other

ห้ามพลาด! รวม 8 คำถามน่ารู้เกี่ยวกับ พรบ PDPA ที่ทุกคนควรเข้าใจ

พรบ-PDPA
08
มี.ค.

ห้ามพลาด! รวม 8 คำถามน่ารู้เกี่ยวกับ พรบ PDPA ที่ทุกคนควรเข้าใจ

ในยุคที่ข้อมูลคือทรัพย์สินของธุรกิจ และความเป็นส่วนตัวคือสิทธิ์ของผู้บริโภค การรู้จักและเข้าใจ พรบ PDPA (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) จึงไม่ใช่เรื่องไกลตัวอีกต่อไป ไม่ว่าคุณจะเป็นผู้บริโภค เจ้าของธุรกิจ หรือแม้แต่องค์กรขนาดใหญ่

ตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นมา กฎหมาย PDPA ได้บังคับใช้อย่างเป็นทางการ และเริ่มส่งผลจริงจังทั้งในแง่ของสิทธิ์ทางกฎหมาย และการดำเนินงานของภาคธุรกิจ

วันนี้ Connect X ขอรวบรวม 8 คำถามยอดฮิต ที่หลายคนสงสัยเกี่ยวกับ พรบ PDPA พร้อมคำตอบแบบเข้าใจง่าย ใช้งานได้จริง ไม่ว่าจะในฐานะเจ้าของข้อมูลหรือผู้ที่มีหน้าที่ดูแลข้อมูลเหล่านี้

1. พรบ PDPA คืออะไร?

พรบ PDPA หรือชื่อเต็มว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act) คือกฎหมายที่ถูกตราขึ้นเพื่อคุ้มครอง “ข้อมูลส่วนบุคคล” ของประชาชนจากการถูกเก็บ ใช้ หรือเปิดเผย โดยไม่ได้รับอนุญาตหรือความยินยอมจากเจ้าของข้อมูลอย่างชัดเจน

กฎหมายนี้ถือเป็นการยกระดับมาตรฐานด้านความเป็นส่วนตัวของข้อมูลในประเทศไทยให้เทียบเท่าสากล เช่น GDPR ของสหภาพยุโรป โดยกำหนดให้ทุกหน่วยงาน ไม่ว่าจะเป็นภาครัฐหรือเอกชน ที่มีการจัดเก็บข้อมูลส่วนบุคคลของบุคคลใดก็ตาม ต้องมีหน้าที่ในการ:

  • ขอ ความยินยอม จากเจ้าของข้อมูลอย่างโปร่งใส

  • แจ้งวัตถุประสงค์ในการใช้งานอย่างชัดเจน

  • ให้สิทธิ์เจ้าของข้อมูลในการควบคุม แก้ไข ถอนความยินยอม หรือลบข้อมูลของตน

พรบ PDPA มีผลบังคับใช้กับการจัดการข้อมูลทั้งในรูปแบบ ออนไลน์ (Online) และ ออฟไลน์ (Offline) ครอบคลุมตั้งแต่เว็บไซต์ แอปพลิเคชัน ระบบ CRM ไปจนถึงการเก็บข้อมูลจากฟอร์มเอกสาร หรือบันทึกกล้องวงจรปิด

ที่สำคัญคือ กฎหมายนี้ไม่ได้จำกัดเฉพาะองค์กรภายในประเทศเท่านั้น หากเป็นองค์กรต่างชาติที่มีการเก็บหรือใช้ข้อมูลของบุคคลที่อยู่ในประเทศไทย เช่น แพลตฟอร์มอีคอมเมิร์ซ หรือบริการออนไลน์ที่ให้บริการคนไทย ก็ต้องปฏิบัติตาม พรบ PDPA เช่นเดียวกัน

2. กฎหมาย PDPA มีผลกับใครบ้าง?

พรบ PDPA ไม่ใช่กฎหมายเฉพาะสำหรับองค์กรขนาดใหญ่ หรือธุรกิจที่เก็บข้อมูลปริมาณมหาศาลเท่านั้น แต่เป็นกฎหมายที่ มีผลกระทบต่อ “ทุกคน” ที่มีส่วนเกี่ยวข้องกับการเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลของผู้อื่น ไม่ว่าจะโดยตรงหรือโดยอ้อม

ผู้ที่อยู่ภายใต้กฎหมายนี้ประกอบด้วยทั้ง:

  • บุคคลทั่วไป ที่อาจถ่ายภาพหรือโพสต์ข้อมูลของผู้อื่นลงบนโซเชียลมีเดีย

  • ผู้ประกอบการรายย่อย (SME / เจ้าของกิจการส่วนตัว) ที่เก็บข้อมูลลูกค้าเพื่อการสั่งซื้อ สมัครสมาชิก หรือทำการตลาด

