ข้อบังคับ PDPA
เหลือเวลาอีกไม่ถึงเดือนแล้ว สำหรับการประกาศบังคับใช้กฎหมายที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ที่จะเกิดขึ้นในเดือนมิถุนายน 2565 อย่างเต็มรูปแบบ
การเตรียมความพร้อมขององค์กรจึงถือเป็นสิ่งสำคัญ ทั้งนี้เพื่อให้เข้าใจถึงรายละเอียดและผลกระทบต่างๆ การศึกษาถึงรายละเอียดของการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายฉบับนี้ยังจะส่งผลดีต่อการดำเนินงานองค์กร อีกทั้งยังจะช่วยป้องกันไม่ให้เกิดปัญหาตามมาภายหลังกันได้ ซึ่งมีสาระสำคัญที่เหล่าผู้ประกอบการควรรู้เพิ่มเติมดังนี้
หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล
เพื่อให้กฎหมายการคุ้มครองข้อมูลส่วนบุคคลตามที่กำหนดเอาไว้ การเก็บรวบรวมข้อมูลส่วนบุคคลจำเป็นจะต้องมีการปฏิบัติตามรายละเอียดดังต่อไปนี้
- เจ้าของข้อมูลให้ความยินยอมในการเก็บข้อมูล
- เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ เพื่อการศึกษาวิจัยหรือสถิติ
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
- เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา เช่น การที่ธนาคารเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ของสัญญากู้ยืม
- เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ดำเนินการเพื่อประโยชน์สาธารณะของหน่วยงานรัฐ
- list text hereเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล เช่น บริษัทเอกชนติดตั้งกล้องวงจรปิดเพื่อรักษาความปลอดภัย ซึ่งภาพถ่ายนั้นจะสามารถเก็บข้อมูลส่วนบุคคลในบริเวณดังกล่าวได้
- เป็นการปฏิบัติตามกฎหมาย
นอกจากรายละเอียดของข้อมูลส่วนบุคคลข้างต้นแล้ว การคุ้มครองข้อมูลส่วนบุคคลยังรวมไปถึงข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น เชื้อชาติ, ประวัติอาชญากรรม, ข้อมูลพันธุกรรม, พฤติกรรมทางเพศ เป็นต้น ซึ่งการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเหล่านั้นจำเป็นจะต้องมีการให้ความยินยอมที่ชัดเจนและเข้มงวดยิ่งกว่า เช่น ได้รับความยินยอมโดยชัดแจ้ง (Explicit Consent) จากเจ้าของข้อมูลส่วนบุคคล, เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ เป็นต้น
หมวด 3 สิทธิเจ้าของข้อมูลส่วนบุคคล
สิทธิที่จะได้รับการแจ้งให้ทราบ
ในการคุ้มครองข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งรายละเอียดในการเก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล โดยเจ้าของข้อมูลนั้นมีสิทธิที่จะทราบวัตถุประสงค์ของการเก็บข้อมูล การนำไปใช้หรือการเผยแพร่ ข้อมูลที่จะมีการจัดเก็บ ระยะเวลาในการเก็บข้อมูล รายละเอียดของผู้ควบคุมข้อมูลส่วนบุคคล ไปจนถึงผลกระทบที่อาจจะเกิดขึ้นในกรณีที่ไม่ให้ข้อมูลนั้นๆ
สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล
การเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลของตนเองจากผู้ควบคุมข้อมูลส่วนบุคคล การเปิดเผยถึงการได้มาซึ่งข้อมูลนั้นๆ ในกรณีที่ไม่แน่ใจว่าตัวเองให้ความยินยอมหรือไม่ โดยที่การเข้าถึงข้อมูลจะต้องไม่ละเมิดต่อสิทธิและเสรีภาพของบุคคลอื่น
สิทธิในการได้รับและโอนถ่ายข้อมูล
ในกรณีที่เจ้าของข้อมูลต้องการนำข้อมูลที่เคยให้ไว้กับผู้ควบคุมข้อมูลรายหนึ่งไปใช้กับผู้ควบคุมข้อมูลอีกรายหนึ่ง เจ้าของข้อมูลสามารถขอให้ทำการส่งหรือโอนข้อมูลดังกล่าว หรือส่งข้อมูลให้ผู้ควบคุมข้อมูลรายอื่นโดยตรงได้ โดยจะต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิเสรีภาพของบุคคลอื่น
สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
การคุ้มครองข้อมูลส่วนบุคคลนั้นจะให้ความคุ้มครองรวมไปถึงกรณีที่เจ้าของข้อมูลต้องการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งเจ้าของข้อมูลนั้นสามารถคัดค้านเมื่อไหร่ก็ได้ หรือทำให้ข้อมูลนั้นๆ เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ ยกเว้นมีเหตุทางกฎหมายที่สำคัญเท่านั้น
สิทธิในการขอให้ลบ หรือทำลายข้อมูลส่วนบุคคล
กรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลนำข้อมูลไปเผยแพร่ในที่สาธารณะหรือเข้าถึงได้ง่าย ผู้ควบคุมข้อมูลมีสิทธิขอให้ทำการลบ ทำลาย หรือทำให้ข้อมูลนั้นๆ ไม่สามารถระบุตัวตนได้ โดยที่ผู้ควบคุมข้อมูลจะต้องเป็นผู้รับผิดชอบดำเนินการทั้งด้านเทคโนโลยีและค่าใช้จ่าย
สิทธิในการเพิกถอนความยินยอม
หากเจ้าของข้อมูลเคยให้ความยินยอมแล้ว แต่เกิดเปลี่ยนใจในภายหลัง เจ้าของข้อมูลสามารถยกเลิกความยินยอมเมื่อไหร่ก็ได้ โดยการคุ้มครองข้อมูลส่วนบุคคลนั้นกำหนดไว้ว่าการยกเลิกจะต้องไม่ขัดต่อข้อจำกัดสิทธิในการถอนความยินยอมทางกฎหมาย
สิทธิในการขอระงับการใช้ข้อมูล
เจ้าของข้อมูลมีสิทธิขอให้ผู้ควบคุมข้อมูลระงับการใช้ข้อมูลส่วนบุคคลได้ ไม่ว่าจะเป็นการเพิกถอนความยินยอม ระงับการทำลายข้อมูล เป็นต้น
สิทธิขอให้แก้ไขข้อมูล
ตามกฎหมายการคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิที่จะขอแก้ไขข้อมูลส่วนบุคคลให้มีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิด โดยจะต้องไม่ขัดต่อหลักกฎหมาย
หมวด 5 การร้องเรียน
ตามกฎหมายการคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลที่ถูกละเมิดข้อมูลส่วนบุคคลไม่ว่าจะในทางใดก็ตาม เจ้าของข้อมูลสามารถร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อทำหน้าที่พิจารณาเรื่องร้องเรียนตามพระราชบัญญัตินี้ได้
หมวด 6 ความรับผิดทางแพ่ง
สำหรับความรับผิดทางแพ่งนั้น ผู้กระทำการละเมิดข้อมูลส่วนบุคคลนั้น จะต้องชดใช้ค่าสินไหมทดแทนให้กับเจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการกระทำโดยจงใจหรือประมาทเลินเล่อก็ตาม ซึ่งศาลมีอำนาจสั่งให้ผู้กระทำการละเมิดชดใช้ค่าสินไหมเพิ่มเติมทดแทนได้สองเท่าของค่าสินไหมทดแทนที่แท้จริง
หมวด 7 บทกำหนดโทษ
กฎหมายการคุ้มครองข้อมูลส่วนบุคคลนั้นมีการกำหนดโทษเอาไว้ในส่วนของโทษทางอาญาและโทษทางปกครองเอาไว้โดยชัดเจน นั่นก็คือ
โทษทางอาญา
กฎหมายกำหนดเอาไว้ในกรณีที่ผู้ควบคุมใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม ซึ่งข้อมูลนั้นๆ เป็นข้อมูลที่มีความละเอียดอ่อน (Sensitive Data), โอนย้ายข้อมูลไปต่างประเทศโดยไม่ได้ทำตามระเบียบ, ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นแล้วนำไปเปิดเผย
-
ในกรณีที่ทำให้เกิดความเสียหายแก่ชื่อเสียง ดูถูก เกลียดชัง ได้รับความอับอาย มีโทษจำคุก 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
-
ในกรณีที่ใช้ข้อมูลนั้นเพื่อแสวงหาประโยชน์โดยมิชอบ มีโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ
ในกรณีที่ผู้กระทำความผิดเป็นนิติบุคคล กรรมการหรือผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้นอาจต้องร่วมรับผิดในความผิดอาญาที่เกิดขึ้นด้วย
โทษทางปกครอง
สำหรับโทษทางปกครองนั้น การคุ้มครองข้อมูลส่วนบุคคลหากผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูล ที่กระทำการฝ่าฝืนหรือไม่ปฏิบัติตามที่กฎหมายกำหนด เช่น ไม่แจ้งวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบ, ขอความยินยอมโดยหลอกลวงหรือทำให้เจ้าของข้อมูลเข้าใจผิดในวัตถุประสงค์ของการเก็บข้อมูล, ไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นต้น มีโทษปรับทางปกครองสูงสุด 5,000,000 บาท
แม้ว่ารายละเอียดของกฎหมายการคุ้มครองข้อมูลส่วนบุคคลอาจจะดูยุ่งยากและวุ่นวาย แต่การศึกษากฎหมายให้เข้าใจและปฏิบัติตามแนวทางให้ถูกต้อง ก็นับว่าเป็นสิ่งสำคัญสำหรับการเตรียมความพร้อม PDPA ของภาคธุรกิจเช่นกัน
และหากคุณกำลังมองหาผู้เชี่ยวชาญด้านธุรกิจและนักกฎหมายมากประสบการณ์ ที่จะช่วยให้การเตรียมความพร้อมและการทำความเข้าใจด้าน PDPA ของคุณมีประสิทธิภาพและดียิ่งขึ้น
PDPA Core ที่ปรึกษาที่ให้บริการด้าน PDPA แบบครบวงจร พร้อมเทคโนโลยีครบครัน ที่สามารถตอบโจทย์ทุกความต้องการของธุรกิจคุณได้อย่างลงตัว เราได้รับมาตรฐาน ISO 27001 (Information Security) และ ISO 27701 (Privacy Information) การันตีความเชี่ยวชาญด้าน Personal Data Protection มั่นใจได้ว่าองค์กรของคุณจะปฏิบัติตาม PDPA ได้อย่างถูกต้องแน่นอน