เช็กให้ชัวร์! กฎหมาย PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล อะไรทำได้-อะไรยกเว้นบ้าง?

         ประเทศไทยประกาศบังคับใช้ กฎหมาย PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป ซึ่งข้อบังคับหลายข้อส่งผลกระทบต่อการใช้โซเชียลในชีวิตประจำวัน รวมทั้งหลายคนก็อาจจะยังไม่ทราบรายละเอียดเกี่ยวกับกฎหมายใหม่นี้ ALLWELL จึงได้สรุปข้อมูลเกี่ยวกับกฎหมาย PDPA เพื่อให้เราตระหนักถึงการละเมิดสิทธิผู้อื่น และเข้าใจ-รับรู้ในสิทธิส่วนบุคคลที่เราพึงมีนั่นเองค่ะ

สารบัญ

• กฎหมายPDPA คืออะไร? เจ้าของข้อมูลมีสิทธิเรียกร้องอะไรบ้าง?
• ถ่ายรูป-คลิปติดหน้าคนอื่น ผิดกฎหมาย PDPA ไหม?
• 6 กรณียกเว้นของกฎหมาย PDPA ที่ไม่จำเป็นต้องขอความยินยอม

กฎหมาย PDPA คืออะไร? เจ้าของข้อมูลมีสิทธิเรียกร้องอะไรบ้าง?

         ปฏิเสธไม่ได้ว่า ในปัจจุบันคนเราใช้โซเชียลหรือเครือข่ายออนไลน์ต่าง ๆ ในเกือบทุกกิจกรรมของชีวิต นั่นทำให้ข้อมูลส่วนตัวของเราต้องไปอยู่บนเครือข่ายออนไลน์ ไม่ว่าจะเป็นชื่อจริงนามสกุลจริง เบอร์โทรศัพท์ หรือที่อยู่ ซึ่งคงไม่ดีแน่ หากข้อมูลส่วนตัวของเราเหล่านี้ ถูกเอาไปใช้หรือเผยแพร่โดยที่เราไม่ยินยอม จึงเป็นเหตุว่าทำไม เราถึงต้องมีกฎหมาย PDPA นั่นเองค่ะ

กฎหมาย PDPA คืออะไร?

         กฎหมาย PDPA (Personal Data Protection Act) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล คือ ข้อกฎหมายที่คุ้มครองและให้สิทธิกับเจ้าของข้อมูลส่วนบุคคล และสร้างมาตรฐานให้บุคคลหรือนิติบุคคล เก็บรักษาข้อมูลส่วนบุคคลนั้นให้ปลอดภัย หากนำข้อมูลนั้นไปใช้หรือเผยแพร่ จะต้องใช้ให้ถูกวัตถุประสงค์และปฏิบัติตามกฎที่กำหนดไว้ ที่สำคัญคือข้อมูลนั้นต้องได้รับคำยินยอมจากเจ้าของข้อมูลส่วนบุคคลด้วย

กฎหมาย PDPAได้ถูกประกาศใช้ในราชกิจจานุเบกษา เมื่อวันที่ 27 พฤษภาคม 2562 แต่เลื่อนให้เริ่มมีผลบังคับใช้จริง ในวันที่ 1 มิถุนายน 2565

อะไรที่เรียกว่าเป็นข้อมูลส่วนบุคคลบ้าง?

         ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคล ที่ทำให้สามารถระบุตัวบุคคลนั้น ๆ ได้ (ไม่นับผู้ที่เสียชีวิตไปแล้ว) ทั้งข้อมูลทางตรงและทางอ้อมทุกรูปแบบ ไม่ว่าจะเป็นรูปแบบกระดาษ อิเล็กทรอนิกส์ รูปภาพ หรือเสียง โดยครอบคลุมข้อมูลหลัก ๆ ดังนี้

1.ข้อมูลส่วนบุคคล

• ชื่อจริง นามสกุล และชื่อเล่น
• หมายเลขที่สามารถระบุตัวตนได้ เช่น เลขบัตรประชาชน หนังสือเดินทาง ใบขับขี่ บัตรเครดิต ฯลฯ
• ที่อยู่ เบอร์โทรศัพท์ และอีเมล
• ข้อมูลบนอินเทอร์เน็ตที่ระบุตัวตนได้ เช่น ชื่อผู้ใช้งาน-รหัสผ่าน, IP address, GPS Location ฯลฯ
• ข้อมูลทาง Biometrics ที่ระบุตัวตนและพิสูจน์ผู้ใช้งาน เช่น ลายนิ้วมือ สแกนม่านตา พันธุกรรม ฯลฯ
• ข้อมูลระบุทรัพย์สิน เช่น โฉนดที่ดิน ทะเบียนรถ ทะเบียนบ้าน ฯลฯ
• ข้อมูลด้านการเงิน การจ้างงาน และการศึกษา
• ข้อมูลที่สามารถเชื่อมโยงไปจนสามารถระบุตัวตนได้ เช่น วันเดือนปีเกิด น้ำหนักส่วนสูง ฯลฯ

2.ข้อมูลส่วนบุคคลที่มีละเอียดอ่อน

• เชื้อชาติ เผ่าพันธุ์
• ความคิดเห็นทางการเมือง
• ศาสนา ลัทธิ หรือความเชื่อ
• พฤติกรรมทางเพศ
• ประวัติอาชญากรรม
• ข้อมูลสุขภาพ เช่น ความพิการ สุขภาพทางกายและจิต ฯลฯ

ผู้ที่เป็นเจ้าของข้อมูลส่วนบุคคล มีสิทธิอะไรบ้าง?

