พรบ.คุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act - PDPA) และแนวทางการดำเนินการ
First revision: Dec.28, 2020
Last change: Apr.02, 2022
สรุปสาระสำคัญ:
- พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ลงประกาศในราชกิจจานุเบกษา เมื่อวันที่ 27 พฤษภาคม 2562.
- หมวด 1 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และหมวด 4 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล รวมถึงบทเฉพาะกาล ที่บัญญัติเกี่ยวกับการจัดให้มีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เริ่มมีผลใช้บังคับตั้งแต่วันที่ 28 พฤษภาคม 2562.
- เพื่อให้มีระยะเวลาการเตรียมความพร้อมในการคุ้มครองข้อมูลของประเทศในภาพรวม.
- บทบัญญัติในหมวดอื่น จะมีผลบังคับใช้ในวันที่ 27 พฤษภาคม 2563.
- แต่ทั้งนี้คณะรัฐมนตรีได้เห็นชอบการเลื่อนบังคับใช้บางมาตราใน พรบ.นี้ออกไปก่อน ซึ่งจะบังคับใช้จริงเป็นวันที่ 1 มิถุนายน 2565.
- บทเฉพาะกาล กำหนดให้ สป.ดศ.(สำนักปลัด กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม) ทำหน้าที่ สำนักงานตามพระราชบัญญัตินี้ และ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (รมว.ดศ.) แต่งตั้งรองปลัดกระทรวง ดศ. ทำหน้าที่ เป็นเลขาธิการคณะกรรมการฯ.
- องค์ประกอบคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (วาระเริ่มแรก) บทเฉพาะกาลมาตรา 91 กำหนดให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีองค์ประกอบดังนี้:
- ปลัดกระทรวง ดส. เป็นประธานกรรมการ (ชั่วคราว).
- ปลัดสำนักนายกรัฐมนตรี เป็นกรรมการ.
- เลขาธิการคณะกรรมการกฤษฎีกา เป็นกรรมการ.
- เลขาธิการคณะกรรมการคุ้มครองผู้บริโภค เป็นกรรมการ.
- อธิบดีกรมคุ้มครองสิทธิและเสรีภาพ เป็นกรรมการ.
- อัยการสูงสุด เป็นกรรมการ.
- เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เป็นกรรมการและเลขานุการ.
หลักการสำคัญตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
1. ข้อมูลส่วนบุคคล (Personal Data)
- ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ-นามสกุล, ที่อยู่, เลขบัตรประชาชน, ข้อมูลสุขภาพ, หมายเลขโทรศัพท์, e-mail, ประวัติอาชญากรรม เป็นต้น.
2. บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
- เจ้าของข้อมูลส่วนบุคคล (Data Subject).
- ตามกฎหมายไม่ได้ให้คำนิยามไว้ แต่โดยหลักการทั่วไปแล้วหมายถึง บุคคลที่ข้อมูลนั้นระบุไปถึง.
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller).
- บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น หน่วยงานของรัฐ หรือเอกชนโดยทั่วไป ที่เก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของประชาชนหรือลูกค้าที่มาใช้บริการ.
- ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่สำคัญที่กฎหมายกำหนดไว้ เช่น จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล, ดำเนินการเพื่อป้องกันมิให้ผู้อื่นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ, แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลให้สำนักงานคุ้มครองข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมงนับแต่ทราบเหตุ, แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) เพื่อตรวจสอบการทำงานของผู้ควบคุมข้อมูลส่วนบุคคล เป็นต้น.
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor).
- บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนาม ของผู้ควบคุมข้อมูลส่วนบุคคล เช่น บริการ cloud service เป็นต้น.
- ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่หลัก คือ ดำเนินการตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคล.
3. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้โดยชอบด้วยกฎหมาย
การเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลดังกล่าวจะชอบด้วยกฎหมาย หากดำเนินการตามหลักการใดหลักการหนึ่ง ดังต่อไปนี้:
- การให้ความยินยอม (Consent).
- เจ้าของข้อมูลส่วนบุคคลให้ความยินยอมในการเก็บรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล.
- ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล.
- มีแบบหรือข้อความที่อ่านแล้วเข้าใจได้โดยง่าย และต้องไม่เป็นการหลอกลวง.
