ทุกวันนี้เวลาเข้าเว็บไซต์ต่างๆ ก็มักจะเจอคำว่า “เว็บไซต์นี้ใช้คุกกี้” หรือถูกขอให้กรอกข้อมูลส่วนตัว ไม่ว่าจะเป็นชื่อ เบอร์โทร อีเมล หรือแม้แต่เลขบัตรประชาชนในการสมัครบริการต่างๆ ซึ่งหลายคนอาจรู้สึกไม่ค่อยสบายใจที่ต้องให้ข้อมูลส่วนตัวที่ละเอียดขนาดนั้น เพราะไม่แน่ใจว่าข้อมูลของเราจะถูกนำไปใช้อย่างถูกต้องหรือไม่ จะรั่วไหลไปถึงมิจฉาชีพหรือเปล่า แต่จริงๆ แล้วปัจจุบันก็มีกฎหมายที่คอยดูแลเรื่องนี้อยู่เหมือนกัน เรียกว่า “กฎหมาย PDPA” จึงจำเป็นที่ผู้ใช้งาน รวมถึงเจ้าของเว็บไซต์และองค์กรต่างๆ ที่มีการเก็บข้อมูลต้องศึกษาไว้
บทความนี้จะมาอธิบายให้ฟังแบบง่ายๆ ว่า PDPA คืออะไร มีความสำคัญอย่างไร และกฎหมาย PDPA มีอะไรบ้าง?
PDPA คืออะไร?
PDPA ย่อมาจาก Personal Data Protection Act คือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลบังคับใช้มาตั้งแต่วันที่ 1 มิถุนายน พ.ศ. 2565 เป็นกฎหมายที่ออกมาเพื่อคุ้มครองข้อมูลส่วนบุคคล และกำหนดแนวทางในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างเหมาะสม
จุดประสงค์ของกฎหมาย PDPA คืออะไร
จุดประสงค์ของกฎหมาย PDPA คือ เพื่อป้องกันการถูกละเมิดสิทธิความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล โดยเฉพาะในยุคที่ข้อมูลสามารถถูกนำไปใช้หรือเผยแพร่ได้อย่างรวดเร็วผ่านช่องทางดิจิทัลต่างๆ ไม่ว่าจะเป็นการใช้งานเว็บไซต์ โซเชียลมีเดีย หรือระบบออนไลน์อื่นๆ ซึ่งหากไม่มีการควบคุม หรือขอความยินยอมอย่างเหมาะสม อาจเปิดช่องให้เกิดการละเมิด เช่น นำข้อมูลไปใช้โดยไม่ได้รับอนุญาต หรือถูกนำไปเผยแพร่จนเกิดความเสียหายต่อตัวบุคคลได้
PDPA มีความสำคัญอย่างไร
PDPA มีความสำคัญอย่างมากในยุคดิจิทัลที่ข้อมูลสามารถถูกส่งต่อ หรือเผยแพร่ได้ง่ายและรวดเร็ว เพราะข้อมูลส่วนบุคคลที่หลุดออกไปอาจถูกนำไปใช้ในการแอบอ้าง หลอกลวง หรือก่ออาชญากรรมต่างๆ การมีกฎหมาย PDPA จึงเหมือนเป็นเกราะป้องกันให้เจ้าของข้อมูลมีสิทธิในการให้ความยินยอมและเพิกถอนความยินยอม ขอให้ลบ หรือทำลายข้อมูลส่วนบุคคล รวมถึงสิทธิในการร้องเรียนหากพบว่ามีการละเมิดกฎหมาย PDPA อีกทั้งยังช่วยให้องค์กรต่างๆ มีความรับผิดชอบในการดูแลข้อมูลมากขึ้น และลดความเสี่ยงจากปัญหาทางกฎหมาย หรือความเสียหายที่อาจเกิดขึ้นได้
PDPA คุ้มครองอะไรบ้าง?
