ฉันต้องการ
ฉันต้องการ
ลิงก์ที่เกี่ยวข้อง
บริการสำหรับลูกค้า
ลิงก์ที่เกี่ยวข้อง
ช่องทาง Digital Banking
ลิงก์ที่เกี่ยวข้อง
ผลิตภัณฑ์ Digital Banking
Digital Services
โซลูชั่น
คำค้นหาที่แนะนำ
ผลการค้นหา "{{keyword}}" ไม่ปรากฎแต่อย่างใด
ข้อแนะนำในการค้นหา
- ตรวจสอบความถูกต้องของข้อความ
- ตรวจสอบภาษาที่ใช้ในการพิมพ์
- เปลี่ยนคำใหม่ กรณีไม่พบผลการค้นหา
การใช้และการจัดการคุกกี้
ธนาคารมีการใช้เทคโนโลยี เช่น คุกกี้ (cookies) และเทคโนโลยีที่คล้ายคลึงกันบนเว็บไซต์ของธนาคาร เพื่อสร้างประสบการณ์การใช้งานเว็บไซต์ของท่านให้ดียิ่งขึ้น โปรดอ่านรายละเอียดเพิ่มเติมที่ นโยบายการใช้คุกกี้ของธนาคาร
- ลูกค้าบุคคล
- Stories & Tips
- ทิปส์น่ารู้
- PDPA คืออะไร? (Data Subject) พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ได้แก่อะไรบ้าง
- ลูกค้าบุคคล
- ...
- PDPA คืออะไร? (Data Subject) พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ได้แก่อะไรบ้าง
แชร์PDPA คืออะไร? (Data Subject) พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ได้แก่อะไรบ้าง
01-06-2565
PDPA (Personal Data Protection Act, B.E. 2562 (2019)) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยวันที่ 1 มิถุนายน 2565 เป็นวันที่ พ.ร.บ. PDPA นี้มีผลบังคับใช้ตามกฎหมายทั้งฉบับ
เหตุผลในการประกาศใช้ PDPA เนื่องมาจากเทคโนโลยีก้าวหน้าขึ้น ช่องทางสื่อสารต่างๆ มีหลากหลายขึ้น ทำให้การละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลทำได้ง่ายขึ้น และหลายครั้งก็นำมาซึ่งความเดือดร้อนรำคาญหรือสร้างความเสียหายให้แก่เจ้าของข้อมูล ตลอดจนสามารถส่งผลต่อเศรษฐกิจโดยรวมของประเทศได้ด้วย จึงต้องมีกฎหมาย PDPA ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลขึ้นเพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่รวมถึงการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขึ้น
ข้อมูลส่วนบุคคลคืออะไร
คือข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม โดยข้อมูลของผู้ถึงแก่กรรม และข้อมูลนิติบุคคล ไม่ถือเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ. PDPA คุ้มครองข้อมูลส่วนบุคคลนี้
PDPA สำคัญอย่างไร
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) มีบทบาทสำคัญอย่างยิ่งในการคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล โดยมีเป้าหมายเพื่อให้ประชาชนทุกคนสามารถควบคุมข้อมูลของตนเองได้อย่างแท้จริง ไม่ว่าจะเป็นข้อมูลที่ถูกเก็บอยู่แล้ว หรือข้อมูลที่จะถูกเก็บในอนาคต ทั้งนี้เพื่อป้องกันการละเมิดสิทธิและการนำข้อมูลไปใช้ในทางที่ไม่เหมาะสม
PDPA ช่วยให้เจ้าของข้อมูลมี “สิทธิในข้อมูลส่วนบุคคล” หลายประการ เช่น
- สิทธิในการรับทราบและให้ความยินยอมก่อนการเก็บหรือใช้ข้อมูล
- สิทธิในการเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลของตน
- สิทธิในการคัดค้านหรือเพิกถอนการยินยอม
- สิทธิในการขอลบ ระงับ หรือทำลายข้อมูลส่วนบุคคลเมื่อหมดความจำเป็นในการใช้งาน
ในขณะเดียวกัน PDPA ยังสร้างความรับผิดชอบให้กับผู้ประกอบการ องค์กร หรือหน่วยงานต่าง ๆ ที่มีการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคล ไม่ว่าจะเป็นข้อมูลของลูกค้า พนักงาน หรือคู่ค้า โดยต้องดำเนินการตามหลักการของกฎหมาย เช่น การแจ้งวัตถุประสงค์การเก็บข้อมูล การดูแลความปลอดภัยของข้อมูล และการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
ทั้งนี้ ประเทศไทยได้เริ่มบังคับใช้กฎหมาย PDPA อย่างเป็นทางการแล้ว หากองค์กรใดไม่ปฏิบัติตาม อาจถูกลงโทษทั้งทางแพ่ง อาญา และทางปกครอง ดังนั้นผู้ประกอบการจึงควรเร่งปรับกระบวนการจัดการข้อมูลให้สอดคล้องกับข้อกำหนดของ PDPA เพื่อสร้างความน่าเชื่อถือและรักษาความเป็นส่วนตัวของเจ้าของข้อมูลอย่างสูงสุด
ข้อมูลส่วนบุคคลมีกี่ประเภท
1. ข้อมูลส่วนบุคคล (Personal Data)
ข้อมูลส่วนบุคคล (Personal Data) ได้แก่ ชื่อ - นามสกุล, เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วันเกิด, อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลทางการเงิน นอกจากนี้ยังรวมถึง ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ด้วย เช่น ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น
สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้แก่อะไรบ้าง
- สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)
- สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
- สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
- สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
- สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure (also known as right to be forgotten)
- สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
- สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)
ดูรายละเอียดในแต่ละประเด็นได้ที่: PDPA ในฐานะเจ้าของข้อมูล เรามีสิทธิทำอะไรได้บ้าง?
2. ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data)
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) หมายถึง ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเรื่องส่วนตัวเชิงลึกของแต่ละบุคคล ซึ่งอาจก่อให้เกิดความเสียหายหรือการเลือกปฏิบัติที่ไม่เป็นธรรม หากถูกนำไปใช้ในทางที่ไม่เหมาะสม ดังนั้นจึงต้องได้รับการดูแลและจัดการด้วยความระมัดระวังเป็นพิเศษ
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น ข้อมูลทางการแพทย์หรือสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น
ข้อยกเว้นที่ไม่จำเป็นต้องขอคำยินยอม (Consent) สำหรับข้อมูลส่วนบุคคลทั่วไป(Personal Data) มีอะไรบ้าง
กรณีที่สามารถใช้ข้อมูลส่วนบุคคลทั่วไป (Personal Data) ได้โดยไม่ต้องขอความยินยอม (Consent) มีดังนี้
- ใช้เพื่อจัดทำเอกสารทางประวัติศาสตร์ หรือเก็บเป็นจดหมายเหตุเพื่อประโยชน์ของสาธารณะ รวมถึงการใช้เพื่อการวิจัยทางวิชาการ หรือการจัดทำสถิติ
- ใช้เพื่อป้องกันหรือระงับอันตรายที่อาจเกิดขึ้นกับชีวิต ร่างกาย หรือสุขภาพของบุคคล
- ใช้เพื่อดำเนินการตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญา เช่น การซื้อสินค้าออนไลน์ที่ต้องใช้ข้อมูลชื่อ ที่อยู่ หมายเลขโทรศัพท์ และอีเมลในการจัดส่ง
- ใช้เพื่อประโยชน์สาธารณะ หรือเป็นการปฏิบัติหน้าที่ตามอำนาจของรัฐ
- ใช้เพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น ภายใต้เงื่อนไขที่ไม่ละเมิดสิทธิขั้นพื้นฐานของเจ้าของข้อมูล
- ใช้เพื่อการปฏิบัติตามกฎหมาย เช่น การส่งข้อมูลพนักงานให้กรมสรรพากรเพื่อวัตถุประสงค์ด้านภาษี เป็นต้น
ข้อยกเว้นที่ไม่จำเป็นต้องขอคำยินยอม(Consent)สำหรับข้อมูลส่วนบุคคลที่อ่อนไหว(Sensitive Personal Data) มีอะไรบ้าง
กรณีที่สามารถประมวลผลข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ได้โดยไม่ต้องขอความยินยอม (Consent) มีดังนี้
- เพื่อป้องกันหรือลดความเสี่ยงจากอันตรายที่อาจเกิดขึ้นกับชีวิต ร่างกาย หรือสุขภาพของบุคคล
- ใช้ในการดำเนินกิจกรรมที่ชอบด้วยกฎหมายของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากำไร โดยมีมาตรการคุ้มครองข้อมูลที่เหมาะสม เช่น องค์กรทางศาสนา หรือองค์กรที่เกี่ยวข้องกับความคิดเห็นทางการเมือง ซึ่งต้องแจ้งให้สมาชิกทราบล่วงหน้าก่อนการเปิดเผยข้อมูล
- ในกรณีที่ข้อมูลดังกล่าวถูกเปิดเผยต่อสาธารณะโดยเจ้าของข้อมูลได้ให้ความยินยอมอย่างชัดเจน เช่น ข้อมูลของบุคคลสาธารณะที่เผยแพร่ด้วยความสมัครใจ
- จำเป็นต่อการใช้สิทธิหรือป้องกันสิทธิทางกฎหมาย เช่น การเก็บรอยนิ้วมือของผู้ต้องสงสัยเพื่อใช้เป็นหลักฐานในกระบวนการยุติธรรม
- จำเป็นตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวข้องกับ
- การแพทย์เชิงป้องกัน หรืออาชีวเวชศาสตร์ เช่น การเก็บข้อมูลสุขภาพของพนักงานเพื่อดูแลความปลอดภัยในการทำงาน
- การดำเนินงานด้านสาธารณสุข การคุ้มครองแรงงาน การประกันสังคม หรือโครงการหลักประกันสุขภาพแห่งชาติ
- การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ เพื่อประโยชน์สาธารณะ
- การดำเนินการที่เป็นประโยชน์ต่อสาธารณะในระดับสำคัญ
บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลมีใครบ้าง
- เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลระบุไปถึง
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
การเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล สามารถทำได้ในกรณีต่อไปนี้
- ได้รับความยินยอมจากเจ้าของข้อมูส่วนบุคคล
- จัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ การศึกษาวิจัยหรือการจัดทำสถิติ
- ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
- จำเป็นเพื่อปฏิบัติกฎหมาย หรือสัญญา
- จำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลอื่น
- จำเป็นเพื่อประโยชน์สาธารณะ และการปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
หากต้องการใช้ข้อมูลส่วนบุคคลของเรา ต้องขออนุญาตก่อนหรือไม่
ก่อนที่ใครจะเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเรา จำเป็นต้องได้รับ “ความยินยอม” (Consent) จากเจ้าของข้อมูลก่อนเสมอ ยกเว้นในบางกรณีที่กฎหมายอนุญาตให้ดำเนินการได้โดยไม่ต้องขออนุญาต
ตามที่ระบุไว้ใน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล PDPA พ.ศ. 2562 มาตรา 19 ได้กำหนดว่า
“ผู้ควบคุมข้อมูลส่วนบุคคลจะไม่สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่กรณีที่กฎหมายฉบับนี้หรือกฎหมายอื่นอนุญาตให้กระทำได้”
ดังนั้น ไม่ว่าจะเป็นบุคคลธรรมดา บริษัท ห้างร้าน มูลนิธิ สมาคม องค์กรเอกชน หรือหน่วยงานของรัฐ หากมีการเก็บหรือใช้ข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ หมายเลขโทรศัพท์ หรือข้อมูลติดต่ออื่น ๆ จำเป็นต้องได้รับการยินยอมจากเจ้าของข้อมูลก่อนทุกครั้ง
อย่างไรก็ตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลฯ PDPA ยังมีข้อยกเว้นบางประการ ที่เปิดโอกาสให้สามารถใช้ข้อมูลได้โดยไม่ต้องขอความยินยอม ซึ่งระบุไว้ใน มาตรา 24, มาตรา 26 และมาตรา 27 เช่น การใช้เพื่อประโยชน์สาธารณะ การปฏิบัติตามกฎหมาย การป้องกันอันตรายต่อชีวิต หรือการใช้ข้อมูลที่เจ้าของได้เปิดเผยต่อสาธารณะด้วยความสมัครใจ เป็นต้น
การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (Cross-border Personal Data Transfer) ทำอย่างไร
ประเทศปลายทางหรือองค์การระหว่างประเทศ ที่รับข้อมูลส่วนบุคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล (PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ที่เพียงพอ เว้นแต่จะได้รับความยินยอมจากเจ้าของข้อมูล หรือเป็นการปฏิบัติตามกฎหมาย/สัญญา หรือเพื่อประโยชน์สาธารณะเป็นสำคัญเท่านั้น
บทลงโทษหากไม่ปฏิบัติตาม PDPA มีอะไรบ้าง
เพื่อให้ข้อมูลส่วนบุคคล หรือ (PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ถูกนำไปใช้ในทางที่เหมาะสมและเป็นประโยชน์มากกว่าโทษ การให้ข้อมูลแต่ละครั้งจึงต้องพิจารณาอย่างรอบคอบก่อนให้ข้อมูล เช่นการให้ข้อมูลเพื่อจัดส่งสินค้า หากมีการขอข้อมูลที่ไม่เกี่ยวกับการจัดส่ง เจ้าของข้อมูลก็มีสิทธิปฏิเสธการให้ข้อมูลนั้น และในส่วนของผู้เก็บข้อมูล ก็ต้องรู้ขอบเขตในการเข้าถึงข้อมูลส่วนบุคคล มีระบบในการควบคุม/ยืนยันตัวตนในการเข้าถึงข้อมูล และจำเป็นต้องมีการกำหนดนโยบายองค์กรเพื่อให้บุคคลที่เกี่ยวข้องปฏิบัติตาม เพราะหากไม่ทำตาม PDPA อาจได้รับโทษดังนี้
- ความรับผิดทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง
- โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
- โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท
