ปัจจุบันระบบดิจิทัลหรือโลกออนไลน์ได้ครอบครองทุกพื้นที่จนเป็นสิ่งที่สำคัญในชีวิตประจำวัน รวมไปถึงธุรกิจต่างๆ ก็ล้วนขับเคลื่อนอยู่บนโลกออนไลน์เป็นจำนวนมาก โดยแต่ละช่องทางที่เราใช้งานก็จะมีการเก็บข้อมูลส่วนบุคคลของเราก่อนเข้าใช้งานด้วย ซึ่งทำให้โลกออนไลน์นั้นก็อาจจะมีข้อมูลของเราอยู่มากมาย เช่น ชื่อ นามสกุล , Email , เบอร์โทรศัพท์, ที่อยู่ แต่เราจะรู้ได้อย่างไรว่าข้อมูลที่เราให้ไปนั้นจะใช้เพื่อวัตถุประสงค์นั้นจริงๆ และไม่นำข้อมูลส่วนตัวของเราไปใช้เพื่อผลประโยชน์อื่นใดที่นอกเหนือความยินยอมของเรา
ในปัจจุบันบริษัทหรือนักการตลาดอาจได้รับหรือเข้าถึงข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้งานต่าง ๆ ได้หลากหลายช่องทาง เพราะเหตุนี้จึงได้มีกฎหมาย PDPA (Personal Data Protection Act: PDPA) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เพื่อให้ใครหลาย ๆ คนให้ความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัยมากขึ้น ซึ่งถ้ามีการเก็บรวบรวมข้อมูลทันทีโดยไม่ได้มีการชี้แจงรายละเอียด รวมถึงไม่ได้มีการขอความยินยอมก่อนสำหรับการประมวลผลข้อมูลส่วนบุคคลที่ต้องมีการขอความยินยอมจะกลายเป็นกรณีที่บริษัทไม่ปฏิบัติให้ถูกต้องตาม PDPA และอาจมีความผิดได้
ถ้าใครยังไม่รู้ว่า PDPA คืออะไร? วันนี้ WHAT CAR? จะพาทุกคนไปรู้จักกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA กัน แค่ก่อนจะไปรู้จักเราอยากจะบอกว่ากฎหมาย PDPA จะมีการประกาศใช้ในวันที่ 1 มิถุนายน 2565 โดยการจัดเก็บข้อมูลส่วนบุคคลจากลูกค้าทั้งในรูปแบบออฟไลน์หรือออนไลน์ หากมีการเก็บข้อมูลโดยไม่ถูกต้อง อาจมีความผิดตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ได้
กฎหมาย PDPA ย่อมาจาก Personal Data Protection Act เป็นพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นกฎหมายเพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ หรือได้รับความยินยอมจากเราในฐานะเจ้าของข้อมูลก่อน โดยสามารถสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต
PDPA (Personal Data Protection Act) หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีขึ้นเพื่อให้เอกชนและรัฐที่เก็บรวมรวม ใช้ เปิดเผย หรือ โอนข้อมูลส่วนบุคคลในราชอาณาจักรไทยให้เป็นไปตามมาตรการปกป้องข้อมูลของผู้อื่นจากการถูกละเมิดสิทธิส่วนตัว โดยต้องขอ “ความยินยอม” จากเจ้าของข้อมูล ก่อนการเก็บรวบรวมใช้หรือเปิดเผย
ข้อมูลส่วนบุคคล คืออะไร?
ข้อมูลส่วนบุคคล คือ ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้น ๆ ได้ ทั้งทางตรงหรือทางอ้อม ตัวอย่างเช่น
ส่วนบุคคลทั่วไป
- ชื่อ-นามสกุล
- ชื่อเล่น
- เพศสภาพ
- เลขหนังสือเดินทาง, เลขบัตรประกันสังคม, เลขใบอนุญาตขับขี่, เลขประจำตัวผู้เสียภาษี
- ที่อยู่, อีเมล์, เลขโทรศัพท์
- ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน
- สัญชาติ วันเดือนปีเกิด น้ำหนักส่วนสูง
- ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password, Cookies IP address, GPS Location
นอกจากนี้ยังมี พ.ร.บ. ให้ความสำคัญและมีบทลงโทษที่รุนแรงด้วยกรณีเกิดการรั่วไหลสู่สาธารณะ คือ ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data)
- เชื้อชาติ เผ่าพันธุ์
- ความคิดเห็นทางการเมือง
- ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลด้านสุขภาพ ความพิการ
- ข้อมูลสหภาพแรงงาน
- ข้อมูลพันธุกรรม
- ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา
ใครบ้างที่ต้องเกี่ยวข้องกับ PDPA?
- เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลสามารถระบุหรือชี้ตัวตนของบุคคลนั้น ๆ ได้
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
บทลงโทษสำหรับ PDPA!!
- โทษทางอาญา – จำคุกไม่เกิน 1 ปี และหรือ ปรับสูงสุด 1 ล้านบาท
- โทษทางแพ่ง – จ่ายค่าสินไหมไม่เกิน 2 เท่าของค่าสินไหมที่แท้จริง
- โทษทางปกครอง – ปรับไม่เกิน 5 ล้านบาท