- เจ้าของข้อมูลส่วนบุคคลจะถอนยินยอมเมื่อใดก็ได้ ถ้าไม่มีข้อจำกัดสิทธิ เช่น มีกฎหมายที่กำหนดให้เก็บรวบรวมข้อมูลส่วนบุคคลนั้นไว้ก่อน.
- งานวิจัยทางวิทยาศาสตร์ หรือ ประวัติศาสตร์ (Scientific or Historical Research).
- จัดทำเอกสารประวัติศาสตร์, จดหมายเหตุ, การศึกษาวิจัย, สถิติ.
- Vital Interest.
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เช่น การเข้ารับบริการทางการแพทย์ ณ โรงพยาบาล.
- Contract.
- เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลทำสัญญากู้ยืมเงินจากธนาคาร ธนาคารสามารถเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ตามวัตถุประสงค์ของสัญญา.
- Public Task.
- เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐ เช่น หน่วยงานของรัฐจัดทำ Big Data เพื่อแก้ปัญหาความยากจนของเกษตรกร.
- Legitimate Interest.
- เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอื่น เช่น บริษัทเอกชนติดตั้งกล้องวงจรปิดภายในอาคารเพื่อรักษาความปลอดภัย ซึ่งบริษัทสามารถเก็บรวบรวมภาพถ่ายซึ่งเป็นข้อมูลส่วนบุคคลของบุคคลที่อยู่ในบริเวณดังกล่าวได้.
- Legal Obligations.
นอกจากหลักการข้างต้นแล้ว มีข้อมูลส่วนบุคคลอีกประเภทซึ่งเรียกว่า ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น เชื้อชาติ, ประวัติอาชญากรรม, ข้อมูลพันธุกรรม, พฤติกรรมทางเพศ เป็นต้น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าว จะมีหลักการที่เข้มงวดกว่าข้อมูลส่วนบุคคลทั่วไป โดยจะกระทำได้หากดำเนินการตามหลักการใดหลักการหนึ่ง เช่น ได้รับความยินยอมโดยชัดแจ้ง (Explicit Consent) จากเจ้าของข้อมูลส่วนบุคคล, เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ เป็นต้น.
4. การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
- ประเทศปลายทางที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ทั้งนี้ต้องเป็นไปตามหลักเกณฑ์ที่คณะกรรมการประกาศ.
5. สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right) เช่น
- สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access).
- เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตนซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล.
- สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล {Right to erasure (also known as right to be forgotten)}.
- เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ หากข้อมูลส่วนบุคคลที่หมดความจำเป็น หรือข้อมูลส่วนบุคคลที่ขอถอนความยินยอมแล้ว.
6. การร้องเรียน
- เจ้าของข้อมูลส่วนบุคคลที่ถูกละเมิดข้อมูลส่วนบุคคลสามารถร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญ ซึ่งมีหน้าที่พิจารณาเรื่องร้องเรียนตามพระราชบัญญัตินี้ได้.
7. ความรับผิดและบทลงโทษ.
7.1 ความรับผิดทางแพ่ง.
- ผู้กระทำละเมิดข้อมูลส่วนบุคคลต้องชดใช้ค่าสินไหมทดแทนให้กับเจ้าของข้อมูลส่วนบุคคล ไม่ว่าการดำเนินการนั้น จะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อหรือไม่ก็ตาม.
- ศาลมีอำนาจสั่งให้ชดใช้ค่าสินไหมทดแทนเพิ่มเติมได้สองเท่าของค่าสินไหมทดแทนจริง.
7.2 โทษอาญา.
- กำหนดบทลงโทษทางอาญาไว้สำหรับความผิดร้ายแรง เช่น การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนโดยมิชอบ, ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นแล้วนำไปเปิดเผยแก่ผู้อื่นโดยมิชอบ.
- ระวางโทษสูงสุดจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินหนึ่งล้านบาท หรือทั้งจำทั้งปรับ.
- ในกรณีที่ผู้กระทำความผิดเป็นนิติบุคคล กรรมการหรือผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้น อาจต้องร่วมรับผิดในความอาญาที่เกิดขึ้น.
7.3 โทษทางปกครอง.
