู้ใช้งาน เช่น ลายนิ้วมือ สแกนม่านตา พันธุกรรม ฯลฯ
- ข้อมูลระบุทรัพย์สิน เช่น โฉนดที่ดิน ทะเบียนรถ ทะเบียนบ้าน ฯลฯ
- ข้อมูลด้านการเงิน การจ้างงาน และการศึกษา
- ข้อมูลที่สามารถเชื่อมโยงไปจนสามารถระบุตัวตนได้ เช่น วันเดือนปีเกิด น้ำหนักส่วนสูง ฯลฯ
2.ข้อมูลส่วนบุคคลที่มีละเอียดอ่อน
- เชื้อชาติ เผ่าพันธุ์
- ความคิดเห็นทางการเมือง
- ศาสนา ลัทธิ หรือความเชื่อ
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลสุขภาพ เช่น ความพิการ สุขภาพทางกายและจิต ฯลฯ
ผู้ที่เป็นเจ้าของข้อมูลส่วนบุคคล มีสิทธิอะไรบ้าง?
- ได้รับการแจ้งรายละเอียดให้ทราบก่อนที่จะเก็บข้อมูล เช่น จะเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์อะไร
- สามารถขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลได้
- ขอให้แก้ไขหรือโอนย้ายข้อมูลส่วนบุคคลได้
- สามารถเพิกถอนความยินยอมได้
- คัดค้านการเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลได้
- ขอให้ระงับ ลบ หรือทำลายข้อมูลส่วนบุคคล
- สามารถร้องเรียนได้หากพบว่ามีการฝ่าฝืนหรือละเมิดกฎหมาย PDPA
มีโทษอะไรบ้าง หากไม่ปฏิบัติตามกฎหมาย PDPA
- โทษอาญา : จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
- โทษแพ่ง : ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่าของค่าเสียหายจริง
- โทษปกครอง : โทษปรับไม่เกิน 1 , 3 และ 5 ล้านบาท
ถ่ายรูป-คลิปติดหน้าคนอื่น ผิดกฎหมาย PDPA ไหม?
เรื่องที่กลายเป็นประเด็นร้อน หลังประกาศกฎหมาย PDPA ออกมา คือเรื่องของการถ่ายรูป ถ่ายคลิป หรือติดกล้องวงจรปิดแล้วติดภาพผู้อื่น ซึ่งหลายคนกลัวว่าจะเป็นการละเมิดกฎหมาย PDPA หรือเปล่า? สำหรับประเด็นนี้ทางสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้ให้คำตอบไว้ 4 ประเด็น ดังนี้
- การถ่ายรูปหรือถ่ายคลิปติดภาพคนอื่น โดยกระทำไปโดยไม่เจตนา แม้เจ้าตัวยังไม่ได้ให้ความยินยอม แต่หากการถ่ายรูปถ่ายคลิปนั้น ไม่ได้เอาไปใช้ประโยชน์เชิงพาณิชย์ (แสวงหากำไรทางการค้า) และไม่ได้สร้างความเสียหายกับผู้ถูกถ่าย ก็สามารถทำได้
- การนำรูปหรือคลิปที่ติดภาพคนอื่นไปโพสต์ในโซเชียล แม้เจ้าตัวยังไม่ได้ให้ความยินยอม ก็สามารถโพสต์ลงโซเชียลได้ แต่ต้องไม่ใช้ประโยชน์เชิงพาณิชย์ (ตามเหตุผลในข้อที่ 1)
- ติดกล้องวงจรไม่จำเป็นต้องมีป้ายแจ้งเตือน หากทำไปเพื่อป้องกันอาชญากรรม และรักษาความปลอดภัยกับตัวเจ้าของบ้าน
- การจัดงานหรือกิจกรรมที่มีคนจำนวนมาก ทางผู้จัดงานต้องมีเอกสาร หรือข้อความเกี่ยวกับนโยบายข้อมูลส่วนบุคคล (privacy policy หรือ privacy notice) แจ้งผู้ร่วมงานว่าในงานมีการถ่ายรูป หรือบันทึกภาพด้วย
6 กรณียกเว้นของ กฎหมาย PDPA ที่ไม่จำเป็นต้องขอความยินยอม
อย่างที่ทราบกันดีว่า ปัจจัยหลักในการที่จะสามารถนำข้อมูลส่วนบุคคลไปใช้ได้นั้น จะต้องมีการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลนั้น ๆ ก่อน ไม่อย่างนั้นจะถือว่าเป็นการละเมิดกฎหมาย PDPA แต่รู้หรือไม่คะว่า มีข้อยกเว้นอยู่ 6 กรณี ที่สามารถนำข้อมูลส่วนบุคคลไปใช้หรือเผยแพร่ได้ โดยไม่จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลทุกครั้ง โดยมีดังนี้ค่ะ
- เป็นการทำตามสัญญากับเจ้าของข้อมูล เช่น สัญญาซื้อขายบน E-commerce ที่ส่งข้อมูลที่อยู่ของผู้ซื้อให้กับร้านค้าเพื่อจัดส่งสินค้า เป็นต้น
- กฎหมายให้อำนาจในการใช้ข้อมูล เช่น ธนาคารขอสำเนาบัตรประชาชนเพื่อพิสูจน์ตัวตนผู้ใช้บริการ ตามกฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงิน เป็นต้น
- ใช้ข้อมูลเพื่อรักษาชีวิต ร่างกาย หรือสุขภาพ เช่น แพทย์ขอใช้ประวัติการรักษาของเจ้าของข้อมูลจากโรงพยาบาล เพื่อทำการรักษาเจ้าของข้อมูลซึ่งเป็นผู้ป่วย เป็นต้น
- การค้นคว้าวิจัยทางสถิติ เช่น วิจัย เอกสารประวัติศาสตร์ จดหมายเหตุ เพื่อประโยชน์สาธารณะชน
- ใช้ในการปฏิบัติหน้าที่ของรัฐ เช่น ตำรวจขอข้อมูลที่เกี่ยวข้องกับคดีตามกฎหมายอาญา เป็นต้น
- เพื่อปกป้องผลประโยชน์หรือสิทธิโดยชอบด้วยกฎหมาย เช่น การบันทึกภาพกล้องวงจรปิดในสถานที่สาธารณะ เป็นต้น
*หลักการข้างต้นอาจเปลี่ยนแปลงได้ พิจารณาตามข้อเท็จจริงที่เกิดขึ้น
สรุป
ถึงแม้ว่ากฎหมาย PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะเป็นเรื่องใหม่สำหรับคนไทย อย่างไรก็ตาม กฎหมาย PDPA ก็นับเป็นกฎหมายข้อสำคัญหนึ่งที่เราควรศึกษาและพึงตระหนักไว้ เพื่อสิทธิของตนเอง และเพื่อระมัดระวังในตการละเมิดสิทธิของผู้อื่นด้วยค่ะ