เมื่อได้ทราบไปแล้วว่า PDPA หมายถึงอะไร เรามาดูกันต่อเลยว่า PDPA ครอบคลุมอะไรบ้าง สิ่งที่ PDPA คุ้มครองคือ ข้อมูลส่วนบุคคล หรือพูดง่ายๆ ก็คือ ข้อมูลที่คนอื่นเห็นแล้วสามารถระบุได้ว่าเป็นใคร รวมถึงข้อมูลที่มีความละเอียดอ่อน เช่น
- ชื่อ นามสกุล ชื่อเล่น
- เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่ เลขบัตรประกันสังคม เลขประจำตัวผู้เสียภาษี เลขบัญชีธนาคาร
- ที่อยู่ หมายเลขโทรศัพท์ อีเมล
- ภาพถ่ายและวิดีโอที่เห็นหน้าชัดเจน
- เชื้อชาติ เผ่าพันธ์ุ
- ข้อมูลสุขภาพ ความพิการ ข้อมูลสุขภาพจิต
- ข้อมูลสหภาพแรงงาน
- ประวัติอาชญากรรม
- พฤติกรรมทางเพศ
- ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
- ความคิดเห็นทางการเมือง
ข้อมูลส่วนบุคคลคืออะไร และอะไรที่เข้าข่ายตาม PDPA
มาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ให้ความหมายของข้อมูลส่วนบุคคลไว้ว่า ข้อมูลส่วนบุคคลคือ ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ นั่นหมายความว่าข้อมูลใดๆ ก็ตามที่สามารถใช้ระบุตัวบุคคลได้ แม้กระทั่งข้อมูลทางเทคนิคอย่างหมายเลข IP Address, MAC address, Cookie ID หรือทะเบียนรถยนต์ โฉนดที่ดิน ที่สามารถเชื่อมโยงไปถึงตัวบุคคลได้ ก็ถือเป็นข้อมูลส่วนบุคคลทั้งสิ้น
ข้อมูลส่วนบุคคลเหล่านี้ หากจะต้องมีการเก็บรวบรวม นำไปใช้ หรือเปิดเผย จะต้องมีการแจ้งวัตถุประสงค์ของการกระทำดังกล่าวให้เจ้าของข้อมูลรับทราบอย่างชัดเจน และต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนด้วย แต่ก็มีข้อยกเว้นในบางกรณี เช่น
- เพื่อป้องกันอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ เช่น เปิดเผยข้อมูลส่วนบุคคลของผู้ป่วยฉุกเฉินให้ทางโรงพยาบาลรับทราบ
- เพื่อปฏิบัติตามกฎหมาย เช่น เปิดเผยข้อมูลส่วนบุคคลให้เจ้าหน้าที่ตำรวจ
- เป็นการปฏิบัติตามสัญญา เช่น มีการทำสัญญากู้ยืมเงินจากธนาคาร ธนาคารก็สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ตามวัตถุประสงค์ของสัญญา
- เพื่อประโยชน์โดยชอบด้วยกฎหมาย เช่น การติดตั้งกล้องวงจรปิดภายในอาคารเพื่อความปลอดภัย
ใครต้องปฏิบัติตาม PDPA
หลายคนอาจมองว่าเรื่อง PDPA หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องขององค์กรใหญ่หรือหน่วยงานรัฐเท่านั้น แต่จริงๆ แล้ว ไม่ว่าใครก็อาจมีส่วนเกี่ยวข้องได้ทั้งนั้น เพราะการจัดเก็บหรือใช้ข้อมูลของผู้อื่นไม่ว่าในรูปแบบใดก็ต้องปฏิบัติตามกฎหมายฉบับนี้ ตัวอย่างเช่น
เจ้าของธุรกิจ SME, ฟรีแลนซ์, ร้านค้าออนไลน์
ไม่ว่าจะเปิดร้านขายของเล็กๆ ทางออนไลน์ หรือทำงานฟรีแลนซ์ที่มีการติดต่อกับลูกค้าโดยตรง หากมีการเก็บข้อมูลลูกค้าเพื่อใช้จัดส่งสินค้าหรือออกใบเสร็จ เช่น ชื่อ ที่อยู่ เบอร์โทร อีเมล เลขบัญชี ก็ถือว่าเกี่ยวข้องกับ PDPA ทั้งสิ้น เจ้าของกิจการเหล่านี้จึงมีหน้าที่ต้องดูแลข้อมูลลูกค้าให้ปลอดภัย และหากจะนำข้อมูลไปใช้ต่อ เช่น ส่งโปรโมชั่น ก็ต้องได้รับความยินยอมก่อนเสมอ