  • บริษัทและองค์กรขนาดใหญ่ ที่ใช้ข้อมูลเพื่อวิเคราะห์พฤติกรรมลูกค้า หรือดำเนินธุรกิจในระดับระบบ

  • หน่วยงานภาครัฐ ที่จัดเก็บข้อมูลประชาชนเพื่อใช้ในบริการสาธารณะ

ในระบบของ PDPA จะมีการระบุบทบาทหลักของผู้เกี่ยวข้องไว้ 3 กลุ่ม ได้แก่:

  • เจ้าของข้อมูล (Data Subject): บุคคลที่ข้อมูลนั้นเป็นของเขา เช่น ลูกค้า พนักงาน สมาชิก หรือผู้ใช้งานทั่วไป ซึ่งมีสิทธิ์ในการควบคุม แก้ไข ถอน หรือร้องเรียนเกี่ยวกับข้อมูลของตน

  • ผู้ควบคุมข้อมูล (Data Controller): องค์กรหรือบุคคลที่มีอำนาจในการตัดสินใจว่าจะเก็บ ใช้ หรือเปิดเผยข้อมูลเพื่อวัตถุประสงค์ใด เช่น บริษัทที่เก็บข้อมูลลูกค้าหรือจัดทำฐานข้อมูลสมาชิก

  • ผู้ประมวลผลข้อมูล (Data Processor): บุคคลหรือหน่วยงานที่ดำเนินการเกี่ยวกับข้อมูลตามคำสั่งของผู้ควบคุมข้อมูล เช่น ผู้ให้บริการระบบคลาวด์ บริษัทเอาท์ซอร์ส หรือเอเจนซี่การตลาด

ไม่ว่าคุณจะอยู่ในบทบาทใด หากมีการเข้าถึงหรือใช้ข้อมูลส่วนบุคคลของผู้อื่นในบริบทของธุรกิจหรือกิจกรรมสาธารณะ ก็ต้อง ปฏิบัติตามกฎหมาย พรบ PDPA อย่างเคร่งครัด เพื่อหลีกเลี่ยงความเสี่ยงทางกฎหมายและรักษาความไว้วางใจจากผู้เกี่ยวข้อง

3. PDPA คุ้มครองข้อมูลส่วนบุคคลด้านไหน?

ข้อมูลส่วนบุคคล (Personal Data) ที่กฎหมาย PDPA จะครอบคลุมนั้นมีอยู่มากมาย ตั้งแต่ข้อมูลพื้นฐานไปจนถึงข้อมูลที่มีความอ่อนไหว ซึ่งประกอบไปด้วย ชื่อ – นามสกุล, เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขใบอนุญาตขับขี่, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน, ทะเบียนรถยนต์, โฉนดที่ดิน, ทะเบียนบ้าน

ในส่วนของข้อมูลบนอินเทอร์เน็ตก็ครอบคลุมไปถึงข้อมูลที่สามารถใช้ระบุตัวตนได้ อาทิ Username/Password, Cookies IP Address, GPS Location เป็นต้น นอกจากนี้ยังรวมถึงข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) อย่างข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น

เห็นได้ว่า PDPA นั้นเป็นกฎหมายที่สามารถคุ้มครองข้อมูลด้านต่างๆ ของแต่ละบุคคลได้อย่างครอบคลุมเลยทีเดียว

4. ในเมื่อ PDPA มีผลอย่างเป็นทางการแล้ว จะเกิดอะไรขึ้นบ้าง?

ข้อเปลี่ยนแปลงสำคัญอย่างแรกคือ ผู้ที่เป็นเจ้าของข้อมูลจะได้รับการคุ้มครองมากขึ้น และมีสิทธิ์ในการควบคุมการประมวลผลข้อมูล รวมถึงสามารถเรียกร้องหรือฟ้องร้องได้ หากได้รับความเสียหายในกรณีที่มีบุคคลหรือหน่วยงานนำข้อมูลของตนไปใช้โดยไม่ได้รับอนุญาต

ส่วนผู้ที่นำข้อมูลไปใช้ อย่างภาคธุรกิจ องค์กร หน่วยงาน และบุคคล จะต้องขออนุญาตและระมัดระวังในการใช้ข้อมูลดังกล่าว เพื่อประโยชน์ตามที่กฎหมายกำหนด และไม่ทำให้เจ้าของข้อมูลเสียหายหรือเสื่อมเสียชื่อเสียง