- กำหนดโทษปรับทางปกครองสำหรับการกระทำความผิดที่เป็นการฝ่าฝืนหรือไม่ปฏิบัติตามที่กฎหมายกำหนด เช่น ไม่แจ้งวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบ, ขอความยินยอมโดยหลอกลวงเจ้าของข้อมูลส่วนบุคคล, ไม่แต่งตั้ง DPO เป็นต้น.
- โทษปรับทางปกครองสูงสุด 5 ล้านบาท.
แนวทางการดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA)
I. หลักการสำคัญของ PDPA
1.1 สิ่งที่กฎหมายให้ความคุ้มครอง
คุ้มครองข้อมูลส่วนบุคคล (Individual) ของบุคคลธรรมดา โดยให้สิทธิเจ้าของข้อมูลส่วนบุคคล สามารถเข้าถึงและควบคุมข้อมูลของตนได้ และบุคคลที่เกี่ยวข้องจะเก็บ รวบรวม ใช้ เปิดเผย (ประมวลผล) ข้อมูลส่วนบุคคลได้ ต่อเมื่อเป็นการดำเนินการโดยอาศัยอำนาจ (ฐาน) ที่กฎหมายกำหนดเท่านั้น.
1.2 ข้อมูลส่วนบุคคล
1.2.1 ข้อมูลส่วนบุคคลทั่วไป (General Data)
ข้อมูลส่วนบุคล (Individual) หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรม
1.2.2 ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)
เช่น เชื้อชาติ เผ่าพันธุ์ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ และข้อมูลชีวภาพ.
1.3 สิทธิของเจ้าของข้อมูลส่วนบุคคลที่กฎหมายรับรอง
1.4 บุคคลที่เกี่ยวข้อง
1.5 หลักการ : การประมวลผลข้อมูลส่วนบุคคลจะกระทำได้ก็ต่อเมื่อ เจ้าของข้อมูลส่วนบุคคลให้ความยินยอม
- ดำเนินการก่อนหรือขณะประมวลผลข้อมูล.
- แจ้งวัตถุประสงค์ในการประมวลผล.
- กระทำโดยชัดแจ้ง (เป็นหนังสือหรือผ่านระบบอิเล็กทรอนิกส์) แยกส่วนออกจากข้อความอื่นอย่างชัดเจน.
- ใช้ภาษาที่เข้าใจง่าย.
- คำนึงถึงความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคล (ความยินยอมต้องไม่เป็นเงื่อนไขในการทำสัญญาหรือการให้บริการ).
ยกเว้น: การประมวลผลข้อมูลส่วนบุคคลโดยอาศัยฐานต่อไปนี้ (สามารถดำเนินการได้ แม้เจ้าของข้อมูลไม่ได้ให้ความยินยอม)
1) เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล.
2) เก็บข้อมูลเพื่อความจำเป็นในการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลฯ ได้เข้าเป็นคู่สัญญา หรือ เก็บข้อมูลเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลฯ .
3) เก็บข้อมูลเนื่องจากเป็นความจำเป็นเพื่อดำเนินภารกิจที่เป็นประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือเป็นการเก็บข้อมูลโดยได้รับมอบหมายจากผู้ใช้อำนาจรัฐ.
4) เก็บข้อมูลตามที่จำเป็นเพื่อประโยชน์ที่ชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือบุคคลอื่น เว้นแต่ประโยชน์ดังกล่าวจะมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล.
5) เพื่อการวิจัยและสถิติโดยมีมาตรการที่เหมาะสมในการคุ้มครองสิทธิของเจ้าของข้อมูลฯ *
*หมายเหตุ : คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จะเป็นผู้กำหนดรายละเอียดและมาตรการที่เหมาะสมในการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล.
1.6 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer - DPO)
ผู้ควบคุมฯ และผู้ประมวลผลฯ กรณีใดกรณีหนึ่งดังต่อไปนี้ ต้องจัดให้มี "เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล"
|
|
การดำเนินกิจกรรมทางธุรกิจ จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอโดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด. |
|
|
กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล เป็นการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลประเภท Sensitive Data. |
|
|
เป็นหน่วยงานของรัฐ ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด. |
หมายเหตุ : ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่ในเครือกิจการหรือเครือธุรกิจเดียวกัน ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด อาจจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลร่วมกันได้.