สำหรับการประกาศใช้ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ไปเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา ทำให้หลายๆ คน เริ่มตระหนักและอยากรู้จักกับ PDPA ให้มากยิ่งขึ้น ทั้งในแง่ของผู้บริโภคที่ต้องการรักษาสิทธิ์ส่วนตัว และผู้ประกอบธุรกิจที่ต้องการนำข้อมูลของลูกค้ามาใช้งานในด้านต่างๆ ซึ่งในช่วงที่ผ่านมาได้มีกระแสบนโลกออนไลน์หลากหลายแง่มุม จึงยิ่งทำให้ใครหลายๆ คน เกิดความสงสัยและเกิดคำถามเกี่ยวกับ PDPA อย่างมากมาย

วันนี้ Connect X จึงขอมาอาสามาตอบ 8 คำถามยอดฮิตที่คาใจเกี่ยวกับ PDPA เพื่อให้ทุกคนได้รับทราบ เข้าใจ และนำไปปรับใช้งานได้จริง

1. PDPA คืออะไร?

พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) คือ กฎหมายที่ช่วยคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคในทุกช่องทางไม่ว่าจะเป็นช่องทางออนไลน์ (Online) หรือออฟไลน์ (Offline) จากองค์กรทั้งในและต่างประเทศ หากธุรกิจหรือองค์กรใดต้องการจัดเก็บหรือนำข้อมูลส่วนบุคคลของผู้บริโภคไปใช้ประโยชน์จะต้องได้รับความยินยอม (Consent) จากเจ้าของข้อมูลก่อน ซึ่งผู้บริโภคมีสิทธิ์ในการฟ้องร้องหากถูกละเมิดกฎหมายดังกล่าวได้อีกด้วย

2. PDPA มีผลกับใครบ้าง?

พูดได้อย่างเต็มปากว่า PDPA มีผลกับทุกๆ คน ไม่ว่าจะเป็นในแง่ขององค์กรหรือผู้ประกอบการ ผู้บริโภค รวมถึงประชาชนทั่วไป เพราะหากมีการนำข้อมูลของผู้อื่นไปใช้ ไม่ว่าจะเป็นรายละเอียดข้อมูล ภาพถ่าย วิดีโอ ก็จะครอบคลุมอยู่ในกฎหมาย PDPA ซึ่งบุคคลหรือองค์กรที่มีบทบาทเกี่ยวข้องกับกฎหมายดังกล่าว จะแบ่งออกเป็น

• เจ้าของข้อมูล (Data Subject)
• ผู้ควบคุมข้อมูล (Data Controller)
• ผู้ประมวลผลข้อมูล (Data Processor)

3. PDPA คุ้มครองข้อมูลส่วนบุคคลด้านไหน?

ข้อมูลส่วนบุคคล (Personal Data) ที่กฎหมาย PDPA จะครอบคลุมนั้นมีอยู่มากมาย ตั้งแต่ข้อมูลพื้นฐานไปจนถึงข้อมูลที่มีความอ่อนไหว ซึ่งประกอบไปด้วย ชื่อ – นามสกุล, เลขประจำตัวประชาชน, เลขหนังสือเดินทาง, เลขใบอนุญาตขับขี่, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน, ทะเบียนรถยนต์, โฉนดที่ดิน, ทะเบียนบ้าน

ในส่วนของข้อมูลบนอินเทอร์เน็ตก็ครอบคลุมไปถึงข้อมูลที่สามารถใช้ระบุตัวตนได้ อาทิ Username/Password, Cookies IP Address, GPS Location เป็นต้น นอกจากนี้ยังรวมถึงข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) อย่างข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น

เห็นได้ว่า PDPA นั้นเป็นกฎหมายที่สามารถคุ้มครองข้อมูลด้านต่างๆ ของแต่ละบุคคลได้อย่างครอบคลุมเลยทีเดียว

4. ในเมื่อ PDPA มีผลอย่างเป็นทางการแล้ว จะเกิดอะไรขึ้นบ้าง?

ข้อเปลี่ยนแปลงสำคัญอย่างแรกคือ ผู้ที่เป็นเจ้าของข้อมูลจะได้รับการคุ้มครองมากขึ้น และมีสิทธิ์ในการควบคุมการประมวลผลข้อมูล รวมถึงสามารถเรียกร้องหรือฟ้องร้องได้ หากได้รับความเสียหายในกรณีที่มีบุคคลหรือหน่วยงานนำข้อมูลของตนไปใช้โดยไม่ได้รับอนุญาต

ส่วนผู้ที่นำข้อมูลไปใช้ อย่างภาคธุรกิจ องค์กร หน่วยงาน และบุคคล จะต้องขออนุญาตและระมัดระวังในการใช้ข้อมูลดังกล่าว เพื่อประโยชน์ตามที่กฎหมายกำหนด และไม่ทำให้เจ้าของข้อมูลเสียหายหรือเสื่อมเสียชื่อเสียง

ผู้ที่นำข้อมูลไปใช้จะต้องทำตามข้อกำหนด ดังนี้

• ต้องจำกัดการประมวลผลข้อมูลส่วนบุคคลเพียงเท่าที่จำเป็น
• การประมวลผลข้อมูลต้องมีวัตถุประสงค์ ซึ่งมีฐานกฎหมายตามที่ พรบ. กำหนดรองรับ เช่น เป็นการปฏิบัติหน้าที่ตามกฎหมาย ปฏิบัติหน้าที่ตามสัญญา สิทธิ์อันชอบธรรม และหากเป็นการประมวลผลด้วยฐานความยินยอมต้องได้รับความยินยอมก่อน
• ต้องอธิบายและแจ้งรายละเอียดการประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบ
• ต้องมีการรับประกันความมั่นคงและความปลอดภัยของข้อมูล
• หากมีข้อมูลรั่วไหลต้องทำการแจ้งเตือนให้เจ้าของข้อมูลทราบ รวมถึงแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งจะมีการประเมินความเสียหาย และวิธีการเยียวยาเจ้าของข้อมูล

5. ถ่ายภาพหรือวิดีโอแล้วติดบุคคลอื่นผิดหรือไม่?

ถือเป็นหนึ่งในประเด็นที่ได้รับความสนใจค่อนข้างมากในช่วงที่ผ่านมา ซึ่งการถ่ายภาพหรือวิดีโอที่มีหน้าของบุคคลอื่นติดมาด้วยนั้น สามารถแยกได้เป็น 3 กรณี ดังนี้

1. กรณีที่ถ่ายภาพและวิดีโอติดบุคคลอื่นโดยไม่เจตนาหรือไม่ได้ก่อให้เกิดความเสียหาย – ถือว่าสามารถทำได้หากใช้เพื่อวัตถุประสงค์ส่วนตัว และหากมีการนำไปโพสต์ลงโซเชียลมีเดีย ก็สามารถทำได้เช่นเดียวกัน แต่ต้องไม่ใช้เพื่อการแสวงหากำไรทางการค้าและไม่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล
2. กรณีภาพของกล้องวงจรปิดถ่ายติดบุคคลอื่น – หากติดภายในบ้าน โดยมีจุดประสงค์เพื่อป้องกันอาชญากรรมและรักษาความปลอดภัย ไม่จำเป็นต้องมีป้ายแจ้งเตือน แต่หากเป็นกรณีที่ติดตั้งในที่สาธารณะ หน่วยงาน องค์กร ร้านค้า ห้างสรรพสินค้า จะต้องติดป้ายประกาศหรือสติกเกอร์เพื่อแจ้งให้ทราบว่ามีกล้องวงจรปิดและมีการบันทึกข้อมูล เพื่อเป็นการแจ้งให้ผู้คนรับทราบ
3. กรณีของกล้องหน้ารถยนต์ – ไม่จำเป็นต้องติดประกาศแจ้งให้ทราบ หากนำภาพหรือวิดีโอที่มีบุคคลอื่นไปใช้โดยไม่ส่งผลกระทบหรือความเสียหายต่อบุคคลในภาพ/วิดีโอนั้นสามารถทำได้ แต่ไม่สามารถนำไปใช้ทางการค้า สร้างรายได้ สร้างความอับอาย ความเสียหาย หรือใช้ในรูปแบบอื่นๆ ที่ไม่ใช่วัตถุประสงค์ส่วนตัว

6. เจ้าของข้อมูลต้องให้ความยินยอมทุกครั้งก่อนนำข้อมูลไปใช้หรือไม่? 

โดยปกติหากนำข้อมูลส่วนบุคคลไปใช้จะต้องขออนุญาตเจ้าของข้อมูลก่อนทุกครั้ง แต่ PDPA มีข้อยกเว้นที่สามารถนำข้อมูลไปใช้โดยไม่ต้องขอความยินยอม ซึ่งเป็นกรณีดังนี้ 

• เป็นการทำตามสัญญา เช่น เว็บไซต์หรือแอปพลิเคชัน E-Commerce ที่ต้องใช้ชื่อและที่อยู่ในการส่งพัสดุให้ลูกค้า หรือเป็นข้อมูลที่จำเป็นต่อการทำงาน เช่น การเป็นสมาชิกหรือ Subscription Service ที่ต้องใช้ข้อมูลบัตรเครดิต เป็นต้น 
• เป็นการใช้ที่มีกฎหมายให้อำนาจ
• เป็นการใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล รวมถึงป้องกันอันตราย และการป้องกันโรคระบาด
• เป็นการใช้เพื่อการค้นคว้าวิจัยทางสถิติ
• เป็นการใช้เพื่อประโยชน์สาธารณะ
• เป็นการใช้เพื่อปกป้องผลประโยชน์หรือสิทธิ์ของตนเอง
• เป็นการใช้เพื่อดำเนินการเกี่ยวกับเอกสารประวัติศาสตร์
• เป็นการใช้เพื่อประมวลผลเชิงเนื้อหาสำหรับสื่อมวลชน ซึ่งต้องเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น 