ผู้ที่นำข้อมูลไปใช้จะต้องทำตามข้อกำหนด ดังนี้

  • ต้องจำกัดการประมวลผลข้อมูลส่วนบุคคลเพียงเท่าที่จำเป็น
  • การประมวลผลข้อมูลต้องมีวัตถุประสงค์ ซึ่งมีฐานกฎหมายตามที่ พรบ. กำหนดรองรับ เช่น เป็นการปฏิบัติหน้าที่ตามกฎหมาย ปฏิบัติหน้าที่ตามสัญญา สิทธิ์อันชอบธรรม และหากเป็นการประมวลผลด้วยฐานความยินยอมต้องได้รับความยินยอมก่อน
  • ต้องอธิบายและแจ้งรายละเอียดการประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบ
  • ต้องมีการรับประกันความมั่นคงและความปลอดภัยของข้อมูล
  • หากมีข้อมูลรั่วไหลต้องทำการแจ้งเตือนให้เจ้าของข้อมูลทราบ รวมถึงแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งจะมีการประเมินความเสียหาย และวิธีการเยียวยาเจ้าของข้อมูล

5. ถ่ายภาพหรือวิดีโอแล้วติดบุคคลอื่นผิดหรือไม่?

ถือเป็นหนึ่งในประเด็นที่ได้รับความสนใจค่อนข้างมากในช่วงที่ผ่านมา ซึ่งการถ่ายภาพหรือวิดีโอที่มีหน้าของบุคคลอื่นติดมาด้วยนั้น สามารถแยกได้เป็น 3 กรณี ดังนี้

  1. กรณีที่ถ่ายภาพและวิดีโอติดบุคคลอื่นโดยไม่เจตนาหรือไม่ได้ก่อให้เกิดความเสียหาย – ถือว่าสามารถทำได้หากใช้เพื่อวัตถุประสงค์ส่วนตัว และหากมีการนำไปโพสต์ลงโซเชียลมีเดีย ก็สามารถทำได้เช่นเดียวกัน แต่ต้องไม่ใช้เพื่อการแสวงหากำไรทางการค้าและไม่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล
  2. กรณีภาพของกล้องวงจรปิดถ่ายติดบุคคลอื่น – หากติดภายในบ้าน โดยมีจุดประสงค์เพื่อป้องกันอาชญากรรมและรักษาความปลอดภัย ไม่จำเป็นต้องมีป้ายแจ้งเตือน แต่หากเป็นกรณีที่ติดตั้งในที่สาธารณะ หน่วยงาน องค์กร ร้านค้า ห้างสรรพสินค้า จะต้องติดป้ายประกาศหรือสติกเกอร์เพื่อแจ้งให้ทราบว่ามีกล้องวงจรปิดและมีการบันทึกข้อมูล เพื่อเป็นการแจ้งให้ผู้คนรับทราบ
  3. กรณีของกล้องหน้ารถยนต์ – ไม่จำเป็นต้องติดประกาศแจ้งให้ทราบ หากนำภาพหรือวิดีโอที่มีบุคคลอื่นไปใช้โดยไม่ส่งผลกระทบหรือความเสียหายต่อบุคคลในภาพ/วิดีโอนั้นสามารถทำได้ แต่ไม่สามารถนำไปใช้ทางการค้า สร้างรายได้ สร้างความอับอาย ความเสียหาย หรือใช้ในรูปแบบอื่นๆ ที่ไม่ใช่วัตถุประสงค์ส่วนตัว

6. เจ้าของข้อมูลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้หรือไม่?

โดยปกติหากนำข้อมูลส่วนบุคคลไปใช้จะต้องขออนุญาตเจ้าของข้อมูลก่อนทุกครั้ง แต่ PDPA มีข้อยกเว้นที่สามารถนำข้อมูลไปใช้โดยไม่ต้องขอความยินยอม ซึ่งเป็นกรณีดังนี้

  • เป็นการทำตามสัญญา เช่น เว็บไซต์หรือแอปพลิเคชัน E-Commerce ที่ต้องใช้ชื่อและที่อยู่ในการส่งพัสดุให้ลูกค้า หรือเป็นข้อมูลที่จำเป็นต่อการทำงาน เช่น การเป็นสมาชิกหรือ Subscription Service ที่ต้องใช้ข้อมูลบัตรเครดิต เป็นต้น
  • เป็นการใช้ที่มีกฎหมายให้อำนาจ
  • เป็นการใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล รวมถึงป้องกันอันตราย และการป้องกันโรคระบาด
  • เป็นการใช้เพื่อการค้นคว้าวิจัยทางสถิติ
  • เป็นการใช้เพื่อประโยชน์สาธารณะ
  • เป็นการใช้เพื่อปกป้องผลประโยชน์หรือสิทธิ์ของตนเอง
  • เป็นการใช้เพื่อดำเนินการเกี่ยวกับเอกสารประวัติศาสตร์
  • เป็นการใช้เพื่อประมวลผลเชิงเนื้อหาสำหรับสื่อมวลชน ซึ่งต้องเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น

ทั้งนี้ หลักการข้างต้น อาจเปลี่ยนแปลงตามข้อเท็จจริงที่เกิดขึ้นเป็นกรณีๆ ไป ถึงไม่ต้องขอความยินยอม แต่ผู้ควบคุมข้อมูลยังต้องรักษาความปลอดภัยของข้อมูลและคำนึงถึงสัดส่วนความจำเป็นของการใช้ข้อมูล และผลกระทบต่อความเป็นส่วนตัวของเจ้าของข้อมูล

7. เจ้าของข้อมูลส่วนบุคคล มีสิทธิ์อะไรเกี่ยวกับข้อมูลของตนบ้าง?