• ได้รับการแจ้งรายละเอียดให้ทราบก่อนที่จะเก็บข้อมูล เช่น จะเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์อะไร
• สามารถขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลได้
• ขอให้แก้ไขหรือโอนย้ายข้อมูลส่วนบุคคลได้
• สามารถเพิกถอนความยินยอมได้
• คัดค้านการเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลได้
• ขอให้ระงับ ลบ หรือทำลายข้อมูลส่วนบุคคล
• สามารถร้องเรียนได้หากพบว่ามีการฝ่าฝืนหรือละเมิดกฎหมาย PDPA

มีโทษอะไรบ้าง หากไม่ปฏิบัติตามกฎหมาย PDPA

• โทษอาญา : จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
• โทษแพ่ง : ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่าของค่าเสียหายจริง
• โทษปกครอง : โทษปรับไม่เกิน 1 , 3 และ 5 ล้านบาท

ถ่ายรูป-คลิปติดหน้าคนอื่น ผิดกฎหมาย PDPA ไหม?

         เรื่องที่กลายเป็นประเด็นร้อน หลังประกาศกฎหมาย PDPA ออกมา คือเรื่องของการถ่ายรูป ถ่ายคลิป หรือติดกล้องวงจรปิดแล้วติดภาพผู้อื่น ซึ่งหลายคนกลัวว่าจะเป็นการละเมิดกฎหมาย PDPA หรือเปล่า? สำหรับประเด็นนี้ทางสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้ให้คำตอบไว้ 4 ประเด็น ดังนี้

1. การถ่ายรูปหรือถ่ายคลิปติดภาพคนอื่น โดยกระทำไปโดยไม่เจตนา แม้เจ้าตัวยังไม่ได้ให้ความยินยอม แต่หากการถ่ายรูปถ่ายคลิปนั้น ไม่ได้เอาไปใช้ประโยชน์เชิงพาณิชย์ (แสวงหากำไรทางการค้า) และไม่ได้สร้างความเสียหายกับผู้ถูกถ่าย ก็สามารถทำได้
2. การนำรูปหรือคลิปที่ติดภาพคนอื่นไปโพสต์ในโซเชียล แม้เจ้าตัวยังไม่ได้ให้ความยินยอม ก็สามารถโพสต์ลงโซเชียลได้ แต่ต้องไม่ใช้ประโยชน์เชิงพาณิชย์ (ตามเหตุผลในข้อที่ 1)
3. ติดกล้องวงจรไม่จำเป็นต้องมีป้ายแจ้งเตือน หากทำไปเพื่อป้องกันอาชญากรรม และรักษาความปลอดภัยกับตัวเจ้าของบ้าน
4. การจัดงานหรือกิจกรรมที่มีคนจำนวนมาก ทางผู้จัดงานต้องมีเอกสาร หรือข้อความเกี่ยวกับนโยบายข้อมูลส่วนบุคคล (privacy policy หรือ privacy notice) แจ้งผู้ร่วมงานว่าในงานมีการถ่ายรูป หรือบันทึกภาพด้วย

6 กรณียกเว้นของ กฎหมาย PDPA ที่ไม่จำเป็นต้องขอความยินยอม

         อย่างที่ทราบกันดีว่า ปัจจัยหลักในการที่จะสามารถนำข้อมูลส่วนบุคคลไปใช้ได้นั้น จะต้องมีการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลนั้น ๆ ก่อน ไม่อย่างนั้นจะถือว่าเป็นการละเมิดกฎหมาย PDPA แต่รู้หรือไม่คะว่า มีข้อยกเว้นอยู่ 6 กรณี ที่สามารถนำข้อมูลส่วนบุคคลไปใช้หรือเผยแพร่ได้ โดยไม่จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูลทุกครั้ง โดยมีดังนี้ค่ะ

1. เป็นการทำตามสัญญากับเจ้าของข้อมูล เช่น สัญญาซื้อขายบน E-commerce ที่ส่งข้อมูลที่อยู่ของผู้ซื้อให้กับร้านค้าเพื่อจัดส่งสินค้า เป็นต้น
2. กฎหมายให้อำนาจในการใช้ข้อมูล เช่น ธนาคารขอสำเนาบัตรประชาชนเพื่อพิสูจน์ตัวตนผู้ใช้บริการ ตามกฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงิน เป็นต้น
3. ใช้ข้อมูลเพื่อรักษาชีวิต ร่างกาย หรือสุขภาพ เช่น แพทย์ขอใช้ประวัติการรักษาของเจ้าของข้อมูลจากโรงพยาบาล เพื่อทำการรักษาเจ้าของข้อมูลซึ่งเป็นผู้ป่วย เป็นต้น
4. การค้นคว้าวิจัยทางสถิติ เช่น วิจัย เอกสารประวัติศาสตร์ จดหมายเหตุ เพื่อประโยชน์สาธารณะชน
5. ใช้ในการปฏิบัติหน้าที่ของรัฐ เช่น ตำรวจขอข้อมูลที่เกี่ยวข้องกับคดีตามกฎหมายอาญา เป็นต้น
6. เพื่อปกป้องผลประโยชน์หรือสิทธิโดยชอบด้วยกฎหมาย เช่น การบันทึกภาพกล้องวงจรปิดในสถานที่สาธารณะ เป็นต้น

*หลักการข้างต้นอาจเปลี่ยนแปลงได้ พิจารณาตามข้อเท็จจริงที่เกิดขึ้น

สรุป

         ถึงแม้ว่ากฎหมาย PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะเป็นเรื่องใหม่สำหรับคนไทย อย่างไรก็ตาม กฎหมาย PDPA ก็นับเป็นกฎหมายข้อสำคัญหนึ่งที่เราควรศึกษาและพึงตระหนักไว้ เพื่อสิทธิของตนเอง และเพื่อระมัดระวังในตการละเมิดสิทธิของผู้อื่นด้วยค่ะ