PDPA คืออะไร? รู้จักกับกฎหมาย PDPA พรบ. คุ้มครองที่ทุกคนควรรู้

PDPA คืออะไร? รู้จักกับกฎหมาย PDPA พรบ. คุ้มครองที่ทุกคนควรรู้

จากปัญหาจากการละเมิดข้อมูลที่เรามักจะพบเห็นตามข่าวหรือสื่อต่าง ๆ ในปัจจุบัน มักจะเกี่ยวข้องกับการโจรกรรมข้อมูลส่วนบุคคล เพื่อใช้แอบอ้าง ทำให้เสียชื่อเสียง หรือนำข้อมูลเหล่านั้นไปขายต่อในเว็บมืด จึงต้องมี พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ กฎหมาย PDPA เพื่อปกป้องสิทธิในข้อมูลส่วนบุคคล และลงโทษผู้ที่กระทำผิด โดยข้อ กฎหมาย PDPA นี้ นอกจากจะมีจุดประสงค์ เพื่อบังคับใช้ในระดับบุคคลแล้ว องค์กรต่าง ๆ ที่เป็นผู้จัดเก็บ ประมวลผล และเผยแพร่ข้อมูล ก็ต้องให้ความสำคัญกับกฎหมายข้อนี้เช่นกัน เพื่อให้สามารถรักษาความปลอดภัยของข้อมูล บทความนี้เราจะมาเจาะลึกกันว่า PDPA คืออะไร? และมีข้อมูลส่วนบุคคลใดบ้างที่ต้องดูแลอย่างเคร่งครัด

กฎหมาย PDPA คืออะไร

PDPA ย่อมาจาก Personal Data Protection Act หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมีผลบังคับใช้ตามกฎหมายทั้งฉบับเมื่อวันที่ 1 มิ.ย. 2565 ซึ่ง กฎหมาย PDPA คือ กฎหมายที่สร้างมาเพื่อให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล ป้องกันข้อมูลให้ปลอดภัยจากการถูกละเมิด รวมถึงการนำข้อมูลไปใช้หรือเผยแพร่โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล หากบริษัทหรือบุคคลไม่ปฏิบัติตาม พ.ร.บ. ฉบับนี้ ย่อมมีความผิดทางกฎหมาย ทั้งโทษทางแพ่ง อาญา และโทษทางปกครอง

อัปเดตกฎหมาย PDPA ในปัจจุบัน: กฎหมาย PDPA: มีการเปลี่ยนแปลงอะไรที่องค์กรต้องปรับตัวบ้าง?

ความเป็นมาของกฎหมาย PDPA

data protection act คือ

กฎหมาย PDPA ถูกถอดแบบมาจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป ที่มีชื่อว่ากฎหมาย GDPR หรือ General Data Protection Regulation ซึ่งกฎหมายทั้งสองฉบับมีจุดประสงค์เดียวกัน คือ เพื่อรักษาข้อมูลส่วนบุคคลจากผู้ไม่ประสงค์ดีที่ทำการละเมิดข้อมูล เพื่อหวังผลประโยชน์หรือทำให้เสื่อมเสียชื่อเสียง ทั้งจากตัวเจ้าของข้อมูลเองหรือผู้ควบคุมข้อมูลส่วนบุคคล เช่น องค์กรต่าง ๆ

สาระน่ารู้เกี่ยวกับการละเมิดข้อมูล: Data Breach การละเมิดข้อมูล พร้อมวิธีปกป้องข้อมูลสำคัญของคุณ

กฎหมาย PDPA คุ้มครองข้อมูลส่วนบุคคลประเภทใดบ้าง

หลังจากทำความเข้าใจกันแล้วว่ากฎหมาย PDPA คืออะไร และมีความเป็นมาอย่างไร ในหัวข้อนี้เราจะมาเจาะลึกกันว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คุ้มครองข้อมูลใดบ้าง

โดยมาตราที่ 6 ใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กล่าวไว้ว่า “ข้อมูลส่วนบุคคล” คือ ข้อมูลส่วนบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรม โดยแบ่งเป็นข้อมูลส่วนบุคคลทั่วไป และข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน ดังนี้

ข้อมูลส่วนบุคคลทั่วไป (Personal Data)