บริษัทที่เก็บ/ใช้/ประมวลผลข้อมูลของลูกค้า
บริษัทหรือองค์กรที่มีการรวบรวมข้อมูลลูกค้า ไม่ว่าจะเพื่อใช้วิเคราะห์พฤติกรรมผู้บริโภค พัฒนาเว็บไซต์ ใช้ทำการตลาด หรือให้บริการต่างๆ ล้วนต้องปฏิบัติตาม PDPA อย่างเคร่งครัด เพราะข้อมูลเหล่านี้ถือเป็นข้อมูลส่วนบุคคลที่ต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนการนำไปใช้ และต้องมีระบบป้องกันข้อมูลไม่ให้รั่วไหลด้วย
องค์กรที่มีพนักงานหรือสมาชิก
แม้จะไม่ได้เกี่ยวข้องกับลูกค้าโดยตรง แต่ถ้าองค์กรมีพนักงาน สมาชิก หรือแม้แต่คอนโดมิเนียม หมู่บ้านจัดสรร ที่มีการเก็บข้อมูลของลูกบ้าน ก็ต้องจัดการข้อมูลส่วนบุคคลของกลุ่มคนเหล่านี้ให้เหมาะสม และหากนำข้อมูลไปใช้โดยไม่ได้รับอนุญาตก็อาจมีความผิดตามกฎหมายได้เช่นกัน
โทษและบทลงโทษหากไม่ปฏิบัติตาม PDPA
กฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบมาตั้งแต่วันที่ 1 มิถุนายน พ.ศ. 2565 แล้ว เพราะฉะนั้นหากผู้ใดฝ่าฝืน ไม่ปฏิบัติตาม ก็จะต้องรับโทษตามกฎหมาย ไม่สามารถอ้างว่าไม่รู้จักกฎหมายฉบับนี้ หรือไม่รู้ว่ากฎหมาย PDPA มีผลบังคับใช้เมื่อไหร่ โดยบทลงโทษจะแบ่งออกเป็น 3 ประเภท ดังนี้
โทษทางแพ่ง
ผู้ที่ละเมิดข้อมูลส่วนบุคคลจนทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล จะต้องชดใช้ค่าสินไหมทดแทน ไม่ว่าการดำเนินการนั้นจะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อหรือไม่ก็ตาม โดยศาลอาจพิจารณาให้ชดใช้ค่าสินไหมทดแทนเพิ่มเป็น 2 เท่าขึ้นอยู่กับความเหมาะสม เช่น ความเสียหายจากการถูกละเมิดข้อมูล PDPA มีอะไรบ้าง, ผลประโยชน์ที่ผู้ควบคุมข้อมูลส่วนบุคคลได้รับ, สถานะทางการเงินของผู้ควบคุมข้อมูลส่วนบุคคล เป็นต้น ทั้งนี้บทลงโทษในทางแพ่งจะมีอายุความ 3 ปี นับแต่วันที่ผู้เสียหายรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล
โทษทางอาญา
หากผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเพื่อวัตถุประสงค์อื่นนอกเหนือจากที่ได้แจ้งไว้ หรือมีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย จะต้องได้รับโทษทางอาญา ดังนี้
- ทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษ จำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
- เป็นการแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมาย ต้องระวางโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ
- ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ตามกฎหมาย PDPA แล้วนำไปเปิดเผยแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ เว้นแต่เป็นการเปิดเผยตามหน้าที่, เปิดเผยเพื่อประโยชน์แก่การสอบสวน หรือการพิจารณาคดี, เปิดเผยแก่หน่วยงานของรัฐในประเทศหรือต่างประเทศที่มีอำนาจหน้าที่ตามกฎหมาย, เปิดเผยที่ได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล, เปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับการฟ้องร้องคดีต่างๆ ที่เปิดเผยต่อสาธารณะ
