ข้อควรรู้เกี่ยวกับกฎหมาย PDPA ฉบับเข้าใจง่าย

ข้อควรรู้เกี่ยวกับกฎหมาย PDPA ฉบับเข้าใจง่าย
user BLOG & KNOWLEDGE

PDPA คืออะไร?

PDPA (Personal Data Protection Act) หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่ออกมาเพื่อ คุ้มครองข้อมูลส่วนบุคคล ของบุคคลธรรมดาจากการเก็บรวบรวม ใช้ และเปิดเผย (Collect, Use, Disclose) โดยไม่มีความยินยอม หรือใช้โดยไม่เป็นธรรม

กฎหมายนี้คล้ายกับ GDPR (General Data Protection Regulation) ของสหภาพยุโรป ซึ่งใช้ควบคุมบริษัทที่จัดการข้อมูลส่วนบุคคล โดยกำหนดมาตรการป้องกัน และให้สิทธิแก่เจ้าของข้อมูลในการควบคุมข้อมูลของตนเอง

หลักกฎหมายสำคัญของ PDPA

1. ข้อมูลส่วนบุคคลที่ PDPA คุ้มครอง

PDPA คุ้มครอง “ข้อมูลส่วนบุคคล” (Personal Data) ซึ่งหมายถึงข้อมูลที่สามารถระบุตัวบุคคลได้โดยตรงหรือโดยอ้อม เช่น

  • ชื่อ-นามสกุล
  • หมายเลขบัตรประชาชน, หมายเลขพาสปอร์ต
  • ที่อยู่, อีเมล, เบอร์โทรศัพท์
  • ข้อมูลชีวภาพ (เช่น ลายนิ้วมือ, รูปถ่ายใบหน้า, DNA)
  • ข้อมูลพฤติกรรม (เช่น การใช้เว็บไซต์, พิกัด GPS)

2. ข้อมูลอ่อนไหว (Sensitive Data)

ข้อมูลบางประเภทถือเป็น “ข้อมูลอ่อนไหว” (Sensitive Data) ซึ่งมีความเสี่ยงสูงต่อการละเมิดสิทธิ และต้องได้รับความยินยอมอย่างชัดเจน (Explicit Consent) จากเจ้าของข้อมูล เช่น

  • เชื้อชาติ, ศาสนา, ความเชื่อทางการเมือง
  • ข้อมูลสุขภาพ, ประวัติการรักษา, ประกันสุขภาพ
  • ข้อมูลพันธุกรรม, ข้อมูลชีวภาพ
  • ข้อมูลเกี่ยวกับพฤติกรรมทางเพศ
  • ประวัติอาชญากรรม

การเก็บและใช้ ข้อมูลอ่อนไหว ต้องมีเหตุผลที่ชอบด้วยกฎหมายและได้รับความยินยอมที่ชัดเจนจากเจ้าของข้อมูล

ข้อมูลที่ไม่อยู่ภายใต้ PDPA ได้แก่

  • ข้อมูลของผู้เสียชีวิต
  • ข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (เช่น ข้อมูลที่ถูกทำให้ไม่สามารถเชื่อมโยงกลับไปยังตัวบุคคลได้ หรือข้อมูลที่เป็นสถิติ)

3. หลักการสำคัญของ PDPA

3.1 หลักการให้ความยินยอม (Consent Principle)

องค์กรหรือธุรกิจที่ต้องการใช้ข้อมูลส่วนบุคคล ต้องได้รับความยินยอม จากเจ้าของข้อมูล ก่อน เก็บรวบรวม ใช้ หรือเปิดเผย เว้นแต่เป็นกรณีที่มีกฎหมายกำหนดให้สามารถดำเนินการได้โดยไม่ต้องขอความยินยอม

คุณสมบัติของ “ความยินยอม” ที่ถูกต้อง:
✔️ ต้องเป็น การให้โดยสมัครใจ (Freely Given)
✔️ ต้องเป็น การให้โดยชัดแจ้ง (Explicit)
✔️ ต้องสามารถ เพิกถอนความยินยอมได้ตลอดเวลา

กรณีที่สามารถเก็บข้อมูลได้โดยไม่ต้องขอความยินยอม:
✅ การใช้ข้อมูลเพื่อทำสัญญา (เช่น ลูกค้าซื้อสินค้าออนไลน์)
✅ การใช้ข้อมูลเพื่อปฏิบัติตามกฎหมาย (เช่น ธนาคารต้องเก็บข้อมูลลูกค้า)
✅ การใช้ข้อมูลเพื่อประโยชน์สาธารณะ

3.2 หลักการแจ้งให้ทราบ (Notice & Transparency Principle)

องค์กรต้องแจ้งให้เจ้าของข้อมูลทราบถึงรายละเอียดเกี่ยวกับการเก็บข้อมูล เช่น
✅ จุดประสงค์ของการเก็บข้อมูล
✅ ประเภทของข้อมูลที่ถูกเก็บ
✅ สิทธิของเจ้าของข้อมูล
✅ ระยะเวลาการเก็บข้อมูล

ข้อมูลเหล่านี้ต้องมีการแจ้งผ่าน Privacy Policy หรือ ข้อกำหนดการใช้ข้อมูล ที่ชัดเจน

