ทำความเข้าใจข้อบังคับ PDPA กฎหมายที่ผู้ประกอบการควรรู้และปฏิบัติตามในยุคปัจจุบัน

August 26, 2024

ทำความเข้าใจข้อบังคับ PDPA กฎหมายที่ผู้ประกอบการควรรู้และปฏิบัติตามในยุคปัจจุบัน

กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA (Personal Data Protection Act) ได้มีผลบังคับใช้อย่างเต็มรูปแบบแล้วตั้งแต่วันที่ 1 มิถุนายน 2565 ทุกองค์กรจึงจำเป็นต้องปฏิบัติตามอย่างเคร่งครัด การทำความเข้าใจและปฏิบัติตามกฎหมายฉบับนี้อย่างถูกต้องเป็นสิ่งสำคัญอย่างยิ่งสำหรับทุกองค์กร เพราะนอกจากจะช่วยให้การดำเนินงานเป็นไปอย่างราบรื่นแล้ว ยังเป็นการป้องกันปัญหาและบทลงโทษที่อาจเกิดขึ้นจากการละเมิดกฎหมายอีกด้วย ซึ่งมีสาระสำคัญที่เหล่าผู้ประกอบการควรรู้ดังนี้

หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล

เพื่อให้กฎหมายการคุ้มครองข้อมูลส่วนบุคคลตามที่กำหนดเอาไว้ การเก็บรวบรวมข้อมูลส่วนบุคคลจำเป็นจะต้องมีการปฏิบัติตามรายละเอียดดังต่อไปนี้

  • เจ้าของข้อมูลให้ความยินยอมในการเก็บข้อมูล
  • เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ เพื่อการศึกษาวิจัยหรือสถิติ
  • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
  • เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา เช่น การที่ธนาคารเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ของสัญญากู้ยืม
  • เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ดำเนินการเพื่อประโยชน์สาธารณะของหน่วยงานรัฐ
  • list text hereเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล เช่น บริษัทเอกชนติดตั้งกล้องวงจรปิดเพื่อรักษาความปลอดภัย ซึ่งภาพถ่ายนั้นจะสามารถเก็บข้อมูลส่วนบุคคลในบริเวณดังกล่าวได้
  • เป็นการปฏิบัติตามกฎหมาย

นอกจากรายละเอียดของข้อมูลส่วนบุคคลข้างต้นแล้ว การคุ้มครองข้อมูลส่วนบุคคลยังรวมไปถึงข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น เชื้อชาติ, ประวัติอาชญากรรม, ข้อมูลพันธุกรรม, พฤติกรรมทางเพศ เป็นต้น ซึ่งการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเหล่านั้นจำเป็นจะต้องมีการให้ความยินยอมที่ชัดเจนและเข้มงวดยิ่งกว่า เช่น ได้รับความยินยอมโดยชัดแจ้ง (Explicit Consent) จากเจ้าของข้อมูลส่วนบุคคล, เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ เป็นต้น

หมวด 3 สิทธิเจ้าของข้อมูลส่วนบุคคล

สิทธิที่จะได้รับการแจ้งให้ทราบ

ในการคุ้มครองข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งรายละเอียดในการเก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล โดยเจ้าของข้อมูลนั้นมีสิทธิที่จะทราบวัตถุประสงค์ของการเก็บข้อมูล การนำไปใช้หรือการเผยแพร่ ข้อมูลที่จะมีการจัดเก็บ ระยะเวลาในการเก็บข้อมูล รายละเอียดของผู้ควบคุมข้อมูลส่วนบุคคล ไปจนถึงผลกระทบที่อาจจะเกิดขึ้นในกรณีที่ไม่ให้ข้อมูลนั้นๆ

สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล

การเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลของตนเองจากผู้ควบคุมข้อมูลส่วนบุคคล การเปิดเผยถึงการได้มาซึ่งข้อมูลนั้นๆ ในกรณีที่ไม่แน่ใจว่าตัวเองให้ความยินยอมหรือไม่ โดยที่การเข้าถึงข้อมูลจะต้องไม่ละเมิดต่อสิทธิและเสรีภาพของบุคคลอื่น

สิทธิในการได้รับและโอนถ่ายข้อมูล

ในกรณีที่เจ้าของข้อมูลต้องการนำข้อมูลที่เคยให้ไว้กับผู้ควบคุมข้อมูลรายหนึ่งไปใช้กับผู้ควบคุมข้อมูลอีกรายหนึ่ง เจ้าของข้อมูลสามารถขอให้ทำการส่งหรือโอนข้อมูลดังกล่าว หรือส่งข้อมูลให้ผู้ควบคุมข้อมูลรายอื่นโดยตรงได้ โดยจะต้องไม่ขัดต่อกฎหมาย สัญญา หรือละเมิดสิทธิเสรีภาพของบุคคลอื่น

สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

การคุ้มครองข้อมูลส่วนบุคคลนั้นจะให้ความคุ้มครองรวมไปถึงกรณีที่เจ้าของข้อมูลต้องการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งเจ้าของข้อมูลนั้นสามารถคัดค้านเมื่อไหร่ก็ได้ หรือทำให้ข้อมูลนั้นๆ เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ ยกเว้นมีเหตุทางกฎหมายที่สำคัญเท่านั้น

สิทธิในการขอให้ลบ หรือทำลายข้อมูลส่วนบุคคล

กรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลนำข้อมูลไปเผยแพร่ในที่สาธารณะหรือเข้าถึงได้ง่าย ผู้ควบคุมข้อมูลมีสิทธิขอให้ทำการลบ ทำลาย หรือทำให้ข้อมูลนั้นๆ ไม่สามารถระบุตัวตนได้ โดยที่ผู้ควบคุมข้อมูลจะต้องเป็นผู้รับผิดชอบดำเนินการทั้งด้านเทคโนโลยีและค่าใช้จ่าย

สิทธิในการเพิกถอนความยินยอม

หากเจ้าของข้อมูลเคยให้ความยินยอมแล้ว แต่เกิดเปลี่ยนใจในภายหลัง เจ้าของข้อมูลสามารถยกเลิกความยินยอมเมื่อไหร่ก็ได้ โดยการคุ้มครองข้อมูลส่วนบุคคลนั้นกำหนดไว้ว่าการยกเลิกจะต้องไม่ขัดต่อข้อจำกัดสิทธิในการถอนความยินยอมทางกฎหมาย

สิทธิในการขอระงับการใช้ข้อมูล

เจ้าของข้อมูลมีสิทธิขอให้ผู้ควบคุมข้อมูลระงับการใช้ข้อมูลส่วนบุคคลได้ ไม่ว่าจะเป็นการเพิกถอนความยินยอม ระงับการทำลายข้อมูล เป็นต้น

สิทธิขอให้แก้ไขข้อมูล

ตามกฎหมายการคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิที่จะขอแก้ไขข้อมูลส่วนบุคคลให้มีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิด โดยจะต้องไม่ขัดต่อหลักกฎหมาย

หมวด 5 การร้องเรียน

ตามกฎหมายการคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลที่ถูกละเมิดข้อมูลส่วนบุคคลไม่ว่าจะในทางใดก็ตาม เจ้าของข้อมูลสามารถร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อทำหน้าที่พิจารณาเรื่องร้องเรียนตามพระราชบัญญัตินี้ได้

หมวด 6 ความรับผิดทางแพ่ง

สำหรับความรับผิดทางแพ่งนั้น ผู้กระทำการละเมิดข้อมูลส่วนบุคคลนั้น จะต้องชดใช้ค่าสินไหมทดแทนให้กับเจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการกระทำโดยจงใจหรือประมาทเลินเล่อก็ตาม ซึ่งศาลมีอำนาจสั่งให้ผู้กระทำการละเมิดชดใช้ค่าสินไหมเพิ่มเติมทดแทนได้สองเท่าของค่าสินไหมทดแทนที่แท้จริง

