ทำไมต้องให้ความสำคัญกับข้อมูลส่วนบุคคล

“ข้อมูลส่วนบุคคล” (Personal Data) เป็นสินทรัพย์ที่มีค่าของทุกองค์กร ในยุคที่ใคร ๆ หรือธุรกิจต้องการข้อมูลจากลูกค้า ลูกจ้าง คู่ค้า หรือกิจกรรมที่ต้องใช้ข้อมูลส่วนบุคคล จึงต้องมีการคุ้มครองปกป้องข้อมูลของเจ้าของข้อมูล โดยมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ที่จะใช้บังคับในวันที่ 1 มิถุนายน พ.ศ. 2565 ซึ่งมีสาระสำคัญดังนี้

ข้อมูลส่วนบุคคลคืออะไร?

ตามมาตรา 6 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ทั้งทางตรงหรือทางอ้อม แต่จะไม่นับรวมข้อมูลของผู้ที่เสียชีวิตไปแล้ว  ได้แก่ ชื่อ-นามสกุล เลขประจำตัวประชาชน เลขใบอนุญาตขับขี่ ที่อยู่ อีเมล เลขโทรศัพท์  ข้อมูลอุปกรณ์หรือเครื่องมือ เช่น IP address, MAC address, Cookie ID, ข้อมูลทางชีวมิติ (Biometric) เช่น รูปภาพใบหน้า, ลายนิ้วมือ, ฟิล์มเอกซเรย์, ข้อมูลสแกนม่านตา ข้อมูลอัตลักษณ์เสียง และข้อมูลพันธุกรรม ฯลฯ

บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้น แต่ไม่ใช่กรณีที่บุคคลมีความเป็นเจ้าของข้อมูล (Ownership) หรือเป็นผู้สร้างหรือเก็บรวบรวมข้อมูลนั้นเอง โดยเจ้าของข้อมูลส่วนบุคคลนี้จะหมายถึงบุคคลธรรมดาเท่านั้น
 

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น บริษัทที่เก็บรวบรวมข้อมูลส่วนบุคคลเพื่อใช้สร้างบัญชีผู้ใช้งานให้กับเจ้าของข้อมูลส่วนบุคคล

หากไม่ได้รับความยินยอมก็เก็บข้อมูลไม่ได้

ความยินยอม (Consent) เป็นหลักการสำคัญของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ดังที่ในมาตรา 19 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลไม่สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ถ้าไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน ซึ่งในการขอความยินยอมนั้นต้องกระทำโดยชัดแจ้งโดยอาจจะทำเป็นหนังสือ หรือผ่านระบบอิเล็กทรอนิกส์ก็ได้ และต้องมีข้อความที่เข้าใจง่าย นอกจากนี้ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลด้วย เช่น บริษัทจะเก็บข้อมูลส่วนบุคคลของพนักงานทุกคนเพื่อจัดทำทะเบียนลูกจ้างของบริษัท ดังนั้น ในการทำการใดก็ตามที่เกี่ยวกับข้อมูลส่วนบุคคล มีความสำคัญเป็นอย่างยิ่งที่จะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน และสามารถกระทำได้เฉพาะภายในขอบเขตที่ได้รับความยินยอมไว้เท่านั้น โดยเฉพาะอย่างยิ่งหากข้อมูลนั้นเป็นข้อมูลอ่อนไหว การขอความยินยอมและเก็บรวบรวมต้องกระทำด้วยความระมัดระวัง ซึ่งผู้ควบคุมข้อมูลต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวมอย่างชัดเจน เก็บรวบรวมข้อมูลเท่าที่จำเป็น และต้องได้รับความยินยอมอย่างชัดแจ้งเท่านั้น 

 

pdpa-1146749039

ทั้งนี้มีข้อยกเว้นในบางกรณีซึ่งทำให้สามารถเก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลได้โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลถ้าเป็นไปตามกรณีที่กฎหมายกำหนด เช่น

  • เพื่อการทำเอกสารประวัติศาสตร์ จดหมายเหตุ การวิจัย หรือสถิติ (Historical archives, research or statistic)
  • เพื่อการป้องกันหรือระงับอันตรายต่อชีวิตร่างกายสุขภาพ (Vital Interest)
  • เป็นกรณีจำเป็นเพื่อปฏิบัติหน้าที่ตามสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคล (Contract)
  • เพื่อประโยชน์สาธารณะ (Public Interest)
  • เป็นการกระทำอันจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (Legitimate Interest)
  • เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (Legal Obligation)


    สิทธิของเจ้าของข้อมูลส่วนบุคคล (Right of the data subject)

สิทธิขอเข้าถึงข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคล มีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาของข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอมได้ โดยสิทธินี้จะต้องไม่ขัดต่อกฎหมาย หรือส่งผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น

สิทธิได้รับการแจ้งให้ทราบ

การเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล

สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ แต่ต้องไม่ขัดต่อสิทธิการเรียกร้องตามกฎหมาย

สิทธิขอให้ลบหรือทำลาย

กรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลได้ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่เปิดเผยต่อสาธารณะ และผู้ควบคุมข้อมูลส่วนบุคคลถูกขอให้ลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลเจ้าของได้ โดยผู้ควบคุมข้อมูลส่วนบุคคลจะต้องเป็นผู้รับผิดชอบดำเนินการทั้งในทางเทคโนโลยีและค่าใช้จ่ายเอง

สิทธิในการเพิกถอนความยินยอม

ถ้าเจ้าของข้อมูลเคยให้ความยินยอมในการใช้ข้อมูลไปแล้ว ต่อมาภายหลังต้องการยกเลิกความยินยอมนั้น ก็สามารถทำเมื่อใดก็ได้ และการยกเลิกความยินยอมนั้นจะต้องทำได้ง่ายเหมือนกับตอนแรกที่เจ้าของข้อมูลให้ความยินยอมด้วย โดยการยกเลิกจะต้องไม่ขัดต่อข้อจำกัดสิทธิในการถอนความยินยอมทางกฎหมาย หรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไปก่อนหน้านี้

สิทธิในการขอให้โอนข้อมูลส่วนบุคคล

เจ้าของข้อมูลต้องการนำข้อมูลที่เคยให้ไว้กับผู้ควบคุมข้อมูล ไปใช้กับผู้ควบคุมข้อมูลอีกราย เช่น ผู้ควบคุมข้อมูลส่วนบุคคลรายแรกได้จัดทำข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปอยู่ในรูปแบบต่าง ๆ ที่เข้าถึงได้ด้วยวิธีการอัตโนมัติ เจ้าของข้อมูลสามารถขอให้ผู้ควบคุมข้อมูลส่วนบุคคลที่จัดทำข้อมูลนั้น ทำการส่งหรือโอนข้อมูลดังกล่าวให้ได้ หรือจะขอให้ส่งไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่นโดยตรงก็สามารถทำได้ หากไม่ติดขัดทางวิธีการและเทคนิค โดยการใช้สิทธินั้นต้องไม่ขัดต่อกฎหมาย และสัญญา เช่น พนักงานจากบริษัทหนึ่งย้ายไปอีกบริษัทหนึ่ง พนักงานอาจใช้สิทธิให้บริษัทแรกโอนย้ายข้อมูลส่วนบุคคลไปยังบริษัทใหม่ได้ รวมถึงขอรับสำเนาข้อมูลของตนเองได้เช่นกัน

บทลงโทษของผู้ที่ไม่ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล  

โทษทางแพ่ง

โทษทางแพ่งกำหนดให้ชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริงให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด และอาจจะต้องจ่ายเพิ่มเป็นค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดได้อีก 2 เท่าของค่าเสียหายจริง      

โทษทางอาญา

โทษทางอาญาจะมีทั้งโทษจำคุกและโทษปรับ โดยมีโทษจำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ

โทษทางปกครอง


โทษปรับ มีตั้งแต่ 1 ล้านบาทจนถึงสูงสุดไม่เกิน 5 ล้านบาท ซึ่งโทษปรับสูงสุด 5 ล้านบาท จะเป็นกรณีของการไม่ปฏิบัติตามกฎหมาย ในส่วนการใช้ข้อมูล การเปิดเผยข้อมูล หรือส่งโอนข้อมูลไปยังต่างประเทศของประเภทข้อมูลที่มีความละเอียดอ่อน 

โดยสรุปจะเห็นได้ว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล กำหนดขึ้นเพื่อต้องการรักษาสิทธิของเจ้าของข้อมูล ในการที่ข้อมูลส่วนตัวของบุคคลจะถูกนำไปใช้อย่างถูกต้องเหมาะสมตามความต้องการและยินยอมของเจ้าของข้อมูลอย่างแท้จริง อย่างไรก็ตามผู้เป็นเจ้าของข้อมูลก็ควรพิจารณาว่าข้อมูลส่วนบุคคลที่ยินยอมให้ใช้ เป็นไปตามวัตถุประสงค์และความต้องการของเจ้าของข้อมูลเพียงใด


บทความโดย  ดร.อังค์วรา ไชยอนงค์