1 มิถุนายน 2565 เป็นวันเริ่มต้นของการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act B.E. 2562 (2019)) ของไทย โดยมีหลักการสำคัญในการกำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลให้ได้รับความคุ้มครองตามกฎหมาย โดยให้เจ้าของข้อมูลส่วนบุคคลมีทางเลือกในการให้หรือไม่ให้ความยินยอมในการจัดเก็บ ใช้ และเปิดเผย ข้อมูลส่วนบุคคลของตนเอง ซึ่งการเลือกนั้นต้องไม่ถูกนำมาเป็นเงื่อนไขในการจำกัดสิทธิของเจ้าของข้อมูลส่วนบุคคล นอกจากนี้ หากถูกละเมิดสิทธิ เจ้าของข้อมูลส่วนบุคคลสามารถร้องเรียนและเรียกค่าสินไหมทดแทนได้
ทำความเข้าใจขอบเขตของความคุ้มครองเพื่อตระหนักรู้รักษาสิทธิของตนทั้งก่อน ขณะ และหลัง การให้ความยินยอมเปิดเผยข้อมูลส่วนบุคคลกัน
สำหรับข้อยกเว้นในการจัดการข้อมูลส่วนบุคคล โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เพื่อให้สอดคล้องกับลักษณะการปฏิสัมพันธ์ระหว่างบุคคลและองค์กรที่ติดต่อ รวมถึงความจำเป็นในทางการปฏิบัติตามกฎหมายอื่นที่เกี่ยวข้อง มีดังนี้
√ ข้อมูลเดิมที่จัดเก็บก่อน PDPA มีผลบังคับใช้ >> องค์กรเก็บและใช้ต่อได้ตามวัตถุประสงค์เดิม โดยกำหนดวิธีการยกเลิกความยินยอมและประชาสัมพันธ์ให้เจ้าของข้อมูลแจ้งยกเลิกความยินยอมได้โดยง่าย ทั้งนี้ หากต้องการนำข้อมูลไปเปิดเผยต้องขอความยินยอมจากเจ้าของข้อมูล
√ การเก็บข้อมูลภายใต้ฐานสัญญา (Contractual Basis) >> จัดเก็บข้อมูลส่วนบุคคลที่จำเป็นเพื่อการปฏิบัติตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญาได้โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล โดยข้อมูลที่จัดเก็บต้องเป็นไปเพื่อการให้บริการแก่บุคคลนั้น (ถ้านำข้อมูลส่วนบุคคลลูกค้าไปใช้วิเคราะห์และทำการตลาด ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน) เช่น กรณีลูกค้าขอเปิดบัญชีกับธนาคาร กรณีลูกค้าเข้ารับบริการในโรงพยาบาล กรณีลูกค้าเปิดบัญชีเพื่อซื้อสินค้าบนแพลตฟอร์มออนไลน์ เป็นต้น
√ การเก็บข้อมูลภายใต้ฐานประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) >> โดยต้องมีการประเมินความสมเหตุผลและไม่ละเมิดสิทธิของบุคคลเกินไป เช่น การติดตั้งกล้อง CCTV บันทึกภาพลูกค้าในอาคารที่ทำการต่าง ๆ เพื่อวัตถุประสงค์ในการรักษาความปลอดภัย การตรวจสอบข้อมูลลูกค้าเพื่อป้องกันการทุจริต เป็นต้น
√ การเก็บข้อมูลภายใต้ฐานการปฏิบัติตามกฎหมาย (Legal Obligation) >> เป็นการเก็บข้อมูลที่มีกฎหมายกำหนดไว้อย่างชัดเจนให้ผู้ควบคุมข้อมูลต้องปฏิบัติตาม เช่น ธนาคารจัดทำรายงานธุรกรรมที่มีเหตุอันควรสงสัยไปยังสำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.) การจัดทำรายงานการหักภาษี ณ ที่จ่ายส่งกรมสรรพากร เป็นต้น
