ผู้บริโภคได้อะไร? รู้จัก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ก่อนบังคับใช้ 1 มิ.ย.นี้

ในวันที่ 1 มิถุนายน 2565 นี้ จะเป็นวันแรกที่มีการเริ่มใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act B.E. 2562) หรือที่เรียกกันสั้นๆ ว่า PDPA ซึ่งเป็นกฏหมายที่จะมีผลทั้งกับภาคธุรกิจ ภาครัฐ-เอกชน และคนทั่วไป แต่ก่อนจะถึงวันนั้นเรามาเตรียมความพร้อมทำความรู้จักกันดีกว่าว่ากฏหมายนี้คืออะไร และในมุมผู้บริโภคจะได้รับประโยชน์อะไร

เป็นที่ทราบกันดีว่าในปัจจุบัน “Data is a King” ข้อมูลต่างๆ โดยเฉพาะข้อมูลส่วนบุคคลเป็นสิ่งที่มีมูลค่า แต่ที่ผ่านมาเรามักจะให้ข้อมูลเหล่านี้กับ ผู้ให้บริการธุรกิจ, ภาครัฐ, แอปพลิเคชั่น, เว็บไซต์ หรือร้านค้าต่างๆ กันจนเป็นเรื่องปกติ ผ่านการสมัครใช้บริการ หรือลงทะเบียนต่างๆ ทั้งแบบออนไลน์ และออฟไลน์

แน่นอนว่าข้อมูลส่วนบุคคลหากไม่มีมาตรการคุ้มครองที่เพียงพอ ก็อาจจะเป็นช่องโหว่ให้เจ้าของข้อมูลถูกล่วงละเมิด อาทิเช่น การถูกนำไปสวมรอยเพื่อใช้ในกิจกรรมที่เราไม่ยินยอม, ถูกหน่วยงานนำไปใช้ประโยชน์ในเชิงพาณิชย์ หรือตกไปอยู่ในมือของคนที่ไม่ได้รับข้อมูลโดยตรง เป็นการสร้างความเดือดร้อนและรำคาญให้แก่ตัวเจ้าของข้อมูล ดังกรณีที่เราเห็นกันบ่อยๆ อย่างมีเบอร์แปลกๆ โทรเข้ามาเพื่อเสนอขายประกัน หรือเป็นเบอร์แก๊ง Call Center ที่รู้เบอร์โทรของเรา หรือบางทีก็รู้ยันหมายเลขบัตรประชาชน ซึ่งเราไม่มีทางทราบได้ว่าบุคคลเหล่านี้ไปเอาข้อมูลของเรามาจากที่ไหน และนั้นก็เป็นหน้าที่ของ “พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล” ที่จะเข้ามาช่วยควบคุมดูแล

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คืออะไร

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ Personal Data Protection Act B.E. 2562 (2019) ที่เราเรียกกันสั้นๆ ว่า PDPA เป็นกฏหมายที่จะมีบทบาทสำคัญในการคุ้มครองและให้สิทธิกับเจ้าของข้อมูลส่วนบุคคล รวมถึงการสร้างมาตรฐานใหม่ให้เกิดขึ้นกับบุคคลหรือนิติบุคคลในการเก็บข้อมูลหรือใช้ข้อมูลส่วนบุคคลให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลอนุญาต โดยที่มีการประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และกำลังจะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้

ภายใต้ พ.ร.บ. ฉบับดังกล่าว ได้มีการกล่าวถึงผู้ที่มีส่วนเกี่ยวข้องกับ “ข้อมูลส่วนบุคคล” ตามกฎหมายไว้ 4 กลุ่ม ได้แก่

1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)

ในที่นี้หมายถึงประชาชนทุกคน (ยกเว้น คนตายและนิติบุคคล) และ ในคำว่าข้อมูลส่วนบุคคล ณ ที่นี้ คือข้อมูลเกี่ยวกับบุคคลที่ทำให้ระบุตัวบุคคลได้ทั้งทางตรงและทางอ้อม อาทิเช่น เลขประจำตัวประชาชน, ชื่อ-นามสกุล, ที่อยู่, เบอร์โทรศัพท์, อีเมล, ข้อมูลทางการเงิน, เชื้อชาติ, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสุขภาพ เป็นต้น

2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ในการกำหนดวัตถุประสงค์ วิธีการประมวลผล และใช้ประโยชน์จากข้อมูลส่วนบุคคล

3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

4. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO)

ผู้ที่ได้รับมอบหมายให้ทำหน้าที่แนะนำหรือตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลของ หน่วยงาน / องค์กร / สถาบัน ให้เป็นไปตามกฏหมาย

สำหรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นการใช้บังคับแก่การเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่ในราชอาณาจักรไทย

แต่สำหรับผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกราชอาณาจักร จะมีผลบังคับใช้หากมีกิจกรรมดังนี้

1. เสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลซึ่งอยู่ในราชอาณาจักรไม่ว่าจะมีการชำระเงินหรือไม่ก็ตาม
2. การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลที่เกิดขึ้นในราชอาณาจักร

สิ่งที่ประชาชนจะได้จาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีบทบาทสำคัญในการคุ้มครอง และให้สิทธิกับเจ้าของข้อมูลส่วนบุคคล ซึ่งประชาชนทั่วไปจะมีสิทธิต่างๆ ดังนี้

• สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้ (มาตรา 19 วรรคห้า)
• สิทธิได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice) (มาตรา 23)
• สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล (มาตรา 30)
• สิทธิขอให้โอนข้อมูลส่วนบุคคล (มาตรา 31)
• สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล (มาตรา 32)
• สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (มาตรา 34)
• สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล (มาตรา 34)
• สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล (มาตรา 35)
• มีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญในกรณีที่มีการฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA หรือ ประกาศฯ ที่ออกตาม PDPA ทั้งนี้ กระบวนการร้องเรียนเป็นไปตามระเบียบที่คณะกรรมการฯ ประกาศกำหนด (มาตรา 73)