ทั้งนี้ หลักการข้างต้น อาจเปลี่ยนแปลงตามข้อเท็จจริงที่เกิดขึ้นเป็นกรณีๆ ไป ถึงไม่ต้องขอความยินยอม แต่ผู้ควบคุมข้อมูลยังต้องรักษาความปลอดภัยของข้อมูลและคำนึงถึงสัดส่วนความจำเป็นของการใช้ข้อมูล และผลกระทบต่อความเป็นส่วนตัวของเจ้าของข้อมูล 

7. เจ้าของข้อมูลส่วนบุคคล มีสิทธิ์อะไรเกี่ยวกับข้อมูลของตนบ้าง?

• สิทธิ์ในการถอดถอนความยินยอมในกรณีที่ได้ให้ความยินยอมไว้
• สิทธิ์ได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice)
• สิทธิ์การขอเข้าถึงและการขอสำเนาข้อมูลส่วนบุคคล 
• สิทธิ์ขอให้โอนข้อมูลส่วนบุคคล
• สิทธิ์คัดค้านการเก็บรวบรวม ใช้งาน หรือเปิดเผยข้อมูลส่วนบุคคล 
• สิทธิ์ขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
• สิทธิ์ขอให้ระงับการใช้ข้อมูลส่วนบุคคล
• สิทธิ์ขอให้แก้ไขข้อมูลส่วนบุคคล
• สิทธิ์ในการร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่มีการฝ่าฝืนและไม่ปฏิบัติตามกฎหมายหรือประกาศที่ออกตามกฎหมาย PDPA

8.หากไม่ปฏิบัติตามกฎหมาย PDPA จะเป็นอย่างไร?

สำหรับผู้ที่นำข้อมูลไปใช้ประโยชน์โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลนั้น ไม่ว่าจะเป็นผู้ควบคุมข้อมูล (Data Controller) และผู้ประมวลผลข้อมูล (Data Processor) จะมีโทษทางกฎหมาย โดยมีรายละเอียดดังนี้

• ความรับผิดทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง
• โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
• โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท

จากที่ Connect X ได้พาเจอคำตอบของคำถามต่างๆ เกี่ยวกับกฎหมาย PDPA กันให้มากยิ่งขึ้นจากคำถามทั้ง 8 ข้อกันไปแล้ว น่าจะช่วยตอบข้อสงสัยของใครหลายๆ คน และช่วยให้เข้าใจเกี่ยวกับ PDPA มากขึ้น รวมถึงตระหนักถึงความสำคัญของการนำข้อมูลส่วนบุคคลของผู้อื่นไปใช้กันมากยิ่งขึ้น ไม่ว่าจะเป็นในมุมของประชาชนทั่วไปที่เป็นผู้บริโภคหรือภาคธุรกิจก็ตาม

หากไม่ปฏิบัติตามกฎหมาย มีการนำข้อมูลไปใช้โดยไม่ได้รับความยินยอมหรือผิดวัตถุประสงค์ ก็อาจก่อให้เกิดความเสียหายต่อทรัพย์สินหรือความเป็นส่วนตัวของเจ้าของข้อมูล และส่งผลกระทบต่อองค์กรเป็นวงกว้าง

นอกจากนี้ องค์กรหรือธุรกิจที่ปฏิบัติตามกฎหมาย PDPA อย่างเคร่งครัด จะช่วยเสิรมสร้างน่าเชื่อถือและภาพลักษณ์ที่ดีให้กับองค์กรได้อีกด้วย สำหรับใครกำลังมองหาตัวช่วยที่ปลอดภัยและสะดวกสบายอยู่นั้น Connect X เป็นแพลตฟอร์ม Customer Data Platform (CDP) ที่รองรับกฎหมาย PDPA และได้รับมาตรฐานการเก็บข้อมูลอย่างปลอดภัย มีมาตรฐาน ISO27001 ซึ่งสามารถช่วยเก็บรวบรวมข้อมูลลูกค้าจากทุกช่องทางไว้ในที่เดียวกัน และยังมี Marketing Automation ที่ช่วยทำการตลาดแบบอัตโนมัติ เพื่อให้ธุรกิจนำข้อมูลมาใช้ได้อย่างสะดวกรวดเร็วและมีประสิทธิภาพ พร้อมความปลอดภัยและมีขั้นตอนการขออนุญาตเก็บข้อมูลที่ถูกต้องตามกฎหมายอย่างแน่นอน