ทำความเข้าใจ ข้อมูลประเภทไหนที่เป็นข้อมูลคุ้มครองตามกฏหมาย PDPA รวมทั้งบทลงโทษหากฝ่าฝืน
วันที่ 2 มิถุนายน 2565 ผู้สื่อข่าวรายงานว่า กฏหมาย PDPA (Personal Data Protection Act) ที่มีผลบังคับใช้เมื่อวันที่ 1 พฤษภาคมที่ผ่านมา ถือเป็นการให้สิทธิกับเจ้าของข้อมูลส่วนบุคคล สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย และนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต ให้สิทธิในการแก้ไข, เข้าถึง หรือแจ้งลบข้อมูลที่ให้ไว้กับองค์กร
“ประชาชาติธุรกิจ” สรุปข้อมูลสำคัญและบทลงโทษของกฎหมาย PDPA เพื่อให้เข้าใจง่าย ดังนี้
ข้อมูลใดบ้างที่ได้รับการคุ้มครอง
ข้อมูลส่วนบุคคล (Personal Data) คือข้อมูลใด ๆ ที่ระบุถึงเจ้าของข้อมูลได้
- ชื่อ
- นามสกุล
- ที่อยู่
- เลขประจำตัวประชาชน
- อีเมล เบอร์โทรศัพท์
- รูปภาพใบหน้า
- ข้อมูลอัตลักษณ์เสียง
- เลขบัญชีธนาคาร
- ทะเบียนรถ
ข้อมูลส่วนบุคคลที่ละเอียดอ่อน (Sensitive Personal Data) คือข้อมูส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล ที่มี “ความละเอียดอ่อน และสุ่มเสี่ยง”ต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม
- เชื้อชาติ
- พฤติกรรมทางเพศ
- ความเชื่อในลัทธิ
- ข้อมูลสุขภาพร่างกาย
- ประวัติอาชญากรรม
- ความคิดเห็นทางการเมือง
ข้อมูลที่ไม่ถือเป็นข้อมูลส่วนบุคคล ข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
- อีเมลบริษัท
- ข้อมูลนิรนามหรือนามแฝง
- ข้อมูลผู้ตาย
- เลขทะเบียนบริษัท
- เบอร์โทรศัพท์ของบริษัท
- ที่อยู่สำนักงาน
บทลงโทษ PDPA มีอะไรบ้าง ?
บทลงโทษของผู้ที่ไม่ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) มีถึง 3 ประเภท ได้แก่
โทษทางแพ่ง
โทษทางแพ่งกำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด และอาจจะต้องจ่ายบวกเพิ่มอีกเป็นค่าค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่าของค่าเสียหายจริง
โทษทางอาญา
โทษทางอาญาจะมีทั้งโทษจำคุกและโทษปรับ โดยโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือ ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ โดยโทษสูงสุดดังกล่าวจะเกิดจากการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศ ประเภทข้อมูลที่มีความละเอียดอ่อน(Sensitive Personal Data)
โทษทางปกครอง
โทษปรับ มี ตั้งแต่ 1 ล้านบาทจนถึงสูงสุดไม่เกิน 5 ล้านบาท ซึ่งโทษปรับสูงสุด 5 ล้านบาท จะเป็นกรณีของการไม่ปฏิบัติตาม PDPA ในส่วนการใช้ข้อมูล หรือเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลที่มีความละเอียดอ่อน(Sensitive Personal Data) ซึ่งโทษทางปกครองนี้จะแยกต่างหากกับการชดใช้ค่าเสียหายที่เกิดจากโทษทางแพ่งและโทษทางอาญาด้วย
กรณีที่สามารถรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ต่อเมื่อ?
หากมีการเก็บรวบรวมข้อมูลส่วนบุคคลไว้ หรือมีการนำข้อมูลส่วนบุคคลไปใช้ หรือนำไปเปิดเผยไม่ว่าจะวัตถุประสงค์ใดก็ตาม จำเป็นต้องได้รับคำยินยอมจากเจ้าของข้อมูล เว้นแต่จะเป็นไปตามข้อยกเว้นที่ พ.ร.บ.กำหนดไว้
โดยมีข้อยกเว้นดังต่อไปนี้
สำหรับข้อมูลส่วนบุคคลทั่วไป (Personal Data)
- จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ ศึกษาวิจัย จัดทำสถิติ
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต
- จำเป็นเพื่อปฏิบัติตามสัญญากับเจ้าของข้อมูล
- จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
- จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น
- เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล เช่น เรื่องภาษี เป็นต้น
สำหรับข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data)
- เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
- ดำเนินกิจกรรมที่ชอบด้วยกฎหมายที่เหมาะสมของ มูลนิธิ สมาคม องค์กรไม่แสวงหากำไร
- เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล
- เป็นการจำเป็นเพื่อการปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
- เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ เกี่ยวกับ เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ เช่น การเก็บข้อมูลสุขภาพของพนักงาน
ทั้งหมดนี้คือหลักเกณฑ์ เงื่อนไข และข้อกำหนดเรื่องโทษ สำหรับประชาชนที่เป็นเจ้าของข้อมูลทุกคน