วันนี้ผมจะมาสรุป PDPA ในแบบเข้าใจง่าย ๆ เผื่อใครที่ยังงงๆ กับ PDPA อยู่ อ่านจบแล้วรับรองเข้าใจ PDPA ขึ้นเยอะแน่นอน! เอาล่ะ มาเริ่มกันเลยดีกว่า
PDPA คือ อะไร?
PDPA ย่อมาจาก Personal Data Protection Act หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายที่ออกมาเพื่อคุ้มครองข้อมูลส่วนตัวของเรา ไม่ให้ใครมาเอาข้อมูลเราไปใช้โดยพลการ PDPA จะทำให้เรามีสิทธิ์ในการควบคุมข้อมูลของตัวเองมากขึ้น ว่าใครจะเก็บ ใช้ หรือเปิดเผยข้อมูลของเราได้บ้าง
จริง ๆ แล้ว PDPA ไม่ใช่เรื่องใหม่เลย ในต่างประเทศมีหลายประเทศเขามีกันมานานแล้ว เช่น สหภาพยุโรปมี กฎหมายคุ้มครองข้อมูลส่วนบุคคลของ สหภาพยุโรป (General Data Protection Regulation : GDPR) , ประเทศสิงค์โปร ก็มี PDPA เหมือนกัน แต่สำหรับบ้านเรา PDPA เพิ่งมีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2562 ที่ผ่านมา
PDPA ใช้กับใครบ้าง?
ง่าย ๆ เลย PDPA ใช้กับทุกคนและทุกองค์กรในประเทศไทยที่เก็บข้อมูลส่วนตัวไว้ ไม่ว่าจะเป็นชื่อ ที่อยู่ เบอร์โทร อีเมล์ หรือแม้แต่ IP Address ก็ถือเป็นข้อมูลส่วนบุคคลตาม PDPA ทั้งนั้น
ถ้าเราเป็นเจ้าของข้อมูล PDPA กฏหมายก็คุ้มครองสิทธิ์ของเรา แต่ถ้าเราเป็นองค์กรหรือคนที่เก็บข้อมูลเพื่อ เก็บ รวมรวบ ใช้ ข้อมูลส่วนบุคคล เราก็ต้องปฏิบัติตาม PDPA ด้วยเช่นกัน ใครฝ่าฝืนอาจโดนโทษหนักได้นะ
PDPA คุ้มครองข้อมูลอะไรบ้าง?
PDPA จะคุ้มครองข้อมูลส่วนบุคคลทุกอย่างที่ระบุตัวตนของเราได้ ตั้งแต่ชื่อ นามสกุล ที่อยู่ เบอร์โทร อีเมล์ เลขบัตรประชาชน ข้อมูลสุขภาพ ประวัติการศึกษา ประวัติอาชญากรรม ไปจนถึงภาพถ่าย ภาพเคลื่อนไหว หรือข้อมูลทางชีวมิติต่าง ๆ เช่น ลายนิ้วมือ ใบหน้า ม่านตา เสียง หรือ DNA เป็นต้น
ถ้าเป็นข้อมูลที่ไม่ระบุตัวตน เช่น ข้อมูลผู้เสียชีวิต, ข้อมูลทางสถิติหรือข้อมูลรวมที่ไม่สามารถบอกได้ว่าเป็นข้อมูลของใคร ก็ไม่อยู่ในขอบเขตของ PDPA
เราในฐานะเจ้าของข้อมูลมีสิทธิ์อะไรบ้าง?
PDPA กำหนดสิทธิ์ของเจ้าของข้อมูลไว้หลายอย่าง เช่น
- สิทธิ์ในการได้รับแจ้งว่ามีการเก็บข้อมูลของเรา เพื่ออะไร และจะเก็บไปนานแค่ไหน
- สิทธิ์ในการเข้าถึงและขอสำเนาข้อมูลของเรา
- สิทธิ์ในการให้แก้ไขข้อมูลของเราให้ถูกต้อง
- สิทธิ์ในการให้ลบหรือทำลายข้อมูลของเรา
- สิทธิ์ในการให้ระงับการใช้ข้อมูลของเรา
- สิทธิ์ในการให้ส่งต่อข้อมูลของเราให้กับคนอื่น
- .สิทธิ์ในการคัดค้านการเก็บ ใช้ เปิดเผย ข้อมูลของเรา
เห็นไหมว่า PDPA ทำให้เราสามารถควบคุมข้อมูลส่วนตัวของตัวเองได้มากขึ้น ถ้ามีใครมาละเมิดสิทธิ์เหล่านี้ เราสามารถร้องเรียนและเรียกร้องค่าเสียหายได้ด้วย
ส่วนองค์กรที่เก็บข้อมูลต้องทำอย่างไร?
