PDPA คืออะไร?

PDPAย่อมาจาก Personal Data Protection Act, B.E. 2562 (2019) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษาไปเมื่อ 27 พฤษภาคม 2562 คือ กฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยระบุให้องค์กรหรือหน่วยงานที่เกี่ยวข้องที่เก็บข้อมูลส่วนบุคคลของประชาชนไม่ว่าจะเป็นบริษัทเอกชน หรือหน่วยงานภาครัฐ ต้องไม่นำเอาข้อมูลส่วนตัวของเราไปใช้ในกิจกรรมอื่น ๆ ที่เราไม่ยินยอม

ประเด็นสำคัญของ PDPA

การเก็บ ใช้ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคลต้องได้รับความยินยอม ยกเว้นจะมีเหตุอื่นที่ได้รับอนุญาตตามกฎหมาย ซึ่งความยินยอมนั้นต้องให้โดยอิสระ เฉพาะเจาะจง และชัดแจ้ง และเจ้าของข้อมูลสามารถถอนความยินยอมได้

เมื่อไหร่ก็ตามที่เกิดเหตุละเมิดข้อมูลส่วนบุคคล จะต้องแจ้งเหตุให้หน่วยงานที่เกี่ยวข้องภายใน 72 ชั่วโมง และแจ้งเจ้าของข้อมูลทราบ

โดยมีบทลงโทษของ PDPA หากฝ่าฝืนหรือไม่ปฏิบัติตาม มีดังนี้

  • โทษทางอาญา จำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท ซึ่งโทษจำคุก กรรมการบริษัทคือผู้รับโทษนี้
  • โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
  • โทษทางปกครองปรับไม่เกิน 5 ล้านบาท

อะไรคือข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคล (Personal Data) หมายถึงข้อมูลที่ทำให้สามารถระบุตัวตนของบุคคลนั้นได้ไม่ว่าโดยตรงหรือโดยอ้อม (สำหรับบุคคลที่ยังมีชีวิตอยู่ )   ครอบคลุมตั้งแต่

  • ชื่อ นามสกุล
  • ที่อยู่
  • หมายเลขบัตรประชาชน
  • เบอร์โทรศัพท์
  • location
  • E-mail
  • IP Addresses
  • Cookies
  • ID Bank Account
  • รูปถ่าย
  • ประวัติการทำงาน
  • อายุ ( หากเป็นผู้เยาว์ จะต้องระบุผู้ปกครองได้ และรับการยินยอมจากผู้ปกครอง )

ความหมายทางอ้อม คือ ข้อมูลที่จะนำไปแยกแยะได้ว่าเราคือใคร และเอาไปใช้ติดตามบุคคลได้ และมันมีความสามารถในการเชื่อมโยงกับข้อมูลอื่น ๆ ข้างนอก แล้วบอกได้ว่าใครเป็นใคร

นอกจากนั้นก็ยังมี ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) เป็นข้อมูลที่จะต้องดูแลให้ความระมัดระวังเป็นพิเศษ ตามมาตรา 26 ในการเก็บรวบรวม/ประมวลผล ที่มีการควบคุมเข้มงวดขึ้นมาอีกขั้น

  • เชื้อชาติ
  • ชาติพันธุ์ เผ่าพันธุ์
  • ความคิดเห็นทางการเมือง
  • ความเชื่อ ลัทธิ ศาสนา หรือ ปรัชญา
  • พฤติกรรมทางเพศ
  • ประวัติอาชญากรรม
  • ข้อมูลทางด้านสุขภาพ ความพิการ
  • ข้อมูลสหภาพแรงงาน
  • ข้อมูลทางพันธุกรรม
  • ข้อมูลชีวภาพ
  • หรือ ข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศกำหนด

ซึ่งกฎหมายให้การคุ้มครองข้อมูลที่อ่อนไหวเข้มงวดกว่าข้อมูลส่วนบุคคลธรรมดา

ใครบ้างที่ต้องทำตาม กฎหมาย PDPA บ้าง

  • องค์กรที่มีการเก็บและใช้ข้อมูลส่วนบุคคล ในพรบ.นี้เรียกว่า Data Controller หรือ ผู้ควบคุมข้อมูลส่วนบุคคล
  • องค์กรที่หน่วยงานที่ผู้ควบคุมข้อมูลว่าจ้างให้ประมวลผลข้อมูลของลูกค้าหรือของบุคคลใด ๆ ตามคำสั่งของผู้ควบคุมข้อมูล ในพรบ.นี้เรียกว่า Data Processor หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล
  • องค์กรที่อยู่นอกประเทศไทย แต่มีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทย มีการโอนถ่ายข้อมูล หรือ เฝ้าติดตามพฤติกรรมที่เกิดขึ้นในประเทศไทย


พ.ร.บ.นี้มีผลบังคับใช้ตามกฎหมายเมื่อไหร่

จากเดิม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  มีผลบังคับใช้เมื่อ 28 พฤษภาคม 2562 แล้วในบางส่วน โดยวันที่ 27 พฤษภาคม 2563 เป็นวันที่ พ.ร.บ.นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ  

แต่เนื่องด้วยสถานการณ์ COVID-19 ทำให้ธุรกิจต่างทุกขนาดเกิดปัญหาการดำเนินงาน และจำเป็นต้องใช้เงินลงทุนเพื่อฟื้นฟูธุรกิจ  คณะรัฐมนตรี (ครม.) จึงได้พิจารณาข้อเสนอของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DES) ในการเลื่อนบังคับใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ออกไปอีก 1 พร้อมทั้งออกพระราชกฤษฎีกา กำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2563 มีผลบังคับตั้งแต่วันที่ 27 พฤษภาคม พ.ศ. 2563 จนถึงวันที่ 31 พฤษภาคม พ.ศ. 2564

ซึ่งเป็นการขยายระยะเวลาการบังคับใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ได้แก่ หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล หมวด 3 สิทธิเจ้าของข้อมูลส่วนบุคคล หมวด 5 การร้องเรียน หมวด 6 ความรับผิดทางแพ่ง หมวด 7 บทกำหนดโทษ และความในมาตรา 95 และมาตรา 96 และจะมีผลบังคับใช้ในวันที่ 27 พฤษภาคม 2564 โดยให้เหตุผลว่า “เพื่อบรรเทาผลกระทบที่อาจเกิดขึ้นกับหน่วยงานภาครัฐ เอกชน และประชาชน เนื่องจากหากมีการบังคับใช้ตามกำหนดเวลาเดิมในขณะที่ทุกภาคส่วนยังไม่พร้อม อาจทำให้เกิดการฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายได้โดยไม่ตั้งใจ รวมทั้งอาจเป็นช่องทางให้ผู้ที่ทุจริตแสวงหาผลประโยชน์โดยมิชอบ”

“ เราช่วยแบ่งเบาภาระในการทำ PDPA
เพียงเรียนรู้เทคนิคดี ๆ กับ PDPA with Word & Excel

            

Related products

Jiramate Khanthakanlayaphong

จบจาก Sripatum University สาขา Computer Engineering ปัจจุบันทำงาน ด้าน Security Consultant ที่ Ragnar Corporation Company Limited มีความสนใจด้าน PDPA, Cyber Security, Compliance

Similar tags

Pakawadee Chanhom

สัมมนาออนไลน์สำหรับองค์กรที่ต้องทำ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA)

งานสัมมนาออนไลน์สำหรับองค์กรทั้งภาครัฐและเอกชนที่ต้องการจะปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล แต่มีเวลาและทรัพยากรจำกัดในการทำ

Read more...
Purichaya Narongpan

ใครเหมาะสมที่จะเป็น DPO?

สวัสดีครับ ในบทความนี้เราจะมาเรียนรู้กันว่า DPO คืออะไร หน้าที่ความรับผิดชอบคืออะไร คุณสมบัติของคนที่จะเข้ามารับตำแหน่ง Data Protection Officer

Read more...
Pakawadee Chanhom

ข้อมูลส่วนบุคคล ของลูกเสือยังโดนขโมย

แม้แต่ลูกเสือที่เตรียมพร้อมขนาดไหน หากขาดความรู้ด้าน Cyber security ไปก็ข้อมูลลูกค้ารั่วไหลหากไม่เตรียมตัว

Read more...