PDPA คืออะไร และคุ้มครองข้อมูลแบบใด
PDPA ย่อมาจาก Personal Data Protection Act หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และมีผลบังคับใช้เต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565 สาระสำคัญคือการให้สิทธิแก่เจ้าของข้อมูล และกำหนดหน้าที่ให้ผู้ที่เก็บหรือใช้ข้อมูลต้องดำเนินการอย่างมีมาตรฐานและโปร่งใส
ข้อมูลส่วนบุคคลตามกฎหมายนี้คือข้อมูลที่ระบุตัวบุคคลได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล เลขบัญชีธนาคาร ไอดีไลน์ หรือลายนิ้วมือ ทั้งในรูปเอกสารกระดาษและรูปแบบอิเล็กทรอนิกส์ นอกจากนี้ยังมีข้อมูลอ่อนไหว (Sensitive Data) ที่กฎหมายคุ้มครองเข้มงวดเป็นพิเศษ เช่น เชื้อชาติ ความเชื่อทางศาสนา ข้อมูลสุขภาพ ข้อมูลชีวภาพ และประวัติอาชญากรรม
สามบทบาทหลักภายใต้กฎหมาย
กฎหมายแบ่งผู้เกี่ยวข้องออกเป็นสามฝ่าย ได้แก่ เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือบุคคลที่ข้อมูลนั้นระบุถึง ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือบุคคลหรือองค์กรที่ตัดสินใจว่าจะเก็บและใช้ข้อมูลอย่างไรและเพื่อวัตถุประสงค์ใด และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ที่ดำเนินการตามคำสั่งของผู้ควบคุมข้อมูลเท่านั้น โดยภาระความรับผิดหลักอยู่ที่ผู้ควบคุมข้อมูล
เจ้าของข้อมูล "ทำอะไรได้บ้าง"
หัวใจของ PDPA คือการคืนอำนาจการควบคุมข้อมูลให้แก่เจ้าของ โดยกฎหมายกำหนดสิทธิไว้หลายประการที่เจ้าของข้อมูลสามารถใช้กับองค์กรที่ถือข้อมูลของตนได้
สิทธิที่ใช้ได้ตามกฎหมาย
สิทธิได้รับการแจ้งให้ทราบ (มาตรา 23) คือสิทธิที่จะทราบว่าข้อมูลถูกเก็บไปเพื่อวัตถุประสงค์ใดก่อนหรือขณะเก็บ สิทธิขอเข้าถึงและขอรับสำเนาข้อมูล (มาตรา 30) สิทธิขอให้โอนย้ายข้อมูลไปยังผู้ควบคุมรายอื่น (มาตรา 31) สิทธิคัดค้านการประมวลผล (มาตรา 32) สิทธิขอให้ลบหรือทำลายข้อมูล (มาตรา 33) และสิทธิขอให้ระงับการใช้ข้อมูล (มาตรา 34) นอกจากนี้เจ้าของข้อมูลยังมีสิทธิเพิกถอนความยินยอมเมื่อใดก็ได้ และสิทธิขอแก้ไขข้อมูลให้ถูกต้องเป็นปัจจุบัน
การใช้สิทธิเหล่านี้ทำได้โดยยื่นคำขอต่อองค์กรที่ถือข้อมูล ซึ่งโดยหลักต้องดำเนินการให้โดยไม่คิดค่าใช้จ่าย เว้นแต่คำขอนั้นเข้าลักษณะก่อกวนหรือใช้สิทธิเกินสมควร องค์กรจึงอาจเรียกเก็บค่าใช้จ่ายตามสมควรได้
องค์กร "ทำอะไรไม่ได้" หากไม่มีฐานทางกฎหมาย
