โลกอินเทอร์เน็ตบ้านเราช่วงนี้ พูดถึงแต่ “PDPA” หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่เริ่มบังคับใช้เต็มรูปแบบวันนี้ รวมถึงเรื่องการละเมิดข้อมูลส่วนบุคคล อย่างเช่นข่าวลือที่ว่า ถ้าถ่ายรูป ติดบุคคลอื่นแล้วโพสต์ลงโซเชียล อาจโดนปรับเป็นล้าน!? จนมีพลเมืองดีที่จังหวัดระยอง เจอโจรอยู่ตรงหน้า แต่ไม่กล้าถ่ายภาพ เพราะกลัวผิด PDPA!
เพื่อไขข้อข้องใจและคลายความกังวลที่เกิดขึ้น Spotlight ได้รวบรวมข้อมูลเกี่ยวกับกฎหมายดังกล่าว เพื่อให้ทุกคนเป็น “ประชาชนชาวโซเชียล” คุณภาพดี ที่สามารถปกป้องสิทธิเกี่ยวกับข้อมูลส่วนตัวของตนเองได้ และไม่เผลอไผลไปล่วงละเมิดข้อมูลส่วนตัวของผู้อื่น
Personal Data Protection Act (PDPA) หมายถึง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คือ กฎหมายว่าด้วยการ “ให้สิทธิ” กับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำข้อมูลไปใช้ให้ถูกวัตถุประสงค์ ตามคำยินยอมที่เจ้าของ
โดยกฎหมายฉบับนี้ได้ประกาศในราชกิจจานุเบกษาในปีพ.ศ. 2562 และบังคับใช้หมวดที่ 1, 4 และบทเฉพาะกาลที่เกี่ยวข้องการการจัดตั้งคณะกรรมการและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเรียบร้อยแล้ว แต่หมวดที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล การร้องเรียน และการลงโทษอื่นๆ ถูกเลื่อนการบังคับใช้เป็นระยะเวลากว่า 2 ปี มาเป็นวันที่ 1 มิถุนายนนี้
นับเป็นจังหวะที่ดีเนื่องจากคนไทยเริ่มเห็น และเข้าใจความสำคัญของข้อมูลส่วนตัวมากขึ้นแล้ว โดยเฉพาะจากกรณีแก๊งคอลเซนเตอร์และมิจฉาชีพ ที่ได้ข้อมูลของเราไปอย่างน่าสงสัย ทำให้คนไทยหันมาระมัดระวังการเผยแพร่ข้อมูลส่วนตัวของตนเองมากขึ้น
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีทั้งหมด 7 หมวด 96 มาตรา
ส่วนที่เกี่ยวข้องกับคณะกรรมการและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
หมวด 1 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
หมวด 4 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
บทเฉพาะกาลที่เกี่ยวข้อง
ส่วนที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล
หมวด 3 สิทธิของเจ้าของข้อมูลส่วนบุคคล
หมวด 5 การร้องเรียน
หมวด 6 ความรับผิดทางแพ่ง
หมวด 7 บทกาหนดโทษ (โทษอาญา-ปกครอง)
“ข้อมูลส่วนบุคคล” ตามกฎหมาย PDPA หมายถึง ข้อมูลที่เกี่ยวกับบุคคล ที่ทำให้สามารถระบุตัวบุคคลได้ ทั้งทางตรงและทางอ้อม เช่น
ทั้งนี้ ข้อมูลคนตาย ข้อมูลนิติบุคคล ไม่เป็นข้อมูลส่วนบุคคลตามกฎหมายนี้
เจ้าของข้อมูลส่วนบุคคล (Data Subject)
ตามกฎหมายไม่ได้ให้คำนิยามไว้ แต่โดยหลักการทั่วไปแล้วหมายถึงบุคคลที่ข้อมูลนั้นระบุไปถึง
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น หน่วยงานของรัฐ หรือเอกชนโดยทั่วไป ที่เก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของประชาชนหรือลูกค้าที่มาใช้บริการ
