กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act (PDPA) เป็นกฎหมายที่คุ้มครองข้อมูลส่วนบุคคล จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน พ.ศ.2565

PDPA คืออะไร?

PDPA เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล ที่ให้ความคุ้มครองในข้อมูลของบุคคลทุกคนที่เคยให้ไว้แก่องค์กรต่างๆ เพื่อให้ข้อมูลเหล่านั้นที่ถูกจัดเก็บโดยแต่ละองค์กรมีความปลอดภัยมากขึ้น และจำกัดการนำข้อมูลไปใช้หรือเผยแพร่ต้องได้รับความยินยอมจากบุคคลนั้นๆด้วย โดยกฎหมายนี้จะช่วยส่งเสริมในแง่ของเศรษฐกิจระหว่างประเทศ เพื่อให้เป็นที่ยอมรับในสากลอีกด้วย

กฎหมายนี้จะบังคับให้องค์กรต่างๆ ที่เคยเก็บข้อมูลส่วนบุคคลของใครก็แล้วแต่ไว้ ต้องจัดเก็บข้อมูลไว้อย่างปลอดภัยไม่ให้รั่วไหล และต้องได้รับความยินยอมจากเจ้าของข้อมูล โดยต้องแจ้งวัตถุประสงค์ และสาเหตุที่ต้องขอข้อมูลนั้นๆไว้ด้วย

บุคคลที่จะเกี่ยวข้องได้แก่

1. เจ้าของข้อมูล
2. ลูกค้าขององค์กร
3. พนักงานขององค์กร
4. คู่ค้าขององค์กร
5. ผู้สมัครงานองค์กรนั้นๆ

ข้อมูลส่วนบุคคลที่เข้าเงื่อนไขมีดังนี้

1. ข้อมูลระบุตัวตน เช่น ชื่อ-นามสกุล
2. ข้อมูลสำหรับการติดต่อ เช่น เบอร์โทรศัพท์ ที่อยู่
3. ข้อมูลด้านการเงิน เช่น เลขบัญชีธนาคาร หรือ จำนวนเงินฝากธนาคาร
4. ข้อมูลการสมัครข่าวสารและการเข้าร่วมกิจกรรมทางการตลาด เช่น เคยไปเซ็นยินยอมให้ทดลองสินค้า
5. ข้อมูลสถิติ เช่น การเก็บข้อมูลการจับจ่ายใช้สอยของบุคคลไว้ ไม่ว่าจะเป็นตัวเลข หรือ ความถี่ในการใช้จ่าย
6. ข้อมูลการเข้า Website
7. ข้อมูลด้านสุขภาพ
8. ข้อมูลความลับ

สิทธิของเจ้าของข้อมูลมีดังนี้

1. ขอเข้าถึงและรับสำเนาข้อมูลของตนเอง
2. ขอเพิกถอนความยินยอม
3. ขอโอนย้ายข้อมูลส่วนบุคคลไปให้ผู้ควบคุมข้อมูลอื่น
4. ขอคัดค้านการใช้ข้อมูลส่วนบุคคล
5. ขอลบข้อมูลส่วนบุคคล
6. ขอระงับการใช้ข้อมูลส่วนบุคคล
7. ขอแก้ไขข้อมูลส่วนบุคคลให้เป็นปัจจุบัน

ซึ่งการที่มีกฎหมายนี้มาทำให้แต่ละองค์กรต้องแต่งตั้งผู้จัดเก็บข้อมูล หรือที่เรียกกันว่า PDO (Data Protective Officer)

หน้าที่หลักๆของตำแหน่งงานนี้คือจะต้องรักษาข้อมูลส่วนบุคคลที่เกี่ยวข้องในองค์กรให้เป็นความลับ และมีหน้าที่ประสานงานและรายงานต่อสำนักงานคุ้มครองข้อมูลส่วนบุคคล (สคส.)

บทลงโทษ

โทษทางปกครอง - ไม่สามารถยอมความได้

ไม่ขอความยินยอมให้ถูกต้อง ไม่แจ้งรายละเอียดให้เจ้าของข้อมูลทราบ ไม่ให้เจ้าของข้อมูลเข้าถึงข้อมูลตามสิทธิ ไม่จัดทำบันทึกรายการ ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ไม่จัดให้มีการสนับสนุนการปฏิบัติหน้าที่ของ DPO โทษปรับไม่เกิน 1,000,000 บาท

เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย ไม่ได้แจ้งวัตถุประสงค์การใช้งานใหม่ เก็บข้อมูลเกินความจำเป็น ขอความยินยอมที่เป็นการหลอกลวงให้เข้าใจผิด ไม่ขัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม ไม่แจ้งเหตุเมื่อมีการละเมิดข้อมูล โอนข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย ไม่ตั้งตัวแทนในราชอาณาจักร โทษปรับไม่เกิน 3,000,000 บาท 

เก็บรวบรวม ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลอ่อนไหวโดยไม่ชอบด้วยกฎหมาย โทษปรับไม่เกิน 5,000,000 บาท

โทษทางแพ่ง

ค่าสินไหมทดแทนจากความเสียหายที่ได้รับจริง และศาลสั่งลงโทษเพิ่มขึ้นได้แต่ไม่เกินสองเท่าของสินไหมทดแทนที่แท้จริง

โทษทางอาญา

ผู้ควบคุมข้อมูลส่วนบุคคล ใช้หรือเปิดเผยข้อมูลส่วนบุคคลอ่อนไหว โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือผิดจากวัตถุประสงค์ที่ได้แจ้งไว้ หรือ โอนข้อมูลส่วนบุคคลอ่อนไหวไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย

ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชั หรือได้รับความอับอาย จำคุกไม่เกิน 6 เดือน หรือไม่เกิน 500,000 บาท เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น จำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท

ผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ ตาม พ.ร.บ.นี้ ห้ามนำไปเปิดเผยแก่ผู้อื่น เว้นแต่เปิดเผยตามหน้าที่หรือเพื่อประโยชน์แก่การสอบสวนหรือพิจารณาคดี หรือได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล หรือเปิดเผยให้หน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย หรือข้อมูลคดีต่าง ๆ ที่เปิดเผยต่อสาธารณะ จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท

ผู้กระทำความผิดที่เป็นนิติบุคคล หากกรรมการหรือผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้น สั่งการหรือกระทำหรือละเว้นไม่สั่งการหรือไม่กระทำการจนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ต้องรับโทษในส่วนที่กำหนดโทษอาญาไว้ด้วย

บทความโดย: บริษัท กรุงเทพการบัญชี (1975) จำกัด