ความเข้าใจที่ว่า PDPA คือกฎหมายขอความยินยอมนั้นถูกเพียงครึ่งเดียว เพราะการเก็บและใช้ข้อมูลต้องมีฐานทางกฎหมายรองรับ ซึ่งความยินยอม (Consent) เป็นเพียงหนึ่งในฐานเหล่านั้น องค์กรจะนำข้อมูลไปใช้นอกวัตถุประสงค์ที่แจ้งไว้ หรือเก็บข้อมูลโดยไม่มีฐานรองรับใด ๆ ไม่ได้
กฎหมายเปิดช่องให้ใช้ข้อมูลได้โดยไม่ต้องขอความยินยอมในบางกรณี เช่น เพื่อปฏิบัติตามกฎหมาย เพื่อประโยชน์สาธารณะ เพื่อป้องกันอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ การปฏิบัติตามสัญญา หรือกรณีข้อมูลที่เจ้าของเปิดเผยต่อสาธารณะด้วยความสมัครใจเอง ตามที่ระบุไว้ในมาตรา 24 และมาตรา 26 โดยข้อมูลอ่อนไหวมีเงื่อนไขเข้มงวดกว่าข้อมูลทั่วไป
เข้าใจผิดบ่อย — สิ่งที่ PDPA "ไม่ได้" ห้าม
ช่วงที่กฎหมายเริ่มบังคับใช้ มีความเข้าใจคลาดเคลื่อนแพร่หลายว่าห้ามถ่ายภาพในที่สาธารณะหากติดบุคคลอื่น หรือห้ามนำภาพที่มีคนอื่นมาลงโซเชียลโดยเด็ดขาด ซึ่งไม่ตรงกับเจตนารมณ์ของกฎหมาย การถ่ายภาพหรือบันทึกวิดีโอในที่สาธารณะที่มีบุคคลอื่นติดมาโดยไม่ได้เจตนา และไม่ก่อให้เกิดความเสียหายแก่ผู้นั้น โดยทั่วไปไม่ถือเป็นความผิดตาม PDPA
นอกจากนี้ กฎหมายยังยกเว้นการเก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือกิจกรรมในครอบครัวล้วน ๆ ออกจากการบังคับใช้ เช่น การเก็บเบอร์โทรของเพื่อนไว้ในโทรศัพท์ส่วนตัว PDPA จึงมุ่งกำกับการประมวลผลข้อมูลเชิงระบบขององค์กรเป็นหลัก ไม่ใช่กิจกรรมส่วนตัวในชีวิตประจำวัน
ถ้าถูกละเมิด ทำอะไรได้ และมีบทลงโทษอย่างไร
หากเจ้าของข้อมูลเห็นว่าถูกละเมิด สามารถยื่นเรื่องร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ทั้งช่องทางเอกสารและช่องทางอิเล็กทรอนิกส์ โดยกฎหมายกำหนดบทลงโทษไว้สามทาง
โทษทางแพ่ง ผู้เสียหายเรียกค่าสินไหมทดแทนได้ และศาลอาจสั่งให้จ่ายค่าสินไหมเพิ่มเติมได้อีก แต่ไม่เกินสองเท่าของค่าสินไหมที่แท้จริง โดยมีอายุความ 3 ปีนับแต่วันที่รู้ถึงความเสียหายและรู้ตัวผู้รับผิด หรือ 10 ปีนับแต่วันที่มีการละเมิด โทษทางปกครอง มีโทษปรับสูงสุดไม่เกิน 5,000,000 บาท สำหรับการฝ่าฝืนหน้าที่ตามกฎหมาย ส่วนโทษทางอาญา ใช้กับการใช้หรือเปิดเผยข้อมูลอ่อนไหวโดยมิชอบจนทำให้ผู้อื่นเสียหาย เสียชื่อเสียง หรือเพื่อแสวงหาประโยชน์โดยมิชอบด้วยกฎหมาย
โดยสรุป PDPA ให้เครื่องมือแก่ประชาชนในการรับรู้ ตรวจสอบ และควบคุมว่าข้อมูลของตนถูกใช้อย่างไร ขณะเดียวกันก็วางกรอบให้องค์กรเก็บและใช้ข้อมูลอย่างมีความรับผิดชอบ การเข้าใจว่ากฎหมายให้สิทธิอะไร และห้ามอะไรจริง ๆ จึงช่วยให้ทั้งผู้บริโภคและธุรกิจปฏิบัติได้ถูกต้องโดยไม่ตื่นตระหนกเกินจำเป็น