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล เช่น บริการ cloud service เป็นต้น
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ยกตัวอย่าง 4 กรณีที่ประชาชนมักเข้าใจผิดคิดว่าผิดกฎ PDPA พร้อมเหตุผลอธิบาย ดังนี้
กรณีการถ่ายรูป-ถ่ายคลิปโดยติดบุคคลอื่นโดยผู้ถ่ายรูป-ถ่ายคลิปไม่เจตนา และการถ่ายรูปถ่ายคลิปดังกล่าวไม่ได้ก่อให้เกิดความเสียหายกับผู้ถูกถ่าย สามารถทำได้ หากเป็นการใช้เพื่อวัตถุประสงค์ส่วนตัว
สามารถโพสต์ได้ หากใช้เพื่อวัตถุประสงค์ส่วนตัว ไม่ใช้แสวงหากำไรทางการค้าและไม่ก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล
การติดกล้องวงจรปิด ภายในบ้าน ไม่จำเป็นต้องมีป้ายแจ้งเตือน หากเพื่อป้องกันอาชญากรรม และรักษาความปลอดภัยกับตัวเจ้าของบ้าน
ไม่จำเป็น ต้องขอความยินยอม หากการใช้ข้อมูลดังกล่าว
(1) เป็นการทำตามสัญญา
(2) เป็นการใช้ที่มีกฎหมายให้อำนาจ
(3) เป็นการใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล
(4) เป็นการใช้เพื่อการค้นคว้าวิจัยทางสถิติ
(5) เป็นการใช้เพื่อประโยชน์สาธารณะ
(6) เป็นการใช้เพื่อปกป้องผลประโยชน์ หรือสิทธิของตนเอง
ทั้งนี้ หลักการข้างต้น อาจเปลี่ยนแปลงตามข้อเท็จจริงที่เกิดขึ้นเป็นกรณีๆไป
หากฝ่าฝืนหรือละเลยต่อการปฏิบัติตาม PDPA แล้ว จะต้องระวังโทษทางแพ่ง ทางปกครอง และทางอาญา ดังนี้
ความรับผิดทางแพ่ง
โทษทางอาญา
โทษทางปกครอง
สำหรับบุคคลหรือองค์กรใดที่ยังรู้สึกว่า PDPA เป็นเรื่องที่ซับซ้อน เข้าใจยาก “EasyPDA” บริษัทที่ปรึกษาด้าน Legal Tech และ PDPA ของไทยได้จบมือกับ “ขายหัวเราะสตูดิโอ” รังสรรค์หนังสือ
“PDPA ฉบับเข้าใจง่าย สไตล์ EasyPDPA” ในรูปแบบการ์ตูนสี่สี ที่เล่าทุกแง่มุมสำคัญที่เจ้าของข้อมูลส่วนบุคคล และองค์กรผู้ใช้ข้อมูลส่วนบุคคลควรรู้ มีเครื่องมือและเอกสารเตรียมความพร้อมด้าน PDPA รวมถึง Use-case กว่า 15 สถานการณ์
สามารถสั่งซื้อได้แล้วทางเว็บไซต์ของ EasyPDPA ที่นี่
ประเด็นของ PAPA ยังมีรายละเอียดอีกมาก แต่การเอาผิดตามกฏหมายฉบับนี้ จะดูที่เจตนาของผู้ที่เอาข้อมูลของเราไปใช้ต่อ หากว่าต้องการหาประโยชน์ หรือ ทำให้เสียหาย เราในฐานะเจ้าของข้อมูลก็มีสิทธิเอาผิดตามกฏหมายฉบับนี้ได้
แต่ที่สำคัญกว่านั้น คือการปรับตัวของภาคธุริจ เพราะนอกจากจะต้องดูแลข้อมูลของพนักงานในองค์กรแล้ว หลายธุรกิจยังมีความเกี่ยวข้องกับข้อมูลของลูกค้าจำนวนมาก เราจึงได้เห็นความเคลื่อนไหวของบรรดาภาคธุรกิจ เช่นค่ายโทรศัพท์มือถือ ที่ต้องเก็บข้อมูลสำคัญของลูกค้าไว้ ต่างออกมาประกาศความพร้อมในการดูแลข้อมูลให้เป็นไปตามกฏหมายฉบับนี้ และโดยเฉพาะธุรกิจที่เกี่ยวกับแพลตฟอร์มออนไลน์
ดังนั้นผู้ประกอบการจึงจำเป็นต้องเตรียมความพร้อม ปรับระบบในการรักษาข้อมูลของผู้ที่เกี่ยวข้องให้มากขึ้น
ที่มา
ข่าวที่เกี่ยวข้อง
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 4 เรื่องไม่จริง และ 10 เรื่องที่ต้องรู้