PDPA คืออะไร? รู้จักกับกฎหมาย PDPA พรบ. คุ้มครองที่ทุกคนควรรู้

Jul 2, 2024

จากปัญหาจากการละเมิดข้อมูลที่เรามักจะพบเห็นตามข่าวหรือสื่อต่าง ๆ ในปัจจุบัน มักจะเกี่ยวข้องกับการโจรกรรมข้อมูลส่วนบุคคล เพื่อใช้แอบอ้าง ทำให้เสียชื่อเสียง หรือนำข้อมูลเหล่านั้นไปขายต่อในเว็บมืด จึงต้องมี พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ กฎหมาย PDPA เพื่อปกป้องสิทธิในข้อมูลส่วนบุคคล และลงโทษผู้ที่กระทำผิด โดยข้อ กฎหมาย PDPA นี้ นอกจากจะมีจุดประสงค์ เพื่อบังคับใช้ในระดับบุคคลแล้ว องค์กรต่าง ๆ ที่เป็นผู้จัดเก็บ ประมวลผล และเผยแพร่ข้อมูล ก็ต้องให้ความสำคัญกับกฎหมายข้อนี้เช่นกัน เพื่อให้สามารถรักษาความปลอดภัยของข้อมูล บทความนี้เราจะมาเจาะลึกกันว่า PDPA คืออะไร? และมีข้อมูลส่วนบุคคลใดบ้างที่ต้องดูแลอย่างเคร่งครัด

กฎหมาย PDPA คืออะไร

PDPA ย่อมาจาก Personal Data Protection Act หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมีผลบังคับใช้ตามกฎหมายทั้งฉบับเมื่อวันที่ 1 มิ.ย. 2565 ซึ่ง กฎหมาย PDPA คือ กฎหมายที่สร้างมาเพื่อให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล ป้องกันข้อมูลให้ปลอดภัยจากการถูกละเมิด รวมถึงการนำข้อมูลไปใช้หรือเผยแพร่โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล หากบริษัทหรือบุคคลไม่ปฏิบัติตาม พ.ร.บ. ฉบับนี้ ย่อมมีความผิดทางกฎหมาย ทั้งโทษทางแพ่ง อาญา และโทษทางปกครอง

อัปเดตกฎหมาย PDPA ในปัจจุบัน: กฎหมาย PDPA: มีการเปลี่ยนแปลงอะไรที่องค์กรต้องปรับตัวบ้าง?

ความเป็นมาของกฎหมาย PDPA

data protection act คือ

กฎหมาย PDPA ถูกถอดแบบมาจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป ที่มีชื่อว่ากฎหมาย GDPR หรือ General Data Protection Regulation ซึ่งกฎหมายทั้งสองฉบับมีจุดประสงค์เดียวกัน คือ เพื่อรักษาข้อมูลส่วนบุคคลจากผู้ไม่ประสงค์ดีที่ทำการละเมิดข้อมูล เพื่อหวังผลประโยชน์หรือทำให้เสื่อมเสียชื่อเสียง ทั้งจากตัวเจ้าของข้อมูลเองหรือผู้ควบคุมข้อมูลส่วนบุคคล เช่น องค์กรต่าง ๆ

สาระน่ารู้เกี่ยวกับการละเมิดข้อมูล: Data Breach การละเมิดข้อมูล พร้อมวิธีปกป้องข้อมูลสำคัญของคุณ

กฎหมาย PDPA คุ้มครองข้อมูลส่วนบุคคลประเภทใดบ้าง

หลังจากทำความเข้าใจกันแล้วว่ากฎหมาย PDPA คืออะไร และมีความเป็นมาอย่างไร ในหัวข้อนี้เราจะมาเจาะลึกกันว่า พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คุ้มครองข้อมูลใดบ้าง

โดยมาตราที่ 6 ใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กล่าวไว้ว่า “ข้อมูลส่วนบุคคล” คือ ข้อมูลส่วนบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรม โดยแบ่งเป็นข้อมูลส่วนบุคคลทั่วไป และข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน ดังนี้

ข้อมูลส่วนบุคคลทั่วไป (Personal Data)

ตัวอย่างข้อมูลส่วนบุคคล เช่น

ชื่อ-นามสกุล
วันเดือนปีเกิด
เลขประจำตัวประชาชน
ที่อยู่ปัจจุบัน
เบอร์โทรศัพท์
อีเมลส่วนตัว
ข้อมูลการศึกษา
ข้อมูลการแพทย์
ข้อมูลการเงิน
ข้อมูลการจ้างงาน
ข้อมูลระบุทรัพย์สินส่วนบุคคล เช่น โฉนดที่ดิน, ทะเบียนรถ
ข้อมูลบนอินเทอร์เน็ตที่ระบุตัวตนได้ เช่น ชื่อผู้ใช้ (Username), รหัสผ่าน (Password), Cookies IP address

ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data)

ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน เป็นข้อมูลที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องให้ความระมัดระวังเป็นพิเศษ เนื่องจากข้อมูลเหล่านี้อาจกระทบกับชีวิตความเป็นอยู่ของเจ้าของข้อมูล และการเลือกปฏิบัติในสังคมได้ เช่น

เชื้อชาติ, เผ่าพันธุ์
ศาสนาหรือปรัชญา
ความคิดเห็นทางการเมือง
ความเชื่อในลัทธิ
ประวัติอาชญากรรม
พฤติกรรมทางเพศ
ข้อมูลสหภาพแรงงาน
ข้อมูลพันธุกรรม
ข้อมูลการแพทย์ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

บุคคลที่เกี่ยวข้องกับกฎหมาย PDPA

บุคคลที่เกี่ยวข้องกับกฎหมาย PDPA คือ บุคคลที่อยู่ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล โดยมีความหมายและหน้าที่ดังต่อไปนี้

1. เจ้าของข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลชุดนั้น ๆ สามารถระบุตัวมาถึงได้ ซึ่งก็คือตัวเรานั่นเอง โดยจะได้รับความคุ้มครองและมีสิทธิต่าง ๆ เหนือข้อมูลส่วนบุคคลของตนเอง ภายใต้กฎหมาย PDPA

2. ผู้ควบคุมข้อมูลส่วนบุคคล

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือองค์กรต่าง ๆ ที่เป็นผู้เก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยต้องปฏิบัติภายใต้กฎหมาย PDPA อย่างเคร่งครัด

3. ผู้ประมวลผลข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือองค์กรต่าง ๆ ที่เป็นผู้เก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล โดยจะทำภายใต้คำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น

สิทธิเจ้าของข้อมูลส่วนบุคคลภายใต้กฎหมาย PDPA

กฎหมาย PDPA คือ

สิทธิได้รับการแจ้งให้ทราบ

ก่อนที่จะเก็บข้อมูลส่วนบุคคล หรือในขณะที่กำลังเก็บข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลทราบ ว่าการเก็บข้อมูลในครั้งนั้นมีวัตถุประสงค์เพื่ออะไร เก็บข้อมูลอะไรบ้าง มีวิธีเก็บข้อมูลอย่างไร ระยะเวลาการจัดเก็บ มีการนำไปใช้ เผยแพร่ หรือส่งต่อให้บุคคลใดบ้าง เป็นต้น ยกเว้นกรณีที่เจ้าของข้อมูลส่วนบุคคลทราบรายละเอียดของการเก็บข้อมูลนั้นอยู่แล้ว เช่น การสมัครสมาชิก การเปิดบัญชีธนาคาร และกรณีอื่น ๆ

สิทธิขอเข้าถึงข้อมูลส่วนบุคคล

เจ้าของข้อมูลมีสิทธิในการขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล รวมถึงขอให้เปิดเผยถึงที่มาของข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลอาจไม่แน่ใจว่าให้ความยินยอมไปหรือไม่ โดยสิทธิขอเข้าถึงข้อมูลส่วนบุคคลจะต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาล ที่อาจสร้างความเสียหายต่อสิทธิ หรือเสรีภาพของบุคคลอื่น เมื่อผู้ควบคุมข้อมูลส่วนตัวได้รับคำขอจากเจ้าของข้อมูล จะดำเนินการมอบสิทธิแก่เจ้าของข้อมูลภายใน 30 วัน

สิทธิในการขอให้โอนข้อมูลส่วนบุคคล

เมื่อเจ้าของข้อมูลต้องการโอนข้อมูลส่วนบุคคลจากผู้ควบคุมข้อมูลรายหนึ่ง ไปใช้กับผู้ควบคุมข้อมูลอีกราย โดยที่เจ้าของข้อมูลสามารถใช้สิทธิขอให้ผู้ควบคุมข้อมูลเดิมทำการส่ง หรือโอนข้อมูลดังกล่าวให้ตนเองได้ หากไม่ติดปัญหาทางเทคนิค ก็สามารถขอให้ผู้ควบคุมข้อมูลเดิมโอนข้อมูลส่วนบุคคลไปยังผู้ควบคุมข้อมูลส่วนบุคคลอีกรายได้เช่นกัน โดยสิทธิในการขอให้โอนข้อมูลส่วนบุคคลนั้น จะต้องไม่ขัดต่อกฎหมายหรือคำสั่งศาล ที่อาจสร้างความเสียหายต่อสิทธิหรือเสรีภาพของบุคคลอื่น

สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยยื่นคำขอต่อผู้ควบคุมข้อมูลเมื่อใดก็ได้ โดยไม่ขัดต่อสิทธิการเรียกร้องตามกฎหมาย หรือกฎหมายที่สำคัญกว่า

สิทธิขอให้ระงับการใช้ข้อมูล

ในกรณีที่เจ้าของข้อมูลเกิดการเปลี่ยนใจไม่ต้องการให้ข้อมูลแล้ว หรือเมื่อครบกำหนดการทำลายข้อมูล แต่เจ้าของข้อมูลเปลี่ยนใจ เพราะมีความจำเป็นต้องนำข้อมูลส่วนบุคคลนั้นไปใช้ทางกฎหมาย หรือเรียกร้องสิทธิใด ๆ ก็สามารถทำได้เช่นกัน

สิทธิขอให้ลบหรือทำลาย

ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำการเผยแพร่ข้อมูลส่วนบุคคลสู่สาธารณะ เจ้าของข้อมูลสามารถใช้สิทธิขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลที่ถูกเปิดเผยออกไปเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ ในกรณีนี้ผู้ควบคุมข้อมูลจะต้องเป็นผู้ดำเนินการและรับผิดชอบค่าใช้จ่ายที่เกิดขึ้นทั้งหมด

สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอแก้ไขข้อมูลของตนให้ถูกต้อง เป็นปัจจุบัน เพื่อไม่ก่อให้เกิดการเข้าใจผิด โดยการแก้ไขข้อมูลจะต้องดำเนินด้วยความสุจริต ไม่ขัดต่อหลักกฎหมาย

สรุป PDPA

โดยสรุปแล้ว PDPA คือกฎหมายที่บังคับใช้เพื่อคุ้มครองสิทธิในข้อมูลที่เราเป็นเจ้าของ ซึ่งเป็นกฎหมายที่ทุกคนควรให้ความสำคัญและทำความเข้าใจ รวมไปถึงองค์กรต่าง ๆ ที่ต้องเก็บรักษาข้อมูลส่วนบุคคลเป็นจำนวนมหาศาล หากองค์กรขาดจัดการข้อมูล (Data Management) ที่เป็นระบบ มีความปลอดภัยไม่มากพอ อาจก่อให้เกิดการโจรกรรมข้อมูลที่มีเป้าหมายเพื่อนำข้อมูลส่วนบุคคลเหล่านั้นไปใช้ในทางที่ผิด หรือขายต่อในเว็บมืด ส่งผลให้องค์กรได้รับโทษตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล และทำให้เสียชื่อเสียงในที่สุด

เริ่มต้นรักษาความปลอดภัยของข้อมูล พร้อมใช้งานข้อมูลเพื่อขับเคลื่อนองค์กรได้อย่างเต็มประสิทธิภาพ ด้วย PDPA Services จาก Data Wow ที่ให้บริการโดยทีมนักกฎหมายผู้เชี่ยวชาญ ช่วยให้คำปรึกษา จัดการ และตรวจสอบข้อมูลให้เป็นไปตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล นอกจากนี้ เรายังมีคอร์สจัดอบรมเรื่อง PDPA ให้กับบุคลากรภายในองค์กร เพื่อสร้างความตระหนักรู้ภายใต้กฎหมาย PDPA และปฏิบัติตนได้อย่างถูกต้อง

ก้าวสู่การเป็นผู้นำทางธุรกิจกับ Data Wow ได้วันนี้ที่ sales@datawow.io หรือโทร 02-024-5560

ติดต่อเรา

ชื่อ

ชื่อบริษัท

ชื่อตำแหน่ง

เบอร์โทรศัพท์

อีเมล

ข้อความ

ฉันต้องการรับโปรโมชันและข่าวสารทางการตลาดเกี่ยวกับ Data Wow และบริการอื่น ๆ จากเรา
บริษัทในเครือ บริษัทย่อยและพันธมิตรทางธุรกิจ (คุณสามารถยกเลิกได้ทุกเมื่อ)

ฉันยอมรับ เงื่อนไขการให้บริการ และ นโยบายความเป็นส่วนตัว