ข้อมูลส่วนบุคคลไม่ใช่เรื่องเล็ก เปิดสาระ PDPA สิทธิที่ควรรู้ และโทษหากละเมิด
เมื่อข้อมูลส่วนบุคคลมีมูลค่าเทียบเท่าทรัพย์สิน การละเมิด PDPA ไม่ใช่เรื่องเล็ก บทความนี้ถอดสาระสำคัญของกฎหมาย ตั้งแต่การจัดการข้อมูล ไปจนถึงบทลงโทษทางแพ่ง อาญา และปกครอง ที่ไม่อาจมองข้าม
ในยุคที่เทคโนโลยีขับเคลื่อนเศรษฐกิจอย่างรวดเร็ว “ข้อมูลส่วนบุคคล” กลายเป็นสิ่งที่มีมูลค่ามหาศาลต่อการดำเนินธุรกิจ แต่ความสะดวกในการเข้าถึงข้อมูลกลับนำมาซึ่งความเสี่ยงจากการถูกรวบรวม นำไปใช้ หรือเปิดเผยโดยไม่ได้รับอนุญาต สร้างความเดือดร้อนรำคาญและอาจรุนแรงถึงขั้นส่งผลเสียต่อระบบเศรษฐกิจในภาพรวม
ประเทศไทยจึงได้ประกาศใช้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่รู้จักกันในนาม PDPA (Personal Data Protection Act) เพื่อวางมาตรฐานการจัดเก็บและใช้งานข้อมูลส่วนบุคคลให้โปร่งใสและเป็นธรรม โดยมีเนื้อหาสาระสำคัญที่ประชาชนและผู้ประกอบการต้องทำความเข้าใจ ดังนี้:
ข้อมูลแบบไหนที่ได้รับความคุ้มครอง ?
ตามมาตรา 6 แห่ง พ.ศ. 2562 “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลที่ระบุตัวตนบุคคลได้ทั้งทางตรงและทางอ้อม โดยแบ่งความเข้มข้นของการคุ้มครองเป็น 2 ระดับ :
-
ข้อมูลส่วนบุคคลทั่วไป : ชื่อ-สกุล, เลขประจำตัวประชาชน, เบอร์โทรศัพท์, อีเมล์, ที่อยู่, รวมถึงข้อมูลทางเทคนิคอย่าง IP Address และคุกกี้ (Cookie ID)
-
ข้อมูลส่วนบุคคลที่ละเอียดอ่อน (Sensitive Personal Data) : กฎหมายให้ความสำคัญเป็นพิเศษและมีบทลงโทษรุนแรงหากรั่วไหล ได้แก่ เชื้อชาติ, ความเห็นทางการเมือง, ศาสนา, ข้อมูลสุขภาพ, ประวัติอาชญากรรม และข้อมูลชีวมิติ (Biometric)
สิทธิพื้นฐานประชาชน-เกราะคุ้มกันความเป็นส่วนตัว
PDPA มอบอำนาจคืนสู่เจ้าของข้อมูลผ่านสิทธิต่าง ๆ อาทิ สิทธิได้รับการแจ้งให้ทราบถึงวัตถุประสงค์การเก็บข้อมูล, สิทธิขอเข้าถึงและรับสำเนา, สิทธิคัดค้านการเก็บหรือใช้งาน, สิทธิขอให้ลบหรือทำลายเมื่อหมดความจำเป็น และสิทธิร้องเรียนเมื่อพบว่ามีการฝ่าฝืนกฎหมาย
บทลงโทษ : มาตรการบังคับที่เข้มงวด
-
ความรับผิดทางแพ่ง : ชดใช้ค่าเสียหายจริง และอาจถูกสั่งจ่ายเพิ่มสูงสุด 2 เท่า
-
ความรับผิดทางอาญา : โทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับสูงสุด 1 ล้านบาท โดย “กรรมการหรือผู้บริหาร” อาจต้องรับโทษอาญาแทนบริษัท
-
ความรับผิดทางปกครอง : โทษปรับตั้งแต่ 1 ล้านบาท ถึงสูงสุด 5 ล้านบาท
How to : 5 ขั้นตอนรักษาสิทธิ “ข้อมูลส่วนบุคคล” สำหรับประชาชน
เพื่อให้กฎหมาย PDPA เกิดผลลัพธ์จริงในทางปฏิบัติ ประชาชนควรเริ่มต้นปกป้องสิทธิของตนเองด้วยแนวทางง่าย ๆ ดังนี้ :
1. “อ่านก่อนคลิก” ยอมรับเงื่อนไข (Privacy Notice) ทุกครั้งที่สมัครแอปพลิเคชั่นหรือใช้บริการเว็บไซต์ อย่ารีบกด “ยอมรับ” ทั้งหมด ให้สังเกตข้อความที่ขอใช้ข้อมูลเพื่อวัตถุประสงค์ทางการตลาดหรือการส่งต่อให้บุคคลที่สาม หากเราไม่ยินยอมในส่วนนี้เรายังมีสิทธิใช้บริการพื้นฐานได้ (ในกรณีที่ข้อมูลนั้นไม่จำเป็นต่อการบริการหลัก)
2. สังเกต “จุดประสงค์” ของการขอข้อมูล หากร้านค้าหรือหน่วยงานขอข้อมูลที่ “ไม่เกี่ยวข้อง” กับบริการ เช่น ขอเลขบัตรประชาชนเพื่อแลกคูปองส่วนลด หรือขอเข้าถึงรายชื่อผู้ติดต่อในโทรศัพท์มือถือเพื่อแอปพลิเคชั่นแต่งรูป ให้ตั้งคำถามและปฏิเสธได้หากเห็นว่าเกินความจำเป็น
3. ใช้ “สิทธิขอให้ลบ” เมื่อเลิกใช้งาน หากเราตัดสินใจเลิกใช้บริการแอปพลิเคชั่นหรือปิดบัญชีธนาคาร เรามีสิทธิแจ้งให้องค์กรนั้น “ลบหรือทำลาย” ข้อมูลของเราออกจากระบบ เพื่อป้องกันการรั่วไหลในอนาคต
4. ระวังการโพสต์ “ข้อมูลผู้อื่น” ลงโซเชียล การถ่ายรูปหรือคลิปวิดีโอที่ติดใบหน้าผู้อื่นแล้วนำไปโพสต์ในลักษณะที่ทำให้เขาเสียหาย หรือใช้เพื่อแสวงหากำไรโดยไม่ได้รับอนุญาต อาจเข้าข่ายละเมิด PDPA ดังนั้นควรเบลอใบหน้าหรือขอความยินยอมก่อนเสมอ
5. ช่องทางการร้องเรียนเมื่อถูกละเมิด หากพบว่าข้อมูลของเราถูกนำไปใช้ผิดวัตถุประสงค์ หรือได้รับความเสียหายจากการรั่วไหล ให้รวบรวมหลักฐานและติดต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC เพื่อดำเนินการตามกฎหมาย