3.3 หลักการจำกัดการใช้ข้อมูล (Purpose Limitation Principle)

✅ ข้อมูลที่เก็บมาต้องถูกใช้ตามวัตถุประสงค์ที่แจ้งไว้เท่านั้น
✅ ห้ามนำข้อมูลไปใช้ในทางอื่นโดยไม่ได้รับความยินยอมใหม่

3.4 หลักการเก็บข้อมูลอย่างปลอดภัย (Security Principle)

องค์กรต้องใช้มาตรการป้องกันข้อมูลรั่วไหล เช่น

  • เข้ารหัสข้อมูล (Encryption)
  • ควบคุมการเข้าถึงข้อมูล (Access Control)
  • มีระบบสำรองข้อมูล (Backup System)

หากข้อมูลรั่วไหล องค์กรต้องแจ้งให้สำนักงานคุ้มครองข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมง

4. สิทธิของเจ้าของข้อมูลภายใต้ PDPA

4.1 สิทธิในการเข้าถึงข้อมูล (Right to Access)

เจ้าของข้อมูลสามารถขอรับสำเนาข้อมูลส่วนบุคคลของตนเองจากองค์กรได้

4.2 สิทธิในการขอแก้ไขข้อมูล (Right to Rectification)

หากข้อมูลผิดพลาด เจ้าของข้อมูลสามารถขอแก้ไขให้ถูกต้องได้

4.3 สิทธิในการลบข้อมูล (Right to Erasure / Right to be Forgotten)

เจ้าของข้อมูลสามารถขอลบข้อมูลของตนได้ หากไม่มีเหตุผลทางกฎหมายที่ต้องเก็บรักษาต่อไป

4.4 สิทธิในการคัดค้านการใช้ข้อมูล (Right to Object)

หากองค์กรนำข้อมูลไปใช้เพื่อการตลาด เจ้าของข้อมูลสามารถปฏิเสธการใช้ข้อมูลของตนได้

4.5 สิทธิในการโอนย้ายข้อมูล (Right to Data Portability)

เจ้าของข้อมูลสามารถขอรับข้อมูลของตนเองในรูปแบบที่สามารถโอนไปยังระบบอื่นได้

5. โทษของการละเมิด PDPA

  • โทษทางแพ่ง: อาจต้องชดใช้ค่าเสียหายให้กับเจ้าของข้อมูล
  • โทษทางปกครอง: ปรับสูงสุด 5 ล้านบาท
  • โทษทางอาญา: จำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ

6. ธุรกิจที่ต้องปฏิบัติตาม PDPA

✅ ธุรกิจออนไลน์ (E-commerce, เว็บไซต์)
✅ ธุรกิจที่มีระบบสมาชิก (โรงแรม, ฟิตเนส, แอปพลิเคชัน)
✅ ธุรกิจที่ใช้ข้อมูลลูกค้า (เช่น แพลตฟอร์มโฆษณา, การตลาดออนไลน์)
✅ โรงพยาบาล, ธนาคาร, บริษัทประกันภัย
✅ ธุรกิจอสังหาริมทรัพย์ที่มีการเก็บข้อมูลลูกค้า

7. วิธีปฏิบัติตาม PDPA อย่างถูกต้อง

ปรับปรุงนโยบายความเป็นส่วนตัว (Privacy Policy) ให้ถูกต้องและชัดเจน
ขอความยินยอมอย่างชัดเจน ก่อนเก็บข้อมูล
ตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO – Data Protection Officer)
มีมาตรการรักษาความปลอดภัยของข้อมูล

8.ข้อมูลที่ ไม่อยู่ภายใต้การคุ้มครองของ PDPA มี 5 กลุ่มหลัก ได้แก่

  1. ข้อมูลของบุคคลที่เสียชีวิต
  2. ข้อมูลที่ใช้เพื่อประโยชน์ส่วนตัวหรือภายในครอบครัว
  3. ข้อมูลของหน่วยงานภาครัฐบางประเภท เช่น ความมั่นคง การป้องกันอาชญากรรม
  4. ข้อมูลที่ถูกเปิดเผยต่อสาธารณะโดยชอบด้วยกฎหมาย เช่น รายชื่อบริษัทที่จดทะเบียนกับ กรมพัฒนาธุรกิจการค้า
  5. ข้อมูลที่ใช้ในสื่อมวลชน งานวิจัย และงานศิลปะ

แม้ข้อมูลเหล่านี้จะไม่ถูกคุ้มครองโดย PDPA แต่ ยังอาจถูกควบคุมโดยกฎหมายอื่น เช่น กฎหมายแพ่งและพาณิชย์ กฎหมายอาญา กฎหมายลิขสิทธิ์ หรือกฎหมายคุ้มครองผู้บริโภค

สรุป

PDPA เป็นกฎหมายที่มีผลกระทบต่อทุกธุรกิจที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ผู้ประกอบการต้อง ปรับปรุงการจัดการข้อมูล ให้เป็นไปตามกฎหมาย มิฉะนั้นอาจต้องเผชิญกับค่าปรับและความเสียหายทางกฎหมาย

หากคุณเป็นเจ้าของธุรกิจ อย่าลืมปรับตัวให้สอดคล้องกับ PDPA เพื่อป้องกันปัญหาทางกฎหมายในอนาคต

Related Posts

Message us