ทำความเข้าใจ กม. “PDPA” คุ้มครองข้อมูลบุคคล 1 มิ.ย.นี้
วันที่ 1 มิ.ย.นี้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะเริ่มมีผลบังคับใช้ หากใครนำข้อมูลผู้อื่นไปใช้ โดยไม่ได้รับอนุญาตต้องได้รับโทษทางกฎหมาย และยังบังคับใช้กับบริษัทในต่างประเทศที่เสนอขายสินค้าคนไทย
ผู้สื่อข่าวรายงานว่า ในวันที่ 1 มิถุนายนนี้ “พระราชาบัญญัติ (พ.ร.บ.) คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” หรือ “PDPA” เริ่มบังคับใช้ ซึ่งเป็นแนวทางในการปกป้องสิทธิข้อมูลส่วนบุคคลในระดับสากล ซึ่งคนไทยทุกคนจะได้รับรองสิทธิตามกฎหมายในการปกป้องข้อมูลส่วนตัวของตนเอง
สำหรับ “PDPA” ย่อมาจาก Personal Data Protection Ac t ซึ่งหมายถึง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยสาเหตุหลักที่ประเทศไทยต้องมี พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เนื่องจากสหภาพยุโรป (European Union: EU) ได้ออก GDPR ( General Data Protection Regulation) เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล บังคับใช้เมื่อ 25 พฤษภาคม พ.ศ. 2561 ซึ่งนอกจากมีผลบังคับใช้แก่การส่งข้อมูลภายในประเทศสมาชิกสหภาพยุโรปแล้ว ผู้ประกอบการในไทยที่ต้องติดต่อ รับส่งข้อมูลส่วนบุคคลของประชาชนในประเทศที่เป็นสมาชิกสหภาพยุโรป (Cross-Border Data Transfer Issues) ก็ต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมและเพียงพอด้วย
นอกจากนี้ ความน่าเชื่อถือในมาตรการคุ้มครองข้อมูลส่วนบุคคลของประเทศ มีผลกระทบต่อการค้าระหว่างประเทศ และการทำธุรกิจระหว่างประเทศ หากประเทศไทยไม่มีกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ย่อมทำให้เสียโอกาสและความเชื่อมั่นจากกลุ่มประเทศในสหภาพยุโรป และอาจรวมไปถึงประชาคมโลกที่กำลังตื่นตัวเรื่อง Data Protection หลังเกิดเหตุการณ์ใหญ่ๆ เช่น การรั่วไหลของข้อมูลส่วนบุคคลของผู้ใช้เฟซบุ๊กหลายล้านบัญชี
โดยสาระสำคัญของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มี 3 ประเด็นหลักที่ประชาชนต้องทำความเข้าใจ ได้แก่ เจ้าของข้อมูลต้องให้ความยินยอม (Consent) ในการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ผู้เก็บรวบรวม ผู้ใช้ แจ้งไว้ตั้งแต่แรกแล้วเท่านั้น หมายความว่า ต้องขออนุมัติจากเจ้าของข้อมูลก่อน เช่น หากแอปพลิชันหนึ่งจะเก็บข้อมูลบัตรเครดิตของเราไว้ในระบบ ก็ต้องมีข้อความให้เรากดยืนยันเพื่อยินยอม พร้อมแจ้งวัตถุประสงค์ในการเก็บรวบรวม และการใช้ หากเราไม่ยินยอมให้ใช้ข้อมูลบัตรเครดิต ผู้ให้บริการแอปพลิเคชันนั้นก็ไม่สามารถใช้ข้อมูลบัตรเครดิตของเราได้
ผู้เก็บรวบรวมข้อมูลต้องรักษาความมั่นคงปลอดภัยของข้อมูล ไม่ให้มีการเปลี่ยนแปลงแก้ไข หรือถูกเข้าถึงโดยผู้ที่ไม่เกี่ยวข้องกับข้อมูล เช่น สถานพยาบาลจะต้องเก็บข้อมูลของผู้ป่วยให้เป็นความลับและไม่เปิดเผยให้กับผู้อื่น ธนาคารต้องเก็บรักษาข้อมูลเกี่ยวกับรายการถอน
เจ้าของข้อมูลมีสิทธิ์ถอนความยินยอม ขอให้ลบหรือทำลายข้อมูลเมื่อใดก็ได้ หากเป็นความประสงค์ของเจ้าของข้อมูล
เมื่อพิจารณาจากสาระสำคัญของกฎหมาย PDPA แล้ว ผู้ที่มีส่วนเกี่ยวข้องกับ “ข้อมูลส่วนบุคคล” ตามกฎหมายไว้ 3 กลุ่ม ได้แก่ “เจ้าของข้อมูลส่วนบุคคล” , “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวมหรือ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล, และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