- กรณีที่นิติบุคคลกระทำความผิดจากการสั่งการหรือการกระทำของกรรมการหรือผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้น หรือในกรณีที่บุคคลดังกล่าวมีหน้าที่ต้องสั่งการหรือกระทำการ และละเว้นไม่สั่งการหรือไม่กระทำการ จนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ผู้นั้นต้องรับโทษด้วย
โทษทางปกครอง
โทษทางปกครองตามกฎหมาย PDPA กำหนดโทษปรับสูงสุดไม่เกิน 5,000,000 บาท ในกรณีที่ผู้ควบคุมหรือผู้ประมวลผลข้อมูลส่วนบุคคลกระทำผิดตามที่กฎหมายระบุไว้ เช่น
- ไม่แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล
- ไม่แจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- ไม่แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอม
- เก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม หรือขอความยินยอมโดยการหลอกลวง ทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ หรือเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง
- เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่เป็นไปตามวัตถุประสงค์ที่ได้แจ้งไว้ หรือเกินความจำเป็น
- ไม่ให้สิทธิเจ้าของข้อมูลส่วนบุคคลในการเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล หรือเปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ไม่ได้รับความยินยอม
- ไม่มีการทำบันทึกรายการเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ ที่เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้
- ไม่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
- ไม่จัดหาเครื่องมือ อุปกรณ์ หรืออำนวยความสะดวกในการปฏิบัติหน้าที่อย่างเพียงพอ
- ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศโดยมิชอบด้วยกฎหมาย
- ไม่ปฏิบัติตามหน้าที่ของผู้ควบคุมหรือผู้ประมวลผลข้อมูลส่วนบุคคล
- ไม่ปฏิบัติตามคำสั่งของคณะกรรมการผู้เชี่ยวชาญ หรือไม่มาชี้แจงข้อเท็จจริงเรื่องที่มีผู้ร้องเรียน หรือเรื่องอื่นใดที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย PDPA หรือไม่อำนวยความสะดวกแก่พนักงานเจ้าหน้าที่
สำหรับใครที่เป็นเจ้าของธุรกิจหรือเว็บไซต์ที่ต้องมีการเก็บข้อมูลของลูกค้า การเลือกใช้ระบบโฮสติ้งที่ปลอดภัยเป็นสิ่งสำคัญ เพราะหากใช้แบบ Shared Hosting ที่ต้องแชร์พื้นที่กับเว็บไซต์อื่น ๆ เมื่อเว็บไซต์ใดถูกโจมตี เว็บไซต์ของเราก็จะได้รับผลกระทบไปด้วย และอาจทำให้ข้อมูลของลูกค้ารั่วไหล จึงแนะนำให้ใช้ VPS Hosting ของ VPS Hispeed ที่มีทรัพยากร เช่น CPU, RAM, พื้นที่จัดเก็บข้อมูล และแบนด์วิดท์ เป็นของตัวเอง ไม่ต้องแบ่งกับใคร นอกจากนี้ยังมีระบบป้องกัน DDoS, Firewall และสามารถตั้งค่าความปลอดภัยเพิ่มเติมเองได้อีกด้วย ที่สำคัญคือติดตั้งง่าย สามารถปรับทรัพยากรให้สอดคล้องกับการใช้งานได้ทุกเมื่อ ทำให้คุณประหยัดค่าใช้จ่ายได้มากกว่า ไม่ต้องเสียเงินมากเกินความจำเป็น สามารถดูรีวิวของเราก่อนตัดสินใจใช้บริการได้เลย