√ การเก็บข้อมูลภายใต้ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest) >> เป็นการประมวลผลข้อมูลในกรณีที่เจ้าของข้อมูลไม่อยู่ในสภาวะที่จะให้ความยินยอมได้
√ การเก็บข้อมูลภายใต้ฐานภารกิจของรัฐ (Public Task) >> เป็นการประมวลผลข้อมูลของหน่วยงานภาครัฐตามอำนาจหน้าที่ที่ได้รับมอบหมาย เช่น สำนักงานป้องกันและปราบปรามการทุจริต (ปปช.) ประมวลผลข้อมูลของผู้ดำรงตำแหน่งทางการเมืองเพื่อป้องกันและปราบปรามการทุจริต เป็นต้น
√ การเก็บข้อมูลภายใต้ฐานจดหมายเหตุ / วิจัย / สถิติ (Historical Document / Research/ Statistic) >> เป็นการประมวลผลข้อมูลเพื่อวัตถุประสงค์ในการจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุเพื่อประโยชน์สาธารณะหรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ โดยจัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม
ก่อนให้ความยินยอมในการใช้ข้อมูล เจ้าของข้อมูลควรใส่ใจในการคุ้มครองข้อมูลของตนเองด้วย อาทิ
(1) ไม่ด่วนยินยอมหรือให้ข้อมูล โดยที่ยังไม่ได้ศึกษารายละเอียดของขอบเขตการใช้ข้อมูลส่วนบุคคล
>> ข้อมูลใดบ้างที่จะจัดเก็บ วัตถุประสงค์ของการเก็บข้อมูล ระยะเวลาการเก็บข้อมูล ชื่อและเบอร์ของบริษัทหรือบุคคลที่รับผิดชอบต่อการเก็บข้อมูล
(2) คำนึงถึงความอิสระ และไม่มีเงื่อนไขแอบแฝง โดยต้องไม่นำการให้ความยินยอมมาเป็นเงื่อนไขในการใช้ผลิตภัณฑ์หรือบริการ
(3) ควรเก็บ/บันทึกหลักฐาน เผื่อใช้ในการร้องเรียนในกรณีที่พบว่าข้อมูลส่วนบุคคลถูกนำไปใช้ผิดวัตถุประสงค์ โดยอาจถ่ายภาพหรือขอสำเนาเอกสารการให้ความยินยอม
(4) ระมัดระวังการให้ข้อมูลและการเปิดสิทธิการเข้าถึงข้อมูลส่วนบุคคล แก่เว็บไซต์/แอปพลิเคชัน ที่มีการขอความยินยอมจากเจ้าของข้อมูล โดยให้พิจารณาตามความจำเป็น โดยเฉพาะข้อมูลเกี่ยวกับการเงิน เช่น การให้ข้อมูลบัตรเครดิตเพื่อชำระค่าสินค้าและบริการ สำหรับแอปพลิเคชันที่ไม่ได้ใช้เป็นประจำ อาจเลือกให้ข้อมูลเพื่อใช้ครั้งเดียวและไม่ให้บันทึกข้อมูลบัตรไว้ในระบบ เป็นต้น
PDPA ช่วยคุ้มครองความเสียหายที่อาจเกิดแก่เจ้าของข้อมูลส่วนบุคคลได้อย่างไร
√ ลดความเดือดร้อนรำคาญใจจากการละเมิดสิทธิ: โดยการติดต่อเสนอขายสินค้าหรือบริการใด ๆ จากบริษัทหรือหน่วยงานที่เราไม่เคยติดต่อมาก่อน จะต้องได้รับความยินยอม เช่น Call Center โทรเสนอขายประกัน สินเชื่อส่วนบุคคล ต้องแจ้งว่าได้รับเบอร์มาจากไหนและเราเคยแจ้งบอกรับข้อมูลการตลาดไว้ รวมทั้งต้องแจ้งช่องทางการยกเลิกการรับข้อมูลการตลาดดังกล่าวอย่างชัดเจน
√ ป้องกันความเสี่ยงภัยไซเบอร์: เนื่องจากกฎหมายกำหนดให้ผู้จัดเก็บและประมวลผลข้อมูลส่วนบุคคล ต้องมีระบบการควบคุมการเข้าถึงข้อมูลและการป้องกันข้อมูลรั่วไหล ดังเช่นที่เคยเกิดกรณีแฮกเกอร์ขโมยข้อมูลลูกค้าที่ซื้อสินค้าจากแพลตฟอร์มออนไลน์ในไทยกว่า 10 ล้านรายการ