ตัวอย่างข้อมูลส่วนบุคคล เช่น

  • ชื่อ-นามสกุล
  • วันเดือนปีเกิด
  • เลขประจำตัวประชาชน
  • ที่อยู่ปัจจุบัน
  • เบอร์โทรศัพท์
  • อีเมลส่วนตัว
  • ข้อมูลการศึกษา
  • ข้อมูลการแพทย์
  • ข้อมูลการเงิน
  • ข้อมูลการจ้างงาน
  • ข้อมูลระบุทรัพย์สินส่วนบุคคล เช่น โฉนดที่ดิน, ทะเบียนรถ
  • ข้อมูลบนอินเทอร์เน็ตที่ระบุตัวตนได้ เช่น ชื่อผู้ใช้ (Username), รหัสผ่าน (Password), Cookies IP address

ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data)

ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน เป็นข้อมูลที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องให้ความระมัดระวังเป็นพิเศษ เนื่องจากข้อมูลเหล่านี้อาจกระทบกับชีวิตความเป็นอยู่ของเจ้าของข้อมูล และการเลือกปฏิบัติในสังคมได้ เช่น

  • เชื้อชาติ, เผ่าพันธุ์
  • ศาสนาหรือปรัชญา
  • ความคิดเห็นทางการเมือง
  • ความเชื่อในลัทธิ
  • ประวัติอาชญากรรม
  • พฤติกรรมทางเพศ
  • ข้อมูลสหภาพแรงงาน
  • ข้อมูลพันธุกรรม
  • ข้อมูลการแพทย์ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
  • ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

บุคคลที่เกี่ยวข้องกับกฎหมาย PDPA

บุคคลที่เกี่ยวข้องกับกฎหมาย PDPA คือ บุคคลที่อยู่ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล โดยมีความหมายและหน้าที่ดังต่อไปนี้

1. เจ้าของข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลชุดนั้น ๆ สามารถระบุตัวมาถึงได้ ซึ่งก็คือตัวเรานั่นเอง โดยจะได้รับความคุ้มครองและมีสิทธิต่าง ๆ เหนือข้อมูลส่วนบุคคลของตนเอง ภายใต้กฎหมาย PDPA

2. ผู้ควบคุมข้อมูลส่วนบุคคล

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือองค์กรต่าง ๆ ที่เป็นผู้เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยต้องปฏิบัติภายใต้กฎหมาย PDPA อย่างเคร่งครัด

3. ผู้ประมวลผลข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือองค์กรต่าง ๆ ที่เป็นผู้เก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น

สิทธิเจ้าของข้อมูลส่วนบุคคลภายใต้กฎหมาย PDPA

กฎหมาย PDPA คือ

สิทธิได้รับการแจ้งให้ทราบ

ก่อนที่จะเก็บข้อมูลส่วนบุคคล หรือในขณะที่กำลังเก็บข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลทราบ ว่าการเก็บข้อมูลในครั้งนั้นมีวัตถุประสงค์เพื่ออะไร เก็บข้อมูลอะไรบ้าง มีวิธีเก็บข้อมูลอย่างไร ระยะเวลาการจัดเก็บ มีการนำไปใช้ เผยแพร่ หรือส่งต่อให้บุคคลใดบ้าง เป็นต้น ยกเว้นกรณีที่เจ้าของข้อมูลส่วนบุคคลทราบรายละเอียดของการเก็บข้อมูลนั้นอยู่แล้ว เช่น การสมัครสมาชิก การเปิดบัญชีธนาคาร และกรณีอื่น ๆ

สิทธิขอเข้าถึงข้อมูลส่วนบุคคล

เจ้าของข้อมูลมีสิทธิในการขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล รวมถึงขอให้เปิดเผยถึงที่มาของข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลอาจไม่แน่ใจว่าให้ความยินยอมไปหรือไม่ โดยสิทธิขอเข้าถึงข้อมูลส่วนบุคคลจะต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาล ที่อาจสร้างความเสียหายต่อสิทธิ หรือเสรีภาพของบุคคลอื่น เมื่อผู้ควบคุมข้อมูลส่วนตัวได้รับคำขอจากเจ้าของข้อมูล จะดำเนินการมอบสิทธิแก่เจ้าของข้อมูลภายใน 30 วัน

สิทธิในการขอให้โอนข้อมูลส่วนบุคคล

เมื่อเจ้าของข้อมูลต้องการโอนข้อมูลส่วนบุคคลจากผู้ควบคุมข้อมูลรายหนึ่ง ไปใช้กับผู้ควบคุมข้อมูลอีกราย โดยที่เจ้าของข้อมูลสามารถใช้สิทธิขอให้ผู้ควบคุมข้อมูลเดิมทำการส่ง หรือโอนข้อมูลดังกล่าวให้ตนเองได้ หากไม่ติดปัญหาทางเทคนิค ก็สามารถขอให้ผู้ควบคุมข้อมูลเดิมโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลอีกรายได้เช่นกัน โดยสิทธิในการขอให้โอนข้อมูลส่วนบุคคลนั้น จะต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาล ที่อาจสร้างความเสียหายต่อสิทธิหรือเสรีภาพของบุคคลอื่น

สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยยื่นคำขอต่อผู้ควบคุมข้อมูลเมื่อใดก็ได้ โดยไม่ขัดต่อสิทธิการเรียกร้องตามกฎหมาย หรือกฎหมายที่สำคัญกว่า

สิทธิขอให้ระงับการใช้ข้อมูล

ในกรณีที่เจ้าของข้อมูลเกิดการเปลี่ยนใจไม่ต้องการให้ข้อมูลแล้ว หรือเมื่อครบกำหนดการทำลายข้อมูล แต่เจ้าของข้อมูลเปลี่ยนใจ เพราะมีความจำเป็นต้องนำข้อมูลส่วนบุคคลนั้นไปใช้ทางกฎหมาย หรือเรียกร้องสิทธิใด ๆ ก็สามารถทำได้เช่นกัน

สิทธิขอให้ลบหรือทำลาย

ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำการเผยแพร่ข้อมูลส่วนบุคคลสู่สาธารณะ เจ้าของข้อมูลสามารถใช้สิทธิขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลที่ถูกเปิดเผยออกไปเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ ในกรณีนี้ผู้ควบคุมข้อมูลจะต้องเป็นผู้ดำเนินการและรับผิดชอบค่าใช้จ่ายที่เกิดขึ้นทั้งหมด

สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอแก้ไขข้อมูลของตนให้ถูกต้อง เป็นปัจจุบัน เพื่อไม่ก่อให้เกิดการเข้าใจผิด โดยการแก้ไขข้อมูลจะต้องดำเนินด้วยความสุจริต ไม่ขัดต่อหลักกฎหมาย

สรุป PDPA

โดยสรุปแล้ว PDPA คือกฎหมายที่บังคับใช้เพื่อคุ้มครองสิทธิในข้อมูลที่เราเป็นเจ้าของ ซึ่งเป็นกฎหมายที่ทุกคนควรให้ความสำคัญและทำความเข้าใจ รวมไปถึงองค์กรต่าง ๆ ที่ต้องเก็บรักษาข้อมูลส่วนบุคคลเป็นจำนวนมหาศาล หากองค์กรขาดจัดการข้อมูล (Data Management) ที่เป็นระบบ มีความปลอดภัยไม่มากพอ อาจก่อให้เกิดการโจรกรรมข้อมูลที่มีเป้าหมายเพื่อนำข้อมูลส่วนบุคคลเหล่านั้นไปใช้ในทางที่ผิด หรือขายต่อในเว็บมืด ส่งผลให้องค์กรได้รับโทษตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล และทำให้เสียชื่อเสียงในที่สุด

เริ่มต้นรักษาความปลอดภัยของข้อมูล พร้อมใช้งานข้อมูลเพื่อขับเคลื่อนองค์กรได้อย่างเต็มประสิทธิภาพ ด้วย PDPA Services จาก Data Wow ที่ให้บริการโดยทีมนักกฎหมายผู้เชี่ยวชาญ ช่วยให้คำปรึกษา จัดการ และตรวจสอบข้อมูลให้เป็นไปตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล นอกจากนี้ เรายังมีคอร์สจัดอบรมเรื่อง PDPA ให้กับบุคลากรภายในองค์กร เพื่อสร้างความตระหนักรู้ภายใต้กฎหมาย PDPA และปฏิบัติตนได้อย่างถูกต้อง

ก้าวสู่การเป็นผู้นำทางธุรกิจกับ Data Wow ได้วันนี้ที่ sales@datawow.io หรือโทร 02-024-5560

ติดต่อเรา

ชื่อ*

ชื่อบริษัท*

ชื่อตำแหน่ง

เบอร์โทรศัพท์*

อีเมล*

ข้อความ

ฉันต้องการรับโปรโมชันและข่าวสารทางการตลาดเกี่ยวกับ Data Wow และบริการอื่น ๆ จากเรา บริษัทในเครือ บริษัทย่อยและพันธมิตรทางธุรกิจ ​(คุณสามารถยกเลิกได้ทุกเมื่อ)
ที่ตั้งบริษัท

1778 อาคารซัมเมอร์ฮับ ออฟฟิศ, ชั้น 6
ถนนสุขุมวิท แขวงพระโขนง เขตคลองเตย
กรุงเทพมหานคร 10110
ประเทศไทย

ติดตามเรา
ISO ISMISO PIM