หมวด 7 บทกำหนดโทษ

กฎหมายการคุ้มครองข้อมูลส่วนบุคคลนั้นมีการกำหนดโทษเอาไว้ในส่วนของโทษทางอาญาและโทษทางปกครองเอาไว้โดยชัดเจน นั่นก็คือ

โทษทางอาญา

กฎหมายกำหนดเอาไว้ในกรณีที่ผู้ควบคุมใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม ซึ่งข้อมูลนั้นๆ เป็นข้อมูลที่มีความละเอียดอ่อน (Sensitive Data), โอนย้ายข้อมูลไปต่างประเทศโดยไม่ได้ทำตามระเบียบ, ล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นแล้วนำไปเปิดเผย

  • ในกรณีที่ทำให้เกิดความเสียหายแก่ชื่อเสียง ดูถูก เกลียดชัง ได้รับความอับอาย มีโทษจำคุก 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ

  • ในกรณีที่ใช้ข้อมูลนั้นเพื่อแสวงหาประโยชน์โดยมิชอบ มีโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ

ในกรณีที่ผู้กระทำความผิดเป็นนิติบุคคล กรรมการหรือผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้นอาจต้องร่วมรับผิดในความผิดอาญาที่เกิดขึ้นด้วย

โทษทางปกครอง

สำหรับโทษทางปกครองนั้น การคุ้มครองข้อมูลส่วนบุคคลหากผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูล ที่กระทำการฝ่าฝืนหรือไม่ปฏิบัติตามที่กฎหมายกำหนด เช่น ไม่แจ้งวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบ, ขอความยินยอมโดยหลอกลวงหรือทำให้เจ้าของข้อมูลเข้าใจผิดในวัตถุประสงค์ของการเก็บข้อมูล, ไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นต้น มีโทษปรับทางปกครองสูงสุด 5,000,000 บาท


แม้ว่ารายละเอียดของกฎหมายการคุ้มครองข้อมูลส่วนบุคคลอาจจะดูยุ่งยากและวุ่นวาย แต่การศึกษากฎหมายให้เข้าใจและปฏิบัติตามแนวทางให้ถูกต้อง ก็นับว่าเป็นสิ่งสำคัญสำหรับการเตรียมความพร้อม PDPA ของภาคธุรกิจเช่นกัน

และหากคุณกำลังมองหาผู้เชี่ยวชาญด้านธุรกิจและนักกฎหมายมากประสบการณ์ ที่จะช่วยให้การเตรียมความพร้อมและการทำความเข้าใจด้าน PDPA ของคุณมีประสิทธิภาพและดียิ่งขึ้น

PDPA Core ที่ปรึกษาที่ให้บริการด้าน PDPA แบบครบวงจร พร้อมเทคโนโลยีครบครัน ที่สามารถตอบโจทย์ทุกความต้องการของธุรกิจคุณได้อย่างลงตัว เราได้รับมาตรฐาน ISO 27001 (Information Security) และ ISO 27701 (Privacy Information) การันตีความเชี่ยวชาญด้าน Personal Data Protection มั่นใจได้ว่าองค์กรของคุณจะปฏิบัติตาม PDPA ได้อย่างถูกต้องแน่นอน

ให้คำปรึกษาและดำเนินการ

ให้ธุรกิจของคุณ สอดคล้องกับ PDPA

ดูข้อมูลเพิ่มเติม

บทความที่เกี่ยวข้อง


บริษัท เดต้า ว้าว จำกัด

1778 อาคารซัมเมอร์ฮับ ออฟฟิศ, ชั้น 6 ถนนสุขุมวิท แขวงพระโขนง เขตคลองเตย กรุงเทพมหานคร 10110 ประเทศไทย

โทร: 02-024-5560

sales@datawow.io

ISO