  • สิทธิ์ในการถอดถอนความยินยอมในกรณีที่ได้ให้ความยินยอมไว้
  • สิทธิ์ได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice)
  • สิทธิ์การขอเข้าถึงและการขอสำเนาข้อมูลส่วนบุคคล
  • สิทธิ์ขอให้โอนข้อมูลส่วนบุคคล
  • สิทธิ์คัดค้านการเก็บรวบรวม ใช้งาน หรือเปิดเผยข้อมูลส่วนบุคคล
  • สิทธิ์ขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
  • สิทธิ์ขอให้ระงับการใช้ข้อมูลส่วนบุคคล
  • สิทธิ์ขอให้แก้ไขข้อมูลส่วนบุคคล
  • สิทธิ์ในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่มีการฝ่าฝืนและไม่ปฏิบัติตามกฎหมายหรือประกาศที่ออกตามกฎหมาย PDPA

8. หากไม่ปฏิบัติตามกฎหมาย PDPA จะเป็นอย่างไร?

สำหรับผู้ที่นำข้อมูลไปใช้ประโยชน์โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลนั้น ไม่ว่าจะเป็นผู้ควบคุมข้อมูล (Data Controller) และผู้ประมวลผลข้อมูล (Data Processor) จะมีโทษทางกฎหมาย โดยมีรายละเอียดดังนี้

  • ความรับผิดทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง
  • โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
  • โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท

จากที่ Connect X ได้พาเจอคำตอบของคำถามต่างๆ เกี่ยวกับกฎหมาย PDPA กันให้มากยิ่งขึ้นจากคำถามทั้ง 8 ข้อกันไปแล้ว น่าจะช่วยตอบข้อสงสัยของใครหลายๆ คน และช่วยให้เข้าใจเกี่ยวกับ PDPA มากขึ้น รวมถึงตระหนักถึงความสำคัญของการนำข้อมูลส่วนบุคคลของผู้อื่นไปใช้กันมากยิ่งขึ้น ไม่ว่าจะเป็นในมุมของประชาชนทั่วไปที่เป็นผู้บริโภคหรือภาคธุรกิจก็ตาม

หากไม่ปฏิบัติตามกฎหมาย มีการนำข้อมูลไปใช้โดยไม่ได้รับความยินยอมหรือผิดวัตถุประสงค์ ก็อาจก่อให้เกิดความเสียหายต่อทรัพย์สินหรือความเป็นส่วนตัวของเจ้าของข้อมูล และส่งผลกระทบต่อองค์กรเป็นวงกว้าง

นอกจากนี้ องค์กรหรือธุรกิจที่ปฏิบัติตามกฎหมาย PDPA อย่างเคร่งครัด จะช่วยเสิรมสร้างน่าเชื่อถือและภาพลักษณ์ที่ดีให้กับองค์กรได้อีกด้วย สำหรับใครกำลังมองหาตัวช่วยที่ปลอดภัยและสะดวกสบายอยู่นั้น Connect X เป็นแพลตฟอร์ม Customer Data Platform (CDP) ที่รองรับกฎหมาย PDPA และได้รับมาตรฐานการเก็บข้อมูลอย่างปลอดภัย มีมาตรฐาน ISO27001 ซึ่งสามารถช่วยเก็บรวบรวมข้อมูลลูกค้าจากทุกช่องทางไว้ในที่เดียวกัน และยังมี Marketing Automation ที่ช่วยทำการตลาดแบบอัตโนมัติ เพื่อให้ธุรกิจนำข้อมูลมาใช้ได้อย่างสะดวกรวดเร็วและมีประสิทธิภาพ พร้อมความปลอดภัยและมีขั้นตอนการขออนุญาตเก็บข้อมูลที่ถูกต้องตามกฎหมายอย่างแน่นอน

ลงทะเบียนรับคำปรึกษาฟรี !

*รับคำปรึกษาจากผู้เชี่ยวชาญด้าน Digital Transformation พร้อมแนะนำ Marketing Technology (MarTech) และ CDP ที่ตอบโจทย์ธุรกิจยุคใหม่โดยเฉพาะ

    Yearly Budget

    How do you know us?

    Our Latest Blog Posts