√ สร้างความเชื่อมั่นในการทำธุรกรรมใด ๆ: เนื่องจากขอบเขตของกฎหมาย บังคับใช้ครอบคลุมถึงองค์กรทุกแห่งทั้งในและนอกประเทศ เช่น Online Marketplace Platform ของต่างประเทศ ที่เสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลส่วนบุคคลที่อยู่ในไทย หรือมีการเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในไทย เช่น เว็บไซต์ต่างประเทศที่รับจองโรงแรมผ่านช่องทางออนไลน์ ฯลฯ
√ มีมาตรการเยียวยาผู้ถูกละเมิดสิทธิ: รวมถึงมีบทลงโทษทางอาญาและทางปกครอง แก่ผู้จัดเก็บ ใช้ และเผยแพร่ข้อมูลส่วนบุคคล ที่เป็นต้นเหตุให้เกิดการละเมิดสิทธิของเจ้าของข้อมูลส่วนบุคคล เช่น ระบบการจัดการมีปัญหาทำให้เกิดข้อมูลรั่วไหล ขายข้อมูลส่วนบุคคลให้แก่องค์กรอื่นโดยไม่แจ้งในวัตถุประสงค์ขอความยินยอมจากลูกค้า เป็นต้น (โทษอาญา: จำคุกไม่เกิน 1 ปี และ/หรือปรับสูงสุด 1 ล้านบาท โทษทางปกครอง: ปรับสูงสุด 5 ล้านบาท)
การบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เป็นการสร้างบรรทัดฐานในการใช้ประโยชน์จากฐานข้อมูลส่วนบุคคลจำนวนมาก อีกทั้งยังเป็นหนึ่งในชุดกฎหมายที่ส่งเสริมความเชื่อมั่นในการใช้เทคโนโลยีดิจิทัล ที่มุ่งกำกับดูแลความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้แก่ผู้เป็นเจ้าของข้อมูล โดยกำหนดแนวทางการคุ้มครองข้อมูลส่วนบุคคลให้องค์กรทุกแห่งที่จัดเก็บ ใช้ และเผยแพร่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลในประเทศไทย ปฏิบัติตาม ดังนั้น บุคคลที่มีสถานะเป็น ‘เจ้าของข้อมูล’ ที่ไปใช้บริการต่าง ๆ พึงตระหนักถึงทางเลือกในการให้ความยินยอมในการจัดเก็บ ใช้ และเปิดเผยข้อมูล เช่น ลงทะเบียนอีเมลและเบอร์โทรศัพท์เพื่อแลกรับคูปองสินค้าฟรี อาจต้องแลกมากับการให้ข้อมูลไปใช้งานในกิจกรรมส่งเสริมการขายในหมวดหมู่ใกล้เคียงกันโดยผู้ให้บริการนั้น ๆ อย่างไรก็ดี บุคคลมีสิทธิถอนความยินยอมได้ทุกเมื่อ
Scan QR Code
หมายเหตุ
รายงานวิจัยฉบับนี้จัดทำเพื่อเผยแพร่ทั่วไป โดยจัดทำขึ้นจากแหล่งข้อมูลต่างๆ ที่น่าเชื่อถือ แต่บริษัทฯ มิอาจรับรองความถูกต้อง ความน่าเชื่อถือ หรือความสมบูรณ์เพื่อใช้ในทางการค้าหรือประโยชน์อื่นใด บริษัทฯ อาจมีการเปลี่ยนแปลงข้อมูลได้ตลอดโดยไม่ต้องแจ้งให้ทราบล่วงหน้า ทั้งนี้ผู้ใช้ข้อมูลต้องใช้ความระมัดระวังในการใช้ข้อมูลต่างๆ ด้วยวิจารณญาณตนเองและรับผิดชอบในความเสี่ยงเองทั้งสิ้น บริษัทฯ จะไม่รับผิดต่อผู้ใช้หรือบุคคลใดในความเสียหายใดจากการใช้ข้อมูลดังกล่าว ข้อมูลในรายงานฉบับนี้จึงไม่ถือว่าเป็นการให้ความเห็น หรือคำแนะนำในการตัดสินใจทางธุรกิจ แต่อย่างใดทั้งสิ้น