องค์กรหรือหน่วยงานที่เก็บข้อมูลส่วนบุคคลของคนอื่นต้องปฏิบัติตาม PDPA อย่างเคร่งครัด ไม่อย่างนั้นอาจโดนค่าปรับหรือโทษทางอาญาได้ สิ่งที่ต้องทำก็มีหลายอย่าง เช่น
- ต้องแจ้งและขอความยินยอมจากเจ้าของข้อมูลก่อนเก็บ ใช้ หรือเปิดเผยข้อมูล
- ต้องบอกวัตถุประสงค์ในการเก็บและระยะเวลาในการเก็บรักษาข้อมูล
- ต้องดูแลรักษาความปลอดภัยของข้อมูลไม่ให้รั่วไหล สูญหาย หรือถูกทำลาย
- ต้องกำหนดนโยบายและมาตรการในการคุ้มครองข้อมูลส่วนบุคคล
- ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)
- ต้องทำลายข้อมูลเมื่อพ้นกำหนดหรือหมดความจำเป็นในการใช้งาน
- ถ้ามีการส่งข้อมูลไปต่างประเทศ ต้องปฏิบัติตามหลักเกณฑ์ PDPA
หากฝ่าฝืน องค์กรอาจโดนโทษปรับทางแพ่งสูงถึง 5 ล้านบาท หรือโทษจำคุกทางอาญาสูงสุดถึง 1 ปี เลยทีเดียว ดังนั้นองค์กรต่าง ๆ ต้องเตรียมความพร้อมและปรับตัวให้ทันเวลา
แล้วเราต้องทำอะไรบ้าง?
สำหรับเราที่เป็นทั้งเจ้าของข้อมูลและผู้ใช้ข้อมูลในบางครั้ง เรื่อง PDPA อาจดูยุ่งยากซับซ้อน แต่จริง ๆ แล้ว พอเข้าใจ PDPA คร่าว ๆ ก็ไม่ยากเลยครับ สรุปแบบเข้าใจง่าย ๆ เราแค่ต้อง
- เพิ่มความระมัดระวังในการให้ข้อมูลส่วนตัวกับคนอื่น
- อ่านและทำความเข้าใจนโยบายความเป็นส่วนตัวก่อนให้ความยินยอมทุกครั้ง
- ตรวจสอบสิทธิ์ที่เราพึงมีในฐานะเจ้าของข้อมูลและใช้สิทธิ์เหล่านั้นเมื่อจำเป็น
- ช่วยกันสอดส่องดูแลกรณีที่อาจละเมิดข้อมูลส่วนบุคคล หรือการปฏิบัติไม่สอดคล้องกับข้อกำหนดของกฏหมาย โดยทำการแจ้งหน่วยงานที่รับผิดชอบ
- สร้างความตระหนักรู้เรื่อง PDPA ให้กับพนักงานในองค์กร และ คนรอบตัวให้มีความเข้าใจในสิทธิและข้อปฏิบัติที่ถูกต้อง
หากเรามีความระมัดระวังมากขึ้น PDPA ก็จะช่วยให้ข้อมูลส่วนตัวของเราปลอดภัยขึ้นแน่นอน
สรุปสั้น ๆ
PDPA คือกฎหมายที่ออกมาเพื่อคุ้มครองข้อมูลส่วนบุคคลของเรา โดยเราในฐานะเจ้าของข้อมูลจะมีสิทธิ์ควบคุมข้อมูลของตัวเองได้มากขึ้น ส่วนองค์กรที่จะเก็บ ใช้ เปิดเผยข้อมูลของเราก็ต้องปฏิบัติตาม PDPA อย่างเคร่งครัด ถึงจะอ่านดูเยอะไปหน่อย แต่หวังว่าคงช่วยให้เข้าใจ PDPA ได้ง่ายขึ้นนะครับ
#PDPA #PDPAเข้าใจง่าย
บทความที่เกี่ยวข้อง
บริการที่เกี่ยวข้อง