ขณะที่บุคคลหรือนิติบุคคลที่อยู่ในฐานะ ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล จะต้องปฏิบัติดังนี้

• เก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเอาไว้ก่อนหรือในขณะเก็บรวบรวม ห้ามใช้นอกเหนือวัถตุประสงค์ (มาตรา 21 )
• ต้องเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็น ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย (มาตรา 22 )
• ความยินยอม เป็นฐานการประมวลผลฐานหนึ่งเท่านั้น “ผู้ควบคุมข้อมูลส่วนบุคคล” มีหน้าที่ในการกำหนดฐานการประมวลผลให้สอดคล้องกับลักษณะการประมวลผลและความสัมพันธ์ระหว่าง “ผู้ควบคุมข้อมูล” กับ “เจ้าของข้อมูลส่วนบุคคล” (ตามมาตร 24 หรือ มาตรา 26)
• ในการขอความยินยอม “ผู้ควบคุมข้อมูลส่วนบุคคล” จะต้องคำนึงอย่างที่สุดในความเป็นอิสระของ “เจ้าของข้อมูลส่วนบุคคล” (ต้องไม่มีสภาพบังคับในการให้/ไม่ให้) (มาตรา 19 วรรคสี่)
• ในกรณีที่เหตุการณ์ละเมิด “ข้อมูลส่วนบุคคล” มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของ “เจ้าของข้อมูลส่วนบุคคล” กฎหมายกำหนดให้ “ผู้ควบคุมข้อมูลส่วนบุคคล” มีหน้าที่แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบ พร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า (มาตรา 37(4))

ฝ่าฝืน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มีบทลงโทษ อย่างไร ? 

หากมีการใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบฯ ก็จะมีความผิดตามมาตรา 79 วรรคหนึ่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ หรือเพื่อแสวงหาผลประโยชน์ที่มิควรโดยมิชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น ตามมาตรา 79 วรรคสอง ต้องระวางโทษ จำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

อีกทั้งหากล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ตาม พ.ร.บ.นี้ ถ้าผู้นั้นนำไปเปิดเผยแก่ผู้อื่น ตามมาตรา 80 วรรคหนึ่ง ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ รวมถึงมีความผิดในทางปกครอง ตามมาตรา 82–90 โดยมีโทษปรับทางปกครอง 500,000 บาท ถึง 5,000,000 บาท อีกทั้งผู้เสียหายอาจใช้สิทธิเรียกร้องในทางแพ่งหรือความผิดตามกฎหมายอื่นได้อีกด้วย

ทั้งนี้ในกรณีที่ผู้กระทำความผิด เป็นนิติบุคคล หากกรรมการผู้จัดการ หรือบุคคลที่ได้รับผิดชอบ สั่งการหรือกระทำหรือละเว้นไม่สั่งการหรือไม่กระทำ จนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ต้องรับโทษในคดีอาญานั้นไว้ด้วย

อย่างไรก็ตามตัวกฏหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ก็มีการยกเว้นไม่ใช้กับ 6 เรื่องดังนี้

1. การเก็บรวบรวม ใช้ หรือเปิดเผย เพื่อประโยชน์ส่วนตน หรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้น
2. การดำเนินการของหน่วยงานรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ความมั่นคงทางการคลังของรัฐ การรักษาความปลอดภัยของประชาชน การป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ การรักาาความมั่นคงปลอดภัยทางไซเบอร์
3. การเก็บรวบรวมเพื่อกิจการสื่อสารมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น
4. สภาผู้แทนราษฎร วุฒิสภา รัฐสภา คณะกรรมาธิการ ตามอำนาจและหน้าที่ของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา และคณะกรรมาธิการ
5. การพิจารณาพิพากษาคดีของศาล การดำเนินการงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดี การวางทรัพย์ การดำเนินงานตามกระบวนการยุติธรรมทางอาญา
6. การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต

ดีแทค แสดงจุดยืน พร้อมรับ PDPA ตอกย้ำหลักสิทธิมนุษยชน-ธรรมาภิบาล

สำหรับกรณีประเด็นของการ ถ่ายรูป-ถ่ายคลิป เพื่อโพสต์ลงโซเชียลมีเดียส่วนตัว โดยที่ในภาพหรือคลิปมีบุคคลอื่นติดเข้ามาโดยไม่เจตนา และทางผู้โพสต์ไม่ได้ขอความยินยอมจากบุคคลดังกล่าว ซึ่งจะทำให้ผิดกฏหมาย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล นั้น ทาง PDPC Thailand ได้ให้คำตอบไว้ว่า

“กรณีการถ่ายรูป-ถ่ายคลิปโดยติดบุคคลอื่นโดยผู้ถ่ายรูป-ถ่ายคลิปไม่เจตนา และการถ่ายรูปถ่ายคลิปดังกล่าวไม่ได้ก่อให้เกิดความเสียหายกับผู้ถูกถ่าย สามารถทำได้ หากเป็นการใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้แสวงหากำไรทางการค้า”

ขณะที่การติดกล้องวงจรปิดหากเป็นการติดตั้งภายในบ้าน เพื่อป้องกันอาชญากรรม และรักษาความปลอดภัยกับตัวเจ้าของบ้าน ไม่ถือว่าเป็นการละเมิด พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จึงไม่จำเป็นต้องมีป้ายแจ้งเตือน