โดยตั้งแต่วันที่ 1 มิถุนายนเป็นต้นไป “ผู้ควบคุมข้อมูลส่วนบุคคล” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” จะต้องได้รับความยินยอมจาก ”เจ้าของข้อมูลส่วนบุคคล” ทั้งก่อน หรือขณะเก็บข้อมูลส่วนบุคคล และต้องทำเป็นหนังสือหรือทำผ่านระบบอิเล็กทรอนิกส์ พร้อมแจ้งวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และต้องแยกส่วน ใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวง โดยมีความเป็นอิสระในการให้ความยินยอม และสามารถถอนความยินยอมเมื่อใดก็ได้ เว้นแต่มีข้อจำกัดสิทธิ
ขณะเดียวกันกฎหมาย PDPA ยังมีผลบังคับใช้กับ “ผู้ควบคุมข้อมูลส่วนบุคคล” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” นอกราชอาณาจักร หากเป็นการเสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูล ซึ่งอยู่ในราชอาณาจักรไม่ว่าจะมีการชำระเงินหรือไม่ และการเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลที่เกิดขึ้นในราชอาณาจักร
สำหรับข้อมูลส่วนบุคคล ที่เข้าข่ายได้รับการคุ้มครองทั้งทางตรงและทางอ้อม ได้แก่ เลขประจำตัวประชาชน, ชื่อ-นามสกุล, ที่อยู่, เบอร์โทรศัพท์, อีเมล, ข้อมูลทางการเงิน, เชื้อชาติ, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสุขภาพ เป็นต้น
ทั้งนี้หาก”ผู้ควบคุมข้อมูลส่วนบุคคล” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ฝ่าฝืนกฎหมาย PDPA ย่อมรับผิดทางแพ่ง และทางอาญา ไม่ว่าจะเป็น การทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสีย ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย มีโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท, การใช้ประโยชน์ทางกฎหมาย เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น มีโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท ทั้งนี้ในกรณีที่ผู้กระทำความผิด เป็นนิติบุคคล หากกรรมการผู้จัดการ หรือบุคคลที่ได้รับผิดชอบ สั่งการหรือกระทำหรือละเว้นไม่สั่งการหรือไม่กระทำ จนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ต้องรับโทษในคดีอาญานั้นไว้ด้วย
การล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ ตาม พ.ร.บ. นี้ ห้ามนำไปเผยแพร่แก่ผู้อื่น (เว้นแต่มีอำนาจหน้าที่ตามกฎหมาย) มีโทษจำคุกไม่เกิน 6 เดือน หรือ ปรับไม่เกิน 5 แสนบาท และยังมีโทษทางปกครอง หากการดำเนินการไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ไม่ให้เจ้าขอข้อมูลเข้าถึงตามสิทธิ ฯลฯ มีโทษปรับไม่เกิน 1 ล้านบาท หรือ เป็นเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย มีโทษปรับไม่เกิน 3 ล้านบาท และหากเป็นการเก็บข้อมูลส่วนบุคคลอ่อนไหว โดยไม่ชอบด้วยกฎหมาย มีโทษปรับไม่เกิน 5 ล้านบาท
อย่างไรก็ตาม กฎหมาย PDPA จะไม่ใช้บังคับกับ การเก็บรวบรวม ใช้ หรือเปิดเผย เพื่อประโยชน์ส่วนตน หรือ เพื่อกิจกรรมในครอบครัวของบุคคลนั้น, การดำเนินการของหน่วยงานรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ความมั่นคงทางการคลังของรัฐ การรักษาความปลอดภัยของประชาชน การป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์การรักษาความมั่นคงปลอดภัยทางไซเบอร์, การเก็บรวบรวมเพื่อกิจการสื่อสารมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพ หรือเป็นประโยชน์สาธารณะเท่านั้น, การพิจารณาพิพากษาคดีของศาล และการดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต