PDPA กฎหมายใหม่ที่คนไทยยังไม่รู้

          PDPA คืออะไร หลายๆคนก็เริ่มสงสัยและเป็นกังวลว่ากฎหมายฉบับใหม่ที่ไทยได้เริ่มเข้ามาใช้จะส่งผลอย่างไรบ้างกับการดำเนินชีวิตของเรารึป่าว วันนี้จะมาบอกและให้ความหมายและวิธีการบังคับใช้กฎหมาย PDPA ให้ทุกคนรู้ไปดูกันเลย

          PDPA (Personal Data Protection Act) หรือ พ.ร.บ. คุ้มครองส่วนบุคคล คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้ประกาศในราชกิจจานุเบกษาไปเมื่อ 27 พฤกษภาคม 2562 โดยระบุไว้ว่าห้ามให้องค์กรหรือหน่วยงานที่เกี่ยวข้องที่เก็บข้อมูลส่วนบุคคลของประชาชนไม่ว่าจะเป็นบริษัทเอกชน หรือหน่วยงานภาครัฐ ต้องไม่นำเอาข้อมูลส่วนตัวของเราไปใช้ในกิจกรรมอื่น ๆ ที่เราไม่ยินยอม โดยกฎหมายนี้จะเริ่มบังคับใช้อย่างเป็นทางการตั้งแต่วันที่ 1 มิถุนายน 2565

เหตุใดถึงต้องมีกฎหมาย PDPA

          เนื่องจากปัจจุบันเรามักจะพบเจอแก็งคอลเซนเตอร์ที่ชอบโทรมาหลอกเงินคน มันจึงส่งผลไปถึงการออกใช้กฎหมายนี้เพราะว่า กฎหมายนี้ออกมา“เพื่อแก้ไขปัญหาการถูกล่วงละเมิดข้อมูลส่วนตัว” เช่น การซื้อขายข้อมูลเบอร์โทรศัพท์ และข้อมูลส่วนตัวอื่นๆ โดยที่เจ้าตัวไม่ได้ยินยอม ซึ่งข้อมูลเหล่านี้สามารถเจาะจงถึงตัวบุคคลได้และอาจจะเกิดความไม่ปลอดภัยทั้งต่อชีวิตและทรัพย์สินนั้นเอง

PDPA มีความเป็นมาอย่างไร

         อยู่ดีๆประเทศไทยเราก็มีกฎหมายที่ช่วงคุ้มครองความเป็นส่วนตัวมากขึ้น อาจจะเป็นเรื่องแปลกใหม่ของพวกเราแต่จริงๆแล้วกฎหมายที่ว่าด้วยการดูแลความเป็นส่วนตัวนั้นมีมานานและใช้ในหลายๆประเทศมากและด้วย กฎหมายนี้ถอดแบบมาจากกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายที่คุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป เพื่อป้องกันไม่ให้ผู้ที่ไม่ประสงค์ดีทำการแฮ็คข้อมูลหรือละเมิดความเป็นส่วนตัวได้

ใครบ้างที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนตัว

• เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลสามารถระบุไปถึงได้
• ผู้ควบคุมข้อมูลส่วนตัว (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวมข้อมูลส่วนตัว
• ผู้ประมวลผลข้อมูลส่วนตัว (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

PDPA มีความสำคัญอย่างไร?

         ความสำคัญของกฎหมายนี้เข้าใจได้ง่ายมากนั้นก็ คือ การทำให้เจ้าของข้อมูลมีสิทธิในข้อมูลส่วนตัวที่ถูกจัดเก็บไปแล้ว เพื่อสร้างความปลอดภัยและความเป็นส่วนตัวให้แก่เจ้าของข้อมูล โดยมีสิทธิในการรับทราบและยินยอมการเก็บข้อมูลส่วนตัวและสิทธิในการขอเข้าถึงข้อมูลส่วนตัว สามารถคัดข้นและเพิกถอนการเก็บและนำข้อมูลไปใช้ สิทธิต่างๆที่เจ้าของข้อมูลได้รับ เลยจะส่งผลให้ผู้ประกอบการเป็นอย่างมาก ที่จะต้องปรับเปลี่ยนกระบวนการเก็บรวบรวมและนำข้อมูลส่วนตัวของบุคคลอื่นไปใช้อีกด้วย

สิ่งที่ผู้ประกอบการต้องมี

         สิ่งที่องค์กรต้องเตรียมหลังจากเริ่มใช้กฎหมาย คือทำ Privacy policy และบันทึกกิจกรรมประมวลผลข้อมูลส่วนบุคคลโดยต้องจัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยอย่างเหมาะสม เช่น มีนโยบายการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล, มีการขอความยินยอมจากเจ้าของข้อมูลก่อนการเก็บ รวบรวม หรือเปิดเผย, มีการประเมินความเสี่ยงของข้อมูลส่วนบุคคล

บทลงโทษของ PDPA

• โทษทางอาญา จำคุกไม่เกิน 1 ปี หรือ ปรับสูงสุด 1 ล้านบาท
• โทษทางแพ่ง จ่ายค่าสินไหมไม่เกิน 2 เท่าของค่าสินไหมที่แท้จริง
• โทษทางปกครองปรับไม่เกิน 5 ล้านบาท

        ถึงแม้ในปัจจุบันได้เริ่มมีการใช้กฎหมายนี้มาอย่างสักพักใหญ่แล้ว เห็นได้จากข่าวที่มีการฟ้องร้องเรื่องการถ่ายติดใบหน้าและนำไปโพสต์ในที่สาธารณะ แต่ในหลายๆบริษัทก็อาจจะยังไม่ได้ปฏิบัติตามอย่างเคร่งครัดนัก เช่น ยังไม่มีการจัดทำ Privacy Policy หรือยังไม่แต่งตั้ง DPO การที่บริษัทยังนิ่งเฉยอยู่อาจจะนำไปสู่โทษแพ่ง และโทษอาญาได้ ทั้งนี้ใครที่อยากจะก่อตั้งบริษัทก็ควรจะศึกษาเรื่องนี้ไว้ด้วยนะคะ